Cifratura XML forzata, bisogna aggiornare lo standard W3C
(-)
Loading ...
Alcuni ricercatori hanno dimostrato con successo una falla nella cifratura XML, largamente impiegata tra server Web per il trasporto di dati sensibili e non. Purtroppo, per risolvere, occorrerà rivedere lo standard
Articoli correlati:
Roma – Alcuni ricercatori della Ruhr University Bochum hanno dato dimostrazione dell’insicurezza dello standard di cifratura XML, in occasione della ACM Conference on Computer and Communication Security svoltasi a Chicago (USA).
“Tutto è insicuro”, è stato lo sconfortante messaggio dalla Bochum. E come evidenziato da Ars Technica, la cifratura XML è largamente impiegata come parte del processo di comunicazione tra server Web, al fine di trasmettere miscele di dati sensibili e non sensibili.
Purtroppo, però, come hanno dimostrato i ricercatori Juraj Somorovsky e Tibor Jager, non sembra essere abbastanza robusta. Sono infatti stati in grado di decifrare dati mediante l’iniezione di testi cifrati opportunamente modificati ai server, ricavando informazioni dagli stessi messaggi di errore.
L’attacco è stato provato verso una ben conosciuta implementazione Open Source della cifratura XML, nonché contro quelle implementazioni realizzate da tutte le aziende interpellate e che hanno risposto alla segnalazione, con un unico risultato: la forzatura ha funzionato.
Per risolvere il problema, stando a quanto ha spiegato Somorovsky, è necessaria una revisione dello standard di cifratura XML. La situazione è abbastanza spinosa e il gruppo, al fine di seguire una prassi responsabile e cosciente, ha informato tutte le aziende a rischio attraverso le mailing list di W3C.
