Scoprire una password sotto gli asterischi, si può

di Alessandro Vinciarelli

scritto il

Di solito non ho l’abitudine di pubblicizzare metodi che potrebbero essere utilizzati in modo malizioso, ma questa volta è necessario evidenziare una mancanza di sicurezza propria del modo di comportarsi di molti navigatori della rete.

Si tratta della gestione delle password e della “necessità” di memorizzarle nella memoria del browser. Alla richiesta di tenere memoria della password per non doverla poi inserire successivamente, la stragrande maggioranza delle persone risponde sì.

Questo modo di comportarsi è spesso la causa di problemi di sicurezza o semplicemente è la porta d’ingresso alle nostre informazioni personali. Praticamente siamo noi stessi a fornire le chiavi di ingresso, senza tuttavia rendercene conto.

Se abbiamo l’abitudine di memorizzare le password nel browser, quando verrà caricata la pagina di ingresso ad un sito, automaticamente apparirà il nostro username e una bella serie di asterischi al posto della password. In alternativa potremmo scegliere uno degli username dalla lista e allo stesso modo avere la serie di asterischi che corrisponde a quella password.

Il problema è che se una volta che vediamo gli asterischi proviamo ad inserire nell’URL il seguente codice Javascript:
javascript:(function(){var s,F,j,f,i; s = ""; F = document.forms;for(j=0; j < F.length; ++j) { f = F[j]; for (i=0; i < f.length; ++i) { if (f[i].type.toLowerCase() == "password") s += f[i].value + "n"; } } if (s) alert("Passwords in forms on this page:nn" + s); else alert("There are no passwords in forms on this page.");})();

verrà visualizzata una finestra di alert che ci mostra, in chiaro, la password sotto gli asterischi.

Che significa questo? Che ad esempio se usiamo un computer comune o lasciamo il nostro PC in mano a qualcuno si potrebbe verificare che questa persona, senza accedere immediatamente alla nostra mail, carpisca la password con il trucchetto spiegato e la utilizzi in futuro.

Questo semplice esempio spiega chiaramente quali sono i rischi di abusare della memorizzazione delle password. Ovviamente funziona con tutti i browser comuni e non può in alcun modo essere aggirato impostando, ad esempio, nel caso di Firefox, una master password nel pannello sicurezza. In quest’ultimo caso, infatti, si può evitare che un utente possa visualizzare le password e gli altri dati sensibili dal pannello degli strumenti se non dispone della chiave, ma nulla evita l’utilizzo di questo trucchetto (a meno della disabilitazione del Javascript). Il codice mostrato è presente in molti siti sul web.