Brutta sorpresa per chi ha scaricato durante la scorsa settimana il nuovo Opera 7, il browser prodotto dalla omonima software house norvegese e da tempo considerato come una valida alternativa a Mozilla ed Explorer. Un’alternativa veloce, leggera e, purtroppo, un po’ ‘bacata’.
Un gruppo di programmatori israeliani ha divulgato mercoledì ben cinque vulnerabilità che affliggono il leggero browser norvegese. Di queste cinque, tre sono giudicate «critiche» perché consentirebbero l’accesso al filesystem dell’utente, ossia al suo hard disk, compresi posta e documenti. Ad una settimana appena dal rilascio definitivo della nuova versione, Opera ha messo online una nuova versione corretta. Opera 7.01 è subito disponibile per il download dal sito della casa Norvegese.
Gli errori di programmazione sono descritti in cinque distinti documenti e sono, nel loro piccolo, un interessante spaccato della sicurezza nelle pagine Web. Vediamoli in dettaglio.
Opera’s Security Model is Highly Vulnerable. Opera non rispetta le normali prevenzioni cosiddette “cross-domain”. In pratica i browser normalmente dovrebbero impedire che un sito possa accedere a informazioni inviate da un sito diverso dal proprio. Opera non lo fa e permette di utilizzare gli script JavaScript da un sito all’altro, sito che può essere anche il filesystem dell’utente, ossia, detto in parole povere, il suo Hard Disk.
Phantom of the Opera. Anche in questo caso sul banco degli imputati, assieme ad Opera, sale JavaScript. Opera contiene un debugger Javascript che, a causa di alcuni errori di scrittura, permette di accedere al file system dell’utente e di visualizzarne e recuperarne i documenti.
Opera Images. Durante la visualizzazione delle immagini Opera non controlla che l’URL richiesta non contenga codice formattato appositamente per accedere all’hard disk dell’utente. In questo modo, semplicemente per mezzo di un link, è possibile recuperare informazioni sensibili.
What’s Next. Il quarto è un problema di privacy. Opera conserva le URL visitate dall’utente e le rende recuperabili attraverso JavaScript. In questo modo un documento formattato ad arte potrebbe risalire alle ultime pagine visitate dall’utente, anche se le visite non giungono al suo sito, come accade nei consueti Referer. Secondo chi ha scoperto la vulnerabilità, questa è una «breccia nella privacy che Opera sembra aver aperto intenzionalmente».
Sniffing Opera’s Tracks. Anche in questo caso l’errore comporta un difetto di privacy. La console JavaScript di Opera contiene tutti gli errori di scripting generati dalle pagine visitate durante la navigazione. È possibile che alcuni documenti riescano a guadagnare l’accesso a questa lista e a tutti i siti visitati dagli utenti.
Il principale imputato è la console JavaScript di Opera che permette di accedere anche ad alcuni metodi del DOM del browser i quali a loro volta possono sfrugugliare nel vostro hard disk. Opera insomma non protegge a dovere “le barriere” che ogni software usato per navigare dovrebbe imporre fra la rete Internet e il computer dell’utente.
Il nuovo Opera 7 è un browser più completo del precedente. Il supporto al DOM 2 ne fa un browser che possa competere con le complessità di Explorer e Mozilla. La complessità ha aumentato però i rischi di sicurezza che nelle precedenti versioni non avevano quasi mai trovato posto.
La software house ha rilasciato in pochi giorni la versione sicura del programma. Al momento della divulgazione dei bud, i programmatori di Opera erano a conoscenza dei problemi e stavano già lavorando ad una nuova versione. La pubblicazione degli errori e dei codici utili alla loro sperimentazione li ha colti di sorpresa: di solito chi trova un errore di sicurezza in un programma prima di renderlo pubblico aspetta il momento della distribuzione della correzione da parte dei produttori.
Opera rimane un programma sicuro: da una veloce ricognizione su SecurityFocus (il sito di riferimento per la sicurezza telematica) Opera (22 vulnerabilità) risulta meno afflitto sia di Mozilla (24 vulnerabilità) sia di Explorer (144 vulnerabilità). Tuttavia questa caduta e il clamore con la quale è stata divulgata feriranno inevitabilmente la reputazione di un browser che a poco a poco ha conquistato la fiducia di una nutrita comunità a dispetto sia di Explorer, il browser di casa Microsoft, e Mozilla, il browser della comunità open source.