Per quanto ho potuto vedere, sperimentando sulla mia "pelle" l'attacco descritto in
http://www.derkeiler.com/Mailing-Lists/securityfocus/bugtraq/2008-01/msg00087.html, esso funziona bene con Firefox: infatti, crea un nuovo utente con poteri di amministratore su Joomla. IE 7 avvisa che "Per ragioni di sicurezza del computer, e' necessario aprire siti appartenenti ad aree di protezione diverse in finestre diverse". Cio' fa si' che si apra una nuova finestra di IE7 (non un tab), e cio' impedisce di agire come admin su Joomla. In altre parole, l'attacco fallisce.
L'attacco riesce con Firefox, anche se la pagina e' protetta con htaccess, poiche' e' sufficiente che un amministratore sia loggato.
Se l'attacco CSRF riesce, non e' colpa di Firefox. Un po' tutte le web application sono colpite dal CSRF.
Perche' abbia successo, tuttavia, richiedono una serie di coincidenze, che sono possibili, certo, ma con bassa probabilita'. In pratica, perche' il tutto funzioni, deve succede che:
1) l'amministratore sia loggato in Joomla
2) deve contemporaneamente navigare in siti con il codice dell'attacco
3) deve usare Firefox o IE < 7.0 (se qualcuno riesce anche con 7.0 me lo comunichi, anche in priv.)
4) deve aprire le due pagine (quella di amministrazione di Joomla e quella con il codice malevolo) in due tab nella stessa finestra.
La soluzione descritta in
http://blog.phil-taylor.com/2008/01/05/using-prisim-to-administrate-joomla-safer/ (Progetto Prism) sembra essere un ottimo palliativo.
Ciao a tutti.
RR
