Se usi Chrome, dopo gli ultimi aggiornamenti potrebbe capitarti di incorrere nel seguente “avvertimento” che non ti permette di proseguire nella navigazione della pagina web in cui ti trovi.
 
Errore Chrome
 

Chrome ha rilevato un codice insolito su questa pagina e l'ha bloccata per proteggere le tue informazioni personali (ad esempio password, numeri di telefono e carte di credito).

Questo messaggio del browser è dovuto a un protezione di sicurezza presente negli ultimi aggiornamenti di Chrome, che ha lo scopo di impedire il furto di dati durante una sessione Internet.

In questo articolo ti racconto il dettaglio tecnico di questa protezione e come risolvere.


Cross Site Scripting

La funzione di Chrome detta Xss auditor è pensata per migliorare la sicurezza della navigazione ed è presente per proteggere dal cross site scripting.
Il cross site scripting è una tecnica abbastanza diffusa che sfrutta vulnerabilità presenti nei browser o nei plugin degli stessi, in modo da poter eseguire codice malevolo durante le sessioni di navigazione tra il tuo PC e il sito su cui stai navigando.

La conseguenza è che l’attaccante ha accesso a tutte le informazioni contenute nella sessione di navigazione Internet come le login, le password, i dati della tua carta di credito ecc.


Difese dal cross scripting

Per abbassare la probabilità che il tuo browser o il tuo plugin siano colpiti da questa vulnerabilità, devi necessariamente aggiornare continuamente Chrome o Safari e i suoi plugin.
Aggiornarli in modo manuale non è una buona tecnica, perché:
  • impieghi tempo prezioso per fare qualcosa di semplice;
  • aumenti la possibilità di commettere errori o dimenticanze.
Farlo in maniera automatica è la soluzione più efficace in questo senso.
Esistono diversi software, detti RMM (Remote Monitoring & Management), in grado di permetterti una gestione automatica di questi aggiornamenti.


Soluzione

Se sei arrivato fin qui forse ti starai chiedendo "ma se è una protezione di sicurezza del browser perché devo evitarla?"
La domanda è legittima: se incappi in un errore del genere il mio primo consiglio è chiudere la sessione su cui stavi navigando, proprio perché il messaggio è un avvertimento del browser di una possibile intrusione.

Può succedere però (ed è il caso accaduto a me) che tu sia ragionevolmente certo che il sito su cui stai navigando sia sicuro, perché, ad esempio, lo gestisci direttamente tu, o ne fai manutenzione o semplicemente è quello della azienda per cui lavori.

In questo caso la soluzione è:
  • capire su quali pagine avviene l’errore;
  • capire quali script generano il blocco di sicurezza.
Da qui hai 2 possibilità, una più immediata, una più dispendiosa in termini di tempo, ma anche più sicura.
  • Approccio veloce:  puoi disabilitare il controllo di Chrome modificando il codice della pagina che crea il problema. Ecco il dettaglio tecnico su come farlo.
  • Approccio più sicuro: hai scoperto quali script generano l’errore, ora devi capire perché questi script sono visti come potenzialmente dannosi agli occhi di Chrome e sistemarli in modo tale che l’Auditor oggetto di questo post non li rilevi più come dannosi. Buon lavoro!
Se vuoi approfondire il concetto, qui trovi le informazioni base, mentre se fai sviluppo e scrivi del codice probabilmente ti interessa di più questo articolo.


Condividi sui Social Network