ATTENZIONE: I cookies del tuo browser risultano disattivati o stai navigando in modalità anonima. Ciò potrebbe limitare alcune funzionalità del sito.
International Traders - L'altro volto dell'e-commerce
Giovedì 28 Marzo 2024
Focus

Contatori e statistiche: quando la curiosità può danneggiare un sito web.

Lunedì 07 Gennaio 2008
autore: Redazione InterTraders
Negli ultimi anni, complici la Rete e la diffusione di scripts precompilati, è diventato difficile trovare un sito web privo di un contatore di visite o di un rilevatore di statistiche; si pensi a Google Analytics e ShinyStat, divenuti un punto riferimento per moltissimi webmaster desiderosi di acquisire più informazioni possibili su chi visita il proprio sito.

Come molti lettori che hanno un sito web sapranno, quando un visitatore entra in un portale, il contatore o il software dedicato alle statistiche raccolgono tra i vari dati anche quello relativo al sito web di provenienza dell'utente (tramite un "parametro", 'HTTP_REFERER', inviato dal browser al server del sito web). Salvo che un software o le impostazioni di navigazione dell'utente non lo escludano, è possibile, quindi, capire da quale sito web o motore di ricerca proviene l'utente.

I pannelli di amministrazione dei vari software che conteggiano le visite, nell'elencare i vari URL di provenienza dei visitatori offrono spesso anche la possibilità di cliccarci sopra (v. immagine a seguire tratta da Histats in cui i vari "Referer" sono collegamenti ipertestuali colorati di blu ):

contatori 01

un'opzione che, se da un lato appare utile per il webmaster o il titolare del sito visitato al fine di meglio comprendere in che modo e da chi è stato linkato il proprio sito in Rete, dall'altro li espone ad un rischio non sottovalutabile e di cui noi di intertraders ci siamo resi conto di recente.

Qualora, infatti, un ignaro webmaster decidesse di "cliccare" su uno degli indirizzi/referer elencati nel pannello visualizzerebbe sì il sito web di provenienza del visitatore, ma trasmetterebbe al contempo al webmaster di quest'ultimo -mediante sempre HTTP_REFERER- il proprio indirizzo di provenienza, indirizzo che, paradossale ma reale, è quello del pannello di amministrazione del software di statistiche!

Sulla base di quanto appena visto un webmaster che "scopre" il link al pannello di amministrazione del contatore di un altro sito può visitarsi e studiarsi -ad insaputa di chi lo gestisce- attentamente i dati e le statistiche di quest'ultimo bypassando in molti casi persino l'autenticazione di accesso basata su username e password.

Abbiamo individuato questa vulnerabilità in diversi prodotti in circolazione, e in alcuni casi, proprio a seguito di URL rinvenuti tra le righe del contatore di intertraders.eu, siamo riusciti a visionare pannelli di amministrazione di alcuni siti Internet più o meno noti.

In almeno due casi, tuttavia, si è trattato di siti di e-commerce famosi, che non riveliamo, ma di cui abbiamo linkato in passato l'indirizzo nelle nostre news. Evidentemente gli incauti webmasters hanno commesso l'errore di cui sopra, trasmettendo il percorso completo del loro pannello di amministrazione, oltre che a noi, a una mole indefinita di altri siti web... (nell'immagine a seguire è riportato il pannello di amministrazione di uno di questi siti da noi individuato e visitato ad insaputa del webmaster; per tutelarne l'anonimato i dati riportati nella schermata ed i vari URL che puntano al portale sono stati volutamente da noi oscurati):

contatori 02

Ma come è possibile tutto ciò?

Il motivo alla base della falla (in alcuni casi è più opportuno parlare di leggerezza) risiede nell'indirizzo Internet del pannello stesso che il più delle volte contiene il SID o una serie di variabili passate in GET, spesso gestiti, filtrati e configurati in maniera non ottimale da chi ha realizzato il contatore o il software di statistiche; valori che, se resi noti inconsapevolmente ad estranei (è il caso appena visto di referer trasmesso senza volerlo), permettono a chiunque di accedere alle statistiche del sito bacato (v.immagine a seguire in cui tra i link di provenienza dei visitatori vi è l'indirizzo del pannello di amministrazione del contatore di un altro sito).

contatori 03

Sulla base di quanto abbiamo avuto modo di appurare, uno dei pochi software di rilevazione delle statistiche che sfuggirebbe al bug in oggetto sarebbe Google Analitycs. La presenza del bug, diversamente, sarebbe attualmente presente in Histats, RiteCounter, Advanced Web Statistics 6 e ASP Stats Generator; pochi nomi certo, ma i soli che fino ad ora abbiamo casualmente individuato dal pannello dei nostri contatori di visite.

Quanto visto, pertanto, se può rappresentare una vulnerabilità non grave per chi rende le proprie statistiche accessibili al pubblico, è, diversamente, una vera e propria spada di Damocle per chi ha un'attività commerciale o di un certo rilievo e vuole mantenere riserbo sul numero di visitatori giornalieri.
Si pensi ad es. ad un sito di e-commerce: in questo caso il danno sarebbe elevato qualora l'indirizzo del pannello finisse nelle mani sbagliate e la directory ove questo è installato non fosse protetta (soluzione quest'ultima comunque non percorribile con contatori che risiedono su server esterni come Histats e RiteCounter); eventuali concorrenti potrebbero monitorare l'attività del sito, capire quali pagine di prodotti sono più visitate di altre e farne tesoro per la propria attività. Anche un cracker potrebbe acquisire informazioni più dettagliate sulla struttura stessa del sito e della macchina su cui è ospitato senza contare, come abbiamo constatato in alcuni casi, la possibilità di modificare o cancellare le impostazioni dello stesso contatore!

L'unico consiglio che desideriamo fornire a chi ha incautamente commesso la leggerezza di cui sopra, ossia aver erroneamente "cliccato" su un indirizzo esterno dal pannello di amministrazione del contatore installato sul proprio sito, è di proteggerne l'accesso alla directory o, nel caso di contatori esterni, resettarne il relativo account ed aprirne uno nuovo, facendo più attenzione in futuro.

Redazione InterTraders


Hai bisogno di assistenza legale specifica su questa tematica o su argomenti simili legati a Internet?

Se sì, ti invitiamo a consultare le seguenti sezioni direttamente sul sito dello Studio Legale Massa:

In alternativa, puoi contattare direttamente lo Studio ai recapiti indicati nell'apposita sezione "CONTATTACI" (l'assistenza prestata non è gratuita).


Segnala
Stampa
Scroll Up
Home
Inserisci un commento...
Commento:
Scegli il tuo avatar:


Nome:
Indirizzo e-mail: (non obbligatorio)
(Digita il tuo indirizzo e-mail solo se desideri ricevere notifiche sugli altri commenti a questo approfondimento. E' sufficiente digitare l'indirizzo una sola volta. Con il suo inserimento dichiari di aver letto l'informativa a seguire e di aver espresso il tuo consenso.)
DAMMI UNA NUOVA IDENTITA'
Codice di verifica antispam:
*cdae

Riscrivi nel box sovrastante la parola in rosso che vedi alla sua sinistra, sostituendo l'asterisco * con la lettera b - (Per es. se la parola è ab*dh digita abbdh)

InterTraders CommentSys v.2.0
| Ultimi commenti |
Valentina in Escrow truffaldini, come riconoscerli ed evitarli....
"Ragazzi anche io ho avuto a che fare con il presunto chirurgo, con me era una donna, Manuela Garcia, chirurgo a Granada con la famigliola felice al seguito..."

sara in Escrow truffaldini, come riconoscerli ed evitarli....
"manuela1966garcia@gmail.com questa è la nuova email di questo fantomatico chirurgo ma sta volta è una donna e si..."

Ciro in Il corriere non consegna la merce: chi ci deve risarcire?...
"salve, ho utilizzato piu volte il servizio di spedizioni "spedirecomodo.it" mi sono sempre trovato bene, fino a quando mi e successa una cosa inu..."

Marta in La truffa dei cuccioli sbarca nel Bel Paese, le puppy scams anche in I...
"NON ABBIATE A CHE FARE CON martinakurts33@gmail.com E l agenzia con il quale vi mette in contatto. Purtroppo ha molti annunci online e non saprei come den..."
Le più lette
InterTraders è un sito curato dallo Studio Legale Massa © 2007-2024 All Rights Reserved
InterTraders Core v6.0 - Link Informativa estesa sui cookies