u/Aggressive-Writer404

Comportamento bizzarro pagina account Iliad

Sulla home di Iliad, https://www.iliad.it/ è presente un link alla propria area personale: https://www.iliad.it/account/. Quando si apre questo link da mobile, invece che aprire la pagina, vengono effettuati 3 reindirizzamenti tramite HTTP 302 per arrivare alla destinazione:

  1. https://www.iliad.it/account/

  2. http://www.iliad.it/account/

  3. http://www.iliad.it/account/?auth_mobile=1

  4. https://www.iliad.it/account/?auth_mobile=1

Per via di questo comportamento, se il browser è in modalità solo HTTPS (come dovrebbe essere), si riceve un avviso di sicurezza tentando di aprire la propria area personale per via del primo reindirizzamento a HTTP.

reddit.com
u/Aggressive-Writer404 — 4 days ago

PosteID esegue il fingerprinting del browser durante il login tramite SPID

Quando si accede a un sito tramite SPID di Poste, la pagina di login [1] include uno script [2] che raccoglie numerose caratteristiche sul browser e dispositivo:

  • User agent (ovviamente)
  • Browser (ovviamente)
  • Tipo di dispositivo
  • Tipo di CPU (32 o 64 bit)
  • Lista di plugin
  • Presenza o meno di Java
  • Posizione precisa
  • Profondità colore
  • Dimensioni schermo
  • Dimensione finestra del browser
  • Fuso orario
  • Lingua del browser, utente e sistema
  • Definizione schermo
  • Funzionamento cookie
  • Antialiasing dei font o meno

Notare che non tutte le caratteristiche sono necessariamente accessibili. In particolare non capisco in quale circostanza la posizione viene acquisita in quanto non viene fatto scattare il permesso.

Inoltre, lo script sembra cerchi di inferire le caratteristiche della rete del dispositivo quali presenza di NAT, VPN, proxy, inviando richieste verso una immagine inesistente ospitata su localhost e l'IP pubblico dell'utente e misurando il tempo che intercorre per la risposta.

Questo comportamento (ProxyCollector) è ciò che mi ha portato ad analizzare la pagina in quanto maldestramente gli sviluppatori non si sono accorti che da qualche mese le richieste verso localhost fanno comparire una richiesta di permesso nei browser Chromium-based.

L'identificativo estratto tramite lo script può essere utilizzato per tracciare l'utente cross-site. È possibile che in realtà questa raccolta dati avvenga all'interno di un meccanismo per rilevare frodi, ma non so se è una sufficiente base giuridica per farlo all'insaputa dell'utente.

[1] https://posteid.poste.it/jod-login-schema/login.jsp [2] https://posteid.poste.it/jod-login-schema/resources/portal/js-rsa/pbase-css.js

reddit.com
u/Aggressive-Writer404 — 1 month ago