Anche la falla di tipo cross-site scripting che esponeva il sito di PayPal all'azione di malintenzionati è stata sanata. Lo ha annunciato l'azienda: "La funzionalità che apriva la vulnerabilità è stata immediatamente disattivata. Nel frattempo sono in corso aggiornamenti per correggere l'inconveniente e renderla nuovamente disponibile".

Per chi non lo sapesse, l'attacco cross-site scripting o XSS è un grosso problema che colpisce siti web dinamici e non e può essere portato a termine in un qualsiasi sito si presenti l'utilizzo di Javascript, VBScript, ActiveX, HTML e Flash.

Esso quindi è effettuabile quando un sito web prende in input dei dati sui quali effettua delle operazioni. Queste informazioni vengono inviate al sito solitamente tramite url. Questi dati, in siti non protetti, vengono visualizzati così come sono stati inseriti dagli utenti.

Potenzialmente la vittima dell’attacco quindi non è soltanto il sito, ma anche l’utente, proprio perché occorre un semplice link che porta ad una pagina di un sito non protetta per creare danni. Cliccando infatti incautamente su uno di questi link che si può trovare su un sito web o una mail , si può cadere vittima di questo attacco il cui fine è solitamente quello di raccogliere dati degli utenti , leggere i cookie, dirottare l’utente su un altro sito o visualizzare falsa pubblicità.

Per fortuna di tutti gli utenti PayPal non si è verificato alcun tentativo di attacco: nessun truffatore si è sostituito al sito in questione per raccogliere dati dei netizen.

Il problema relativo alla notifica immediata del pagamento (IPN) che ha afflitto nei giorni scorsi numerosi utenti di PayPal era invece già stato risolto: l'aggiornamento del sito e alcune della modifiche apportate al sistema IPN sono stati responsabili dei messaggi di errore ricevuti dagli utenti che andavano a verificare che una transazione verso il proprio conto fosse andata a buon fine.

---