Procedura da intraprendere per identificare e proteggersi da siti Web ingannevoli e collegamenti ipertestuali pericolosi

Traduzione articoli Traduzione articoli
Identificativo articolo: 833786 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Quando si sceglie un collegamento ipertestuale in Microsoft Internet Explorer, Microsoft Outlook Express o Microsoft Outlook, l'indirizzo del sito Web viene in genere visualizzato nella barra di stato nella parte inferiore della finestra. Dopo aver fatto clic su un collegamento che si apre in Internet Explorer, l'indirizzo del sito Web viene in genere visualizzato nella barra degli indirizzi di Internet Explorer e il titolo della pagina Web nella barra del titolo della finestra.

Un utente malintenzionato potrebbe tuttavia creare un collegamento a un sito Web ingannevole in cui viene visualizzato l'indirizzo, o URL, di un sito Web legittimo nella barra di stato, nella barra degli indirizzi e nella barra del titolo. In questo articolo viene descritta la procedura da intraprendere per ridurre questo problema e per identificare un sito Web o un URL ingannevole.

Informazioni

In questo articolo viene illustrata la procedura da intraprendere per proteggersi da siti Web ingannevoli. In breve, tale procedura consiste nell'effettuare le operazioni seguenti:
  • Installare l'aggiornamento della protezione cumulativo MS04-004 per Internet Explorer (832894).
  • Accertarsi che sia presente un'icona a forma di lucchetto nell'angolo inferiore destro della barra di stato e verificare il nome del server che fornisce la pagina che si sta visualizzando prima di digitare informazioni personali o riservate.
  • Non fare clic su collegamenti ipertestuali non considerati attendibili. Digitarli manualmente nella barra degli indirizzi.

Installare l'aggiornamento della protezione cumulativo MS04-004 per Internet Explorer (832894)

Per ulteriori informazioni su questo aggiornamento della protezione, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/italy/technet/security/bulletin/ms04-004.mspx
In questo articolo viene inoltre descritta la procedura per identificare siti Web ingannevoli e collegamenti ipertestuali pericolosi.

Nota Non Ŕ necessario installare questo aggiornamento se nel computer Ŕ giÓ stato installato Microsoft Windows XP Service Pack 2, in quanto l'aggiornamento Ŕ incluso in questo service pack.

Operazioni consigliate per proteggersi da siti Web ingannevoli

Assicurarsi che il sito Web utilizzi Secure Sockets Layer/Transport Layer Security (SSL/TLS) e verificare il nome del server prima di digitare informazioni riservate.

SSL/TLS viene in genere utilizzato per proteggere le informazioni mediante crittografia durante il trasferimento su Internet. Consente inoltre di verificare che i dati vengano inviati al server corretto. Il controllo del nome sul certificato digitale per SSL/TLS consente di verificare il nome del server che fornisce la pagina che si sta visualizzando. A tale scopo, controllare che nell'angolo inferiore destro della finestra di Internet Explorer sia visualizzata l'icona a forma di lucchetto.

Nota Se la barra di stato non Ŕ attivata, il lucchetto non verrÓ visualizzato. Per attivare la barra di stato, scegliere Barra di stato dal menu Visualizza.

Per verificare il nome del server visualizzato nel certificato digitale, fare doppio clic sull'icona a forma di lucchetto, quindi controllare il nome visualizzato accanto a Rilasciato a. Se il sito Web non utilizza SSL/TLS, evitare di inviare informazioni personali o riservate. Se il nome visualizzato accanto a Rilasciato a Ŕ diverso dal nome del sito che si riteneva fornisse la pagina visualizzata, chiudere il browser per uscire dal sito. Per ulteriori informazioni su come effettuare questa operazione, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/italy/security/articles/spoof.mspx

Operazioni consigliate per proteggersi da collegamenti ipertestuali pericolosi

L'operazione pi¨ efficace per proteggersi da collegamenti ipertestuali pericolosi consiste nel non fare clic su di essi. ╚ invece consigliabile digitare manualmente l'URL del sito desiderato nella barra degli indirizzi. In tal modo, Ŕ infatti possibile verificare le informazioni utilizzate da Internet Explorer per accedere al sito Web di destinazione. A tale scopo, digitare l'URL nella barra degli indirizzi, quindi premere INVIO.

Nota La barra degli indirizzi non viene visualizzata se non Ŕ attivata. Per attivare la barra degli indirizzi, scegliere Barre degli strumenti dal menu Visualizza, quindi Barra degli indirizzi.

Operazioni consigliate per identificare siti ingannevoli quando il sito Web non utilizza SSL/TLS

L'operazione pi¨ efficace per verificare il nome del sito che fornisce la pagina che si sta visualizzando consiste nel verificare il nome su un certificato digitale utilizzando SSL/TLS. Se tuttavia il sito non utilizza SSL/TLS, non Ŕ possibile verificare in maniera decisiva il nome del sito che fornisce la pagina che si sta visualizzando. Esistono comunque alcune operazioni che Ŕ possibile eseguire e che, in alcuni casi, consentono di identificare i siti ingannevoli.

Attenzione Di seguito vengono fornite indicazioni di carattere generale basate sugli attacchi pi¨ noti. PoichÚ le modalitÓ di attacco variano costantemente, utenti malintenzionati potrebbero creare siti Web ingannevoli utilizzando mezzi diversi da quelli descritti in questo articolo. Per proteggersi da tali attacchi, digitare informazioni personali o riservate su un sito Web solo se il nome Ŕ stato verificato sul certificato digitale. Se inoltre si hanno motivi per sospettare dell'autenticitÓ di un sito, uscire dal sito chiudendo immediatamente la finestra del browser. In genere il modo pi¨ rapido per chiudere la finestra del browser consiste nel premere ALT+F4.

Provare a identificare l'URL della pagina Web corrente

Per provare a identificare l'URL del sito Web corrente, utilizzare i seguenti metodi.

Utilizzare comandi JScript per tentare di identificare l'URL effettivo del sito Web corrente

Utilizzare un comando JScript in Internet Explorer. Nella barra degli indirizzi digitare il seguente comando e premere INVIO:
javascript:alert("Indirizzo URL effettivo: " + location.protocol + "//" + location.hostname + "/");
Attenzione Prestare attenzione quando si digita uno script direttamente nella barra degli indirizzi. Uno script digitato direttamente nella barra degli indirizzi pu˛ eseguire nel sistema locale le stesse azioni dell'utente attualmente connesso.

Nella finestra del messaggio JScript verrÓ visualizzato l'effettivo indirizzo Web URL del sito Web visitato.

╚ anche possibile copiare il seguente codice JScript e incollarlo nella barra degli indirizzi per una descrizione pi¨ dettagliata dell'URL del sito Web:
javascript:alert("L'URL effettivo Ŕ:\t\t" + location.protocol + "//" + location.hostname + "/" + "\nL'URL dell'indirizzo Ŕ:\t\t" + location.href + "\n" + "\nSe i nomi dei server non corrispondono, potrebbe trattarsi di un sito ingannevole.");
Confrontare l'URL effettivo con l'URL nella barra degli indirizzi. Se non corrispondono, il sito Web non Ŕ quello reale. In tal caso, si consiglia di chiudere Internet Explorer.

Utilizzare il riquadro Cronologia di Internet Explorer per tentare di identificare l'URL effettivo del sito Web corrente

Negli scenari verificati da Microsoft Ŕ anche possibile utilizzare la barra di Explorer Cronologia in Internet Explorer per identificare l'URL di una pagina Web. Scegliere Barra di Explorer dal menu Visualizza, quindi Cronologia. Confrontare l'URL nella barra degli indirizzi con l'URL visualizzato nella barra Cronologia. Se non corrispondono, il sito Web non Ŕ quello reale e si consiglia di chiudere Internet Explorer.
Incollare l'URL nella barra degli indirizzi di una nuova istanza di Internet Explorer

╚ possibile incollare l'URL nella barra degli indirizzi di una nuova istanza di Internet Explorer. In tal modo, Ŕ possibile verificare le informazioni utilizzate da Internet Explorer per accedere al sito Web di destinazione. Negli scenari verificati da Microsoft Ŕ possibile copiare l'URL visualizzato nella barra degli indirizzi e incollarlo nella barra degli indirizzi di una nuova sessione di Internet Explorer per verificare le informazioni effettivamente utilizzate per accedere al sito Web di destinazione. Questo processo Ŕ analogo alla procedura illustrata nella sezione "Operazioni consigliate per proteggersi da siti Web ingannevoli" all'inizio di questo articolo.

Attenzione Se si esegue questa operazione in alcuni siti, ad esempio quelli di e-commerce, la sessione corrente potrebbe andare perduta. Ad esempio il contenuto di un carrello della spesa virtuale potrebbe andare perduto e potrebbe essere necessario riempirlo nuovamente.

Per incollare l'URL nella barra degli indirizzi di una nuova istanza di Internet Explorer, attenersi alla seguente procedura:
  1. Selezionare il testo nella barra degli indirizzi, fare clic sul testo con il pulsante destro del mouse, quindi scegliere Copia.
  2. Chiudere Internet Explorer.
  3. Avviare Internet Explorer.
  4. Fare clic nella barra degli indirizzi, fare clic con il pulsante destro del mouse, quindi scegliere Incolla.
  5. Premere INVIO.
Operazioni consigliate per identificare collegamenti ipertestuali pericolosi
L'unico modo per verificare le informazioni utilizzate da Internet Explorer per accedere al sito Web di destinazione consiste nel digitare manualmente l'URL nella barra degli indirizzi. Esistono comunque alcune operazioni che Ŕ possibile eseguire e che, in alcuni casi, consentono di identificare un collegamento ipertestuale pericoloso.

Attenzione Di seguito vengono fornite indicazioni di carattere generale basate sugli attacchi pi¨ noti. PoichÚ le modalitÓ di attacco variano costantemente, utenti malintenzionati potrebbero creare siti Web ingannevoli utilizzando mezzi diversi da quelli descritti in questo articolo. Per proteggersi da tali attacchi, digitare informazioni personali o riservate su un sito Web solo se il nome Ŕ stato verificato sul certificato digitale. Se inoltre si hanno motivi per sospettare dell'autenticitÓ di un sito, uscire dal sito chiudendo immediatamente la finestra del browser. In genere il modo pi¨ rapido per chiudere la finestra del browser consiste nel premere ALT+F4.

Provare a identificare l'URL utilizzato da un collegamento ipertestuale

Per provare a identificare l'URL utilizzato da un collegamento ipertestuale, attenersi alla seguente procedura:
  1. Fare clic con il pulsante destro del mouse sul collegamento, quindi scegliere Copia collegamento.
  2. Fare clic sul pulsante Start, quindi scegliere Esegui.
  3. Digitare notepad, quindi scegliere OK.
  4. Scegliere Incolla dal menu Modifica nel Blocco note.
In questo modo sarÓ possibile visualizzare l'URL completo di qualsiasi collegamento ipertestuale ed esaminare l'indirizzo che verrÓ utilizzato in Internet Explorer. Di seguito sono indicati alcuni caratteri che possono trovarsi nell'URL di un sito Web ingannevole:
  • %00
  • %01
  • @
Ad esempio, un URL del seguente modulo aprirÓ http://example.com, ma l'URL nella barra degli indirizzi o nella barra di stato in Internet Explorer pu˛ essere visualizzato come http://www.wingtiptoys.com:
http://www.wingtiptoys.com%01@example.com
Altre operazioni consigliate
BenchÚ queste operazioni non consentano di identificare un sito Web o un URL ingannevole, contribuiscono a limitare i danni arrecati da un attacco causato da un sito Web ingannevole o un collegamento ipertestuale pericoloso. Consentono inoltre di limitare la possibilitÓ che i messaggi di posta elettronica e i siti Web nell'area Internet eseguano script, controlli ActiveX e altro contenuto potenzialmente dannoso.
  • Utilizzare le aree di contenuto Web per impedire ai siti Web che si trovano nell'area Internet di eseguire script, controlli ActiveX o altro contenuto dannoso nel computer. Impostare innanzitutto il livello di protezione dell'area Internet su Alta in Internet Explorer. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Scegliere Opzioni Internet dal menu Strumenti.
    2. Scegliere la scheda Protezione, selezionare Internet, quindi scegliere Livello predefinito.
    3. Spostare il dispositivo di scorrimento su Alta, quindi scegliere OK.
    Successivamente, aggiungere gli URL dei siti Web attendibili all'area Siti attendibili. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Scegliere Opzioni Internet dal menu Strumenti.
    2. Fare clic sulla scheda Protezione.
    3. Fare clic su Siti attendibili.
    4. Scegliere Siti.
    5. Se i siti che si desidera aggiungere non necessitano della verifica server, deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti dell'area.
    6. Digitare l'indirizzo del sito Web da aggiungere all'elenco Siti attendibili.
    7. Scegliere Aggiungi.
    8. Ripetere i passaggi 6 e 7 per ciascun sito Web che si desidera aggiungere.
    9. Scegliere OK due volte.
  • Leggere i messaggi di posta elettronica in formato testo normale.

    Per Outlook 2002 e Outlook 2003:

    307594 OL2002: Gli utenti visualizzano la posta elettronica non protetta come testo normale
    831607 Visualizzazione di tutti i messaggi di posta elettronica come testo normale in Outlook 2003


    Per Outlook Express 6:
    291387 OLEXP: Utilizzo delle funzionalitÓ di protezione antivirus in Outlook Express 6
    Se si leggono i messaggi di posta elettronica in formato testo normale, sarÓ possibile visualizzare l'URL completo di qualsiasi collegamento ipertestuale ed esaminare l'indirizzo che verrÓ utilizzato in Internet Explorer. Di seguito sono indicati alcuni caratteri che possono trovarsi nell'URL di un sito Web ingannevole:
    • %00
    • %01
    • @
  • Ad esempio, un URL del seguente modulo aprirÓ http://example.com, ma l'URL nella barra degli indirizzi di Internet Explorer pu˛ essere visualizzato come http://www.wingtiptoys.com:
    http://www.wingtiptoys.com%01@example.com

Riferimenti

Per ulteriori informazioni sugli URL (Uniform Resource Locator), visitare il seguente sito Web World Wide Web Consortium (informazioni in lingua inglese):
http://www.w3.org/Addressing/URL/url-spec.txt
Microsoft fornisce informazioni su come contattare altri produttori allo scopo di facilitare l'individuazione del supporto tecnico. Queste informazioni sono soggette a modifica senza preavviso. Microsoft non si assume alcuna responsabilitÓ sull'accuratezza delle informazioni relative al contatto con altri produttori.

ProprietÓ

Identificativo articolo: 833786 - Ultima modifica: lunedý 11 febbraio 2008 - Revisione: 12.1
Le informazioni in questo articolo si applicano a:
  • Microsoft Internet Explorer 5.5áalle seguenti piattaforme
    • Microsoft Windows 2000 Service Pack 2
    • Microsoft Windows 2000 Service Pack 3
    • il sistema operativo: Microsoft Windows 2000 SP4
    • Microsoft Windows NT 4.0 Service Pack 6a
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 98 Second Edition
  • Microsoft Internet Explorer 5.01 SP4áalle seguenti piattaforme
    • il sistema operativo: Microsoft Windows 2000 SP4
  • Microsoft Internet Explorer 5.01 Service Pack 3áalle seguenti piattaforme
    • Microsoft Windows 2000 Service Pack 3
  • Microsoft Internet Explorer 5.01 Service Pack 2áalle seguenti piattaforme
    • Microsoft Windows 2000 Service Pack 2
  • Microsoft Internet Explorer 6.0áalle seguenti piattaforme
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
    • Microsoft Windows XP Media Center Edition
    • Microsoft Windows XP Tablet PC Edition
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Internet Explorer 6.0 Service Pack 1áalle seguenti piattaforme
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
    • Microsoft Windows XP Media Center Edition
    • Microsoft Windows XP Tablet PC Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
    • Microsoft Windows NT Server 4.0 Standard Edition
    • Microsoft Windows NT Server 4.0, Terminal Server Edition
    • Microsoft Windows NT Workstation 4.0 Developer Edition
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 98 Second Edition
Chiavi:á
kbsecvulnerability kbsecurity kbsechack kbsecbulletin kbinfo kburgent KB833786
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com