Attenzione ai file .DS_Store

“The name stands for “Desktop Services Store” and the file contains meta information about a directory’s files and display options. On Mac-OS based operating systems the “Finder” will create those files automatically.”

Nel mondo Apple i file .DS_Store non sono certo una novità: sono i file in cui l’applicazione di sistema Finder memorizza le informazioni sui file presenti in quella directory. Questi file, la cui storia potete leggerla nell’articolo On the origins of .DS_Store, contiene informazioni preziose, ben descritte su CPAN nella documentazione del modulo Mac-Finder-DSStore:

The .DS_Store file holds a series of records giving attributes of the files in the directory or of the directory itself […] These records are stored in a B-tree, and the pages of the B-tree are stored in the file by a “buddy allocator” along with a small amount of metadata.

Come riporta un articolo di Internetwatche.org, questi file diventano un problema di sicurezza quando vengono inavvertitamente caricati, insieme agli altri file, nella piattaforma di hosting di un sito web. Diventano automaticamente file pubblici, scaricabili ed analizzabili da chiunque, rivelando potenzialmente la presenza di file “nascosti” o, comunque, di cui non si vuole dare conoscenza: scaricando questo file ed utilizzando un qualsiasi analizzatore, anche online, si ottiene l’elenco completo dei file presenti in quella directory:Diventano quindi evidenti le possibili implicazioni di sicurezza relative a tali file. E la necessità di adottare soluzioni per evitare di dare al malintenzionato strumenti di attacco. Ad esempio, tanto per citarne uno, a dicembre scorso sono stati scoperti tutta una serie di documenti tecnici riservati sulla piattaforma Twitter…

Come evitare questa vulnerabilità ?

Dal lato di sistema, su un server web Apache è possibile bloccare preliminarmente l’accesso a tali file inserendo la direttiva:

<Files ~ "\.DS_Store$">
Order allow,deny
Deny from all
</Files>

nella configurazione di ogni host. Dall’altro lato, tuttavia, è bene insegnare agli utenti abitudini virtuose sotto il profilo della sicurezza, limitando al minimo eventuali problemi e vulnerabilità: sono già presenti in svariati kb consigli su come rimuovere tali file periodicamente, ad esempio Remove .DS_Store files from Mac OS X.

Foto di copertina da /r/HistoryPorn

(Visitato in totale 128 volte, oggi 1 visite)

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.