Quando si parla di sicurezza informatica non ci sono dubbi che il fascino e l’interesse non siano da poco: Google stessa ha in effetti lanciato il Vulnerability Rewards Program, che è una specie di contest periodico dedicato a chi riesca a trovare falle nei servizi di Google, Youtube e Blogger. Sono considerate possibili vulnerabilità quelle che rientrano nelle seguenti categorie:
- Cross-site scripting (XSS), forse uno dei problemi più subdoli diffusi sui vari siti web, che deriva dalla mancanza di controlli sui campi dei form (ad esempio di ricerca o di iscrizione)
- Cross-site request forgery (CSRF) , che è una variante più complessa di XSS e si basa sulla “fiducia” che un software ripone, tipicamente, nella bontà di una richiesta, giocando sul fatto che la natura della stessa può essere facilmente nascosta o travisata.
- Mixed-content scripts, legato invece a casi di furto d’identità ;
- Authentication / authorization flaws, ovvero difetti e travisamenti sull’identità reale di un utente e sui suoi permessi;
- Server-side code execution bugs, ovvero errori sul codice sorgente del server (PHP ASP ecc.)
Gli esperti di sicurezza informatica sono quindi avvisati, perchè nel sito sono riportati anche i premi per chi riesca a scovare falle inedite.
Le casistiche sono complesse da analizzare e spesso anche solo da inquadrare, e sono davvero numerose: è bene quindi tenere conto di ciò che non è classificabile come rischio per la sicurezza. Esperti non ci si improvvisa, insomma, ed è per questo che alla lista precedente dobbiamo affiancarne una di rischi fake in termini di sicurezza, quantomeno nell’ottica del team di Google.
I punti pseudo-critici o relativamente contenuti sono, invece:
- accesso ad informazioni persistenti sulla cronologia mediante il tasto “indietro” dopo il logout (un rischio relativo, visto che quello di avere un keylogger installato sul proprio PC è molto più concreto);
- cookie persistenti dopo il logout;
- possibilità di associare indirizzi Gmail a nominativi reali;
- bug relativi a prodotti recentemente acquisiti da Google;
- l’idea che la vittima si autoinietti codice (auto-XSS), circostanza contro cui ci sarebbe davvero poco da fare, in effetti;
- clickjacking effettuato in circostanze poco realistiche, o troppo complicati da far credere.
Bisogna quindi stare attenti ad analizzare ogni caso, ed evitare di inviare segnalazioni relative a casi troppo ristretti o difficilmente riproducibili. La sfida è sempre aperta: il 2014 è stato un anno davvero terribile in termini di sicurezza informatica, e si spera che le cose possano migliorare rapidamente già nei prossimi mesi, anche grazie al contributo di numerosi esperti che troveranno problemi e, sperabilmente, li sveleranno.
👇 Da non perdere 👇
- 📈 Analizza Cellulari 📱
- 🔐 AI che dolor, Chat
- 🎯 Targetizza Database SQL 🗄
- 📊 Analizza Errori più comuni 📛
- 🚧 Costruisci Evergreen 📟
- 👩💻 Programma Gratis 🎉
- 💻 Configura Hosting a confronto 💑
- 🔒 Conosci Hosting reti e domini 💻
- 👩💻 Tapioca Informatica 🖥
- 💻 Iconizza Internet 💻
- 🔒 Gestisci Lavoro 🔧
- 💡 Mostra Marketing & SEO 🌪
- 🔑 Apprendi Meteo ⛅
- 🤯 Visiona Mondo Apple 🍎
- 🔍 Supervisiona Mondo Domini 🌐
- 🚀 Metti in cloud monitoraggio servizi online 📈
- 🔮 Anatomizza Nuove tecnologie 🖥
- 🔒 Antani PEC e firma digitale 📩
- 👀 Prematura Programmare 🖥
- 🎮 Lonfa Scrivere 🖋
- 🔒 Conosci Servizi di SMS 📶
- 👀 Guarda Sicurezza informatica e privacy digitale 🖥
- 🎮 Ricorda Siti web 🌎
- 🤖 Ottimizza Spiegoni 🎓
- 🧠 Neuralizza Svago 🎈
- 📡 Quantizza Usare Excel 🌀
- 🤖 Sovrascrivi Windows 😲
- 🎨 Personalizza Wireless 🚁
- 🔑 Decifra WordPress 🤵
- 💬 Il nostro canale Telegram: iscriviti
- 🟡 mod_pagespeed: cos’è e come attivarlo
- 🟠 mod_pagespeed: cos’è e come attivarlo
- 🟠 mod_pagespeed: cos’è e come attivarlo