Quando si parla di sicurezza informatica non ci sono dubbi che il fascino e l’interesse non siano da poco: Google stessa ha in effetti lanciato il Vulnerability Rewards Program, che è una specie di contest periodico dedicato a chi riesca a trovare falle nei servizi di Google, Youtube e Blogger. Sono considerate possibili vulnerabilità quelle che rientrano nelle seguenti categorie:
- Cross-site scripting (XSS), forse uno dei problemi più subdoli diffusi sui vari siti web, che deriva dalla mancanza di controlli sui campi dei form (ad esempio di ricerca o di iscrizione)
- Cross-site request forgery (CSRF) , che è una variante più complessa di XSS e si basa sulla “fiducia” che un software ripone, tipicamente, nella bontà di una richiesta, giocando sul fatto che la natura della stessa può essere facilmente nascosta o travisata.
- Mixed-content scripts, legato invece a casi di furto d’identità ;
- Authentication / authorization flaws, ovvero difetti e travisamenti sull’identità reale di un utente e sui suoi permessi;
- Server-side code execution bugs, ovvero errori sul codice sorgente del server (PHP ASP ecc.)
Gli esperti di sicurezza informatica sono quindi avvisati, perchè nel sito sono riportati anche i premi per chi riesca a scovare falle inedite.
Le casistiche sono complesse da analizzare e spesso anche solo da inquadrare, e sono davvero numerose: è bene quindi tenere conto di ciò che non è classificabile come rischio per la sicurezza. Esperti non ci si improvvisa, insomma, ed è per questo che alla lista precedente dobbiamo affiancarne una di rischi fake in termini di sicurezza, quantomeno nell’ottica del team di Google.
I punti pseudo-critici o relativamente contenuti sono, invece:
- accesso ad informazioni persistenti sulla cronologia mediante il tasto “indietro” dopo il logout (un rischio relativo, visto che quello di avere un keylogger installato sul proprio PC è molto più concreto);
- cookie persistenti dopo il logout;
- possibilità di associare indirizzi Gmail a nominativi reali;
- bug relativi a prodotti recentemente acquisiti da Google;
- l’idea che la vittima si autoinietti codice (auto-XSS), circostanza contro cui ci sarebbe davvero poco da fare, in effetti;
- clickjacking effettuato in circostanze poco realistiche, o troppo complicati da far credere.
Bisogna quindi stare attenti ad analizzare ogni caso, ed evitare di inviare segnalazioni relative a casi troppo ristretti o difficilmente riproducibili. La sfida è sempre aperta: il 2014 è stato un anno davvero terribile in termini di sicurezza informatica, e si spera che le cose possano migliorare rapidamente già nei prossimi mesi, anche grazie al contributo di numerosi esperti che troveranno problemi e, sperabilmente, li sveleranno.
Usa il codice
189ed7ca010140fc2065b06e3802bcd5
per ricevere 5 € dopo l'iscrizione
👇 Contenuti da non perdere 👇
- Domini Internet 🌍
- Internet 💻
- Lavoro 🔧
- Programmare 🖥
- Scrivere 🖋
- WordPress 🤵
- 💬 Il nostro canale Telegram: iscriviti
- 🟡 Domini .am: come e dove registrarne uno
- 🔴 Come ottimizzare WordPress per il mobile
- 🟢 Come faccio a cancellare un messaggio da Instagram