Quando si parla di sicurezza informatica non ci sono dubbi che il fascino e l’interesse non siano da poco: Google stessa ha in effetti lanciato il Vulnerability Rewards Program, che è una specie di contest periodico dedicato a chi riesca a trovare falle nei servizi di Google, Youtube e Blogger. Sono considerate possibili vulnerabilità quelle che rientrano nelle seguenti categorie:
- Cross-site scripting (XSS), forse uno dei problemi più subdoli diffusi sui vari siti web, che deriva dalla mancanza di controlli sui campi dei form (ad esempio di ricerca o di iscrizione)
- Cross-site request forgery (CSRF) , che è una variante più complessa di XSS e si basa sulla “fiducia” che un software ripone, tipicamente, nella bontà di una richiesta, giocando sul fatto che la natura della stessa può essere facilmente nascosta o travisata.
- Mixed-content scripts, legato invece a casi di furto d’identità ;
- Authentication / authorization flaws, ovvero difetti e travisamenti sull’identità reale di un utente e sui suoi permessi;
- Server-side code execution bugs, ovvero errori sul codice sorgente del server (PHP ASP ecc.)
Gli esperti di sicurezza informatica sono quindi avvisati, perchè nel sito sono riportati anche i premi per chi riesca a scovare falle inedite.
Le casistiche sono complesse da analizzare e spesso anche solo da inquadrare, e sono davvero numerose: è bene quindi tenere conto di ciò che non è classificabile come rischio per la sicurezza. Esperti non ci si improvvisa, insomma, ed è per questo che alla lista precedente dobbiamo affiancarne una di rischi fake in termini di sicurezza, quantomeno nell’ottica del team di Google.
I punti pseudo-critici o relativamente contenuti sono, invece:
- accesso ad informazioni persistenti sulla cronologia mediante il tasto “indietro” dopo il logout (un rischio relativo, visto che quello di avere un keylogger installato sul proprio PC è molto più concreto);
- cookie persistenti dopo il logout;
- possibilità di associare indirizzi Gmail a nominativi reali;
- bug relativi a prodotti recentemente acquisiti da Google;
- l’idea che la vittima si autoinietti codice (auto-XSS), circostanza contro cui ci sarebbe davvero poco da fare, in effetti;
- clickjacking effettuato in circostanze poco realistiche, o troppo complicati da far credere.
Bisogna quindi stare attenti ad analizzare ogni caso, ed evitare di inviare segnalazioni relative a casi troppo ristretti o difficilmente riproducibili. La sfida è sempre aperta: il 2014 è stato un anno davvero terribile in termini di sicurezza informatica, e si spera che le cose possano migliorare rapidamente già nei prossimi mesi, anche grazie al contributo di numerosi esperti che troveranno problemi e, sperabilmente, li sveleranno.
👇 Contenuti da non perdere 👇
- Cellulari 📱
- Domini Internet 🌍
- Marketing & SEO 🌪
- Mondo Apple 🍎
- Programmare 🖥
- Scrivere 🖋
- 💬 Il nostro canale Telegram: iscriviti
- 🟡 Domini .am: come e dove registrarne uno
- 🔵 Come giocare gratis a scacchi (senza inutile pubblicità)
- 🟠 Cos’è un PLC (Controllore Logico Programmabile)