La sicurezza delle applicazioni Web secondo l’Open Web Application Security Project

31 maggio 2006

Con la progressiva diffusione di architetture distribuite, aperte e flessibili, garantire la sicurezza e l’integrità dei sistemi informativi aziendali è divenuto un compito complesso; se da un lato le applicazioni web hanno portato evidenti benefici in termini di fruibilità per l’utente, dall’altro hanno sicuramente introdotto un nuovo elemento debole ai sistemi. Il requisito della sicurezza nelle applicazioni web rimane, ad oggi, uno dei principali problemi che affligge questa tecnologia; basta scorrere le security advisory pubblicate su, ad esempio, SecurityFocus per accorgersi della gravità del fenomeno.

Logo Owasp Sul totale delle vulnerabilità segnalate, una grossa percentuale è da attribuire a software sviluppati con tecnologie web. Dall’esigenza di contrastare le cause dei software insicuri su internet nasce OWASP (Open Web Application Security Project): un progetto open source con l’obiettivo primario di trovare e combattere le falle che affliggono le applicazioni web. Attraverso il lavoro svolto da centinaia di volontari sparsi in tutto il mondo si vuole studiare il fenomeno e produrre documentazione tecnica e software per cercare di risolvere il problema; anche l’Italia ha un capitolato nazionale e chiunque interessato è invitato a partecipare alle discussioni nella mailing list, oltre alle altre attività svolte dal gruppo locale.

L’importanza di avere un punto di discussione e confronto rispetto a questi temi è fondamentale per poter avere una visione oggettiva della situazione: errori di ingegnerizzazione del software, semplici sviste implementative oltre che una mancanza di consapevolezza sono fattori che devono essere considerati quando andiamo a pubblicare un’applicazione che è esposta a milioni di utenti.

È ormai opinione diffusa che le applicazioni web siano, per loro natura, soggette alla presenza di vulnerabilità: il contesto applicativo entro cui operano e le tecnologie utilizzate giocano a sfavore per garantire la confidenzialità e l’integrità dei dati.

L’ambiente di fruizione è intrinsecamente aperto alla comunicazione remota e spesso gli utenti vi accedono in maniera non autenticata; le informazioni trattate possono essere di rilevanza cruciale per il business aziendale (pensiamo alle classiche interfacce web per la gestione del database centrale); a questo aggiungiamo che il protocollo HTTP è stato sviluppato in un’epoca in cui Internet era molto diversa dal luogo che è oggi, in cui per esempio, il concetto di persistenza non esisteva. 

Se la gravità del fenomeno è ormai evidente, quello che non c’è ancora è una soluzione. Citando una frase del fondatore di OWASP, Mark Curphey: ­«Non esiste una bacchetta magica per la risoluzione dei problemi di sicurezza relativi alle applicazioni web. Quello che serve realmente è un ottimo team, molta esperienza, molto training e l’utilizzo di soluzioni allo stato dell’arte».

Consapevolezza, conoscenza e rispetto delle “best practices” sono gli unici elementi che ogni buon sviluppatore possiede per realizzare delle applicazioni sicure in un ambiente che è ben lontano dall’esserlo.

OWASP Top Ten, le dieci vulnerabilità più critiche.

Nella definizione di standard di sicurezza, OWASP propone una classifica (OWASP Top Ten) in cui vengono enumerate le vulnerabilità che affliggono i software su internet. In questo documento, in costante evoluzione, sono definiti in maniera ordinata le criticità delle applicazioni, fornendo un ottimo punto di partenza per la preparazione di checklist.

Se in un primo momento si pensa che sia l’ennesima pubblicazione di problematiche note da anni, ci si accorge ben presto di quanto sia indispensabile la definizione formale delle vulnerabilità; definire una lista comune di problematiche è il primo passo per discutere ed affrontare il problema a livello di comunità, come avviene per le questioni legate al networking con la lista SANS.

Iniziamo quindi la nostra panoramica sulle dieci vulnerabilità più critiche, partendo dal problema più diffuso ed in un certo senso più pericoloso.

Se vuoi aggiornamenti su La sicurezza delle applicazioni Web secondo l'Open Web Application Security Project inserisci la tua e-mail nel box qui sotto:
 
X
Se vuoi aggiornamenti su La sicurezza delle applicazioni Web secondo l'Open Web Application Security Project

inserisci la tua e-mail nel box qui sotto:

Ho letto e acconsento l'informativa sulla privacy

Acconsento al trattamento di cui al punto 3 dell'informativa sulla privacy