Ajax insicuro: non proprio...

Con un po' di ritardo segnaliamo un articolo che offre un altro punto di vista sul dilemma che più appassiona gli esperti di sicurezza in questo periodo: la sicurezza delle applicazioni Web di nuova generazione, quelle che in particolare fanno uso esteso di tecnologie Ajax. L'articolo è di Jeremiah Grossman, già  impiegato nel settore di sicurezza di Yahoo! ora a capo della WhiteHat Security che fa consulenza nel campo della sicurezza Web.

L'autore cerca di smontare passo passo posizioni che sono emerse nei mesi scorsi e che vedevano in Ajax un possibile, nuovo pericolo nel campo della sicurezza Web. La frase che taglia la testa al toro la ricaviamo dalla fine: Ajax ha cambiato l'approccio di sicurezza per le applicazioni Web? No, è la secca risposta dell'autore: "Se un'applicazione Web è vulnerabile, essa sarà  insicura indipendentemente da quale tecnologia si utilizza per svilupparla. Se un'applicazione Web è ben progettata, nessun tipo di tecnologie non sicure 'alla Ajax' ne potrà  ridurre la sua sicurezza".

In definitiva, dobbiamo dire, le opinioni dell'autore non ci hanno convinto del tutto. Il leitmotiv dell'articolo è sempre lo stesso: Ajax non trasforma le normali procedure di sviluppo di un'applicazione Web e dunque i principi di sicurezza da adottare rimangono quelli "classici" (riassunti alla fine). Il problema però non è questo. Ajax, è vero, non trasforma le regole di sviluppo ma, è questo è forse il punto, ne amplia la complessità . In almeno due versanti: da un lato arricchisce la user experience e aumenta la complessità  dell'interazione con il server, frammentando le richieste, e dunque le possibili brecce, in diversi punti dell'applicativo. Dall'altro, per la sua natura asincrona, non espone tutte le funzionalità , cosa che ne limita il debugging.

Facciamo nostro, allora, il commento scritto dai ragazzi dell'OWASP: "State attenti a leggerlo: non è così facile progettare un'applicazione Ajax sicura".