Molte volte i concetti di sicurezza sono da considerarsi generali e quindi validi per più linguaggi di programmazione.
Il caso del controllo dati immessi dall’utente finale è forse uno di quei passaggi necessari ed obbligatori per ogni linguaggio di programmazione affinché una porzione di codice o un intero applicativo si possano considerare perlomeno attendibili.
Come avevamo già specificato per il linguaggio Javascript anche per PHP i concetti da seguire sono i medesimi.
Tutte le considerazioni che verranno espresse di seguito fanno riferimento alla versione 5 del linguaggio PHP.
E’ comunque utile precisare sin dall’inizio che di per se PHP si configura come un linguaggio con un buon livello di sicurezza intrinseco.
Nel mondo del Web 2.0 esiste un formato alternativo rispetto all’ XML per scambiare dati fra client e server. Sto parlando di JSON (JavaScript Object Notation) che ad oggi è molto utilizzato nelle interazioni Ajax.
Le strutture utilizzate da JSON sono:
L’obiettivo di Ajax (Asynchronous JavaScript and XML) è quello di costruire interfacce web molto ricche aumentandone l’interattività e l’usabilità.
Ajax è una raccolta di tecnologie che cooperano al fine di costruire pagine web dinamiche e robuste, ecco un elenco:
Per maggiori dettagli sulla struttura e le funzionalità di Ajax consiglio:
Come difendersi dalla tipologia di attacchi rappresentati nell’articolo: http://poyblog.wordpress.com/2010/04/14/sicurezza-del-linguaggio-javascript-metodologie-di-attacco/ ?
Dal punto di vista dell’utente finale le raccomandazioni più importanti sono:
Dal punto di vista dello sviluppatore è necessario validare tutte le variabili in input:
Javascript, sicuramente meglio descritto in http://it.wikipedia.org/wiki/JavaScript è un linguaggio ormai molto popolare per la realizzazione di applicazioni web.
Questo linguaggio ha delle caratteristiche ben precise:
Questa ultima opzione è forse quella più importante dal punto di vista della sicurezza. Il codice viene eseguito lato client, e quindi è visibile direttamente all’utente che naviga l’applicazione. Un utente malintenzionato potrebbe quindi tentare di modificare tale codice per sfruttare delle debolezze del nostro sistema.
Comincerò ora una serie di articoli tratti dal libro Sicurezza del Codice, redatto da HOEPLI Informatica.
Questo libro si propone come una guida da cui trarre spunti durante la fase di scrittura e progettazione di applicazioni. La mia attenzione si focalizzerà soprattutto sulle tecniche di attacco e sul controllo delle vulnerabilità delle applicazioni in particolare per specifici linguaggi di programmazione:
• PHP
• Javascript
• Interazioni Ajax
Oltre a questo cercherò di approfondire le metodologie da adottare in caso di attacco avvenuto con successo al fine di contenerne i danni e trarre più nozioni possibili dalla intrusione.
Questa non è una trattazione di sola programmazione, ma tocca vari aspetti e figure IT tra cui:
• sistemi
• programmazione e progettazione del software
• policy di sicurezza non solo a livello di infrastruttura ma anche organizzative
Rispetto alle linee guida fino ad ora adottate durante la stesura degli articoli, con questo argomento non seguirò pari passo il libro, ma scriverò degli articoli spot su determinati argomenti, senza seguire in modo ortodosso il libro.
