Le principali vulnerabilità del Web 2.0
mercoledì 18 febbraio 2009

Le principali vulnerabilità del Web 2.0

a cura di Tullio Matteo Fanti
Dal Secure Enterprise 2.0 Forum una disamina sulle principali minacce che giungono attraverso gli strumenti e i servizi Web 2.0 minacciando la sicurezza dei dati aziendali e degli stessi consumatori

Le tecnologie e i servizi Web 2.0 si stanno sempre più diffondendo all'interno dell'ambiente business, portando con sé nuove sfide e minacce legate alla sicurezza. Dal Secure Enterprise 2.0 Forum ecco giungere un report che osserva da vicino le principali minacce ai tempi del Web 2.0.

In cima alla lista ecco troneggiare il Cross Site Scripting (XSS), ovvero un input malevolo inserito da un utente malintenzionato e visualizzato in seguito dagli altri utenti. Gli strumenti Web 2.0 come i social network, i blog e gli Wiki rendono i sistemi particolarmente vulnerabili, in special modo se permettono di inserire contenuti con formattazione HTML.

Cross Site Request Forgery (CSRF) / Cross Gadget Request Forgery (CGRF): nel caso una vittima visiti un sito Web malevolo, del codice opportunamente creato può inviare una richiesta a siti differenti (ad esempio attraverso un cookie persistente) compiendo operazioni a sua insaputa.

Il Web 2.0 risulta inoltre particolarmente sensibile alle Injection Flaws, poiché permette nuovi tipi di attacchi, ovvero XML injection, XPath injection, JavaScript injection e JSON injection. Basandosi pesantemente sul codice client-side, il Web 2.0 esegue spesso una validazione degli input che può essere bypassata dai cybercriminali.

Non manca nell'elenco il fenomeno del phishing, attraverso il quale le vittime ricevono la richiesta di installare del codice malevolo o vengono reindirizzate verso siti ove inserire informazioni sensibili.

Secondo David Lavenda, membro del Secure Enterprise 2.0 Forum, le compagnie sarebbero sempre più attratte dai servizi e dagli strumenti Web 2.0 senza però essere coscienti dei rischi e delle sfide nel campo della sicurezza ad essi correlati.

Occorre invece essere molto severi nel proteggere gli asset aziendali, l'identità dei clienti e le informazioni personali, adottando adeguati meccanismi di salvaguardia;i dati e i consumatori possono essere protetti solo se i dipartimenti IT riconoscono i rischi associati al Web 2.0 e si premuniscono in modo adeguato.