Il mashup applicativo, tallone d’Achille del Web 2.0

Network
0 0 Non ci sono commenti

La combinazione di diverse fonti di dati sul Web aggiunge nuovi rischi. Vendor come Ibm esplorano mezzi di protezione

Già apprezzati dagli utenti di iGoogle o NetVibes, i mashup consentono di combinare su una medesima pagina applicazioni o flussi di informazioni di fonti differenti. Ma questo melange applicativo aumenta anche i rischi di cadere nelle trappole degli hacker.

Ibm ha appena presentato una nuova tecnologia battezzata Smash, che vuole rendere più sicuri i mashup, da una parte ben separando le differenti fonti di dati e dall’altra implementando canali di comunicazione sicuri per la condivisione di dati multisource. La tecnologia non è ancora stata rivelata in tutti i dettagli, ma sappiamo che sarà integrata nella nuova soluzione Lotus Mashups, che dovrebbe essere disponibile la prossima estate. Sarà adottata anche dal consorzio OpenAjax Alliance, nella piattaforma OpenAjax Hub, che si occupa dell’interoperabilità fra le numerose librerie Ajax.

La sicurezza dei mashup è un problema relativamente conosciuto e sta crescendo il numero di vendor, soprattutto specialisti del Web 2.0, che sta dedicando attenzione alla tematica. Ma quali sono i nuovi rischi? Occorre ricordare che il mashup è al centro di numerose tecnologie Web. Le più importanti sono i Javascript per l’esecuzione dei codici lato client. Si possono citare Document Object Model per la definizione della struttura di una pagina Web, Css per i fogli di stile, XmlHttpRequest per le connessioni sincrone o Json, che è un formato di dati. Il fatto di integrare in un singolo servizio Web fonti multiple di dati, dei quali è difficile qualificare il livello di affidabilità, e utilizzare una moltitudine di tecnologie aumenta la probabilità di apparizione di falle di sicurezza. Per evitare gli accessi malintenzionati tra differenti applicazioni, tutti i Web browser già applicano una politica di sicurezza battezzata “same origin”, che impedisce di importare dati Html di fonti differenti. Ma le tecnologie Web 2.0 consentono di aggirare la pratica: ad esempio, utilizzando il tag “script”, è possibile scambiare dati in formato Json con varie fonti terze. Altro esempio: l’utilizzo di un proxy Ajax permette, se è mal configurato, di chiamare tutte le fonti che si vogliono.

Per fortuna, cominciano ad apparire mezzi di protezione, come l’analisi scrupolosa dei valori attribuiti alle differenti variabili delle applicazioni Web, per evitare le iniezioni di codici infetti. A questo titolo, il sito dell’alleanza OpenAjax presenta alcune best practice che conviene utilizzare per rendere sicuri i mashup.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore