ISBN: 9781593273880
Autori: No Starch Press
Editore: Michal Zalewski
Lingua: Inglese
Anno: 2011
Pagine: 320
Allegati: Nessuno

L'evoluzione del Web è stata rapida e significativa: si è pessati nel giro di poco più di due decenni da un ambiente in cui gruppi di ricercatori e di programmatori condividevano i loro interessi nel campo della scienza e della tecnologia, a una Rete, quella attuale, piena di applicazioni interattive che vanno dai client di posta elettronica a editor di immagini e documenti e, soprattutto, giochi.

Il numero di utenti è cresciuto in maniera esponenziale, centinaia di milioni di utenti navigano e ricercano nella Rete.

Il Web è anche stato considerato responsabile della recessione quando tra il 1999 e il 2001 scoppiò la bolla dot-com.

Sulla base di queste premesse, "The Tangled Web" è stato realizzato partendo dalle ricerche svolte per scrivere il Browser Security Handbook di Google, un wiki tecnico rilasciato nel 2008 e pubblicato da
Zalewski sotto licenza Creative Commons.

Il libro è composto tra tre parti. Nell'"Anatomy of the Web" viene trattata la tassonomia del Web, sono date alcune definizioni base del Web, come URL (Uniform Resource Locator), HTTP (Hyper Transfer Protocol), HTML (HyperText Markup Language), CSS (Cascading Style Sheets) e i plug-in per browser.

In "Browser Security Features" si affronta la tematica della sicurezza dal punto di vista del browser, che essenzialmente si basa sul concetto che due pagine di differenti sorgenti non possonon interferire l'una con l'altra. Nella pratica la situazione è più complicata, poiché non c'è accordo dove un documento inizia e dove finisce o cosa costituisce una singola origine. Il più delle volte le policy si contraddicono e producono errori. La Same-Origin policy (SOP) è un concetto introdotto con Netscape nel 1995 insieme a JavaScript e al Document Object Model (DOM), un anno dopo la creazione dei cookie HTTP. Alla base di questa politica c'è il concetto che tra due distinti contesti di esecuzione JavaScript, uno dovrebbe essere in grado di accedere al DOM degli altri solo se i protocolli, i nomi DNS, e la porta associati ai documenti corrispondono esattamente; a tutti gli altri documenti dovrebbe essere impedito l'accesso.

In "A Glimpse of Things to Come", si descrivono le soluzioni proposte da chi vorrebbe browser sicuri senza riscrivere tutto il Web. Si tratta in genere di estensioni da installare nei browser esistenti. Rilevanza viene data a un progetto, portato avanti da diversi sviluppatori che lavorano al VoiceXML (utilizzato per costruire sistemi Interactive Voice Response (IVR)); questi hanno stilato una proposta per il Cross-Origin Resource Sharing (CORS), cioè una specifica tecnologia per i browser web, che definisce le modalità con le quali un browser mette a disposizione le proprie risorse a un dominio diverso. Da notare che l'accesso da un dominio diverso sarebbe rifiutato dalla origin policy definita sul server.

Un capitolo a parte è dedicato alle vunerabilità più comuni del Web, quali il Cross-site request forgery e il Cross-site script. Si elencano, anche, le vulnerabilità legate alla progettazione delle webapp: il cache poisoning, il clickjacking, lo sniffing dei contenuti e del set di caratteri, il cookie injection, il Denial-of-Service attack, il frame-bursting, l'HTTP downgrade: di questi viene dato il riferimento ai capitoli che trattano il problema.

Si parla infine dei problemi che si possono riscontrare all'interno del codice lato server, come il buffer overflow, il command injection (SQL, shell, PHP), l'indirizzamento relativo, l'inclusione di file remoti e vulnerabilità come quelle del formato stringa, l'overflow degli interi e la gestione dei puntatori.

Un libro completo per chi vuole capire i rischi della navigazione all'interno della Rete. La trattazione è molto accurata.

Non ho riscontrato aspetti negativi, se non la forma del linguaggio, complessa e non facilmente fruibile.