Martedì 4 maggio 2010
Pubblicazione incrociata sul blog sulla sicurezza online di Google
Vogliamo che i Googler comprendano con precisione le minacce che i nostri servizi devono affrontare e come possono contribuire a proteggersi. Lavoriamo per raggiungere questi obiettivi in vari modi, inclusa la formazione sulla sicurezza per i nuovi tecnici, presentazioni tecniche sulla sicurezza e altri tipi di documentazione. Usiamo anche codelab, ovvero dei tutorial interattivi di programmazione, che guidano i partecipanti nello svolgimento di attività di programmazione specifiche.
Un codelab in particolare spiega agli sviluppatori i tipi comuni di vulnerabilità delle applicazioni web; seguendo il ragionamento secondo cui "serve un hacker per fermarne uno", il codelab dimostra anche in che modo un utente malintenzionato potrebbe sfruttare queste vulnerabilità.
Oggi rilasciamo questo codelab intitolato "Web Application Exploits and Defenses" in coordinamento con Google Code University e Google Labs per aiutare gli sviluppatori di software a riconoscere, correggere ed evitare meglio problemi simili nelle proprie applicazioni. Il codelab è basato su Gruyere, una piccola ma completa applicazione di microblogging progettata per contenere molti bug di sicurezza. Le vulnerabilità esaminate dal lab includono cross-site scripting (XSS), cross-site request forgery (XSRF) e cross-site script inclusion (XSSI), nonché manipolazione dello stato del client, Path Traversal e vulnerabilità AJAX e di configurazione. Mostra inoltre come semplici bug possono portare alla divulgazione di informazioni, al denial of service e all'esecuzione di codice da remoto.
La massima "dato un numero sufficiente di occhi, tutti i bug vengono a galla" è vera solo se questi occhi sanno cosa cercare. A questo scopo, i bug di sicurezza in Gruyere sono bug reali, proprio come quelli in molte altre applicazioni. Il codice sorgente di Gruyere è pubblicato con licenza Creative Commons ed è disponibile per l'uso in esercizi per riconoscere la pirateria informatica o in lezioni che riguardano la sicurezza, l'ingegneria del software o lo sviluppo generale di software.
Per iniziare, visitate il sito https://google-gruyere.appspot.com/. La guida per gli insegnanti sull'utilizzo del codelab è ora disponibile su Google Code University.