ENISA: HTML5 non è sicuro

L'agenzia per la cyber-sicurezza europea mette in guarda il W3C dai rischi connessi con le nuove specifiche della lingua franca del World Wide Web
L'agenzia per la cyber-sicurezza europea mette in guarda il W3C dai rischi connessi con le nuove specifiche della lingua franca del World Wide Web

Tra i commenti e i pareri messi in calce all’ultima bozza delle specifiche di HTML5, il World Wide Web Consortium (W3C) dovrà tenere conto anche dell’analisi di 61 pagine messa insieme da ENISA (European Network and Information Security Agency) sui rischi derivanti dall’utilizzo di alcune delle caratteristiche del nuovo standard web.

ENISA ha preso in considerazione 13 specifiche di HTML5 e dice di aver individuato ben 51 diversi “problemi di sicurezza”, derivanti dal loro utilizzo poco accorto o dallo sfruttamento da parte di malintenzionati.

Uno dei problemi evidenziati dall’agenzia europea è quello concernente il “form tampering”, vale a dire un potenziale attacco che sfrutta la capacità di HTML5 di renderizzare un pulsante per la conferma dell’immissione dei dati in un form in qualunque parte dello schermo .

La funzionalità ha alcuni vantaggi per gli sviluppatori, dice ENISA, ma i cyber-criminali potrebbero manomettere il codice della pagina web per spingere l’utente a premere il pulsante sbagliato con tutte le conseguenze che la cosa comporta.

È importante, sottolinea Giles Hogben di ENISA, che “per la prima volta” si guardi alle specifiche HTML dal punto di vista della sicurezza, perché la diffusione estesa dei browser web non fa che corroborare l’importanza “cruciale” delle tecnologie web e quindi l’accento che va posto su implementazioni a prova di hacking e cybercrime.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

03 08 2011
Link copiato negli appunti