Google presenta al grande pubblico uno dei software usati nei laboratori di Mountain View per provare la sicurezza delle applicazioni Web: Ratproxy, distribuito con licenza Apache 2.0 (di fatto simile alla licenza Bsd, molto liberale in termini di redistribuzione e inclusione del software in prodotti terzi), serve ad evidenziare errori di codice che possono esporre le applicazioni ad attacchi di tipo cross-site scripting o provocare problemi di caching.

“Abbiamo deciso di rendere questo strumento liberamente disponibile, perché riteniamo sia un buon contributo a chi si occupa della sicurezza delle informazioni, portando a conoscenza di questi le problematiche di sicurezza collegate alle tecnologie Web attuali” ha scritto Michael Zalewski sul blog di Google dedicato alla sicurezza.

Ratproxy ha debuttato con la versione 1.51 beta (quasi a continuare una tradizione di Big G, il cui software sembra essere in uno stato di beta perenne) ed è “più veloce e meno intrusivo rispetto ad altri scanner: è passivo [analizza di continuo il traffico di rete senza dovere essere attivato, ndR], e quando è in esecuzione non genera l’elevato traffico legato alle simulazioni d’attacco, tipico degli scanner attivi”, secondo quanto scrive Zalewski.

Ratproxy intercetta i contenuti e può estrarre frammenti di JavaScript dai fogli di stile; supporta anche la scansione di pagine Ssl. “Visto che agisce in maniera passiva – scrive Zalewski – Ratproxy va a toccare aree che non sono necessariamente sintomo di veri problemi legati alla sicurezza. Le informazioni raccolte durante una sessione di test devono essere interpretate da professionisti della sicurezza con una buona conoscenza dei problemi comuni e dei modelli di sicurezza impiegati nelle applicazioni Web”.

Google ha pubblicato una presentazione esauriente di Ratproxy, oltre a un link per il download dei sorgenti; con un compilatore moderno quale Gcc 4 realizzare un binario sotto Unix è questione di pochi minuti (e di un po’ di manualità, beninteso). Sotto Windows il discorso è analogo: basta fare ricorso a un compilatore C/C++ libero o commerciale; anche se, sulla carta, Ratproxy trova in una workstation Linux il suo partner ideale.

Fonte: MyTech.it

(No Ratings Yet)

 Loading ...