DOMSnitch, questo il nome del prodotto, è un potente strumento per sviluppatori e ricercatori che permette di studiare applicazioni web al fine di individuare pratiche insicure o zone d’ombra all’interno del codice.
Erano già stati sviluppati e resi disponibili da parte di Google software utili a testare le pratiche di sicurezza di applicazioni lato server, per esempio Skipfish e Ratproxy.
DOMSnitch invece è focalizzato sull’analisi delle applicazioni lato client e quindi più vicino ai comportamenti insicuri perpetrati direttamente a partire dai browser dei singoli utenti.
Una volta installato in Chrome, DOMSnitch monitorerà le interazioni delle pagine web con le funzioni del browser.
Esempi di questi elementi sono le chiamate a metodi quali document.write, document.cookie (sia set che get), eventi interni al DOM (Document Object Model) (es. onmouseover), ecc…
Per monitorare tutti questo tipo di attività DOMSnitch utilizza un metodo che consiste nel lanciare degli intercettori o “ami” che permettono allo strumento di accorgersi quando una pagina interagisce con gli elementi chiave e potenzialmente pericolosi del browser. Una volta che scatta un intercettore lo strumento è in grado, attraverso tecniche varie, di raccogliere molte informazioni di debug.
Tutte le informazioni raccolte da DOMSnitch vengono mostrate all’interno di una pagina che mostra i log dell’attività con evidenziate le modifiche DOM che possono rappresentare un rischio. L’applicazione può evidenziare le attività come segue:
Rosso – individuato un bug di sicurezza
Giallo – un problema che potrebbe rappresentare un bug di sicurezza
Verde – un problema che ha un impatto minimo sulla sicurezza
Grigio – diverse istanze della stessa modifica sono individuate
Al passaggio del mouse sopra ogni attività evidenziata vengono mostrate maggiori informazioni.
Questo tipo di interfaccia rende l’osservazione dei comportamenti delle applicazioni semplice sia da parte di utenti esperti che da parte di sviluppatori novizi.
Un importante vantaggio di DOMSnitch inoltre è quello di poter osservare il comportamento delle applicazioni web in tempo reale, senza dover quindi eseguire debug a posteriori o altre pratiche che richiedano il congelamento delle applicazioni.
E’ bene ricordare che questo tool è al momento allo stato di alpha ed è quindi possibile che si verifichino comportamenti inattesi o in accuratezze.
Per maggiori informazioni potete visitare la pagina GoogleCode relativa a DOMSnitch o scaricare l’estensione per chrome.
Nessun commento:
Posta un commento