A parlarci di sicurezza è intervenuto Claudio Criscione, esperto di sicurezza e Security Test Engineer presso Google Zurigo.
Jacopo Rabolini, che oltre ad essere uno dei fondatori di questo sito è anche uno dei responsabili del Gtug Milano, ha introdotto l'incontro annunciando lo speaker e facendo una panoramica su quelli che saranno i prossimi eventi verso il quale si sta muovendo il Gtug Milano.
Principalmente i prossimi incontri saranno su Go, un possibile hackathon su Dart e il Google I/O Extended. Al momento tutte queste iniziative sono ancora in lavorazione, ma non appena saranno disponibili maggiori dettagli non mancheremo di comunicarveli.
Terminata l'introduzione entriamo nel vivo dell'argomento di questo incontro.
Il talk parte dalle API di Google Plus per poi evolversi verso concetti che possono essere utilizzati in molti altri contesti, come altre API Google, oltre che alle API di altri servizi in genere.
Nella prima parte Claudio ci ha sottolineato la differenza tra diverse tipologie di API che possiamo trovare in Google Plus, diversificando il mondo che ruota attorno al pulsante+1, che in realtà non concede API, tutto quello che è contenuto vero e proprio di Google Plus, ovvero il nostro Stream, il Profilo, le immagini, e le API relative ad Hangout, che sono un mondo a parte.
In questo incontro ci si è focalizzati sulle API relative ai contenuti disponibili che sono, per il momento, in sola lettura.
Dopo una panoramica degli strumenti che Google ci mette a disposizione, ovvero l'API Explorer, l'API Console e delle librerie specifiche per diverse linguaggi, l'attenzione del talk si è focalizzata sull'utilizzo del protocollo OAuth 2.0.
Abbiamo visto come questo protocollo, necessario per l'accesso e l'autenticazione di un applicazione nei confronti di un Google Account, non necessiti di uno scambio di credenziali.
La raccomandazione di Claudio è quella di utilizzare sempre questo tipo di protocollo quando si lavora con le API Google e, più in generale, laddove questo sia possibile quando serve accedere ad un qualsiasi account che richiede una password.
Per poter sperimentare l'utilizzo di questo protocollo, Claudio ci ha mostrato un tool messo a disposizione da Google: OAuth Playground. Questo tool permette di simulare delle richieste di accesso da parte di un'applicazione, verso dati specifici del nostro Google Account.
Dopo OAuth siamo passati a parlare di sicurezza pura introducendo XSS (cross-site scripting) e i rischi legati ad attacchi legati a questo genere di tecnologia.
Claudio ci ha quindi spiegato il funzionamento di base di questo tipo di attacco e le buone prassi di sanitizzazione dell'output per poterlo prevenire.
Come ultimo argomento abbiamo poi parlato del processo di transito delle informazioni (Google Plus è una piattaforma interamente basata su https) tramite SSL e il mixed content all'interno del progetto (http mischiato con https).
In chiusura Claudio ha consigliato ai presenti di basarsi sugli Starter Project ufficiali di Google, che potete trovare nella pagine relativa alle diverse librerie per interrogare le API. Si tratta di progetti che sono stati creati seguendo linee per la sicurezza e procedure molto precise e sono un buon punto di partenza per poter sviluppare nuovi progetti.
Come di consueto dopo l'incontro ci siamo recati in una vicina pizzeria, dove sono proseguite interessanti discussioni sui temi più disparati, legati alla presentazione appena conclusa, ma non solo.
Ringraziamo Caludio Criscione per la sua disponibilità e vi diamo appuntamento al prossimo incontro del Gtug Milano!
Nessun commento:
Posta un commento