In un documento stilato dall’ENISA vengono illustrati i nodi irrisolti che permangono nell’ultima bozza del linguaggio di markup. In alcuni casi si può arrivare alla sottrazione di dati personali e ad attacchi cross-site.
L’ENISA, acronimo di "European Network and Information Security Agency",
è l’"agenzia europea per la sicurezza delle reti e dell’informazione".
Con sede a Creta (Grecia), l’organismo europeo ha come obiettivo primario quello
di contribuire allo sviluppo della cultura della sicurezza delle informazioni
e delle reti in modo che a trarne beneficio possano essere tutte le parti sociali
(cittadini, consumatori, imprese e settore pubblico).
Gli esperti dell’ENISA, che – tra i vari compiti – ha anche quello di assistere
la Commissione Europea nelle sue decisioni, hanno comunicato di aver posto sotto
attenta analisi le nuove specifiche di HTML5 evidenziando 51 problematiche di
sicurezza che permarrebbero nell’ultima bozza del linguaggio di markup.
"E’ la prima volta che qualcuno si è preso la briga di analizzare
le nuove specifiche dal punto di vista della sicurezza", ha commentato
Giles Hogben, uno dei manager che "militano" nelle fila dell’agenzia
europea. Secondo l’esperto, alcune delle "falle" di HTML5 possono
essere mitigate semplicemente apportando delle modifiche alle applicazioni che
si servono di HTML5 mentre altre introducono minacce "inedite" alle
quali potrebbero esposti gli utenti dei vari browser web.
Il documento PDF di 61 pagine chiarisce tutte le eccezioni sollevate dai tecnici
dell’ENISA. I punti deboli che meriterebbero attenzione sarebbero molteplici
dal momento che in alcuni casi si potrebbe arrivare alla sottrazione di informazioni
personali e ad attacchi cross-site.
L’ENISA ricorda quanto rivesta un’importanza a dir poco fondamentale l’impiego
di un browser web che garantisca la gestione delle sessioni di lavoro in modalità
"sandboxed" ossia completamente isolata dal resto del sistema operativo.
Senza l’impiego delle "sandbox", un malware potrebbe riuscire ad
"evadere" dal browser e ad apportare modifiche potenzialmente dannose
alla configurazione del sistema.
