Negli ultimi anni abbiamo assistito ad un forte incremento dello sviluppo delle applicazioni web che, con il trascorrere del tempo, hanno spostato la propria focalizzazione dal semplice scopo promozionale e ludico all’erogazione di veri e propri servizi.

Basti pensare per esempio a come si sono evoluti i servizi offerti in ambito bancario oppure al commercio elettronico: termini come E-commerce e E-banking che fino a qualche tempo fa erano praticamente sconosciuti alla maggior parte di noi, oggi rappresentano un chiaro insieme di servizi a cui accedono abitualmente una grande quantità di utenti grazie anche alla facilità d’accesso a questi servizi.

Se da un lato però le applicazioni web hanno portato evidenti benefici in termini di fruibilità del servizio per gli utenti e nuove opportunità di sviluppo del business, dall’altro hanno introdotto un nuovo elemento “debole” all’interno dei sistemi informatici.

Internet è un ambiente insicuro per definizione, al quale utenti malintenzionati (non solo hacker, ma vere e proprie organizzazioni) rivolgono la gran parte dei propri attacchi: se inizialmente sfruttavano le vulnerabilità presenti nel protocollo usato per la comunicazione dei dati ora mirano a sfruttare le vulnerabilità presenti nelle applicazioni web che pertanto non risultano essere adeguatamente protette dai tipici sistemi di difesa perimetrale.

La gran parte delle vulnerabilità sfruttate dagli hacker per realizzare azioni fraudolente sono circoscritte nell’ambito delle applicazioni web le quali, anche se implementate seguendo le Best Practices per lo sviluppo sicuro del software (approccio ancora poco adottato), spesso non sono al sicuro dagli attacchi soprattutto vista la loro continua e rapida evoluzione.

In questo scenario emerge fortemente l’esigenza di adottare soluzioni che forniscano protezione alle applicazioni web al fine di garantire:

• sicurezza per l’utente che fruisce del servizio (confidenzialità ed integrità delle informazioni dell’utente quali password, carte di credito, ecc…);
• sicurezza per chi eroga il servizio (garantire continuità di erogazione del servizio, protezione dei dati, supportare efficientemente la rapidità di evoluzione dei servizi informatici che cambiano e crescono sia in termini di applicazioni software che di infrastruttura di erogazione).

Tale esigenza è confermata anche dalla nascita di numerosi progetti, tra i quali citiamo il più rappresentativo che è OWASP (Open Web Application Security Project) [http://www.owasp.org/index.php/Italy], e meccanismi di standardizzazione (come ad esempio lo standard PCI) con il principale obiettivo di trovare e mettere in sicurezza le vulnerabilità intrinseche alle web application.

scarica il focus in pdf