Un'applicazione non sicura potrebbe esporre utenti e sistemi a vari tipi di danni. Quando una parte malintenzionata utilizza vulnerabilità o la mancanza di funzionalità di sicurezza per causare danni, si parla di attacco. In questa guida esamineremo diversi tipi di attacchi per consentirti di sapere cosa cercare quando proteggi la tua applicazione.
Attacchi attivi e attacchi passivi
Gli attacchi possono essere suddivisi in due tipi: attivi e passivi.
Attacchi attivi
Con un attacco attivo,l'aggressore tenta di accedere direttamente all'applicazione. Ciò può essere fatto in diversi modi, dall'utilizzo di una falsa identità per accedere ai dati sensibili (attacco di mascheramento) all'inondazione di enormi quantità di traffico nel tuo server, che impediscono alla tua applicazione di rispondere (attacco DoS).
Gli attacchi attivi possono essere effettuati anche sui dati in transito. Un malintenzionato potrebbe modificare i dati della tua applicazione prima che raggiungano il browser di un utente, mostrando informazioni modificate sul sito o indirizzando l'utente a una destinazione non prevista. Questa operazione è talvolta chiamata modifica dei messaggi.
Attacco passivo
Con un attacco passivo, l'utente malintenzionato tenta di raccogliere o acquisire informazioni dall'applicazione, ma non influisce sull'applicazione stessa.
Immagina che qualcuno stia origliando la tua conversazione con amici e familiari, raccogliendo informazioni sulla tua vita personale, sui tuoi amici e sui posti che frequenti. Lo stesso può essere fatto per il traffico web. Un malintenzionato potrebbe acquisire i dati tra il browser e il server raccogliendo nomi utente e password, la cronologia di navigazione degli utenti e i dati scambiati.
Difesa contro gli attacchi
Gli aggressori possono danneggiare direttamente la tua applicazione o eseguire un'operazione dannosa sul tuo sito senza che tu o i tuoi utenti lo notiate. Sono necessari meccanismi per rilevare e proteggersi dagli attacchi.
Purtroppo, non esiste una singola soluzione per rendere la tua applicazione sicura al 100%. In pratica, molte funzionalità e tecniche di sicurezza vengono utilizzate a più livelli per impedire o ritardare ulteriormente l'attacco (questa tecnica è chiamata difesa in profondità). Se la tua applicazione contiene un modulo, puoi controllare gli input nel browser, poi sul server e infine nel database. Utilizzerai anche HTTPS per proteggere i dati in transito.
Conclusione
Poiché molti attacchi possono verificarsi senza mai colpire il tuo server, a volte è difficile rilevare se si verificano o meno. La buona notizia è che i browser web dispongono già di potenti funzionalità di sicurezza integrate. Per scoprire di più, consulta l'argomento successivo "Come il browser riduce al minimo gli attacchi".