Un'applicazione non sicura potrebbe esporre utenti e sistemi a vari tipi di danni. Quando un soggetto malintenzionato utilizza vulnerabilità o la mancanza di funzionalità di sicurezza a proprio vantaggio per causare danni, si parla di attacco. In questa guida analizzeremo diversi tipi di attacco, così saprai cosa fare per proteggere la tua applicazione.
Attacchi attivi e attacchi passivi
Gli attacchi si possono suddividere in due tipi diversi: attivi e passivi.
Attacchi attivi
Con un attacco attivo,l'utente malintenzionato cerca di entrare direttamente nell'applicazione. Ci sono vari modi per farlo, dall'utilizzo di un'identità falsa per accedere a dati sensibili (attacco mascherato) all'inondazione del server con enormi quantità di traffico per far sì che la tua applicazione non risponda (attacco DoS).
Attacchi attivi possono essere fatti anche per i dati in transito. Un utente malintenzionato potrebbe modificare i dati della tua applicazione prima che arrivi al browser di un utente, mostrando informazioni modificate sul sito o indirizzando l'utente a una destinazione non intenzionale. Questa operazione a volte è chiamata modifica dei messaggi.
Attacco passivo
Con un attacco passivo, l'utente malintenzionato tenta di raccogliere o apprendere informazioni dall'applicazione, ma non influisce sull'applicazione stessa.
Immagina che qualcuno stia intercettando le tue conversazioni con amici e familiari, raccogliendo informazioni sulla tua vita personale, chi sono i tuoi amici e dove stai frequentando. La stessa cosa può essere fatto con il tuo traffico web. Un utente malintenzionato potrebbe acquisire dati tra il browser e il server raccogliendo nomi utente e password, la cronologia di navigazione degli utenti e i dati scambiati.
Difesa dagli attacchi
Gli utenti malintenzionati possono danneggiare direttamente la tua applicazione o eseguire operazioni dannose sul tuo sito senza che tu o i tuoi utenti se ne accorgano. Ci servono meccanismi per rilevare e proteggere dagli attacchi.
Purtroppo, non esiste un'unica soluzione per rendere la tua applicazione sicura al 100%. In pratica, molte funzionalità e tecniche di sicurezza vengono utilizzate a livelli per prevenire o ritardare ulteriormente l'attacco (questa pratica è chiamata difesa in profondità). Se la tua applicazione contiene un modulo, puoi controllare gli input nel browser, poi sul server e infine nel database. Puoi utilizzare HTTPS anche per proteggere i dati in transito.
Conclusione
Poiché molti attacchi possono verificarsi senza colpire il server, a volte è difficile individuare se gli attacchi sono in corso o meno. La buona notizia è che nei browser web sono già integrate funzionalità di sicurezza efficaci. Consulta l'argomento successivo "In che modo il browser mitiga gli attacchi" per scoprire di più.