ENISA: ancora 51 problemi di sicurezza in HTML5

L’ENISA, acronimo di “European Network and Information Security Agency“, è l'”agenzia europea per la sicurezza delle reti e dell’informazione”. Con sede a Creta (Grecia), l’organismo europeo ha come obiettivo primario quello di contribuire allo sviluppo della cultura della sicurezza delle informazioni e delle reti in modo che a trarne beneficio possano essere tutte le parti sociali (cittadini, consumatori, imprese e settore pubblico).

Gli esperti dell’ENISA, che – tra i vari compiti – ha anche quello di assistere la Commissione Europea nelle sue decisioni, hanno comunicato di aver posto sotto attenta analisi le nuove specifiche di HTML5 evidenziando 51 problematiche di sicurezza che permarrebbero nell’ultima bozza del linguaggio di markup.

“E’ la prima volta che qualcuno si è preso la briga di analizzare le nuove specifiche dal punto di vista della sicurezza“, ha commentato Giles Hogben, uno dei manager che “militano” nelle fila dell’agenzia europea. Secondo l’esperto, alcune delle “falle” di HTML5 possono essere mitigate semplicemente apportando delle modifiche alle applicazioni che si servono di HTML5 mentre altre introducono minacce “inedite” alle quali potrebbero esposti gli utenti dei vari browser web.

Il documento PDF di 61 pagine, pubblicato a questo indirizzo, chiarisce tutte le eccezioni sollevate dai tecnici dell’ENISA. I punti deboli che meriterebbero attenzione sarebbero molteplici dal momento che in alcuni casi si potrebbe arrivare alla sottrazione di informazioni personali e ad attacchi cross-site.

L’ENISA ricorda quanto rivesta un’importanza a dir poco fondamentale l’impiego di un browser web che garantisca la gestione delle sessioni di lavoro in modalità “sandboxed” ossia completamente isolata dal resto del sistema operativo. Senza l’impiego delle “sandbox“, un malware potrebbe riuscire ad “evadere” dal browser e ad apportare modifiche potenzialmente dannose alla configurazione del sistema.