Google Instant Pages e l'aspetto sicurezza sotto la lente

Nei giorni scorsi i tecnici di Google hanno presentato l’imminente arrivo di Instant Pages, una funzionalità che sarà per il momento fruibile unicamente utilizzando il browser Chrome e che ha come scopo quello di velocizzare il caricamento delle pagine web. Il meccanismo poggia su una sorta di “pre-caching” delle pagine Internet che l’utente potrebbe essere in procinto di visitare: ogniqualvolta venga effettuata un’interrogazione sul motore di ricerca, il browser – utilizzando Instant Pages – si avvantaggia prelevando in anticipo tutti gli elementi che compongono la pagina web visualizzata come primo risultato nelle SERP (“Search engine results pages“). E’ probabile che la stessa procedura venga attivata, in futuro, anche per gli altri link, non limitandosi solamente al primo sito web (tutti i dettagli sono disponibili in quest’articolo).

Gli esperti cominciano però a chiedersi in che modo Google vorrà affrontare i problemi di sicurezza che Instant Pages potrebbe introdurre. L’idea di accelerare la navigazione sul web è senza dubbio valida ma Dan Hubbard, dei Websense Security Labs“, osserva che in passato gli autori di malware o comunque i malintenzionati che pongono in essere attacchi phishing hanno frequentemente adoperato delle tecniche (SEO) per apparire tra i primi risultati nelle SERP di Google. Visitando poi la pagina malevola, “confezionata” dall’aggressore, un utente che impiegasse un browser vulnerabile potrebbe ritrovarsi con un sistema infetto. “In questo nuovo scenario“, fa presente Hubbard riferendosi a Google Instant Pages, “la domanda è se un utente può essere “infettato” semplicemente effettuando la ricerca, senza cliccare nessun link“.

Il quesito è sicuramente meritevole e sarà interessante apprendere in che modo Google intende trattare lo spinoso argomento.
Anche Marco Giuliani, malware technology specialist per Prevx, ritiene che le perlessità sollevate da Websense riguardo alla nuova tecnologia di pre-caricamento delle pagine web siano teoricamente valide ed è una procedura normale tentare di valutare in anticipo tutti i possibili pro e contro di una nuova applicazione. “Ad oggi, tuttavia, ci è dato sapere poco di come tecnicamente Google vorrà implementare tale idea, soprattutto dal punto di vista della sicurezza“, ha affermato Giuliani. “Di sicuro Google ha dimostrato più volte nel corso degli anni la sua attenzione alla sicurezza dei propri prodotti e servizi, implementendo tecnologie quali Google Safe Browsing e, soprattutto, costruendo una sandbox intorno al proprio browser Chrome solida ed efficace, in grado di arginare la maggior parte degli attacchi web diffusi online“.
Ci si potrebbe trovare quindi di fronte ad un nuovo potenziale vettore d’infezione che però potrebbe essere immediatamente neutralizzato, ad esempio, mettendo a punto una procedura automatizzata che elimini tutti gli eventuali script presenti nella pagina web oggetto di pre-caricamento.