Vai al contenuto
Home » L’estate sta finendo e un anno inizierà

L’estate sta finendo e un anno inizierà

Oggi si ricomincia. Dopo aver ricaricato un po’ le batterie tra bimbi e parchi
giochi, siamo a settembre che da quando un bimbo ha 6 anni è sinonimo di si
torna al lavoro
.

Per 3 settimane le uniche attività di
codiceinsicuro sono state quelle del bot su
twitter. Sono stato volutamente sconnesso quindi so poco di quello che è
accaduto nel mondo.

Tra i draft c’è un post su come usare il file robots.txt per recuperare
informazioni utili sul nostro target e in cantiere un sacco di modifiche da
fare a dawn, il tool di analisi
statica per ruby su cui sto lavorando ormai da più di un anno.

Una cosa che dopo tutti questi anni ancora mi sfugge riguarda la percezione
della sicurezza. Che un sito possa essere attaccato per interessi o
semplicemente per divertimento, di qualche idiota, dovrebbe essere ormai
qualcosa di assodato.

Non è una minaccia astratta, come quella dell’uomo nero che usavano i nostri
genitori per spaventarci. E’ una cosa reale e se non ci credete guardate più
spesso gli access.log delle vostre applicazioni. Prima o poi qualcuno che prova
a mettere un apice nella form di login nel campo password lo trovate sicuro.

Perché allora si guarda alla security come qualcosa di non necessario? Perché è
considerata, ancora, un costo inutile?

Lanciare nessus, non è fare application security nella propria azienda, neppure
se sei un freelance “onemanband”. Se sei una startup non puoi nasconderti
sulla mancanza di soldi quando il tuo business è totalmente online, se
distruggono quello distruggono tutto.

Eppure sempre più spesso vedo codice buttato per caso online, senza i minimi
accorgimenti lato security e in esecuzione su piattaforme vecchie i cui
interpreti e framework sono vetusti e pieni di bug.

Questo significa che ci saranno sempre lettori per
codiceinsicuro e questo è bene, di sicuro se come
community si appsec ci siamo prefissati lo scopo di riempire il gap con gli
sviluppatori anche in termini di awareness, lo stiamo facendo veramente male.

A proposito di awareness, come capitolo italiano di
Owasp, prossimamente terrò un talk su come affrontare
il tema della sicurezza applicativa in un contesto release early, release
often
. Quest’anno solo talk in Italia. Se il problema è “come incastrare i
test di security” o “quali test fare”, vedremo con calma cosa non deve
assolutamente mancare nella nostra filiera.

Ben ritrovati.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.