L'estate sta finendo e un anno inizierà

Oggi si ricomincia. Dopo aver ricaricato un po’ le batterie tra bimbi e parchi giochi, siamo a settembre che da quando un bimbo ha 6 anni è sinonimo di si torna al lavoro.

Photo by Cristian Conti

Oggi si ricomincia. Dopo aver ricaricato un po’ le batterie tra bimbi e parchi giochi, siamo a settembre che da quando un bimbo ha 6 anni è sinonimo di si torna al lavoro.

Per 3 settimane le uniche attività di codiceinsicuro sono state quelle del bot su twitter. Sono stato volutamente sconnesso quindi so poco di quello che è accaduto nel mondo.

Tra i draft c’è un post su come usare il file robots.txt per recuperare informazioni utili sul nostro target e in cantiere un sacco di modifiche da fare a dawn, il tool di analisi statica per ruby su cui sto lavorando ormai da più di un anno.

Una cosa che dopo tutti questi anni ancora mi sfugge riguarda la percezione della sicurezza. Che un sito possa essere attaccato per interessi o semplicemente per divertimento, di qualche idiota, dovrebbe essere ormai qualcosa di assodato.

Non è una minaccia astratta, come quella dell’uomo nero che usavano i nostri genitori per spaventarci. E’ una cosa reale e se non ci credete guardate più spesso gli access.log delle vostre applicazioni. Prima o poi qualcuno che prova a mettere un apice nella form di login nel campo password lo trovate sicuro.

Perché allora si guarda alla security come qualcosa di non necessario? Perché è considerata, ancora, un costo inutile?

Lanciare nessus, non è fare application security nella propria azienda, neppure se sei un freelance “onemanband”. Se sei una startup non puoi nasconderti sulla mancanza di soldi quando il tuo business è totalmente online, se distruggono quello distruggono tutto.

Eppure sempre più spesso vedo codice buttato per caso online, senza i minimi accorgimenti lato security e in esecuzione su piattaforme vecchie i cui interpreti e framework sono vetusti e pieni di bug.

Questo significa che ci saranno sempre lettori per codiceinsicuro e questo è bene, di sicuro se come community si appsec ci siamo prefissati lo scopo di riempire il gap con gli sviluppatori anche in termini di awareness, lo stiamo facendo veramente male.

A proposito di awareness, come capitolo italiano di Owasp, prossimamente terrò un talk su come affrontare il tema della sicurezza applicativa in un contesto release early, release often. Quest’anno solo talk in Italia. Se il problema è “come incastrare i test di security” o “quali test fare”, vedremo con calma cosa non deve assolutamente mancare nella nostra filiera.

Ben ritrovati.

comments powered by Disqus