La Console Web orientata alla sicurezza
Questa è una nostra traduzione dell’articolo “A New Focus on Security in the Web Console” di Garrett Robinson pubblicato su Mozilla Security Blog, localizzata dal nostro Sandro "gialloporpora".
Agli sviluppatori web servono degli strumenti più efficaci per il debug delle pagine web alla ricerca di problemi legati alla sicurezza. Per questo motivo a partire da Firefox 23 alla Console web – il pannello incluso negli strumenti di sviluppo di Firefox che raccoglie vari messaggi d’errore e avvisi suddivisi in categorie di pertinenza – è stata aggiunta un’ulteriore categoria denominata sicurezza che riporta avvisi e messaggi legati, appunto, alla sicurezza delle pagine web.
Come si può vedere dall’immagine qui sopra, il pulsante che attiva e disattiva la visualizzazione di questi messaggi e i messaggi stessi sono evidenziati in rosso, questo al fine di porre l’attenzione sul fatto che la pagina soffre di un problema di sicurezza.
Una volta che abbiamo avuto a disposizione un luogo per visualizzare questi messaggi il passo successivo è stato quello di scegliere quali fossero gli errori più rilevanti da riportare allo sviluppatore. Ivan Alagenchev, un ingegnere Mozilla specializzato in sicurezza, ha impiegato tutta l’estate per raggiungere i seguenti obiettivi:
- Avvisare lo sviluppatore circa comportamenti anomali delle pagine alterati da una funzionalità di sicurezza, ad esempio il mancato caricamento di risorse da parte del sistema di blocco dei contenuti misti o a causa della regola Same Origin Policy (regola della stessa origine).
- Avvisare lo sviluppatore di errori commessi nell’implementazione di specifiche di sicurezza, ad esempio l’utilizzo di header CSP deprecati o l’errata digitazione di un header HSTS.
- Avvisare lo sviluppatore su rischi comuni in materia di sicurezza, ad esempio l’inserimento di campi password in pagine non sicure.
Di seguito sono riportati gli screenshot di alcuni dei nuovi messaggi della categoria sicurezza:
Anche se la sicurezza dovrebbe essere di fondamentale importanza per tutti gli sviluppatori, essa è un argomento complesso che non sempre fa parte del bagaglio di uno sviluppatore web ed è considerata spesso una questione spinosa. Questo nuovo sistema informativo aiuta gli sviluppatori a trovare problemi legati alla sicurezza nelle prime fasi del ciclo di sviluppo in modo che possano essere risolti in maniera rapida ed efficace.
Inoltre, questi messaggi aiutano ad educare gli sviluppatori sugli argomenti più comuni nelle questioni di sicurezza web. In molti di questi nuovi messaggi viene riportato un link “Ulteriori informazioni” che rimanda a una pagina Wiki con informazioni generali e suggerimenti per mitigare il problema di sicurezza.
Il meta bug 863874 è il bug di riferimento per discutere quali messaggi di sicurezza mostrare nella Console web. Se pensi di avere delle idee riguardo a messaggi rilevanti come quelli discussi qui sopra o se vuoi collaborare, dai un’occhiata al meta bug e ai bug ad esso correlati.