Oggi parleremo di un argomento spesso sottovalutato: la sicurezza sul web.
Subire un attacco al proprio sito è più semplice di quanto si possa immaginare, basta un semplice form, che se non ha le giuste misure di sicurezze può essere a rischio di vari attacchi, come ad esempio l‘SQL Injection( immissione di codice SQL dannoso), Cross Site Scripting ( l’ invio di uno script dannoso) e infine il Denial of Service (l’ invio di una serie di messaggi o di un grande messaggio tali da saturare la spazio disponibile del database).
Altro punto importante, nel caso in cui si parli di siti che prevedano l’iscrizione di utenti, è la sicurezza della password scelta, infatti si deve far in modo che ci siano delle regole obbligatorie da rispettare nella scelta della password, per evitare che l’utente scelga password troppo semplici che mettano a rischio l’ account e di conseguenza il sito stesso.
Dopo aver parlato dei vari pericoli mostrerò le possibili soluzioni.
Prima regola filtrare tutto ciò che viene immesso dall’esterno nel sito (un campo di testo o scelta multipla tramite un checkbox). Infatti, oltre a poter inviare codice malevolo tramite i campi testo si potrebbe modificare l’ invio dei valori http, inserendo dati diversi da quelli contenuti dalla checkbox.
Ecco perché l’ importanza di usare funzioni come htmlspecialchars o htmlentities di php per ripulire di qualunque elemento pericoloso il testo da inviare, come ad esempio codice javascript. Altre funzioni da tenere in considerazione sono quelle per controllare le stringhe da inviare al database, come mysqli_real_escape_string o pg_escape_string.
Cosa molto importante non si deve pensare che basta effettuare dei controlli tramite javascript ma ci si deve affidare sempre a un linguaggio server-side, infatti javascript essendo un linguaggio client-side, può essere disattivato dall’utente rendendo inutile qualsiasi forma di controllo.
Queste precauzioni servono nel caso in cui si sviluppi l’ intero sito da zero.
Nel caso in cui si faccia uso di un CMS, bisogna verificare che si stia usando l’ ultima versione disponibile e nel caso in cui si installano plug-in, bisogna verificare che siano dotati dei giusti sistemi di filtraggio dell’input utente.
Altro punto molto importante è la scelta dell’hosting, dobbiamo controllare con attenzione le varie versioni dei software del server come apache, php e mysql, che devono essere le più aggiornate possibile, infatti anche se si scrive dell’ottimo codice tutto può essere vanificato dall’usare un server con software antiquato, che a causa di falle conosciute dall’hacker permetta un attacco al proprio sito.
Infine ricordare che la gestione della sicurezza non finisce con il completamento del progetto, ma il sito va sempre tenuto sotto controllo, verificando che nel tempo non emergano possibili bug all’interno del codice.
