I rischi dello sniffing.

Mauro Goretti & Aramini Parri Lucia

I rischi dello sniffing.

Tutti i browser sono dotati di una stringa UA (User Agent), ovvero di una breve stringa di testo che include nome, versione del browser e tipo di piattaforma; la stringa UA svolge la funzione di firma digitale del browser impiegato per visualizzare una determinata pagina. I server web registrano spesso la stringa UA di chi visita un sito, in modo da accumulare informazioni che permettano di conoscere meglio la tipologia di utente che visita un sito. In realtà però gli amministratori del sito utilizzano codice JavaScript o istruzioni lato server per esaminare la stringa UA allo scopo di far visualizzare un contenuto appropriato per la piattaforma o per la versione del browser utente. Il problema di questa forma di “sniffing” (tecnica di analisi del browser) è che la stringa UA è inaffidabile. Il livello di sicurezza del computer utente o le impostazioni di rete possono fare in modo che la stringa non venga trasmessa al server, il che comporta il fallimento dello script di “sniffing”: in conclusione, l'utente non visualizza le pagine in modo adeguato. Si deve inoltre considerare che tutti i browser moderni permettono all'utente di modificare la propria stringa UA, utilizzando apposite estensioni (Firefox) oppure sfruttando un componente nativo del browser (Safari e Opera). Prima della versione 8.02 l'impostazione di default del browser Opera identificava se stesso come Intenet Explorer, proprio per evitare il blocco di siti che escludevano l'utilizzo di browser diversi da IE. La fallibilità dello “sniffing” è stata evidenziata a seguito del recente rilascio di Opera 10, la prima versione identificata da doppia cifra. Questa importante pietra miliare dei browser è stata corrotta durante la fase di beta release del browser, quando una serie di maldestri script di intercettazione del browser ha alterato la registrazione della seconda cifra del numero di versione di Opera 10, identificando l'applicazione come “Opera 1”. Questo problema si è manifestato in modo così diffuso da costringere i progettisti del browser a modificare l'identificazione della versione da “Opera 10.00” a “Opera 9.80”, valore che corrisponde all'ultima versione in cifra singola (http://dev.opera.com/articles/view/opera-string-changes). Sfortunatamente, questo “millennium bug” della versione è destinato a ripetersi per tutti i browser che raggiungeranno prima o poi il numero di versione a doppia cifra, a meno di abbandonare lo “sniffing” del browser e adottare una tecnica di sviluppo più vicina agli standard web.

Commenti

Post popolari in questo blog

INSTAFETCH - Android -

I pesci abissali. Zoologia marina.

La Centrale Idroelettrica.