I rischi dello sniffing.
Mauro Goretti & Aramini Parri Lucia |
I rischi dello sniffing.
Tutti i browser sono dotati di una
stringa UA (User Agent), ovvero
di una breve stringa di testo che include nome, versione del browser
e tipo di piattaforma; la stringa UA svolge
la funzione di firma digitale del browser impiegato per visualizzare
una determinata pagina. I server web registrano spesso la stringa UA
di chi visita un sito, in modo
da accumulare informazioni che permettano di conoscere meglio la
tipologia di utente che visita un sito. In realtà però gli
amministratori del sito utilizzano codice JavaScript o
istruzioni lato server per esaminare la stringa UA allo
scopo di far visualizzare un contenuto appropriato per la piattaforma
o per la versione del browser utente. Il problema di questa forma di
“sniffing”
(tecnica di analisi del browser) è che la stringa UA è
inaffidabile. Il livello di sicurezza del computer utente o le
impostazioni di rete possono fare in modo che la stringa non venga
trasmessa al server, il che comporta il fallimento dello script di
“sniffing”: in conclusione, l'utente non visualizza le pagine in
modo adeguato. Si deve inoltre considerare che tutti i browser
moderni permettono all'utente di modificare la propria stringa UA,
utilizzando apposite estensioni
(Firefox) oppure
sfruttando un componente nativo del browser (Safari e
Opera). Prima della versione
8.02 l'impostazione di default del browser Opera
identificava se stesso come
Intenet Explorer, proprio per evitare il blocco di siti che
escludevano l'utilizzo di browser diversi da IE. La
fallibilità dello “sniffing” è stata evidenziata a seguito del
recente rilascio di Opera 10, la
prima versione identificata da doppia cifra. Questa importante
pietra miliare dei browser è stata corrotta durante la fase di beta
release del browser, quando una serie di maldestri script di
intercettazione del browser ha alterato la registrazione della
seconda cifra del numero di versione di Opera 10,
identificando l'applicazione
come “Opera 1”.
Questo problema si è manifestato in modo così diffuso da
costringere i progettisti del browser a modificare l'identificazione
della versione da “Opera 10.00” a
“Opera 9.80”, valore
che corrisponde all'ultima versione in cifra singola
(http://dev.opera.com/articles/view/opera-string-changes).
Sfortunatamente,
questo “millennium bug” della versione è destinato a ripetersi
per tutti i browser che raggiungeranno prima o poi il numero di
versione a doppia cifra, a meno di abbandonare lo “sniffing” del
browser e adottare una tecnica di sviluppo più vicina agli standard
web.
Commenti
Posta un commento
Ciao a tutti voi, sono a chiedervi se avete preferenze per Post di vostro interesse
in modo da dare a tutti voi che mi seguite un aiuto maggiore, grazie per la vostra disponibilità.