{"id":51306,"date":"2018-02-05T21:47:06","date_gmt":"2018-02-05T20:47:06","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=51306"},"modified":"2019-07-11T21:55:08","modified_gmt":"2019-07-11T20:55:08","slug":"html5-sicuro-vulnerabilita","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/html5-sicuro-vulnerabilita\/51306\/","title":{"rendered":"L&#8217;HTML 5 \u00e8 davvero cos\u00ec sicuro? ecco le vulnerabilit\u00e0 a cui stare attenti"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-6a0c4727dd5be\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-6a0c4727dd5be\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/html5-sicuro-vulnerabilita\/51306\/#HTML_5_Prima_vulnerabilita_il_codice_sorgente_e_troppo_leggibile_e_attaccabile\" >HTML 5. Prima vulnerabilit\u00e0: il codice sorgente \u00e8 troppo leggibile e attaccabile<\/a><ul class='ez-toc-list-level-2' ><li class='ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/html5-sicuro-vulnerabilita\/51306\/#HTML_5_Secondo_bug_non_ci_sono_strumenti_di_sicurezza_per_i_tutti_i_browser\" >HTML 5. Secondo bug: non ci sono strumenti di sicurezza per i tutti i browser<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/alground.com\/site\/html5-sicuro-vulnerabilita\/51306\/#HTML_5_la_terza_falla_e_facilissimo_inserire_codice_malevolo\" >HTML 5, la terza falla: \u00e8 facilissimo inserire codice malevolo<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/alground.com\/site\/html5-sicuro-vulnerabilita\/51306\/#HTML_5_Come_mettere_in_sicurezza_il_codice_e_i_video\" >HTML 5. Come mettere in sicurezza il codice e i video<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/alground.com\/site\/html5-sicuro-vulnerabilita\/51306\/#HTML5_limportanza_degli_aggiornamenti\" >HTML5: l\u2019importanza degli aggiornamenti<\/a><\/li><\/ul><\/li><\/ul><\/li><\/ul><\/nav><\/div>\n<p>L&#8217;<strong>HTML 5,<\/strong> il nuovo linguaggio erede di Flash Player \u00e8 davvero cos\u00ec completamente al sicuro? O esistono delle <strong>vulnerabilit\u00e0 di sicurezza<\/strong> che lo rendono un prodotto non del tutto inattaccabile?<\/p>\n<p><strong>Adobe Flash Player,\u00a0<\/strong>lo storico strumento per la visualizzazione di elementi multimediali su internet, che ha dominato gli anni &#8217;90 e i primi anni 2000,\u00a0cesser\u00e0 di esistere nel 2020 ed la soluzione destinata a prendere il suo posto \u00e8 senza dubbio l\u2019<strong>HTML 5<\/strong>, ormai da tempo considerato da sviluppatori ed utenti il degno successore di questo programma.<\/p>\n<p>Tecnicamente l\u2019HTML5 possiede delle caratteristiche che rendono pi\u00f9 facile per i <strong>programmatori<\/strong> creare dei siti web in grado di caricare e far funzionare video in differenti formati: il contenuto che \u00e8 possibile ottenere non avr\u00e0 problemi infatti ad essere riprodotto su computer desktop, tablet, smartphone, televisori e piattaforme di gaming.<\/p>\n<p>E non si pu\u00f2 fare a meno di ricordare che anche <strong>YouTube<\/strong>, il noto aggregatore di video, \u00e8 gi\u00e0 passato da tempo all\u2019HTML5 abbandonando Adobe Flash Player e dando modo di adattare e far cambiare automaticamente la risoluzione video in base alla <strong>connessione di rete<\/strong> dell&#8217;utente finale per ottenere una migliore performance.<\/p>\n<p>Un altro esempio? E\u2019 grazie a questa tecnologia che i gamer della Xbox One possono eseguire delle live stream delle proprie partite.<\/p>\n<figure id=\"attachment_51309\" aria-describedby=\"caption-attachment-51309\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-51309 size-full\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2018\/02\/html52.jpg\" alt=\"\" width=\"780\" height=\"300\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/02\/html52.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/02\/html52-300x115.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/02\/html52-768x295.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-51309\" class=\"wp-caption-text\">Per ottenere un prodotto completo soprattutto in materia di streaming e video conferenza l&#8217;HTML 5 deve essere integrato con Javascript e CSS3.<\/figcaption><\/figure>\n<p>Attenzione per\u00f2: questo non significa che tale struttura possa rimpiazzare interamente il prodotto di Adobe: l\u2019HTML5 non \u00e8 infatti in grado, ad esempio, di interagire con una webcam e l\u2019audio registrato da un microfono e da solo non pu\u00f2 essere usato per creare animazioni o video interattivi. In questi casi vi \u00e8 bisogno di integrare <strong>JavaScript<\/strong> o <strong>CSS3<\/strong> per raggiungere il risultato sperato.<\/p>\n<p>Ma sul fronte della sicurezza? L&#8217;HTML5 \u00e8 pi\u00f9 sicuro da usare in alternativa a Flash? Sicuramente s\u00ec. Ma vi sono delle falle alle quali fare attenzione per prevenire i problemi.<\/p>\n<h1><span class=\"ez-toc-section\" id=\"HTML_5_Prima_vulnerabilita_il_codice_sorgente_e_troppo_leggibile_e_attaccabile\"><\/span>HTML 5. Prima vulnerabilit\u00e0: il codice sorgente \u00e8 troppo leggibile e attaccabile<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<p>Una delle prime vulnerabilit\u00e0 collegate all\u2019HTML5 risiede nel codice sorgente facilmente leggibile da qualsiasi browser in tutte le pagine che non hanno una connessione criptata. Qualsiasi persona capace di visionare l\u2019<strong>header<\/strong>, le sezioni, gli articoli ed i <strong>tag video<\/strong> potrebbe essere in grado di raggiungere i file video. Un semplice esempio di codice non criptato facilmente sfruttabile:<\/p>\n<blockquote><p>&lt;video width=&#8221;320&#8243; height=&#8221;240&#8243; controls&gt;<\/p>\n<p>&lt;source src=&#8221;movie.mp4&#8243; type=&#8221;video\/mp4&#8243;&gt;<\/p>\n<p>&lt;source src=&#8221;movie.ogg&#8221; type=&#8221;video\/ogg&#8221;&gt;<\/p>\n<p>&lt;source src=&#8221;movie.webm&#8221; type=&#8221;video\/webm&#8221;&gt;<\/p>\n<p>&lt;\/video&gt;<\/p><\/blockquote>\n<p>Come \u00e8 possibile notare, i file video sono elencati in bella vista con tutto ci\u00f2 che necessita ai <a href=\"https:\/\/www.alground.com\/origin\/guida-ipad-browser\/40373\/\">browser<\/a> per visualizzarli, sia sui dispositivi fissi che mobili. E sebbene alcuni formati non possano contare su supporti diretti da parte di alcuni browser, nella maggior parte dei casi basta una semplice<strong> connessione ad internet<\/strong> per dare modo ai malintenzionati di agire sui brani video del sito.<\/p>\n<p>Tramite software di terze parti in grado di convertire i file <strong>AVI<\/strong> in <strong>MP4<\/strong> o se le clip video sono caricate tutte in questo formato, facilmente leggibile da ogni browser<strong>,\u00a0<\/strong>si possono eseguire danni concreti.<\/p>\n<p>Un hacker o chiunque voglia sferrare un attacco, con un codice HTLM5 non criptato, non avr\u00e0 problemi a trovare i video, farne una copia, modificarne i frame inserendo codice pericoloso e da l\u00ec tentare di entrare nell&#8217;amministrazione del sito web.<\/p>\n<figure id=\"attachment_51311\" aria-describedby=\"caption-attachment-51311\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-51311 size-full\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2018\/02\/html5.jpg\" alt=\"\" width=\"780\" height=\"300\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/02\/html5.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/02\/html5-300x115.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/02\/html5-768x295.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-51311\" class=\"wp-caption-text\">Il codice sorgente, se troppo visibile, pu\u00f2 essere pesantemente sfruttato dai pirati informatici<\/figcaption><\/figure>\n<h2><span class=\"ez-toc-section\" id=\"HTML_5_Secondo_bug_non_ci_sono_strumenti_di_sicurezza_per_i_tutti_i_browser\"><\/span>HTML 5. Secondo bug: non ci sono strumenti di sicurezza per i tutti i browser<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Un\u2019altra vulnerabilit\u00e0 di questo codice, da non sottovalutare, \u00e8 che manca di strumenti e sistemi di sicurezza sufficientemente solidi. Il problema fondamentale \u00e8 la mancanza di un\u00a0<strong>sistema di autenticazione FIDO (Fast Identity Online)<\/strong>\u00a0che rende la maggior parte dei browser esposti all&#8217;esecuzione di codice dannoso, nascosto tra le pieghe dei tag HTML 5.<\/p>\n<p>Solo Firefox 54 e Xbox One al momento hanno parzialmente implementato questo sistema ma il WWWC (World Wide Web Consortium) non ha ancora elaborato delle regole di sicurezza comuni per tutti i browser, nel momento in cui visualizzano una pagina in HTML 5.<\/p>\n<p>Grazie ad <strong>HTML5Test<\/strong>, un\u2019applicazione web molto popolare che calcola quanto funzionino bene i diversi browser, si pu\u00f2 verificare come i pi\u00f9 sicuri per visualizzare l&#8217;HTML 5 siano <strong>Opera 45<\/strong> ( punteggio 518 su 555) e <strong>Edge 16<\/strong>. Ma si tratta di strumenti ancora incompleti e che non danno sufficiente protezione.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"HTML_5_la_terza_falla_e_facilissimo_inserire_codice_malevolo\"><\/span>HTML 5, la terza falla: \u00e8 facilissimo inserire codice malevolo<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>L\u2019ultima importante falla dell\u2019HTML5 consiste nel fatto che \u00e8 molto facile inserire del codice malevolo dall&#8217;esterno. L&#8217;HTML 5 in realt\u00e0 \u00e8 molto ricco di codici per far funzionare degli elementi: ci sono quelli per la\u00a0comunicazione come le chat integrate sui siti web, quelli che si occupano delle integrazione con i social network, gli strumenti per la\u00a0<a href=\"https:\/\/www.alground.com\/origin\/gestire-localizzazione-android\/41731\/\">geolocalizzazione<\/a>,\u00a0 o per gestire le applicazioni offline.<\/p>\n<p>Qualsiasi hacker o programmatore pu\u00f2 attaccare un sito tramite vulnerabilit\u00e0 dell&#8217;HTML 5 e inserire del codice malevolo creando danni: ad esempio pu\u00f2 attivare un loop infinito di un video o un elemento interattivo, bloccando un sito web.<\/p>\n<p>Problema simile nel caso in cui si attacchi un &#8220;sandboxed frame&#8221;: in questo caso si pu\u00f2 ottenere il totale blocco del video riprodotto nel sito. Non solo: anche i messaggi scambiati fra il sito web e i navigatori, come una chat per un supporto tecnico, possono essere alterati o spediti agli interlocutori sbagliati. E ancora: i web socket possono essere sottoposti ad <strong>attacchi DoS\u00a0<\/strong>e di conseguenza i server che ospitano il sito potrebbero dover gestire una serie di <b>richieste false\u00a0<\/b>in grado di rallentare il portale.<\/p>\n<p>Cosa indica questo? Che per quanto il formato HTML5 sia avanzato ed in grado di gestire al meglio la creazione e gestione di file video \u201cintelligenti\u201d, alcune sue falle nella sicurezza potrebbero mettere a rischio il sito web, a volte in modo maggiore rispetto a ci\u00f2 che accadrebbe utilizzando Flash.<\/p>\n<figure id=\"attachment_51310\" aria-describedby=\"caption-attachment-51310\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-51310 size-full\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2018\/02\/html51.jpg\" alt=\"\" width=\"780\" height=\"300\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/02\/html51.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/02\/html51-300x115.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/02\/html51-768x295.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-51310\" class=\"wp-caption-text\">Per l&#8217;HTML 5 il rischio pi\u00f9 elevato \u00e8 quello di esecuzione da parte del browser di codice malevolo inserito nelle pagine web<\/figcaption><\/figure>\n<h2><span class=\"ez-toc-section\" id=\"HTML_5_Come_mettere_in_sicurezza_il_codice_e_i_video\"><\/span>HTML 5. Come mettere in sicurezza il codice e i video<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Come gi\u00e0 anticipato, le falle di sicurezza nell\u2019HTML5 ci sono, ma questo non significa che non si possa fare niente per ovviare alla loro presenza. Ecco alcune delle azioni che si possono intraprendere:<\/p>\n<ul>\n<li><strong>Criptare il codice sorgente HTML5<\/strong> e rendere impossibile per le persone intenzionate ad attaccare il sito web l\u2019utilizzo di strumenti come <strong>Encrypt HTML Pro<\/strong><\/li>\n<li>Installare un\u2019utility in grado di<strong> filtrare il codice<\/strong> per rimuoverne le parti modificate e pericolose: il migliore in tal senso \u00e8 <a href=\"http:\/\/htmlpurifier.org\/\"><strong>HTML Purifier<\/strong><\/a><\/li>\n<li>mantenere sempre aggiornati i <strong>router wireless<\/strong> e i dispositivi Bluetooth<\/li>\n<li>ridurre i <strong>permessi<\/strong> relativi ai codici non sicuri<\/li>\n<li>prevenire la stampa o la copia del <strong>codice sorgente<\/strong><\/li>\n<li>cambiare le <strong>password<\/strong> di amministratore date di default<\/li>\n<li>trovare gli input provenienti da fonti non attendibili e non consentirgli di girare<\/li>\n<li>utilizzare <a href=\"https:\/\/html5test.com\/\"><strong>HTML5Test<\/strong> <\/a>per testare il supporto sicurezza per i propri browser<\/li>\n<li>far girare HTML5 con <strong>HTTPS<\/strong><\/li>\n<\/ul>\n<p>Per aumentare la sicurezza dell\u2019HTML5 utilizzato nel proprio sito \u00e8 poi raccomandato utilizzare i seguenti HTTP headers:<\/p>\n<ul>\n<li>X-Frame-Options<\/li>\n<li>X-XSS Protection<\/li>\n<li>Strict Transport Security<\/li>\n<li>Content Security Policy<\/li>\n<li>Origin.<\/li>\n<\/ul>\n<h3><span class=\"ez-toc-section\" id=\"HTML5_limportanza_degli_aggiornamenti\"><\/span>HTML5: l\u2019importanza degli aggiornamenti<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Le\u00a0<strong>falle dell&#8217;HTML5<\/strong> insegna una lezione inconfutabile: per godere di questo linguaggio, tutti gli strumenti collegati dovranno essere sempre aggiornati. Solo in questo modo si potr\u00e0 lavorare in modo sicuro.<\/p>\n<p>La futura dipartita di Adobe Flash Player rappresenter\u00e0 un problema? No. Il passaggio ad HTML 5 \u00e8 un passo in avanti gigantesco, specie per la sicurezza, e le\u00a0enormi possibilit\u00e0 dell\u2019HTML5 si vedono gi\u00e0 con grande soddisfazione. Ma \u00e8 importante ricordare che ogni persona o azienda che vorr\u00e0 lavorare con questo nuovo linguaggio dovr\u00e0 conoscerne gli inevitabili difetti, senza pensare di lavorare con uno strumento immune alle vulnerabilit\u00e0.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;HTML 5, il nuovo linguaggio erede di Flash Player \u00e8 davvero cos\u00ec completamente al sicuro? O esistono delle vulnerabilit\u00e0 di sicurezza che lo rendono un prodotto non del tutto inattaccabile? Adobe Flash Player,\u00a0lo storico strumento per la visualizzazione di elementi multimediali su internet, che ha dominato gli anni &#8217;90 e i primi anni 2000,\u00a0cesser\u00e0 di [&hellip;]<\/p>\n","protected":false},"author":149,"featured_media":51308,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"pmpro_default_level":"","_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[387],"tags":[],"class_list":{"0":"post-51306","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-guide-sicurezza","8":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2018\/02\/html53.jpg","wps_subtitle":"E\u2019 l\u2019erede di Adobe Flash. Ma anche l\u2019HTML 5, considerato da tutti pi\u00f9 sicuro e stabile, ha delle falle di sicurezza e dei bug da tenere a mente","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/51306","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/149"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=51306"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/51306\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/51308"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=51306"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=51306"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=51306"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}