Bezpečnostní díry webů může najít bezplatný nástroj od Googlu

22. 6. 2011

Sdílet

Experimentální rozšíření prohlížeče Chrome, které je schopno detekovat bezpečnostní díry uživatelských webových aplikacích, představila společnost Google.

DOM Snitch, rozšíření internetového browseru Googlu, mohou vývojáři využít pro skenování svých webových aplikací. Zmíněný doplněk podle slov jeho tvůrců je schopen označit tu část programového kódu,  která by mohla být zranitelná vůči útokům hackerů.
Jedná se o bezplatný nástroj, který je navržen tak, aby doslova „vyčenichal" takové potenciální bezpečnostní díry ve webových aplikacích třetích stran, které by mohly znamenat riziko při využití takových ataků, jako je například tzv. client-side scripting.
„Abychom byli schopni takovou pomůcku vytvořit, využili jsme hned několik různých přístupů pro zachycení volání JavaScriptu vůči klíčovým a potenciálně nebezpečeným infrastrukturním prvkům internetového prohlížeče – jde například o document.write nebo o  HTMLElement.innerHTML," uvádí Radoslav Vasilev, výzkumník společnosti Google.
kromě vývojářů je  nástroj DOM Snitch cílen i na dalšÍ skupiny IT odborníků, jako jsou například testeři programového kódu či bezpečnostní analytici..
Novinka zobrazuje modifikace DOM (document object model) v reálném čase, takže vývojáři nemusí kvůli tomu, aby spustili debugging, pozastavovat své aplikace. DOM Snitch těmto pracovníkům rovněž nabízí možnost exportovat příslušné reporty, které tak lze sdílet s ostatními pracovníky, kterí jsou zainteresováni do vývoje a optimalizace odpovídajícíc webové aplikace.

Google podle svých slov rovněž pracuje na nástroji určeném pro testování aplikací na straně serverů – jde například o produkty Skipfish a Ratproxy. Důvodem pro angažování v  oblasti bezpečnosti je podle něj to, že  počet bezpečnostních děr ve webových aplikacích v poslední době enormně roste – stoupá přitom i jejich sofistikovanost a složitost.