HTML 5 ha problemi di sicurezza, ma si sapeva

European Network and Information Security Agency ha redatto un documento che analizza le 50 falle di sicurezza individuate nelle specifiche HTML5. C'è ancora tutto il tempo per intervenire, considerato i W3C working group proseguiranno il lavoro di revisione fino al 2012.

European Network and Information Security Agency (ENISA), praticamente l'ente europeo per la cyber-sicurezza, ha rilevato numerosi problemi di sicurezza nelle specifiche HTML 5. In un documento di ben 65 pagine pubblicato ieri, ENISA è entrata nei dettagli e raccomandato al World Wide Web Consortium (W3C) di intervenire al più presto.

HTML5

"Penso che sia un momento speciale poiché è la prima volta che chiunque ha la possibilità di guardare l'insieme di queste specifiche sotto il punto di vista della sicurezza", ha dichiarato Giles Hogben, specialista dell'ENISA.

In dettaglio su 13 specifiche dell'HTML 5 sono stati individuati 50 problemi di sicurezza. Alcuni possono essere risolti semplicemente, altri invece hanno a che vedere con funzioni di cui gli utenti dovrebbero essere informati. Ad esempio il cosiddetto "form tampering", che semplifica la vita degli sviluppatori agevolando il posizionamento dei pulsanti di invio sulle pagine Web, potrebbe essere facilmente violato dai pirati informatici. Qualcuno potrebbe iniettare codice HTML "malevolo" capace di re-indirizzare le trasmissioni dati verso destinazioni illegittime. "Non stiamo suggerendo al W3C di eliminare questa funzione, ma solo agli utenti che devono essere al corrente dei rischi che crea", ha aggiunto Hogben.

In ogni caso le indicazioni dell'ENISA non devono essere considerate preoccupanti: questa è proprio una fase di analisi, valutazioni e test. I W3C working group hanno confermato infatti che rivedranno le specifiche entro gennaio  2012. HTML5 è uno standard ancora immaturo, ma tutti ne sono ben consci.