In questi giorni Anne van Kesteren, uno degli ideatori del DOM Standard ed ex software engineer per Opera Software, ha pubblicato un articolo sul blog ufficiale di Mozilla che tratta proprio di questo argomento. Il developer scrive della necessità di implementare dei secure context nei processi di sviluppo. Ogni nuova feature dovrebbe essere sempre rispettosa delle specifiche sui contesti sicuri approvate dal W3C.

Tutto ciò che è Web-exposed, quindi accessibile tramite la Rete, dovrebbe essere sempre inserito in un Secure Contexts, ovvero un ambiente dove ci sia la ragionevole certezza che il contenuto sia stato consegnato in modo sicuro (tramite HTTPS/TLS) e che la sua comunicazione verso contesti non sicuri sia limitata. L'obbiettivo principale dei Secure Context è quello di ostacolare gli attacchi di tipo man-in-the-middle e, dunque, di tutelare l'utente e i suoi dati sensibili.

Per van Kesteren uno dei principali passi verso l'adozione massiccia dei Secure Context è l'abbandono di tutte le connessioni HTTP non sicure e quindi l'adozione in massa del nuovo protocollo HTTPS/2 per ogni azione delle web application e dei siti web.

Ovviamente ci sono tutta una serie di legacy feature che è difficile adattare all'interno di un Secure Context. Lo stesso van Kesteren ammette che l'implementazione dei secure context ovunque è un operazione difficile che richiede tempo ed impegno da parte della community di sviluppatori. Tuttavia non si possono più ignorare le problematiche della sicurezza e il rispetto della privacy dell'utente.

Dunque, nel caso non sia possibile adattare una legacy feature all'interno di un secure context è sempre meglio rimuovere tale feature e riscriverla da zero in modo che l'utente sia tutelato.

Via Blog Mozilla

CommentaDi' la tua

Il tuo indirizzo email non sarà mostrato pubblicamente. I campi obbligatori sono contrassegnati da *