Ogni giorno le applicazioni web diventano sempre più sofisticate e, insieme alla loro complessità, cresce anche la loro esposizione agli attacchi di malware. Per aiutare gli sviluppatori a proteggere le loro applicazioni, Google aveva già introdotto (e ci sta lavorando ancora) alcuni strumenti open source come Skipfish e Ratproxy. Ora ha rilasciato un’estensione sperimentale del suo browser Chrome con cui gli sviluppatori ed i tester potranno fare la scansione delle applicazioni e dei relativi flag code in grado di renderle vulnerabili.
Google ha dichiarato che il tool, interamente gratuito e denominato DOM Snitch, è stato progettato per fiutare potenziali buchi nella sicurezza del lato client delle applicazioni web che potrebbero essere sfruttate da attacchi come side-client scripting. La cosa rappresenta un passo fondamentale per l’imporsi delle web-app poiché la mancanza della necessaria sicurezza potrebbe minare pesantemente la fiducia con cui l’utenza abbraccia questo nuovo ambito.
Radoslav Vasilev, ingegnere del team di sicurezza Google, ha scritto nel suo blog ufficiale:
Per fare questo abbiamo adottato diversi approcci per l’intercettazione delle chiamate JavaScript alla potenzialmente dannosa infrastruttura browser nota come document.write o HTMLElement.innerHTML.
Tra le funzionalità presenti, lo strumento visualizza le modifiche in tempo reale, senza che gli sviluppatori debbano per forza sospendere l’applicazione ed eseguire un debugging tool. DOM Snitch permette inoltre ai developer di esportare i report del loro lavoro in modo che possano condividerli con altre persona che stanno lavorando al perfezionamento dell’applicazione incriminata.