O estado da Segurança Web

Com o avanço e a popularização da Internet, vivemos em constante desenvolvimento e conseqüentemente em um grande aprimoramento das tecnologias utilizadas neste meio. Como conseqüência, muitas destas tecnologias utilizadas há poucos anos atrás são substituídas rapidamente por novos padrões que surgem no mercado. Resultado disto também se demonstra na questão da segurança das informações e o foco que ela segue.

No artigo "The State of Web Security", Mike Andrews demonstra que a maioria dos ataques na década de 90 visava às redes e, nos dias de hoje, a maioria se concentra em aplicações que funcionam no alto delas.

A pressa em ganhar o mercado, lançar uma aplicação altamente inovadora faz com que grandes empresas pequem na segurança de suas aplicações, permitindo que hackers e criminosos vasculhem por vulnerabilidades e detectem em um curto espaço de tempo.

Devido a este fato, grandes empresas buscam iniciativas, através de projetos, muitos delesopen-source, com o intuito de conscientizar as mesmas a seguirem um padrão de desenvolvimento e testes das aplicações, buscando uma melhoria neste processo, porém, estamos longe ainda de uma padronização para a segurança no fluxo das informações na Web.

Quanto às ferramentas de testes, o artigo também salienta sobre a utilização das mesmas, citando que da mesma maneira que podemos usar para fins a favor do desenvolvimento de nossos softwares, qualquer pessoa, até mesmo de forma criminosa, poderia usar a mesma para vasculhar vulnerabilidades nas aplicações.

Concluindo, sem dúvida a Web tem se firmado como a plataforma dominante no desenvolvimento de aplicações nos últimos anos. Com o surgimento de novas tecnologias e constantes atualizações, tornando ainda o fluxo de dados e a confiabilidade das informações discutíveis em primeiro momento. Tecnologias como XML têm se demonstrado com grande futuro, porém, a contribuição da comunidade na implementação de padrões de segurança ainda são esperados. Através destas novas tecnologias, muitas outras surgem com o intuito de facilitar o desenvolvimento das aplicações, como o AJAX e os Web Services. Através da padronização do XML, estas facilitam o desenvolvimento e execução das aplicações tanto no cliente, como na comunicação de plataformas heterogêneas de forma transparente, nesta mesma ordem.

Porém, a segurança ainda necessita de aprimoramentos e acredito que o desenvolvimento na plataforma Web esteja apenas no começo, e em poucos anos novas tecnologias irão surgir, dando um foco a novos padrões de comunicação e segurança no fluxo das informações.

Figura 01.
A) Vulnerabilidades em softwares divulgadas no mês de maio/2006.
B) Os tipos atuais de vulnerabilidades em aplicações Web.
(Fonte: SecurityFocus.com)

Fonte:
Mike Andrews, "The State of Web Security," IEEE Security & Privacy, vol. 4, no. 4, July/August 2006, pp. 14-15.

Mike Andrews is a senior consultant at Foundstone, specializing in software security with a main focus on Web-based systems. He has a PhD in computer science from the University of Kent at Canterbury, UK. He is the coauthor of How to Break Web Software (Addison-Wesley, 2006).