Google ha annunciato la disponibilità della versione sperimentale di un nuovo strumento per il test delle applicazioni web, battezzato “DOM Snitch“. Sviluppato da Radoslav Vasilev, ingegnere facente parte del gruppo di sviluppatori di Google, e prelevabile da questa pagina, “DOM Snitch” aiuta il programmatore nell’individuare eventuali vulnerabilità di sicurezza sfruttabili lato client.
La nuova applicazione si propone sotto forma di estensione per Chrome che, una volta attivata, si occupa di inserire degli “agganci” all’interno del codice che forma una pagina web. “DOM Snitch“, una volta abilitato, informa l’utente non appena dovesse essere rilevata una vulnerabilità sfruttabile per sferrare attacchi. Google spiega che lo strumento appena messa a punto può fornire un valido aiuto sia agli sviluppatori di applicazioni web sia al team che si occupa del controllo di qualità evidenziando l’utilizzo di codice non sicuro.
DOM, acronimo di “Document Object Model“, è uno standard ufficiale W3C per la rappresentazione di documenti strutturati, quali sono le pagine web. Il DOM di un documento HTML può essere rappresentato come un albero in cui le foglie sono le varie tag.
Simile ad altri software di test targati Google (i.e. Skipfish), “DOM Snitch” è ugualmente opensource e gratuito. La sua azione si concentra in particolare sul controllo del codice JavaScript in modo tale da controllare che non vi siano chiamate a metodi DOM che possano rappresentare dei rischi minando alla sicurezza dell’applicazione in corso di sviluppo.
L’applicazione può operare in tre diverse modalità: “passiva”, “invasiva” o “standby”. Il programmatore ha così modo di limitarsi a controllare quali attività stanno avendo luogo all’interno del DOM di una pagina web o fermare all’occorrenza l’esecuzione del codice intercettando e modificando i dati in tempo reale.