La domanda posta, riferita ai cookie e base di partenza di questo progetto, è: "Quante cose si ’rompono’ se impostiamo manualmente i parametri Secure e Http- Only?" Gli standard di sicurezza web sono spesso definiti da organizzazioni, compag- nie, sviluppatori indipendenti e appassionati. Può un utente finale, o un software da lui utilizzato, indirizzare queste figure verso una direzione coerente e influen- zare tali standard? Sono stati presi in esame i cookie. Essendo installati sulla macchina dell’utente, di facile accesso e modifica, sono ottimi candidati per rispon- dere a queste domande. È stato sviluppato un crawler, utilizzando Selenium su Python per pilotare i browser, in grado di visitare siti web, installarne i cookie, alterarne i parametri Secure e HttpOnly, rinviare nuove richieste e analizzarne le risposte. Tutti i cookie sono stati salvati, a scopo statistico, in un database. In- fine, è stato condotto un test manuale su un campione di siti per verificare "quante cose si rompono" quando i cookie alterati vengono utilizzati per operazioni di regis- trazione/login e successive. L’impatto misurato è importante: tra il 38% e il 48% dei siti risultano impraticabili anche per semplici operazioni di login. Una percentuale troppo alta per un uso quotidiano da parte degli utenti medi. Nonostante ciò, i risultati indicano che l’alterazione dei parametri Secure e HttpOnly potrebbe ac- compagnare i profili di sicurezza più restrittivi dei browser, che limitano e bloccano i cookie, il cui utilizzo può già causare malfunzionamenti di vario genere.
Hardening del browser per sicurezza e privacy ed analisi impatto user experience
PARIGI, ENRICO
2023/2024
Abstract
La domanda posta, riferita ai cookie e base di partenza di questo progetto, è: "Quante cose si ’rompono’ se impostiamo manualmente i parametri Secure e Http- Only?" Gli standard di sicurezza web sono spesso definiti da organizzazioni, compag- nie, sviluppatori indipendenti e appassionati. Può un utente finale, o un software da lui utilizzato, indirizzare queste figure verso una direzione coerente e influen- zare tali standard? Sono stati presi in esame i cookie. Essendo installati sulla macchina dell’utente, di facile accesso e modifica, sono ottimi candidati per rispon- dere a queste domande. È stato sviluppato un crawler, utilizzando Selenium su Python per pilotare i browser, in grado di visitare siti web, installarne i cookie, alterarne i parametri Secure e HttpOnly, rinviare nuove richieste e analizzarne le risposte. Tutti i cookie sono stati salvati, a scopo statistico, in un database. In- fine, è stato condotto un test manuale su un campione di siti per verificare "quante cose si rompono" quando i cookie alterati vengono utilizzati per operazioni di regis- trazione/login e successive. L’impatto misurato è importante: tra il 38% e il 48% dei siti risultano impraticabili anche per semplici operazioni di login. Una percentuale troppo alta per un uso quotidiano da parte degli utenti medi. Nonostante ciò, i risultati indicano che l’alterazione dei parametri Secure e HttpOnly potrebbe ac- compagnare i profili di sicurezza più restrittivi dei browser, che limitano e bloccano i cookie, il cui utilizzo può già causare malfunzionamenti di vario genere.| File | Dimensione | Formato | |
|---|---|---|---|
|
948760_parigi_tesi_triennale.pdf
non disponibili
Tipologia:
Altro materiale allegato
Dimensione
914.15 kB
Formato
Adobe PDF
|
914.15 kB | Adobe PDF |
I documenti in UNITESI sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.
https://hdl.handle.net/20.500.14240/111728