Chi gestisce un sito Web ha tante preoccupazioni ma una prevale su tutte: riuscire a tenere gli intrusi fuori dal proprio sistema. E questo non è sempre facile, soprattutto oggi, nel 2010, epoca in cui il Web non è più una semplice accozzaglia di pagine statiche in HTML connesse fra loro per mezzo degli hyperlinks; oggi i siti Web sono dinamici, le pagine vengono generate a richiesta e in tempo reale, fornendo contenuti diversi per navigatori diversi e in funzione di ciò che questi cercano. Molti di questi siti, inoltre, sono vere e proprie comunità virtuali alle quali è possibile aderire attraverso una procedura di registrazione, effettuata la quale potremo interagire con altri utenti della stessa comunità.
Quanto descritto è possibile grazie all’uso dei linguaggi di programmazione per il Web come PHP o Python, usati congiuntamente con linguaggi per l’accesso ai database (MySQL o SQL): questi, però, come tutte le applicazioni informatiche, non sono esenti da difetti. Un bug in PHP, però, è sicuramente più pericoloso di un bug presente nel codice di un’applicazione desktop, poiché un abile programmatore malintenzionato potrebbe sfruttare quel bug per introdursi nel server in cui è in esecuzione la versione fallata di PHP.
Come fare a difendersi, allora? La soluzione migliore è sempre quella di giocare d’anticipo, cercando sempre informazioni su eventuali falle di sicurezza presenti nelle applicazioni Web che usiamo (WordPress, Joomla e simili) e aggiornare il server (o chiedere all’amministratore di farlo) in maniera pressoché costante. Quanto alle informazioni utili, invece, fino a qualche mese fa era disponibile un sito chiamato Milw0rm nel quale la comunità hacker pubblicava gli exploit individuati in sistemi operativi, linguaggi di programmazione (sia online che offline), applicazioni Web, applicazioni desktop e altro: si era così costituito un enorme elenco di informazioni che gli stessi sviluppatori usavano per correggere il codice segnalato su Milworm e rilasciare i dovuti aggiornamenti.
