CMSwire, una delle migliori testate on line riguardanti i Content Manager, ha recentemente pubblicato un articolo, intitolato non a caso "The Vulnerability of Web 2.0 Technologies", dedicato ai rischi derivanti da applicazioni create per il Web 2.0.
Il post si basa sui dati raccolti dall'"Application Security Trend Report for Q4 2007" stilato dalla Cenzic Inc. che in molti punti si schiera apertamente contro l'utilizzo di piattaforme Open Source e in particolare contro quelle realizzate in PHP.
Secondo il report appena citato:
- circa il 30% delle vulnerabilità rilevate riguardano applicazioni realizzate in PHP;
- il 70% delle vulnerabilità possono essere sfruttate in modo semplice rendendo le applicazioni ancora più esposte a possibili attacchi;
- il 10% delle vulnerabilità è da attribuirsi a problematiche legate ai Web server o a tecnologie ad essi correlate;
- solo il 5% delle vulnerabilità è dovuto a malfunzionamenti dei browser;
Nell'ultimo trimestre del 2007 il numero di vulnerabilità sarebbe cresciuto del 3%, mentre quello degli attacchi sarebbe passato da 1.3 milioni a 1.7. Da notare come il rapporto sottolinea che l'introduzione e la diffusione di nuove tecnologie come AJAX e gli RSS abbiano fornito ai malintenzionati uno strumento in più per attentare alla sicurezza delle applicazioni.
Dando uno sguardo superficiale ai dati raccolti la situazione, se non allarmante, sarebbe per lo meno critica. Prima di giungere a conclusioni affrettate, e a non dormire la notte per la paura di vedere il proprio CMS "bucato" da qualche malintenzionato, è però necessario sottolineare che la Cenzic Inc. è una società che ha il suo core business nella fornitura e vendita di soluzioni per la sicurezza in ambito IT; quindi lo studio va comunque letto sapendo che chi lo ha scritto non guadagnerebbe nulla dal fornire una visione idilliaca della situazione attuale.