Google ha appena rilasciato uno strumento di sicurezza per aiutare i suoi clienti cloud a proteggersi contro eventuali attacchi alle applicazioni web. Google Cloud Security Scanner, disponibile gratuitamente in versione beta per gli utenti di Google App Engine, “è progettato per superare i diversi limiti presenti in altri security scanner per le applicazioni web” ha dichiarato Rob Mann, security engineering manager di Google.

Gli scanner commerciali possono essere complicati da impostare e spesso restituiscono molti falsi positivi; sono strumenti progettati più per i professionisti della sicurezza che non per gli sviluppatori. Lo scanner di Google è stato invece ideato per offrire una maggior semplicità di utilizzo, con lo scopo di individuare errori di codice che potrebbero favorire attacchi XSS (cross side scripting) e mixed content.

I primi avvengono frequentemente nelle pagine Web aperte ai contributi degli utenti, come i forum di discussione. Gli attacchi mixed content invece sfruttano i siti che mescolano pagine HTPPS sicure e normali pagine HTTP. Siti di questo genere traggono in inganno gli utenti, che pensano di navigare su pagine sicure quando in realtà non lo sono.

Lo scanner di Google ispeziona un’applicazione web in diversi passaggi. Prima controlla velocemente il codice HTML dell’applicazione, per poi scavare più in profondità nel codice JavaScript. Questo nuovo servizio non copre tutti i tipi di vulnerabilità, ma con il passare del tempo Google punta e spandere il suo scanner in modo da coprire un numero sempre maggiore di falle.

Al momento Amazon Web Services, il principale concorrente di Google Cloud Platform, non offre ai suoi clienti uno strumento di scansione per la sicurezza, anche se sul marketplace di Amazon non mancano servizi simili offerti da aziende di terze parti.