analisi della Sicurezza di Refmanager

[paocol84]

Egregi signori,
posto l'argomento qui perchè non sono riuscito a trovare un contatto con il responsabile dello sviluppo di RefManager.
Vi scrivo perchè di recente sto lavorando - in collaborazione con l’Università degli Studi di Bergamo, con il Prof. Paolo Salvaneschi, docente di Ingegneria del Software e di Intelligenza Artificiale presso la stessa università e con l’Ing. Antonio Riva, ad uno studio riguardante modelli di sicurezza per le applicazioni web. L’obiettivo di questo studio è realizzare un modello ed un software per l’analisi di applicazioni web esistenti e correntemente utilizzate, che sia in grado di fornire un’analisi quantitativa della sicurezza di una applicazione web esistente; tale analisi comprende le motivazioni per cui un’applicazione web è stata dichiarata sicura o insicura, nonché le possibili azioni a basso costo che possono essere intraprese dai responsabili per migliorare il grado di sicurezza dell’applicazione.
Questo modello, ed il software, sono applicabili a qualunque tipologia di applicazione web: dai motori di ricerca ai portali, dai siti di e-commerce ai giochi online basati su motori sql.

Il motivo per cui vi scrivo è che un prototipo di tale applicazione è già stato sviluppato dal mio collega Antonio Riva; tale prototipo, però, necessita di una fase di taratura, che è possibile effettuare solamente mediante l’ausilio di applicazioni web esistenti.
Stiamo quindi cercando enti (anche sportivi, come l'AIA con il vostro ottimo RefManager!) o aziende disposte a sottoporre le proprie web application a test protetti e non invasivi, senza costi da sostenere. I test saranno localizzati nel tempo (saranno condotti in un arco temporale massimo di due giornate, in fasce orarie protette e ben definite, con giorni ed orari da concordare) e non richiedono lavoro, impegno o supervisione da parte di vostre risorse, in quanto saranno condotti all’interno dei laboratori informatici dell’Università degli Studi di Bergamo da personale accademico da noi scelto e formato per l'occasione. Eventuali dati sensibili ottenuti in questa fase non saranno divulgati a terzi.

Oltre a non richiedere alcun impegno se non da parte mia, ad ogni azienda che ci permetterà di condurre test non invasivi sulla sua web application rilasceremo un documento formale comprendente i risultati delle nostre analisi e le nostre considerazioni. Tale documento riassume le caratteristiche di sicurezza strutturale e comportamentale dell’applicazione web, fornendo indicazioni riguardanti eventuali problematiche riscontrate in fase di analisi dell’applicazione. Ogni applicazione a cui ci verrà permesso di lavorare ci permetterà di effettuare rilevazioni e considerazioni che permetteranno di irrobustire il nostro modello e, di conseguenza, il nostro software.

I risultati di questo lavoro, inoltre, compariranno in una tesi di secondo livello del corso di laurea Specialistica in Ingegneria Informatica, che sarà sostenuta presso l’Università degli Studi di Bergamo e la cui discussione è prevista per Dicembre 2010. A discrezione dello sviluppatore di RefManager, il nome dell’azienda potrebbe essere citato durante tale discussione, e potrebbe essere anche questo un modo per fare conoscere RefManager.