Leggevo questo articolo sugli hash, la crittografia e la sicurezza delle password e non ho potuto fare a meno di pensare a quanto lo sviluppo lato server sia uno dei settori più stressanti e a volte frustranti del nostro lavoro come sviluppatori.
Lo sviluppo lato client ha come unico svantaggio quello di dover star dietro ai capricci dei browser, ma anche in questo senso la situazione è notevolmente migliorata nel corso degli ultimi anni. In fondo, chi poteva immaginare un IE10 nel 2007 ?
Viceversa, in PHP siamo letteralmente in trincea, bombardati da tutte le parti da ignoti attackers che sembrano non avere altro scopo nella vita che fare danno. E allora c'è lo scacco: o ci dedichiamo alla sicurezza per star dietro agli ultimi trend in fatto di exploit e vulnerabilità oppure facciamo il nostro lavoro.
Perchè noi ci occupiamo anche di sicurezza, mentre gli attackers si occupano solo di quello. È una lotta impari. Mi ricorda molto alcune scene di grandi battaglie dove l'eroe resta solo circondato dai nemici.
Sorrido quanto sento persone che sostengono di aver trovato la soluzione definitiva al problema con un algoritmo particolare a prova di bomba. Rasmus, perdona loro perchè non sanno quello che dicono.
Un aiuto potrebbe venire dall'affiancare allo sviluppatore un esperto di sicurezza. Ma qui le web agency non sono molto recettive, in quanto uno sviluppatore è in fondo un factotum a cui affidare persino le piccole riparazioni in ditta. Sei un tecnico, quindi lo puoi fare tu.
Concludo con la frase di apertura dell'articolo citato:
From time to time, servers and databases are stolen or compromised.
Appunto. Infatti il sito in questione era stato appena violato.