Sicurezza delle applicazioni web con autorizzazione basata sui JSON Web Token = Security of web applications which use JSON Web Token - based authorization

L'utilizzo di JSON Web Token (JWT) per l'autorizzazione nelle applicazioni web è una prassi diffusa. I JWT offrono numerosi vantaggi, tra cui la semplicità di implementazione, la flessibilità e l'interoperabilità. Tuttavia, i JWT presentano anche alcune vulnerabilità che possono essere sfruttate per compromettere la sicurezza del sistema. È dall'esigenza di protezione che nasce il progetto Neptunum. Neptunum si compone di due moduli separati: il primo, "Hide & Seek", simula gli attacchi in maniera automatica, avendo come input una serie di pacchetti che contengono il JWT, il secondo, "Tridentis", ha il compito correggere le vulnerabilità. Tridentis è progettato come un server proxy, in modo da essere integrato senza modificare il sistema da proteggere. Tridentis riesce ad individuare tutti gli attacchi basati sulle vulnerabilità ad oggi note dei JWT. Inoltre implementa la protezione contro la sottrazione dei token da parte di utenti malevoli. I controlli effettuati si basano sul formato del token e sono volutamente semplici in modo da non gravare sulle prestazioni del sistema. Ci sono molti vantaggi ad usare Neptunum: - Si ottiene una ottima protezione contro gli attacchi noti alle applicazioni web che utilizzano i JWT come metodo di autorizzazione. Dai test effettuati il 100% delle chiamate con token contraffatti è risultata rigettata dal proxy, senza arrivare al server. - Implementa l'invalidazione dei token che, attraverso l'analisi del mittente, risultano rubati. - Tecnologicamente neutro, Neptunum risulta integrabile in molto sistemi senza apportare modifiche a quest'ultimi. Ovviamente il tempo di risposta del sistema aumenta inevitabilmente, portandolo ad a vere una maggiorazione di circa 150ms. Questo comporta alla perdita di 3 pacchetti al secondo. Neptunum rappresenta un passo avanti nella sicurezza delle applicazioni web che utilizzano i JWT. La sua efficacia nel prevenire gli attacchi, la flessibilità e la semplicità d'uso lo rendono una scelta ideale per chi ha la necessità di un elevato livello di protezione per le applicazioni web.