Extended Summary of "An empirical study
of the use of integrity verification
mechanisms for web subresources"
Bertil Chapuis, Olamide Omolola, Mauro Cherubini, Mathias Humbert, Kévin Huguenin.
An Empirical Study of the Use of Integrity Verification Mechanisms for Web
Subresources. The Web Conference (WWW), Apr 2020, Taipei, Taiwan.
RELATORE:
PROF. ALBERTO BARTOLI
LAUREANDO:
GIACOMO BONORA
UNIVERSITÀ DEGLI STUDI DI TRIESTE

INTRODUZIONE
• Pagine Web HTML includono:
• Immagini e video
• Fogli di stile
• Link
• Script
• …
•Content Delivery Network (CDN) ospita sottorisorse esterne
•Uso e adozione dell’integrità delle sottorisorse (SRI)
UNIVERSITÀ DEGLI STUDI DI TRIESTE

CDN
VANTAGGI
• Costi minori
• Minore latenza
• Maggiore affidabilità
SVANTAGGI
• Possibilità di alterazione delle
sottorisorse
• Rete di server localizzata in diverse aree geografiche
UNIVERSITÀ DEGLI STUDI DI TRIESTE

SRI
• Funzione di sicurezza
• Inclusione di un hash crittografico (digest) della sottorisorsa
nella pagina HTML
• Una risorsa può essere alterata per diversi motivi:
• Canale di comunicazione compromesso
• Memoria del server compromessa
• Modifica dall’amministratore
UNIVERSITÀ DEGLI STUDI DI TRIESTE

ANALISI (I)
• Dal 2016-06 al 2019-09
• Due fonti di dati:
oCommon Crawl (CC): crea e mantiene archivio istantanee web
 CC-SRI
 CC-all-1%
o Umbrella 1 Milion (Top1m): classifica primo milione nomi di
dominio più popolari
UNIVERSITÀ DEGLI STUDI DI TRIESTE

ANALISI (II)
• Adozione HTTPS
• Entità della minaccia
• Adozione SRI
• Utilizzo SRI
UNIVERSITÀ DEGLI STUDI DI TRIESTE

SONDAGGIO
• Rivolto agli sviluppatori web
• Indagine conoscenza e utilizzo SRI
• 227 partecipanti
UNIVERSITÀ DEGLI STUDI DI TRIESTE

CONCLUSIONE
• Obiettivo migliorare consapevolezza e comprensione SRI
• Utilizzo SRI in costante aumento
 Condizionato da codici forniti per gli sviluppatori
UNIVERSITÀ DEGLI STUDI DI TRIESTE

Grazie per l’attenzione
GIACOMO BONORA
02/03/2023
UNIVERSITÀ DEGLI STUDI DI TRIESTE