W3C Rilascio immediato

Il W3C Accelera gli Sforzi per Costruire un Web più Sicuro

Lancia i lavori sulla Autenticazione Web basati sulle specifiche della FIDO Alliance per una alternativa più sicura e flessibile all’accesso con password nel Web



http://www.w3.org/ — 17 Febbraio 2016 — Riconoscendo il ruolo critico della autenticazione forte per garantire una esperienza Web sicura per tutti, il World Wide Web Consortium (W3C) annuncia oggi l’inizio di un nuovo lavoro di standard per la Web Authentication atto ad offrire una alternativa più sicura e flessibile del log-in con password.

Per molti utenti del Web, le password sono fastidiose da usare e offrono una protezione debole per le loro interazioni - troppo spesso vengono dimenticate o impostate in configurazioni deboli e facili da indovinare. Anche le password robuste possono essere perse in caso di violazione di dati o catturate in risposta ad attacchi di phishing. Il nuovo lavoro di autenticazione Web del W3C, basato sulla member submission delle Web API FIDO 2.0 definite dalla FIDO Alliance, consentirà l'uso di operazioni di crittografia forti in luogo dello scambio di password. "

“Quando l'autenticazione forte diventa facile da implementare, rendiamo il Web più sicuro per l'uso quotidiano, personale e commerciale", ha detto Sir Tim-Berners-Lee, inventore del Web e Direttore del W3C. "Con la crescente portata e la frequenza degli attacchi, è imperativo per il W3C sviluppare nuovi standard e pratiche migliori per aumentare la sicurezza del Web."

L’autenticazione Web Complementa le Attività Correnti del W3C sulla Sicurezza Web

Secondo il CEO W3C Dr. Jeff Jaffe, lo sforzo sulla Autenticazione complementerà il lavoro precedente del W3C su una Web Cryptography API, attualmente nello stato di Candidate Recommendation, e il lavoro corrente sulle specifiche Web Application Security. La WebCrypto API fornisce una API Javascript verso una suite standard di operazioni crittografiche tra browser. Il lavoro nella WebAppSec include il miglioramento nella esperienza dell’ HTTPS ed aggiornamenti alla Content Security Policy (CSP), consentendo agli autori di applicazioni di definire una policy per quali contenuti attivi possono essere eseguiti sui loro siti, proteggendoli dall'iniezione di codice malizioso indesiderato o dannoso.

"Il nostro obiettivo è quello di elevare l'intera piattaforma Open Web ai più alti standard di sicurezza e di collaborare con l'industria, esperti del mondo accademico, e di altre organizzazioni di standard per garantire che le specifiche esigenze di sicurezza del Web siano soddisfatte", ha detto Jaffe. “Invitiamo un'ampia partecipazione per lavorare insieme su questa priorità principale per mantenere il Web più sicuro possibile oggi e nel prossimo futuro."

Wendy Seltzer, Technology and Society Domain Lead, dice che si aspetta che il nuovo lavoro di Autenticazione Web contribuisca a colmare una importante lacuna nella piattaforma Web. “Sappiamo che  i metodi di autenticazione sono migliori delle password, ma troppi siti web utilizzano ancora meccanismi di accesso basati su password. Le Web API standard faranno lavorare implementazioni consistenti nell'ecosistema Web. Il nuovo approccio andrà a sostituire le password con modi più sicuri per registrarsi all'interno di siti web, come l'utilizzo di una chiave USB o l'attivazione di uno smartphone. L’Autenticazione forte è utile per qualsiasi applicazione Web che desidera mantenere una relazione in corso con gli utenti ", ha commentato Seltzer.

Le Web API FIDO 2.0 per Avviare il Lavoro sulla Autenticazione Web

Il lavoro tecnico del W3C sulla Autenticazione Web è stato accelerato grazie alla W3C member submission di FIDO 2.0 Web APIs da parte dei membri della FIDO Alliance. Le API presentate mirano a garantire una autenticazione forte standard accettata da tutti i browser Web e le relative infrastrutture di piattaforma Web.

"La nostra missione è di rivoluzionare l'autenticazione nel Web attraverso lo sviluppo e l'adozione globale di specifiche tecniche che soppiantino la dipendenza del mondo dalle password grazie a una autenticazione forte interoperabile", ha dichiarato Brett McDowell, direttore esecutivo della FIDO Alliance. "Con l'accettazione da parte del W3C della sottomissione FIDO 2.0, e la costituzione di questo nuovo gruppo di lavoro sulla Autenticazione Web, siamo sulla buona strada per realizzare questa missione."

Il primo incontro del nuovo gruppo di lavoro sulla Autenticazione Web si svolgerà il 4 marzo 2016 a San Francisco, in un'ora opportuna per le persone che parteciperanno anche alla RSA USA Conference. Tutte le attività sugli standard W3C si svolgono in Working Groups che sono aperti alla partecipazione dei membri del W3C e forniscono mailing list pubbliche e repository per un commenti pubblici.

"Gli sviluppatori e gli ingegneri coinvolti negli sforzi del W3C per migliorare la sicurezza Web sono profondamente consapevoli della necessità di aggiornare i protocolli senza creare una discontinuità con il Web su cui si basano miliardi di persone", ha detto Seltzer. “Incoraggiamo davvero molto tutte le persone interessate ad aiutare il W3C a costruire un Web più sicuro ad essere coinvolte.”

A proposito del World Wide Web Consortium (W3C)

Il World Wide Web Consortium (W3C) è un consorzio internazionale nel quale le organizzazioni membri, uno staff full-time e il pubblico lavorano insieme al fine di sviluppare gli standard del Web. Il W3C persegue la sua missione principalmente attraverso la creazione degli standard Web e di linee guida concepite per assicurare una crescita a lungo termine del Web. Più di 400 organizzazioni sono Membri del Consorzio. Il W3C è gestito congiuntamente dal MIT Computer Science and Artificial Intelligence Laboratory (MIT CSAIL) negli Stati Uniti, dall' European Research Consortium for Informatics and Mathematics (ERCIM) con sede amministrativa in Francia, dalla Keio University in Giappone, e dalla Beihang University in Cina, e ha Uffici in tutto il mondo (Australia; Benelux; Brasile; Finlandia; Francia; Germania e Austria; Grecia; India; Italia; Korea; Marocco; Regno Unito e Irlanda; Russia; Spagna; Sudafrica; Svezia; Ungheria). Per ulteriori informazioni: http://www.w3.org/

Fine del comunicato stampa

Contatti per i media

Karen Myers, W3C <w3t-pr@w3.org>
Mobile: +1.978.502.6218