Nesta semana o Google lançou uma extensão experimental para o Chrome que testa a segurança das páginas no lado do cliente (navegador).
Não é a primeira ferramenta para desenvolvedores lançada pelo Google, visto que já existiam outras como Skipfish e Ratproxy. A maioria das ferramentas do gênero se preocupam em analisar o lado do servidor, mas a nova foca justamente no lado oposto: o cliente.
Assim surge a extensão DOM Snitch. Ela usa diversos métodos para interceptar as chamadas JavaScript e tenta encontrar possíveis brechas que passaram despercebidas no desenvolvimento. Hoje em dia é comum vermos web apps por todos os lados, mas encontrar falhas nelas nem sempre é fácil. Analisar o código manualmente ou por meio de um debugger é uma tarefa demorada e complicada. A DOM Snitch analisa e mostra várias coisas em tempo real, executando direto no navegador.
O público principal dela é formado por desenvolvedores de aplicações para a web, entusiastas e pesquisadores de segurança em geral. Usuários totalmente leigos não saberão lidar com os resultados, sendo necessário conhecer um pouco do meio em que estará entrando. Quem lida com Javascript diariamente e desenvolve apps para a web deve dar uma olhada.
A página da extensão é esta no Google Code. Lá há mais detalhes incluindo a documentação, embora para profissionais da área o uso não é complicado.
Ah, apesar de razoavelmente eficiente, essa extensão não faz milagres. Ela é dada como experimental, pode ser que evolua atendendo aos problemas atuais ou seja descontinuada, como não é difícil ver com alguns projetos pequenos do Google.