analisi e gestione della sicurezza di una complessa applicazione ...

More documents

Recommendations

Info

CAPITOLO II - Talete: Autenticazione ed Autorizzazione regole CSS e da script che possono essere eseguiti direttamente dal client (tipicamente Javascript). È stato già accennato che il server prima di dare una risposta deve compiere un’elaborazione. Nel caso si tratti della richiesta di una semplice pagina HMTL presente sulla macchina del server (detta "statica"), l’elaborazione consiste solo nel prelievo del file dalle cartelle locali. Il client potrebbe richiedere anche una pagina che non è presente sulle cartelle locali ma che deve essere generata dinamicamente. In questo caso la richiesta è per una risorsa che contiene un programma (uno script lato server) fatto per "costruire" la pagina di risposta (detta “dinamica”). Questo script viene elaborato da un altro componente che è l’application server. Riepilogando quando arriva una richiesta per una pagina dinamica, il server la manda all’application server che risponde con la pagina HTML costruita ad hoc. Il motore di processamento Asp.NET si occupa di compilare, se necessario, ed eseguire il codice della pagina che può essere scritto in uno dei linguaggi del framework .NET, in genere C# o VB.net. Nei più noti linguaggi di scripting lato server, come JSP e PHP e nelle stesse vecchie ASP, il codice lato server viene scritto all’interno della pagina, nei punti in cui è necessaria un’interazione con il server. Il web server in questi casi incontra il codice server side e si occupa di inviarlo all’applicazione che lo può tradurre. Tutto il codice client side (HTML, JavaScript), invece, viene inviato al client senza elaborazioni. In Asp.NET il processo è completamente differente. Quando una pagina è richiesta per la prima volta al server Asp.NET, viene compilata, e trasformata in un class file scritto nel linguaggio MSIL. Il codice client side viene convertito in un insieme di espressioni di tipo output.Write (in modo simile a quanto fanno i Java application server quando convertono le pagine JSP nelle corrispondenti servlet). Le classi compilate non necessitano di essere ricompilate quando vengono richieste una seconda volta salvo che non abbiano subito delle modifiche. Tipicamente un’applicazione Asp.NET consiste in un insieme di web form, ognuna delle quali contiene oggetti. Sono oggetti ospitati ad esempio i pezzi di codice lato client (HTML), i controlli server ed altri oggetti ereditati ad esempio tramite la direttiva import. Se si confronta la velocità di Asp.NET rispetto ad ASP, è possibile notare un rallentamento di prestazioni 14
CAPITOLO II - Talete: Autenticazione ed Autorizzazione quando la pagina deve essere compilata, cioè la prima volta che viene richiesta, ma un notevole aumento di prestazioni a regime. 2.1.2 Il linguaggio C# La piattaforma .NET si può definire come una piattaforma multi-linguaggio: C#, VB.NET, C++ e JScript.NET, ai quali si è aggiunto J#. Da un punto di vista astratto, come si è già detto, la piattaforma è una sorta di middleware, vale a dire un ambiente di esecuzione che si pone al di sopra del sistema operativo. Le principali funzionalità che un linguaggio per .NET deve avere sono: 1 Object Oriented: organizzazione del codice in classi (la mente umana ragiona ad oggetti), contenenti campi e metodi; utilizzo di classi già definite e possibilità di personalizzazione di esse. 2 Eredità singola delle classi: definire le classi attraverso le “differenze” da una classe base. 3 Tipi di valore e di riferimento: forte tipizzazione e distinzione tra strutture dati allocate nella parte di memoria denominata stack e quella definita heap. 4 Gestione errori tramite eccezioni. Tra tutti i linguaggi supportati da .NET, per la creazione di Talete, è stato scelto C#, linguaggio creato da Microsoft specificatamente per il framework. C# è un linguaggio semplice, moderno, orientato agli oggetti e fortemente tipizzato, derivato da C, da C++ e da Java. Alcune delle sue caratteristiche sono: − pieno supporto per le classi e la programmazione orientata agli oggetti, compresa l’ereditarietà delle interfacce 15
Page 1 and 2: UNIVERSITÀ POLITECNICA DELLE MARCH
Page 3 and 4: INDICE INDICE .....................
Page 5 and 6: ELENCO DELLE FIGURE Figura 1 Home p
Page 7 and 8: CAPITOLO I - Introduzione 5
Page 9 and 10: CAPITOLO I - Introduzione tecniche
Page 11 and 12: CAPITOLO I - Introduzione 2 Gestion
Page 13 and 14: CAPITOLO II - Talete: Autenticazion
Page 15: CAPITOLO II - Talete: Autenticazion
Page 23 and 24: • Ampliamento della superficie di
Page 35 and 36: 2.4.5 Diagramma delle classi CAPITO
Page 43 and 44: CAPITOLO III - Progettare un’appl
Page 45 and 46: 3.2 Il significato dei design patte
Page 55 and 56: 4.1 Introduzione CAPITOLO IV - La s
Page 57 and 58: CAPITOLO IV - La sicurezza nelle we
Page 67 and 68:
CAPITOLO IV - La sicurezza nelle we
Page 69 and 70:
Page 71 and 72:
Page 73 and 74:
Page 75 and 76:
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Mentre con AnomynousTemplate si ha:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
CAPITOLO V - La sicurezza nell’ar
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
1 porsi dalla prospettiva dell’at
Page 107 and 108:
Page 109 and 110:
Page 111 and 112:
Page 113 and 114:
CAPITOLO VI - Gli attacchi e il pro
Page 115 and 116:
6.1 Progetto OWASP CAPITOLO VI - Gl
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
6.2.5 I vantaggi nascosti CAPITOLO
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 149 and 150:
6.10 Denial of Service CAPITOLO VI
Page 151 and 152:
6.11 Insecure Configuration Managem
Page 153 and 154:
CAPITOLO VII - Test per valutare la
Page 155 and 156:
7.1.1 Analisi del codice sorgente C
Page 157 and 158:
Page 159 and 160:
Page 161 and 162:
Page 163 and 164:
vulnerabilità critiche di applicaz
Page 165 and 166:
• Aggiungere la tecnologia SSL e
Page 167 and 168:
Durante questi anni universitari so
Page 169 and 170:
M. Fowler, D. Rice, M. Foemmel, E.
show all

analisi e gestione della sicurezza di una complessa applicazione ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?