analisi e gestione della sicurezza di una complessa applicazione ...
analisi e gestione della sicurezza di una complessa applicazione ...
analisi e gestione della sicurezza di una complessa applicazione ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
vulnerabilità critiche <strong>di</strong> applicazioni <strong>di</strong> questo tipo; in particolare sono state esaminate le<br />
vulnerabilità <strong>della</strong> piattaforma Talete seguendo le linee guida owasp 2.0, e i problemi che<br />
potrebbero nascere da <strong>una</strong> progettazione non sicura <strong>di</strong> <strong>una</strong> web application e quin<strong>di</strong> dalla sua<br />
architettura. Per fare questo, è stato usato un tool <strong>di</strong> Microsoft, il “Threat Analysis &<br />
Modeling”, grazie al quale è stata effettuata la mo<strong>della</strong>zione delle minacce; attraverso i reports<br />
<strong>di</strong> questo strumento sono state in<strong>di</strong>viduate tutte le possibili vulnerabilità dell’architettura <strong>di</strong><br />
Talete. Infine, dopo aver adottato tutte le eventuali contromisure agli attacchi e alle<br />
vulnerabilità segnalate, sono stati effettuati dei test con un software che ricerca vulnerabilità<br />
nelle web applications, il “Web Vulnerability Scanner”; i report del WVS hanno evidenziato<br />
che Talete è <strong>una</strong> piattaforma sicura.<br />
Per concludere va detto che la <strong>sicurezza</strong> assoluta non esiste, cosi come non esiste ad esempio la<br />
qualità totale, ma è un qualcosa a cui si può tendere e si deve farlo non applicando <strong>una</strong> tecnica,<br />
poi un’altra e cosi via (criptare i cookie, i parameters), ma creando un percorso a livello<br />
architetturale puntando i fari su ogni punto del ciclo <strong>di</strong> vita del software, come visto con la<br />
SDL <strong>di</strong> Microsoft, e considerando che:<br />
1 un livello <strong>di</strong> <strong>sicurezza</strong> del 100% non è raggiungibile, e comunque <strong>una</strong> strategia in merito<br />
alla <strong>sicurezza</strong> coinvolge <strong>di</strong>versi processi complessi e non tutti <strong>di</strong> tipo tecnico nel senso<br />
classico del termine.<br />
2 Le organizzazioni devono avere la convinzione <strong>di</strong> cercare <strong>di</strong> raggiungere un certo grado<br />
<strong>di</strong> <strong>sicurezza</strong> e protezione delle applicazioni software.<br />
3 Le aziende devono provvedere alla formazione degli operatori sin dai livelli più bassi.<br />
Inoltre nel corso del lavoro, abbiamo visto come nell’ultimo periodo sono stati molti gli<br />
incidenti <strong>di</strong> <strong>sicurezza</strong> informatica causati da co<strong>di</strong>ce mal scritto in applicazioni Web 2.0. Quin<strong>di</strong><br />
un ulteriore passo avanti potrebbe essere quello <strong>di</strong> potenziare le tecniche automatizzate o<br />
manuali <strong>di</strong> scansione con soli<strong>di</strong> meccanismi <strong>di</strong> in<strong>di</strong>viduazione degli errori che potrebbero<br />
intaccare il DOM lato client. Potrebbe essere <strong>una</strong> vera e propria sfida mettere in atto scansioni<br />
completamente automatiche per applicazioni Web 2.0, cosa che potrebbe essere risolta usando<br />
161