analisi e gestione della sicurezza di una complessa applicazione ...

More documents

Recommendations

Info

tecniche automatiche in combinazione con l’intelligenza dell’uomo. Inoltre il controllo delle applicazioni Web 2.0 deve essere eseguito con attenzione per scoprire possibili attacchi lato client e per mitigare il rischio sui sistemi degli utenti. Infine si può considerare il problema della sicurezza da un punto di vista manageriale: si può ipotizzare a tal fine che il livello di sicurezza da preventivare dipenda solo dal valore dei dati, trascurando altri fattori di per se minori. Innanzitutto si deve tenere in considerazione che un eccessivo livello di sicurezza rende il prodotto finale poco usabile: basti immaginare il caso in cui un login richieda tre password, oppure l’inserimento di un codice di controllo ogni quarto d’ora. Si possono dare per scontate le basilari regole dell’ingegneria del software per cui apportare delle modifiche al progetto in fase di sviluppo implica un costo che non è trascurabile. Affrontando un progetto per la realizzazione di un servizio basato su tecnologia Internet, sono di primaria importanza l’analisi della riservatezza delle informazioni trattate e l’identificazione di quale sia il corretto livello di sicurezza da realizzare. Chiaramente, il costo dell’infrastruttura di sicurezza è intimamente legato al livello di affidabilità che si vuole raggiungere; dare specifiche di tutela troppo stringenti se comparate alla riservatezza dei dati contenuti nel sistema può comportare uno spreco di risorse superiore al danno potenziale del furto delle informazioni stesse. E’ quindi sempre necessario relazionare lo sforzo economico previsto con il potenziale danno giungendo al giusto compromesso. Per quanto riguarda Talete, i passi successivi da compiere a breve termine nell’ambito della sicurezza sono diversi: • innanzitutto c’è bisogno di proteggere la macchina windows su cui gira il server virtuale, per evitare intrusioni da parte di utenti non autorizzati. • C’è bisogno di ottimizzare il codice, che in alcuni punti risulta poco leggibile e “dispendioso” dal punto di vista del tempo di visualizzazione delle pagine, e delle risorse (come il db). 162
• Aggiungere la tecnologia SSL e acquistare un certificato per proteggere le credenziali inserite dagli utenti al momento del login. • Perfezionare la pagina delle Autorizzazioni distinguendo i permessi da assegnare agli utenti per le varie aree e applicazioni in due categorie: sola lettura (R) o lettura e scrittura (RW). • Infine si potrebbero testare parti di codice con la tecnica del white box testing, basato sulla nozione di copertura, cioè sull’esecuzione di elementi del grafo di controllo di un programma. Il white-box testing e il black-box testing da noi usato sono complementari in quanto quest’ultimo permette di testare le funzionalità del software ignorando il flusso di manipolazione delle strutture dati e delle variabili utilizzate, mentre il white-box testing permette di analizzare le strutture dati interne e la copertura del codice testato. Il codice è rappresentato, infatti, tramite un grafo, il grafo del flusso di controllo (Control flow Graph ), i cui nodi rappresentano statement (istruzioni e/o predicati) del programma e gli archi il passaggio del flusso di controllo. Il grafo è esaminato per identificare ramificazioni del flusso di controllo e verificare l’esistenza di eventuali anomalie quali codice irraggiungibile e non strutturazione. In letteratura esistono numerosi criteri di copertura del codice per i test strutturali, come quello dei comandi, delle decisioni, delle condizioni e dei cammini. 163
Page 1 and 2:
UNIVERSITÀ POLITECNICA DELLE MARCH
Page 3 and 4:
INDICE INDICE .....................
Page 5 and 6:
ELENCO DELLE FIGURE Figura 1 Home p
Page 7 and 8:
CAPITOLO I - Introduzione 5
Page 9 and 10:
CAPITOLO I - Introduzione tecniche
Page 11 and 12:
CAPITOLO I - Introduzione 2 Gestion
Page 13 and 14:
CAPITOLO II - Talete: Autenticazion
Page 15 and 16:
Page 17 and 18:
Page 19 and 20:
Page 21 and 22:
Page 23 and 24:
• Ampliamento della superficie di
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
2.4.5 Diagramma delle classi CAPITO
Page 37 and 38:
Page 39 and 40:
Page 41 and 42:
Page 43 and 44:
CAPITOLO III - Progettare un’appl
Page 45 and 46:
3.2 Il significato dei design patte
Page 47 and 48:
Page 49 and 50:
Page 51 and 52:
Page 53 and 54:
Page 55 and 56:
4.1 Introduzione CAPITOLO IV - La s
Page 57 and 58:
CAPITOLO IV - La sicurezza nelle we
Page 59 and 60:
Page 61 and 62:
Page 63 and 64:
Page 65 and 66:
Page 67 and 68:
Page 69 and 70:
Page 71 and 72:
Page 73 and 74:
Page 75 and 76:
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Mentre con AnomynousTemplate si ha:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
CAPITOLO V - La sicurezza nell’ar
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
1 porsi dalla prospettiva dell’at
Page 107 and 108:
Page 109 and 110:
Page 111 and 112:
Page 113 and 114: CAPITOLO VI - Gli attacchi e il pro
Page 115 and 116: 6.1 Progetto OWASP CAPITOLO VI - Gl
Page 125 and 126: 6.2.5 I vantaggi nascosti CAPITOLO
Page 149 and 150: 6.10 Denial of Service CAPITOLO VI
Page 151 and 152: 6.11 Insecure Configuration Managem
Page 153 and 154: CAPITOLO VII - Test per valutare la
Page 155 and 156: 7.1.1 Analisi del codice sorgente C
Page 163: vulnerabilità critiche di applicaz
Page 167 and 168: Durante questi anni universitari so
Page 169 and 170: M. Fowler, D. Rice, M. Foemmel, E.
show all

analisi e gestione della sicurezza di una complessa applicazione ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?