analisi e gestione della sicurezza di una complessa applicazione ...

More documents

Recommendations

Info

CAPITOLO IV - La sicurezza nelle web applications della rete, “spazzolando” fino a quando trovano delle porte o dei servizi aperti attraverso cui effettuare l’exploit. Da non sottovalutare gli attacchi DoS tramite i quali, come sarà spiegato in seguito, un servizio viene mandato in tilt per un po’ di tempo causando un disservizio. Poi abbiamo virus, spyware, malware, ecc. ma anche utenti che eseguono dei servizi con privilegi troppo alti come mostrato in figura. 4.3 Caratteristiche e problematiche legate alla sicurezza Uno dei concetti fondamentali in sicurezza è che essa non può essere considerata una caratteristica del software. Essa è trasversale, parte dall’architettura, passa dalla progettazione, si concretizza nello sviluppo e trova conferme nei test. Ovviamente scrivere codice sicuro, mettendosi nei panni dello sviluppatore, non è facile in quanto chi attacca è notevolmente avvantaggiato; chi difende deve proteggere tutti i fronti, mentre a chi attacca basta una sola vulnerabilità. Inoltre chi difende lo fa in base alle proprie conoscenze e può farlo solo contro attacchi già noti, quindi si potrà sempre scoprire qualcosa di nuovo che lo sviluppatore non conosce e non può considerare nella sua strategia di sicurezza attuale. Ovviamente, ci sono anche dei “contro” nell’applicazione di tecniche di sicurezza: - il costo elevato, in quanto coordinare, trovare il bug, sistemare il codice, testarlo, e spiegarlo al cliente (a volte è una cosa molto imbarazzante) comporta una spesa in termini economici, che può essere notevole in quanto la correzione di un bug di sicurezza può devastare il codice rispetto a un fix locale. - il tempo perso - la perdita di fiducia dei clienti 56
CAPITOLO IV - La sicurezza nelle web applications Per legge la sicurezza è un problema che non può essere ignorato e deve essere gestito. Infatti, la legge italiana, e non solo, obbliga la protezione e la riservatezza dei dati personali; le vulnerabilità di tipo “information disclosure” riguardano direttamente la privacy, cioè informazioni che non era previsto che uscissero da una ristretta cerchia di persone con determinati privilegi, sono fruibili anche da altri che non sono autorizzati. Non si può permettere che i dati consegnati ad un’azienda vengano divulgati a tutti. 4.3.1 La sicurezza dei dati Il dato è il “pane” dell’informatica; ogni applicazione opera su dati, ogni operazione è relativa a dati. Il dato è gestito dall’applicazione che fornisce una funzionalità ad un utente. Inoltre bisogna tener presente che: 1. alcuni utenti devono accedere ai dati e altri non devono poterli vedere; 2. alcuni devono poter vedere tutti i dati presenti e altri devono poter vedere solo alcuni dati specifici; 3. alcuni devono vedere un dato in tutta la sua storia e altri solo in uno specifico stato; 4. alcuni possono operare sul dato a tutto tondo, altri hanno modalità d’accesso limitato. La sicurezza sui dati è possibile esplicarla attraverso 4 elementi: 1 Accesso/sicurezza dei dati. La sicurezza del dato è legata primariamente al controllo dell’accesso: • Sicurezza nella trasmissione e nel trasferimento dei dati • Sicurezza nell’accesso alle applicazioni di gestione 57
Page 1 and 2:
UNIVERSITÀ POLITECNICA DELLE MARCH
Page 3 and 4:
INDICE INDICE .....................
Page 5 and 6:
ELENCO DELLE FIGURE Figura 1 Home p
Page 7 and 8: CAPITOLO I - Introduzione 5
Page 9 and 10: CAPITOLO I - Introduzione tecniche
Page 11 and 12: CAPITOLO I - Introduzione 2 Gestion
Page 13 and 14: CAPITOLO II - Talete: Autenticazion
Page 23 and 24: • Ampliamento della superficie di
Page 35 and 36: 2.4.5 Diagramma delle classi CAPITO
Page 43 and 44: CAPITOLO III - Progettare un’appl
Page 45 and 46: 3.2 Il significato dei design patte
Page 55 and 56: 4.1 Introduzione CAPITOLO IV - La s
Page 57: CAPITOLO IV - La sicurezza nelle we
Page 61 and 62: CAPITOLO IV - La sicurezza nelle we
Page 87 and 88: Mentre con AnomynousTemplate si ha:
Page 95 and 96: CAPITOLO V - La sicurezza nell’ar
Page 105 and 106: 1 porsi dalla prospettiva dell’at
Page 109 and 110:
CAPITOLO V - La sicurezza nell’ar
Page 111 and 112:
CAPITOLO V - La sicurezza nell’ar
Page 113 and 114:
CAPITOLO VI - Gli attacchi e il pro
Page 115 and 116:
6.1 Progetto OWASP CAPITOLO VI - Gl
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
6.2.5 I vantaggi nascosti CAPITOLO
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 149 and 150:
6.10 Denial of Service CAPITOLO VI
Page 151 and 152:
6.11 Insecure Configuration Managem
Page 153 and 154:
CAPITOLO VII - Test per valutare la
Page 155 and 156:
7.1.1 Analisi del codice sorgente C
Page 157 and 158:
Page 159 and 160:
Page 161 and 162:
Page 163 and 164:
vulnerabilità critiche di applicaz
Page 165 and 166:
• Aggiungere la tecnologia SSL e
Page 167 and 168:
Durante questi anni universitari so
Page 169 and 170:
M. Fowler, D. Rice, M. Foemmel, E.
show all

analisi e gestione della sicurezza di una complessa applicazione ...

Create successful ePaper yourself

Delete template?

Save as template?