analisi e gestione della sicurezza di una complessa applicazione ...
analisi e gestione della sicurezza di una complessa applicazione ...
analisi e gestione della sicurezza di una complessa applicazione ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
CAPITOLO IV - La <strong>sicurezza</strong> nelle web applications<br />
<strong>della</strong> rete, “spazzolando” fino a quando trovano delle porte o dei servizi aperti attraverso cui<br />
effettuare l’exploit.<br />
Da non sottovalutare gli attacchi DoS tramite i quali, come sarà spiegato in seguito, un servizio<br />
viene mandato in tilt per un po’ <strong>di</strong> tempo causando un <strong>di</strong>sservizio.<br />
Poi abbiamo virus, spyware, malware, ecc. ma anche utenti che eseguono dei servizi con<br />
privilegi troppo alti come mostrato in figura.<br />
4.3 Caratteristiche e problematiche legate alla <strong>sicurezza</strong><br />
Uno dei concetti fondamentali in <strong>sicurezza</strong> è che essa non può essere considerata <strong>una</strong><br />
caratteristica del software. Essa è trasversale, parte dall’architettura, passa dalla progettazione,<br />
si concretizza nello sviluppo e trova conferme nei test.<br />
Ovviamente scrivere co<strong>di</strong>ce sicuro, mettendosi nei panni dello sviluppatore, non è facile in<br />
quanto chi attacca è notevolmente avvantaggiato; chi <strong>di</strong>fende deve proteggere tutti i fronti,<br />
mentre a chi attacca basta <strong>una</strong> sola vulnerabilità. Inoltre chi <strong>di</strong>fende lo fa in base alle proprie<br />
conoscenze e può farlo solo contro attacchi già noti, quin<strong>di</strong> si potrà sempre scoprire qualcosa <strong>di</strong><br />
nuovo che lo sviluppatore non conosce e non può considerare nella sua strategia <strong>di</strong> <strong>sicurezza</strong><br />
attuale. Ovviamente, ci sono anche dei “contro” nell’<strong>applicazione</strong> <strong>di</strong> tecniche <strong>di</strong> <strong>sicurezza</strong>:<br />
- il costo elevato, in quanto coor<strong>di</strong>nare, trovare il bug, sistemare il co<strong>di</strong>ce, testarlo, e spiegarlo<br />
al cliente (a volte è <strong>una</strong> cosa molto imbarazzante) comporta <strong>una</strong> spesa in termini economici,<br />
che può essere notevole in quanto la correzione <strong>di</strong> un bug <strong>di</strong> <strong>sicurezza</strong> può devastare il co<strong>di</strong>ce<br />
rispetto a un fix locale.<br />
- il tempo perso<br />
- la per<strong>di</strong>ta <strong>di</strong> fiducia dei clienti<br />
56