analisi e gestione della sicurezza di una complessa applicazione ...

More documents

Recommendations

Info

• Sicurezza nell’accesso ai dati CAPITOLO IV - La sicurezza nelle web applications Per il primo aspetto non abbiamo grossi problemi, il dato può essere trasferito con diversi protocolli, ma tutti questi hanno, chi più e chi meno, supporti alla gestione della sicurezza; il concetto base è quello di trasferire i dati in modo cifrato. Per molto tempo questo è sembrato l’anello debole della catena della sicurezza e, di conseguenza, è stato l’aspetto più curato. Il secondo problema, quello relativo al controllo di sicurezza nell’accesso all’applicazione, è tipicamente un problema facilmente risolvibile, poiché una specifica logica applicativa è sufficiente a profilare gli utenti e fornire loro il corretto accesso. Per ultimo, il problema della gestione della sicurezza nell’accesso al dato vero e proprio, viene elegantemente risolto attraverso gli strumenti nativi dei database relazionali o con un approccio applicativo. 2 Integrità dei dati. Il dato nasce e vive una propria vita in cui viene letto, modificato e cancellato; se è manipolato sempre dallo stesso utente ed è mantenuto in un sistema “protetto” non ha grossi problemi. Le difficoltà nascono invece, quando i dati sono trattati da diversi utenti, e quindi c’è concorrenza su di essi; bisogna garantire, in queste condizioni, la loro integrità. 3 Integrità referenziale. Dopo aver affrontato il problema della concorrenza sui dati ne appare un altro, che è quello dell’integrità referenziale degli stessi. Per integrità referenziale si intende che due istanze presenti in due entità e correlate tra loro devono essere sempre coerenti. Ad esempio se c’è un’anagrafica di un prodotto che è classificato attraverso una tabella di categorie valide, non si deve permettere di cancellare una categoria finché sia presente anche un solo prodotto che sia catalogato con quella categoria. Se così non fosse risulterebbe un prodotto con una categoria che non esiste. L’integrità referenziale serve a garantire che questa coerenza di dati venga mantenuta. 4 Integrità delle informazioni. Oltre all’integrità dei dati abbiamo un altro problema da affrontare, quello dell’integrità delle informazioni. 58
CAPITOLO IV - La sicurezza nelle web applications Non ha alcun senso garantire che un padre non venga cancellato in presenza di almeno un figlio, se poi l’informazione che il sistema deve esprimere, perde di significato nel momento che viene cancellato l’ultimo figlio di un padre. L’importante è mantenere sempre un controllo lucido sul dato che si gestisce, prestando sempre una grande attenzione agli automatismi che si possono applicare. 4.4 Certificati Un aspetto fondamentale della sicurezza delle web applications, legato ai dati e alle informazioni è quello che riguarda i certificati e le connessioni SSL (Secure Sockets Layer); queste tecnologie sono indipendenti dalla programmazione Asp.NET. Un certificato digitale è un messaggio con firma digitale utilizzato di norma per attestare la validità di una chiave pubblica, composto da: 1 Numero di serie del certificato; 2 Informazioni sull’algoritmo utilizzato; 3 Estremi di chi ha rilasciato il certificato; 4 Validità del certificato (data); 5 Informazioni sull’algoritmo di chiave pubblica del soggetto del certificato; 6 Firma digitale dell’autorità rilasciante. Essenzialmente, i certificati permettono di attestare che il sito e le informazioni dell’organizzazione sono registrate e soprattutto verificate da una certificate authority. Questo generalmente aumenta la fiducia del cliente, anche se non garantisce che la società o l’organizzazione agisca responsabilmente e onestamente. Un certificato è un po’ come la patente di guida, che non prova che una persona sa guidare, ma attesta che una terza parte (in 59
Page 1 and 2:
UNIVERSITÀ POLITECNICA DELLE MARCH
Page 3 and 4:
INDICE INDICE .....................
Page 5 and 6:
ELENCO DELLE FIGURE Figura 1 Home p
Page 7 and 8:
CAPITOLO I - Introduzione 5
Page 9 and 10: CAPITOLO I - Introduzione tecniche
Page 11 and 12: CAPITOLO I - Introduzione 2 Gestion
Page 13 and 14: CAPITOLO II - Talete: Autenticazion
Page 23 and 24: • Ampliamento della superficie di
Page 35 and 36: 2.4.5 Diagramma delle classi CAPITO
Page 43 and 44: CAPITOLO III - Progettare un’appl
Page 45 and 46: 3.2 Il significato dei design patte
Page 55 and 56: 4.1 Introduzione CAPITOLO IV - La s
Page 57 and 58: CAPITOLO IV - La sicurezza nelle we
Page 59: CAPITOLO IV - La sicurezza nelle we
Page 87 and 88: Mentre con AnomynousTemplate si ha:
Page 95 and 96: CAPITOLO V - La sicurezza nell’ar
Page 105 and 106: 1 porsi dalla prospettiva dell’at
Page 111 and 112:
CAPITOLO V - La sicurezza nell’ar
Page 113 and 114:
CAPITOLO VI - Gli attacchi e il pro
Page 115 and 116:
6.1 Progetto OWASP CAPITOLO VI - Gl
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
6.2.5 I vantaggi nascosti CAPITOLO
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 149 and 150:
6.10 Denial of Service CAPITOLO VI
Page 151 and 152:
6.11 Insecure Configuration Managem
Page 153 and 154:
CAPITOLO VII - Test per valutare la
Page 155 and 156:
7.1.1 Analisi del codice sorgente C
Page 157 and 158:
Page 159 and 160:
Page 161 and 162:
Page 163 and 164:
vulnerabilità critiche di applicaz
Page 165 and 166:
• Aggiungere la tecnologia SSL e
Page 167 and 168:
Durante questi anni universitari so
Page 169 and 170:
M. Fowler, D. Rice, M. Foemmel, E.
show all

analisi e gestione della sicurezza di una complessa applicazione ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?