analisi e gestione della sicurezza di una complessa applicazione ...

More documents

Recommendations

Info

CAPITOLO IV - La sicurezza nelle web applications questo caso la motorizzazione) può certificare la qualifica dell’utente. Un web server richiede un certificato per usare SSL, che automaticamente cripta tutte le informazioni scambiate tra client e server. Per aggiungere un certificato ad un sito, bisogna acquistarlo da una certificate authority, tra le quali abbiamo: • VeriSign (http://www.verisign.com) • GeoTrust (http://www.geotrust.com) • GlobalSign (http://www.globalsign.com) • Thawte (http://www.thawte.com) La tecnologia SSL cripta la comunicazione tra un client ed un sito web. Anche se rallenta le prestazioni, essa viene usata quando, tra un utente autenticato ed una web application, devono essere trasmesse informazioni private o dati sensibili. Senza SSL, ogni informazione che viene spedita su Internet, incluso password, numeri di carta di credito, ed elenchi d’impiegati sono facilmente visibili da un ficcanaso con appositi strumenti di rete come gli sniffer. Anche applicando ai dati la migliore cifratura, c’è un altro problema: come può un client essere sicuro che un web server è quello che il client cerca? Per esempio, si consideri un cracker intelligente che usa una sorta di IP spoofing per “spacciarsi” come Amazon.com; anche se la comunicazione avviene tramite SSL per trasferire le informazioni della carta di credito, il web server maligno può decriptare agevolmente l’informazione. Per questo SSL usa i certificati; questi stabiliscono l’identità, mentre SSL protegge la comunicazione. Se un utente maligno abusa di un certificato, la certificate authority può revocarlo; ovviamente per usare SSL, c’è bisogno di installare un certificato valido. Per accedere alla pagina con SSL, il cliente inserisce l’URL preceduta da https anziché http all’inizio della richiesta (o comunque avviene il redirect). Nel codice Asp.NET è possibile controllare e verificare se un utente sta trasferendo informazioni su un canale sicuro o meno: 60
CAPITOLO IV - La sicurezza nelle web applications Figura 23 Codice di verifica di trasferimento su un canale sicuro Riferendoci alla nostra applicazione, l’uso di SSL è fondamentale, soprattutto per criptare le credenziali dell’utente che accede alla piattaforma o per proteggere dati sensibili delle aziende come i budget; infatti, senza questo canale sicuro, con strumenti di rete come ethereal, diventa semplice catturare username e password come mostrato nell’esempio seguente: 61
Page 1 and 2:
UNIVERSITÀ POLITECNICA DELLE MARCH
Page 3 and 4:
INDICE INDICE .....................
Page 5 and 6:
ELENCO DELLE FIGURE Figura 1 Home p
Page 7 and 8:
CAPITOLO I - Introduzione 5
Page 9 and 10:
CAPITOLO I - Introduzione tecniche
Page 11 and 12: CAPITOLO I - Introduzione 2 Gestion
Page 13 and 14: CAPITOLO II - Talete: Autenticazion
Page 23 and 24: • Ampliamento della superficie di
Page 35 and 36: 2.4.5 Diagramma delle classi CAPITO
Page 43 and 44: CAPITOLO III - Progettare un’appl
Page 45 and 46: 3.2 Il significato dei design patte
Page 55 and 56: 4.1 Introduzione CAPITOLO IV - La s
Page 57 and 58: CAPITOLO IV - La sicurezza nelle we
Page 61: CAPITOLO IV - La sicurezza nelle we
Page 87 and 88: Mentre con AnomynousTemplate si ha:
Page 95 and 96: CAPITOLO V - La sicurezza nell’ar
Page 105 and 106: 1 porsi dalla prospettiva dell’at
Page 113 and 114:
CAPITOLO VI - Gli attacchi e il pro
Page 115 and 116:
6.1 Progetto OWASP CAPITOLO VI - Gl
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
6.2.5 I vantaggi nascosti CAPITOLO
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 149 and 150:
6.10 Denial of Service CAPITOLO VI
Page 151 and 152:
6.11 Insecure Configuration Managem
Page 153 and 154:
CAPITOLO VII - Test per valutare la
Page 155 and 156:
7.1.1 Analisi del codice sorgente C
Page 157 and 158:
Page 159 and 160:
Page 161 and 162:
Page 163 and 164:
vulnerabilità critiche di applicaz
Page 165 and 166:
• Aggiungere la tecnologia SSL e
Page 167 and 168:
Durante questi anni universitari so
Page 169 and 170:
M. Fowler, D. Rice, M. Foemmel, E.
show all

analisi e gestione della sicurezza di una complessa applicazione ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?