analisi e gestione della sicurezza di una complessa applicazione ...

More documents

Recommendations

Info

4.4.2 Obiettivi SSL CAPITOLO IV - La sicurezza nelle web applications Sono tanti i vantaggi derivanti dall’applicazione del protocollo SSL, tra cui troviamo: 1 Sicurezza del collegamento: SSL garantisce una comunicazione sicura tra due endpoint; 2 Interoperabilità: programmatori di diverse organizzazioni sono in grado di sviluppare applicazioni utilizzando SSL, accordandosi sui parametri utilizzati dagli algoritmi di crittografia; 3 Ampliamento: SSL fornisce una struttura in cui nuovi metodi di crittografia a chiave pubblica e a chiave simmetrica, possono essere incorporati senza dover creare un nuovo protocollo; 4 Efficienza: l’SSL ha incorporato uno schema di “session caching” opzionale che riduce il numero di collegamenti che devono essere stabiliti ex-novo (ad es. attività sulla rete); questo è molto importante in quanto le operazioni di crittografia tendono ad essere molto laboriose per la CPU, soprattutto quelle a chiave pubblica. 4.4.3 Come usare male SSL Ci sono alcuni siti di banche italiane che a volte usano male ssl per diversi motivi: in particolare, spesso vengono chieste le credenziali su una normale pagina http facendo successivamente il post su ssl e questo è un errore, perché la pagina mostrata, essendo http, non da la certezza che possa provenire (e quindi essere erogata) dal sito della banca; cioè cosa può essere successo? Il dns che viene usato dal client, cioè dagli utenti della banca potrebbe essere stato avvelenato, e, nel momento in cui si va a digitare l’URL www.miabanca.com, il dns non restituisce l’indirizzo della banca, bensì quello del sito dell’hacker che ha una pagina identica a 66
CAPITOLO IV - La sicurezza nelle web applications quella della banca; a questo punto vengono chieste le credenziali e l’utente non sa se il postback è su http o https. Quindi fondamentale è non solo il cripting dei dati con ssl, ma l’uso del certificato che garantisce che chi sta dall’altra parte è effettivamente l’entità che dice di essere. Il certificato client garantisce la banca, mentre quello server autentica l’indirizzo del sito oltre a criptare le informazioni. Anche il cookie sul client è un punto di attacco in quanto non si ha la sicurezza che esso sia immune da cross site scripting. Altri metodi oltre ssl per garantire una comunicazione sicura potrebbero essere la VPN, l’IPSEC (ottimo), oppure l’IPSEC /L2TP. 4.5 Principi di sicurezza in Asp.NET Le applicazioni che ci riguardano più da vicino, visto lo sviluppo della piattaforma Talete, sono quelle Asp.NET che, “per default”, sono disponibili a qualsiasi utente che può connettersi al server (se è in Internet o su una rete locale). Sebbene questo è l’ideale per molte applicazioni web (ed incarna lo spirito con cui è nata e cresciuta Internet), non è sempre appropriato. Per esempio, un sito di e-commerce ha bisogno di fornire un esercizio d’acquisto sicuro per accaparrarsi clienti. Un sito subscription-based ha bisogno di limitare contenuto o accesso ad esso, oppure ad alcune parti come ad esempio ad una pagina di configurazione o ad un report amministrativo. In questo ambito, Asp.NET fornisce un modello di sicurezza a vari livelli che facilita la protezione delle web applications. Anche se questo “schema” di sicurezza è potente ed assolutamente flessibile, può apparire confusionario a causa del numero di strati in cui la sicurezza può essere applicata; molto del lavoro non viene dallo scrivere codice ma dal determinare le zone adatte in cui implementarla. 67
Page 1 and 2:
UNIVERSITÀ POLITECNICA DELLE MARCH
Page 3 and 4:
INDICE INDICE .....................
Page 5 and 6:
ELENCO DELLE FIGURE Figura 1 Home p
Page 7 and 8:
CAPITOLO I - Introduzione 5
Page 9 and 10:
CAPITOLO I - Introduzione tecniche
Page 11 and 12:
CAPITOLO I - Introduzione 2 Gestion
Page 13 and 14:
CAPITOLO II - Talete: Autenticazion
Page 15 and 16:
CAPITOLO II - Talete: Autenticazion
Page 17 and 18: CAPITOLO II - Talete: Autenticazion
Page 23 and 24: • Ampliamento della superficie di
Page 35 and 36: 2.4.5 Diagramma delle classi CAPITO
Page 43 and 44: CAPITOLO III - Progettare un’appl
Page 45 and 46: 3.2 Il significato dei design patte
Page 55 and 56: 4.1 Introduzione CAPITOLO IV - La s
Page 57 and 58: CAPITOLO IV - La sicurezza nelle we
Page 67: CAPITOLO IV - La sicurezza nelle we
Page 87 and 88: Mentre con AnomynousTemplate si ha:
Page 95 and 96: CAPITOLO V - La sicurezza nell’ar
Page 105 and 106: 1 porsi dalla prospettiva dell’at
Page 113 and 114: CAPITOLO VI - Gli attacchi e il pro
Page 115 and 116: 6.1 Progetto OWASP CAPITOLO VI - Gl
Page 117 and 118: CAPITOLO VI - Gli attacchi e il pro
Page 119 and 120:
CAPITOLO VI - Gli attacchi e il pro
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
6.2.5 I vantaggi nascosti CAPITOLO
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 149 and 150:
6.10 Denial of Service CAPITOLO VI
Page 151 and 152:
6.11 Insecure Configuration Managem
Page 153 and 154:
CAPITOLO VII - Test per valutare la
Page 155 and 156:
7.1.1 Analisi del codice sorgente C
Page 157 and 158:
Page 159 and 160:
Page 161 and 162:
Page 163 and 164:
vulnerabilità critiche di applicaz
Page 165 and 166:
• Aggiungere la tecnologia SSL e
Page 167 and 168:
Durante questi anni universitari so
Page 169 and 170:
M. Fowler, D. Rice, M. Foemmel, E.
show all

analisi e gestione della sicurezza di una complessa applicazione ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?