analisi e gestione della sicurezza di una complessa applicazione ...
analisi e gestione della sicurezza di una complessa applicazione ...
analisi e gestione della sicurezza di una complessa applicazione ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
CAPITOLO IV - La <strong>sicurezza</strong> nelle web applications<br />
Come si può notare dalla figura, le richieste web sono passate prima all’IIS (Internet<br />
Information Services) che poi le trasferirà all’<strong>applicazione</strong> Asp.NET (se è <strong>una</strong> richiesta<br />
Asp.NET).<br />
È possibile applicare la <strong>sicurezza</strong> e quin<strong>di</strong> la sua politica in <strong>di</strong>verse zone <strong>di</strong> questo modello.<br />
Prima, considerando il processo <strong>di</strong> richiesta <strong>di</strong> <strong>una</strong> pagina web or<strong>di</strong>naria (non Asp.NET):<br />
1. IIS prova ad autenticare l’utente.<br />
2. Se IIS autentica con successo l’utente, gli manda l’appropriato file html che è stato<br />
richiesto.<br />
Mentre <strong>una</strong> richiesta Asp.NET richiede dei passi ad<strong>di</strong>zionali. Il primo e l’ultimo passo sono gli<br />
stessi <strong>della</strong> procedura già vista, ma il processo ha dei livelli interme<strong>di</strong>:<br />
1. IIS prova ad autenticare l’utente<br />
2. Se IIS autentica con successo l’utente, esso passa la richiesta ad Asp.NET con ulteriori<br />
informazioni sull’utente autenticato.<br />
3. Se Asp.NET autentica l’utente, quest’ultimo può effettuare richieste <strong>di</strong> pagine .aspx o<br />
del servizio web <strong>di</strong> asmx. Il co<strong>di</strong>ce può compiere anche controlli <strong>di</strong> <strong>sicurezza</strong><br />
supplementari (per esempio, chiedendo un’altra parola d’or<strong>di</strong>ne prima <strong>di</strong> permettere <strong>una</strong><br />
specifica operazione).<br />
4. Quando il co<strong>di</strong>ce Asp.NET richiede delle risorse (per esempio, prova ad aprire un file o<br />
connettersi ad un db), il sistema operativo compie i suoi controlli <strong>di</strong> <strong>sicurezza</strong>.<br />
4.5.1 Autenticazione e autorizzazione in Asp.NET<br />
Uno degli scenari più <strong>di</strong>ffusi nelle applicazioni web e al tempo stesso più <strong>di</strong>fficile da gestire,<br />
specie con le versioni precedenti <strong>di</strong> Asp.NET, riguarda l’autenticazione e l’autorizzazione<br />
69