analisi e gestione della sicurezza di una complessa applicazione ...

More documents

Recommendations

Info

CAPITOLO IV - La sicurezza nelle web applications all’accesso a pagine protette; è una funzionalità da cui moltissime applicazioni web ormai non possono più prescindere, perché consente di dare accesso ad alcune aree solo a determinati utenti, provvisti di certi privilegi, così da rendere possibile, ad esempio, l’aggiunta di un’area ad accesso riservato, che consente di amministrare in tutta sicurezza e autonomia l’applicazione. Asp.NET 2.0 introduce in quest’ambito delle novità che rendono più semplice l’implementazione di queste funzionalità, attraverso Membership e Roles API, costruite intorno al Provider Model, un modello teso a favorire lo sviluppo di applicazioni basate su provider, facili da creare e immediate da configurare. Con il termine “autenticazione” s’intende il processo con cui si determina l’identità di un soggetto e si “costringono” gli utenti a provare che loro sono effettivamente chi dicono di essere. Di solito, questo comporta l’immissione di credenziali (tipicamente un nome utente e una password) in una pagina o finestra di login. Generalmente, queste credenziali sono autenticate, controllate e confrontate con quelle di un elenco di utenti in un archivio o in un database back-end. Gli attori sono (almeno): 1 applicazione che deve autenticare 2 principal: un’entità che può essere autenticata 3 authority: un’entità che rappresenta e riconosce i principal, associandoli a dei ruoli che classificano le “capabilities” di quest’utente. L’autorizzazione è, invece, quel processo che, dopo l’autenticazione da parte di un utente, determina se costui ha i permessi sufficienti per compiere una determinata azione o accedere alla risorsa richiesta (come ad esempio vedere una pagina o recuperare informazioni da un database, ecc.). L’autenticazione e l’autorizzazione sono le due pietre angolari per creare un sito sicuro. Per capire meglio l’importanza di questi aspetti, possiamo fare un’analogia con la procedura di accesso al sistema operativo Windows. Quando un computer con Windows viene avviato, l’utente fornisce username e password, in modo tale da autenticarsi al sistema. Da quel punto in poi, ogni volta che s’interagisce con una risorsa limitata (come un archivio, database, chiave di registro, ecc.), Windows compie di nascosto controlli di autorizzazione per garantire che lo 70
CAPITOLO IV - La sicurezza nelle web applications user account abbia i diritti necessari per portare a termine ciò che tenta di fare; la stessa cosa deve accadere in un’applicazione Asp.NET. Per comprendere in modo adeguato quanto sia potente l’approccio usato da Asp.NET, è necessario per prima cosa aprire una piccola parentesi sui meccanismi di autenticazione utilizzati, che rappresentano la base su cui Membership e Roles API si poggiano. Questi componenti non fanno altro che utilizzare un pezzo dell’architettura di HttpRuntime, cioè del cuore di Asp.NET, chiamato HttpModule. Asp.NET è provvisto di tre HttpModule specifici, ognuno per la differente tipologia di autenticazione, di cui il nome già rappresenta un’indicazione: • FormsAuthenticationModule • WindowsAuthenticationModule • PassportAuthenticationModule Il primo è rivolto essenzialmente a siti pubblici che non rientrano nell’ambito delle Intranet, per le quali è consigliabile il secondo. L’ultimo, specifico per Passport, è ad uso e consumo di Microsoft. 4.5.2 L’utente in Asp.NET: Principal e Identity Asp.NET utilizza due classi per rappresentare le informazioni relative all’utente, che sono implementate in maniera tale da essere indipendenti dal tipo di autenticazione: Principal e Identity. 71
Page 1 and 2:
UNIVERSITÀ POLITECNICA DELLE MARCH
Page 3 and 4:
INDICE INDICE .....................
Page 5 and 6:
ELENCO DELLE FIGURE Figura 1 Home p
Page 7 and 8:
CAPITOLO I - Introduzione 5
Page 9 and 10:
CAPITOLO I - Introduzione tecniche
Page 11 and 12:
CAPITOLO I - Introduzione 2 Gestion
Page 13 and 14:
CAPITOLO II - Talete: Autenticazion
Page 15 and 16:
Page 17 and 18:
Page 19 and 20:
Page 21 and 22: CAPITOLO II - Talete: Autenticazion
Page 23 and 24: • Ampliamento della superficie di
Page 35 and 36: 2.4.5 Diagramma delle classi CAPITO
Page 43 and 44: CAPITOLO III - Progettare un’appl
Page 45 and 46: 3.2 Il significato dei design patte
Page 55 and 56: 4.1 Introduzione CAPITOLO IV - La s
Page 57 and 58: CAPITOLO IV - La sicurezza nelle we
Page 71: CAPITOLO IV - La sicurezza nelle we
Page 87 and 88: Mentre con AnomynousTemplate si ha:
Page 95 and 96: CAPITOLO V - La sicurezza nell’ar
Page 105 and 106: 1 porsi dalla prospettiva dell’at
Page 113 and 114: CAPITOLO VI - Gli attacchi e il pro
Page 115 and 116: 6.1 Progetto OWASP CAPITOLO VI - Gl
Page 123 and 124:
CAPITOLO VI - Gli attacchi e il pro
Page 125 and 126:
6.2.5 I vantaggi nascosti CAPITOLO
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 149 and 150:
6.10 Denial of Service CAPITOLO VI
Page 151 and 152:
6.11 Insecure Configuration Managem
Page 153 and 154:
CAPITOLO VII - Test per valutare la
Page 155 and 156:
7.1.1 Analisi del codice sorgente C
Page 157 and 158:
Page 159 and 160:
Page 161 and 162:
Page 163 and 164:
vulnerabilità critiche di applicaz
Page 165 and 166:
• Aggiungere la tecnologia SSL e
Page 167 and 168:
Durante questi anni universitari so
Page 169 and 170:
M. Fowler, D. Rice, M. Foemmel, E.
show all

analisi e gestione della sicurezza di una complessa applicazione ...

Create successful ePaper yourself

Delete template?

Save as template?