analisi e gestione della sicurezza di una complessa applicazione ...

More documents

Recommendations

Info

CAPITOLO IV - La sicurezza nelle web applications I settaggi si applicano secondo la regola “First Match Wins”, cioè l’ordine di valutazione delle autorizzazioni va dal primo verso l’ultimo. Quindi nell’esempio seguente il secondo tag verrebbe ignorato: Con la figura seguente è possibile riassumere i concetti di autenticazione e autorizzazione in Asp.NET: 4.5.4 API per la sicurezza Figura 35 Autenticazione e autorizzazione in Asp.NET Con Asp.NET 2.0 sono state introdotte delle API che hanno rivoluzionato totalmente il modo di lavorare con la sicurezza consentendo un’elevata flessibilità nella scelta delle caratteristiche da aggiungere alle proprie applicazioni. È presente un modello unificato che permette di avere 2 set diversi di API che sono: 1. Membership API 2. Roles API 78
CAPITOLO IV - La sicurezza nelle web applications Esse sono state costruite principalmente per disaccoppiare quello che è il mondo dei controlli e quindi la possibilità di gestire in maniera interattiva il controllo sulla gestione dell’utente e dei ruoli. Per fare questo abbiamo un meccanismo, chiamato provider model, il quale, pluggando un nuovo provider, a prescindere dall’applicazione che utilizza le membership e le roles, automaticamente fornisce un nuovo modo di registrare le credenziali e i ruoli. Il Provider Model è un design pattern che può essere considerato come l’uso congiunto di altri pattern già definiti, dove lo Strategy Pattern, che appartiene alla famiglia dei pattern GOF (Gang of Four), è sicuramente quello che si nota con maggior facilità: si basa sulla creazione di una famiglia di algoritmi, incapsulati e resi intercambiabili tra di loro, richiamati in maniera indipendente dal contesto. Il vantaggio di questo approccio è che cambiando il provider non è necessario cambiare il codice che richiama le API, che è poi l’unica interfaccia utilizzata dalle applicazioni. Nel caso di Asp.NET, il provider è specificato attraverso il web.config e caricato, attraverso un’operazione di Dependency Injection, quando le API hanno bisogno di fornire una determinata funzionalità. Con questo modello qualsiasi sviluppatore può creare un provider, dato che le API rappresentano un ponte verso il provider, che è l’effettivo componente che fornisce l’implementazione concreta, avendo al tempo stesso il medesimo approccio, garantito dall’utilizzo di una classe astratta come base comune per queste classi. È possibile scrivere custom Providers (sono disponibili per Oracle, MySQL). 1. MEMBERSHIP API Le Membership API rappresentano il primo modo per mettere in pratica, al tempo stesso, i concetti propri del Provider Model e quelli dell’autorizzazione integrata in Asp.NET, attraverso gli HttpModule. Esse gestiscono utenti e credenziali, fornendo la logica per validare gli utenti e le password, creare nuovi utenti ed altro ancora; inoltre gestiscono lo store per le credenziali, indirizzi e-mail e altri dati relativi all’utente. Si tratta di una serie di funzionalità che forniscono l’infrastruttura comune a tutti i provider, in grado di garantire un’uniformità di creazione della parte di 79
Page 1 and 2:
UNIVERSITÀ POLITECNICA DELLE MARCH
Page 3 and 4:
INDICE INDICE .....................
Page 5 and 6:
ELENCO DELLE FIGURE Figura 1 Home p
Page 7 and 8:
CAPITOLO I - Introduzione 5
Page 9 and 10:
CAPITOLO I - Introduzione tecniche
Page 11 and 12:
CAPITOLO I - Introduzione 2 Gestion
Page 13 and 14:
CAPITOLO II - Talete: Autenticazion
Page 15 and 16:
Page 17 and 18:
Page 19 and 20:
Page 21 and 22:
Page 23 and 24:
• Ampliamento della superficie di
Page 25 and 26:
Page 27 and 28:
Page 29 and 30: CAPITOLO II - Talete: Autenticazion
Page 35 and 36: 2.4.5 Diagramma delle classi CAPITO
Page 43 and 44: CAPITOLO III - Progettare un’appl
Page 45 and 46: 3.2 Il significato dei design patte
Page 55 and 56: 4.1 Introduzione CAPITOLO IV - La s
Page 57 and 58: CAPITOLO IV - La sicurezza nelle we
Page 79: CAPITOLO IV - La sicurezza nelle we
Page 87 and 88: Mentre con AnomynousTemplate si ha:
Page 95 and 96: CAPITOLO V - La sicurezza nell’ar
Page 105 and 106: 1 porsi dalla prospettiva dell’at
Page 113 and 114: CAPITOLO VI - Gli attacchi e il pro
Page 115 and 116: 6.1 Progetto OWASP CAPITOLO VI - Gl
Page 125 and 126: 6.2.5 I vantaggi nascosti CAPITOLO
Page 131 and 132:
CAPITOLO VI - Gli attacchi e il pro
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139 and 140:
Page 141 and 142:
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
Page 149 and 150:
6.10 Denial of Service CAPITOLO VI
Page 151 and 152:
6.11 Insecure Configuration Managem
Page 153 and 154:
CAPITOLO VII - Test per valutare la
Page 155 and 156:
7.1.1 Analisi del codice sorgente C
Page 157 and 158:
Page 159 and 160:
Page 161 and 162:
Page 163 and 164:
vulnerabilità critiche di applicaz
Page 165 and 166:
• Aggiungere la tecnologia SSL e
Page 167 and 168:
Durante questi anni universitari so
Page 169 and 170:
M. Fowler, D. Rice, M. Foemmel, E.
show all

analisi e gestione della sicurezza di una complessa applicazione ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?