analisi e gestione della sicurezza di una complessa applicazione ...

More documents

Recommendations

Info

CAPITOLO IV - La sicurezza nelle web applications 2 Crittografica: tutte le informazioni vengono crittografate utilizzando l’algoritmo simmetrico Triple DES. In questo caso, oltre a impostare a “true” l’attributo EnableViewStateMAC, si definisce il tipo di convalida machineKey a 3DES nel web.config: In ogni caso è importante ricordare che, maggiore sarà il livello di protezione adottato, più lungo sarà il tempo di elaborazione della pagina quindi, anche in questo caso, è necessario utilizzare il ViewState con la dovuta cautela, ponderando sempre ogni singola scelta. 4.7.1 Il ViewState in Asp.NET 2.0 In Asp.NET 2.0, il meccanismo per il controllo e l’utilizzo della cifratura è stato espanso. I settaggi di cifratura ora possono essere separatamente impostati per ogni pagina. Inoltre, i controlli sulla pagina possono richiedere che la cifratura sia usata per il ViewState, ma anche questa richiesta può essere “scavalcata” dai settaggi della pagina e quindi ignorata. Il tutto grazie all’attributo ViewStateEncryptionMode che ha 3 valori: Auto che è quello di default, Always, e Never. • ViewStateEncryptionMode.Auto: in questo modo, Asp.NET cripterà il ViewState per una pagina se un controllo nella pagina lo richiede. • ViewStateEncryptionMode.Never: in questo modo Asp.NET non cripterà il ViewState, anche se i controlli nella pagina l’hanno richiesto. 90
CAPITOLO IV - La sicurezza nelle web applications • ViewStateEncryptionMode.Always: in questo modo, Asp.NET non aspetta la richiesta di cifratura da parte di una pagina, ma il ViewState sarà sempre criptato; quest’ultima opzione è fondamentale se si lavora con dati sensibili. Il modo è una proprietà nella pagina: Oppure si può impostare nel web.config: Figura 47 Esempio d’uso del ViewStateEncryptionMode Mentre, per scrivere un controllo customizzato che richiede la cifratura del ViewState si usa il metodo della classe page chiamato RegisterRequiresViewStateEncryption: Figura 48 Esempio d’uso del RegisterRequiresViewStateEncryption 91
Page 1 and 2:
UNIVERSITÀ POLITECNICA DELLE MARCH
Page 3 and 4:
INDICE INDICE .....................
Page 5 and 6:
ELENCO DELLE FIGURE Figura 1 Home p
Page 7 and 8:
CAPITOLO I - Introduzione 5
Page 9 and 10:
CAPITOLO I - Introduzione tecniche
Page 11 and 12:
CAPITOLO I - Introduzione 2 Gestion
Page 13 and 14:
CAPITOLO II - Talete: Autenticazion
Page 15 and 16:
Page 17 and 18:
Page 19 and 20:
Page 21 and 22:
Page 23 and 24:
• Ampliamento della superficie di
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
Page 33 and 34:
Page 35 and 36:
2.4.5 Diagramma delle classi CAPITO
Page 37 and 38:
Page 39 and 40:
Page 41 and 42: CAPITOLO II - Talete: Autenticazion
Page 43 and 44: CAPITOLO III - Progettare un’appl
Page 45 and 46: 3.2 Il significato dei design patte
Page 55 and 56: 4.1 Introduzione CAPITOLO IV - La s
Page 57 and 58: CAPITOLO IV - La sicurezza nelle we
Page 87 and 88: Mentre con AnomynousTemplate si ha:
Page 91: CAPITOLO IV - La sicurezza nelle we
Page 95 and 96: CAPITOLO V - La sicurezza nell’ar
Page 105 and 106: 1 porsi dalla prospettiva dell’at
Page 113 and 114: CAPITOLO VI - Gli attacchi e il pro
Page 115 and 116: 6.1 Progetto OWASP CAPITOLO VI - Gl
Page 125 and 126: 6.2.5 I vantaggi nascosti CAPITOLO
Page 143 and 144:
CAPITOLO VI - Gli attacchi e il pro
Page 145 and 146:
Page 147 and 148:
Page 149 and 150:
6.10 Denial of Service CAPITOLO VI
Page 151 and 152:
6.11 Insecure Configuration Managem
Page 153 and 154:
CAPITOLO VII - Test per valutare la
Page 155 and 156:
7.1.1 Analisi del codice sorgente C
Page 157 and 158:
Page 159 and 160:
Page 161 and 162:
Page 163 and 164:
vulnerabilità critiche di applicaz
Page 165 and 166:
• Aggiungere la tecnologia SSL e
Page 167 and 168:
Durante questi anni universitari so
Page 169 and 170:
M. Fowler, D. Rice, M. Foemmel, E.
show all

analisi e gestione della sicurezza di una complessa applicazione ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?