November 2005 Blog Posts

[Security 11] Data Access Security - Comunicazioni Sicure

Negli scenari in cui si presenta la necessità di linkare dati, presenti all'interno di un database, e la nostra applicazione dobbiamo sempre poter garantire due fattori importantissimi. Confidenza dei messaggiI dati devono essere codificati e dobbiamo garantire che resteranno privati durante il viaggio. Integrità del messaggioI dati devono essere firmati per assicurarci che siano rimasti inalterati. Esistono due categorie di scenari principali in cui questo dovrebbe essere applicato. Full SecurityIn questo scenario TUTTI i dati trasmessi devono essere messi al sicuro.Es: Internet Home Banking, in questo caso tutte le informazioni devono essere messe al sicuro.Selected SecuritySolo una selezionata parte dei dati viene messa...

posted @ Monday, November 28, 2005 6:19 PM | Feedback (22)

[Security 10] Data Access Security - Authentication

Questo post discute e propone le metodologie da utilizzare quando s'intende utilizzare Microsoft SQL Server come Database e Windows Authentication come metodo di autentificazione. Windows Authentication Windows authentication è decisamente la più sicura metodologia da applicare quando ci si connette a Microsoft SQL Server per i seguenti motivi: 1) Al programmatore non è riservata alcuna operazione di managing relative alle credenziali e sopratutto queste non sono trasmesse in rete.  2) Le credenziali (username e password) non sono inglobate nelle connection strings. 3) Avvalendosi di sistemi di password expiration periods, lunghezza minima ed account lock successivo a multiple richieste invalide, Logon Security fornisce un buon punto di partenza. E'...

posted @ Friday, November 18, 2005 10:34 AM | Feedback (25)

[Security 09] ViewState,Cookies,Connection Strings al sicuro.

In questo post si parlerà di tecniche atte a mettere in sicurezza i vari tipi di stati che una normale web application può trovarsi a gestire. Securing ViewState Se la nostra Web Application utilizza il viewstate è bene considerare di:Assicurarsi dell'integrità del messaggio, per far questo è bene abilitare il direttiva enableViewStateMac a true.<% @ Page enableViewStateMac=true > Questo comporta la generazione di un Message Authentication Code (MAC) da parte di ASP.NET, durante l'evento postback. Configurare l'attributo validation presente nel machine.config , per specificare il tipo di criptaggio che sarà utilizzato per la validazione dei dati. (SHA1- 3DES per esempio). Ricordiamo che SHA1 (Secure Hash Algorithm 1)...

posted @ Wednesday, November 9, 2005 10:06 AM | Feedback (39)

[Security 08] Evitare L’overide dei file di configurazione

I vari settings di configurazione sono su base gerarchica.Web.config posizionati in cartelle specifiche possono eseguire overide del Web.Config posizionato nella cartella principale del Virtual Server. Allo stesso modo, quest’ultimi, possono eseguire overide del Machine.Config del server Web. E’ sicuramente utile sapere che è possibile bloccare i sistemi di overide dei livelli più bassi utilizzando l’elemento element in coppia con l’attributo allowOveride.<location path="somepath" allowOverride="false" /> . . . arbitrary configuration settings . . .</location>  E’ da tener nota che la path per cui si vuole agire può essere settata per il WebSite, la Directory Virutale, la directory root o la sottodirectory. Quindi : Settando allowOverride a false, si...

posted @ Friday, November 4, 2005 4:38 PM | Feedback (116)