Normal people bore me!

Questo blog si è trasferito qui: www.geniodelmale.info
posts - 4199, comments - 7137, trackbacks - 500

My Links

News



Subscribe Subscribe

- Chi sono... C.V. e altre informazioni! - Lista dei miei articoli

View Lorenzo Barbieri's profile on LinkedIn

Genio del Male Fan Page



This is my personal weblog. These postings are provided 'AS IS' with no warranties, and confer no rights. The views expressed on this weblog are mine alone and do not necessarily reflect the views of my employer.

Licenza Creative Commons

Tag Cloud

Archives

Post Categories
<< Paint.NET 1.1 rilasciato con i sorgenti | Home | Ancora sul problema di ASP.NET e una piccola precisazione su URLScan... >>

Sicurezza: mai illudersi troppo... URL Scan, request validation e la vita del povero informatico!

Moltissima gente c'è rimasta male per il problema di sicurezza dell'autenticazione Form-based di ASP.NET.

Il fatto che con un \ al posto di / si potesse bucare un sistema di autenticazione usato dalla stragrande maggioranza dei siti ASP.NET è veramente inquietante.

Ma succede. "Shit happens" diceva qualcuno...

La sicurezza è un qualcosa che va ricercato sotto tantissimi punti di vista.

In questo caso chi era protetto da URLScan (incluso in IIS 6, nell'IIS Lockdown Tool o installabile singolarmente) ha scampato il pericolo (sempre che non abbia giocato troppo con la configurazione del tool...) ma non sempre va cosi.

Nella sessione di giovedì Raffaele ha mostrato una delle novità di ASP.NET 1.1 rispetto alla 1.0: la validazione automatica della request fatta dall'utente, per impedire la ricezione di codice HTML, script, etc...

Beh, pochi sanno che anche questa feature così utile era bacata, come si può vedere qui. Naturalmente il problema è già stato risolto da un pezzo, e la soluzione era disponibile sia nelle HotFix di ASP.NET, sia nel SP1 del .NET FW 1.1, ma il problema è un altro.

Il problema è che in un caso bastava un \ al posto di /, nell'altro caso bastava un %00 tra < e script...

Questo vuol dire che molto spesso si mettono su dei muri alti sei metri, impenetrabili, porte blindate, finestre corazzate e poi si lascia la chiave di casa sotto lo zerbino...

Non ce l'ho con i programmatori di ASP.NET (anche se fonti interne mi dicono che bevono tutti ), era solo per dire di stare attenti, attivare tutte le difese, ma a volte queste non bastano.

Non fidiamoci della protezione di ASP.NET punto e stop, usiamola, ma validiamo anche noi quello che ci serve, controlliamo che esista veramente un utente autenticato prima di dargli il contenuto della pagina, e soprattutto teniamo sempre occhi e orecchie aperte, e installiamo tutti i sistemi che possono aiutarci.

Anche URLScan, da me tanto decantato, potrebbe avere dei problemi in futuro, quindi non possiamo pensare di affidargli il compito di proteggerci come se fosse l'uomo ragno... Dobbiamo essere noi a proteggerci, leggendo i siti dedicati alla sicurezza, iscrivendoci alle mailing list che postano problemi e patch (ce ne sono anche in Microsoft), sfruttando siti come www.kbalertz.com, insomma facendo il possibile per tenere alta la guardia.

Ne va del nostro lavoro, ne va dei dati delle persone, ne va della credibilità...

Print | posted on sabato 2 ottobre 2004 12.10 | Filed Under [ Sicurezza ]

Feedback

Gravatar

# RE: Sicurezza: mai illudersi troppo... URL Scan, request validation e la vita del povero informatico!

"Ne va del nostro lavoro, ne va dei dati delle persone, ne va della credibilità..."
Credibilità? Nel mio caso, vestendomi da Spiderman credo di aver risolto il problema alla radice... :-D
02/10/2004 12.27 | Andrea Saltarello
Gravatar

# re: Sicurezza: mai illudersi troppo... URL Scan, request validation e la vita del povero informatico!

Già credo anch'io...
02/10/2004 13.28 | Lorenzo Barbieri
Gravatar

# re: Sicurezza: mai illudersi troppo... URL Scan, request validation e la vita del povero informatico!


Una lista di fonti da tenere sottocchio per restare informati... se ce l'hai bloggala, gradirei molto!

Anche una lista di tool per testare attivamente la sicurezza simulando gli attacchi dall'esterno (una spece di unit testing dall'esterno sulle configurazioni di sicurezza con test regressivi) sarebbe utile avere.

02/10/2004 14.21 | Luca Minudel
Gravatar

# re: Sicurezza: mai illudersi troppo... URL Scan, request validation e la vita del povero informatico!

Ma per fare tutto questo lavoro (di controllo della sicurezza) chi è che paga???

Estraggo da un mio vecchio articolo:
http://online.infomedia.it/riviste/cp/117/sommario.htm

<<Una misura della criticità del sistema informatico si ottiene stimando i costi per l’azienda derivanti dall’interruzione dei servizi forniti e dal danneggiamento, perdita o furto delle informazioni trattate [4][5].
Infine c’è il costo per la Software Factory dovuto ai malfunzionamenti segnalati a cui segue l’attività di verifica (realizzazione del test che espone il difetto), debug (individuazione del difetto nel codice e correzione) e test regressivo (verifica che le modifiche non introducano nuovi difetti); il costo cresce con la complessità del sistema [6].>>

Reso consapevole il cliente/la Software Factory di questi costi potrebbe essere disposta ad investire in una attività preventiva.





---------------
[4] Robert Ellison et al. – “Survivability: Protecting Your Critical Systems”, IEEE Internet Computing vol.3(6), 1999; http://www.cert.org/archive/html/protect-critical-systems.html
[5] Kaufman et al.– “Network Security”, Prentice Hall, 1995
[6] A.K. Onoma,W.T. Tsai, M.H. Poonawala, H.Suganuma – “Regression Testing in an Industrial Environment”, Comm ACM 41(5), 1998; http://asusrl.eas.asu.edu/papers/Regression-Testing.htm
02/10/2004 14.26 | Luca Minudel
Gravatar

# re: Sicurezza: mai illudersi troppo... URL Scan, request validation e la vita del povero informatico!

Concordo in pieno con Luka!
02/10/2004 14.35 | Lorenzo Barbieri
Gravatar

# Shit Happens... ma solo di qua!

02/10/2004 16.58 | Di .NET e di altre amenita'
Gravatar

# Shit Happens... ma solo di qua!

02/10/2004 17.17 | Di .NET e di altre amenita'
Comments have been closed on this topic.

Powered by:

Copyright © Lorenzo Barbieri