SDL (Parte 8 - 3: Analisi dei rischi - Determine Threat Types)

6.     Determine Threat Types
In Microsoft per identificare un threat hanno creato un classificatore (taxonomy) chiamato STRIDE.
STRIDE è una sigla formata da:
·         Spoofing Identity
·         Tampering
·         Repudiation
·         Information Disclosure
·         Denial of Service
·         Elevation of Privilege
 
Spoofing Identity
Permette a chi attacca di far finta d’esser qualcun’altro o qualcos’altro.
Esempio, permette di identificarsi come Bill Gates, come il dominio Microsoft.com o come il file Ntdll.dll.
Tampering
L’attaccante modifica dati o parti del codice, senza che il destinatario se ne accorga.
Repudiation
Chi attacca nega d’aver effettuato un’azione e il sistema attaccato non può né confermare né contraddire; questo può capitare quando un utente effettua un’operazione proibita ma il sistema non è in grado di monitorarla.
Information Disclosure
Quando chi attacca ha accesso a dati (dati segreti o personally identifiable information (PII)), che reputavamo sicuri.
Denial of Service
Quando un servizio rifiuta o non prende in considerazione delle richieste da un utente.
Un’esempio è quando un Web server viene reso temporaneamente non utilizzabile.
Elevation of Privilege
Abbiamo un attacco di questo tipo quando, esempio, un utente anonimo riesce a divenire l’amministratore del sistema e quindi effettuare operazioni vietate.
Può esser applicato anche alle applicazioni.
Per esempio, quando ad un’applicazione vengono dati più capacità quanto realmente necessarie.
Tags:

Uno per Volta

Microsoft ha in cantiere Volta .

Cos'è Volta?
Cito testualmente:

The Volta technology preview is a developer toolset that enables you to build multi-tier web applications by applying familiar techniques and patterns. First, design and build your application as a .NET client application, then assign the portions of the application to run on the server and the client tiers late in the development process. The compiler creates cross-browser JavaScript for the client tier, web services for the server tier, and communication, serialization, synchronization, security, and other boilerplate code to tie the tiers together.

Developers can target either web browsers or the CLR as clients and Volta handles the complexities of tier-splitting for you.  Volta comprises tools such as end-to-end profiling to make architectural refactoring and optimization simple and quick. In effect, Volta offers a best-effort experience in multiple environments without any changes to the application.

Sembra una figata. Staremo a vedere.

Tags: