Home >Technology >Programare Web (Introducere in securitate)

Programare Web (Introducere in securitate)

Date post:28-Nov-2014
Category:
View:74,341 times
Download:5 times
Share this document with a friend
Description:
A brief introduction into Web security.
Transcript:
  • 1. Tehnologii Web 2007 Programare Web Introducere in securitate Dr. Sabin-Corneliu Buraga Facultatea de Informatica Universitatea A.I.Cuza Iasi, Romania http://www.infoiasi.ro/~busaco/ 1 Dr. Sabin Buraga http://www.infoiasi.ro/~busaco/
  • 2. Tehnologii Web 2007 cuprins Preliminarii Aspecte privind securitatea datelor Atacuri Web Prevenirea & supravietuirea Monitorizarea & testarea De retinut 2 Dr. Sabin Buraga http://www.infoiasi.ro/~busaco/
  • 3. Tehnologii Web 2007 preliminarii Incident de securitate eveniment aparut in cadrul retelei, cu implicatii asupra securitatii unui calculator sau a retelei Provenind din interiorul ori exteriorul retelei In cazul nostru, priveste serverul Web, clientul Web si/sau alte componente software aditionale (e.g., serverul de stocare a datelor) Multe protocoale de baza ale Internetului (inclusiv HTTP) nu au luat in calcul vulnerabilitatile ce pot surveni Cracker versus hacker 3 Dr. Sabin Buraga http://www.infoiasi.ro/~busaco/
  • 4. Tehnologii Web 2007 preliminarii Vulnerabilitate slabiciune a unui sistem hardware/software ce permite utilizatorilor neautorizati sa aiba acces asupra sa Nici un sistem nu este 100% sigur Vulnerabilitatile apar si datorita proastei administrari 4 Dr. Sabin Buraga http://www.infoiasi.ro/~busaco/
  • 5. Tehnologii Web 2007 preliminarii Cauzele existentei vulnerabilitatilor Bug-uri (erori) existente in programe (script-uri, servere Web, navigatoare,...), introduse deseori neintentionat Ignorarea/nedocumentarea bug-urilor existente (cunoscute) Configurarea necorespunzatoare a programelor, serverelor si retelelor Lipsa suportului din partea producatorilor Comoditatea sau necunoasterea problemelor de securitate de catre administrator ori de conducerea organizatiei 5 Dr. Sabin Buraga http://www.infoiasi.ro/~busaco/
  • 6. Tehnologii Web 2007 aspecte Aspecte privind securitatea datelor: Confidentialitatea Autentificarea Autorizarea Integritatea Nerepudierea Intimitatea (privacy) Disponibilitatea 6 Dr. Sabin Buraga http://www.infoiasi.ro/~busaco/
  • 7. Tehnologii Web 2007 aspecte Confidentialitatea Imposibilitatea unei terte entitati sa aiba acces la datele vehiculate intre doi receptori Solutii: conexiuni private intre cele 2 puncte terminale ale canalului de comunicatie; datele circula printr-un tunel oferit de o retea privata virtuala (VPN Virtual Private Network) criptarea datelor via diverse tehnici (biblioteci specializate si/sau oferite de mediile de dezvoltare) 7 Dr. Sabin Buraga http://www.infoiasi.ro/~busaco/
  • 8. Tehnologii Web 2007 aspecte Autentificarea Mecanism ce permite utilizatorilor sa acceseze un serviciu dupa verificarea identitatii utilizatorului (uzual, pe baza de nume + parola) Solutii: serverul Web ofera suport pentru autentificari de baza sau bazate pe algoritmi de tip digest (e.g., MD5) folosirea unor tehnici speciale la nivel de aplicatie 8 Dr. Sabin Buraga http://www.infoiasi.ro/~busaco/
  • 9. Tehnologii Web 2007 aspecte Autorizarea Specifica actiunile (rolurile) pe care un utilizator le poate realiza; asociata autentificarii Se permite administratorului definirea politicilor de control al accesului la servicii Solutii: drepturi de acces (permisiuni) + liste de control al accesului (ACL Access Control List) controlul accesului bazat pe roluri (RBAC Role-Based Access Control) tehnici de tip SSO (Single Sign-On) e.g., OpenID 9 Dr. Sabin Buraga http://www.infoiasi.ro/~busaco/
  • 10. Tehnologii Web 2007 aspecte Integritatea In acest context, implica detectarea incercarilor de modificare neautorizata a datelor transmise Solutii: algoritmi de tip digest semnaturi digitale 10 Dr. Sabin Buraga http://www.infoiasi.ro/~busaco/
  • 11. Tehnologii Web 2007 aspecte Nerepudierea Expeditorul mesajului nu poate afirma ca nu l-a trimis Solutie: certificate digitale stocheaza datele privind identitatea unei entitati detinatoare a unui secret (parola, Infrastructura serie a cartii de credit, certif. digital,) cu chei publice (PKI Public emise de o autoritate de certificare Key (CA Certification Authority) Infrastruc.) verificate de o autoritate de inregistrare (RA Registration Authority) 11 Dr. Sabin Buraga http://www.infoiasi.ro/~busaco/
  • 12. Tehnologii Web 2007 aspecte Disponibilitatea O anumita resursa sa poata fi accesata la momentul oportun Cauze ale indisponibilitatii: atacuri de refuz al s

Click here to load reader

Embed Size (px)
Recommended