Home >Documents >Web 14 Securitate Web

Web 14 Securitate Web

Date post:19-Jan-2016
Category:
View:46 times
Download:0 times
Share this document with a friend
Description:
curs web
Transcript:
  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    Securitatea aplicatiilor Web

    detalii in [PSW, 297-305] [SW, 286-294]

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    Experienta este acel minunat lucru care iti da voie sa recunosti o greseala

    pe care ai mai facut-o.

    F.P. Jones

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    Ce inseamna securitatea datelor?

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Securitatea este procesul de mentinere a unui nivel acceptabil de risc perceptibil

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Securitatea este procesul de mentinere a unui nivel acceptabil de risc perceptibil

    Security is a process, not an end state. Mitch Kabay

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    riscuri de securitate (Web application security risks) conform www.owasp.org

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Confidentialitatea Autentificarea

    Autorizarea Integritatea

    Nerepudierea Intimitatea (privacy)

    Disponibilitatea

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Confidentialitatea

    imposibilitatea unei terte entitati sa aiba acces la datele vehiculate intre doi receptori

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Confidentialitatea

    solutie:

    conexiuni private intre cele 2 puncte terminale ale canalului de comunicatie

    datele circula printr-un tunel oferit de o retea privata

    virtuala (VPN Virtual Private Network)

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Confidentialitatea

    solutie:

    criptarea datelor via diverse abordari

    biblioteci specializate si/sau oferite de mediile de dezvoltare

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Autentificarea

    mecanism ce permite utilizatorilor sa acceseze un serviciu dupa verificarea identitatii

    utilizatorului uzual, pe baza de nume + parola

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Autentificarea

    solutie:

    serverul Web ofera suport pentru autentificari de baza (basic authentication)

    sau bazate pe algoritmi de tip digest e.g., MD5, SHA1

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Autentificarea

    solutie:

    folosirea/implementarea unor servicii de autentificare OpenID

    utilizatorul poate demonstra ca detine un URL specific

    menit a-l identifica on-line

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Autentificarea

    solutie:

    folosirea/implementarea unor servicii de autentificare OpenID

    existenta unui ofertant de identitate digitala

    (identity provider) exemplu: o aplicatie Web sociala Facebook, Twitter,

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Autorizarea

    specifica actiunile (rolurile) pe care un utilizator le poate realiza intr-un anumit context

    asociata autentificarii

    se permite administratorului definirea politicilor

    de control al accesului la servicii

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Autorizarea

    solutii:

    drepturi de acces (permisiuni) +

    liste de control al accesului (ACL Access Control List)

    context: autorizarea in cadrul sistemelor de operare

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Autorizarea

    solutii:

    controlul accesului bazat pe roluri (RBAC Role-Based Access Control)

    exemplu: un utilizator obisnuit cu rol de administrator

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Autorizarea

    solutii:

    OAuth la nivelul Web-ului social

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Integritatea

    in acest context, implica detectarea incercarilor de modificare neautorizata a datelor transmise

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Integritatea

    solutii:

    algoritmi de tip digest

    semnaturi digitale (stocate, eventual, in format XML XML Signature)

    pot fi vehiculate si via mesaje SOAP

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Nerepudierea

    asigura ca expeditorul unui mesaj nu poate afirma ca nu l-a trimis

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Nerepudierea

    solutie:

    certificate digitale stocheaza datele privind identitatea unei entitati

    detinatoare a unui secret: parola, serie a cartii de credit, certificat digital,

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Nerepudierea

    solutie:

    certificate digitale

    PKI Public Key Infrastructure

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Disponibilitatea

    o anumita resursa e necesar sa poata fi accesata la momentul oportun

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Disponibilitatea

    cauze ale indisponibilitatii:

    atacuri de refuz al serviciilor DoS (Denial of Service)

    atacuri distribuite de tip DDoS (Distributed DoS)

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Intimitatea

    vizeaza drepturile ce trebuie respectate privind caracterul (subiectul) datelor vehiculate

    confundata, deseori, cu confidentialitatea

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Intimitatea

    brese: stocarea necorespunzatoare a datelor

    la nivel de server information disclosure

    atacuri de tip XSS (Cross-Site Scripting)

    atacuri de tip phishing

    configurarea necorespunzatoare a sistemelor

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Securitatea Web trebuia sa ia in consideratie:

    clientul

    interactiunea cu utilizatorul date personale stocate: cookie-uri, date off-line, cache,

    transferurile asincrone via Ajax/Comet existenta plugin-urilor/extensiilor suspecte

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Securitatea Web trebuia sa ia in consideratie:

    datele in tranzit

    securitatea retelei schimbul sigur de mesaje intre diverse entitati

    ne-repudierea datelor

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Securitatea Web trebuia sa ia in consideratie:

    serverul

    securitatea serverului/serverelor Web securitatea aplicatiilor

    disponibilitatea serviciilor

  • Dr.

    Sab

    in B

    ura

    ga

    ww

    w.p

    url

    .org

    /ne

    t/b

    usa

    co

    securitatea datelor

    Securitatea Web trebuia sa ia in consideratie:

    clientul

Click here to load reader

Reader Image
Embed Size (px)
Recommended