| Date post: | 19-Jan-2016 |
| Category: | Documents |
| View: | 46 times |
| Download: | 0 times |
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
Securitatea aplicatiilor Web
detalii in [PSW, 297-305] [SW, 286-294]
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
Experienta este acel minunat lucru care iti da voie sa recunosti o greseala
pe care ai mai facut-o.
F.P. Jones
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
Ce inseamna securitatea datelor?
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Securitatea este procesul de mentinere a unui nivel acceptabil de risc perceptibil
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Securitatea este procesul de mentinere a unui nivel acceptabil de risc perceptibil
Security is a process, not an end state. Mitch Kabay
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
riscuri de securitate (Web application security risks) conform www.owasp.org
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Confidentialitatea Autentificarea
Autorizarea Integritatea
Nerepudierea Intimitatea (privacy)
Disponibilitatea
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Confidentialitatea
imposibilitatea unei terte entitati sa aiba acces la datele vehiculate intre doi receptori
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Confidentialitatea
solutie:
conexiuni private intre cele 2 puncte terminale ale canalului de comunicatie
datele circula printr-un tunel oferit de o retea privata
virtuala (VPN Virtual Private Network)
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Confidentialitatea
solutie:
criptarea datelor via diverse abordari
biblioteci specializate si/sau oferite de mediile de dezvoltare
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Autentificarea
mecanism ce permite utilizatorilor sa acceseze un serviciu dupa verificarea identitatii
utilizatorului uzual, pe baza de nume + parola
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Autentificarea
solutie:
serverul Web ofera suport pentru autentificari de baza (basic authentication)
sau bazate pe algoritmi de tip digest e.g., MD5, SHA1
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Autentificarea
solutie:
folosirea/implementarea unor servicii de autentificare OpenID
utilizatorul poate demonstra ca detine un URL specific
menit a-l identifica on-line
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Autentificarea
solutie:
folosirea/implementarea unor servicii de autentificare OpenID
existenta unui ofertant de identitate digitala
(identity provider) exemplu: o aplicatie Web sociala Facebook, Twitter,
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Autorizarea
specifica actiunile (rolurile) pe care un utilizator le poate realiza intr-un anumit context
asociata autentificarii
se permite administratorului definirea politicilor
de control al accesului la servicii
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Autorizarea
solutii:
drepturi de acces (permisiuni) +
liste de control al accesului (ACL Access Control List)
context: autorizarea in cadrul sistemelor de operare
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Autorizarea
solutii:
controlul accesului bazat pe roluri (RBAC Role-Based Access Control)
exemplu: un utilizator obisnuit cu rol de administrator
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Autorizarea
solutii:
OAuth la nivelul Web-ului social
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Integritatea
in acest context, implica detectarea incercarilor de modificare neautorizata a datelor transmise
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Integritatea
solutii:
algoritmi de tip digest
semnaturi digitale (stocate, eventual, in format XML XML Signature)
pot fi vehiculate si via mesaje SOAP
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Nerepudierea
asigura ca expeditorul unui mesaj nu poate afirma ca nu l-a trimis
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Nerepudierea
solutie:
certificate digitale stocheaza datele privind identitatea unei entitati
detinatoare a unui secret: parola, serie a cartii de credit, certificat digital,
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Nerepudierea
solutie:
certificate digitale
PKI Public Key Infrastructure
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Disponibilitatea
o anumita resursa e necesar sa poata fi accesata la momentul oportun
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Disponibilitatea
cauze ale indisponibilitatii:
atacuri de refuz al serviciilor DoS (Denial of Service)
atacuri distribuite de tip DDoS (Distributed DoS)
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Intimitatea
vizeaza drepturile ce trebuie respectate privind caracterul (subiectul) datelor vehiculate
confundata, deseori, cu confidentialitatea
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Intimitatea
brese: stocarea necorespunzatoare a datelor
la nivel de server information disclosure
atacuri de tip XSS (Cross-Site Scripting)
atacuri de tip phishing
configurarea necorespunzatoare a sistemelor
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Securitatea Web trebuia sa ia in consideratie:
clientul
interactiunea cu utilizatorul date personale stocate: cookie-uri, date off-line, cache,
transferurile asincrone via Ajax/Comet existenta plugin-urilor/extensiilor suspecte
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Securitatea Web trebuia sa ia in consideratie:
datele in tranzit
securitatea retelei schimbul sigur de mesaje intre diverse entitati
ne-repudierea datelor
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Securitatea Web trebuia sa ia in consideratie:
serverul
securitatea serverului/serverelor Web securitatea aplicatiilor
disponibilitatea serviciilor
Dr.
Sab
in B
ura
ga
ww
w.p
url
.org
/ne
t/b
usa
co
securitatea datelor
Securitatea Web trebuia sa ia in consideratie:
clientul
Click here to load reader
