Please enable JavaScript.
Coggle requires JavaScript to display documents.
06: Sicurezza delle applicazioni di rete (Approcci (Protocolli (SSL/TLS…
06: Sicurezza delle applicazioni di rete
Approcci
Concettuale
Sicurezza di canale
Sicurezza di messaggio
Implementativo
Sicurezza interna alle app.
Sicurezza esterna alle app.
Protocolli
SSL/TLS
Funzionalità
Autenticazione e integrità
Riservatezza (Opzionale)
No-replay e filtering
Session ID
Identificativo di una sessione
Valido per più connessioni
Stabilito tramite handshake
Architettura
SSL Record Protocol
Record SSL
Type
Version
Length
SSL Handshake Protocol
SSL Change cipher spec protocol
SSL Alert Protocol
Chiavi e sessioni
Per ogni sessione
Pre-Master Secret
Master Secret
Per ogni connessione
Client/Server random
Chiave simmetrica
Chiave per autenticazione
Initialization Vector
Handshake
Client Hello
Server Hello
Server Certificate
Server Key Exchange
RSA
KPUB usa e getta
Cifrata con KPRI certificata
DH
Parte pubblica (B)
Cifrata con KPRI certificata
(Client Certificate)
Client Key Exchange
Change cipher spec
Finished
MAC
Master secret
Hash messaggi precedenti
Problemi SSL2
Versione di esportazione
Algoritmo di hash proprietario
Ciphersuite suite rollback
Padding falsificabile
SSH
PCT
Sicurezza HTTP
HTTP/1.0
Address based
Password based
HTTP/1.1
Basic authentication
Digest authentication
Client calcola:
HA1=MD5(user":"realm":"password)
HA2=MD5(method":"URI)
response = MD5(HA1":"nonce":"HA2)
Server invia:
nonce
opaque
Applicazione client
Livello applicativo (PHP)
Livello HTTP
Livello TLS
Sistemi di pagamento elettronico
Attori
Cardholder
Merchant
Payment gateway
Rete di pagamento
PCI DSS
Installare e mantere firewall
Non usare parametri e password predefiniti
Protoggere dati dei titolari delle carte
Cifrare i dati dei titolari quando trasmessi su reti pubbliche
Usare e aggiornare antivirus
Sviluppare e mantenere applicazioni e sistemi protetti
Limitare l'accesso ai dati dei titolari solo a casi indispensabili
Dare ID univoco ad ogni utente
Limitare l'accesso fisico ai dati dei titolari
Monitorare e tracciare gli accessi ai dati dei titolari
Eseguire test periodici dei sistemi di protezione
Adottare una politica di sicurezza