| |
|
| |
 |
Programming |
 |
|
|
| |
 |
Networking |
|
|
|
| |
 |
Design
Style |
|
|
| |
 *
you are here |
| |
the largest repository of Open Source code and applications
available on the Internet. SourceForge.net provides free services
to Open Source developers.
|
|
| |
freshmeat maintains the Web's largest index of Unix and cross-platform
software, themes and related "eye-candy", and Palm
OS software. Thousands of applications, which are preferably
released under an open source license, are meticulously cataloged
in the freshmeat database.
|
|
| |
The CERT® is a center of Internet security expertise,
located at the Software Engineering Institute, a federally
funded research and development center.
|
|
| |
The OpenBSD project produces a FREE, multi-platform 4.4BSD-based UNIX-like operating system |
|
|
|
|
![]() |
print
document |
![]() |
download
PDF |
|
| Flash
& Php – Rendere sicure le autenticazioni. |
|
| Parte
IV |
| La
Connessione |
Un
particolare che non abbiamo ancora citato è la connessione.
Come abbiamo visto il client in Flash invia le variabili user
e password ‘in chiaro’ allo script in php sul
server, che le analizzerà e invierà una risposta,
il fatto che sia le variabili come la risposta vengano passate
in chiaro, e cioè senza essere prima criptate, rende
il processo vulnerabile allo ‘sniffing’ ovvero
alla possibilità di essere intercettate nei loro percorsi
di rete. Si prenda ad esempio una lan aziendale che utilizza
degli hub, (anche gli switch sono a rischio, contrariamente
a quanto si crede), tutti i pacchetti di rete arrivano a tutte
le interfacce di rete in ascolto, basterebbe quindi un tool
qualunque di audit per intercettare la connessione.
Altri esempi potrebbero essere i proxy o i firewall con attivo
il logging, o uno sniffer sul gateway ad internet, insomma,
intercettare una connessione forse non è semplice come
‘guardare dentro’ un swf, ma è una possibilità
non certo remota.
Tutto ciò per dire che, fin quando si tratta di un
esempio, possiamo utilizzare una normale connessione ad un
normale server web, ma quando si tratta di sviluppare una
procedura per l’autenticazione degli utenti di un sito
di e-commerce, si dovrebbe sempre usare una connessione criptata
con il server web, tramite SSL, in modo che i dati vengano
criptati dal browser per poter essere letti soltanto dal destinatario
dei pacchetti, il server e viceversa.
Devo precisare però, che nonostante una connessione
SSL migliori il coefficiente di sicurezza, non avremo comunque
una sicurezza al 100%, in quanto vi sono particolari tools
(es. dsniff,
ettercap)
che in alcuni casi riescono a intercettare anche una connessione
SSL, naturalmente questi tools devono avere un accesso privilegiato
alle risorse di rete sulle quali transitano i pacchetti.
|
| |
|
| |
| |
![]() |
print
document |
![]() |
download
PDF |
|
