CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP...
-
Upload
carlotta-fadda -
Category
Documents
-
view
215 -
download
0
Transcript of CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP...
![Page 1: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/1.jpg)
CORSO DI SICUREZZA SU RETI IIPROF. A. DE SANTIS
ANNO 2006/07
Informatica granata
Gruppo 2 ISPGruppo 3 ISP
![Page 2: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/2.jpg)
Informatica granata
FunzionalitàArchitettura del sistemaPresentazione del sistemaProblematiche e difficoltà riscontrateSicurezza del sistemaSuddivisione dei compiti
![Page 3: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/3.jpg)
Funzionalità del Sistema
HomepageCatalogo navigabileListino prezziCarrello spesaPossibilità di acquisto on-lineAcquisti effettuati tramite
“ufficialepagatore.com”Pannello amministratore
![Page 4: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/4.jpg)
Informatica granata
FunzionalitàArchitettura del sistemaPresentazione del sistemaProblematiche e difficoltà riscontrateSicurezza del sistemaSuddivisione dei compiti
![Page 5: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/5.jpg)
Architettura del sistema
![Page 6: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/6.jpg)
Presentation Layer
Il portale risiede sul server G3ISP Thin client
Non richiede alcuna installazione sul client Funziona una volta connessi alla rete Utilizzo di un normale browser
HTML puroPHPNessun utilizzo di frame e di pop-upSono stati vietati gli accessi indirizzati
Utilizzo di variabili di sessione opportunamente settate
![Page 7: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/7.jpg)
Presentation Layer
Il portale permette la registrazione di un cliente
Tutti i dati sono obbligatori La password è memorizzata in md5
La visualizzazione degli ordini effettuati La modifica dei dati personali La visualizzazione di un catalogo digitale Il riepilogo dell’acquisto che si intende effettuare
È consentita la scelta delle quantità L’acquisto di articoli informatici
![Page 8: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/8.jpg)
Business Logic Layer
Possibilità di acquisti online Sicurezza negli acquisti
Utilizzo di https:// Autorità riconosciute mediante CA Utilizzo di funzioni fornite da ufficialepagatore.com per la
gestione delle transazioni Protocollo di sicurezza tra informatica granata e
ufficialepagatore.com Pagamenti mediante carta di credito
Sconti per i clienti che superano i 10 prodotti
![Page 9: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/9.jpg)
Data Management Layer
Creazione Database “ SHOP ” per Informatica Granata
SHOP contiene informazioni riguardanti : Clienti / Utenti Prodotti Ordini effettuati Tokens utilizzati
SHOP risiede sul Server G2ISPInformatica Granata accede a SHOP
mediante funzioni
![Page 10: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/10.jpg)
Data Management Layer
Interazione con SHOP attraverso oggetto PHP MyDBManager
MyDBManager possiede metodi relativi a : Login di Utenti ed Amministratori Gestione Utenti con modifiche dati Elenco Utenti e Dati Utente Specifico Gestione Prodotti con modifiche dati Catalogo Prodotti e Dati Prodotto Specifico Gestione ed Elenco Ordini e Prodotti Ordinati Funzioni di Timeout e Conferma Ordini
![Page 11: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/11.jpg)
Data Management Layer
MyDBManager gestisce le funzioni che modificano il DB come transazioni
E’ garantita la consistenza del database in caso di fallimento
I dati inseriti nel DB sono privi di caratteri “fastidiosi” (utilizzo funzioni PHP add/stripslashes)
MyDBManager.php risiede sul server GISP3Funzioni (Metodi) chiamate dalle pagine del
sito Informatica GranataPer ogni oggetto istanziato una connessione
utilizzata da tutti i metodi
![Page 12: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/12.jpg)
Data Management Layer
• Ipotesi di distribuire l’applicazione su due servers– Il web sul server g3isp– Il database sul server g2isp
• Problema riscontrato– MySQL non permetteva connessioni sicure al
database nonostante certificati validi
• Soluzione– Installazione del database sullo stesso server– Per motivi di sicurezza non conveniva effettuare
chiamate al db in chiaro.
![Page 13: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/13.jpg)
Informatica granata
FunzionalitàArchitettura del sistemaPresentazione del sistemaProblematiche e difficoltà riscontrateSicurezza del sistemaSuddivisione dei compiti
![Page 14: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/14.jpg)
Homepage
![Page 15: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/15.jpg)
Registrazione Utente
![Page 16: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/16.jpg)
Pannello Amministratore
![Page 17: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/17.jpg)
Catalogo
![Page 18: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/18.jpg)
Compra
![Page 19: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/19.jpg)
Carrello
![Page 20: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/20.jpg)
Informatica granata
FunzionalitàArchitettura del sistemaPresentazione del sistemaProblematiche e difficoltà riscontrateSicurezza del sistemaSuddivisione dei compiti
![Page 21: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/21.jpg)
Problematiche e difficoltà riscontrate
Interazione tra i 2 macrogruppiScelta del protocollo di comunicazioneDefinizione delle politiche di sicurezza
Scelta e realizzazione del token
Suddivisione dei compitiProblematiche legate al database
![Page 22: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/22.jpg)
Informatica granata
FunzionalitàArchitettura del sistemaPresentazione del sistemaProblematiche e difficoltà riscontrateSicurezza del sistemaSuddivisione dei compiti
![Page 23: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/23.jpg)
Sicurezza del sistema
Utilizzo di funzioni addslshes e htmlentities per evitare attacchi di tipo Cross Site Scripting e SQL Injection
Database accessibile solo da locale per evitare il furto di dati
Ridotta quantità di informazioni nella signature di Apache Unica informazione rilasciata è “Apache 2”
Utilizzo di HTTPSLimitazione dell’accesso alle pagine “sensibili” ai soli
amministratori tramite controllo della sessioneImpossibilità di contenere eventuali attacchi di tipo DOS o
DDOS Solo cure palliative come:
Riduzioni delle connessioni da uno stesso host Riduzione della durata massima di un connessione Blocco di host che compiono operazioni “strane
![Page 24: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/24.jpg)
Informatica granata
FunzionalitàArchitettura del sistemaPresentazione del sistemaProblematiche e difficoltà riscontrateSicurezza del sistemaSuddivisione dei compiti
![Page 25: CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.](https://reader035.fdocument.pub/reader035/viewer/2022062418/5542eb4b497959361e8b8649/html5/thumbnails/25.jpg)
Suddivisione dei compiti
Andrea Bruno Integrazione, funzioni curl, openssl, logica protocollo
Francesco Granato Gestione acquisti, carrello elettronico, catalogo
virtuale
Francesco Di Perna Homepage, gestione utenti, pannello amministratore
Domenico Laurino Realizzazione funzioni di accesso al database
Ivo Barone Progettazione e realizzazione del database