La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Presentazioni simili


Presentazione sul tema: "CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP."— Transcript della presentazione:

1 CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP

2 Informatica granata Funzionalità Architettura del sistema Presentazione del sistema Problematiche e difficoltà riscontrate Sicurezza del sistema Suddivisione dei compiti

3 Funzionalità del Sistema Homepage Catalogo navigabile Listino prezzi Carrello spesa Possibilità di acquisto on-line Acquisti effettuati tramite ufficialepagatore.com Pannello amministratore

4 Informatica granata Funzionalità Architettura del sistema Presentazione del sistema Problematiche e difficoltà riscontrate Sicurezza del sistema Suddivisione dei compiti

5 Architettura del sistema

6 Presentation Layer Il portale risiede sul server G3ISP Thin client Non richiede alcuna installazione sul client Funziona una volta connessi alla rete Utilizzo di un normale browser HTML puro PHP Nessun utilizzo di frame e di pop-up Sono stati vietati gli accessi indirizzati Utilizzo di variabili di sessione opportunamente settate

7 Presentation Layer Il portale permette la registrazione di un cliente Tutti i dati sono obbligatori La password è memorizzata in md5 La visualizzazione degli ordini effettuati La modifica dei dati personali La visualizzazione di un catalogo digitale Il riepilogo dellacquisto che si intende effettuare È consentita la scelta delle quantità Lacquisto di articoli informatici

8 Business Logic Layer Possibilità di acquisti online Sicurezza negli acquisti Utilizzo di https:// Autorità riconosciute mediante CA Utilizzo di funzioni fornite da ufficialepagatore.com per la gestione delle transazioni Protocollo di sicurezza tra informatica granata e ufficialepagatore.com Pagamenti mediante carta di credito Sconti per i clienti che superano i 10 prodotti

9 Data Management Layer Creazione Database SHOP per Informatica Granata SHOP contiene informazioni riguardanti : Clienti / Utenti Prodotti Ordini effettuati Tokens utilizzati SHOP risiede sul Server G2ISP Informatica Granata accede a SHOP mediante funzioni

10 Data Management Layer Interazione con SHOP attraverso oggetto PHP MyDBManager MyDBManager possiede metodi relativi a : Login di Utenti ed Amministratori Gestione Utenti con modifiche dati Elenco Utenti e Dati Utente Specifico Gestione Prodotti con modifiche dati Catalogo Prodotti e Dati Prodotto Specifico Gestione ed Elenco Ordini e Prodotti Ordinati Funzioni di Timeout e Conferma Ordini

11 Data Management Layer MyDBManager gestisce le funzioni che modificano il DB come transazioni E garantita la consistenza del database in caso di fallimento I dati inseriti nel DB sono privi di caratteri fastidiosi (utilizzo funzioni PHP add/stripslashes) MyDBManager.php risiede sul server GISP3 Funzioni (Metodi) chiamate dalle pagine del sito Informatica Granata Per ogni oggetto istanziato una connessione utilizzata da tutti i metodi

12 Data Management Layer Ipotesi di distribuire lapplicazione su due servers – Il web sul server g3isp – Il database sul server g2isp Problema riscontrato – MySQL non permetteva connessioni sicure al database nonostante certificati validi Soluzione – Installazione del database sullo stesso server – Per motivi di sicurezza non conveniva effettuare chiamate al db in chiaro.

13 Informatica granata Funzionalità Architettura del sistema Presentazione del sistema Problematiche e difficoltà riscontrate Sicurezza del sistema Suddivisione dei compiti

14 Homepage

15 Registrazione Utente

16 Pannello Amministratore

17 Catalogo

18 Compra

19 Carrello

20 Informatica granata Funzionalità Architettura del sistema Presentazione del sistema Problematiche e difficoltà riscontrate Sicurezza del sistema Suddivisione dei compiti

21 Problematiche e difficoltà riscontrate Interazione tra i 2 macrogruppi Scelta del protocollo di comunicazione Definizione delle politiche di sicurezza Scelta e realizzazione del token Suddivisione dei compiti Problematiche legate al database

22 Informatica granata Funzionalità Architettura del sistema Presentazione del sistema Problematiche e difficoltà riscontrate Sicurezza del sistema Suddivisione dei compiti

23 Sicurezza del sistema Utilizzo di funzioni addslshes e htmlentities per evitare attacchi di tipo Cross Site Scripting e SQL Injection Database accessibile solo da locale per evitare il furto di dati Ridotta quantità di informazioni nella signature di Apache Unica informazione rilasciata è Apache 2 Utilizzo di HTTPS Limitazione dellaccesso alle pagine sensibili ai soli amministratori tramite controllo della sessione Impossibilità di contenere eventuali attacchi di tipo DOS o DDOS Solo cure palliative come: Riduzioni delle connessioni da uno stesso host Riduzione della durata massima di un connessione Blocco di host che compiono operazioni strane

24 Informatica granata Funzionalità Architettura del sistema Presentazione del sistema Problematiche e difficoltà riscontrate Sicurezza del sistema Suddivisione dei compiti

25 Andrea Bruno Integrazione, funzioni curl, openssl, logica protocollo Francesco Granato Gestione acquisti, carrello elettronico, catalogo virtuale Francesco Di Perna Homepage, gestione utenti, pannello amministratore Domenico Laurino Realizzazione funzioni di accesso al database Ivo Barone Progettazione e realizzazione del database


Scaricare ppt "CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP."

Presentazioni simili


Annunci Google