CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.

Slides:

Advertisements

Presentazioni simili

“Niente di Nuovo” Mercatino dell’Usato

Advertisements

VIA GIULIO RATTI, CREMONA – Tel. 0372/27524

Modulo 5 - posta elettronica

Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.

Microsoft Education Academic Licensing Annalisa Guerriero.

Proposta architettura sistema elearning

INTERNET: RISCHI E PERICOLI

Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.

Mantenimento dello stato Laboratorio Progettazione Web AA 2009/2010 Chiara Renso ISTI- CNR -

Connessione con MySQL.

WebProfessional Web Content Management System

Interazione tra basi di dati e web

ANALISI COMPETITIVA Valutazione di Siti Web

Web Information Systems (I parte) Prof. Barbara Pernici Politecnico di Milano.

La vendita online b2c. PROBLEMATICHE (I) 1.Le caratteristiche del prodotto è adatto alla vendita online? 2.Il mercato in cui si opera come avviene la.

WEB COMMERCE (siti Web aziendali) tipologie Siti di presenza Siti di vetrina Siti di vendita.

Architettura Three Tier

Creazione di una classe virtuale e iscrizione dei corsisti alla classe: indicazioni generali per gli e-tutor (a cura di Francesca Rossi) RIMINI, 1 febbraio.

Sicurezza su Reti /2007 Commessa 1 : Protocollo di pagamento online utilizzato nella commessa.

Gioco di Ruolo Sicurezza su Reti II /07 Commessa – Ufficiale Pagatore Gruppo 1 - NIC Albano Pietro Castiglione Arcangelo Rossomando Enrico Tortora.

SIMULAZIONE RETE INTERNET INTERNET SERVICE PROVIDER GRUPPO 2 COMMESSA – INFORMATICA GRANATA Corso Sicurezza su Reti II Prof. A. De Santis Anno Accademico.

Gruppo ISP1 Commessa tuttipunti.org. Sommario Descrizione commessa Organizzazione del lavoro Lavoro svolto Problematiche di sicurezza Impostazioni di.

Carotenuto Raffaele Distante Federico Picaro Luigi

Certification Authority Fase I : Setup e Configurazione Componenti del gruppo : Marino Pasquale Marra Maria Cristina Molaro Alfonso Rullo Esterino.

Commercio Elettronico e Transazioni Commerciali in Internet Betty BronziniCorso di Sicurezza 2003.

INFORMATICA E TECNOLOGIA DELLA COMUNICAZIONE IN RETE MODULO 2

Cos’è un CMS? Content Management System

Ing. Enrico Lecchini BetaTre S.r.l.

Ottobre 2007 Predisposizione e presentazione della domanda di nullaosta.

Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.

Modulo 7 – reti informatiche u.d. 2 (syllabus – )

Primo accesso Dimenticato la password? Navigare in piattaforma Come accedere a un corso.

ForumPA 2007 Roma – 25 Maggio 2007 LESPERIENZA DI AMMINISTRAZIONI E IMPRESE.

Ottobre 2006 – Pag. 1

I servizi telematici dell’Agenzia

Monitoraggio Pratiche Didattiche della provincia di Reggio Calabria Copyright©2007 DARGAL Web Solutions. È vietata la riproduzione anche parziale.

Portale CST. Descrizione e funzionalità del Portale CST Home page regionale Home page pubblica del CST Presentazione del CST Adesione al CST Home page.

Guida IIS 6 A cura di Nicola Del Re.

Progetto di Reti di Calcolatori L-S Orchestrazione di servizi WEB

Analisi (Analista) Progettazione (Progettista) Sviluppo o Traduzione (Sviluppatore) Documentazione.

Learning System Technology1 Linfrastruttura tecnologica per Elearning.

Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.

Primo accesso Dimenticato la password? Navigare in piattaforma Come accedere a un corso.

Sicurezza Informatica. Conoscere ed evitare! 2/19 I Virus e le truffe informatiche.

Università degli studi di Roma la Sapienza --- Laboratorio di Basi di Dati II - a.a. 2003/04 Presentato da: CAU Simone Matricola:

1 Archivio Assistiti Laboratorio di Basi Dati II Università di Roma La Sapienza Corso di Laurea Tecnologie Informatiche Sito di una comunità fotografica.

Applicazione Web Informatica Abacus Informatica Classe VIA 2008/2009 N.Ceccon INF (01) Revisione 4.0 settembre 2008.

1 Applicazione per la gestione dei progetti di “Laboratorio e Tecnologie Web” Ilaria Iannantuono.

L’architettura a strati

Diventa blogger Analisi degli obiettivi Piattaforma Wordpress Francesca Sanzo -

Tipo Documento: unità didattica 4 Modulo 14 Compilatore: Antonella Bolzoni Supervisore: Data emissione: Release: Indice: A.Scheda informativa B.Introduzione.

Creato da Riccardo Nuzzone

Carta Regionale dei Servizi

DIGITAL RECIPE Progetto Realizzato da: Vitiello Pier Angelo Il progetto si trova all’indirizzo :

La piattaforma didattica

Siti Web Elementi di base per la costruzione di siti web.

Database Elaborato da: Claudio Ciavarella & Marco Salvati.

Registrazione degli ospiti INFN e gestione del database via web M.Corosu, A.Brunengo INFN Sezione di Genova Linguaggio di programmazione: perl Web server:

Lista di Nozze OnLine Programma per l’offerta e la gestione delle liste nozze online.

UNITA’ 04 Uso Sicuro del Web.

Joomlahost.it1 Presentato da Fustini Alessandro Myslq DBA e Developer certified Joomlahost.it.

Eprogram informatica V anno.

12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.

Le basi di dati.

Le banche online. Che cosa sono le banche online? Si tratta di banche, denominate anche banche virtuali o digitali, che offrono servizi esclusivamente.

Il mondo del web Includere Digital-mente – Corso livello 4 docente: prof.ssa MANUELA MARSILI.

Direzione Attività Produttive, Formazione Professionale, Lavoro e Sistemi Contabili Prospetto Disabili Web (SISL) FORMAZIONE ALLE AZIENDE Alessandria,

PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.

La Carta Regionale dei Servizi e i suoi molteplici usi, dalla Sanità ai Servizi degli Enti Locali.

PHP HyperText Prepocessor.  Linguaggio di scripting lato server sviluppato per generare pagine web.  Permette ad un sito web di diventare dinamico 

Transcript della presentazione:

CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP

Informatica granata Funzionalità Architettura del sistema Presentazione del sistema Problematiche e difficoltà riscontrate Sicurezza del sistema Suddivisione dei compiti

Funzionalità del Sistema Homepage Catalogo navigabile Listino prezzi Carrello spesa Possibilità di acquisto on-line Acquisti effettuati tramite ufficialepagatore.com Pannello amministratore

Informatica granata Funzionalità Architettura del sistema Presentazione del sistema Problematiche e difficoltà riscontrate Sicurezza del sistema Suddivisione dei compiti

Architettura del sistema

Presentation Layer Il portale risiede sul server G3ISP Thin client Non richiede alcuna installazione sul client Funziona una volta connessi alla rete Utilizzo di un normale browser HTML puro PHP Nessun utilizzo di frame e di pop-up Sono stati vietati gli accessi indirizzati Utilizzo di variabili di sessione opportunamente settate

Presentation Layer Il portale permette la registrazione di un cliente Tutti i dati sono obbligatori La password è memorizzata in md5 La visualizzazione degli ordini effettuati La modifica dei dati personali La visualizzazione di un catalogo digitale Il riepilogo dellacquisto che si intende effettuare È consentita la scelta delle quantità Lacquisto di articoli informatici

Business Logic Layer Possibilità di acquisti online Sicurezza negli acquisti Utilizzo di Autorità riconosciute mediante CA Utilizzo di funzioni fornite da ufficialepagatore.com per la gestione delle transazioni Protocollo di sicurezza tra informatica granata e ufficialepagatore.com Pagamenti mediante carta di credito Sconti per i clienti che superano i 10 prodotti

Data Management Layer Creazione Database SHOP per Informatica Granata SHOP contiene informazioni riguardanti : Clienti / Utenti Prodotti Ordini effettuati Tokens utilizzati SHOP risiede sul Server G2ISP Informatica Granata accede a SHOP mediante funzioni

Data Management Layer Interazione con SHOP attraverso oggetto PHP MyDBManager MyDBManager possiede metodi relativi a : Login di Utenti ed Amministratori Gestione Utenti con modifiche dati Elenco Utenti e Dati Utente Specifico Gestione Prodotti con modifiche dati Catalogo Prodotti e Dati Prodotto Specifico Gestione ed Elenco Ordini e Prodotti Ordinati Funzioni di Timeout e Conferma Ordini

Data Management Layer MyDBManager gestisce le funzioni che modificano il DB come transazioni E garantita la consistenza del database in caso di fallimento I dati inseriti nel DB sono privi di caratteri fastidiosi (utilizzo funzioni PHP add/stripslashes) MyDBManager.php risiede sul server GISP3 Funzioni (Metodi) chiamate dalle pagine del sito Informatica Granata Per ogni oggetto istanziato una connessione utilizzata da tutti i metodi

Data Management Layer Ipotesi di distribuire lapplicazione su due servers – Il web sul server g3isp – Il database sul server g2isp Problema riscontrato – MySQL non permetteva connessioni sicure al database nonostante certificati validi Soluzione – Installazione del database sullo stesso server – Per motivi di sicurezza non conveniva effettuare chiamate al db in chiaro.

Informatica granata Funzionalità Architettura del sistema Presentazione del sistema Problematiche e difficoltà riscontrate Sicurezza del sistema Suddivisione dei compiti

Homepage

Registrazione Utente

Pannello Amministratore

Catalogo

Compra

Carrello

Informatica granata Funzionalità Architettura del sistema Presentazione del sistema Problematiche e difficoltà riscontrate Sicurezza del sistema Suddivisione dei compiti

Problematiche e difficoltà riscontrate Interazione tra i 2 macrogruppi Scelta del protocollo di comunicazione Definizione delle politiche di sicurezza Scelta e realizzazione del token Suddivisione dei compiti Problematiche legate al database

Informatica granata Funzionalità Architettura del sistema Presentazione del sistema Problematiche e difficoltà riscontrate Sicurezza del sistema Suddivisione dei compiti

Sicurezza del sistema Utilizzo di funzioni addslshes e htmlentities per evitare attacchi di tipo Cross Site Scripting e SQL Injection Database accessibile solo da locale per evitare il furto di dati Ridotta quantità di informazioni nella signature di Apache Unica informazione rilasciata è Apache 2 Utilizzo di HTTPS Limitazione dellaccesso alle pagine sensibili ai soli amministratori tramite controllo della sessione Impossibilità di contenere eventuali attacchi di tipo DOS o DDOS Solo cure palliative come: Riduzioni delle connessioni da uno stesso host Riduzione della durata massima di un connessione Blocco di host che compiono operazioni strane

Informatica granata Funzionalità Architettura del sistema Presentazione del sistema Problematiche e difficoltà riscontrate Sicurezza del sistema Suddivisione dei compiti

Andrea Bruno Integrazione, funzioni curl, openssl, logica protocollo Francesco Granato Gestione acquisti, carrello elettronico, catalogo virtuale Francesco Di Perna Homepage, gestione utenti, pannello amministratore Domenico Laurino Realizzazione funzioni di accesso al database Ivo Barone Progettazione e realizzazione del database