Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoCarlotta Fadda Modificato 11 anni fa
1
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP
2
Informatica granata Funzionalità Architettura del sistema Presentazione del sistema Problematiche e difficoltà riscontrate Sicurezza del sistema Suddivisione dei compiti
3
Funzionalità del Sistema Homepage Catalogo navigabile Listino prezzi Carrello spesa Possibilità di acquisto on-line Acquisti effettuati tramite ufficialepagatore.com Pannello amministratore
4
Informatica granata Funzionalità Architettura del sistema Presentazione del sistema Problematiche e difficoltà riscontrate Sicurezza del sistema Suddivisione dei compiti
5
Architettura del sistema
6
Presentation Layer Il portale risiede sul server G3ISP Thin client Non richiede alcuna installazione sul client Funziona una volta connessi alla rete Utilizzo di un normale browser HTML puro PHP Nessun utilizzo di frame e di pop-up Sono stati vietati gli accessi indirizzati Utilizzo di variabili di sessione opportunamente settate
7
Presentation Layer Il portale permette la registrazione di un cliente Tutti i dati sono obbligatori La password è memorizzata in md5 La visualizzazione degli ordini effettuati La modifica dei dati personali La visualizzazione di un catalogo digitale Il riepilogo dellacquisto che si intende effettuare È consentita la scelta delle quantità Lacquisto di articoli informatici
8
Business Logic Layer Possibilità di acquisti online Sicurezza negli acquisti Utilizzo di https:// Autorità riconosciute mediante CA Utilizzo di funzioni fornite da ufficialepagatore.com per la gestione delle transazioni Protocollo di sicurezza tra informatica granata e ufficialepagatore.com Pagamenti mediante carta di credito Sconti per i clienti che superano i 10 prodotti
9
Data Management Layer Creazione Database SHOP per Informatica Granata SHOP contiene informazioni riguardanti : Clienti / Utenti Prodotti Ordini effettuati Tokens utilizzati SHOP risiede sul Server G2ISP Informatica Granata accede a SHOP mediante funzioni
10
Data Management Layer Interazione con SHOP attraverso oggetto PHP MyDBManager MyDBManager possiede metodi relativi a : Login di Utenti ed Amministratori Gestione Utenti con modifiche dati Elenco Utenti e Dati Utente Specifico Gestione Prodotti con modifiche dati Catalogo Prodotti e Dati Prodotto Specifico Gestione ed Elenco Ordini e Prodotti Ordinati Funzioni di Timeout e Conferma Ordini
11
Data Management Layer MyDBManager gestisce le funzioni che modificano il DB come transazioni E garantita la consistenza del database in caso di fallimento I dati inseriti nel DB sono privi di caratteri fastidiosi (utilizzo funzioni PHP add/stripslashes) MyDBManager.php risiede sul server GISP3 Funzioni (Metodi) chiamate dalle pagine del sito Informatica Granata Per ogni oggetto istanziato una connessione utilizzata da tutti i metodi
12
Data Management Layer Ipotesi di distribuire lapplicazione su due servers – Il web sul server g3isp – Il database sul server g2isp Problema riscontrato – MySQL non permetteva connessioni sicure al database nonostante certificati validi Soluzione – Installazione del database sullo stesso server – Per motivi di sicurezza non conveniva effettuare chiamate al db in chiaro.
13
Informatica granata Funzionalità Architettura del sistema Presentazione del sistema Problematiche e difficoltà riscontrate Sicurezza del sistema Suddivisione dei compiti
14
Homepage
15
Registrazione Utente
16
Pannello Amministratore
17
Catalogo
18
Compra
19
Carrello
20
Informatica granata Funzionalità Architettura del sistema Presentazione del sistema Problematiche e difficoltà riscontrate Sicurezza del sistema Suddivisione dei compiti
21
Problematiche e difficoltà riscontrate Interazione tra i 2 macrogruppi Scelta del protocollo di comunicazione Definizione delle politiche di sicurezza Scelta e realizzazione del token Suddivisione dei compiti Problematiche legate al database
22
Informatica granata Funzionalità Architettura del sistema Presentazione del sistema Problematiche e difficoltà riscontrate Sicurezza del sistema Suddivisione dei compiti
23
Sicurezza del sistema Utilizzo di funzioni addslshes e htmlentities per evitare attacchi di tipo Cross Site Scripting e SQL Injection Database accessibile solo da locale per evitare il furto di dati Ridotta quantità di informazioni nella signature di Apache Unica informazione rilasciata è Apache 2 Utilizzo di HTTPS Limitazione dellaccesso alle pagine sensibili ai soli amministratori tramite controllo della sessione Impossibilità di contenere eventuali attacchi di tipo DOS o DDOS Solo cure palliative come: Riduzioni delle connessioni da uno stesso host Riduzione della durata massima di un connessione Blocco di host che compiono operazioni strane
24
Informatica granata Funzionalità Architettura del sistema Presentazione del sistema Problematiche e difficoltà riscontrate Sicurezza del sistema Suddivisione dei compiti
25
Andrea Bruno Integrazione, funzioni curl, openssl, logica protocollo Francesco Granato Gestione acquisti, carrello elettronico, catalogo virtuale Francesco Di Perna Homepage, gestione utenti, pannello amministratore Domenico Laurino Realizzazione funzioni di accesso al database Ivo Barone Progettazione e realizzazione del database
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.