World Wide Web. Generalità. The Internet Big Picture. SeQ dei servizi su internet Università degli Studi di Pavia, C.

Transcript

1 World Wide Web Generalità The Internet Big Picture C.Parisi 2 C.Parisi 1

2 Internet in Europe La percentuale di penetrazione media sulla popolazione dell Unione Europea è del 60.7% mentre quella italiana è del 48%. I tre paesi che hanno il maggior numero di utenti che utilizzano Internet sono nell ordine : 1) Greenland (92%) 2) Olanda (90%) 3) Norvegia (87%) C.Parisi 3 World Wide Web Definizione Il www è l insieme dei documenti ipertestuali (detti hypertext documents o web pages) raggiungibili in Internet. Il programma utilizzato per la lettura/visualizzazione di questi documenti è il Web Browser Il contenuto delle pagine web è formato da diversi elementi: immagini, testo, video clip, audio clip, link ad altri documenti etc...) I linguaggi utilizzati per la definizione delle pagine web sono l HTML e le sue evoluzioni XML, e linguaggi di programmazione specifici (javascript, php etc...) La pagine web sono identificate da un indirizzo detto URI Uniform Resource Identificator Le pagine web si trasferiscono attraverso la rete tramite un protocollo ad hoc HTTP/HTTPS (Hypertext transfer protocol). C.Parisi 4 C.Parisi 2

3 World Wide Web World Wide Web Consortium (W3C) Il W3C ( Consorzio comprendente circa 300 membri tra aziende informatiche (Microsoft, IBM, Sun) telefoniche, università e istituzioni per la ricerca, associazioni come Mozilla Foundation etc...) Ha lo scopo di promuovere e sviluppare linee guida e standard per il world wide web, coinvolto anche nel training, pubblicazione di tutorial, sviluppo di software e di discussioni sul web in generale. Obiettivo del W3C è la Web interoperability ovvero la compatibilità tra le varie tecnologie usate nel web. A cura del W3C sono state proposte, discusse, definite ed ufficializzate diverse specifiche tecniche tra cui il protocollo http, linguaggi come html, xml, css, le linee guida per l accessibilità. C.Parisi 5 World Wide Web Modello client/server CLIENT Browser (Eventuale presenza di java Virtual Machine) HTTP/HTTPS HTML, Cookies, JavaScript, Java Applet Web SERVER Apaches, Tomcat, IIS, etc... CGI (Common Gateway Interface) CGI process C.Parisi 6 C.Parisi 3

4 World Wide Web Uniform Resource Identifier URI è una sequenza di caratteri utilizzati per identificare una risorsa e permettere interazioni con essa. Nell ambito del world wide web l URI identifica La locazione della risorsa Il protocollo di comunicazione (http, https, ftp, ftps, file, mailto, etc...) Eventualmente la porta di comunicazione (ad es. porta 80 per http) L elemento specifico all interno della risorsa Esempi di URI File:///C:/MyDocuments/paper.pdf C.Parisi 7 World Wide Web Sessione tipica Port 4443 Port 80 WEB SERVER Port 80 Web Browser Port 80 Port 3340 Port 3234 Web Browser Web Browser C.Parisi 8 C.Parisi 4

5 World Wide Web Sessione tipica Port 80 Web Browser Port 4443 Port 80 Port Port 3340 Port 80 C.Parisi 9 World Wide Web Web Browser C.Parisi 5

6 Web Browser Il web browser è un programma che viene eseguito lato client e permette di visualizzare le pagine web, interrogare i server, in generale interagire con la rete. Sono anche utilizzati per accedere a contenuti di file system. Percentuale di utilizzo dei più comuni browser Fonte Internet C.Parisi 11 Web Browser C.Parisi 12 C.Parisi 6

7 Web Browser C.Parisi 13 Web Browser C.Parisi 14 C.Parisi 7

8 Mobile browser La telefonia cellulare e l utilizzo di PDA può accedere alla rete e visualizzare pagine web mediante appositi web browser detti mobile browser oggi integrati negli stessi dispositivi. Questi particolari browser sono stati studiati ed ottimizzati per visualizzare il contenuto di una pagina web all interno di uno schermo piccolo (rispetto al classico schermo del PC) mantenendone intatte la qualità di visualizzazione ed interazione. C.Parisi 15 Mobile browser Il protocollo di comunicazione che invia i dati al dispositivo mobile è Http over TCP/IP, le pagine sono scritte in un linguaggio HTML, WAP, ottimizzato per la trasmissione su di un canale a capacità limitata e di tipo wireless. La maggior parte di questi browser è proprietaria e adottata dalle diverse case che producono dispositivi mobili. C.Parisi 16 C.Parisi 8

9 Struttura di un web browser Tratto da TCP/IP Tutorial (IBM) C.Parisi 17 Configurazione del browser Vediamo alcuni accorgimenti nella configurazione dei browser per garantire una maggiore sicurezza del sistema. Disabilitare esecuzione di ActiveX di default (tranne che per i siti cosiddetti attendibili ) Disabilitare esecuzione di applet java e javascript in generale (tranne che per i siti cosiddetti attendibili ) Valutare se accettare esplicitamente i cookies ogni volta o se la cosa diventa troppo onerosa permettere la memorizzazione dei cookie non persistenti (detti session cookies). (segue...) C.Parisi 18 C.Parisi 9

10 Configurazione del browser Per i siti considerati attendibili abilitare l esecuzione di javascript, memorizzazione dei cookies Eliminare dati personali ad ogni chiusura del browser oppure a scadenza, per eliminare qualunque dato sensibile reperibile dal browser. É decisamente importante installare l ultima versione dei programmi ed installare le varie patch che vengono rilasciate. E infatti stato riscontrato che molti utenti non tengono aggiornati i propri programmi ed in particolar modo i browser con il rischio di avere maggiore vulnerabilità ad attacchi in rete. C.Parisi 19 Web Browser Configurazione di Internet Explorer Esempio di pagina di configurazione di Microsoft IE C.Parisi 20 C.Parisi 10

11 Web Browser Configurazione di Internet Explorer Parte dei parametri di sicurezza configurabili in Internet Explorer C.Parisi 21 Web Browser Configurazione di Mozilla Firefox Gestione della sicurezza in Mozilla Firefox C.Parisi 22 C.Parisi 11

12 Web Browser Configurazione di Safari Gestione della sicurezza in Safari C.Parisi 23 World Wide Web Web Server C.Parisi 12

13 Web Server I server web sono responsabili di inviare le risposte alle richieste da parte dei web browser. L informazione richiesta può essere contenuta nello stesso server oppure generata da un particolare programma che a sua volta si interfaccia con un database. C.Parisi 25 World Wide Web Qualità del Servizio C.Parisi 13

14 Qualità del servizio Introduzione La QoS per i servizi di informazione si suddivide su due aspetti uno che prettamente tecnico cioè la velocità di caricamento della pagina web e un altro che invece è relativo al sito web per come questo è stato progettato e risulti usabile per l utenza. Fanno parte di quest ultimo aspetto caratteristiche come: Accessibilità al sito anche per persone con limiti fisici Usabilità e la fruibilità del sito La presenza di contenuti multimediali e l utilizzo di tecnologie opportune per la resa dei medesimi. L utilizzo di determinate tecnologie si ripercuote sull aspetto tecnico cioè la velocità di caricamento della pagina. C.Parisi 27 Quality of Service - velocità La velocità di caricamento di una pagina web dipende da: Tipo di contenuto della pagina ad. es. pagine che hanno un grosso contenuto grafico o multimediale potrebbero richiedere un po di tempo ad essere caricate. (segue...) A titolo di esempio nella tabella alcuni tempi di caricamento e dimensioni di una pagina web con Mozilla Firefox Sito Tempo caricamento (secondi) 8,9 (10,2) 4,4 (4,0) 3,0 (4,2) 10,7 (14,0) Dimensioni (Kbyte) C.Parisi 28 C.Parisi 14

15 Misura tempi di caricamento pagine web Fonte internetsupervision.com C.Parisi 29 Quality of Service - velocità Caratteristiche del server web deve essere opportunamente dimensionato per gestirne il carico. Tipo di pagina web ad. es. pagine web principalmente dinamiche permettono di aggiornare il solo contenuto dinamico mentre quello statico è scaricato una sola volta. Tipo di browser utilizzato da studi effettuati (cfr ) risulta che Opera sia il browser più veloce a parità di configurazione hardware e per i vari SO. Firefox è migliore di IE per le caratteristiche di sicurezza anche se è un po più lento. Presenza di proxy server o servizi di caching delle pagine già visitate. C.Parisi 30 C.Parisi 15

16 Proxy server e caching Un proxy server è un programma che si interpone tra le richieste di client ed i server veri e propri, inoltra le richieste del primo e le risposte fornite dal secondo. Ai fini del client è un server che fornisce servizi quali richiesta di pagine web, collegamenti ftp, invio di posta ecc... Web Browser WEB SERVER PROXY SERVER C.Parisi 31 Proxy server e caching Il proxy server svolge anche funzioni di caching cioè di memorizzare nel caso per esempio di richiesta di pagine web la pagina web e non doversi collegare con il server vero e proprio ad ogni altra richiesta della stessa pagina. I caching proxy server sono molto utilizzati a livello aziendale per la riduzione dell utilizzo di banda e una migliore velocità di servizio delle richieste. PROXY SERVER Memorizzazione in cache WEB SERVER Cache locale nel Proxy Server C.Parisi 32 C.Parisi 16

17 Proxy server e caching Altre funzioni dei proxy server : Controllo : proxy possono contenere programmi specializzati per il filtraggio dei contenuti e vengono utilizzati in scuole e/o aziende. Accesso : l accesso al proxy può essere effettuato tramite autenticazione in modo da limitarne l utilizzo ai soli addetti. Monitoraggio : un proxy può tracciare (log) le operazioni fatte (siti web visitati, richieste, risposte) consentendo statistiche ed osservazioni sull utilizzo della rete. Privacy : garantisce un maggior livello di privacy mascherando l indirizzo IP del client. Il vero server riceve le richieste dal proxy, non dal client vero e proprio. Alcuni proxy server vengono utilizzati per rendere anonimi gli accessi fatti in rete C.Parisi 33 QoS - Accessibilità Web Accessibility è la pratica di rendere la navigazione in rete accessibile a persone con disabilità e/o con capacità che si sono modificate nel corso degli anni (ad.es. anziane). Essa è indirizzata a persone con: Deficit visivi Deficit motori - inabilità nell utilizzo delle mani ad. es. parkinson, distrofia muscolare Deficit uditivi C.Parisi 34 C.Parisi 17

18 QoS - Accessibilità Alcune tecnologie che assistono la navigazione in rete per i deficit visivi. Software di lettura dello schermo generazione di linguaggio sintetizzato a partire da ciò che è selezionato o visualizzato sullo schermo Terminali Braille che consistono in un display che traduce in formato braille il testo della pagina web Possibilità di cambiare la dimensione dei caratteri (in genere formato piccolo, medio, grande) Utilizzare contrasti forti tra colori di foreground e background con contrasto in modo da essere percepiti facilmente Fornire un testo equivalente per immagini animate, video. C.Parisi 35 QoS - Accessibilità Alcune tecnologie che assistono la navigazione in rete per deficit motori. Software di riconoscimento vocale con il quale è possibile impartire comandi al computer Estensioni / arrangiamenti alla tastiera adatti a persone che hanno difficoltà motoria agli arti Alcune tecnologie che assistono la navigazione in rete per deficit uditivi. Fornire alternativa (in genere di tipo testuale) alla presentazione di audio file C.Parisi 36 C.Parisi 18

19 QoS - Accessibilità Sono stati definiti da parte della Web Accessibility Initiative degli standard e delle linee guida per stabilire l accessibilità di un sito web. Quelle internazionalmente più diffuse sono le WCAG (Web Content Accessibility Guidelines). La WAI ( è una sezione del World Wide Web Consorzio (W3C). In Italia per nuove realizzazioni e modifiche apportate dalla PA ai propri siti si deve tenere conto della legge Stanca pena la nullità del contratto stipulato. L obbligo dell applicazione riguarda i siti pubblici o di interesse pubblico. Legge Stanca e relativo decreto attuativo C.Parisi 37 QoS Contenuti Multimediali Le pagine web presentano un alto contenuto multimediale che risulta predominante in alcuni casi rispetto al quello testuale. I contenuti multimediali richiedono una grande banda di trasmissione causa le dimensioni che vanno ben oltre quelle di un testo. La percezione qualità del servizio di siti con contenuti di questo tipo dipende da come questi vengono presentati ottimizzando i tempi di caricamento che, se lunghi, annoiano l utente spesso non disposto ad aspettare. Non è necessario che il caricamento di una pagina sia istantaneo, ma è importante che parte del contenuto cominci ad essere visibile da subito in modo che l utente sia occupato nella lettura mentre il resto della pagina viene caricato completamente. C.Parisi 38 C.Parisi 19

20 World Wide Web Immagini e Contenuti Multimediali Contenuti Multimediali Analisi dei principali dei formati utilizzati in rete per la pubblicazione di immagini che mantengano una buon rapporto tra velocità di caricamento e qualità dell immagine visualizzata. Analisi della tecnologia per la presentazione dei contenuti multimediali (audio/video) nelle pagine web. C.Parisi 40 C.Parisi 20

21 Compressione file multimediali Le immagini ed in genere i contenuti multimediali vengono compressi per migliorare il loro trasferimento (nel caso di download da un sito) e/o risparmiare spazio fisico per la loro memorizzazione. Gli algoritmi di compressione si suddividono in due categorie: Algoritmi di tipo lossy con perdita di informazione (irreversibili). Esempi sono i formati jpeg per le immagini, mp3 e wma per audio, mpeg-1, mpeg-2 per i video. Algoritmi di tipo lossless senza perdita di informazione (reversibili). Esempi sono formati zip, bzip2, rar per i file in generale, gif, png, tiff per le immagini, wma nella variante lossless per audio, mpeg-4 per i video. C.Parisi 41 Effetto della compressione lossy La compressione lossy causa una perdita di informazione ed introduce di rumore nel file immagine/video/audio. Per esempio il nostro sistema uditivo tollera una riduzione sensibile del contenuto informativo di un file audio pur mantenendo una buona qualità a livello di ascolto. Effetto di rumore digitale in un immagine oltre una certa soglia determina un pessima visualizzazione della medesima. C.Parisi 42 C.Parisi 21

22 Immagini - formati I formati utilizzati per le immagini in rete sono: JPEG (Joint Photographic Experts Group) GIF (Graphic Interchange Format) PNG (Portable Network Graphic) Nella realizzazione di pagine web non sono necessarie immagini di alta qualità per una buona visualizzazione, in genere risoluzioni maggiori di 72ppi (pixel per inch) sprecano banda e la qualità della visualizzazione è identica. Il caricamento delle immagini è tanto più veloce quanto più piccola è la dimensione dell immagine stessa. Dimensioni dell ordine di 40KB sono un buon compromesso tra velocità e visualizzazione. C.Parisi 43 JPEG (Joint Photographic Experts Group) Caratteristiche : L algoritmo di compressione è ottimizzato per la riduzione di fotografie ed immagini che non presentano contorni netti. Algoritmo di compressione è di tipo lossy (perdita di informazione ad ogni salvataggio) Possibilità di interlacciamento (caricamento progressivo dell immagine) Supportano una palette di colori grande (colore codificato con 24 bit, RGB) L immagine può essere progressivamente ridotta a scapito della risoluzione. C.Parisi 44 C.Parisi 22

23 JPEG (Joint Photographic Experts Group) Immagine con compressioni maggiori da sinistra a destra. Notare l effetto della compressione e l aumento dell effetto quadrato uniforme di colore C.Parisi 45 JPEG Compressioni 1 2 Immagine 1 : 100% dim. 83MB Immagine 2 : 25% dim. 9.5MB Immagine 3 : 1% dim. 1.5MB 3 Fonte Internet C.Parisi 46 C.Parisi 23

24 GIF (Graphics Intercange Format) Caratteristiche: L algoritmo di compressione utilizzato è ottimizzato per la riduzione di immagini che presentano contorni netti. Algoritmo di compressione è di tipo lossless (riduzione delle dimensioni del file senza perdere informazione cioè qualità dell immagine) Caricamento progressivo dell immagine. Nel caricamento di pagine web l immagine viene visualizzata progressivamente a diversi livelli di risoluzione. Supportano una palette di 256 colori Utilizzato per immagini semplici, con presenza di testi e di linee di demarcazione molto nette (ad es. loghi). C.Parisi 47 GIF esempio di interlacciamento Fonte Internet C.Parisi 48 C.Parisi 24

25 Compressione JPEG su immagine Fonte Internet L utilizzo di formato JPEG su immagine con contorni netti e ben definiti determina un deterioramento dei profili delle figure, proprio a causa del fatto che l algoritmo di compressione JPEG introduce un effetto sfumatura tra i colori ai bordi delle figure. C.Parisi 49 PNG (Portable Network Graphics) Caratteristiche : L algoritmo di compressione utilizzato è ottimizzato per la riduzione di immagini che presentano contorni netti. Algoritmo di compressione è di tipo lossless. A parità di dimensione dell immagine di partenza permette una riduzione maggiore di quella propria del formato GIF. Possibilità di interlacciamento (caricamento progressivo dell immagine con resa migliore di quella fornita dal formato GIF) Supportano una palette di colori grande (colore codificato con 24 bit, RGB). Utilizzato per immagini semplici, con presenza di testi e di linee di demarcazione molto nette. C.Parisi 50 C.Parisi 25

26 Immagine - formati Differenza di resa di un immagine compressa in formato jpg rispetto alla quella in formato png. I contorni sono più marcati con png anche se la dimensione del file risulta maggiore del relativo jpg. Fonte Internet C.Parisi 51 Thumbnail La pubblicazione di diverse fotografie a risoluzione piene all interno di una pagina web richiederebbe una banda molto ampia. L utilizzo di thumbnail ottimizza questo processo fornendo due livelli di risoluzione e compressione di un immagine: Versione minima dimensioni dell ordine di 9KB per una piccola anteprima. Versione completa anche 100KB che viene scaricata dalla rete solo su esplicita richiesta dell utente. Fonte Flickr.com C.Parisi 52 C.Parisi 26

27 Immagini hot linking Hot link è una tecnica utilizzata nella creazione di siti web nelle quali le pagine fanno rifermento ad immagini (od oggetti in generale) che non appartengono al dominio del sito web stesso. Es caricamento di un immagine da codice html: <img src= immagine.jpg /> (percorso di un immagine presente nel server del sito) <img src= /> (percorso di un immagine presente in un sito diverso). C.Parisi 53 Immagini hot linking Richiesta pagina pagina Richiesta immagine Web Browser immagine Utilizzi comuni di hot-link: Il gestore del sito deliberatamene sceglie di distribuire il carico delle richieste su gruppi di server Presenza di banner pubblicitari che sono su siti di società diverse Presenza di hit counters per statistiche sul sito che però vengono effettuate da società esterne. C.Parisi 54 C.Parisi 27

28 Immagini hot linking Utilizzi controversi di hot-linking: L hot-link di un immagine di grosse dimensioni comporta un forte sfruttamento del server da cui vengono scaricate e un utilizzo praticamente nullo del server che contiene il sito web visualizzato. Alcuni attacchi di phishing utilizzano hot-link al sito legittimo per simulare al meglio la legittimità del sito di phishing fasullo. Prevenzione lato server. Il server ha la possibilità di sapere da parte di che sito proviene l hot link, per cui è libero di decidere se inviare l immagine o l oggetto richiesto o un messaggio diverso. C.Parisi 55 Presentazione di contenuto multimediale Il contenuto multimediale nel Web è presentato all utente mediante due tecniche : Download progressivo Streaming L utilizzo di una o dell altra tecnica determina una migliore o peggiore qualità del servizio reso agli utenti. Analizziamo in seguito le caratteristiche di ciascuno. ( ) (parte di descrizione generale) C.Parisi 56 C.Parisi 28

29 Multimedia Download Progressivo Componenti software per realizzare un download progressivo. Lato server: Connessione a larga banda passante con la rete per supportare connessioni multiple e richieste di dati (file multimediali) che richiedono una banda larga. Programma web server classico tipo Apache (Open source) o IIS Internet Information Services (Microsoft). Lato client : Programma per il playback dei file multimediali tipo Windows Media Player (Microsoft) o Real Player (RealNetworks) Protocollo per trasferimento : HTTP su TCP/IP C.Parisi 57 Multimedia Download Progressivo - Caratteristiche Caratteristiche: Tecnologia lato server non comporta investimenti aggiuntivi rispetto a quella di un classico server web per diffusione di informazioni. Il file viene scaricato sul computer client. L interpretazione del file multimediale è in genere ritardata rispetto all inizio del download. Qualora la velocità di playback sia maggiore di quella di download il player deve rallentare ed aspettare i dati dal server (degradazione QoS lato utente). Trasmissione tramite TCP/IP. Non è possibile fare avanzare l ascolto e/o la visione del file fino a che la relativa parte non sia stata scaricata interamente. C.Parisi 58 C.Parisi 29

30 Multimedia Tempi download di file audio La musica di qualità è campionata a Hz (44100 sample/sec) Un campione è codificato con 16*2 bit (in modalità stereo) Campioni al minuto 44100*60 = (2.6 Msample) Numero di bit al minuto = 2.6Msample * 32 = 82,3 Mbit Byte al minuto = 82,3 Mbit / 8 = 10,4 Mbyte 1 minuto di musica non compressa = 10,4 Mbyte Tempo di trasmissione di 1 minuto di musica Canale di 56Kbit/s dial-up modem : circa 24 min Canale broadband 512 Kbit/s : circa 2 min. 30 sec Canale broadband da 2Mbit/s : circa 41 sec. C.Parisi 59 Multimedia Streaming Componenti software per realizzare uno streaming. Lato server: Connessione a larga banda passante con la rete per supportare connessioni multiple di dati (file multimediali) che richiedono una banda larga. Programma web server che supporti lo streaming tipo Helix Server (RealNetworks) o Windows Media Services (Microsoft) Lato client : Programma per il playback dei file multimediali tipo Windows Media Player (Microsoft) o Real Player (RealNetworks) C.Parisi 60 C.Parisi 30

31 Multimedia Streaming I programmi installati sui server per lo streaming possono supportare diversi protocolli per il trasferimento dei dati, la scelta del protocollo è fatta automaticamente a seconda delle risposte del sistema e non necessitò di intervento e/o configurazione da pare del client. Protocolli per trasferimento file in streaming RTSP (Real Time Streaming Protocol) specifico per lo streaming e UDP metodo più efficiente per l ascolta e/o visualizzazione di file multimediali anche se è possibile che alcuni firewall blocchino il traffico UDP TCP anche se non ottimale è usato qualora non fosse possibile utilizzare l UDP HTTP su TCP combinazione che ha il vantaggio di non essere bloccata da firewall C.Parisi 61 Multimedia Streaming - Caratteristiche Caratteristiche: La rappresentazione del file multimediale è praticamente istantanea rispetto all inizio del download. A fronte di rallentamenti nel download del file il server riduce la qualità delle immagini in modo da non interrompere la rappresentazione e mantiene la sincronizzazione temporale con il player. Può gestire playback on demand o trasmissioni in real-time broadcasting (eventi live a molti utenti) Il file non è salvato sul computer client Il server e client si scambiamo oltre allo streaming dei dati anche messaggi di controllo in modo per es. da inviare in rete solo la quantità di dati necessaria per la visualizzazione del contenuto multimediale. Utilizzo del protocollo UDP (al posto del TCP) permette una trasmissione più veloce in quanto ha un overhead minore e quindi determina maggiore QoS a parità di connessione e congestione. C.Parisi 62 C.Parisi 31

32 Multimedia Download Progressivo vs Streaming Vantaggi del progressive download Riutilizzo della infrastruttura hw/sw esistente per un normale servizio web. Buona QoS per filmati corti Il file è salvato sul computer è non deve essere scaricato nuovamente dalla rete per successivi riascolti/visioni. Costi contenuti Vantaggi dello Streaming Migliore QoS lato utente Sincronizzazione temporale in modo da mantenere lo stesso flusso di dati (anche a fronte di perdita di qualità dell immagine) Supporto di applicazioni interattive (ricerca video, broadcasting, avanzamento in avanti o indietro della presentazione, realtime webcast) Supporto di statistiche sulle richieste di file multimedia C.Parisi 63 World Wide Web Sicurezza C.Parisi 32

33 Sicurezza La navigazione in rete al solo scopo informativo pone l utente di fronte all esistenza di minacce alla sicurezza del proprio PC e legittimità dei siti a cui si collega. La minacce alla sicurezza riguardano sia il client che il server del sito web. In particolare: Lato client : vulnerabilità dei browser perchè non configurati in modo robusto, mancanza di preparazione da parte degli utenti nel riconoscere alcune minacce. Lato server: attacchi di tipo Denial of Service (DoS) C.Parisi 65 Sicurezza La sicurezza è soprattutto compromessa dai seguenti fattori: Alcuni siti richiedono per abilitare certe funzioni, l installazione di software che aumenta il rischio sulla sicurezza. Link alle pagine web può essere facilmente manipolato in modo che quanto visualizzato non corrisponde al sito riferito Ad es. il codice html <a href=" > </a> Viene visualizzato nella pagina web come ma la richiesta http reale va al sito Molti utenti non sanno come configurare il loro browser in modo corretto per renderlo più sicuro e quali componenti abilitare per una maggiore protezione da software dannoso. C.Parisi 66 C.Parisi 33

34 Sicurezza I warning che il browser presenta durante la navigazione non vengono sempre presi in considerazione dall utente. Ma soprattutto non tutti aggiornano i software installati sul loro computer ed in particolare quello del web browser. Importante mantenere il proprio browser (ed i relativi plug.in e/o estensioni) up-to-date perchè molti degli aggiornamenti riguardano patch di sicurezza. I produttori a fronte di nuove vulnerabilità e/o minacce provvedono ad aggiornare il proprio software. Fonte Internet C.Parisi 67 Minacce Le principali minacce che si possono installare su di un computer navigando nella rete sono programmi in grado di provocare danni al computer e alle informazioni in esso contenute, rallentare Internet e sfruttare il sistema per diffondersi presso i propri contatti e nel Web. Virus è un frammento di codice associato ad un programma (o file) che viene diffuso da un computer all altro. Non può però diffondersi senza l intervento dell uomo. C.Parisi 68 C.Parisi 34

35 Minacce Worm anch esso come il virus è progettato per diffondersi, ma a differenza di questo non ha bisogno dell intervento dell uomo, ma è in grado di inviare copie di se stesso per es. a tutti i contatti presenti in rubrica e di diffondersi ulteriormente a partire da questi nuovi sistemi (ad es. MyDoom). Trojan horse - programma autonomo possono essere inclusi anche nel software scaricabile gratuitamente che rimane nel computer in modalità silente e viene attivato da un altro programma o in modo remoto (vedi per esempio i key logger) C.Parisi 69 Minacce In alcuni casi la presenza di virus o worm si manifesta con: Rallentamento prestazioni Blocchi improvvisi Mancata risposta a richieste o risposte non coerenti Riavvi inaspettati del sistema operativo Mancato avviamento del computer C.Parisi 70 C.Parisi 35

36 Sicurezza L utilizzo di alcune tecnologie può minare la sicurezza dei computer collegati in rete quando ci si connette a server web. Alcuni di questi. ActiveX (in passato hanno avuto problemi riguardo alla sicurezza), l utilizzo in web browser aumenta il livello di attaccabilità del sistema Java applet codice java fornito dal server web ed eseguito in locale sulla macchina, anche se l interazione con il sistema locale è limitata potrebbe sfruttare deliberatamente debolezze del sistema a scopo malevolo. Plug ins particolari applicazioni che estendono la funzionalità del browser (es Adobe Flash). Potrebbero contenere errori di programmazione che danneggiano il sistema (segue...) C.Parisi 71 Sicurezza Cookies sono file che vengono memorizzati sul proprio PC e contengono informazioni sul sito/i visitato/i (per esempio anche credenziali di accesso). Sono installati a cura del server. Possono contenere dati sensibili ed informazioni private (rispetto della normativa della privacy) VBScripts e JavaScripts linguaggi di scripting utilizzato lato client, il primo poco diffuso perchè usato solo con Microsoft IE. Servono per aumentare l interattività del sistema. L utilizzo di javascript però preclude alcune funzioni sul sistema in cui viene eseguito come la creazione e/o l accesso ai file locali oltre che ad informazioni inviate da altri server. Buon compendio sulla sicurezza dei web browser si trova sul sito del CERT: C.Parisi 72 C.Parisi 36

37 Linguaggi di scripting Linguaggi di scripting (VBScript, JavaScript) sono eseguiti localmente al client e sono utilizzati principalmente per aumentare l interazione e le funzionalità dell utente con il sistema, tra cui: Aprire finestre di warning, alert a fronte di controlli su campi di input. Validare il contenuto di campi di input lato utente prima di inviare i dati al server per l elaborazione. Visualizzare ed movimentare (animare) immagini lato client Velocizzare quelle operazioni che posso essere eseguite localmente. I linguaggi di scripting sono soggetti a limitazioni di utilizzo per prevenire problemi alla sicurezza. Per esempio script eseguiti a partire da una certa risorsa non hanno accesso a documenti di altre risorse. C.Parisi 73 In conclusione... In generale le falle alla sicurezza dei sistemi e le intromissioni sono determinate sostanzialmente da: Tentativi di accessi al sistema dall esterno (per questi ci sono diversi meccanismi, programmi e metodi per contrastarne l effetto firewall, anti virus, anti malaware scanners) Ingegneria sociale. Spesso il punto debole della catena della sicurezza dei sistemi è l utente che può essere raggirato e fornire informazioni sensibili a malintenzionati (l unico modo per contrastare questo meccanismo è informare/educare gli utenti di Internet) C.Parisi 74 C.Parisi 37

38 Cookies Cookies Definizione I cookies sono informazioni che vengono trasmesse all interno del codice HTML, sono richieste dal sito web e memorizzate sul computer client per essere ritrasmesse invariate al server nei successivi collegamenti. (RFC 2109) HTTP request msg HTTP response +Set-Cookie: # CLIENT HTTP request msg + cookie: # SERVER HTTP response C.Parisi 76 C.Parisi 38

39 Cookies Proprietà I cookies permettono di monitorare l interazione dell utente con un determinato sito web e generare un profilo utente. I cookies sono inviati nei successivi collegamenti al server che li ha generati o a server che appartengono allo stesso dominio. Ciascun browser ha uno spazio su disco (cartella) all interno del quale memorizza tutti i cookies. I cookies hanno durata variabile: Sessione cioè vengono cancellati quando si chiude il browser Permanente rimangono tra una sessione e l altra fino alla scadenza (Rif. ) C.Parisi 77 Cookies Proprietà I cookies sono file di testo che in genere hanno una dimensione limitata (4Kbite). I cookies non possono contenere ed eseguire codice. Essi contengono una serie di attributi (dati) alcuni opzionali tra cui: Dominio di provenienza del cookie Scadenza validità del cookies Modalità di accesso ad es. HttpOnly rendo il cookie invisibile a javascript e altri linguaggi client side Sicuro se il cookie deve essere inviato in rete con protocolli https. I cookies identificano l utente in base al browser utilizzato, indirizzo IP, ed ID dell utente. C.Parisi 78 C.Parisi 39

40 Cookies Esempi Cookies installati dal sito del Corriere della Sera Cookies installati dal sito di MySpace C.Parisi 79 Cookies Esempi Cookies installati dal sito della Reuters Cookies installati dal sito del Sole 24 ore C.Parisi 80 C.Parisi 40

41 Cookies Third-party Cookies Negli esempi precedenti si vede come circa il 50% dei cookies installati dai vari siti non siano appartenenti al dominio del sito stesso ma di altri (ad es. doubleclick.com, imrworldwide.com, abmr.net etc...) Questi ultimi sono i cosiddetti third-party cookies e sono impostati da domini di terze parti che hanno siglato accordi con il sito principale. Scopo dell utilizzo di questa tipologia di cookies è la profilazione dell utente. Le società che installano third-party cookies possono ricostruire i percorsi effettuati dall utente nel web. La creazione del profilo utente è vista anche come una minaccia alla privacy dell individuo e per questo diversi stati hanno regolamentato l utilizzo dei cookies nei siti. C.Parisi 81 Cookies Configurazione Gestione dei cookies in Mozilla Firefox C.Parisi 82 C.Parisi 41

42 Cookies Schema di tracciamento cookie cookie imrworldwide.com Web Browser cookie cookie C.Parisi 83 Cookies Sicurezza I cookies non possono contenere programmi malevoli. Tuttavia sono accessibili dal computer su cui sono memorizzati e possono essere letti in quanto si tratta di file di testo. La manipolazione dei cookies è uno dei possibili attacchi. Esempio di un cookie che memorizza i dati dei prodotti che abbiamo nel carrello per conto di un sito di e-commerce. COOKIE: CARRELLO IDprodotto=250&prezzo=1600&Quantita=1 Modificando il valore della variabile prezzo nel cookie possiamo scontare il nostro prodotto. Per questo motivo in genere il contenuto dei cookies viene criptato lato server in modo da rendere comunque illeggibile il loro contenuto. C.Parisi 84 C.Parisi 42

43 Cookies Direttive europee L Europa con la Direttiva Europea sulla privacy nelle telecomunicazioni (cfr ) ha regolato l utilizzo dei cookies nell art. 5 par. 3 : Gli Stati membri assicurano che l'uso di reti di comunicazione elettronica per archiviare informazioni o per avere accesso a informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente sia consentito unicamente a condizione che l'abbonato o l'utente interessato sia stato informato in modo chiaro e completo, tra l'altro, sugli scopi del trattamento in conformità della direttiva 95/46/CE e che gli sia offerta la possibilità di rifiutare tale trattamento da parte del responsabile del trattamento. Ciò non impedisce l'eventuale memorizzazione tecnica o l'accesso al solo fine di effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria a fornire un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente. C.Parisi 85 Cookies Utilizzo Utilizzo lecito : Shopping cart memorizzazione tra una sessione e l altra del contenuto per esempio del carrello in un sito di vendita on-line. Login utente il cookie permette al web server il riconoscimento dell autenticazione dell utente senza necessità di autenticarsi ogni volta che richiede un servizio al server web. Personalizzazione delle pagine web a seconda dell utente Tracciamento della navigazione all interno del sito al fine di una maggiore QoS (veder quali sono le pagine maggiormente richieste e offrire una navigazione più efficiente) Profilazione dell utente a scopi pubblicitari rispettando le specifiche P3P (Platform for Privacy Preferencies ) cioè il protocollo che permette ai siti web di dichiarare l utilizzo dei dati memorizzati nei cookies. C.Parisi 86 C.Parisi 43

44 Cookies Privacy Policy Esempi di Privacy policy dei siti MySpace e YouTube : (en) (it) Estratto della privacy policy di YouTube: C.Parisi 87 Cookies Privacy Policy Estratto della privacy policy di MySpace: C.Parisi 88 C.Parisi 44

45 Cookies Flash Cookies Si tratta di un nuovo modo di tracciare le interazioni con i siti web visitati. Sono installati con programmi come Adobe Flash player. Come i cookies sono salvati localmente sul computer. Differenze principali con classici cookies : Non vengono gestiti a livello del singolo browser, non sono visualizzabili dalle opzioni del browser è quindi non possibile configurare il browser in modo che li cancelli alla fine della sessione. La dimensione dei flash cookies raggiunge anche i 100Kbyte contro i 4Kbyte dei cookies. C.Parisi 89 Cookies Flash Cookies - configurazione Per gestire i flash cookies installati sul un dato computer bisogna collegarsi al seguente link ettings_manager03.html C.Parisi 90 C.Parisi 45

46 Cookies Flash Cookies - configurazione Per disabilitare il salvataggio di flash cookies sul computer spuntare le due check box del pannello di impostazioni generali della memorizzazione Molti sono i siti che oggi utilizzano i flash cookies ma pochi sono quelli che lo dichiarano nelle lor privacy policy. C.Parisi 91 World Wide Web Denial of Service Attack C.Parisi 46