Web (1) Internet. Elementi di Sicurezza e Privatezza Lezione 9 Web Security (1) Chiara Braghin. chiara.braghin@unimi.it! 20/11/12. browser.

Transcript

1 Elementi di Sicurezza e Privatezza Lezione 9 Web Security (1) Chiara Braghin chiara.braghin@unimi.it! Web (1) File HTML browser Internet URL Server web server Client il protocollo: HTTP 1 1

2 Web (2) Server side 2 Web (3) - Problemi di sicurezza Sicurezza del browser w Cookie Sicurezza del Web server Sicurezza dei protocolli di comunicazione tra browser e server Sicurezza dell interazione con il DBMS Sicurezza del Web dinamico w Linguaggi di scripting 3 2

3 Protocolli di rete: Modello ISO/OSI (1) Ogni livello: w Usa i servizi offerti dal livello precedente w Aggiunge funzionalità w Offre servizi al livello superiore Livelli: w Fisico: consegna bit lungo un singolo canale w Data link: raggruppa i bit in pacchetti e controlla chi riceve i pacchetti lungo un singolo canale condiviso w Rete: instrada pacchetti tra canali diversi, facendoli arrivare al destinatario w Trasporto: assicura comunicazione affidabile tra due host numerando i pacchetti, rispedendo i pacchetti persi w Sessione: organizza le sequenze di dati w Presentazione: interpreta i dati w Applicazione: applicazione che usa la Rete (Web, programmi di posta, ecc.) 4 Protocolli di rete: Modello ISO/OSI (2) Un livello del nodo A comunica con il rispettivo livello del nodo B Per fargli arrivare i dati li passa al livello sottostante, aggiungendo un intestazione al pacchetto Quando il nodo B riceve i dati, si tolgono le intestazioni fino a quando non si arriva al livello di competenza 5 3

4 Modello OSI vs TCP/IP TCP: Transmission Non presente Control nel modello Protocol IP: Internet Protocol 6 TCP/IP - Formato dei Dati Application message TCP Header Application message - data Transport (TCP, UDP) segment TCP data TCP data TCP data Network (IP) packet IP TCP data Link Layer frame ETH IP TCP data ETF IP Header Link (Ethernet) Header Link (Ethernet) Trailer 7 4

5 IETF (1) Comunità di tecnici e ricercatori interessati all'evoluzione tecnica e tecnologica di Internet (Internet Engineering Task Force) w struttura aperta: il lavoro svolto da gruppi di lavoro che operano tramite mailing list, aperte alla partecipazione di chiunque sia interessato w i gruppi di lavoro si riuniscono 3 volte l anno w producono documenti denominati RFC (Request For Comments) che vengono sottoposti alla IESG (Internet Engineering Steering Group) per il loro avanzamento a standard ufficiale Obiettivi: sviluppare standard Internet (TCP/IP e la suite di protocolli Internet) w motto: Rough consensus and running code (Consenso diffuso e codice funzionante) 8 IETF (2) 9 5

6 IETF (3) 10 HTTP HyperText Transfer Protocol 6

7 Il protocollo HTTP (1) Il protocollo HTTP (HyperText Transfer Protocol) definisce le regole che governano il trasferimento di pagine web dal computer che le archivia (server) al computer che le richiede (client) Protocollo a livello applicativo Orientato agli oggetti, generico, stateless 12 Il protocollo HTTP (2) Pagina web: w Consiste di oggetti w Gli oggetti possono essere file HTML, immagini JPEG, applet Java, file di audio, w Consiste di un file HTML di base, che include degli oggetti indirizzabili tramite un URL Browser w Il programma che sta sul computer client, in grado di: richiedere pagine HTML (via HTTP) formattarle come prescritto (via HTML) 13 7

8 Il protocollo HTTP (3) Modello client-server w client: browser che richiede, riceve e visualizza oggetti Web w server: il Web server spedisce degli oggetti in risposta ad una richiesta PC running Explorer Mac running Safari HTTP request HTTP response HTTP request HTTP response Server running Apache Web server 14 Il protocollo HTTP (4) Usa TCP: Il client inizia una connessione TCP (crea un socket) con il server alla porta 80 Il server accetta la connessione TCP del client Vengono scambiati dei messaggi HTTP (messaggi del protocollo a livello applicazione) tra il browser (HTTP client) e il Web server (HTTP server) La connessione TCP viene chiusa HTTP è stateless Il server non mantiene alcuna informazione relativa alle richieste passate 15 8

9 Connessioni HTTP Non persistenti Viene spedito al più un oggetto lungo la connessione TCP Persistenti Possono venire spediti più oggetti lungo una stessa connessione TCP tra il client e il server 16 HTTP/1.0 Consente solo connessioni non persistenti: w Ogni richiesta o risposta richiede una nuova connessione w Per scaricare una pagina con immagini richiede più connessioni Può sovraccaricare sia il server che il client a causa dell eccessivo overhead 17 9

10 HTTP/1.1 Fornisce una connessione persistente di default: w La connessione rimane aperta finché non si sono scaricati tutti gli oggetti (oppure si verifica timeout) Il client può richiedere tutte le immagini in una pagina contemporaneamente w Riduce il numero di connessioni quindi l overhead 18 HTTP non persistente (1) L utente inserisce l URL: (index.html contiene testo e riferimenti a 10 immagini) 1a. Il client inizia una connessione TCP al server HTTP alla porta Il client spedisce una richiesta HTTP lungo il socket. Il messaggio indica che il client vuole l oggetto: somedepartment/ tempo index.html 1b. Il server HTTP all host attende alla porta 80, accetta la connessione, notifica il client 3. Il server HTTP riceve la richiesta e spedisce lungo il socket una risposta HTTP contenente l oggetto richiesto 19 10

11 HTTP non persistente (2) 5. Il client HTTP riceve la risposta contentente il file HTML e lo visualizza. Facendo il parsing del file HTML trova 10 immagini jpeg 6. I passi 1-5 vengono ripetuti per ciascuna delle 10 immagini tempo 4. Il server HTTP chiude la connessione TCP 20 HTTP persistente Problemi con HTTP non persistente: I browser spesso aprono connessioni TCP parallele per recuperare tutti gli oggetti Overhead del SO per ciascuna connessione TCP HTTP persistente: Il server lascia la connessione aperta dopo aver spedito la risposta Messaggi HTTP successivi tra gli stessi client/server vengono spediti lungo il medesimo socket Il client spedisce le richieste appena incontra un nuovo oggetto 21 11

12 HTTP Request Metodo URL Versione protocollo Header Body (opzionale) GET /index.html HTTP/1.1 Host: User-Agent: Mozilla/5.0 Accept: text/html, */* Accept-Language: en-us Accept-Charset: ISO ,utf-8 Connection: keep-alive (extra carriage return, line feed) Carriage return, line feed indica la fine del messaggio 22 HTTP request: formato generale 23 12

13 Campi dell header di richiesta Il client può specificare ulteriori informazioni nella richiesta. w User-Agent: indica la versione del browser w Referer: comunica al server da dove proviene l utente (utile per eseguire il log e per tenere traccia dell utente) w From: contiene l indirizzo dell utente (generalmente non usato per motivi di privacy) w Authorization: può inviare il nome utente e la password (usato con documenti che richiedono l autorizzazione) w If-Modified-Since: invia il documento solo se è più recente della data specificata (usato per memorizzare nella cache) 24 HTTP Response Status line: Versione Status Messaggio di status Header Body HTTP/ OK Date: Thu, 24 Jul :36:27 GMT Server: Apache-Coyote/1.1 Content-Type: text/html;charset=utf-8 Content-Length: 1846 blank line <html>... </html> 25 13

14 HTTP response status code 200 OK La richiesta ha avuto successo 301 Moved Permanently w Il documento è stato spostato permanentemente 400 Bad Request w Errore di sintassi nella richiesta del client 403 Forbidden Request w Al client non è consentito l accesso 404 Not Found w Il file non è stato trovato 505 HTTP Version Not Supported 26 Altri campi dell header di risposta Oltre al codice di stato, la risposta del server può includere: w Date: tempo di risposta (ora GMT) w Server: informazioni d identificazione sul server w Last-modified: ora in cui è stato modificato per l ultima volta (ora GMT) w Content-length: dimensione del documento in byte w Content-type: formato file (html, gif, pdf) w Expires: evita al browser di memorizzare la pagina nella cache oltre la data di scadenza 27 14

15 Metodi di HTTP (1) HTTP/1.0 GET POST HEAD HTTP/1.1 GET, POST, HEAD PUT DELETE TRACE CONNECT OPTIONS 28 Metodi di HTTP (2) GET w Richiede di leggere una pagina Web w Può inviare (pochi, max 256 caratteri) parametri al server tramite l URL (nella parte chiamata query string) HEAD w Come GET, ma richiede di leggere solo l intestazione di una pagina Web POST w Invia le informazioni in modo non visibile da URL 29 15

16 Metodi di HTTP (3) PUT w L inverso di GET, scrive su di una pagina DELETE w Rimuove la pagina TRACE w Usato per il debug, chiede di mostrare la richiesta CONNECT w Metodo riservato per il futuro OPTIONS 30 GET vs POST Metodo POST: L eventuale input di un form viene trasmesso al server all interno del corpo della richiesta Metodo GET: L input viene inserito nell URL: john &pwd= john

17 HTTP e sicurezza HTTP/S (1) HTTP Secure w Non un nuovo protocollo: HTTP over SSL/TLS w Funziona esattamente come HTTP, tranne che per il fatto che i messaggi di richiesta e risposta sono trasmessi usando SSL (Secure Sockets Layer) o TLS (Transport Layer Security) Creato nel 1994 da Netscape Communications per il browser Netscape Navigator Originariamente usato con SSL encryption. In seguito all evolvere di SSL in TLS, usato con TLS (RFC 2818, maggio 2000) Usa la porta 443 al posto della porta 80 Usa un certificato digitale X.509 w Usato in automatico per tutte le URL che iniziano con " invece che "

18 HTTP/S (2) Come funzona: w La richiesta e la risposta sono trasmessi cifrati tra il browser e il server w Il browser identifica il server con il quale sta comunicando mediante un certificato NB1: HTTP/S i default non fa indentificare (=> autenticare) il browser dal server (no overhead) NB2: HTTP/S non garantisce che il browser e il server si possano fidare l uno dell altro: l unica garanzia è che nessun altro può ascoltare la comunicazione w HTTP/S richiede un operazione addizionale da parte del server: Nel caso il client lo richieda, il server deve creare un certificato che lo identifichi con il browser 34 HTTP/S (3) HTTP/S S-HTTP S-HTTP = Secure HTTP w Descritto nel RFC 2660 w Estensione del protocollo HTTP w Utilizza (anche) chiavi simmetriche w Non supportato da tutti i browser w Supporta diversi algoritmi crittografici per la cifratura 35 18

19 HTTP/S (4) - Il luchetto Obiettivo: Indicare all utente che la comunicazione è cifrata I contenuti delle pagine non sono stati letti o modificati da un attaccante lungo la rete Garantisce che: (Quasi) Tutti gli oggetti della pagina sono stati recuperati usando HTTP over SSL/TLS Per ciascun elemento: Prodotto un certificato valido 36 HTTP/S (5) - Il luchetto IE7: 37 19

20 HTTPS (6) - il luchetto Firefox 3: (no SSL) (SSL) 38 Protocollo HTTP: limiti Il protocollo HTTP è stateless: w due richieste successive (anche con gli stessi contenuti) ottengono la stessa risposta PROBLEMA: molte applicazioni richiedono memoria persistente delle interazioni dei clienti: w Carrello della spesa elettronico w Remeber the password for this site? w Registrazione per l utilizzo w amazon.com ricorda il nome dell utente, la carta di credito, gli acquisti già effettuati, gli interessi; Yahoo! personalizza la pagina iniziale, ecc

21 Cookie (1) I cookie fanno parte del protocollo HTTP come integrazione e soluzione, molto discussa, alla caratteristica del protocollo di essere stateless w Netscape, 1994 w Because it was used in Netscape's original implementation of state management, we will use the term cookie to refer to the state information that passes between an origin server and user agent, and that gets stored by the user agent [RFC 2109] Un cookie è una raccolta di informazioni sull utente/client che fa richieste HTTP Serve per memorizzare a lato client lo stato di una sessione 40 Cookie (2) Il cookie viene trasmesso tramite gli HEADER del protocollo HTTP (Ipotetico) ciclo di vita del cookie: w La prima volta che un browser si collega ad un server non ci sono cookie w Il server crea un identificativo unico e lo inserisce nell header della risposta usando il campo Set-Cookie w In futuro, ogni volta che il browser si collega con lo stesso server, anche per chiedere pagine diverse, inserisce il cookie nell header della richiesta usando il campo Cookie! w [In genere, i cookie vengono cancellati dal browser una volta che si fa quit ] NB: creato dal server, ma memorizzato dal client! 41 21

22 Cookie (3) - Esempio Il server spedisce un cookie al client usando l header Set-cookie in una risposta HTTP Set-cookie: CUSTOMER=John_Ford; PATH=/; EXPIRES=Thursday, 11-Jan-09 12:00:00 Quando l utente ritorna all URL, il browser manda al server i dati del cookie all interno della sua richiesta Cookie : CUSTOMER=John_Ford! 42 Cookie (4) - Formato Il cookie consiste generalmente in una coppia nome-valore w Set-Cookie: ID=12345jk! w La dimensione del cookie in genere è limitata dal browser (di solito < 4 KB) w Un server può definire più cookie, anche se i browser limitano il numero di cookie per server (circa 50) 43 22

23 Cookie (5) - Formato Esistono campi opzionali dell'header Set- Cookie: w Domain: il dominio di provenienza del cookie Se non settato, il valore di default è il dominio dell oggetto richiesto Il dominio di un cookie viene identificato univocamente da: server, porta (opzionale) e prefisso URL (opzionale) Indica il dominio in cui il cookie è valido w Path: percorso nel Web tree (del server) in cui il cookie è valido Specifica il percorso dal quale il cookie viene mandato all utente finale (in genere /, l intera struttura) Se non settato, il valore di default è il dominio dell oggetto richiesto 44 Cookie (6) - Formato w Expires: indica quando scade Espressa come data, o come numero massimo di giorni, come Now (il cookie viene eliminato subito dal computer dell'utente in quanto scade nel momento in cui viene creato), come Never (indica che il cookie non è soggetto a scadenza) w Secure (FLAG): se impostato, il cookie viene trasmesso in una request HTTPS (viene cifrato) w HTTPOnly (FLAG): il cookie non può essere acceduto via script lato client Inizialmente incorporata SOLO da Microsoft Internet Explorer, poi dagli altri browser 45 23

24 Cookie (7) - Precisazione Non sempre tutta l informazione relativa al client viene memorizzata a lato client w Il cookie può rappresentare l indice di un database gestito a lato server per memorizzare le informazioni del client > 4 KB 46 Cookie (8) - Componenti 4 componenti: 1) cookie nell header del messaggio HTTP response (Set-cookie) 2) cookie nell header line del messaggio (non il primo) HTTP request (Cookie) 3) file di cookie mantenuto nel disco rigido del client e gestito dal browser 4) (eventuale) database di back-end nel Web server 47 24

25 Cookie (9) - Funzionamento client file dei ebay 8734 cookie ebay 8734 amazon 1678 una settimana dopo, se il cookie è ancora valido: ebay 8734 amazon 1678 http request! http response Set-cookie: 1678 http request! Cookie: 1678 http response http request Cookie: 1678 http response server Amazon il server crea il cookie 1678 azione cookie- specific azione cookie- spectific parte opzionale create entry access access backend database 48 Cookie (10) - Classificazione Cookie di Sessione (non persistente o temporaneo) w il browser scarta il cookie alla chiusura w Usato per gestire gli shopping cart Cookie Persistente w Il cookie rimane nel disco rigido del client w Serve per memorizzare informazione per lungo tempo 49 25

26 Cookie (11) - Classificazione First-party cookie: cookie con lo stesso dominio dell indirizzo presente nella barra del browser Third-party cookie (o tracking cookie): cookie con dominio diverso da quello presente nella barra del browser w Da banner pubblicitario, immagine o altra componente del file HTML, proveniente da un dominio diverso w Usati per ottenere informazioni sul navigatore, i suoi gusti le sue preferenze, per tracciarne un profilo e presentargli solo i banner pubblicitari che gli potrebbero interessare w Secondo gli RFC non dovrebbero venire permessi 50 Third-party cookie (1) 51 26

27 Third-party cookie (2) Esistono programmi per l eliminazione dei cookie in base a politiche di sicurezza definite dall utente w Lavasoft Ad-aware: riconosce i tracking cookie e li rimuove 52 Visualizzare/gestire i cookie 53 27

28 Cookie (12) - Utilizzi User session state w Per permettere ad un utente il login in un sito Web Memorizza username e password Shopping cart w Per mettere o togliere articoli dal carrello della spesa virtuale nei siti commerciali Memorizza costo finale ed, eventualmente, # carta di credito Per personalizzare la pagina web w Memorizza i setting preferiti Per tracciare i percorsi dell'utente (usato dalle compagnie pubblicitarie) 54 Lettura/scrittura di cookie a lato client (1) Settare un cookie in Javascript: w document.cookie = name=value; expires= ; Leggere un cookie: w alert(document.cookie) w Stampa la stringa che contiene TUTTI i cookie disponibili per il documento Rimuovere un cookie: w document.cookie = name=; expires= Thu, 01-Jan-70! 55 28

29 Lettura/scrittura di cookie a lato client (2) javascript: alert(document.cookie) Mostra tutti i cookie del documento 56 29