Sicurezza in ASP.NET

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Sicurezza in ASP.NET"

Transcript

1 Capitolo 17 Sicurezza in ASP.NET In questo capitolo: Da dove provengono le minacce Il contesto di sicurezza ASP.NET Utilizzo dell autenticazione Forms L API di membership e di gestione dei ruoli Controlli inerenti alla sicurezza Conclusioni Molti sviluppatori hanno appreso da sé che la sicurezza non è una caratteristica che può essere aggiunta alle applicazioni esistenti o essere introdotta in seguito durante lo sviluppo. La sicurezza è intrinsecamente collegata alle funzioni di un applicazione e va pianificata fra le prime caratteristiche, durante la fase iniziale di progettazione. Per loro natura, le applicazioni Web sono soggette a diversi tipi di attacchi, il cui danno e impatto può variare abbastanza, in base alle caratteristiche dell applicazione stessa. L applicazione Web più sicura è l applicazione che effettivamente resiste agli attacchi, e non l applicazione che è solo progettata per resistere. La sicurezza è un puzzle piuttosto complesso la cui soluzione varia da un applicazione all altra. La cosa importante da ricordare è che, quasi sempre, la sicurezza si manifesta attraverso una miscela proficua di misure a livello di applicazione e a livello di sistema. ASP.NET semplifica la programmazione di applicazioni sicure fornendo una infrastruttura nativa che fornisce una protezione a livello di applicazione contro l accesso non autorizzato alle pagine Web. Si sappia, tuttavia, che questo tipo di sicurezza è solo una faccia della medaglia. Un sito Web realmente sicuro è particolarmente ben protetto contro gli attacchi server che possono essere utilizzati per scalare furtivamente le più alte mura protettive della logica dell applicazione. In questo capitolo, discuteremo il contesto di sicurezza di ASP.NET, compresa la relazione con i meccanismi di autenticazione lato server di Internet Information Services (IIS) e le pratiche di codifica ottimale per difendersi dagli attacchi Web. 805

2 806 Parte III Infrastruttura ASP.NET Da dove provengono le minacce Il concetto di sicurezza implica la presenza del nemico da cui proteggersi. Nella Tabella 17-1, sono riassunti i tipi più comuni di attacchi Web. Tabella I più comuni attacchi Web Attacco Scripting cross-site (XSS) Denial of Service (DoS) Eavesdropping Manomissione di campi hidden One-click Dirottamento di sessione Iniezione SQL Descrizione L input di un utente non sicuro viene propagato sulla pagina. L aggressore inonda la rete con richieste fittizie, sovraccaricando il sistema e bloccando il traffico regolare. L aggressore utilizza uno sniffer per leggere i pacchetti di rete non crittografati mentre vengono trasportati sulla rete. L aggressore manomette i campi nascosti non verificati (e sicuri) che contengono dati sensibili. Subdoli post HTTP vengono inviati via script. L aggressore ricava o sottrae un ID di sessione valido e si connette alla sessione di un altro utente. L aggressore inserisce un input subdolo che il codice concatena tranquillamente per formare pericolosi comandi SQL. La conclusione è che ogni qualvolta si inserisce qualsiasi tipo di input utente nel markup del browser ci si espone potenzialmente a un attacco di iniezione di codice (cioè, qualsiasi variazione di iniezione SQL e XSS). Inoltre, i dati sensibili non dovrebbero mai essere inviati sulla connessione (tantomeno come testo in chiaro) e devono essere memorizzati in modo sicuro sul server. Se esiste un modo per scrivere una applicazione a prova di proiettile e resistente alle manomissioni, può trattarsi solo della combinazione dei seguente aspetti: Norme di codifica: validazione dei dati, verifica del tipo e della lunghezza del buffer, e misure anti-manomissione Strategie di accesso ai dati: utilizzo di ruoli per assicurare che sul server sia utilizzato l account più debole possibile per limitare l accesso alle risorse sul server, e utilizzo di stored procedure o almeno di comandi con parametri Memorizzazione e amministrazione efficace: nessun invio di dati critici al client, utilizzo di valori hash per rilevare la manipolazione, autenticazione degli utenti e protezione delle identità, e applicazione rigorosa delle politiche per le password Come si può vedere da questo elenco, una applicazione sicura può essere prodotta solo dall impegno combinato degli sviluppatori, degli architetti e degli amministratori. Diversamente, non si immagini di poterla ottenere in maniera corretta.

3 Capitolo 17 Sicurezza in ASP.NET 807 Il contesto di sicurezza di ASP.NET Da un punto di vista dell applicazione, la sicurezza è per la maggior parte una questione di autenticazione degli utenti e di autorizzazione delle azioni sulle risorse di sistema. ASP.NET fornisce un ventaglio di meccanismi di autenticazione e autorizzazione implementati in combinazione con IIS, il.net Framework e i sottostanti servizi di sicurezza del sistema operativo. Il contesto di sicurezza complessivo di una applicazione ASP.NET si compone di tre livelli distinti: Il livello IIS associa un token di sicurezza valido al mittente della richiesta. Il token di sicurezza viene determinato in base al meccanismo corrente di autenticazione IIS. Il livello di processo worker ASP.NET determina l identità del thread del processo worker ASP.NET che serve la richiesta. Se abilitate, le impostazioni di impersonazione possono modificare il token di sicurezza associato al thread. L identità del modello di processo viene determinata dalle impostazioni nel file di configurazione o della metabase IIS, in base al modello di processo in uso. Il livello di pipeline ASP.NET ottiene le credenziali dell utente specifico che sta utilizzando l applicazione. Il modo in cui questo compito viene svolto dipende dalle impostazioni nei file di configurazione dell applicazione per ciò che concerne l autenticazione e l autorizzazione. Una impostazione comune per gran parte delle applicazioni ASP.NET è scegliere di utilizzare la Forms Authentication. Tra l altro, l identità del processo worker ASP.NET influenza l accesso ai file locali, alle cartelle e ai database. Chi esegue realmente la mia applicazione ASP.NET? Quando giunge una richiesta ASP.NET alla macchina Web server, IIS la prende in consegna e assegna la richiesta a uno dei thread in pool. IIS viene eseguito con l account SYSTEM, l account più potente in Windows. Da questo punto in poi, nell elaborazione di questa richiesta, vengono attraversati i tre contesti di sicurezza delle applicazioni ASP.NET che ho menzionato, uno dopo l altro. Il contesto di sicurezza del thread IIS Il thread che gestisce fisicamente la richiesta impersona una identità in base alle impostazioni correnti di autenticazione IIS: Basic, Digest, Integrated Windows o anonima. Se il sito è configurato per l accesso anonimo, l identità impersonata dal thread è quella che si imposta attraverso la finestra di dialogo mostrata nella Figura Per default, è denominata IUSR_xxx dove xxx è il nome della macchina. (La finestra di dialogo è la finestra di dialogo Properties dell applicazione IIS administrative manager.)

4 808 Parte III Infrastruttura ASP.NET Figura 17-1 Abilitazione dell accesso anonimo e modifica dei metodi di autenticazione del sito. L autenticazione Basic è uno standard HTTP virtualmente supportato da qualsiasi browser. Con questo tipo di autenticazione, una richiesta rimbalza indietro con un particolare codice di stato HTTP che il browser interpreta come richiesta di visualizzare una finestra di dialogo standard per richiedere le credenziali dell utente. Le informazioni raccolte vengono inviate a IIS, che tenta di confrontarle con gli account del Web server. Siccome le credenziali vengono inviate come testo codificato in Base64, essenzialmente come testo in chiaro, l autenticazione Basic è raccomandata solo per un utilizzo su canali sicuri HTTPS. L autenticazione Digest differisce in gran parte dall autenticazione Basic poiché esegue l hashing delle credenziali prima di inviarle. L autenticazione digest è una caratteristica HTTP 1.1 e, in quanto tale, non è supportata da alcuni vecchi browser. Inoltre, su Windows 2000 richiede che la password sia memorizzata sul server con crittografia reversibile. Ciò non è più un prerequisito con Windows Server Entrambi gli schemi di autenticazione Basic e Digest funzionano bene attraverso firewall e server proxy. L autenticazione Integrated Windows imposta una conversazione tra il browser e il Web server. Il browser passa le credenziali dell utente correntemente loggato, a cui non è richiesto di digitare nulla. L utente deve avere un account valido sul Web server o in un dominio trusted per poter essere autenticato. L autenticazione può avvenire per mezzo del metodo challenge/response NTLM o utilizzando Kerberos. La tecnica ha un supporto limitato del browser ed è irrealizzabile in presenza di firewall. Nota Esiste un ulteriore tipo di modalità di autenticazione e si basa sui certificati. Si possono utilizzare le caratteristiche di sicurezza Secure Sockets Layer (SSL) di IIS e utilizzare i certificati client per autenticare gli utenti che richiedono informazioni sul proprio sito Web. SSL verifica il contenuto del certificato inviato dal browser dell utente durante il login. Gli utenti ottengono i certificati client da una organizzazione indipendente sicura. In uno scenario intranet, gli utenti possono anche ottenere il proprio certificato da una authority gestita dall azienda stessa.

5 Capitolo 17 Sicurezza in ASP.NET 809 Dopo l autenticazione, il thread invia la richiesta al modulo esterno appropriato. Per una richiesta ASP.NET, ciò che accade dipende dal modello di processo utilizzato nell applicazione. Contesto di sicurezza del processo worker Nel modello di processo IIS 5.0, il thread IIS passa la richiesta a aspnet_isapi.dll che, a sua volta, avvia il processo worker aspnet_wp.exe. Nel modello di processo IIS 6.0, la richiesta viene accodata nel pool dell applicazione che ospita l applicazione ASP.NET e viene presa in consegna dalla copia del processo worker IIS w3wp.exe che serve il pool dell applicazione. Qual è l identità del processo worker? Se viene utilizzato il modello di processo IIS 5.0, il processo worker viene eseguito con le sembianze dell account ASPNET. ASPNET è un account locale che viene creato quando viene installato il.net Framework. Ha il minimo set di privilegi richiesti per il suo ruolo ed è di gran lunga meno potente dell account SYSTEM. Si può modificare l identità di un account esistente attraverso la seguente sezione del file machine.config: <processmodel username=... password=... /> Se viene utilizzato il modello di processo IIS 6.0, il processo worker ha l identità dell account NETWORK SERVICE. Si può modificarla attraverso la finestra di dialogo mostrata nella Figura Utilizzando IIS administrative manager, si seleziona il pool dell applicazione scelta e si clicca per vederne le proprietà. NETWORK SERVICE ha lo stesso insieme limitato di privilegi di ASPNET ed è un nuovo account predefinito in Windows Server 2003 e Windows XP. Figura 17-2 Impostazione dell identità di default del processo worker che serve un pool di applicazione in IIS 6.0.

6 810 Parte III Infrastruttura ASP.NET All interno del processo worker, un thread in pool prenderà in carico la richiesta per servirla. Qual è l identità di questo thread? Se nell applicazione ASP.NET l impersonazione è disabilitata, questo thread erediterà l identità del processo worker. Questo è ciò che accade per default. Se l impersonazione è abilitata, il thread worker erediterà il token di sicurezza passato da IIS. Si abilita l impersonazione nel file web.config come segue: <impersonation enabled= true /> C è molto altro da dire sulla impersonazione ASP.NET, in particolare sulla forma estesa di impersonazione in cui viene specificata una determinata identità. Discuteremo di ciò tra un attimo. Quando è attiva l impersonazione, l account del processo worker non cambia. Il processo worker continua a compilare le pagine e a leggere i file di configurazione utilizzando l account originale. L impersonazione viene utilizzata solo con il codice eseguito nella pagina e non per tutti i passi preliminari che si verificano prima che la richiesta sia passata all handler della pagina. Ad esempio, ciò significa che qualsiasi accesso ai file locali o a database si verifica utilizzando l account impersonato, non l account del processo worker. Contesto di sicurezza della pipeline ASP.NET Il terzo contesto di sicurezza indica l identità dell utente che effettua la richiesta. Lo scopo qui è autenticare l utente e autorizzare l accesso alla pagina e alle risorse che ingloba. Ovviamente, se la pagina richiesta è liberamente disponibile, non viene eseguito alcun ulteriore passo; l output della pagina viene generato e servito all utente. Per proteggere le pagine da accessi non autorizzati, una applicazione ASP.NET deve definire una politica di autenticazione: Windows, Passport o Forms. I moduli di autenticazione agganciano le richieste di pagine protette e si occupano di ottenere le credenziali dell utente. L utente viene diretto alla pagina solo se le credenziali sono ritenute valide e autorizzano all accesso alla risorsa richiesta. Modifica dell identità del processo ASP.NET In una situazione in cui si vuole modificare l account ASP.NET di default per attribuirgli più privilegi, come si dovrebbe procedere? È preferibile creare un account custom e utilizzarlo per il processo worker, o si dovrebbe optare perché il processo worker impersoni una determinata identità? Nota Difficilmente si può creare un nuovo account funzionale con meno privilegi di quelli concessi a ASPNET o NETWORK SERVICE. Se si fa un tentativo, bisogna effettuare una attenta fase di testing e assicurarsi che funzioni realmente con la propria applicazione.

7 Capitolo 17 Sicurezza in ASP.NET 811 Impostazione dell account di processo L utilizzo della sezione <processmodel> (per il modello di processo IIS 5.0) o l utilizzo della finestra di dialogo mostrata nella Figura 17-2 (per il modello di processo IIS 6.0) sono gli unici modi per modificare l identità reale del processo ASP.NET. Se si modifica l identità di processo, tutti i thread del processo utilizzeranno questa identità come identità base e non sarà necessario nessun lavoro extra in fase di commutazione di thread. Aspetto ancor più importante, è che si deve essere certi che il nuovo account abbia almeno i permessi completi sulla cartella Temporary ASP.NET Files. (Si riveda attentamente l elenco dei permessi concessi agli account standard ASP.NET, riportato nel paragrafo Privilegi dell account di default ASP.NET ). In alternativa, si può richiedere al processo worker di impersonare una determinata identità attraverso la sezione <identity> del file web.config. Si noti che se viene utilizzata una determinata impersonazione, ogni thread worker che elabora una richiesta deve impersonare l account specificato. L impersonazione deve essere eseguita per ciascuna commutazione di thread poiché un evento di commutazione di thread riporta l identità del thread all identità del processo. Impersonazione di una identità prestabilita Per impersonare una determinata identità, prima si definisce l account utente e poi si aggiunge una impostazione al file web.config. Il seguente frammento mostra un esempio: <identity impersonate= true username= MyAspNetAccnt password= ILoveA$p*SinceVer3.0 /> Come si è detto prima, l impersonazione non modifica realmente l identità fisica del processo che esegue ASP.NET. Più semplicemente, tutti i thread che danno servizio nel contesto del processo worker ASP.NET impersonano sempre un determinato utente per tutta la durata dell applicazione. L impersonazione di una determinata identità è differente dalla classica impersonazione per richiesta, come l impersonazione dell identità dell utente Windows che effettua la richiesta. La impersonazione per richiesta si riferisce alla situazione in cui si abilita l impersonazione senza specificare una determinata identità. In questo caso, il token di sicurezza con le informazioni sull identità viene creato da IIS e viene ereditato dal processo worker. Se viene coinvolta una identità prestabilita, il token di sicurezza deve essere generato dal processo worker ASP.NET. Tuttavia, se viene eseguito con un account poco privilegiato, talvolta il processo worker ASP.NET è privo del permesso per fare ciò. All interno della caratteristica di impersonazione prestabilita Un processo in esecuzione con un account non amministrativo non può impersonare un account specifico su Windows 2000 a meno che non gli siano concessi i privilegi appropriati. Con Windows 2000, un processo richiede il privilegio Agisce Come Parte del Sistema Operativo per impersonare una identità prestabilita. Si tratta effettivamente di un privilegio forte e potente che, per motivi di sicurezza, gli account di processi non amministrativi come ASPNET e NETWORK SERVICE generalmente non avranno.

8 812 Parte III Infrastruttura ASP.NET Questo prerequisito scompare con Windows XP e Windows Server 2003, il che rende possibile a processi privi del privilegio Agisce Come Parte del Sistema Operativo di impersonare una determinata identità. In ASP.NET 1.1, tuttavia, l impersonazione di una determinata identità è possibile anche su macchine dotate di Windows 2000 e di IIS 5.0. Il runtime ASP.NET 1.1 ricorre ad alcune tecniche per rivettorizzare l invocazione nuovamente al modulo aspnet_isapi.dll, che è in esecuzione all interno di IIS 5.0 e con l account SYSTEM. Sostanzialmente, l estensione ISAPI ASP.NET 1.1 crea il token di sicurezza e lo duplica nello spazio di memoria del processo worker. In questo modo, ASP.NET 1.1 supporta l impersonazione prestabilita senza richiedere il privilegio Agisce Come Parte del Sistema Operativo per l account del processo worker. In definitiva, ci si attenda di avere delle difficoltà con l impersonazione prestabilita solo se si stanno ancora eseguendo applicazioni ASP.NET 1.0 con Windows In tal caso, perché funzioni l impersonazione è necessario eseguire le proprie applicazioni ASP.NET con l account SYSTEM, con tutte le ripercussioni di sicurezza che ciò implica. Impersonazione attraverso l account anonimo Una terza possibilità di modificare l identità del processo worker ASP.NET è l impersonazione attraverso l account anonymous. L idea è che l applicazione ASP.NET conceda l accesso agli utenti anonimi, e che l account anonymous sia configurato per essere l account richiesto per l applicazione. In tal caso, l applicazione utilizza una impersonazione per richiesta e il codice ASP.NET viene eseguito con l account impersonato. L account del processo rimane impostato a ASPNET o NETWORK SERVICE, il che significa che non bisogna preoccuparsi della replicazione nel nuovo account dell insieme minimo di permessi sulle cartelle che consentono ad ASP.NET di lavorare. Privilegi dell account ASP.NET di default Di tutte le assegnazioni possibili di diritti utente, ad ASPNET e NETWORK SERVICE vengono concessi solo i seguenti cinque diritti: Accesso a questo computer dalla rete Negato il logon localmente Negato il logon attraverso Terminal Services Log on come job batch Log on come servizio Inoltre, agli account vengono attribuiti alcuni permessi NTFS per operare su certe cartelle e per creare file e assembly temporanei. Le cartelle coinvolte sono le seguenti: Cartella root del.net Framework Questa cartella contiene alcuni assembly di sistema del.net Framework a cui ASP.NET deve essere in grado di accedere. La

9 Capitolo 17 Sicurezza in ASP.NET 813 cartella fisica è normalmente Microsoft.NET\Framework\[versione] ed è posizionata nella cartella Windows. ASP.NET ha solo permessi di lettura e di esplorazione su questa cartella. File temporanei ASP.NET Questa cartella rappresenta il sottoalbero del filesystem in cui vengono generati tutti i file temporanei. Ad ASP.NET è concesso il controllo completo sull intero sottoalbero. Global Assembly Cache ASP.NET deve avere il permesso di lettura sugli assembly della Global Assembly Cache (GAC). La GAC si trova nella cartella Windows\ Assembly\GAC. La cartella GAC non è visibile con Windows Explorer, ma si possono visualizzare gli assembly installati aprendo la cartella Windows\Assembly. Cartella Windows System Il processo ASP.NET deve accedere e leggere la cartella Windows System32 per caricare ogni DLL Win32 necessaria. Cartella root dell applicazione Il processo ASP.NET deve accedere e leggere i file che costituiscono l applicazione Web. La cartella viene tipicamente posizionata in Inetpub\wwwroot. Root del sito Web ASP.NET può avere necessità di scandire la root del Web server (tipicamente Inetpub\wwwroot) alla ricerca di file di configurazione da leggere. Un applicazione ASP.NET in esecuzione con un account privo di alcuni di questi permessi potrebbe fallire. La concessione di almeno tutti questi permessi è altamente raccomandata per tutti gli account utilizzati per l impersonazione prestabilita dell account. Il livello di trust delle applicazioni ASP.NET Le applicazioni ASP.NET sono costituite da codice managed e vengono eseguite all interno del Common Language Runtime (CLR). Nel CLR, il codice in esecuzione viene assegnato a una zona di sicurezza in base alla evidence che fornisce sulla propria origine: ad esempio, l URL di provenienza. Ciascuna zona di sicurezza corrisponde a un set di permessi. Ciascun set di permessi corrisponde a un livello di trust. Per default, le applicazioni ASP.NET vengono eseguite nella zona MyComputer con full trust. Questa impostazione di default è semplicemente pericolosa? Un applicazione ASP.NET viene eseguita sul Web server e non nuoce all utente che si connette ad essa attraverso il browser. Un applicazione ASP.NET non può essere consumata in altri modi se non attraverso il browser. Pertanto perché parecchie persone avvertono brividi lungo la schiena quando pensano al livello full trust di ASP.NET? Il problema non è nell applicazione ASP.NET di per sé, ma è nel fatto che l applicazione è pubblicamente esposta su Internet: uno degli ambienti più ostili per la sicurezza dei computer che si possa immaginare. Se un account ASP.NET full trusted dovesse essere soggetta a un hijacking, un hacker potrebbe eseguire azioni limitate dall interno del thread worker. In altri termini, una applicazione full trusted pubblicamente esposta è una potenziale piattaforma per gli hacker per lanciare attacchi. Meno trusted è una applicazione, più sicura è.

10 814 Parte III Infrastruttura ASP.NET La sezione <trust> Per default, le applicazioni ASP.NET vengono eseguite senza limitazioni e gli è permesso fare tutto ciò che è permesso al relativo account. Le effettive restrizioni di sicurezza che talvolta si applicano alle applicazioni ASP.NET (ad esempio, l inabilità di scrivere file) non rappresentano un segno di trust parziale, ma più semplicemente l effetto dell account sottoprivilegiato con cui normalmente vengono eseguite le applicazioni ASP.NET. Alterando la sezione <trust> del file web.config root, si possono configurare i permessi di code access security di una applicazione Web e decidere se deve essere eseguita in modalità full trust o parzialmente trust. <trust level= Medium originurl= /> La Tabella 17-2 descrive i livelli di trust disponibili. Tabella Livelli permessi nella sezione <trust> Livello Full High Medium Low Minimal Descrizione Le applicazioni vengono eseguite in modalità full trust e possono eseguire codice nativo arbitrario nel contesto di processo in cui girano. È l impostazione di default. Il codice può utilizzare gran parte dei permessi che supportano il trust parziale. Ciò è appropriato per le applicazioni che si vogliono eseguire con i minimi privilegi per mitigare i rischi. Il codice può leggere e scrivere nelle proprie directory applicative e può interagire con i database. Il codice può leggere le proprie risorse applicative ma non può interagire con le risorse posizionate all esterno dello spazio dell applicazione. Il codice non può interagire con alcuna risorsa protetta. Appropriato per l hosting di siti non professionali che intendono semplicemente supportare del codice HTML generico e una logica business altamente isolata. Nota Le applicazioni Web e i Web service implementati utilizzando il.net Framework versione 1.0 vengono sempre eseguiti con permessi non limitati di accesso da codice. I livelli configurabili elencati nella Tabella 17-2 non si applicano alle applicazioni ASP.NET 1.0. In effetti, limitare l insieme di operazioni che una applicazione può eseguire può essere inizialmente traumatico. Tuttavia, sulla lunga distanza (leggasi, se non ci arrende e si procede con la consegna dell applicazione) produce codice migliore e più sicuro.

11 Capitolo 17 Sicurezza in ASP.NET 815 Nota La sezione <trust> supporta un attributo denominato originurl. L attributo è una sorta di termine improprio. Impostandolo, all URL specificata viene concesso il permesso di accedere a una risorsa HTTP utilizzando una classe Socket o WebRequest. La classe permesso coinvolta è WebPermission. Naturalmente, il permesso Web viene concesso solo se il livello <trust> specificato lo supporta. I livelli trust da Medium in su hanno questo supporto. Permessi ASP.NET Riesaminiamo in maggior dettaglio il permesso concesso alle applicazioni ASP.NET quando vengono applicati i vari livelli di trust. I principali permessi ASP.NET per ciascun livello di trust vengono riassunti in Tabella Tabella Principali permessi dei livelli di trust ASP.NET High Medium Low Minimal FileIO Non limitato Read/Write nello spazio dell applicazione Read Nessuno IsolatedStorage Non limitato ByUser ByUser (massimo di 1 MB) Nessuno Printing DefaultPrinting Come High Nessuno Nessuno Security Assertion, Execution, ControlThread, ControlPrincipal Come High Execution Execution SqlClient Non limitato Non limitato (nessuna password vuota permessa) Nessuno Nessuno Registry Non limitato Nessuno Nessuno Nessuno Environment Non limitato Nessuno Nessuno Nessuno Reflection ReflectionEmit Nessuno Nessuno Nessuno Socket Non limitato Nessuno Nessuno Nessuno Web Non limitato Connessione all host di origine, se configurato Come High Nessuno Ulteriori informazioni di dettaglio sui permessi effettivamente concessi ai livelli di trust di default sono disponibili nei file di configurazione della sicurezza di ciascun livello. Il

12 816 Parte III Infrastruttura ASP.NET nome del file di ciascun livello è memorizzato nella sezione <trustlevel>. In definitiva, le applicazioni full-trust vengono eseguite senza limitazioni. Le applicazioni high-trust hanno permessi di lettura/scrittura per tutti i file nel proprio spazio applicativo. Tuttavia, l accesso fisico ai file viene comunque regolato dalle access control list NTFS sulla risorsa. Le applicazioni high-trust hanno un accesso non limitato a Microsoft SQL Server ma non, ad esempio, alle classi OLE DB. (Il permesso OleDbPermission e altri permessi sui provider managed vengono negati a tutti tranne che alle applicazioni full trust). Le invocazioni alla reflection vengono negate ad eccezione di quelle dirette a classi del namespace System.Reflection.Emit. Le applicazioni Medium hanno un accesso non limitato a SQL Server, ma solo finché non utilizzano password vuote per gli account. WebPermission viene concesso sia ad applicazioni con livello medium sia low, ma richiede che l URL sia configurata nella sezione <trust> attraverso l attributo originurl. Le applicazioni low-trust hanno un permesso a sola lettura per i file delle proprie directory applicative. L isolated storage è ancora permesso ma è limitato a una quota di 1 MB. Un regola pratica è che il livello di trust Medium dovrebbe essere adeguato per gran parte delle applicazioni ASP.NET e la sua applicazione non dovrebbe causare significativi grattacapi, purché non si debba accedere a oggetti legacy COM o a database esposti via provider OLE DB. Concessione di privilegi al di là del livello di trust E se uno dei task da eseguire richiede privilegi che il livello di trust non concede? In tal caso, ci sono due approcci essenziali. L approccio più semplice consiste nel personalizzare il file di policy del livello di trust e aggiungere i permessi necessari. La soluzione è facile da implementare e non richiede modifiche al codice. Richiede, invece, che l amministratore abbia i diritti di modificare i file di policy della sicurezza. Da una mera prospettiva di sicurezza, non è un ottima soluzione, poiché si stanno semplicemente aggiungendo all intera applicazione i permessi necessari per un particolare metodo di una particolare pagina o di un assembly. Il secondo approccio richiede un po di refactoring ma porta a un codice migliore e più sicuro. L idea è di racchiudere in una sandbox il codice lato server e far delegare a componenti esterni (ad esempio, componenti serviced o programmi a riga di comando) l esecuzione dei compiti che vanno oltre l insieme di permessi dell applicazione. Ovviamente, il componente esterno verrà configurato perché abbia tutti i permessi richiesti. Nota Il sandboxing del codice è la sola opzione disponibile se la propria applicazione ASP.NET parzialmente trusted sta cercando di effettuare invocazioni in un assembly che non comprende l attributo AllowPartiallyTrustedCallers. Per ulteriori informazioni sulla programmazione nel caso di medium trust, si consulti la seguente URL: msdn2.microsoft.com/library/en-us/library/ms aspx.

13 Capitolo 17 Sicurezza in ASP.NET 817 Metodi di autenticazione ASP.NET In base al tipo di risorsa richiesta, IIS può o meno essere in grado di gestire da sé la richiesta. Se la risorsa richiede il coinvolgimento di ASP.NET (ad esempio, è un file.aspx), IIS passa la richiesta a ASP.NET unitamente al token di sicurezza dell utente, autenticato o anonimo. Ciò che accade in seguito dipende dalla configurazione ASP.NET. ASP.NET supporta tre tipi di metodi di autenticazione: Windows, Passport, e Forms. Una quarta possibilità è None, il cui significato è che ASP.NET non tenta neanche di eseguire una propria autenticazione e si affida completamente all autenticazione già effettuata da IIS. In questo caso, gli utenti anonimi possono connettersi e alle risorse si accede utilizzando l account ASP.NET di default. Utilizzando la sezione <authentication> del file web.config root, si sceglie il meccanismo di autenticazione ASP.NET. Le sottodirectory figlie ereditano la modalità di autenticazione scelta per l applicazione. Per default, la modalità di autenticazione è impostata a Windows. Esaminiamo brevemente l autenticazione Windows e Passport e riserviamo una più ampia trattazione per il metodo di autenticazione più comunemente utilizzato: l autenticazione Forms. Autenticazione Windows Quando si utilizza l autenticazione Windows, ASP.NET opera in combinazione con IIS. L autenticazione reale viene eseguita da IIS, che utilizza uno dei suoi metodi di autenticazione: Basic, Digest o Integrated Windows. Quando IIS ha autenticato l utente, passa il token di sicurezza a ASP.NET. Se si è in modalità di autenticazione Windows, ASP.NET non esegue alcun passo ulteriore e si limita a utilizzare il token IIS per autorizzare l accesso alle risorse. Tipicamente, si utilizza il metodo di autenticazione Windows negli scenari intranet quando gli utenti della propria applicazione dispongono di account Windows che possono essere autenticati solo dal Web server. Si supponga di aver configurato il Web server per operare con la modalità di autenticazione Integrated Windows e di aver disabilitato l accesso anonimo. L applicazione ASP.NET opera in modalità di autenticazione Windows. Che accade quando un utente si connette all applicazione? Per prima cosa, IIS autentica l utente (mostrando una finestra di dialogo se l account dell utente locale non corrisponde ad alcun account del Web server o del dominio trusted) e poi passa il token di sicurezza a ASP.NET. Utilizzo di ACL per autorizzare l accesso Il più delle volte, l autenticazione Windows viene utilizzata in combinazione con l autorizzazione dei file, attraverso il modulo HTTP FileAuthorizationModule. Le pagine specifiche all utente nell applicazione Web possono essere protette da accesso non autorizzato utilizzando le access control list (ACL) sul file. Quando ASP.NET sta per accedere a una risorsa, il modulo HTTP FileAuthorizationModule viene chiamato in azione. L autorizzazione file esegue un controllo ACL sui file ASP.NET utilizzando l identità del chiamante. Ciò significa che, ad esempio, l utente Joe non sarà mai in grado di accedere a una pagina.aspx la cui ACL non ha una voce che lo riguarda. Si noti, tuttavia, che l autorizzazione file non richiede l impersonazione a livello ASP.NET e, aspetto ancor più importante, opera indipendentemente dal fatto che il flag di

14 818 Parte III Infrastruttura ASP.NET impersonazione sia attivato. In questa affermazione si cela una buona e una cattiva notizia. Le buona notizia è che una volta impostata una ACL configurata in modo appropriato su una risorsa ASP.NET, il più è fatto. Nessuno sarà in grado di accedere alla risorsa senza permesso. Ma cosa accade nel caso di risorse non-asp.net come i file locali? Ad esempio, come si può proteggere una pagina HTML da un accesso non autorizzato? La prima considerazione è che una pagina HTML raramente necessita di essere ad accesso protetto. Se si deve proteggere una pagina, vuol dire che la pagina molto probabilmente esegue anche del codice lato server. Perciò, implementandola come.aspx è comunque più utile. Ciò detto, per design le pagine HTML non vengono protette da un accesso non autorizzato poiché non vengono processate dalla pipeline ASP.NET. Se si vuole proteggerla, la miglior cosa da fare è rinominare la pagina come.aspx in modo che sia processata dal runtime ASP.NET. Nota Le pagine HTML e altre risorse possono comunque essere protette utilizzando i permessi NTFS. Se vengono impostati dei vincoli particolari su un file utilizzando i permessi NTFS, non vi è modo che possa accedere al file chiunque sia privo degli opportuni diritti. In alternativa, si può rinominare la pagina con una estensione custom e scrivere una esigua estensione Internet Server Application Programming Interface (ISAPI), o un handler HTTP managed, per implementare un meccanismo di autorizzazione ad hoc. Gli handler HTTP vengono discussi nel Capitolo 18. Nota L autenticazione Windows funziona anche con l autorizzazione URL implementata dal modulo HTTP denominato URLAuthorizationModule. Questo modulo concede o nega l accesso alle risorse URL a certi utenti e ruoli. (Parleremo in seguito di autorizzazione URL quando discuteremo di autenticazione Forms). Autenticazione Passport L autenticazione Passport è un servizio di autenticazione centralizzato gestito da Microsoft. Passport fornisce un modo per autenticare gli utenti su tutti i siti che partecipano all iniziativa. Gli utenti devono effettuare un singolo logon e, se autenticato con esito positivo, possono liberamente spostarsi in tutti i siti membri. Oltre al servizio di singolo logon, Passport offre anche dei servizi di base di profilazione ai siti membri. ASP.NET fornisce il modulo HTTP PassportAuthenticationModule per impostare l autenticazione per le applicazioni Web ospitate da siti membri Passport. Quando una richiesta HTTP giunge ad un sito Web Passport-abilitato, il modulo HTTP verifica se o meno la richiesta contiene un ticket Passport valido. In caso negativo, il Web server restituisce il codice di stato 302 e redirige il client al servizio Passport Logon. La query string contiene

15 Capitolo 17 Sicurezza in ASP.NET 819 le informazioni opportunamente crittografate sulla richiesta originale. Il client invia una richiesta GET al server di logon e passa la query string fornita. A questo punto, il server di logon Passport presenta al client un form HTML di logon. Dopo che l utente ha compilato il form, il form viene postato nuovamente al server di logon su un canale sicuro SSL. Il server di logon utilizza le informazioni del form per autenticare l utente e, in caso di esito positivo, crea un ticket Passport. Successivamente, l utente viene rediretto all URL originale e nella query string viene passato il ticket, crittografato. Infine, il browser esegue l istruzione di redirect e richiede nuovamente la risorsa originale, protetta da Passport. Questa volta, tuttavia, la richiesta contiene un ticket valido e il modulo PassportAuthenticationModule permetterà alla richiesta di passare. Nota Il.NET Framework 3.0 contiene un nuova tecnologia che può essere utilizzata con siti Web ASP.NET per autenticare gli utenti: Windows CardSpace. Qualsiasi pagina che comprende l oggetto Identity Selector, utilizza le carte di identità dell utente connesso per inviare le credenziali al server. Ciascuno può gestire le proprie carte utilizzando l applet Windows CardSpace del Pannello di Controllo di una macchina Windows Vista (o di qualsiasi altra macchina client dotata del.net Framework 3.0 o versioni successive). Identity Selector è un tag <object> di tipo application/x-informationcard. Richiedendo la proprietà value di questo oggetto, si impone a un browser abilitato (ad es., Internet Explorer 7.0) di mostrare l applet CardSpace. L utente poi seleziona la carta corretta da inviare. La pagina di login lato server accederà poi al contenuto della carta e farà ogni controllo necessario per autorizzare la richiesta. Se ampiamente accettato, Windows CardSpace sarebbe lo strumento perfetto di autenticazione su Internet. Per ulteriori informazioni, si può leggere la documentazione MSDN online di Windows CardSpace. Un buon punto da cui partire è il sito Web di Windows CardSpace Utilizzo dell autenticazione Forms Sia l autenticazione Windows sia l autenticazione Passport sono raramente pratiche per le applicazioni Internet reali. L autenticazione Windows si basa sugli account Windows e sui token ACL NTFS e, in quanto tale, assume che i client si stiano connettendo da macchine Windows. Utile ed efficace negli scenari intranet e probabilmente in alcuni scenari extranet, l autenticazione Windows è semplicemente non realistica nelle situazioni più comuni poiché agli utenti dell applicazione Web è richiesto un account Windows nel dominio dell applicazione. La stessa conclusione si applica all autenticazione Passport, benché per motivi differenti. Passport non è gratuito, richiede l implementazione di serie misure di sicurezza (anch esse non gratuite e non necessariamente necessarie su tutti i siti), e ha senso prevalentemente per siti Web di e-commerce e siti in co-branding. Allora qual è il meccanismo di autenticazione ideale per i reali sviluppatori Web? Una best-practice di programmazione Web raccomanda di inserire del codice relativamente standard all inizio di ciascuna pagina non pubblica e di redirigere l utente a una pagina di login. Nella pagina di login, all utente vengono richieste le credenziali e viene rediretto alla pagina richiesta in origine, se autenticato con esito positivo. Questo codice non

16 820 Parte III Infrastruttura ASP.NET è esattamente di difficoltà stratosferica, ma è comunque codice da scrivere da sé e da riutilizzare ripetutamente. L autenticazione Forms è semplicemente l infrastruttura ASP.NET nativa per implementare il suddetto pattern di login. Ad oggi, l autenticazione Forms è la scelta ideale (direi la sola scelta) ogni qualvolta sia necessario raccogliere le credenziali utente e processarle internamente: ad esempio, rispetto a un database di account utente. Il pattern di login implementato dall autenticazione Forms non sembra radicalmente differente dall autenticazione Windows e Passport. La principale differenza è che con l autenticazione Forms tutto accade sotto il rigido controllo dell applicazione. Per impostare una applicazione ASP.NET all utilizzo della autenticazione Forms si interviene nel file web.config root, inserendo il seguente script: <system.web> <authentication mode= Forms > <forms loginurl= login.aspx /> </authentication> <authorization> <deny users=? /> </authorization> </system.web> La sezione <authentication> indica l URL del form di login definito dall utente. ASP.NET visualizza il form solo agli utenti a cui è stato esplicitamente negato l accesso nella sezione <authorization>. Il simbolo? indica qualsiasi utente anonimo non autenticato. Si noti che qui l utente anonimo non è l utente anonimo di IIS ma è semplicemente un utente che non è stato autenticato attraverso il vostro form di login. Gli utenti bloccati vengono rediretti alla pagina di login, dove gli viene richiesto di inserire le credenziali. Nota Il meccanismo di autenticazione Forms protegge qualsiasi risorsa ASP.NET posizionata in una cartella per cui è abilitata l autenticazione e l autorizzazione Forms. Si noti che vengono protetti solo i tipi di risorsa gestiti esplicitamente da ASP.NET. L elenco comprende i file.aspx,.asmx e.ashx, ma non le semplici pagine HTML o le pagine ASP classico. In IIS 7.0, tuttavia, vengono forniti gli strumenti per modificare ciò impostando un file web.config a livello di Web server in cui si assegnano nuove risorse all handler HTTP standard ASP.NET. Flusso di controllo dell autenticazione Forms L autenticazione basata su Form è regolata da un modulo HTTP implementato nella classe FormsAuthenticationModule. Il comportamento del componente è pilotato dal contenuto del file web.config. Quando il browser tenta di accedere a una risorsa protetta, il modulo entra in azione e tenta di individuare un ticket di autenticazione del chiamante. In ASP.NET 1.x, un ticket è semplicemente un cookie con un nome particolare (configurabile).

17 Capitolo 17 Sicurezza in ASP.NET 821 In ASP.NET 2.0 e nelle versioni successive, può essere configurato per essere un valore inglobato nell URL (autenticazione Forms senza cookie). Se non viene trovato un ticket valido, il modulo redirige la richiesta a una pagina di login. Le informazioni sulla pagina di provenienza vengono poste nella query string. La pagina di login viene quindi visualizzata. Il programmatore crea questa pagina, che, come minimo, contiene le textbox per il nome utente e la password e un pulsante per l invio delle credenziali. L handler dell evento clic del pulsante valida le credenziali utilizzando un algoritmo e un datastore specifici dell applicazione. Se le credenziali vengono autenticate, il codice utente redirige il browser all URL originale. L URL originale è allegata alla query string della richiesta della pagina di login, come è mostrato qui: Autenticare un utente significa che un ticket di autenticazione viene inviato allegato alla richiesta. Quando il browser effettua la seconda richiesta di quella pagina, il modulo HTTP recupera il ticket di autenticazione e permette alla richiesta di passare. Vediamo come opera in pratica l autenticazione basata su form e consideriamo uno scenario in cui agli utenti non è permesso connettersi in modo anonimo alle pagine dell applicazione. L utente digita l URL della pagina, ad esempio welcome.aspx, e procede. Di conseguenza, il modulo HTTP redirige alla pagina di login qualsiasi utente privo del ticket di autenticazione, come è mostrato nella Figura Figura 17-3 La pagina di login dell applicazione d esempio. Importante Esistono dei problemi intrinseci di sicurezza che si manifestano con l autenticazione Forms relativa al fatto che i dati vengono trasmessi come testo in chiaro. Sfortunatamente, con l attuale tecnologia dei browser questi potenziali problemi di sicurezza possono essere rimossi solo ricorrendo ai canali sicuri (HTTPS). Tornerò su questo argomento in seguito nel paragrafo Problemi generali di sicurezza.

18 822 Parte III Infrastruttura ASP.NET Raccolta delle credenziali attraverso il login Il layout di una pagina di login è pressoché sempre lo stesso: un paio di textbox per inserire nome utente e password, un pulsante per confermare, e probabilmente un etichetta per visualizzare i messaggi d errore. Tuttavia, si può renderla anche più complessa, se necessario, e aggiungere anche degli elementi grafici appropriati. L utente inserisce le credenziali, tipicamente in modo casesensitive, e poi clicca il pulsante per effettuare il logon. Quando la pagina di login effettua il postback, viene eseguito il seguente codice: void LogonUser(object sender, EventArgs e) { string user = username.text; string pswd = password.text; } // Autenticazione personalizzata bool bauthenticated = AuthenticateUser(user, pswd); if (bauthenticated) FormsAuthentication.RedirectFromLoginPage(user, false); else errormsg.text = Sorry, yours seems not to be a valid account. ; L handler dell evento recupera le stringhe digitate nei campi nome utente e password e invoca una funzione locale denominata AuthenticateUser. La funzione verifica le credenziali fornite e restituisce un valore Boolean. Se l utente è stato autenticato con esito positivo, il codice invoca il metodo statico RedirectFromLoginPage della classe FormsAuthentication per informare il browser che è il momento di inviare una nuova richiesta alla pagina originale. Il metodo RedirectFromLoginPage redirige un utente autenticato nuovamente all URL richiesta in origine. Questo metodo ha due overload con i seguenti prototipi: public static void RedirectFromLoginPage(string, bool); public static void RedirectFromLoginPage(string, bool, string); Il primo argomento è il nome dell utente da memorizzare nel ticket di autenticazione. Il secondo argomento è un valore Boolean che denota la durata del cookie, eventuale, che viene creato per il ticket di autenticazione. Se questo argomento è true, al cookie viene attribuita una durata pari al numero di minuti impostato dall attributo timeout (che per default è 30 minuti). In questo modo, si ottiene un cookie che persiste tra le sessioni del browser. Altrimenti il vostro cookie di autenticazione durerà solo per la sessione corrente. Infine, il terzo argomento (opzionale) specifica il percorso del cookie. Autenticazione dell utente L algoritmo di autenticazione, cioè il codice all interno del metodo AuthenticateUser visto prima, è compito dello sviluppatore. Ad esempio, si potrebbero voler controllare le credenziali su un database o su qualsiasi altro dispositivo di memorizzazione definito dall utente. Il listato seguente mostra una funzione che confronta nome utente e password con le colonne firstname e lastname della

19 Capitolo 17 Sicurezza in ASP.NET 823 tabella Northwind Employees di SQL Server: private bool AuthenticateUser(string username, string pswd) { // Qui esegue l autenticazione string connstring =... ; string cmdtext = SELECT COUNT(*) FROM employees + WHERE AND ; } int found = 0; using(sqlconnection conn = new SqlConnection(connString)) { SqlCommand cmd = new SqlCommand(cmdText, conn); SqlDbType.VarChar, 10).Value = username; SqlDbType.VarChar, 20).Value = pswd; conn.open(); found = (int)cmd.executescalar(); conn.close(); } return (found > 0); La query è configurata per restituire un intero che rappresenta il numero di righe della tabella che corrispondono al nome utente e alla password specificata. Si noti l utilizzo dei parametri tipizzati e dimensionati nel comando SQL come forma di difesa contro una possibile iniezione di codice subdolo. Si noti anche che il codice SQL appena mostrato non supporta le password forti poiché l operatore SQL = della clausola WHERE non esegue confronti case-sensitive. Per prendere provvedimenti su ciò, si dovrà riscrivere il comando come segue: SELECT COUNT(*) FROM employees WHERE CAST(RTRIM(firstname) AS AS VarBinary) AND CAST(RTRIM(lastname) AS AS VarBinary) L operatore CAST converte il valore nella relativa rappresentazione binaria, mentre l operatore RTRIM rimuove gli spazi in coda. La Figura 17-4 mostra la pagina dell applicazione dopo che l utente è stato autenticato con esito positivo.

20 824 Parte III Infrastruttura ASP.NET Figura 17-4 L utente è stato autenticato, e il nome viene mostrato nell interfaccia utente. La pagina welcome.aspx è costituita dal seguente codice sorgente, abbastanza semplice: Page Language= C# CodeFile= Welcome.aspx.cs Inherits= Welcome %> <html><body> <form id= form1 runat= server > <h1>welcome, <%=User.Identity.Name %></h1> </form> </body></html> Sign-out Mentre un login esplicito è sempre richiesto dai siti Web che richiedono una autenticazione, un logout esplicito è meno comune ma nondimeno legittimo. Il modulo di autenticazione Forms fornisce un metodo esplicito per effettuare il sign-out. Il metodo SignOut della classe FormsAuthentication non ha argomenti e reimposta il ticket di autenticazione. In particolare, quando vengono utilizzati i cookie, il metodo SignOut rimuove il ticket corrente dalla collection Cookies dell oggetto HttpResponse corrente e lo sostituisce con un cookie vuoto e scaduto. Dopo l invocazione a SignOut, si può redirigere l applicazione ad un altra pagina: ad esempio, alla home page. Per farlo, non è necessario redirigere il browser, ma finché la pagina è pubblicamente accessibile, si può utilizzare il più efficiente metodo Server.Transfer che abbiamo descritto nel Capitolo 14. void Signout(object sender, EventArgs e) { FormsAuthentication.SignOut(); Server.Transfer( home.aspx ); } A partire da ASP.NET 2.0, la classe FormsAuthentication ha un nuovo metodo, RedirectToLoginPage, che fornisce la funzionalità descritta, eccetto che utilizza Response.Redirect invece di Server.Transfer. Abbiamo trattato appena i fondamenti dell autenticazione Forms, ma non abbiamo ancora trattato alcun dettaglio dell API di programmazione che troviamo in ASP.NET. Prima di passare a ciò, è importante dare un occhiata ai metodi della classe FormsAuthentication

Sistemi informativi e Telemedicina Anno Accademico 2008-2009 Prof. Mauro Giacomini

Sistemi informativi e Telemedicina Anno Accademico 2008-2009 Prof. Mauro Giacomini Sistemi informativi e Telemedicina Anno Accademico 2008-2009 Prof. Mauro Giacomini Concetti di base Tre funzioni fondamentali: Autenticazione: riceve le credenziali, le verifica presso un autorità, se

Dettagli

Corso di Web programming Modulo T3 A2 - Web server

Corso di Web programming Modulo T3 A2 - Web server Corso di Web programming Modulo T3 A2 - Web server 1 Prerequisiti Pagine statiche e dinamiche Pagine HTML Server e client Cenni ai database e all SQL 2 1 Introduzione In questa Unità si illustra il concetto

Dettagli

maildocpro Manuale Installazione

maildocpro Manuale Installazione maildocpro Manuale Installazione versione 3.4 maildocpro Manuale Installazione - Versione 3.4 1 Indice Indice... 2 Creazione database... 3 Database: MAILDOCPRO... 3 Database: SILOGONWEB... 5 Configurazione

Dettagli

FileMaker 12. Guida di Pubblicazione Web Immediata

FileMaker 12. Guida di Pubblicazione Web Immediata FileMaker 12 Guida di Pubblicazione Web Immediata 2004 2012 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker e Bento sono marchi

Dettagli

2009. STR S.p.A. u.s. Tutti i diritti riservati

2009. STR S.p.A. u.s. Tutti i diritti riservati 2009. STR S.p.A. u.s. Tutti i diritti riservati Sommario COME INSTALLARE STR VISION CPM... 3 Concetti base dell installazione Azienda... 4 Avvio installazione... 4 Scelta del tipo Installazione... 5 INSTALLAZIONE

Dettagli

Gli XML Web Service. Prof. Mauro Giacomini. Complementi di Informatica Medica 2008/2009 1

Gli XML Web Service. Prof. Mauro Giacomini. Complementi di Informatica Medica 2008/2009 1 Gli XML Web Service Prof. Mauro Giacomini Medica 2008/2009 1 Definizioni i i i Componente.NET che risponde a richieste HTTP formattate tramite la sintassi SOAP. Gestori HTTP che intercettano richieste

Dettagli

Esercitazione 8. Basi di dati e web

Esercitazione 8. Basi di dati e web Esercitazione 8 Basi di dati e web Rev. 1 Basi di dati - prof. Silvio Salza - a.a. 2014-2015 E8-1 Basi di dati e web Una modalità tipica di accesso alle basi di dati è tramite interfacce web Esiste una

Dettagli

Indice generale. Parte I Anatomia del Web...21. Introduzione...xiii

Indice generale. Parte I Anatomia del Web...21. Introduzione...xiii Indice generale Introduzione...xiii Capitolo 1 La sicurezza nel mondo delle applicazioni web...1 La sicurezza delle informazioni in sintesi... 1 Primi approcci con le soluzioni formali... 2 Introduzione

Dettagli

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

Session tracking Session tracking HTTP: è stateless, cioè non permette di associare una sequenza di richieste ad un dato utente. Ciò vuol dire che, in generale, se un browser richiede una specifica pagina

Dettagli

ProgettAzione V anno Unità 3 - Architetture per applicazioni web Lezione: Esempio sviluppo applicazioni

ProgettAzione V anno Unità 3 - Architetture per applicazioni web Lezione: Esempio sviluppo applicazioni Unità 3 - Architetture per applicazioni web Lezione: Esempio sviluppo applicazioni Web service Hello world con Visual Studio 2012 Si tratta di un semplice esempio di web service, infatti come tutti I programmi

Dettagli

Versione software 1.0 di ConnectKey Share to Cloud Aprile 2013. Xerox ConnectKey Share to Cloud Manuale dell utente/ dell amministratore

Versione software 1.0 di ConnectKey Share to Cloud Aprile 2013. Xerox ConnectKey Share to Cloud Manuale dell utente/ dell amministratore Versione software 1.0 di ConnectKey Share to Cloud Aprile 2013 Xerox ConnectKey Share to Cloud Manuale dell utente/ dell amministratore 2013 Xerox Corporation. Tutti i diritti riservati. Xerox, Xerox and

Dettagli

FileMaker Pro 12. Guida di FileMaker Server

FileMaker Pro 12. Guida di FileMaker Server FileMaker Pro 12 Guida di FileMaker Server 2007 2012 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker è un marchio di FileMaker,

Dettagli

MEGA Advisor Architecture Overview MEGA 2009 SP5

MEGA Advisor Architecture Overview MEGA 2009 SP5 Revisione: August 22, 2012 Creazione: March 31, 2010 Autore: Jérôme Horber Contenuto Riepilogo Il documento descrive i requisiti sistema e le architetture di implementazione possibili per MEGA Advisor.

Dettagli

Laboratorio di reti II: Problematiche di sicurezza delle reti

Laboratorio di reti II: Problematiche di sicurezza delle reti Laboratorio di reti II: Problematiche di sicurezza delle reti Stefano Brocchi brocchi@dsi.unifi.it 30 maggio, 2008 Stefano Brocchi Laboratorio di reti II: Sicurezza web 30 maggio, 2008 1 / 43 La sicurezza

Dettagli

Guida all uso. Instant Cloud Platform As A Service

Guida all uso. Instant Cloud Platform As A Service Guida all uso Instant Cloud Platform As A Service Prima edizione maggio 2014 Instant Cloud Platform As A Service Sommario Instant Cloud - Platform As A Service... 4 1 Introduzione... 4 2 Instant Cloud...

Dettagli

Console di Amministrazione Centralizzata Guida Rapida

Console di Amministrazione Centralizzata Guida Rapida Console di Amministrazione Centralizzata Contenuti 1. Panoramica... 2 Licensing... 2 Panoramica... 2 2. Configurazione... 3 3. Utilizzo... 4 Gestione dei computer... 4 Visualizzazione dei computer... 4

Dettagli

Biotrends - Istruzioni per il Setup

Biotrends - Istruzioni per il Setup Biotrends - Istruzioni per il Setup Procedura Operativa Standard Autore Data Firma Francesco Izzo 22.08.2009 Approvato da Data Firma Mauro Pedrazzoli Storia delle edizioni Ed Descrizione Autore Dipartimento/Servizio

Dettagli

Consulenza Informatica ======================================================================= Introduzione. Documentazione tecnica

Consulenza Informatica ======================================================================= Introduzione. Documentazione tecnica Introduzione Le novità che sono state introdotte nei terminal services di Windows Server 2008 sono davvero tante ed interessanti, sotto tutti i punti di vista. Chi già utilizza i Terminal Services di Windows

Dettagli

Indice register_globals escaping

Indice register_globals escaping 1 Indice La sicurezza delle applicazioni web Le vulnerabilità delle applicazioni web La sicurezza in PHP: La direttiva register_globals Filtrare l'input Filtrare l'output (escaping) SQL Injection Cross

Dettagli

hottimo procedura di installazione

hottimo procedura di installazione hottimo procedura di installazione LATO SERVER Per un corretto funzionamento di hottimo è necessario in primis installare all interno del server, Microsoft Sql Server 2008 (Versione minima Express Edition)

Dettagli

Networking Wireless con Windows XP

Networking Wireless con Windows XP Networking Wireless con Windows XP Creare una rete wireless AD HOC Clic destro su Risorse del computer e quindi su Proprietà Clic sulla scheda Nome computer e quindi sul pulsante Cambia Digitare il nome

Dettagli

Guida Utente della PddConsole. Guida Utente della PddConsole

Guida Utente della PddConsole. Guida Utente della PddConsole Guida Utente della PddConsole i Guida Utente della PddConsole Guida Utente della PddConsole ii Copyright 2005-2015 Link.it srl Guida Utente della PddConsole iii Indice 1 Introduzione 1 2 I protocolli di

Dettagli

Guida Utente della PddConsole. Guida Utente della PddConsole

Guida Utente della PddConsole. Guida Utente della PddConsole Guida Utente della PddConsole i Guida Utente della PddConsole Guida Utente della PddConsole ii Copyright 2005-2014 Link.it srl Guida Utente della PddConsole iii Indice 1 Introduzione 1 2 I protocolli di

Dettagli

Installazione del software - Sommario

Installazione del software - Sommario Guida introduttiva Installazione del software - Sommario Panoramica sulla distribuzione del software CommNet Server Windows Cluster Windows - Virtual Server CommNet Agent Windows Cluster Windows - Virtual

Dettagli

Monitoraggio di outsourcer e consulenti remoti

Monitoraggio di outsourcer e consulenti remoti 1 Monitoraggio di outsourcer e consulenti remoti Un Whitepaper di Advanction e ObserveIT Daniel Petri 2 Sommario Esecutivo Nel presente whitepaper verrà mostrato come registrare le sessioni remote su gateway

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Manuale di Integrazione IdM-RAS

Manuale di Integrazione IdM-RAS IdM-RAS Data: 30/11/09 File: Manuale di integrazione IdM-RAS.doc Versione: Redazione: Sardegna IT IdM-RAS Sommario 1 Introduzione... 3 2 Architettura del sistema... 4 2.1 Service Provider... 4 2.2 Local

Dettagli

Guida all installazione di SWC701DataWebAccess (.net 2.0)

Guida all installazione di SWC701DataWebAccess (.net 2.0) Guida all installazione di SWC701DataWebAccess (.net 2.0) (per la versione 2.04 e successive di SWC701DataWebAccess) Premessa... 2 Introduzione... 2 Sistemi operativi supportati... 3 Installazione di SWC701DataWebAccess...

Dettagli

Identity Access Management nel web 2.0

Identity Access Management nel web 2.0 Identity Access Management nel web 2.0 Single Sign On in applicazioni eterogenee Carlo Bonamico, NIS s.r.l. carlo.bonamico@nispro.it 1 Sommario Problematiche di autenticazione in infrastrutture IT complesse

Dettagli

STARBYTES è il servizio di lavoro on line realizzato da Reply Spa.

STARBYTES è il servizio di lavoro on line realizzato da Reply Spa. PRIVACY POLICY Le seguenti previsioni relative al trattamento dei dati personali sono indirizzate a tutti gli Utenti del sito www.starbytes.it ("Sito"), coerentemente con quanto previsto dal relativo Regolamento

Dettagli

Single Sign On sul web

Single Sign On sul web Single Sign On sul web Abstract Un Sigle Sign On (SSO) è un sistema di autenticazione centralizzata che consente a un utente di fornire le proprie credenziali una sola volta e di accedere a molteplici

Dettagli

Comando Generale Arma dei Carabinieri

Comando Generale Arma dei Carabinieri Comando Generale Arma dei Carabinieri Configurazioni per il collegamento al CONNECTRA Si Applica a: Windows 2000 sp4; Windows XP sp2; Data: 03 settembre 2007 Numero Revisione: 2.1 Configurazione per il

Dettagli

DNNCenter. Installazione standard di DotNetNuke 5. per Windows Vista. Installazione Standard DotNetNuke 5 per Windows Vista

DNNCenter. Installazione standard di DotNetNuke 5. per Windows Vista. Installazione Standard DotNetNuke 5 per Windows Vista DNNCenter Installazione standard di DotNetNuke 5 per Windows Vista Copyright OPSI Srl www.opsi.it Pag. 1 of 28 INDICE 1. INTRODUZIONE... 3 1.1. Pre-requisiti... 3 2. DOWNLOAD DOTNETNUKE... 4 2.1. Download

Dettagli

DS80KT1J-004 Gestione Famiglia serie MB10. Web Server Guida all impostazione

DS80KT1J-004 Gestione Famiglia serie MB10. Web Server Guida all impostazione DS80KT1J-004 Gestione Famiglia serie MB10 Web Server Guida all impostazione Le informazioni contenute in questo documento sono state raccolte e controllate con cura, tuttavia la società non può essere

Dettagli

Aspetti avanzati di Microsoft IIS: Caratteristiche e Amministrazione Amministrazione di IIS

Aspetti avanzati di Microsoft IIS: Caratteristiche e Amministrazione Amministrazione di IIS Pagina 1 di 12 Aspetti avanzati di Microsoft IIS: Caratteristiche e Amministrazione Amministrazione di IIS Il server Web è un processo sempre attivo che ascolta richieste HTTP su una porta (80 per default).

Dettagli

Windows XP - Account utente e gruppi

Windows XP - Account utente e gruppi Windows XP - Account utente e gruppi Cos è un account utente In Windows XP il controllo di accesso è essenziale per la sicurezza del computer e dipende in gran parte dalla capacità del sistema di identificare

Dettagli

Nuvola It Data Space

Nuvola It Data Space MANUALE UTENTE INDICE 1. Descrizione servizio... 3 1.1. Informazioni sul servizio di Telecom Italia... 3 1.2. Ruoli e Autenticazione per il servizio di Telecom Italia... 3 1.3. Strumenti... 5 1.4. Documentazione...

Dettagli

Accessi remoti sicuri alle risorse di rete aziendali La tecnologia PortWise

Accessi remoti sicuri alle risorse di rete aziendali La tecnologia PortWise Accessi remoti sicuri alle risorse di rete aziendali La tecnologia PortWise Nasce nel 1990 come distributore esclusivo della tecnologia F-Prot (ora F-Secure) Da più di 15 anni focalizzata SOLO nell ambito

Dettagli

Obiettivo dell esercitazione

Obiettivo dell esercitazione Database e Web - Esercitazioni ASP - Andrea Proli proliand@csr.unibo.it Laboratorio di Basi di Dati A.A. 2005/2006 Obiettivo dell esercitazione L obiettivo finale dell esercitazione è quello di creare

Dettagli

Procedure Web Oracle 9iAS. Manuale di Installazione Client

Procedure Web Oracle 9iAS. Manuale di Installazione Client Indice e Sommario Installazione componenti... 3 Installazione Jinitiator 1.3.1.13... 3 Installazione certificato applicativo... 5 Installazione di Acrobat Reader... 6 Installazione JAVA 6 Update 13 (Solo

Dettagli

Architetture per le applicazioni web-based. Mario Cannataro

Architetture per le applicazioni web-based. Mario Cannataro Architetture per le applicazioni web-based Mario Cannataro 1 Sommario Internet e le applicazioni web-based Caratteristiche delle applicazioni web-based Soluzioni per l architettura three-tier Livello utente

Dettagli

Manuale di integrazione di Management Reporter per Microsoft Dynamics AX

Manuale di integrazione di Management Reporter per Microsoft Dynamics AX Microsoft Dynamics Manuale di integrazione di Management Reporter per Microsoft Dynamics AX Ottobre 2012 Per gli aggiornamenti di questa documentazione, visitare il sito all'indirizzo seguente: http://go.microsoft.com/fwlink/?linkid=162565

Dettagli

BIMPublisher Manuale Tecnico

BIMPublisher Manuale Tecnico Manuale Tecnico Sommario 1 Cos è BIMPublisher...3 2 BIM Services Console...4 3 Installazione e prima configurazione...5 3.1 Configurazione...5 3.2 File di amministrazione...7 3.3 Database...7 3.4 Altre

Dettagli

Gestione del database Gidas

Gestione del database Gidas Gestione del database Gidas Manuale utente Aggiornamento 20/06/2013 Cod. SWUM_00535_it Sommario 1. Introduzione... 3 2. Requisiti e creazione del Database Gidas... 3 2.1.1. SQL Server... 3 2.1.2. Requisiti

Dettagli

Guida rapida a Laplink Everywhere 4

Guida rapida a Laplink Everywhere 4 Guida rapida a Laplink Everywhere 4 081005 Come contattare Laplink Software Per sottoporre domande o problemi di carattere tecnico, visitare il sito: www.laplink.com/it/support/individual.asp Per altre

Dettagli

BavInAzienda. Manuale di Attivazione. Edizione Maggio 2010

BavInAzienda. Manuale di Attivazione. Edizione Maggio 2010 BavInAzienda Manuale di Attivazione Edizione Maggio 2010 Manuale Attivazione BavInAzienda - Maggio 2010 INDICE 1. Requisiti preliminari 3 2. Dati per l accesso al servizio 3 3. Istruzioni per l attivazione

Dettagli

Auditing di Eventi. Daniele Di Lucente

Auditing di Eventi. Daniele Di Lucente Auditing di Eventi Daniele Di Lucente Un caso che potrebbe essere reale Un intruso è riuscito a penetrare nella rete informatica della società XYZ. Chi è l intruso? Come ha fatto ad entrare? Quali informazioni

Dettagli

Perchè utilizzare un'autorità di certificazione

Perchè utilizzare un'autorità di certificazione Una generica autorità di certificazione (Certification Authority o più brevemente CA) è costituita principalmente attorno ad un pacchetto software che memorizza i certificati, contenenti le chiavi pubbliche

Dettagli

Nel presente documento viene descritto il processo di installazione e configurazione del client 4Copy su una generica piattaforma Windows XP.

Nel presente documento viene descritto il processo di installazione e configurazione del client 4Copy su una generica piattaforma Windows XP. Nota: Nel presente documento viene descritto il processo di installazione e configurazione del client 4Copy su una generica piattaforma Windows XP. Capitolo 1 Installazione del Client... 2 Download del

Dettagli

BitDefender Client Security e Soluzioni BitDefender Windows Server

BitDefender Client Security e Soluzioni BitDefender Windows Server BitDefender Client Security e Soluzioni BitDefender Windows Server Guida Rapida all'installazione Diritto d'autore 2010 BitDefender; 1. Panoramica dell'installazione Grazie per aver scelto le soluzioni

Dettagli

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report

McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report McDonald's Wi-Fi Login System by BT Italia S.p.A. Multiple Vulnerabilities Report Sommario Introduzione...3 Lista delle Vulnerabilità...3 Descrizione delle vulnerabilità...3 XSS...3 Captcha...4 Login...5

Dettagli

COOKIES PRIVACY POLICY. Il sito web di. Onoranze funebri Castiglioni di Castiglioni A. Via Valle 11 46040 Cavriana Mantova

COOKIES PRIVACY POLICY. Il sito web di. Onoranze funebri Castiglioni di Castiglioni A. Via Valle 11 46040 Cavriana Mantova COOKIES PRIVACY POLICY Il sito web di Onoranze funebri Castiglioni di Castiglioni A. Via Valle 11 46040 Cavriana Mantova Titolare, ex art. 28 d.lgs. 196/03, del trattamento dei Suoi dati personali La rimanda

Dettagli

QUICK START GUIDE F640

QUICK START GUIDE F640 QUICK START GUIDE F640 Rev 1.0 PARAGRAFO ARGOMENTO PAGINA 1.1 Connessione dell apparato 3 1.2 Primo accesso all apparato 3 1.3 Configurazione parametri di rete 4 2 Gestioni condivisioni Windows 5 2.1 Impostazioni

Dettagli

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

GestPay Specifche tecniche sicurezza con OTP

GestPay Specifche tecniche sicurezza con OTP Documento: GestPay - Specifiche tecniche sicurezza con OTP GestPay Specifche tecniche sicurezza con OTP Pagina 1 di 33 Documento: GestPay - Specifiche tecniche sicurezza con OTP Sommario Informazioni documento...

Dettagli

FileMaker Server 12. Guida introduttiva

FileMaker Server 12. Guida introduttiva FileMaker Server 12 Guida introduttiva 2007 2012 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker e Bento sono marchi di FileMaker,

Dettagli

SOLUZIONE SECONDA PROVA INFORMATICA ITC ESAME DI STATO 2002/2003 TRAMONTANA

SOLUZIONE SECONDA PROVA INFORMATICA ITC ESAME DI STATO 2002/2003 TRAMONTANA Esame di Stato Istituto Tecnico Commerciale CORSO SPERIMENTALE Progetto "MERCURIO" Indirizzo: PROGRAMMATORI Soluzione della Seconda Prova - Tema di: INFORMATICA Anno Scolastico: 2002-2003 Riflessioni e

Dettagli

Attacchi alle Applicazioni Web

Attacchi alle Applicazioni Web Attacchi alle Applicazioni Web http://www.infosec.it info@infosec.it Relatore: Matteo Falsetti Webbit03 Attacchi alle Applicazioni Web- Pagina 1 Applicazioni web: definizioni, scenari, rischi ICT Security

Dettagli

Manuale Operativo. Istituto Nazionale Previdenza Sociale DIREZIONE CENTRALE SISTEMI INFORMATIVI E TELECOMUNICAZIONI

Manuale Operativo. Istituto Nazionale Previdenza Sociale DIREZIONE CENTRALE SISTEMI INFORMATIVI E TELECOMUNICAZIONI Manuale Operativo Istruzioni per l utilizzo del Software di controllo uniemens aggregato per l invio mensile unificato delle denunce retributive individuali (EMENS) e delle denunce contributive aziendali

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

Siti interattivi e dinamici. in poche pagine

Siti interattivi e dinamici. in poche pagine Siti interattivi e dinamici in poche pagine 1 Siti Web interattivi Pagine Web codificate esclusivamente per mezzo dell HTML non permettono alcun tipo di interazione con l utente, se non quella rappresentata

Dettagli

Obiettivi d esame PHP Developer Fundamentals on MySQL Environment

Obiettivi d esame PHP Developer Fundamentals on MySQL Environment Obiettivi d esame PHP Developer Fundamentals on MySQL Environment 1.0 Ambiente di sviluppo 1.1 Web server e database MySQL Comprendere la definizione dei processi che si occupano di fornire i servizi web

Dettagli

Java Security Model e RMI

Java Security Model e RMI Java Security Model e RMI Da Java 2 in poi la politica di sicurezza di Java impone all utente di definire espressamente i permessi di cui deve disporre un applicazione. Tali permessi definiscono una sandbox,

Dettagli

Integrazione alla guida utente 1

Integrazione alla guida utente 1 RELEASE Versione 20090300 Applicativo: TeamPortal Oggetto: Rilascio versione completa Versione: 20090300 (Versione completa) Data di rilascio: 23.10.2009 Requisiti ambiente Windows Windows Versione 2000

Dettagli

FileMaker. Guida all installazione e alle nuove caratteristiche. per FileMaker Pro 8.5 e FileMaker Pro 8.5 Advanced

FileMaker. Guida all installazione e alle nuove caratteristiche. per FileMaker Pro 8.5 e FileMaker Pro 8.5 Advanced FileMaker all installazione e alle nuove caratteristiche per FileMaker Pro 8.5 e FileMaker Pro 8.5 Advanced 2005-2006 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc., 5201 Patrick Henry Drive

Dettagli

Uso sicuro del web Navigare in siti sicuri

Uso sicuro del web Navigare in siti sicuri Uso sicuro del web Navigare in siti sicuri La rete internet, inizialmente, era concepita come strumento di ricerca di informazioni. L utente esercitava un ruolo passivo. Non interagiva con le pagine web

Dettagli

Standard. Guida all installazione

Standard. Guida all installazione Standard Guida all installazione 1 2 3 4 5 Controlli precedenti all installazione Installazione Creazione di utenti e installazione rapida Esempi di utilizzo e impostazioni Appendice Si raccomanda di leggere

Dettagli

FileMaker 13. Guida di WebDirect

FileMaker 13. Guida di WebDirect FileMaker 13 Guida di WebDirect 2014 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 Stati Uniti FileMaker e Bento sono marchi di FileMaker,

Dettagli

UNIVERSITÀ DEGLI STUDI DI TRENTO DOCUMENTO ELETTRONICO, FIRMA DIGITALE E SICUREZZA IN RETE.

UNIVERSITÀ DEGLI STUDI DI TRENTO DOCUMENTO ELETTRONICO, FIRMA DIGITALE E SICUREZZA IN RETE. UNIVERSITÀ DEGLI STUDI DI TRENTO DOCUMENTO ELETTRONICO, FIRMA DIGITALE E SICUREZZA IN RETE. ENTRUST/PKI 6.0 MANUALE PER L UTENTE. A cura di: Eleonora Brioni, Direzione Informatica e Telecomunicazioni ATI

Dettagli

Guida ai Servizi Internet per il Referente Aziendale

Guida ai Servizi Internet per il Referente Aziendale Guida ai Servizi Internet per il Referente Aziendale Indice Indice Introduzione...3 Guida al primo accesso...3 Accessi successivi...5 Amministrazione dei servizi avanzati (VAS)...6 Attivazione dei VAS...7

Dettagli

Corso BusinessObjects SUPERVISOR

Corso BusinessObjects SUPERVISOR Corso BusinessObjects SUPERVISOR Il modulo SUPERVISOR permette di: impostare e gestire un ambiente protetto per prodotti Business Objects distribuire le informazioni che tutti gli utenti dovranno condividere

Dettagli

Introduzione ad Active Directory. Orazio Battaglia

Introduzione ad Active Directory. Orazio Battaglia Introduzione ad Active Directory Orazio Battaglia Introduzione al DNS Il DNS (Domain Name System) è un sistema utilizzato per la risoluzione dei nomi dei nodi della rete (host) in indirizzi IP e viceversa.

Dettagli

Progettazione: Tecnologie e ambienti di sviluppo

Progettazione: Tecnologie e ambienti di sviluppo Contratto per l acquisizione di servizi di Assistenza specialistica per la gestione e l evoluzione del patrimonio software della Regione Basilicata. Repertorio n. 11016 del 25/09/2009 Progettazione: Tecnologie

Dettagli

Guida pratica all utilizzo di Zeroshell

Guida pratica all utilizzo di Zeroshell Guida pratica all utilizzo di Zeroshell Il sistema operativo multifunzionale creato da Fulvio.Ricciardi@zeroshell.net www.zeroshell.net Proteggere una piccola rete con stile ( Autore: cristiancolombini@libero.it

Dettagli

Guida all Utilizzo del Posto Operatore su PC

Guida all Utilizzo del Posto Operatore su PC Guida all Utilizzo del Posto Operatore su PC 1 Introduzione Indice Accesso all applicazione 3 Installazione di Vodafone Applicazione Centralino 3 Utilizzo dell Applicazione Centralino con accessi ad internet

Dettagli

GestPay Specifiche tecniche

GestPay Specifiche tecniche GestPay Specifiche tecniche Progetto: GestPay Pagina 1 di 35 Sommario Informazioni documento...3 Informazioni versione...4 1 Introduzione...5 2 Architettura del sistema...6 3 Descrizione fasi del processo...8

Dettagli

Manuale SeceCBI CSE 04

Manuale SeceCBI CSE 04 Titolo Documento: Manuale SeceCBI CSE 04 Tipologia Documento: Manuale Servizi Codice Identificazione: PSECECBI04-TE-005-03-B07 Data Emissione: 2004-01-30 Pagina 1/45 Nominativo Funzione Data Firma Redazione

Dettagli

Installazione e guida introduttiva. Per WebReporter 2012

Installazione e guida introduttiva. Per WebReporter 2012 Per WebReporter 2012 Ultimo aggiornamento: 13 settembre, 2012 Indice Installazione dei componenti essenziali... 1 Panoramica... 1 Passo 1 : Abilitare gli Internet Information Services... 1 Passo 2: Eseguire

Dettagli

19. LA PROGRAMMAZIONE LATO SERVER

19. LA PROGRAMMAZIONE LATO SERVER 19. LA PROGRAMMAZIONE LATO SERVER Introduciamo uno pseudocodice lato server che chiameremo Pserv che utilizzeremo come al solito per introdurre le problematiche da affrontare, indipendentemente dagli specifici

Dettagli

VntRAS Communication Suite

VntRAS Communication Suite VntRAS Communication Suite Manuale di Riferimento 1 Indice pag. 1. Introduzione 3 2. Interfaccia web di amministrazione 4 3. Programmazione 5 4. Programmazione pagine HTML pubbliche 8 2 Introduzione Il

Dettagli

Gestione XML della Porta di Dominio OpenSPCoop

Gestione XML della Porta di Dominio OpenSPCoop i Gestione XML della Porta di Dominio ii Copyright 2005-2011 Link.it srl iii Indice 1 Introduzione 1 2 Hello World! 2 3 Configurazione XML della Porta di Dominio 5 3.1 Soggetto SPCoop...................................................

Dettagli

COOKIES PRIVACY POLICY DI BANCA PROFILO

COOKIES PRIVACY POLICY DI BANCA PROFILO COOKIES PRIVACY POLICY DI BANCA PROFILO Indice e sommario del documento Premessa... 3 1. Cosa sono i Cookies... 4 2. Tipologie di Cookies... 4 3. Cookies di terze parti... 5 4. Privacy e Sicurezza sui

Dettagli

Archiviare messaggi da Microsoft Exchange 2003

Archiviare messaggi da Microsoft Exchange 2003 Archiviare messaggi da Microsoft Exchange 2003 Nota: Questo tutorial si riferisce specificamente all'archiviazione da Microsoft Exchange 2003. Si dà come presupposto che il lettore abbia già installato

Dettagli

Sophos Deployment Packager guida per utenti. Versione prodotto: 1.2

Sophos Deployment Packager guida per utenti. Versione prodotto: 1.2 Sophos Deployment Packager guida per utenti Versione prodotto: 1.2 Data documento: settembre 2014 Sommario 1 Informazioni sulla guida...3 2 Deployment Packager...4 2.1 Problemi noti e limiti del Deployment

Dettagli

Simulazione progetto

Simulazione progetto Simulazione progetto Ripulire il foglio (in modo da lasciare solo le intestazioni di colonna) e togliere i totali Togliere eventuali unione celle Salva come pagina di accesso ai dati. Se viene

Dettagli

Manuale accesso a B.Point SaaS

Manuale accesso a B.Point SaaS Manuale accesso a B.Point SaaS Manuale utente INDICE: 1. Introduzione... 1-3 2. Tipi di client... 2-4 Premessa... 2-4 Peculiarità e compatibilità con i browser... 2-4 Configurazione del tipo di Client...

Dettagli

Symantec Backup Exec 2010. Guida rapida all'installazione

Symantec Backup Exec 2010. Guida rapida all'installazione Symantec Backup Exec 2010 Guida rapida all'installazione 20047221 Installazione di Backup Exec Il documento contiene i seguenti argomenti: Requisiti di sistema Prima dell'installazione Informazioni sull'account

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

Installazione di GFI FAXmaker

Installazione di GFI FAXmaker Installazione di GFI FAXmaker Requisiti di sistema Prima di installare GFI FAXmaker, assicurarsi di soddisfare tutti i requisiti che seguono. Server FAX GFI FAXmaker: Una macchina server Windows 2000 o

Dettagli

APPENDICE B Le Active Server Page

APPENDICE B Le Active Server Page APPENDICE B Le Active Server Page B.1 Introduzione ad ASP La programmazione web è nata con la Common Gateway Interface. L interfaccia CGI tuttavia presenta dei limiti: ad esempio anche per semplici elaborazioni

Dettagli

INTRODUZIONE AI SISTEMI OPERATIVI

INTRODUZIONE AI SISTEMI OPERATIVI INTRODUZIONE AI SISTEMI OPERATIVI Il sistema operativo è il software che permette l esecuzione di programmi applicativi e lo sviluppo di nuovi programmi. CARATTERISTICHE Gestisce le risorse hardware e

Dettagli

Guida introduttiva. Versione 7.0.0 Software

Guida introduttiva. Versione 7.0.0 Software Guida introduttiva Versione 7.0.0 Software Installazione del software - Sommario Panoramica sulla distribuzione del software CommNet Server Windows Windows Cluster - Virtual Server Abilitatore SNMP CommNet

Dettagli

Manuale utente 3CX VOIP client / Telefono software Versione 6.0

Manuale utente 3CX VOIP client / Telefono software Versione 6.0 Manuale utente 3CX VOIP client / Telefono software Versione 6.0 Copyright 2006-2008, 3CX ltd. http:// E-mail: info@3cx.com Le Informazioni in questo documento sono soggette a variazioni senza preavviso.

Dettagli

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011)

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) www.skymeeting.net La sicurezza nel sistema di videoconferenza Skymeeting skymeeting è un sistema di videoconferenza web-based che utilizza

Dettagli

Architetture di sistema

Architetture di sistema Università di Bergamo Facoltà di Ingegneria Applicazioni Internet B Paolo Salvaneschi B1_1 V1.6 Architetture di sistema Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio

Dettagli

OWASP Web Application Penetration Checklist. Versione 1.1

OWASP Web Application Penetration Checklist. Versione 1.1 Versione 1.1 14 Luglio 2004 Questo documento è rilasciato sotto la licenza GNU, e il copyright è proprietà della Fondazione OWASP. Siete pregati di leggere e comprendere le condizioni contenute in tale

Dettagli

Navigazione automatica e rilevazione di errori in applicazioni web

Navigazione automatica e rilevazione di errori in applicazioni web Politecnico di Milano Navigazione automatica e rilevazione di errori in applicazioni web Relatore: Prof. Stefano Zanero Fabio Quarti F e d e r i c o V i l l a A.A. 2006/2007 Sommario Obiettivo: Illustrare

Dettagli

lnformatica Prova d esame del 23 giugno 2003 Elaborazione Testi

lnformatica Prova d esame del 23 giugno 2003 Elaborazione Testi lnformatica Prova d esame del 23 giugno 2003 Elaborazione Testi Aprire il documento MS Word di nome funzionalitaiis.doc, reperibile come descritto all inizio della prova. Apportare le modifiche indicate

Dettagli