La Sicurezza della Piattaforma Macromedia Flash : le Soluzioni Aziendali di Macromedia



Documenti analoghi
Protezione delle informazioni in SMart esolutions

IT Cloud Service. Semplice - accessibile - sicuro - economico

Come funziona il WWW. Architettura client-server. Web: client-server. Il protocollo

Allegato 3 Sistema per l interscambio dei dati (SID)

lem logic enterprise manager

Tracciabilità degli utenti in applicazioni multipiattaforma

DBMS e Linguaggi di programmazione nell'era di Internet

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

Network Services Location Manager. Guida per amministratori di rete

Problematiche correlate alla sicurezza informatica nel commercio elettronico

Titolare del trattamento dei dati innanzi descritto è tsnpalombara.it

Informativa sulla privacy

I cookie sono classificati in base alla durata e al sito che li ha impostati.

Protocolli e architetture per WIS

Domande e risposte su Avira ProActiv Community

Remote Download (DLD ) veloce, comodo ed economico Trasferimento wireless tramite WLAN / GPRS

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

Software Servizi Web UOGA

Politica del WHOIS relativa al nome a dominio.eu

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Alfa Layer S.r.l. Via Caboto, Torino ALFA PORTAL

Domande frequenti su Phoenix FailSafe

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

INFORMATIVA SUI TRATTAMENTI DEI DATI PERSONALI

I MODULI Q.A.T. PANORAMICA. La soluzione modulare di gestione del Sistema Qualità Aziendale

TeamPortal. Servizi integrati con ambienti Gestionali

Architetture Applicative

La sicurezza nelle comunicazioni Internet

Informativa ex art. 13 D.lgs. 196/2003

Lezione 1. Introduzione e Modellazione Concettuale

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@

FileMaker Pro 13. Utilizzo di una Connessione Desktop Remota con FileMaker Pro13

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Creare una Rete Locale Lezione n. 1

La sicurezza nel Web

Client - Server. Client Web: il BROWSER

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

SEWEB PRIVATE CLOUD SERVICE SISTEMA CLOUD AZIENDALE

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Requisiti di controllo dei fornitori esterni

Sistemi informativi secondo prospettive combinate

UTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI

Modifiche principali al programma Adobe Open Options NOVITÀ! DISPONIBILITÀ ESCLUSIVA DEL SOFTWARE ADOBE ACROBAT ELEMENTS

Informazioni di identificazione personali

Approccio stratificato

Internet e posta elettronica. A cura di Massimiliano Buschi

Andreani Tributi Srl. Titolare del Trattamento dei Dati. P.Iva Sede: Via Cluentina 33/D Macerata

La soluzione software per CdA e Top Management

Si applica a: Windows Server 2008

Servizi di Sicurezza Informatica. Antivirus Centralizzato per Intranet CEI-Diocesi

Condizioni di servizio per l'utente finale (applicazioni gratuite)

SETEFI. Marco Cantarini, Daniele Maccauro, Domenico Marzolla. 19 Aprile 2012

Privacy Policy di

LA SOLUZIONE. EVOLUTION, con la E LA TECNOLOGIA TRASPARENTE IL SOFTWARE INVISIBILE INVISIBILE ANCHE NEL PREZZO R.O.I. IMMEDIATO OFFERTA IN PROVA

Ti consente di ricevere velocemente tutte le informazioni inviate dal personale, in maniera assolutamente puntuale, controllata ed organizzata.

SIMULAZIONE PROVA SCRITTA ESAME DI STATO. PER LA DISCIPLINA di SISTEMI

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza

Servizi IBM di Sicurezza Gestita per la Sicurezza Web

MODELLO CLIENT/SERVER. Gianluca Daino Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena

La CASSAFORTE DIGITALE per

Console di Monitoraggio Centralizzata

Come funzione la cifratura dell endpoint

La soluzione software per Avvocati e Studi legali

Politica per la Sicurezza

MANUALE DELLA QUALITÀ Pag. 1 di 6

Tutela della privacy Introduzione

INFORMATION TECNOLOGY. a cura di Alessandro Padovani padoale@libero.it

Una minaccia dovuta all uso dell SNMP su WLAN

Il Web Server e il protocollo HTTP

TIPOLOGIE DI DATI RACCOLTI

e-government La Posta Elettronica Certificata

COOKIES COSA SONO I COOKIES? COME UTILIZZIAMO I COOKIES?

TeamPortal. Infrastruttura

Il modello di ottimizzazione SAM

SINPAWEB corso per Tecnico della programmazione e dello sviluppo di siti internet e pagine web co.reg matricola 2012LU1072

Modalità e luogo del trattamento dei Dati raccolti Modalità di trattamento

Informativa Privacy Privacy Policy di

Ministero dell istruzione, dell università e della ricerca. Liceo Tecnologico. Indirizzo Informatico, Grafico e Comunicazione

MANUALE MOODLE STUDENTI. Accesso al Materiale Didattico

Servizi remoti Xerox Un passo nella giusta direzione

In questa pagina si descrivono le politiche di riservatezza dei dati personali forniti

SIAR. Sistema Informativo Agricolo Regionale

Il Sito web usa i cookie per raccogliere informazioni utili a

Gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali. Raccomandazione 1/99

IL SERVIZIO DI POSTA ELETTRONICA

EUROCONSULTANCY-RE. Privacy Policy

Software per Helpdesk

Classificazione: Pubblico Guida alla configurazione di DigitalSign

Ente Ospedaliero Specializzato in Gastroenterologia "Saverio de Bellis" Istituto di Ricovero e Cura a Carattere Scientifico

Fatti Raggiungere dal tuo Computer!!

Liceo Tecnologico. Indirizzo Informatico e Comunicazione. Indicazioni nazionali per Piani di Studi Personalizzati

e quindi di navigare in rete. line può essere limitato a due persone o coinvolgere un ampio numero

ARCHIVIAZIONE DOCUMENTALE

Semplificazione e Nuovo CAD L area riservata dei siti web scolastici e la sua sicurezza. Si può fare!

Architettura del. Sintesi dei livelli di rete. Livelli di trasporto e inferiori (Livelli 1-4)

Manuale di Aggiornamento BOLLETTINO. Rel H4. DATALOG Soluzioni Integrate a 32 Bit

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

POLICY COOKIE Gentile visitatore,

Transcript:

WHITE PAPER La Sicurezza della Piattaforma Macromedia Flash : le Soluzioni Aziendali di Macromedia Adrian Ludwig Settembre 2005

Copyright 2005 Macromedia, Inc.Tutti i diritti riservati. Le informazioni contenute in questo documento rappresentano l attuale punto di vista di Macromedia a proposito degli argomenti trattati, alla data della pubblicazione. Macromedia deve rispondere ai continui cambiamenti delle condizioni di mercato, ma ciò non dovrebbe essere interpretato come un impegno da parte di Macromedia, e Macromedia non può garantire l accuratezza di ogni informazione resa nota dopo la data di pubblicazione. Questo libro bianco ha scopo puramente informativo. MACROMEDIA, IN QUESTO DOCUMENTO, NON DA GARANZIE, ESPLICITE O IMPLICITE. IL PRESENTE DOCUMENTO CONTIENE COLLEGAMENTI A SITI DI TERZE PARTI CHE NON SONO CONTROLLATI DA MACROMEDIA E MACROMEDIA NON E RESPONSABILE DEI CONTE NUTI DI TALI SITI O DI LINK IN ESSI CONTENUTI, O DI CAMBIAMENTI O AGGIORNAMENTI DI OGNI SITO. MACROMEDIA NON E RESPONSABILE PER IL WEBCASTING O OGNI ALTRA FORMA DI TRASMISSIONE RICEVUTA DA QUALUNQUE SITO COLLEGATO. MACROMEDIA FORNISCE IL COLLEGAMENTO A QUESTI SITI SOLO COME COMODITA, E LA SEGNALAZIONE DI OGNI COLLEGAMENTO NON IMPLICA CHE MACROMEDIA APPOGGI O ACCETTI OGNI RESPONSABILITA PER IL CONTENUTO DI TALI SITI DI TERZE PARTI. Macromedia potrebbe avere brevetti, applicazioni brevettate, marchio depositato, copyright o altri diritti di proprietà intellettuale, che coprono l argomento trattato nel presente documento. Eccetto le licenze Macromedia, in cui è espressamente citato, l utilizzo di questo documento non dà alcuna licenza di utilizzo di brevetti, marchi registrati, copyrights o altre proprietà intellettuali. Macromedia, il logo Macromedia, Breeze, Flex, FlashCast e Flash sono entrambi marchi o marchi registrati di Macromedia, Inc. negli Stati Uniti e/o in altri paesi. I presenti nomi di aziende e prodotti qui menzionati sono marchi registrati dei rispettivi proprietari. Macromedia non sponsorizza, associa o appoggia tali prodotti o servizi. Macromedia, Inc. 601 Townsend Street San Francisco, CA 94103 415 832 2000

Contenuti Peculiarità riguardanti la sicurezza della piattaformaflash...1 Autenticazione...3 Esempio di soluzione: Macromedia Breeze...3 Controllo degli accessi...4 Controllo degli accessi Server-Side...4 Controllo degli accessi Client-Side...4 Esempio di soluzione: FlashCast...4 Accesso non autorizzato alle risorse del sistema Host...5 Accesso non autorizzato ai Dati...5 Accesso non autorizzato ad informazioni private degli utenti...6 Malicious Code... 7 L approccio Sandbox: protezione contro il Malicious Code e attività... 7 Limitare l inserimento di SQL e punti deboli di Cross-Scripting... 7 Esempio di soluzione: Macromedia Breeze... 7 Trasferimento dati...8 Conformità agli Standard...8 Sicurezza Wireless...8 Facilitare l integrazione con gli acceleratori SSL e Load Balancer...8 Compatibilità con Encrypted Tunneling...9 Esempio di soluzione: Speedera Flash Video Streaming Service...9 Conclusioni... 10 Per maggiori informazioni... 11 Riferimenti... 11

In un mondo in cui la maggior parte delle esperienze digitali risultano piuttosto piatte, la Piattaforma Macromedia Flash offre qualcosa di diverso. È leggera e multipiattaforma che può essere utilizzata non solo per contenuti multimediali, ma anche per applicazioni aziendali, comunicazioni e applicazioni per dispositivi portatili. La Piattaforma Flash sta alimentando l'aumento di Rich Internet Application (RIA). Come risultato, un maggior numero di impiegati, partner e clienti possono accedere a dati e procedure aziendali. Questo accesso, unito alle necessità di rispettare le normative di settore come Sarbanes- Oxley Act e la Health Insurance Portability e Accountability Act (HIPAA) negli Stati Uniti, ha interessato molte aziende sul livello di sicurezza fornito da questo framework. La Piattaforma Flash e la famiglia di prodotti Flex rispondono a questi dubbi adattandosi alle tecnologie e soluzioni di sicurezza di un'organizzazione.. Peculiarità riguardanti la sicurezza della piattaforma Flash L approccio di Macromedia è quello di implementare un solido sistema di sicurezza all interno dei propri prodotti cercando di evitare nuove esposizioni al rischio al resto dell ambiente organizzativo. Comunque, le tecnologie della piattaforma Flash non sono prodotti per la sicurezza gestiscono semplicemente approcci e strumenti già esistenti, cercando di limitare eventuali investimenti addizionali in sicurezza. Per esempio, la piattaforma Flash si integra all interno della struttura dell organizzazione già esistente al livellobrowser attraverso un plug-in e al livello di presentazione attraverso Flex, o una soluzione HTML statica con script e Flash (vedi Figura 1). La sicurezza è gestita attraverso soluzioni e protocolli già esistenti (vedi Figura 2) in quanto la piattaforma Flash è in grado di gestire SSL insieme a tecnologie di autenticazione, e non richiede modifiche al controllo degli accessi o ad altre configurazioni riguardanti la sicurezza. Le organizzazioni perciò, non hanno necessità di adottare soluzioni per la sicurezza aggiuntive per poter utilizzare la piattaforma Flash. Figure 1: La piattaforma Macromedia Flash è in grado di gestire una struttura organizzativa già esistente. Sicurezza della Piattaforma Macromedia Flash e Soluzioni Macromedia per le Aziende 1

Figure 2: Nell ambiente Flash, la sicurezza è gestita da protocolli e soluzioni già esistenti. La piattaforma Flash è un vero ambiente multipiattaforma che gestisce le principali funzionalità in fatto di sicurezza del sistema operativo sottostante, di browser e application server. Tale piattaforma è basata su standard collaudati e accettati come ad esempio SSL e HTTPS per il trasferimento dati. Possiede una struttura a strati che comprende gli elementi chiave mostrati in Figura 3. Questa dispensa si focalizza su server e runtime (ad esempio, Macromedia Flash Player e Macromedia Flex software), che sono utilizzati per far funzionare applicazioni, contenuti e comunicazioni Flash, e che agiscono nel modo in cui la piattaforma fornisce i controlli e specifica l architettura. Questa dispensa include, inoltre esempi di soluzioni come ad esempio Macromedia Breeze e Macromedia FlashCast che sono implementate in questo contesto. Figure 3: La piattaforma Flash possiede una struttura a strati che comprende gli elementi chiave qui illustrati. Sicurezza della Piattaforma Macromedia Flash e Soluzioni Macromedia per le Aziende 2

Per maggiori informazioni riguardo la piattaforma Flash, vedere il white paper Macromedia dal titolo Distribuzione di Applicazioni Aziendali,Contenuti e Comunicazioni con la Piattaforma Flash. Autenticazione Pressioni sempre maggiori, provenienti dall esterno, ad attenersi al rispetto di un ampia gamma di regolamenti industriali e l aumento del numero di partner, fornitori e clienti che hanno accesso alla rete aziendale, hanno spinto le imprese ad investire in modo significativo in servizi di autenticazione e autorizzazione,che includono il log-on singolo, integrazione VPN, hardware specializzato (ad esempio smart card), PKI, RSA SecurID, o altri dispositivi d accesso. Allo stesso tempo, le richieste specifiche da parte dell industria alle organizzazioni, hanno affidato a quest ultime il compito di implementare delle soluzioni di autenticazione. Ad esempio, si a alle organizzazioni di servizi per agenzie federali che finanziarie è richiesto di utilizzare misure di autenticazione a due fattori per rendere ancora più sicure le transazioni elettroniche. Allo stesso modo, organizzazioni mediche e farmaceutiche stanno affrontando pressioni molto forti per proteggere la privacy delle persone attraverso l applicazione di regolamenti come HIPAA. Fortunatamente, le organizzazioni che utilizzano la piattaforma Flash, possono continuare ad utilizzare le soluzioni in essere e gli investimenti già fatti in sicurezza per soddisfare queste richieste. Flex presentation server è in cima ad un server Java ed è integrato con protocolli standard per l autenticazione, come LDAP e altri servizi di directory.dal lato client side, il Flash client runtime si avvantaggia delle tecnologie comuni di sicurezza disponibili in ambiente web, come l autenticazione trasparente gestita dal browser. Esempio di soluzione: Macromedia Breeze Macromedia Breeze, una soluzione rich web communication che fornisce comunicazioni online ad alto impatto a cui si può accedere istantaneamente attraverso Flash Player, è costruita sulla piattaforma Flash. Le organizzazioni possono scambiare, in modo sicuro, dati,voce e video fra applicazioni Breeze e utenti che utilizzano cifratura128-bit Secure Socket Layer (SSL). Inoltre, è possibile integrare Breeze con un sistema di gestione utenti già esistente all interno dell organizzazione, come LDAP, in questo modo le organizzazioni possono gestire i propri utenti e gruppi da una singola postazione. Infine, Breeze Single Sign-On supporta l integrazione diretta con sistemi di autenticazione aziendale, come ad esempio etrust SiteMinder di Computer Associates. Questo fornisce una soluzione ai problemi degli utenti eliminando il bisogno di user name multipli e password prompt. Durante un a valutazione della penetrazione sul mercato delle applicazioni condotta da Symantec Professional Service, Symantec ha rilevato che Breeze è disegnato e implementato con le migliori procedure relativamente alla sicurezza e osservato che il modello di sicurezza di Breeze offre protezioni integrate per dati ed ambienti applicativi. Nello specifico, la valutazione ha mostrato che Breeze 5 evita l accesso ad utenti non autorizzati o non autenticati. Sicurezza della Piattaforma Macromedia Flash e Soluzioni Macromedia per le Aziende 3

Controllo degli accessi In aggiunta all autenticazione, il controllo degli accessi è sempre più utilizzato per definire chi hal accesso e a quali contenuti ed applicazioni all interno della rete aziendale. Mentre le richieste di controllo degli accessi variano secondo l applicazione, la piattaforma Flash incorpora un numero di caratteristiche che aiutano le organizzazioni a soddisfare i propri bisogni. Alcune di queste sono pre-impostate, e in alcuni casi, gli utenti o gli amministratori del sistema possono personalizzarle secondo le proprie necessità. Controllo degli accessi Server-Side Attraverso il Flex presentation server, la piattaforma Flash dà la possibilità di controllare gli accessi ai dati server-side utilizzando controlli agli accessi già esistenti sul server host. Inoltre, gli amministratori di sistema possono utilizzare una lista bianca per controllare l accesso a tutti i dati. Grazie ad un sofisticato modello di autorizzazioni che normalizzale richieste di accesso ai dati, Flex può prevenire la decodifica dei caratteri e la loro interpretazione. @stake, Inc., un azienda leader nella sicurezza digitale, ha liberamente testato la funzionalità della lista bianca di Flex presentation server attraverso la simulazione di attacchi, e validato la capacità del server di gestire in modo appropriato quelli più comuni. Infatti, nel suo Macromedia Flex Product Briefing, @stake ha rilevato che la solida validazione degli input [di Flex] ha dato prova di essere efficace, diminuendo la possibilità, da parte di chi opera attacchi, di ottenere informazioni confidenziali o di danneggiare servizi delle applicazioniflex. Controllo degli accessi Client-Side Così come il modello impiegato per Java e JavaScript, Flash Player elabora i contenuti all interno di una macchina virtuale che implementa una sandbox di sicurezza. All interno di questa sandbox, tutte le risorse di Flash Player (applicazioni, dati, URL di rete, e così via) sono essenzialmente isolati dal resto dell ambiente di elaborazione, così come in altri casi di sandbox. Questo approccio fornisce un vantaggio rispetto alle tradizionali applicazioni web-enabled, come le soluzioni ActiveX, che spesso hanno libero accesso all ambiente del sistema operativo. Mentre le applicazioni Flash Player possono interagire liberamente con le risorse all interno della stessa sandbox, la Flash Player sandbox previene gli accessi non autorizzati all ambiente del sistema operativo così come altri casi locali di Flash Player. Esempio di soluzione: FlashCast L approccio sandbox è utilizzato per supportare le applicazioni mobile come ad esempio Macromedia FlashCast. Così come Flash Player, il client FlashCast che si trova nei mobile device comunica con il server FlashCast per aggiornare i contenuti, elaborare e gestire risorse come ad esempio la memoria locale all interno della sandbox. Questo approccio permette alle organizzazioni di comunicare attraverso canali multipli riducendo al minimo i rischi relativi alla sicurezza. Sicurezza della Piattaforma Macromedia Flash e Soluzioni Macromedia per le Aziende 4

Accesso non autorizzato alle risorse del sistema Host L accesso non autorizzato alle risorse del sistema host comprende il controllo di applicazioni, dispositivi, o risorse collegate al sistema con lo scopo di disabilitare, negare o deviare l accesso a queste risorse, per esempio, sovraccaricando di dati il buffer o negando l accesso al servizio (DoS). Flash Player consente accessi limitati a specifiche risorse. Per esempio, Flash Player non permette ai contenuti di creare la propria memoria, modificare le impostazioni del sistema operativo, o apportare cambiamenti nel registro di sistema. A differenza delle altre tecnologie client-side, Flash Player contiene un set controllato di oggetti e operazioni che sono per la maggior parte costruiti esclusivamente all interno dell ambiente di esecuzione di Flash. Visto che la funzionalità di sistema a cui Flash Player può accedere è limitata, il rischio di creare contenuti che hanno accessi non autorizzati al sistema host o a risorse ad esso collegate, è minimo. Monitorando l utilizzo delle risorse chiave del sistema, come lo spazio disponibile su disco o la memoria, Flash Player limita il potenziale di attacchi DoS in quanto imposta in automatico un limite iniziale di 100K per ogni dominio per conservare spazio libero su disco. Se necessario, Flash Player o il contenuto che sta elaborando, metteranno in condizione l utente di aumentare la dotazione di spazio su disco. Comunque, il limite di spazio su disco è mantenuto finché l utente non garantisce l autorizzazione ad incrementare la dotazione di un particolare dominio. Flash Player runtime fornisce interfacce sicure e ben definite ad altri contenuti o applicazioni web. Il design del client runtime previene lo sviluppo di applicazioni Flash che possono prendere il controllo di applicazioni che non sono basate sulla architettura di Flash. Mentre le applicazioni Flash possono comunicare fra loro, il modello di sicurezza sandbox assicura che contenuti creati da domini differenti siano isolati all interno di sandboxes logiche. Contenuti e applicazioni possono comunicare liberamente all interno della sandbox, e le comunicazioni che attraversano il perimetro della sandbox vengono controllate Questo include scenari in cui molteplici applicazioni Flash sono eseguite all interno di un singolo caso di Flash Player e in cui la comunicazione fra due casi separati di Flash Player viene forzata. Accesso non autorizzato ai Dati Con accesso non autorizzato ai dati si fa riferimento a dati contenuti in dischi locali, dischi in rete, o server web che sono alla base della rete o memorie di massa necessarie per gestire un processo o un applicazione (per esempio, liste di password, rubriche indirizzi, documenti confidenziali e codici di applicazione). Un programma ActionScript in Flash Player non può scrivere, modificare, o cancellare nessun file sul client, diversamente può condividere oggetti (piccoli file specifici di Flash), e può accedere ad oggetti in condivisione solo in base al dominio. Le applicazioni Flash basate su internet non possono leggere nessun altro file in locale, o informazioni private o confidenziali, infatti, non esiste alcun metodo con ActionScript, disponibile in applicazioni Flash, che possa creare, modificare, o cancellare direttamente file o directory. Affiché i contenuti Flash Player basati sul web possano accedere al server dati, il dominio che li ha in gestione deve ricevere un autorizzazione esplicita dal dominio in cui sono depositati i dati richiesti (conosciuto come il provider domain)senza la quale non verrà effettuato il caricamento. Queste autorizzazioni sono specificate in una policy contenuta in un file collocato sul server del provider domain., che permette di controllare gli accessi, grazie ad una lista estremamente chiara dei domini che hanno l autorizzazione di accedere ai dati di quel server. Sicurezza della Piattaforma Macromedia Flash e Soluzioni Macromedia per le Aziende 5

Accesso non autorizzato ad informazioni private degli utenti Dati personali e finanziari così come informazioni riguardanti le impostazioni di sicurezza degli utenti Flash Player spesso risiedono sulla macchina di un solo utente, e gli altri sono giustamente preoccupati riguardo al fatto che altri possano accedere a queste informazioni e comunque, gli utenti dovrebbero essere informati del fatto che Flash Player non raccoglie informazioni su di loro. Gli utenti hanno il controllo del comportamento di Flash Player quando incontrano decisioni riguardanti la privacy. Infatti attraverso le impostazioni dell interfaccia utente e del Setting Manager di Flash Player, possono facilmente regolare le seguenti impostazioni relative alla privacy e alla sicurezza: Backup di dati in locale, utilizzando il meccanismo della condivisione oggetti in locale Accesso a macchine fotografiche e microfoni connessi al sistema Notificazioni di aggiornamenti di Flash Player In ambiente aziendale, gli amministratori di rete posssono controllare in modo centralizzato le impostazioni di Flash Player per assicurare che tutti i client siano conformi alla politica di sicurezza dell impresa. In aggiunta alle protezioni di base fornite da sandbox e dalla macchina virtuale, il client di Flash Player fornisce inoltre agli stakeholders (portatori di interessi -coloro che amministrano o possiedono delle risorse), la possibilità di controllare, permettere o limitare, in modo semplice e flessibile gli accessi a risorse sensibili come file e database di rete. Il modello di sicurezza di Flash Player è organizzato in un modo che permette alle imprese di delegare il controllo dei permessi agli stakeholder di competenza (vedi Figura 4)e questo modello inoltre, supporta le architetture distribuite comunemente utilizzate per applicazioni costruite sulla piattaforma Flash. Amministratore (Informazioni per l'utente) Impostazioni Impostazioni Utente Impostazioni del sito Figure 4: Controlli di sicurezza di Flash Player sono organizzati in modo gerarchico. Sicurezza della Piattaforma Macromedia Flash e Soluzioni Macromedia per le Aziende 6

Malicious Code Tutte le organizzazioni devono affrontare la potenziale minaccia di virus dovuti a malicious che possono diffondersi velocemente in tutta la rete aziendale. Ad esempio, gli utenti internet potrebbero scaricare quello che sembra essere un programma lecito ma che in realtà contengono un virus come Trojan Horse, che potrebbe esporre la rete alla minaccia di attacchi da parte di hacker. Oppure il codice di autorizzazione alla rete via accesso remoto può essere nascosta in un cookie o applet. L approccio Sandbox: protezione contro il Malicious Code e attività Come già discusso in precedenza, a causa dell approccio alla sicurezza sandbox sul client side e l uso di Java sul server side, la piattaforma Flash utilizza strumenti di sicurezza in locale per proteggersi da malicious code, come virus, Trojan Horse, back door worm, e spyware. In più, il design di Flash Player comprende caratteristiche strutturali che limitano le minacce di malicious comparandole a soluzioni ActiveX o JavaScript. Visto che le risorse di Flash Player sono isolate dall ambiente di elaborazione così come gli altri casi di sandbox attraverso l approccio sandbox, il sistema host è protetto da attività illecite e potenzialmente pericolose per programmi e contenuti. Infatti, in un memorandum del Comitato dei Capi di Stato maggiore riguardante la gestione delle policy per l uso di tecnologie di codifica mobile nel sistema informativo del Dipartimento della Difesa (DoD), Flash Player è classificato sotto la categoria 3, la più sicura delle tre categorie. Limitare l inserimento di SQL e punti deboli di Cross-Scripting Le soluzioni che utilizzano linguaggi di interpretazione runtime basati sulle stringhe come ad esempio JavaScript e DHTML sono particolarmente sensibili all inserimento di SQL e al cross-site scripting, che sono entrambi classificati fra le prime 10 debolezze sul sito Open Web Application Security Project (www.owasp.org). Al contrario, il contenuto di Flash è fornito al Flash Player come una serie di istruzioni in formato binario, sul protocollo web nel formato file SWF. I file SWF sono normalmente depositati su di un server e poi scaricati, e aperti, su richiesta sul computer client. Il fatto che Flash Player è binario e compilato, intrinsecamente limita queste minacce rispetto a soluzioni di linguaggi basati sulle stringhe, che potrebbero avere dei dati back-end deboli e non protetti. Esempio di soluzione: Macromedia Breeze Normalmente, applicazioni di accesso ai database generano istruzioni SQL in modo dinamico, perché queste istruzioni sono sufficientemente semplici da implementare e forniscono maggiori possibilità di connettesi al database. Nonostante ciò, è difficile creare istruzioni SQL dinamiche che siano resistenti all inserimento di SQL. In più, istruzioni dinamiche spesso permettono ampio accesso ai contenuti del database. Breeze invece, utilizza istruzioni già pronte e procedure standard per accedere al database, le prime proteggono dall inserimeto di SQL, mentre le seconde rendono il database ancora più sicuro. Durante un a valutazione della penetrazione sul mercato delle applicazioni condotta da Symantec Professional Services menzionata in precedenza, Symantec ha rilevato che l implementazione di procedure standard in Breeze previene i tentativi di compromettere dati e applicazioni attraverso l inserimento di SQL e attacchi a scopo di manipolazione. Sicurezza della Piattaforma Macromedia Flash e Soluzioni Macromedia per le Aziende 7

Trasferimento dati Chiaramente, il trasferimento dati sicuro fra host e applicazioni Flash e Flex è critico per assicurare l integrità dei dati, così come la sicurezza che nessun altro utilizzerà quei dati per scopi illeciti. Conformità agli Standard Sia Flash Player che la linea di prodotti Flex utilizzano protocolli basati sugli standard per il trasferimento dati. Flash Player riconosce se i dati sono stati ottenuti da una connessione sicura HTTPS (HTTP sul Secure Sockets Layer) e registra tutto ciò utilizzando delle sandbox separate. I dati caricati da siti HTTPS sono di conseguenza trattati in modo differente dai dati provenienti da connessioni HTTP o altre risorse meno sicure. Questa segmentazione dei dati è una estensione naturale di modelli più comuni PKI, che utilizzano certificati x509 per identificare client e server. Standard crittografici come i certificati x509 sono implementati dal browser con cui Flash Player opera. Sul server side, questi standard sono implementati dall ambiente di hosting. Utilizzando gli standard XML e SOAP per il trasferimento dati, la linea di prodotti Flex beneficia di tecnologie comuni per la sicurezza come HTTPS, che è compatibile con tutte le operazioni. Sicurezza Wireless Oggi la rete aziendale è sempre più estesa in quanto deve garantire l accesso ad una vasta serie di soggetti come fornitori, partner, clienti,e coloro che si occupano di telelavoro e le organizzazioni devono proteggere un numero sempre crescente di utenti connessi in remoto. In assenza di un modello di sicurezza wireless efficiente, non solo i dati in corso di trasferimento sono a rischio di accessi e manipolazioni, ma anche la rete aziendale stessa è esposta alle minacce che provengono da Internet e malicious code che potrebbe essere introdotto attraverso dispositivi wireless. Utilizzando SSL, criptatura originale, e la sicurezza all interno del sistema operativo, Flash Player e la linea di prodotti Flex limitano i problemi di sicurezza a livello wireless. Fino a quando le applicazioni Flash girano all interno di un browser, lo utilizzano per quasi tutte le comunicazioni con il server, e possono avvantaggiarsi della compatibilità interna di criptazione SSL del browser. In più, i byte effettivi di un applicazione Macromedia Flash possono essere criptati mentre sono in fase di caricamento all interno del browser. Lanciando un applicazione Flash all interno di un browser predisposto per SSL, attraverso una connessione HTTPS, le organizzazioni e gli utenti hanno la sicurezza che la comunicazione fra Flash Player e il server è criptata e sicura. Facilitare l integrazione con gli acceleratori SSL e Load Balancer L integrazione con gli acceleratori SSL e gli standard load balancer è semplice. Per esempio, visto che Flex presentation server gestisce le richieste ricevute inizialmente da un server web, il server Flex non ha necessità di sapere quale protocollo viene utilizzato. Per passare da HTTP ad HTTPS, l amministratore di sistema modifica semplicemente il server web come avrebbe fatto nel caso in cui Flex server non fosse stato installato. Sicurezza della Piattaforma Macromedia Flash e Soluzioni Macromedia per le Aziende 8

Compatibilità con Encrypted Tunneling Le applicazioni costruite con Flash Media Server utilizzano il Real-time Messaging Protocol (RTMP) per trasmette audio, video e dati, in alta definizione, con un canale dati singolo fra client e il server. Mentre RTMP non include caratteristiche specifiche per la sicurezza, le applicazioni di comunicazione Flash possono fornire transazioni e autenticazioni sicure attraverso un web server predisposto per.ssl Quando gira all interno di un browser, Flash Player può utilizzare un tunneling HTTPS sicuro e criptato per comunicare attraverso RTMP. Questo supporto al tunneling assicura agli utenti un trasferimento dati sicuro, dietro ad un tipico firewall aziendale. Esempio di soluzione: Speedera Flash Video Streaming Service Il partner Macromedia Speedera fornisce un Flash Video sicuro utilizzando SSL attraverso un Flash Media Server. Gli utenti visitano il sito di un fornitore di contenuti e vengono autenticati attraverso una password; successivamente viene generata una chiave hash e l utente è reindirizzato in modo trasparente, dopo la verifica, al server Speedera. Con un trasferimento Flash Video sicuro, i contenuti possono essere visionati solo sui siti preposti; non possono essere postati in altri siti. In aggiunta, l URL streaming non può essere spedito via mail a tutti gli utenti che non hanno l autorizzazione ad utilizzarlo. Sicurezza della Piattaforma Macromedia Flash e Soluzioni Macromedia per le Aziende 9

Conclusioni Con la piattaforma Flash, le organizzazioni possono sviluppare, lanciare, e distribuire con tranquillità RIA, applicazioni mobile e aziendali, comunicazioni ad impiegati, partner, e clienti. Flash Player e la linea di prodotti Flex sono in grado di gestire una struttura di sicurezza già esistente all interno dell organizzazione (ciò significa che sono autonomi a livello di sicurezza) in quanto sono basati su standard esistenti e riconosciuti, e utilizzano tecnologie sicure. Il modo in cui la piattaforma Flash e la linea prodotti Flex si integrano con l autenticazione esistente, il controllo accessi, trasferimento dati e soluzioni di prevenzione di malicious code, non va ad influire sulla capacità dell impresa di soddisfare i bisogni relativi alla sicurezza. È importante sottolineare, inoltre che questo approccio supporta ed è conforme alle migliori procedure e regolamenti correnti relativi alla sicureza come Sarbanes-Oxley Act del 2002 e HIPAA. Infine, gestendo la struttura di sicurezza già esistente all interno dell organizzazione, la piattaforma Flash permette il successo del lancio di applicazioni sicure senza dover sostenere ulteriori investimenti. Secondo una valutazione autonoma sulla sicurezza di @stake, Macromedia ha sviluppato un modello forte per la protezione delle informazioni a fronte delle minacce al client-side. l architettura di Flex aiuta a prevenire molti attacchi comuni al client-side come il cross-site scripting, negazione del servizio, inserimento SQL, manin-the-middle [attacks], and session hijacking. In più, la sicurezza server-side è mantenuta gestendo la sicurezza J2EE per prevenire attacchi contro gli elementi della struttura, sovraccarico del buffer, heap corruption e cross-site scripting. Sicurezza della Piattaforma Macromedia Flash e Soluzioni Macromedia per le Aziende 10

Per maggiori informazioni Per maggiori informazioni riguardo la piattaforma Flash, potete contattare un commerciale al 1-888-649-2990 (US e Canada) o trovare un contatto commerciale all indirizzo www.macromedia.com/international/buy/numbers.html. Per acquistare online, visitate www.macromedia.com/store. O utilizzate uno dei seguenti link: Per maggiori informazioni riguardo alla piattaforma Flash, visitate www.macromedia.com/it/platform Per maggiori informazioni riguardo Flash Player, visitate www.macromedia.com/it/software/flashplayer/ Per maggiori informazioni riguardo Flash authoring tool, visitate www.macromedia.com/it/software/flash/ Per maggiori informazioni riguardo Flex Builder, visitate www.macromedia.com/it/software/flex/flexbuilder/ Per maggiori informazioni riguardo Flex presentation server, visitate www.macromedia.com/it/software/flex/ Per maggiori informazioni riguardo Flash Media Server, visitate www.macromedia.com/it/software/flashcom/ Per maggiori informazioni riguardo Flash Video Streaming Services, visitate www.macromedia.com/it/software/flashcom/fvss/ Per maggiori informazioni riguardo Breeze, visitate http://www.macromedia.com/it/software/breeze/ Per maggiori informazioni riguardo Macromedia Security, visitate www.macromedia.com/resources/security Riferimenti Difendere in profondità: difesa delle informazioni e delle reti telematiche (CJCSM 6510.01), Comitato dei capi di stato maggiore, Agosto 2004 (www.dtic.mi/cjcs_directives) Macromedia Breeze 5 valutazione della sicurezza, Symantec, luglio 2005 (www.macromedia.com/it/support/breeze/licensed_docs/macromedia-cfd-breeze5.pdf) La sicurezza di Macromedia Flash Player 8, Macromedia, Agosto 2005 (www.macromedia.com/devnet/flashplayer/articles/flash_player_8_security.pdf) Macromedia Flex Product Briefing, @Stake, Agosto 2004 (www.macromedia.com/devnet/flex/articles/flex_security_wp.pdf) OWASP Top Ten Most Critical Web Application Security Vulnerabilities, The Open Web Application Security Project (www.owasp.org/documentation/topten.html) Policy Guidance for use of Mobile Code Technologies in Department of Defense (DoD) Information Systems Memorandum, U.S. Department of Defense, Novembre 7, 2000 (www.dod.mil/nii/org/cio/doc/mobile-code11-7-00.html) Sicurezza della Piattaforma Macromedia Flash e Soluzioni Macromedia per le Aziende 11

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back