Gli ultimi post di Edit
Visa e la sicurezza delle applicazioni Web
Lunedì 2 Ottobre 2006 - 09:35
di Francesco Caccavella
Quando si progetta un’applicazione Web per un sito di commercio elettronico si deve, è normale, prestare la massima attenzione alla sicurezza del modulo di gestione dei pagamenti. Se esso viene gestito in proprio, si deve anche considerare i requisiti minimi di sicurezza richieste dalle società di emissione delle carte di credito.
Visa, la società che gestisce il circuito più diffuso di carte di credito, richiede che i gestori di carta di credito si attengano alle disposizione indicate nel Payment Card Industry Data Security Standard (PCI DSS, Pdf), anche per quanto riguarda le applicazioni online. La società ha da poco pubblicato un documento (Pdf) in cui vengono analizzati i principali problemi di sicurezza dei sistemi di gestione dei pagamenti, problemi che se ignorati condurrebbero alla violazione del Data Security Standard.
Anche per Visa il maggior problema di sicurezza delle applicazioni Web, per quanto riguarda la loro programmazione, è la SQL Injection. Ai primi due posti ci sono l’imprudente salvataggio dei dati sensibili della carta di credito e la mancanza di patch per i sistemi che ne conservano i dati. Al terzo posto l’uso delle password di default nei sistemi che ospitano i dati sensibili. Al quarto posto la SQL Injection: “un attacco di tipo SQL Injection può avere serie conseguenze e può portare alla paralisi delle applicazioni o dell’intero sito di commercio elettronico”. Al quinto posto la mancata disabilitazione di servizi non necessari sui server che ospitano l’applicazione.
Categoria: Sicurezza | Permalink | Commenti (1)
Alla Black Hat Conference va in scena Ajax
Venerdì 9 Giugno 2006 - 14:00
di Francesco Caccavella
È stata pubblicata l’agenda della prossima Black Hat Conference che si svolgerà in agosto 2006 al Caesars Palace di Las Vegas. La conferenza offre sempre ottimi spunti sulle più attuali tendenze della sicurezza informatica e anche quest’anno, almeno a leggere i titoli delle conferenze, ci sarà molta carne al fuoco, anche per la sicurezza degli applicativi Web.
Per quanto riguarda le applicazioni sul Web alcune conferenze avranno come tema la sicurezza dei database (Web How to Unwrap Oracle PL/SQL e SQL Injections by Truncation) altre la sicurezza generica delle Web application (Web Application Incident Response & Forensics e Analysis of Web Application Worms and Viruses). Ben due conferenze avranno invece come tema la sicurezza di AJAX: AJAX (in)security offrirà una panoramica generale sulla sicurezza delle applicazioni scritte con questa tecnologia poiché, come recita il sommario della conferenza
Ajax rende la vita più difficile ai responsabili della sicurezza
mentre Breaking AJAX Web Applications: Vulns 2.0 mostrerà esempi di attacchi ad applicazioni Ajax. Secondo lo speaker:
C’è una parte oscura di questa tecnologia che non è stata ben investigata. La più stretta integrazione del codice lato serve e lato client ed anche l’invenzione di protocolli maggiormente dedicati all’esecuzione di codice scaricato dalla rete ha creato nuovi attacchi e ha reso i classici attacchi alle applicazioni web più difficili da prevenire.
Una nota di parte: alla conferenza, il 3 agosto, parlerà Luca Carettoni, un collaboratore della sezione sicurezza di HTML.it. Il tema della conferenza di Luca sarà la sicurezza Buetooth, argomento cui ha dedicato due ampi articoli apparsi su HTML.it alcuni giorni fa. Complimenti.
Categoria: Sicurezza | Permalink | Commenti (2)