• Embed Doc
  • Copy Link
  • Readcast
  • Collections
  • CommentGo Back
Download
 
Il normale traffico effettuato attraverso il browser si basa sul
protocollo HTTP
(
Hyper Text Transfer Protocol
), un’applicazione che si preoccupa solo del trasferimento delleinformazioni tra il mittente ed il destinatario, senza porre in relazionare i dati tra lesessioni precedenti e le successive. Questo, in termini pratici, significa minore quantitàdi dati da trasferire e dunque maggior velocità. Il traffico HTTP avviene, in ricezione etrasmissione, mediante protocollo
TCP
(
Transmission Control Protocol
) sulla
porta 80
del nostro computer.Abbiamo visto che il protocollo TCP/IP non nasconde in alcun modo le informazioniscambiate.Inoltre se siamo su una rete di tipo broadcast un elaboratore connesso alla rete puòleggere tutti i dati che passano sulla rete.Un meccanismo del genere quindi non permette di scambiare dati altamente sensibilicome i dati personali, ma anche numeri di carta di credito, dati bancari e transazionifinanziare. A questo scopo è stato messo a punto il protocollo HTTPS.Sintatticamente identico al protocollo impiegato per la normale navigazione in rete, l’
HTTPS
(
Secure HyperText Transfer Protocol
) impiega, oltre ad i protocolli TCP e HTTP,un ulteriore livello che si occupa della
crittografia
ed
autenticazione
dei datitrasmessi, chiamato
SSL
(
Secure Sockets Layer 
). I dati transitano sulla
porta 443
anziché 80.• Nei sistemi distribuiti, la sicurezza si ottiene attraverso diversistrumenti:• crittografia dei contenuti che devono passare in rete• algoritmi a chiave privata (DES)• algoritmi a chiave publica (RSA)• certificazione degli utenti e firma dei contenuti:• ogni utente deve possedere un certificato, che identificaunivocamente la persona ed il sistema che lo usa• ogni contenuto che appartiene ad un utente viene firmato: lafirma è un check sum speciale che quindi identifica il contenutocome integro ed appartenente ad una persona specifica• uso di sistemi di controllo del traffico (firewall)• monitoraggio e controllo dei sistemi (intrusion detection)SSL
SSL (Secure Sockets Layer)è un protocollo progettato dalla NetscapeCommunications Corporation.
Questo protocollo utilizza la crittografia per fornire sicurezza nelle comunicazionisu Internet e consentono alle applicazioni client/server di comunicare in modotale da prevenire il 'tampering' (manomissione) dei dati, la falsificazione el'intercettazione.SCOPO DI SSLIl protocollo SSL provvede alla sicurezza del collegamento garantendo:
Autenticazione: l'identità nelle connessioni può essere autenticata usando lacrittografia asimmetrica, ovvero a chiave pubblica (RSA, DSS, EL-Gamal). Cosìogni client comunica in sicurezza con il corretto server, prevenendo ogniinterposizione. È’ prevista la certificazione del server e, opzionalmente, quelladel client.
Confidenzialità nella trasmissione dei dati: la crittografia è usata dopo un
handshake
(accordo) iniziale per definire una chiave segreta di sessione. Inseguito, per crittografare i dati è usata la crittografia simmetrica (AES,3DES,RC4, ecc.).
 
Affidabilità: il livello di trasporto include un controllo dell'integrità del messaggiobasato su un apposito MAC (Message Authentication Code) che utilizza funzionihash sicure (MD5, SHA, RIPEMP-160, ecc). In tal modo si verifica che i datispediti tra client e server non siano stati alterati durante la trasmissione.FASI DI SSLSSL richiede di alcune fasi basilari:
Negoziazione tra le parti dell‘algoritmo da utilizzare.
Scambio di chiavi segrete tramite cifratura a chiave pubblica e identificazionetramite l'utilizzo di certificati.
Cifratura del traffico tra le parti a chiave (segreta) simmetrica.HTTPS – SSL
I protocolli di sicurezza risiedono sotto protocolli applicativi quali HTTP, SMTP eNNTP e sopra il protocollo di trasporto TCP.
SSL può essere utilizzato per aggiungere sicurezza a qualsiasi protocollo cheutilizza TCP, ma il suo utilizzo più comune avviene nel protocollo HTTPS.
Il protocollo HTTPS viene utilizzato per aggiungere sicurezza alle pagine delWWW in modo tale da rendere possibili applicazioni quali il commercioelettronico.
Il protocollo SSL utilizza metodi di cifratura a chiave pubblica e utilizza certificatia chiave pubblica per verificare l'identità delle parti coinvolte.HTTPS
L'abbinamento SSL al normale HTTP permette di ottenere un nuovo protocollo:l‘HTTPS. Questi garantisce l'invio delle informazioni personali sottoforma dipacchetti criptati. In questo modo, la trasmissione delle informazioni avviene inmaniera sicura, prevenendo intrusioni, manomissioni e falsificazioni deimessaggi da parte di terzi. Il protocollo HTTPS garantisce quindi tanto latrasmissione confidenziale dei dati, quanto la loro integrità.
Ad oggi è sicuramente il sistema più usato, in quanto può essere supportato daiprincipali browser (Internet Explorer 3.01 e seguenti, Netscape Navigatror 4.01e seguenti) e non necessita di alcun software specifico o password. Le pagineprotette da questo protocollo sono facilmente riconoscibili, in quanto la scritta"https" precede l'indirizzo del sito protetto e le sue pagine vengonocontrassegnate da un lucchetto, visualizzabile nella parte inferiore del propriobrowser.HTTPS
L'HTTPS è un URI (Uniform Resource Identifier) sintatticamente identico alloschema http:// ma con la differenza che gli accessi vengono effettuati sullaporta 443 e che tra il protocollo TCP e HTTP si interpone un livello dicrittografia/autenticazione.
In pratica viene creato un canale di comunicazione criptato tra il client e ilserver attraverso lo scambio di certificati; una volta stabilito questo canale alsuo interno viene utilizzato il protocollo HTTP per la comunicazione.
Questo tipo di comunicazione garantisce che solamente il client e il server sianoin grado di conoscere il contenuto della comunicazione.
Questo sistema fu progettato dalla Netscape Communications Corporation chesi occupa delle autenticazioni e delle comunicazioni crittografate ed èlargamente usato nel World Wide Web per situazioni che richiedono particolariesigenze in ambito di sicurezza come per esempio il pagamento di transazioni
 
online. In questo caso SSL garantisce la cifratura dei dati trasmessi e ricevuti suinternet.HTTPS
Questo protocollo assicura una buona protezione contro attacchi del tipo man inthe middle (l'attaccante è in grado di leggere, inserire o modificare a piacere,messaggi tra due parti senza che nessuna delle due sia in grado di sapere se ilcollegamento sia stato compromesso ).
Per impostare un web server in modo che accetti connessioni di tipo https,l'amministratore deve creare un certificato digitale ovvero un documentoelettronico che associa l'identità di una persona ad una chiave pubblica. Questicertificati devono essere rilasciati da un certificate authority o comunque da unsistema che accerta la validità dello stesso in modo da definire la vera identitàdel possessore (i browser web sono creati in modo da poter verificare la lorovalidità).
In particolari situazioni (come per esempio nel caso di aziende con una reteintranet privata) è possibile avere un proprio certificato digitale che si puòrilasciare ai propri utenti.
Questa tecnologia quindi può essere usata anche per permettere un accessolimitato ad un web server. L'amministratore spesso crea dei certificati per ogniutente che vengono caricati nei loro browser contententi informazioni come ilrelativo nome e indirizzo e-mail in modo tale da permettere al server diriconoscere l'utente nel momento in cui quest'ultimo tenti di riconnettersi senzaimmettere nome utente e/o password.'HTTPS (Hypertext Transfer Protocol over Secure Socket Layer) è il risultatodell'applicazione di un protocollo (informatica) di crittografia asimmetrica al protocollodi trasferimento di ipertesti HTTP. Viene utilizzato per garantire trasferimenti riservatidi dati nel web, in modo da impedire intercettazioni dei contenuti che potrebberoessere effettuati tramite la tecnica del man in the middle.Nei browser web, la URI (Uniform Resource Identifier) che si riferisce a tale tecnologiaha nome di schema https ed è in tutto e per tutto analoga alle URI http. Tuttavia, laporta di default impiegata non è la 80 come in HTTP, ma la 443, mentre(trasparentemente all'utente) tra il protocollo TCP e HTTP si interpone un livello dicrittografia/autenticazione come il Secure Sockets Layer (SSL) o il Transport LayerSecurity (TLS).In pratica viene creato un canale di comunicazione criptato tra il client e il serverattraverso uno scambio di certificati; una volta stabilito questo canale al suo internoviene utilizzato il protocollo HTTP per la comunicazione.Questo tipo di comunicazione garantisce che solamente il client e il server siano ingrado di conoscere il contenuto della comunicazione.Questo sistema fu progettato dalla Netscape Communications Corporation che sioccupa delle autenticazioni e delle comunicazioni crittografate ed è largamente usatonel World Wide Web per situazioni che richiedono particolari esigenze in ambito disicurezza come per esempio il pagamento di transazioni online. In questo caso SSLgarantisce la crittografazione dei dati trasmessi e ricevuti su internet.
of 00

Leave a Comment

You must be to leave a comment.
Submit
Characters: ...
You must be to leave a comment.
Submit
Characters: ...