ASP.net e comunicazione sicura

mercoledì 21 marzo 2012 - 21.40
Tag Elenco Tags  VB.NET  |  .NET 3.5  |  .NET 4.0  |  Windows Server 2003  |  Visual Studio 2010  |  Visual Studio 2008  |  SQL Server 2008 R2

TOPOAMORE Profilo | Expert

Salve a tutti,

vengo con questa mia a dirvi :D

a parte la comunicazione SSL con certificati per la crittografazione esiste qualche altro modo per crittografare i dati che passano da client a server???

Non so se sono stato chiaro

Saluti
__.__.__.__.__.__

http://salvatorecervone.wordpress.com

ASP 2.0 - VB 2008

Gluck74 Profilo | Guru

di modi ce ne sono quanti ne vuoi.
SSL è un modo a chiave pubblica CERTIFICATO.

Se non hai la necessità della certificazione, ma devi farlo per una tua applicazione interna, cripta come vuoi tu (criptazione sincrona, asincrona, chiave pubblica, privata, aloritmo RD5, SSM, delFagioloRosso.... quello che vuoi), l'importante è che usi un algoritmo sicuro e SEGRETO tra il tuo client e il tuo server.

spero di essermi spiegato

ciao

____________
Ricordati di utilizzare il tasto "Accetta" se i nostri consigli ti sono serviti a risolvere il problema.
È il modo per ringraziare chi ti ha aiutato.

TOPOAMORE Profilo | Expert

spiegato ti sei spiegato....quello che non riesco a capire ce come il client riesca a criptare i dati che invia senza avere un certificato come SSL
__.__.__.__.__.__

http://salvatorecervone.wordpress.com

ASP 2.0 - VB 2008

u235 Profilo | Junior Member

Lo fai da codice, usando javascript o silverlight ecc. Quest'ultimo ha delle classi net che ti agevolano il lavoro, ma anche in javascript trovi qualcosa già pronto.

il certificato serve solo per certificare che il server sia quello che dice di essere. certo con certificato non lo fai da codice, ma questo non significa che non si possa fare. Magari non sarà "tanto tanto" utile ma si può fare.

TOPOAMORE Profilo | Expert

Se lo facessi via javascript non avrebbe senso in quanto anche la procedura di decrittografazione è rintracciabile e cmq quella di codifica e facilmente rintracciabile e quindi è una strada non percorribile....

Silverlight non l'ho mai utilizzato, quindi vi domando si hanno le stesse tipologie di problematiche oppure si risolve???
oppure
Mi consigliate di utilizzare semplicemente SSL???
__.__.__.__.__.__

http://salvatorecervone.wordpress.com

ASP 2.0 - VB 2008

u235 Profilo | Junior Member

>Se lo facessi via javascript non avrebbe senso in quanto anche
>la procedura di decrittografazione è rintracciabile e cmq quella
>di codifica e facilmente rintracciabile e quindi è una strada
>non percorribile....

Rimango un pò perplesso da questa tua affermazione. La crittografia, nel caso delle comunicazioni client server, è applicata per far si che i due "comunicanti" possano scambiarsi dati non leggibili ad una eventuale terza parte che intercetta la comunicazione, quindi è ovvio che entrambe devono sapere come criptare il messaggio per l'altro e come decrittare quelli destinati a loro. Per fare ciò si possono usare diversi tipi di algoritmo, ma per tutti l'intento è quello di non far comprendere la comunicazione a terzi, non tra loro...
Se poi tu intendi che se dai una chiave simmetrica sempre uguale a tutti i client, e quindi basta che uno legge sul client la chiave una volta e poi la conosce e quindi può decifrare tutti i successivi dati anche non destinati a lui, allora si, ti do ragione, ma commetteresti una gravissima ingenuità... non si lavora così con la crittografia :)
in genere di usa un algoritmo asimetrico per scambiarsi una chiave di sessione simmetrica monouso, quindi una diversa per ogni sessione! ecco perchè è importante che ci sia un certificato di una terza parte, ovvero qualcosa che attesta (per farti un esempio) che tu non stia fornendo dati criptati con una chiave ad una terza persona che finge di essere il vero server e a sua volta le passa al vero server (con una chiave sua) dopo averli letti, fornendoti la risposta del vero server (sempre dopo averla letta) con la chiave che sta usando per te. Così la crittografia non serve a nulla!

>
>Silverlight non l'ho mai utilizzato, quindi vi domando si hanno
>le stesse tipologie di problematiche oppure si risolve???
>oppure
>Mi consigliate di utilizzare semplicemente SSL???

Sicuramente usare ssl significa che non devi preoccuparti di criptare tu da codice, ma anche in questo caso, senza certificato (si, si può usare ssl con certificato "autoprodotto"!) potresti incorrere negli stessi problemi citati prima.

Comunque, puoi sempre provare a fare tu da "terza parte che certifica", ma dovresti comunque conoscere bene il sistema crittografico in generale, e comunque non sarà una cosa ne facile ne sicura, senza contare che devi avere un buon posto per archiviare le key in maniera sicura (il che non è per nulla semplice come può sembrare... scordati server condivisi e simili)

Gluck74 Profilo | Guru

dipende da quello che devi fare.
se il servizio che devi rendere sicuro, è pubblico, be si, SSL è la miglior cosa.

Se non è pubblico, decidi tu in base anche al tuo budget, poiché un certificato ha un costo.


____________
Ricordati di utilizzare il tasto "Accetta" se i nostri consigli ti sono serviti a risolvere il problema.
È il modo per ringraziare chi ti ha aiutato.

TOPOAMORE Profilo | Expert

Ok vada per SSL (tanto non pago io :) )

Scherzi a parte ora ho creato una macchina virtuale con windows server 2008 e creato il mio certificato , lo installo e tutto va bene....ovviamente mi chiede la conferma del certificato perche non lo ritiene attendibile....come si puo evitare questa verifica ????
__.__.__.__.__.__

http://salvatorecervone.wordpress.com

ASP 2.0 - VB 2008

u235 Profilo | Junior Member

>Ok vada per SSL (tanto non pago io :) )
>

:)

>Scherzi a parte ora ho creato una macchina virtuale con windows
>server 2008 e creato il mio certificato , lo installo e tutto
>va bene....ovviamente mi chiede la conferma del certificato perche
>non lo ritiene attendibile....come si puo evitare questa verifica
>????

Mi sa che non puoi, serve proprio ad avvisare il navigatore che il certificato del server non è attendibile in quanto non realmente certificato. Impostazione di sicurezza proprio per tutelare il navigatore dai rischi menzionati nel post precedente.

Comunque alcuni siti offrono certificati "low cost" (no verisign), ma alcuni utenti non si fidano, sempre se guardano chi ha rilasciato il certificato e come... ma il più delle volte l'utonto non guarda manco il certificato stesso, figura se guardano chi lo ha rilasciato (sempre se non si tratta di usare la carta di credito...)!

TOPOAMORE Profilo | Expert

Quindi SSL con "errore" OK

e possibile adottare altro come sistema di siurezza

io chiedo a voi nonostante cerchi perche non trovo nulla oltre SSL e sta ditta vorrebbe un livello di sicurezza in piu....

Ad esempio...le banche cosa usano oltre SSL???
__.__.__.__.__.__

http://salvatorecervone.wordpress.com

ASP 2.0 - VB 2008

u235 Profilo | Junior Member

>Quindi SSL con "errore" OK
>
>e possibile adottare altro come sistema di siurezza
>
>io chiedo a voi nonostante cerchi perche non trovo nulla oltre
>SSL e sta ditta vorrebbe un livello di sicurezza in piu....
>
>Ad esempio...le banche cosa usano oltre SSL???
>__.__.__.__.__.__
>
>http://salvatorecervone.wordpress.com
>
>ASP 2.0 - VB 2008

Chiavette hardware con algoritmo rsa (asimetrico) per generare un token univoco (credo tramite chiave simmetrica assegnata a priori al cliente che detiene la chiavetta) sulla base del momento in cui viene generato (pressione del tasto sulla chiavetta ed invio entro qualche secondo del valore al server, ecco perchè monouso).

TOPOAMORE Profilo | Expert

Si quello c'e' l'ho anche io.....io intendevo a livello client-server apparte SSL cosa usano....delle loro transizione me ne fot...... :D :D :D
__.__.__.__.__.__

http://salvatorecervone.wordpress.com

ASP 2.0 - VB 2008

u235 Profilo | Junior Member

riguardo la sicurezza della comunicazione dei dati in transito non credo altro (oltre spero un monitoraggio continuo dei server e del traffico) ma non sono un esperto nel campo. poi in altri "campi" si, hanno sicuramente altri sistemi di sicurezza (qui sono più esperto in quanto rapinatore :) scherzo ovviamente!), ma adesso stiamo parlando di comunicazione tra client e server.

TOPOAMORE Profilo | Expert

Quindi se le banche si fidano del SSL si possono fidare pure loro :D

Nel retro che sistemi di sicurezza hanno secondo te, visto che sei esperto in questo????
__.__.__.__.__.__

http://salvatorecervone.wordpress.com

ASP 2.0 - VB 2008

u235 Profilo | Junior Member

>Quindi se le banche si fidano del SSL si possono fidare pure
>loro :D
>
beh credo di si. Ma sempre con certificato, se no sono esposti a maggiori rischi confronto a non averlo.

>Nel retro che sistemi di sicurezza hanno secondo te, visto che
>sei esperto in questo????

Un disintegratore molecolare ed un cannone con proiettili a fusione termonucleare, ma sopratutto la foto di Draghi arrabbiato in mutande.

TOPOAMORE Profilo | Expert

Ottimo...Grazie
__.__.__.__.__.__

http://salvatorecervone.wordpress.com

ASP 2.0 - VB 2008

u235 Profilo | Junior Member

Figurati, ciao :)
Partecipa anche tu! Registrati!
Hai bisogno di aiuto ?
Perchè non ti registri subito?

Dopo esserti registrato potrai chiedere
aiuto sul nostro Forum oppure aiutare gli altri

Consulta le Stanze disponibili.

Registrati ora !
Copyright © dotNetHell.it 2002-2017
Running on Windows Server 2008 R2 Standard, SQL Server 2012 & ASP.NET 3.5