Home Page
Articoli
Tips & Tricks
News
Forum
Archivio Forum
Blogs
Sondaggi
Rss
Video
Utenti
Chi Siamo
Contattaci
Username:
Password:
Login
Registrati ora!
Recupera Password
Home Page
Stanze Forum
ASP.NET 2.0 / 3.5 / 4.0
ASP.net e comunicazione sicura
mercoledì 21 marzo 2012 - 21.40
Elenco Threads
Stanze Forum
Aggiungi ai Preferiti
Cerca nel forum
Elenco Tags
VB.NET
|
.NET 3.5
|
.NET 4.0
|
Windows Server 2003
|
Visual Studio 2010
|
Visual Studio 2008
|
SQL Server 2008 R2
TOPOAMORE
Profilo
| Expert
695
messaggi | Data Invio:
mer 21 mar 2012 - 21:40
Salve a tutti,
vengo con questa mia a dirvi :D
a parte la comunicazione SSL con certificati per la crittografazione esiste qualche altro modo per crittografare i dati che passano da client a server???
Non so se sono stato chiaro
Saluti
__.__.__.__.__.__
http://salvatorecervone.wordpress.com
ASP 2.0 - VB 2008
Gluck74
Profilo
| Guru
1.359
messaggi | Data Invio:
mer 21 mar 2012 - 22:50
di modi ce ne sono quanti ne vuoi.
SSL è un modo a chiave pubblica CERTIFICATO.
Se non hai la necessità della certificazione, ma devi farlo per una tua applicazione interna, cripta come vuoi tu (criptazione sincrona, asincrona, chiave pubblica, privata, aloritmo RD5, SSM, delFagioloRosso.... quello che vuoi), l'importante è che usi un algoritmo sicuro e SEGRETO tra il tuo client e il tuo server.
spero di essermi spiegato
ciao
____________
Ricordati di utilizzare il tasto "Accetta" se i nostri consigli ti sono serviti a risolvere il problema.
È il modo per ringraziare chi ti ha aiutato.
TOPOAMORE
Profilo
| Expert
695
messaggi | Data Invio:
mer 21 mar 2012 - 23:17
spiegato ti sei spiegato....quello che non riesco a capire ce come il client riesca a criptare i dati che invia senza avere un certificato come SSL
__.__.__.__.__.__
http://salvatorecervone.wordpress.com
ASP 2.0 - VB 2008
u235
Profilo
| Junior Member
125
messaggi | Data Invio:
mer 21 mar 2012 - 23:58
Lo fai da codice, usando javascript o silverlight ecc. Quest'ultimo ha delle classi net che ti agevolano il lavoro, ma anche in javascript trovi qualcosa già pronto.
il certificato serve solo per certificare che il server sia quello che dice di essere. certo con certificato non lo fai da codice, ma questo non significa che non si possa fare. Magari non sarà "tanto tanto" utile ma si può fare.
TOPOAMORE
Profilo
| Expert
695
messaggi | Data Invio:
gio 22 mar 2012 - 09:55
Se lo facessi via javascript non avrebbe senso in quanto anche la procedura di decrittografazione è rintracciabile e cmq quella di codifica e facilmente rintracciabile e quindi è una strada non percorribile....
Silverlight non l'ho mai utilizzato, quindi vi domando si hanno le stesse tipologie di problematiche oppure si risolve???
oppure
Mi consigliate di utilizzare semplicemente SSL???
__.__.__.__.__.__
http://salvatorecervone.wordpress.com
ASP 2.0 - VB 2008
u235
Profilo
| Junior Member
125
messaggi | Data Invio:
gio 22 mar 2012 - 10:47
>Se lo facessi via javascript non avrebbe senso in quanto anche
>la procedura di decrittografazione è rintracciabile e cmq quella
>di codifica e facilmente rintracciabile e quindi è una strada
>non percorribile....
Rimango un pò perplesso da questa tua affermazione. La crittografia, nel caso delle comunicazioni client server, è applicata per far si che i due "comunicanti" possano scambiarsi dati non leggibili ad una eventuale terza parte che intercetta la comunicazione, quindi è ovvio che entrambe devono sapere come criptare il messaggio per l'altro e come decrittare quelli destinati a loro. Per fare ciò si possono usare diversi tipi di algoritmo, ma per tutti l'intento è quello di non far comprendere la comunicazione a terzi, non tra loro...
Se poi tu intendi che se dai una chiave simmetrica sempre uguale a tutti i client, e quindi basta che uno legge sul client la chiave una volta e poi la conosce e quindi può decifrare tutti i successivi dati anche non destinati a lui, allora si, ti do ragione, ma commetteresti una gravissima ingenuità... non si lavora così con la crittografia :)
in genere di usa un algoritmo asimetrico per scambiarsi una chiave di sessione simmetrica monouso, quindi una diversa per ogni sessione! ecco perchè è importante che ci sia un certificato di una terza parte, ovvero qualcosa che attesta (per farti un esempio) che tu non stia fornendo dati criptati con una chiave ad una terza persona che finge di essere il vero server e a sua volta le passa al vero server (con una chiave sua) dopo averli letti, fornendoti la risposta del vero server (sempre dopo averla letta) con la chiave che sta usando per te. Così la crittografia non serve a nulla!
>
>Silverlight non l'ho mai utilizzato, quindi vi domando si hanno
>le stesse tipologie di problematiche oppure si risolve???
>oppure
>Mi consigliate di utilizzare semplicemente SSL???
Sicuramente usare ssl significa che non devi preoccuparti di criptare tu da codice, ma anche in questo caso, senza certificato (si, si può usare ssl con certificato "autoprodotto"!) potresti incorrere negli stessi problemi citati prima.
Comunque, puoi sempre provare a fare tu da "terza parte che certifica", ma dovresti comunque conoscere bene il sistema crittografico in generale, e comunque non sarà una cosa ne facile ne sicura, senza contare che devi avere un buon posto per archiviare le key in maniera sicura (il che non è per nulla semplice come può sembrare... scordati server condivisi e simili)
Gluck74
Profilo
| Guru
1.359
messaggi | Data Invio:
gio 22 mar 2012 - 11:52
dipende da quello che devi fare.
se il servizio che devi rendere sicuro, è pubblico, be si, SSL è la miglior cosa.
Se non è pubblico, decidi tu in base anche al tuo budget, poiché un certificato ha un costo.
____________
Ricordati di utilizzare il tasto "Accetta" se i nostri consigli ti sono serviti a risolvere il problema.
È il modo per ringraziare chi ti ha aiutato.
TOPOAMORE
Profilo
| Expert
695
messaggi | Data Invio:
gio 22 mar 2012 - 16:08
Ok vada per SSL (tanto non pago io :) )
Scherzi a parte ora ho creato una macchina virtuale con windows server 2008 e creato il mio certificato , lo installo e tutto va bene....ovviamente mi chiede la conferma del certificato perche non lo ritiene attendibile....come si puo evitare questa verifica ????
__.__.__.__.__.__
http://salvatorecervone.wordpress.com
ASP 2.0 - VB 2008
u235
Profilo
| Junior Member
125
messaggi | Data Invio:
gio 22 mar 2012 - 16:33
>Ok vada per SSL (tanto non pago io :) )
>
:)
>Scherzi a parte ora ho creato una macchina virtuale con windows
>server 2008 e creato il mio certificato , lo installo e tutto
>va bene....ovviamente mi chiede la conferma del certificato perche
>non lo ritiene attendibile....come si puo evitare questa verifica
>????
Mi sa che non puoi, serve proprio ad avvisare il navigatore che il certificato del server non è attendibile in quanto non realmente certificato. Impostazione di sicurezza proprio per tutelare il navigatore dai rischi menzionati nel post precedente.
Comunque alcuni siti offrono certificati "low cost" (no verisign), ma alcuni utenti non si fidano, sempre se guardano chi ha rilasciato il certificato e come... ma il più delle volte l'utonto non guarda manco il certificato stesso, figura se guardano chi lo ha rilasciato (sempre se non si tratta di usare la carta di credito...)!
TOPOAMORE
Profilo
| Expert
695
messaggi | Data Invio:
gio 22 mar 2012 - 18:22
Quindi SSL con "errore" OK
e possibile adottare altro come sistema di siurezza
io chiedo a voi nonostante cerchi perche non trovo nulla oltre SSL e sta ditta vorrebbe un livello di sicurezza in piu....
Ad esempio...le banche cosa usano oltre SSL???
__.__.__.__.__.__
http://salvatorecervone.wordpress.com
ASP 2.0 - VB 2008
u235
Profilo
| Junior Member
125
messaggi | Data Invio:
gio 22 mar 2012 - 18:48
>Quindi SSL con "errore" OK
>
>e possibile adottare altro come sistema di siurezza
>
>io chiedo a voi nonostante cerchi perche non trovo nulla oltre
>SSL e sta ditta vorrebbe un livello di sicurezza in piu....
>
>Ad esempio...le banche cosa usano oltre SSL???
>__.__.__.__.__.__
>
>
http://salvatorecervone.wordpress.com
>
>ASP 2.0 - VB 2008
Chiavette hardware con algoritmo rsa (asimetrico) per generare un token univoco (credo tramite chiave simmetrica assegnata a priori al cliente che detiene la chiavetta) sulla base del momento in cui viene generato (pressione del tasto sulla chiavetta ed invio entro qualche secondo del valore al server, ecco perchè monouso).
TOPOAMORE
Profilo
| Expert
695
messaggi | Data Invio:
gio 22 mar 2012 - 18:51
Si quello c'e' l'ho anche io.....io intendevo a livello client-server apparte SSL cosa usano....delle loro transizione me ne fot...... :D :D :D
__.__.__.__.__.__
http://salvatorecervone.wordpress.com
ASP 2.0 - VB 2008
u235
Profilo
| Junior Member
125
messaggi | Data Invio:
gio 22 mar 2012 - 19:02
riguardo la sicurezza della comunicazione dei dati in transito non credo altro (oltre spero un monitoraggio continuo dei server e del traffico) ma non sono un esperto nel campo. poi in altri "campi" si, hanno sicuramente altri sistemi di sicurezza (qui sono più esperto in quanto rapinatore :) scherzo ovviamente!), ma adesso stiamo parlando di comunicazione tra client e server.
TOPOAMORE
Profilo
| Expert
695
messaggi | Data Invio:
gio 22 mar 2012 - 19:09
Quindi se le banche si fidano del SSL si possono fidare pure loro :D
Nel retro che sistemi di sicurezza hanno secondo te, visto che sei esperto in questo????
__.__.__.__.__.__
http://salvatorecervone.wordpress.com
ASP 2.0 - VB 2008
u235
Profilo
| Junior Member
125
messaggi | Data Invio:
gio 22 mar 2012 - 19:36
>Quindi se le banche si fidano del SSL si possono fidare pure
>loro :D
>
beh credo di si. Ma sempre con certificato, se no sono esposti a maggiori rischi confronto a non averlo.
>Nel retro che sistemi di sicurezza hanno secondo te, visto che
>sei esperto in questo????
Un disintegratore molecolare ed un cannone con proiettili a fusione termonucleare, ma sopratutto la foto di Draghi arrabbiato in mutande.
TOPOAMORE
Profilo
| Expert
695
messaggi | Data Invio:
gio 22 mar 2012 - 20:07
Ottimo...Grazie
__.__.__.__.__.__
http://salvatorecervone.wordpress.com
ASP 2.0 - VB 2008
u235
Profilo
| Junior Member
125
messaggi | Data Invio:
gio 22 mar 2012 - 20:24
Figurati, ciao :)
Torna su
Stanze Forum
Elenco Threads
Partecipa anche tu! Registrati!
Hai bisogno di aiuto ?
Perchè non ti registri subito?
Dopo esserti registrato potrai chiedere
aiuto sul nostro
Forum
oppure aiutare gli altri
Consulta le
Stanze
disponibili.
Registrati ora !