Perché le applicazioni web dovrebbero utilizzare più gatekeeper?

Naviga le tue risposte
1

Ho letto una lista di controllo di sicurezza per la progettazione di applicazioni web che può essere trovata su:

link

Uno dei consigli è "usare più gatekeeper". Ho letto la spiegazione ma non ho capito nulla. Ecco la spiegazione:

On the server side, you can use IP Security Protocol (IPSec) policies to provide host restrictions to restrict server-to-server communication. For example, an IPSec policy might restrict any host apart from a nominated Web server from connecting to a database server. IIS provides Web permissions and Internet Protocol/ Domain Name System (IP/DNS) restrictions. IIS Web permissions apply to all resources requested over HTTP regardless of the user. They do not provide protection if an attacker manages to log on to the server. For this, NTFS permissions allow you to specify per user access control lists. Finally, ASP.NET provides URL authorization and File authorization together with principal permission demands. By combining these gatekeepers you can develop an effective authorization strategy.

Fondamentalmente, quello che vorrei sapere è, cosa si intende per "gatekeeper multipli"? Grazie:)

    
posta Matthew 14.09.2013 - 10:56
fonte

2 risposte

4

Anche se personalmente non sono d'accordo sull'uso del termine "guardiani" in questo senso, credo che si riferiscano ai vari componenti / moduli di difesa che costituiscono una difesa in profondità per lo stesso.

Un esempio di questo sarebbe, mentre un file web.config non può essere letto via HTTP in chiaro, qualsiasi utente connesso al sistema tramite una soluzione desktop remota (SSH, rDesktop, VNC, TeamViewer, PowerShell, ecc.) sarebbe in grado di leggerlo chiaramente. In tal caso, non solo devi configurare IIS Web Permissions per bloccare l'accesso ma dovrai configurare le autorizzazioni NTFS (File System) per specificare quali utenti possono leggere / scrivere / eseguire quel particolare file.

Pertanto, credo che stiano dicendo che una combinazione seriale di questi "gatekeeper" ti aiuterà a sviluppare un'efficace strategia di autorizzazione.

    
risposta data 14.09.2013 - 14:02
fonte
0

Abbiamo utilizzato un IP statico o intervalli IP come autenticatore del secondo fattore per utenti e dispositivi con privilegi. Vedi anche OWASP Application Security Verification Standard link anche se non ho trovato l'autenticazione multi-fattore IP coperta lì.

    
risposta data 07.03.2014 - 16:24
fonte

Leggi altre domande sui tag

sslstrip funziona solo con Internet Explorer? È possibile eseguire xss in queste condizioni?