Ancora sull’Application Security : SSL è superato dalle specifiche WS-* ??

Non credevo di suscitare tanto interesse con questo mio precedente post 🙂 ma ne sono contento perchè questo conferma una buona sensibilitĂ  verso l’application security. Ho ricevuto molte email riguardo l’uso di SSL alcune delle quali mi chiedevano se  tale protocollo è da considerarsi ancora sicuro. Vedo di sintetizzare un po’ di miei pensieri… sperando di…

2

Visualizzare messaggi SOAP protetti da SSL

Durante la mia sessione alla conferenza Basta!Italia ho fatto vedere come analizzare il traffico SOAP tra due servizi protetti da SSL presenti sulla stessa macchina di sviluppo (scenario molto comune quando si programma :-). L’obiettivo era quello di visualizzare il Security Token di tipo Username & Password definito da WS-Security all’interno dell’header SOAP. Nel caso…

1

Windows Web Services API : Configurazione Certificati e sicurezza per gli esempi con SSL

Tutti gli esempi che ho creato nei post precedenti erano su HTTP quindi senza sfruttare la sicurezza di trasporto (SSL). Ora vediamo quali passi sono necessari per configurare la comunicazione su SSL (uso questo esempio su MSDN ) IMPORTANTE !!! In questo post alcune delle configurazioni che faccio sui certificati digitali possono risultare molto pericolose…

3

A volte ritornano… CAPICOM – parte 3 – Encryption

In crittografia l’informazione in chiaro viene chiamata “plaintext” mentre lo stesso dato cifrato viene denominato “ciphertext”. L’encryption è la procedura che converte il paintext in ciphertext, il decription è la funzione inversa che converte il ciphertext in plaintext. Con CAPICOM è possibile effettuare due distinte operazioni di encryption : a chiave segreta e a chiave…

1

Certificati, Store e un po’ di utilities via CryptoAPI

Oggi ho dovuto riesumare i ricordi sulle CryptoAPI e C SDK. Ecco un po’ di codice per la gestione dei certificati X509, i certificate store, i key containers e un po’ di utilities che possono risultare utili 🙂 Attenzione, se riutilizzate il codice verificate che si integri con il vostro sistema di Exception Management!! Certificati…

1

Store dei certificati in Windows : tutto quello che un Architetto dovrebbe sapere

Cominciamo con i ricordi…A partire da Windows NT 4 SP3 il sistema operativo è in grado di salvare i certificati X509 in una struttura persistente chiamata “Certificate store”. A quel tempo il supporto per la gestione dei certificati era molto limitata nelle performance, essendo un’operazione gestita in singled-Threaded, e nelle funzionalitĂ , perchè era una semplice…

1

Due parole sulla sicurezza degli algoritmi crittografici.

Questo è un micro sunto da ricordare quando si progetta un nuovo software oppure quando si valutano degli applicativi sviluppati da terzi.   La robustezza di un sistema di cifratura a chiave simmetrica è dovuto a due fattori : la robustezza dell’algoritmo e la lunghezza delle chiavi. La robustezza di un algoritmo non è provato in…

1

Certificati digitali in Windows : tutto quello che un Architetto dovrebbe sapere

Certificati Digitali I Certificati sono firmati digitalmente dalla Certification Authority (CA) che li ha rilasciati e sono composti da una struttura dati estendibile di campi obbligatori e opzionali. La struttura dei certificati digitali a chiave pubblica comunemente utilizzata è quella definita dallo standard X.509 specificato da ITU-T (International Telecommunications Union-Telecommunication) e ISO (International Organization for…

7