Molti problemi di sicurezza nella pratica sono causati dalla complessità dei sistemi costruiti, ad esempio, unendo sistemi più piccoli in sistemi più grandi, attraverso implementazioni leggermente incompatibili o problemi di configurazione complessi. Ricorda che i sistemi sono sicuri solo quanto il loro punto più debole! Oggi, la crittografia è difficile da violare, ma i sistemi concreti costruiti sono vulnerabili. La maggior parte degli attacchi riusciti si basa su errori di programmazione e configurazione

Linee guida sulla sicurezza

• Design:
  • Mantieni la semplicità.
  • La sicurezza attraverso l'oscuramento non funzionerà.
  • Usa i privilegi minimi possibili.
  • Separa i privilegi.
• Implementazione:
  • Convalida l'input e l'output del tuo sistema.
  • Non fare affidamento sulla convalida lato client.
  • Fallisci in modo sicuro.
  • Usa e riutilizza componenti affidabili.
  • Testa il tuo sistema (ad esempio, utilizzando strumenti di attacco).
    • strumenti di attacco
• Tecniche aggiuntive:
  • Non devi fare affidamento solo su un firewall "standard" (filtraggio di IP e porte): devi filtrare attentamente a livello di applicazione!
  • I firewall a livello di applicazione possono essere utili, ma non sono una soluzione completa.
  • Applica la rilevazione delle intrusioni.
• I problemi di sicurezza cambiano ogni giorno: mantieniti aggiornato!
• Rivedi regolarmente la tua configurazione
• Spiegazione

Ulteriori riferimenti (extra)

• William Stallings, Crittografia e Sicurezza delle Reti, Prentice Hall, 2003
• The Open Web Application Security Project, http://www.owasp.org
• I Dieci Punti più Critici sulle Vulnerabilità della Sicurezza delle Applicazioni Web, OWASP, 2004, http://www.owasp.org/documentation/topten.html
• Guida alla Costruzione di Applicazioni Web Sicure: The Open Web Application Security Project, OWASP, 2004, http://www.owasp.org/documentation/guide.html
• David Scott e Richard Sharp, Sviluppo di Applicazioni Web Sicure in IEEE Internet Computing. Vol. 6, n. 6. Nov/Dic 2002. http://cambridgeweb.cambridge. intel-research.net/people/rsharp/publications/framework-secweb.pdf
• Domande Frequenti sulla Sicurezza delle Applicazioni Web, OWASP, http://www.owasp.org/documentation/appsec_faq.html
• http://www.cert.org/
• Web Application Security Consortium. Web Application Security Statistics, 2008. http://projects.webappsec.org/w/page/13246989/Web-Application-Security-Statistics