Microsoft: come sviluppare sicuro sotto .NET

Microsoft: come sviluppare sicuro sotto .NET

.NET è una piattaforma sicura, dice Microsoft, ma richiede anche una maggiore responsabilità da parte di chi sviluppa codice. Un documento ne spiega i motivi e indica la via della security secondo Redmond
.NET è una piattaforma sicura, dice Microsoft, ma richiede anche una maggiore responsabilità da parte di chi sviluppa codice. Un documento ne spiega i motivi e indica la via della security secondo Redmond


Redmond (USA) – Bill Gates sostiene di aver messo la sicurezza al primo posto nelle priorità di Microsoft, dunque non stupisce che uno dei primi documenti tecnici rilasciati su MSDN insieme alle versioni finali di Visual Basic .NET e .NET Framework riguardi proprio questo tema. Ma per ben recitare questa parolina magica, “sicurezza”, Microsoft chiede l’aiuto degli sviluppatori.

Nel documento , intitolato “Security Concerns for Visual Basic .NET and Visual C# .NET Programmers”, Microsoft sostiene che il suo nuovo ambiente di sviluppo e l’infrastruttura .NET dispongono di strumenti di sicurezza più efficienti e sofisticati rispetto al passato, strumenti che a suo dire possono funzionare al meglio solo se gli sviluppatori si dimostreranno più responsabili nella stesura del codice.

“Microsoft Visual Studio .NET – si legge nel documento – vi fornisce un maggiore controllo sulla sicurezza delle applicazioni in esecuzione rispetto alle precedenti versioni di Visual Studio. Sebbene il .NET Framework fornisca maggiore controllo, esso richiede anche una maggiore responsabilità, da parte vostra, nel programmare. Ci sono problemi di sicurezza che dovete prendere in considerazione prima di creare applicazioni amichevoli e usabili per i vostri utenti”.

Microsoft raccomanda ai propri sviluppatori di prendere in considerazione, nello sviluppo delle applicazioni .NET, la possibilità che un utente neghi alcuni privilegi al programma – ed in tal caso questo dovrebbe saper “rispondere in modo cortese ai dinieghi”.

“Si deve prevenire che gli utenti che accedono alle vostre applicazioni Web dai vostri server Web – esorta Microsoft nel suo documento – possano far girare codice malizioso o dati corrotti sui vostri server”. E, ancora, Microsoft avverte che “il modo in cui configurate Visual Studio può lasciare i vostri server sotto il rischio più o meno grave di essere attaccati da codice intrusivo”.

Descrivendo le zone di sicurezza in cui gli applicativi possono girare, Microsoft raccomanda poi di testare i propri programmi in ambienti diversi, come ad esempio una intranet o Internet.

Nello sviluppo di applicazioni per il Web, Microsoft suggerisce agli sviluppatori di proteggere i propri server da codici aggressivi e dati corrotti attraverso alcune accortezze come la verifica dell’identità degli utenti che accedono al server, l’attenta configurazione delle risorse a disposizione di ogni utente e la disattivazione, quando possibile, del “Dynamic Discovery”: questa è una funzionalità che, permettendo agli utenti di localizzare i servizi Web che girano su di un server e di chiamarne i metodi, è ritenuta potenzialmente pericolosa per un server che non ne abbia stretta necessità.

Il documento dedica poi diversi paragrafi alle funzioni e ai processi di autenticazione e identificazione, ai privilegi da assegnare alle risorse, agli events log ed ai servizi di directory.

Microsoft afferma che “rendere sicure le risorse è un processo che abbraccia diverse tecnologie e l’intero ciclo di sviluppo. Attraverso un accurato progetto, implementazione, testing e fornitura delle applicazioni, potrete creare applicazioni davvero sicure”. “Le tecnologie di sicurezza – conclude il documento – fornite da ASP.NET, il sistema operativo ed i browser Web, sono disponibili per rendere sicure le vostre applicazioni”.

La parola passa ora agli sviluppatori, la cui opinione in questo frangente appare decisiva, visto che sono loro che, secondo Microsoft, hanno la responsabilità di avvalersi delle nuove tecnologie e dei nuovi strumenti integrati nell’infrastruttura .NET per costruire applicazioni davvero più sicure.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
24 gen 2002
Link copiato negli appunti