Con la pubblicazione di un’applicazione web ci si pone il problema di proteggere il codice sorgente dell’applicazione stessa, dato che l’applicazione è interamente accessibile all’amministratore del sito Internet.

Infatti, per un’applicazione commerciale non è auspicabile che chi ha accesso alle cartelle dell’applicazione possa in qualche modo modificare l’applicazione (soprattutto nella parte relativa al sorgente, più che nella parte relativa alla presentazione delle pagine) o, peggio, utilizzare direttamente il codice sorgente per costruire un’applicazione commerciale analoga.

Con Visual Studio 2005 e ASP.NET 2.0 questo obiettivo è facilmente raggiungibile, come evidenziato dalle seguenti istruzioni:

• dal menu “Genera” scegliere la voce “Pubblica sito web”; comparirà una maschera per la scelta della destinazione di pubblicazione e di altre informazioni;
• è possibile pubblicare il sito in una cartella locale (ad esempio per test, prima della pubblicazione definitiva), semplicemente cambiando il percorso di destinazione. Si consiglia di creare una cartella vuota appositamente per lo scopo di depositare i file destinati alla pubblicazione;
• in alternativa è possibile fare click sul pulsante “…” e scegliere se pubblicare in una cartella locale (scegliendo la cartella stessa), su IIS locale, in FTP o su un sito remoto (richiede le estensioni del server di FrontPage);
• dopo aver inserito le informazioni sulla destinazione, attivare la casella relativa a “Attiva nome sicuro su assembly precompilati”, poi selezionare “Utilizza un contenitore di chiavi” e inserire un nome a scelta (es. “chiavi”), poi confermare con OK.

Nella finestra di output verranno visualizzate le varie fasi di pubblicazione. Nel caso in cui i file siano già presenti nella cartella di destinazione, comparirà una richiesta di conferma di eliminazione dei file già presenti.

Verificando i risultati, si troverà che tutti i file con estensione “.vb” (destinati a mantenere “in chiaro” il codice sorgente in Visual Basic delle pagine) sono spariti, così come è sparita la cartella App_Code, preposta a contenere tutte le classi generali (analoghe ai moduli globali di VB6).

Al loro posto è comparsa invece una cartella “bin” contenente le DLL che sono il risultato della compilazione dei file di codice sorgente di Visual Basic di tutte le pagine del sito.
Ovviamente non è possibile compilare le pagine “.aspx” il cui sorgente, costituito da tag HTML, rimane visibile.

Certamente, però, la compilazione del codice VB permette di nascondere all’utente e all’amministratore del sito tutte quelle funzionalità più importanti che caratterizzano il comportamento dell’applicazione web.

Oltre alle tecniche finora spiegate, native di Visual Studio, mi è stato segnalato da Antonio Catucci (aka “tdj”) un suo post relativo a un add-in per Visual Studio, scaricabile gratuitamente: Visual Studio 2005 Web Deployment Project. Per approfondimenti, inoltre, è possibile consultare l’articolo MSDN “Using Web Deployment Projects with Visual Studio 2005“.

Mi sono imbattuto, quasi per caso, in un articolo interessante sulla protezione del codice che ogni sviluppatore dovrebbe conoscere:

http://msdn.microsoft.com/msdnmag/issues/02/09/securitytips/default.aspx?loc=it

Sono 10 suggerimenti che dovremmo imporci di applicare, ma molto spesso per pigrizia o per scarsa conoscenza dell’argomento non applichiamo.

Ho avuto una segnalazione di un paio di indirizzi che elencano tutta una serie di indirizzi IP e di domini da evitare e, se possibile, mettere in “black list”:

http://maipiugromozon.blogspot.com/2007/01/lista-ip-da-bloccare.html

http://punto-informatico.it/b.aspx?i=1926381&m=1927740

Spesso questi siti propongono dei servizi di statistiche “free” per il vostro sito, ma in realtà celano al loro interno dei “spara-malware”, quindi fate attenzione ai servizi free che utilizzate!

La sicurezza informatica è sempre un ambito critico per il nostro lavoro: tutti ne parlano e pochi ne sanno abbastanza. Anch’io sento molto l’importanza di questo argomento e ne vorrei sapere molto di più, tanto che ho accolto con vero piacere una nuova iniziativa editoriale on line.

Ho infatti avuto il privilegio di essere contattato da uno dei fondatori di questa nuova rivista, Security System, che si propone di trattare vari argomenti sulla sicurezza sia in ambiente Windows sia in Linux.

Il saggio, scaricabile gratuitamente, è un “Focus on” riguardante il Kernel 2.6 di Linux e le tecnologie anti overflow.

Personalmente ho utilizzato e fatto qualche esperimento con Linux circa una decina di anni fa e poi, per varie ragioni (soprattutto il poco tempo disponibile), l’ho abbandonato.

Il primo “Focus on”, quindi, per me è leggermente difficile da seguire, proprio per la mia inesperienza su questo ambiente.

A parte questo mio “handicap” tecnologico, certamente non ho alcun dubbio dell’alta qualità dell’articolo, visti gli ottimi contenuti sia in termini di spiegazione sia dal punto di vista delle tabelle e dei riquadri di approfondimento.

Ritengo quindi che questa nuova rivista sia estremamente interessante, per i contenuti ma anche per il formato “elettronico”.

Augurando, quindi, a Security System e ai suoi fondatori un grande successo, riporto qui di seguito il comunicato stampa ufficiale.

Siracusa, 5 Novembre 2007 - Nasce Security System, la prima rivista italiana di sicurezza informatica completamente distribuita in formato elettronico.

Il progetto che orbita attorno al sito http://www.segfault.it/, nasce in Italia da un’iniziativa personale di cinque membri, autogestita ed autofinanziata. Con l’ausilio unicamente di Internet e delle nuove tecnologie Web 2.0, avvalendosi della vetrina e dello store di lulu.com, lo staff ha messo in piedi l’intera l’iniziativa in meno di tre mesi, rilasciando il primo numero della rivista proprio oggi.

Con una chiara impronta underground che la redazione promette di mantenere nel tempo ma destinato a crescere anche in direzione dell’interesse aziendale, Security System si rivolge tanto ai sistemisti ed ai programmatori esperti, quanto agli utenti che hanno semplicemente desiderio di conoscere questo mondo o che vogliono intraprendere una professione nel settore. La filosofia del progetto è orientata all’apertura più totale verso la comunità globale della rete. Ciascun rilascio della rivista rimarrà infatti a pagamento per quattro mesi, trascorsi i quali sarà reso accessibile al download gratuito a tutti gli utenti.

Il numero 0 di Security System può essere acquistato e scaricato dal sito http://www.segfault.it/bill.html (ulteriori informazioni sulle modalità di pagamento direttamente su http://www.segfault.it/). Per migliorare la qualità delle uscite nel tempo, la redazione invita ad inviare suggerimenti di qualsiasi natura (sull’impostazione grafica, sui contenuti o altro) all’indirizzo parlalarete@segfault.it.

Nel primo numero:

• Kernel 2.6 e tecnologie Anti Overflow
• Stack Overflow Vanilla: il caso mod_jk
• Bypassare Exec-Shield su Fedora e Red Hat Linux
• SAOR: Attacco al TCP
• Filter Driver: costruire rootkit a basso sforzo sfruttando il modello driver stratificato di Windows
• Racconti Underground: la vera storia dell’Unicode Bug

ed altro ancora…

Un articolo di saggio è disponibile su http://www.segfault.it/saggio/focus_on.pdf