La sicurezza è uno delle evoluzioni e miglioramenti che Microsoft ha compiuto nel passaggio dalla versione 5 alla 6 di IIS. Uno dei rischi più grossi cui si andava incontro nella versione 5 era relativo alle falle che davano accesso al sistema. Analizziamo ora quali sono in dettaglio i sistemi di autenticazione che IIS 6.0 supporta per l’accesso alle risorse da parte dei navigatori web.
L'autenticazione in IIS 6.0 avviene mediante uno dei metodi sotto indicati:
-
Autenticazione anonima
-
Autenticazione base
-
Digest e Advanced Digest authentication
-
Integrated Windows authentication
-
.NET Passport authentication
Autenticazione Anonima
Il server utilizza un utente del sistema per impersonare il navigatore web non autenticato quando vengono richieste risorse al sistema. L'utente predefinito è “iusr_nomemacchina” (ad esempio se il server Windows si chiama GANDALF il nome dell'utente predefinito che il server utilizzerà per impersonificare un utente che naviga su un sito di IIS 6.0 senza nessun tipo di autenticazione sarà “iusr_gandalf”). Questa è la situazione più diffusa, quando cioè non compaiono le finestre del browser che richiedono di autenticarsi.
I vantaggi di un tale sistema di autenticazione è che ogni risorsa è accessibile per chiunque, questo è anche uno svantaggio, in quanto non è possibile bloccare l'accesso a determinate risorse.
Ciascuna di queste autenticazioni è presente nell’apposita scheda (vista precedentemente) “Protezione directory”.
Autenticazione base
Con questa autenticazione si obbliga il sito ad accettare solo utenti che possiedono le credenziali corrette.
Quando compare sul browser la finestra di sistema (è importante perché certi siti malintenzionati potrebbero clonare una finestra simile) che chiede nome utente e password, l’utente inserirà le proprie credenziali e il server web utilizzerà tali credenziali di sistema per concedere o negare risorse (quindi pagine web) alla sessione web in corso.
Un grande vantaggio è che tutti i browser la supportano, inoltre è possibile direttamente proteggere alcune risorse. Lo svantaggio è che le password passano in chiaro (codificate in base 64) e possono essere lette da chiunque.
Ultimi articoli Server
Mod_pagespeed: modulo Apache per velocizzare i sitiCome utilizzare il modulo open source mod_pagespeed per Apache 2.2 e... |
Apache 2.4: le novitàApache 2.4 ha introdotto miglioramenti notevoli in termini di... |
Migliorare le prestazioni dei propri siti webLe best practices per ridurre i tempi di risposta delle proprie... |
L'hosting per applicazioni .NET e WebMatrixCome e perché creare le condizioni per ospitare applicazioni... |
HTTP: i nuovi status codeUna veloce panoramica sui nuovi codici HTTP e sull'utilizzo che se... |
Guide Server
Guida risparmio energetico per serverDalla determinazione dei consumi al risparmio, dalla... |
Guida SubversionSVN è uno dei sistemi per il versioning più utilizzati al mondo.... |
Guida Application serverCosa sono, quali sono e come possono essere utilizzati nella... |
Newsletter
Ogni settimana, in due distinte newsletter: notizie a approfondimenti su Apache e IIS.
Iscriviti alla newsletter
Corsi in aula
|
|
Amministratore di Reti Windows Server 200811 Giugno 2012 a Milano |
|
Nessun corso previsto |