>> Torna all'Homepage <<
Contattaci Entra nei forum Cerca nel sito
News della settimana ASP: esempi di pagine dinamiche Trucchi e suggerimenti per il PC Manuali e guide I dossier e gli approfondimenti di AmicoPc Il sito della settimana I racconti di Armando Staffa Chi siamo
     
 

 

 

  

LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET

Studio per il corso di "ECONOMIA E GESTIONE DELLE IMPRESE COMMERCIALI: E-commerce - Franchising e accordi di distribuzione" presso l'Università Commerciale "Bocconi" di Milano, in collaborazione con Matteo Bianchi e Alessandro Buzzi.

SICUREZZA nelle TRANSAZIONI (1/4)

Tralasciando gli aspetti culturali, sociali e politici che possono favorire, o al contrario rallentare la diffusione del commercio via Internet, vogliamo qui analizzare le soluzioni tecnologiche che consentono di definire sicura una transazione effettuata mediante rete digitale.
Se si dovesse garantire un adeguata sicurezza di una singola postazione di lavoro, si dovrebbero prendere in considerazione prodotti come: Suite di sicurezza o Antivirus SW di crittografazione della posta elettronica Filtri anti spam (bloccano i messaggi commerciali non richiesti) Password manager Con riferimento al mondo aziendale la situazione è leggermente più complessa in quanto dobbiamo gestire un numero indefinito di utenti che passano attraverso un server e che, essendo tutti interconnnessi, possono causare gravi danni al sistema.
Inoltre abbiamo la necessità di proteggere i dati che risiedono all’interno della LAN (Local Area Network) da eventuali attacchi da parte di malintenzionati.
In particolare è necessario garantire la sicurezza su quattro livelli: connessione Browser-Sito connessione Intranet-Internet Intranet aziendale computer dell'utente

1. CONNESSIONE BROWSER-SITO
Per garantire un collegamento sicuro fra il computer dell'utente e il server del venditore, si ricorre generalmente all'utilizzo dei protocolli, fra cui lo standard, al momento, è rappresentato dal protocollo SSL 3.0 (Secure Socket Layer), creato dalla Rsa. Esso consente innanzitutto di stabilire una connessione sicura fra le due parti, garantendone l'interoperabilità (tale protocollo è facilmente integrabile all'interno del software) e l'estendibilità, cioè la possibilità di incorporare, se necessario, nuovi chiavi pubbliche e nuovi algoritmi di codifica, evitando così di sostituire il protocollo nel caso si volesse variare il proprio livello di sicurezza. Inoltre non è necessario inserire username o password. Inoltre lo stesso protocollo SSL incorpora al suo interno una sessione opzionale di cache, in modo da alleggerire il lavoro della CPU, che viene messa sotto sforzo con l'uso delle chiavi pubbliche. Tale protocollo è integrato nei più diffusi browser (Netscape e Explorer). I titolari di carte di credito possono acquistare in modalità SSL in quanto la transazione è assimilata agli acquisti effettuati per telefono o per corrispondenza, detti anche MOTO (Mail Order Telephone Order). Non vi è però la certezza dell'identità di chi sta effettuando la transazione, poiché non vi è la ''firma'', e quindi la transazione è ripudiabile dal legittimo titolare della carta, il quale, a seguito di tali operazioni, può contestare l'estratto conto mensile. Per ovviare a tale problema (ripudiabilità delle operazioni), VISA, MasterCard ed altri partner, hanno introdotto un protocollo diverso: il SET. Non tutti i browser sono abilitati alle transazioni SET e per poterlo utilizzare è necessario l'installazione di un software specifico (ad eccezione della recente versione 5 di Internet Explorer); inoltre ogni titolare di carta di credito deve chiedere alla società emittitrice un codice personale (PIN, Personal Identification Number). Come si vede la procedura è più macchinosa ma ha il vantaggio di garantire l'identità dell'acquirente e le transazioni effettuate non sono ripudiabili dal titolare, a meno che non riesca a dimostrare l'uso fraudolento del software SET e del suo PIN. Per il momento quasi nessun sito ha adottato questo protocollo. Naturalmente esistono altri tipi di protocollo, più o meno diffusi: basti citare l'SHTTP (Secure Hypertext Transfer Protocol), l'PCT (Private Communication Technology), l'STT (Secure Transation Technology), il CISCO (Commercial Internet Protocol Security Option). A questo proposito è utile sottolineare come qualche anno fa, un nuovo protocollo impiegasse anni per raggiungere un vasto consenso. Oggi i prodotti ed i protocolli si affermano come standard con una velocità sorprendente, soprattutto in virtù della forza della comunicazione commerciale. In questo caso si parla di Internet Time, intendendo con questo termine la "costante accelerazione con cui vengono rilasciati nuovi protocolli e prodotti le cui funzionalità sono rivolte all'uso di Internet" (1)
Ciò comporta notevoli conseguenze dal punto di vista della sicurezza:

  • tutti i prodotti sono sempre nello stato di versione beta, perché c'è sempre bisogno di aggiungere nuove funzionalità;
  • la qualità del codice di tali programmi peggiora, in quanto la fase di beta testing ha sostituito la fase di controllo della qualità e, a causa dei ridotti tempi di sviluppo, non c'è tempo per un test dettagliato;
  • i venditori cercano di proporre i propri prodotti come standard;
  • la sicurezza è considerata un livello aggiuntivo del prodotto e non viene incorporata nel progetto iniziale. Per tali motivi è auspicabile un'omologazione dei diversi protocolli, magari in seguito ad un intervento governativo.

(1) Faenzi Francesco, La sicurezza in ambienti Internet ed Intranet, Tesi di Laurea, Università degli Studi, Genova, 1998

 

<< indietro

Utenti connessi: 57

Invia questa pagina ad un amico

 

 

  

Chi siamo | Pubblicità | Note sulla privacy | Dicono di noi
Grafica cura di Paolo Omero - Stefania Migliorucci