OpenDS: Replication Server

Non poteva mancare in OpenDS la Replication Server. Questa permette, una volta configurata sui vari server OpenDS, di "replicare" i dati.

Inizialmente la replica veniva configurata modificando il file di configurazione config.ldif, nelle recenti build invece avviene lanciando un comando da shell:
dsreplication.

Il comando prende in input tutti i server sui quali si vuole configurare la replica, ecco un esempio (preso dal sito di OpenDS):

$ dsreplication enable \
--host1 host1 --port1 1389 --bindDN1 "cn=Directory Manager" \
--bindPassword1 password --replicationPort1 8989 \
--host2 host2 --port2 2389 --bindDN2 "cn=Directory Manager" \
--bindPassword2 password --replicationPort2 8990\
--adminUID admin --adminPassword password --baseDN "dc=example,dc=com"

La Fiera della Sicurezza Informatica

A Milano anche quest'anno dal 5 al 7 Febbraio 2008 si svolge Infosecurity, Storage Expo Italia e Trackability.

Questo e' il sito dell'evento:

http://www.infosecurity.it

Iscrivetevi in tanti... ma lasciatemi un posto! :)

OWASP Top Ten: Security Vulnerabilities

OWASP ha stilato la lista delle maggiori vulnerabilita' di sicurezza eccole:

1 - Cross Site Scripting;
2 - Injection flaws;
3 - Malicious file Execution;
4 - Insecure Direct Object Reference;
5 - Cross Site Request Forgery (CSRF);
6 - Leakage and Improper Error Handling;
7 - Broken Authentication and Sessions;
8 - Insecure Cryptographic Storage;
9 - Insercure Communications;
10 - Failure to Rescrict URL Access.

Le ESAPI, di cui accennato brevemente in un altro post (e di cui rimando comunque una lettura sul sito di OWASP) in merito a queste vulnerabilita' offrono le seguenti "soluzioni":

1 - Validator, Encoder;
2 - Encoder;
3 - HTTPUtilities (Upload);
4 - AccessReferenceMap;
5 - User (csrftoken);
6 - EnterpriseSecurityException, HTTPUtils;
7 - Authenticator, User, HTTPUtils;
8 - Encryptor;
9 - HTTPUtilities (secure cookie, channel);
10 - AccessController

ESAPI: OWASP Enterprise Security API

Uno dei problemi piu' difficili per un sviluppatore e' realizzare applicazioni "sicure".

Difficile sia perche', per quanto ci si sforzi, e' quasi impossibile scrivere un'applicazione "inespugnabile", sia perche' spesso non si sa dove guardare e cosa fare per proteggersi.
Il piu' delle volte si utilizzano framework, piattaforme per introdurre "sicurezza" nei nostri applicativi.

Le ESAPI sono delle API per la sicurezza e, come scritto sul sito di OWASP, si prefiggono il compito di fornire un' insieme di librerie facili da utilizzare, chiare per lo sviluppo di applicazioni sicure.

Rimando alla documentazione che si puo' trovare sul sito di OWASP e invito tutti a provarle.

http://www.owasp.org/index.php/ESAPI

OpenSSO build 2

In questi giorni e' uscita la versione 2 di OpenSSO che, oltre alla parte di Identity Management, include anche FAM: Federated Access Manager.
Cosa c'e' di nuovo nella build 2 di OpenSSO:

- SAMLv2 federation adapter SPI
- C SDK
- supporto per ID-FF
- Session failover
- SAMLv2 ECP
- ECP, SAMLv2, IDP proxy etc.
- OpenDS (come data store di configurazione)

Nota FAM e' il nome commerciale Sun di OpenSSO, tuttavia le build di OpenSSO (opensource) e di Fam (Sun branded) sono identiche. :)

Per chi vuole incominciare questo e' il sito dal quale cominciare:
https://opensso.dev.java.net/public/use/index.html