Rendere sicure comunicazioni fra PDA e database

[Luca_pluatrco]

Buongiorno,

ho realizato un sito web ottimizzato per dispositivo mobili (PDA e smartphones). I linguaggi usati sono ASP.NET (per la parte dinamica) e XHTML (parte statica).

L'utente accede al sito "mobile" tramite un login obbligatorio. Dato che vi è una versione del sito "non mobile" ove l'utente ha alcune funzionalità aggiuntive (ed alcune delle quali possono avere serie conseguenze, ad es. eliminare un utente del sistema), volevo cifrare le comunicazioni che il client effettua con il database dell'azienda per verificare le credenziali dell'utente.

Pensavo di usare l'algoritmo AES-256 (al momento il più sicuro) per cifrare/decifrare le informazioni sensibili. Tuttavia si tratta di un algoritmo a chiave simmetrica, quindi i due "interlocutori" (qui client e server) dovrebbero condividere la stessa chiave. Questo potrebbe costituire un problema in un contesto dove ci sono molti utenti ed è necessario distribuire le chiavi e mantenere in memoria (lato server) una chiave diversa per ogni utente del sistema.

Tuttavia al momento questa mi pare la soluzione migliore e più economica. Qualcuno saprebbe consigliarmi su un'eventuale soluzione alternativa (possibilmente elencandone i pregi/difetti) o appoggiare la mia decisione qualora sia condivisa?

Grazie

[Habanero]

HTTPS ha già tutto quello che ti serve e ti basta solo configurare opportunamente il server...

L'unico svantaggio è che potresti aver bisogno di acquistare un certificato... non so chi siano i destinatari della tua applicazione. Per fare delle prove puoi autogenerarti il certificato (e quindi non pagare nulla). Lo svantaggio è che il browser non riconoscento l'autorità certificatrice chiederà una conferma all'utente per l'uso del certificato stesso.

[Luca_pluatrco]

Nel mio caso gli utenti sono i membri di vari progetti informatici. Il sito web accessibile da dispositivi mobili costituisce la rappresentazione "mobile" di una piattaforma collaborativa, dove i vari utenti possono accedere/condividere materiale inerente al progetto di cui sono membri.

Anche io avevo pensato ad Https. Tuttavia il fatto di dover acquistare un certificato e quindi pagare qualcosa non verrebbe gradito dagli amministratori della piattaforma stessa. Per questo avevo pensato a qualcosa di alternativo.

Fare a meno del certificato ovviamente farebbe sì che non sarebbe possibile stabilire l'originalità della sorgente, ma forse gli utenti nel mi ocontesto potrebbero farne a meno, dato che i progetti non hanno un'estensione vasta e i membri si conoscono quasi tutti per via di meeting e workshops.

Potrebbe quindi essere una soluzione solo Https senza certificato? Se sì, come potrei fare per stabilire una connessione "secured" con dispositivi mobili (PDA e Smartphones)? Aggiungo che, essendo la mia un'applicazione di test per dimostrare alcune possibili potenzialità, una soluzione che sia meno invasiva possibile lato server sarebbe preferita.

Grazie di nuovo

[Habanero]

https non può funzionare senza certificato... il certificato semplicemente devi autogenerarlo.

Dal punto di vista dei client è sufficiente che il browser possa accedere in https.
L'applicazione sul server invece deve essere predisposta per girare su un sito SSL. In linea di principio la tua applicazione rimane identica. Cambia solo il contesto del server. A riguardo non ho esperienza con IIS... ho sempre fatto tutto con Apache e OpenSSL quindi non ti posso dare ulteriori consigli.

Se ti servono informazioni su come creare un sito SSL con IIS ti consiglio di postare nella sezione Information Server