[ASP] Sicurezza

[SuperMariano81]

Salve a tutti!
Volevo chiedervi una informazione riguardante la sicurezza nel trattare i dati sensibili.
Ho un piccolo sito dove pubblico numeri di telefono, di cellulare, indirizzi ecc...
Si entra tramite password ed user ID; è stato creato tutto da me in ASP, dalla maschera di inserimento (ogni utente entra tramite password ed aggiorna il suo profilo) alla pagina di ricerca, dalla visualizzazione al controllo degli accessi....

Mi è venuto un dubbio, io scrivo nel db in maniera chiara, senza nessun algoritmo riguardante la sicurezza nel trattare i dati, dite che devo fare qualcosa per criptare i dati? Ed in rete si può trovare qualcosa di "già pronto"?

L'idea che mi era venuta era di creare una pagina ASP esterna, con una procedura per la criptazione dei dati e di richiamarla di volta in volta quando serve scrivere o leggere da DB....

Che dite? Si accettano suggerimenti e critiche!

[Gioba66]

dati sensibili o dati personali?
c'è una bella differenza....

a parte questo (che è comunque fondamentale, come direbbe roby) la sicurezza è data da tanti aspetti: sicurezza del server, sicurezza del database, sicurezza dell'applicazione.
Ogni aspetto va attentamente valutato.

[SuperMariano81]

Originariamente inviato da Gioba66
dati sensibili o dati personali?
c'è una bella differenza....

a parte questo (che è comunque fondamentale, come direbbe roby) la sicurezza è data da tanti aspetti: sicurezza del server, sicurezza del database, sicurezza dell'applicazione.
Ogni aspetto va attentamente valutato.

Sono dati personali (indirizzi e numeri di telefono fissi) e dati dell'ufficio (numeri di cellulare, fax, mail...).
Il server è sicuro, abbiamo una convezione come ufficio con una ditta esterna che ha il server in casa.
L'applicazione pure, ho fatto una serie di controlli sui login , sulle parole digitate nei campi di accesso e sugli accessi.
Il DB è senza password ma in una cartella diversa da quella del sito, lo ritengo abbastanza sicuro.
La mia paura è che "qualcuno" rubi il Db e cominci a fare casini, visto che i dati sono in chiaro... mentre se fossero criptati non avrei problemi...

[Roby_72]

Se il db viene rubato probabile lo sia solo da chi ti gestisce il server, quindi stipula un contratto di responsabilità con loro che tenga conto di questo aspetto.
Puoi anche criptare le informazioni, ma se la funzione di decriptazione la scrivi nelle pagine ASP, una volta preso il db le pagine si possono prendere con altrettanta facilità e quindi anche la funzione.

Roby

[SuperMariano81]

Originariamente inviato da Roby_72
Se il db viene rubato probabile lo sia solo da chi ti gestisce il server, quindi stipula un contratto di responsabilità con loro che tenga conto di questo aspetto.
Puoi anche criptare le informazioni, ma se la funzione di decriptazione la scrivi nelle pagine ASP, una volta preso il db le pagine si possono prendere con altrettanta facilità e quindi anche la funzione.

Roby

Effettivamente....
Un contratto di responsabilità (o simile) dovrebbe essere già stato stipulato su tutto il server, non su ogni singolo DB.

Tornado sul discorso criptazione e decriptazione (per la visualizzazione) dei dati esiste qualcosa di pronto sul web (e magari free)
Oppure sono io che pretendo troppo ?

[Roby_72]

Fatti un giretto su http://www.imente.org

Roby

[Gioba66]

se i dati sono davvero da proteggere, allora non puoi usare access ma passare ad un db professionale che già ha dei tools per la protezione. ad es. in sqlserver ci sono diverse modalità di proteggere e criptare i dati, a vari livelli di sicurezza.

resta valido il consiglio di roby di agire più a livello di contratto con il provider. se invece i dati fossero su macchine sotto la tua responsabilità, allora il discorso cambia pesantemente

[SuperMariano81]

Originariamente inviato da Gioba66
se i dati sono davvero da proteggere, allora non puoi usare access ma passare ad un db professionale che già ha dei tools per la protezione. ad es. in sqlserver ci sono diverse modalità di proteggere e criptare i dati, a vari livelli di sicurezza.

resta valido il consiglio di roby di agire più a livello di contratto con il provider. se invece i dati fossero su macchine sotto la tua responsabilità, allora il discorso cambia pesantemente

@Roby grazie per il link
@Gioba66 no le macchine non sono sotto la mia resposabilità ne controllo, ne fisicamente qui in ufficio ma presso un altra ditta. Io ho solo la responsabilità di creare, gestire le pagine ed il DB.

[Gioba66]

allora se davveroo vuoi fare un buon lavoro, cerca innanzitutto di capire come è strutturato il provider, quale è la sicurezza circa l'accesso fisico ai server, l'accesso remoto, la politica di backup, di manutenzione delle macchine, ecc.... e le loro policy di accesso (chi può accedere, come accede, ) ecc. e poi tutto il monitoraggio di quello che succede sui server....

solo dopo questo, puoi avere le indicazioni del lavoro che ti resta da fare a livello di architettura sw e di database

[SuperMariano81]

Ok, ti ringrazio per le info...
Una domanda sull'algoritmo MD5 (l'ho trovato nel link di Roby), ho visto che funziona solo in fase di criptazione ma non di decriptazione, quindi se io salvo dei dati in un DB poi non posso più recuperarli o sbaglio?