La sicurezza è uno delle evoluzioni e miglioramenti che Microsoft ha compiuto nel passaggio dalla versione 5 alla 6 di IIS. Uno dei rischi più grossi cui si andava incontro nella versione 5 era relativo alle falle che davano accesso al sistema. Analizziamo ora quali sono in dettaglio i sistemi di autenticazione che IIS 6.0 supporta per l’accesso alle risorse da parte dei navigatori web.

L’autenticazione in IIS 6.0 avviene mediante uno dei metodi sotto indicati:

  • Autenticazione anonima

  • Autenticazione base

  • Digest e Advanced Digest authentication

  • Integrated Windows authentication

  • .NET Passport authentication

Autenticazione Anonima

Il server utilizza un utente del sistema per impersonare il navigatore web non autenticato quando vengono richieste risorse al sistema. L’utente predefinito è “iusr_nomemacchina” (ad esempio se il server Windows si chiama GANDALF il nome dell’utente predefinito che il server utilizzerà per impersonificare un utente che naviga su un sito di IIS 6.0 senza nessun tipo di autenticazione sarà “iusr_gandalf”). Questa è la situazione più diffusa, quando cioè non compaiono le finestre del browser che richiedono di autenticarsi.

I vantaggi di un tale sistema di autenticazione è che ogni risorsa è accessibile per chiunque, questo è anche uno svantaggio, in quanto non è possibile bloccare l’accesso a determinate risorse.

Ciascuna di queste autenticazioni è presente nell’apposita scheda (vista precedentemente) “Protezione directory”.

Autenticazione base

Con questa autenticazione si obbliga il sito ad accettare solo utenti che possiedono le credenziali corrette.

Quando compare sul browser la finestra di sistema (è importante perché certi siti malintenzionati potrebbero clonare una finestra simile) che chiede nome utente e password, l’utente inserirà le proprie credenziali e il server web utilizzerà tali credenziali di sistema per concedere o negare risorse (quindi pagine web) alla sessione web in corso.

Un grande vantaggio è che tutti i browser la supportano, inoltre è possibile direttamente proteggere alcune risorse. Lo svantaggio è che le password passano in chiaro (codificate in base 64) e possono essere lette da chiunque.
11 / 24

I sistemi di autenticazione avanzata