diff options
Diffstat (limited to 'docs/chapters/introduction.tex')
| -rw-r--r-- | docs/chapters/introduction.tex | 15 |
1 files changed, 15 insertions, 0 deletions
diff --git a/docs/chapters/introduction.tex b/docs/chapters/introduction.tex new file mode 100644 index 0000000..ce461ee --- /dev/null +++ b/docs/chapters/introduction.tex @@ -0,0 +1,15 @@ +Questa relazione fa riferimento a quanto riportato dalla OWASP Foundation \cite{OWASP:1} in merito alla classifica dei Top 10 rischi nei dispositivi mobile dell'anno 2016 \cite{OWASP:2}. + +Definire cosa sia un'\textbf{autorizzazione} è compito di ogni studente del corso di Internet Security ma, stando a quanto citato nell'articolo \cite{auth0:1} un'autorizzazione è \emph{il processo di dare a qualucuno l'abilità di accedere ad una risorsa}. + +Proprio questo, infatti, è quello di cui abbiamo ampiamente discusso nel modulo di \emph{Identity and Access Managment} ed è quello che Auth0 fa esattamente: un gateway per implementare autenticazione e autorizzazione mediante servizi terzi. Per intenderci, esso risolve il classico problema del "Sign in with Google/Facebook/Microsoft". +\section{Autenticazione vs Autorizzazione} +Oltre ad essere un header in una richiesta HTTP differente essi hanno un significato semantico differente. + +Il primo dà la conferma che la coppia di informazioni - come ad esempio (nome utente, password) - inserite si riferiscano realmente ad un utente presente nel sistema. + +Il secondo no, avviene, in teoria, dopo che l'utente ha eseguito il sign in. +\section{Problema nell'autenticazione} +In poche righe, dato che non è argomento di questa relazione, un'autenticazione all'interno di un dispositivo mobile non è \emph{necessariamente} un bug o un errore di progettazione all'interno di un server. Questo perché si potrebbe avere un'applicazione single-page che non si interfaccia ad un backend presente in un server remoto e quindi i dati di autenticazione si possono riferire al dispositivo mobile locale. +\section{Problema nell'autorizzazione} +L'autorizzazione invece può spaziare, dare per assodato che l'autenticazione è stata fatta, e quindi rilasciare una risorsa solo perché quel token che gli stiamo passando è effettivamente \emph{un token valido}, o meglio, un token abilitato (che quindi ha il permesso) a visualizzare (o modificare) una determinata risorsa.
\ No newline at end of file |