summaryrefslogtreecommitdiff
path: root/docs/chapters/introduction.tex
blob: 34fec8bdf90d5daac136e7d7475e557fe3632026 (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Questa relazione fa riferimento a quanto riportato dalla OWASP Foundation \cite{OWASP:1} in merito alla classifica dei Top 10 rischi nei dispositivi mobile dell'anno 2016 \cite{OWASP:2}.

Definire cosa sia un'\textbf{autorizzazione} è compito di ogni studente del corso di Internet Security ma, stando a quanto citato nell'articolo di Auth0\cite{auth0:1} un'autorizzazione è \emph{il processo di dare a qualcuno l'abilità di accedere ad una risorsa}.

Proprio questo, infatti, è quello di cui abbiamo ampiamente discusso nel modulo di \emph{Identity and Access Management} ed è quello che Auth0 fa esattamente: un gateway per implementare autenticazione e autorizzazione mediante servizi terzi. Per intenderci, esso risolve il classico problema del "Sign in with Google/Facebook/Microsoft".
\section{Autenticazione vs Autorizzazione}
Sono innanzitutto due differenti header in una richiesta HTTP, oltre ad avere anche un diverso significato semantico.

Il primo dà la conferma che la coppia di informazioni - come ad esempio (nome utente, password) - inserite si riferiscano realmente ad un utente presente nel sistema.

Il secondo vede se l'utente registrato ha i permessi per la risorsa; avviene dopo che l'utente ha eseguito il sign in. 
\section{Problema nell'autenticazione}
In poche righe, dato che non è argomento di questa relazione, un'autenticazione all'interno di un dispositivo mobile non è \emph{necessariamente} un bug o un errore di progettazione all'interno di un server a cui si fanno richieste.

Infatti ci si potrebbe riferire ad un problema circoscritto localmente al dispositivo mobile, come ad esempio fingerprint o WiFi.
\section{Problema nell'autorizzazione}
L'autorizzazione invece può spaziare, dare per assodato che l'autenticazione è stata fatta, e quindi rilasciare una risorsa solo perché quel token che gli stiamo passando è effettivamente \emph{un token valido}, o meglio, un token abilitato (che quindi ha il permesso) a visualizzare (o modificare) una determinata risorsa.