Re: RE: [ml] Re:Xml firewall

>-------- Original Message --------
>Subject: 	RE: [ml] Re:Xml firewall
>Date: 	Fri, 19 Nov 2004 09:01:18 +0100
>From: 	balyfix@xxxxxx
>Reply-To: 	ml@xxxxxxxxxxxxx
>To: 	ml@xxxxxxxxxxxxx
>
>
>
>Ciao,
>
>un'altra osservazione per completare lo scetticismo su questa tecnologia
>e' data da quanto detto in questo blog a cui sono iscritto.
>
>http://blogs.msdn.com/mikeshaw/archive/2004/08/16/215113.aspx.


Per quanto riguarda i prodotti oggi esistenti non saprei dare un giudizio,
ma riguardo la tecnologia , dire che l'idea in se mi sembra valida:
Internet nasce come una rete di nodi interconnessi, protetti
da un azione di fitraggio sui pacchetti e regolata dalle ACL (firewalling
di prima
generazione). Domani, con l'avvento della tecnologia dei web services,
internet  dovrebbe divenire una rete di servizi intercomunicanti, protetti
da un azione di filtraggio che agisce al livello di applicazione, piu in
alto nello stack.
Volendo semplificare al massimo, questa mi sembra essere l'idea di base

che c'è dietro agli XML firewall, cioè degli application firewall specializzati
sulla tecnologia web service. In realtà le cose probabimente sono un pò
più
complicate e questi prodotti fanno anche altro, ma considererei una loro
applicazione
solo a fronte di un diffuso utilizzo di web services.
Per quanto rigurda lo scetticismo espresso nel blog, non sono affatto daccordo
solo su alcune considerazione. In un commento si consiglia di attendere
prima
di adottare questa tecnologia a causa della recente scoperta di alcune vulnerabilità
nelle funzioni crittografiche di hashing, alla base dei meccanismi di XML-Signature:
"it will force us to immediately shift our web services to support better
algorithms,
such as SHA-512, but which products/vendors support it? So maybe it is better

to wait a while... "
Questo tipo di vulnerabilità per ora deve mettere in allarme solo i crittologi
e
i matematici, che devono da oggi cominciare a studiare (probabilmente lo
stavano
già facendo) e progettare algoritmi  alternativi.
Per il mercato oggi questo scoperta è importante ma assolutamente non allarmante,
i tempi di un attacco sfruttando queste vulnerabilità per ora non sono "umani".
Tuttavia questa scoperta deve essere lo stimolo a far si che ci si prepari

ad implementare altri algoritmi esistenti (SHA-224, SHA-256, SHA-384, SHA-512)

e soprattutto da inventare (visto che quelli esistenti sono tutti delle
varianti dell'md4).
Questo è esattamente ciò che è successo in passato ad esempio quando nel
campo della
cifratura simmetrica siamo passati dall'algoritmo  DES, al 3DES e ora all'AES.

Ritengo quindi che non ci sia assolutamente motivo per dubitare oggi del
livello di
sicurezza dei prodotti che fanno ricorso alle funzioni di hash, come gli
XML firewall.



__________________________________________________________________
Tiscali Adsl 2 Mega Free: naviga gratis tutto l'anno!
Supera tutti i limiti di velocita' con Tiscali Adsl 2 Mega Free.
Sei libero da costi fissi e, se ti abboni entro il 25 novembre,
navighi gratis fino al 31 dicembre 2004 e non paghi il costo di adesione.
http://abbonati.tiscali.it/adsl/