NOTA: alcune risorse elencate sono disponibili solo in lingua Inglese.


Altre risorse
Security Developer Center
Cryptography Topics su MSDN

Seguici su Twitter



Forum MSDN

Le community tecniche Microsoft forniscono opportunità di interazione con dipendenti Microsoft, esperti e colleghi per condividere conoscenze e notizie sui prodotti Microsoft e le relative tecnologie. Formulate domande ed ottenete risposte nei forum tecnici Microsoft, rivolti a molti dei prodotti e delle tecnologie Microsoft per sviluppatori e professionisti IT.

Security for Windows Azure
SQL Server Security
Application Security for Windows Desktop
Microsoft Security Development Lifecycle (SDL) Forum

Blog

I blog indicati di seguito sono scritti da dipendenti Microsoft che conoscono a fondo le tecnologie e l'API di sicurezza Microsoft. Rappresentano una valida fonte di informazioni su argomenti che non sono trattati nella documentazione dell'API.

The Security Development Lifecycle Blog

Articoli su MSDN Magazine

Maggio 2009
A Conversation About Threat Modeling
Ascoltate la conversazione tra uno sviluppatore ed un profesionista della sicurezza che approfondiscono alcuni dei principali requisiti del Security Development Lifecycle (SDL) che imponiamo ai team di prodotto qui in Microsoft.
 
Novembre 2008
Threat Models Improve Your Security Process
Questo articolo propone un modo di concepire al progettazione sicura da una prospettiva più olistica utilizzando modelli di minacce per guidare il processo di ingegnerizzazione della sicurezza, aiutando principalmente a dare la priorità alla revisione del codice, al fuzz testing ed ai compiti di analisi della superficie di attacco.
 
Maggio 2008
Penetration Testing
In questa puntata dei Security Briefs, James Whittaker spiega le regole e le insidie del test di penetrazione in modo che sappiate come evitarli.
 
Luglio 2007
Applying Cryptography Using The CNG API In Windows Vista
Cryptography Next Generation (CNG) è inteso come un sostituto a lungo termine per le CryptoAPI, che fornisce dei rimpiazzi per tutte le primitive crittografiche offerte.
 
Novembre 2005
A Look Inside the Security Development LifeCycle at Microsoft
Michael Howard delinea il modo di applicare SDL ai propri processi di sviluppo software.
 
Novembre 2004
Mitigate Security Risks by Minimizing the Code You Expose to Untrusted Users
In questo articolo, l'esperto sulla sicurezza Microsoft Michael Howard discute le regole cardinali di riduzione della superficie di attacco. Le sue regole - ridurre il codice eseguito per default, ridurre il volume di codice accessibile per default agli utenti non fidati e limitare il danno se il codice è sfruttato - sono spiegate insieme alle tecniche per la loro applicazione al codice.
 
Novembre 2003
Protect It: Safeguard Database Connection Strings and Other Sensitive Settings in Your Code
Proteggere i segreti delle applicazioni, come le stringhe di connessione ai database e le password, richiede un'attenta considerazione di un certo numero di fattori pertinenti come la sensibilità dei dati, chi potrebbe accedervi, come bilanciare sicurezza, prestazioni e manutenibilità e così via. Questo articolo spiega i fondamenti della protezione dei dati e confronta una varietà di tecniche che possono essere utilizzate per proteggere le impostazioni di un'applicazione. L'autore discute di cosa evitare, come nascondere delle chiavi nel codice sorgente e l'utilizzo della Local Security Authority. Inoltre, presenta alcune efficaci soluzioni come la Data Protection API.
 
Review It: Expert Tips for Finding Security Defects in Your Code
La revisione del codice per per i difetti della sicurezza è un ingrediente chiave nel processo di creazione del software, alla pari della progettazione, la progettazione ed il testing. Qui l'autore riflette sui suoi anni di esperienza nelle revisioni di sicurezza del codice per identificare gli schemi e le migliori pratiche che tutti gli sviluppatori possono seguire quando rintracciano potenziali scappatoie alla sicurezza. Il processo inizia con l'esame dell'ambiente nel quale il codice viene eseguito, considerare i ruoli degli utenti che lo eseguiranno e stduiare la storia di tutti i problemi di sicurezza che il codice può aver avuto. Dopo aver compreso questi problemi di fondo, si possno individuare le specifiche vulnerabilità, compresi gli attacchi di tipo SQL injection, cross-site scripting e buffer overruns. Inoltre, alcuni segni di "pericolo", come nomi di variabili tipo "password", "secret," ed altre ovvie ma comuni sviste sulla sicurezza, possono essere individuate e corrette.
 
Agosto 2003
Security Briefs: Hashing Passwords, The AllowPartiallyTrustedCallers Attribute
Keith Brown descrive come si può eseguire l'hash delle password quando le si vuole memorizzare nel proprio database personalizzato e quando si vuole usare l'attributo AllowPartiallyTrustedCallers sul proprio assembly.
 
Maggio 2003
Virus Hunting: Understand Common Virus Attacks Before They Strike to Better Protect Your Apps
I computer degli sviluppatori possono essere spesso più vulnerabili ai virus di quelli della media degli utenti aziendali a causa dei loro accessi più frequenti a macchine e condivisioni remote e per i differenti privilegi amministrativi di cui dispongono tra più machine. Affidarsi ad un software antivirus è una valida prima linea di difesa, ma è necessario disporre di un insieme di conoscenze di base per proteggere i files eseguibili sul proprio sistema ed affrontare i virus. Quest'articolo esamina i metodi proattivi utilizzabili per proteggersi da codice maligno eseguibilie presente nelle risorse, nelle librerie di componenti, negli script e nella macro, come pure i modi per evitare diverse altre potenziali vulnerabilità.
 
Aprile 2003
Security Briefs: Exploring S4U Kerberos Extensions in Windows Server 2003
Costruire siti web che forniscono servizi esterni al firewall aziendale è argomento delicato. Solitamente non è desiderabile fornire credenziali nel dominio aziendale ai client esterni e, da un punto di vista puramente pratico, Kerberos non funziona bene su Internet a causa della configurazione tipica dei firewall lato client.
 
Marzo 2003
Talking To... Michael Howard Discusses the Secure Windows Initiative
L'aumento dei computer interconnessi negli ultimi anni ha imposto i problemi di sicurezza come l'avanguardia dello sviluppo e della progettazione delle applicazioni. Lo sforzo di Microsoft, denominato Secure Windows Initiative (SWI), si focalizza sulla sicurezza del codice nuovo e vecchio.
 
Aprile 2001
Secure Sockets Layer: Protect Your E-Commerce Web Site with SSL and Digital Certificates
La sicurezza è uno dei fattori più importanti nella crescita futura dell'e-businesses. Avere la sicurezza che le comunicazione rimangano sicure tra i clienti ed il Web server è una questione. Secure Sockets Layer (SSL) è lo standard sul quale oggi sono costruiti i siti web sicuri. Questo articolo presenta uno sguardo d'insieme della sicurezza web basata su SSL, spiegando concetti fondamentali come i certificati digitali e la loro distribuzione, la crittografia e la configurazione appropriata di Microsoft Internet Information Services (IIS). Acquisire un certificato, installarlo e configurare IIS per SSL sono descritti in un processo passo a passo.
 
The Security Support Provider Interface Revisited
Le chiavi di sessione possono essere utilizzate per crittografare i messaggi o semplicemente per apporre un codice di autenticazione del messaggio (message authentication code, MAC) per consentire l'individuazione delle alterazioni e l'autenticazione di messaggi in testo semplice. Questo articolo mostra le API SSPI che avete bisogno di usare, come usare l'utility SSPI workbench per inviare messaggi crittografati o firmati e come si può utilizzare SSPI per validare le password. Descrive alcuni esperimenti che si possono provare con il workbench che vi aiuteranno a capire come Kerberos, NTLM e SPNEGO sono implementati in Windows.
 
Agosto 2000
Explore the Security Support Provider Interface Using the SSPI Workbench Utility
Questo articolo descrive la Security Support Provider Interface (SSPI) ed una SSPI Workbench utility, per aiutarvi a conoscere SSPI e ad esplorare i vari protocolli di autenticazione che Microsoft Windows 2000 supporta.
 
Maggio 2000
Understanding Kerberos Credential Delegation in Windows 2000 Using the TktView Utillity
Questo articolo descrive il modo in cui Windows 2000 implementa la delega delle credenziali tramite Kerberos.
 
Marzo 2000
Exploring Handle Security in Windows
Questo articolo descrive il modo in cui la sicurezza lavora con gli handle nelle situazioni di communicazione tra i processi, impersonificazione, eredità degli handle e la potente API DuplicateHandle.
 
Encrypt It: Keep Your Data Secure with the New Advanced Encryption Standard
Advanced Encryption Standard (AES) è una specifica del National Institute of Standards and Technology per la crittografia dei dati elettronici. Questo articolo presenta uno sguardo d'insieme su AES e spiega gli algoritmi che utilizza.

Libri

Writing Secure Code, Second Edition di Michael Howard e David LeBlanc (Microsoft Press, Dicembre 2002)
Writing Secure Code for Windows Vista di Michael Howard e David LeBlanc (Microsoft Press, Aprile 2007)

Pagine web


Articoli tecnici



Vedere anche

 



Altre lingue

Questo articolo è disponibile anche nelle seguenti lingue:

English (en-US)

Deutsch (en-US)