Salve,
ho un server WAPT che è attualmente in fase di installazione sui computer dei clienti. Vorrei sapere:
- Se qualcuno creasse un secondo server WAPT, potrebbe intercettare i pacchetti (dati del server, ecc.)?
- Esiste un modo per proteggere un pacchetto WAPT (nel codice Python)?
Grazie in anticipo per le vostre risposte, continuate così.
Cordiali saluti
[RISOLTO] Sicurezza
Regole del forum
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
-
dcardon
- Esperto WAPT
- Messaggi: 1908
- Registrazione: 18 giugno 2014 - 09:58
- Ubicazione: Saint Sébastien sur Loire
- Contatto:
Ciao Smarty,
Tuttavia, anche con un certificato autofirmato, un aggressore non può installare un pacchetto dannoso perché i pacchetti stessi sono firmati. Infine, esiste un'ottima documentazione da consultare (vedi sotto); se hai una domanda molto specifica, ti preghiamo di leggerla e di indicare dove necessita di chiarimenti.
https://www.wapt.fr/fr/doc/PrincipesSec ...ciple.html
Per vostra informazione, la versione 1.5.0.13 ha ottenuto la certificazione CSPN da ANSSI [1]. Sebbene ciò non possa garantire che non vi siano bug di sicurezza, significa comunque che le persone l'hanno esaminata attentamente.
Sinceramente,
Denis
[1] https://www.ssi.gouv.fr/entreprise/cert ... -1-5-0-13/
I flussi di dati sono HTTPS per impostazione predefinita. Se hai configurato un certificato SSL valido, la connessione è sicura quanto la tua connessione HTTPS a qualsiasi sito HTTPS (e può essere bloccata). Se hai un certificato HTTPS autofirmato, puoi subire un attacco man-in-the-middle, proprio come con qualsiasi connessione HTTPS. Se hai un certificato falso (non bloccato), le comunicazioni possono quindi essere visualizzate.
Tuttavia, anche con un certificato autofirmato, un aggressore non può installare un pacchetto dannoso perché i pacchetti stessi sono firmati. Infine, esiste un'ottima documentazione da consultare (vedi sotto); se hai una domanda molto specifica, ti preghiamo di leggerla e di indicare dove necessita di chiarimenti.
Nella documentazione è presente una descrizione dettagliata dei principi di sicurezza di WAPT:
https://www.wapt.fr/fr/doc/PrincipesSec ...ciple.html
Per vostra informazione, la versione 1.5.0.13 ha ottenuto la certificazione CSPN da ANSSI [1]. Sebbene ciò non possa garantire che non vi siano bug di sicurezza, significa comunque che le persone l'hanno esaminata attentamente.
Sinceramente,
Denis
[1] https://www.ssi.gouv.fr/entreprise/cert ... -1-5-0-13/
Denis Cardon - Tranquil IT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
È molto esaustiva.
Per essere precisi, il contenuto di un pacchetto WAPT non è sensibile.
Chiunque può leggere il contenuto di un pacchetto WAPT.
Se si desidera proteggere il contenuto di un pacchetto WAPT, è possibile farlo crittografando i dati sensibili con il certificato pubblico di ciascuna macchina.
Esempio:
https://wapt.lesfourmisduweb.org/detail ... 4_all.wapt
Chiunque può leggere il contenuto di un pacchetto WAPT.
Se si desidera proteggere il contenuto di un pacchetto WAPT, è possibile farlo crittografando i dati sensibili con il certificato pubblico di ciascuna macchina.
Esempio:
https://wapt.lesfourmisduweb.org/detail ... 4_all.wapt
