Re: [ml] Applicazione Web di Test

Mon, 21 Jan 2008 03:25:24 -0800 

Il giorno 19/gen/08, alle ore 17:13, Matteo Ignaccolo ha scritto:



Il problema delle metriche di valutazione non è nuovo nel campo  
della sicurezza, ad esempio è presente nel campo degli IDS (misuse e  
anomaly).
Da come dici sembrerebbe che non sia possibile (o non avrebbe senso)  
effettuare la valutazione di prodotti con differenti metodologie di  
funzionamento. E' ovvio che bisogna individuare le metriche  
adeguate. I due approcci hanno dei pregi e dei difetti ed è utile  
fare dei confronti.



Il tuo ragionamento è sicuramente corretto se preso in linea generica,  
ma ritengo non aderisca perfettamente al caso specifico. Per come la  
vedo io, i prodotti precedentemente citati, sopperiscono a differenti  
necessità di security testing e benché uno possa domandarsi se sia  
meglio un prodotto in grado di identificare falle note in webapps e  
web servers (Nikto) o uno capace di scovarne di nuove (Paros e  
WebScarab), non potrebbe che concludere: "dipende", appunto in base  
alle metriche che tu citi. A mio avviso è invece più interessante  
stabilire un insieme di metriche comuni e testare un gruppo di  
prodotti al fine di individuare quello che più vi si adegua. Certo sta  
all'autore la decisione di quale strada intraprendere, il mio è solo  
un punto di vista e un consiglio per Andrea.



Nella richiesta si parla di ottenere dei "risultati omogenei", che  
io interpreto come la possibilità di confrontarli con altri già  
pubblicati o permettere confronti futuri. Se così fosse, dovrebbe  
rendere disponibile la webapp creata e porre particolare attenzione  
allo sviluppo, in modo da non falsare i test.



Io penso che desiderasse che i Suoi risultati fossero omogenei tra di  
loro. E' però sicuro che se adottasse una metodologia di testing già  
sperimentata, tutto il  suo lavoro ne gioverebbe in qualità e  
visibilità. Se invece decidesse di creare un applicazione di testing  
da zero, è certamente consigliabile l'approccio da te consigliato,  
cosa che per altro Larry Suto non ha fatto, rendendo quantomeno dubbi  
i risultati dei suoi (teoricamente) interessanti test (ahimè..).



Alberto Trivero________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List






















					Rispondere a