9.7 Accesso alle Pagine HTML Protette
La protezione HTML è garantita dalle funzioni di gestione della
password del browser. Nel momento in cui cercate di vedere una
pagina protetta, il browser visualizza una finestra che vi chiede la
password, simile a quella riportata nella fig.9.7.1 qui a lato:
Se non si fornisce una combinazione valida di
nome e password, l’accesso vi viene negato.
AVVERTENZA:
Come già menzionato, le
pagine di configurazione del WebGate
richiedono per lo meno il livello di
accesso”Administrator”. Per questo motivo, siate
particolarmente attenti quando create gli utenti:
prima di tutto, dovete creare almeno un
Administrator. In caso contrario o nel caso in cui
vi dimentichiate la password da administrator,
sarete costretti a cancellare completamente i
contenuti del WebGate, seguendo la procedura
descritta nel paragrafo Eliminazione Totale.
Si noti che quando si crea il primo administrator, la finestra con la
richiesta di password verrà visualizzata immediatamente dopo aver
premuto il pulsante “apply” nella scheda di configurazione “Users”.
9.8 Problematiche relative alla sicurezza
La gestione utenti del WebGate è uno strumento con cui si intende
dissuadere l’accesso non autorizzato, tuttavia NON è uno dispositivo di
sicurezza. Non contiene protocolli codificati o particolari protezioni
contro attacchi informatici. Di conseguenza, tutte le migliorie alla
sicurezza, di cui il cliente possa avere bisogno, vanno assicurate a
livello di rete, mediante firewall o strumenti simili.
9.8.1 Metodi POST e GET
Quando create una pagina HTML (vedi Creare una pagina Web
personalizzata per WebGate), se la pagina richiesta dall’attributo
“action” ha un livello di protezione maggiore a “guest”, si raccomanda
di usare il metodo POST anziché GET per inviare i dati, poiché il
metodo GET vi permette di visualizzare solo le pagine con un livello di
accesso “guest”.
9.9 Gestione Avanzata della Tabella Utenti
La gestione utenti può essere ulteriormente potenziata con l’utilizzo
delle funzioni “UserLevel”, “UserName” e “UserPwd”, infatti:
• Nonostante nella tabella standard vengano visualizzati solo 4 utenti,
è possibile crearne fino a 6.
• I livelli di accesso utenti possono essere suddivisi in più sottolivelli
rispetto ai quattro indicati (tuttavia, la struttura ad albero del file
system è fissa, come indicato in Cartelle e Protezione File con
“Accesso in lettura”.
In pratica, a ciascuna classe viene associato un livello di accesso
scelto da una gamma di valori (vedi Tab. 9.9.1). Per default, il livello di
accesso associato a ciascuna classe è il valore più alto nella gamma:
99 per “guest”, 149 per “user”, 199 per “supervisor” e 249 per
“administrator”.
Classe di Appartenenza
Livello di Accesso
Guest
Da 0 a 99
User
Da 100 a 149
Supervisor
Da 150 a 199
Administrator
Da 200 a 249
Tab. 9.9.1
Potete trovare la descrizione delle funzioni “UserLevel”, “UserName” e
“UserPwd” nel paragrafo Funzioni Script del WebGate.
Il cliente può creare la propria pagina e impostare i livelli di accesso
che preferisce (da 0 a 249).
La Fig. 9.9.1 è un esempio di come può essere realizzata una pagina
di questo tipo.
9.7 Accessing to Protected HTML Pages
HTML protection is provided through the use of the browser password
management capabilities. When you try to view a protected page, the
browser will display a password request window similar to the one
depicted on the right in fig.9.7.1:
If a valid combination of name and password is
not provided, the access is forbidden.
WARNING:
As said before, WebGate
configuration pages requires at least
”Administrator” access level. Since of this, be
careful when creating users, because first of all
you must create at least an Administrator. If you
fail to create an administrator or if you forget
your administrator password, you will have to
completely erase WebGate contents, following
the procedure described in Total Erase.
Please note that when creating the first
administrator the password request window will
be visualized immediately after pressing the “apply” button in the
“Users” configuration tab.
9.8 Security Issues
WebGate user management is provided as a basic method to
discourage unauthorized access but is NOT a security feature. No
encoded protocols or particular protections against security attacks are
implemented. Since of this, any security improvement required from the
customer must be assured at network level with firewalls and similar
devices.
9.8.1 POST and GET methods
When creating an HTML page (see Creating a custom Web page on
the WebGate), if the page requested by the “action” attribute has a
protection level greater than “guest” it is recommended to use the
POST method instead of GET to submit data, because GET method
allows you to show only pagewith “guest” access level.
9.9 Advanced User Table Management
Through the use of “UserLevel”, “UserName” and “UserPwd” functions
user magament can be further improved, in fact:
• Despite only 4 users are displayed in the standard user tab, up to 6
table entries can be created.
• User access levels can be subdivided in more sublevels than the four
indicated (however, the file system directory tree is fixed, as indicated
in (Directories and “Read Access” file protection).
Basically, an access level among a range of values is associated to
each class (see Tab. 9.9.1). By default the access level associated to
each class is the higher value in the range: 99 for “guest”, 149 for
“user”, 199 for “supervisor” and 249 for “administrator”.
Membership Class
Access-Level
Guest
From 0 to 99
User
From 100 to 149
Supervisor
From 150 to 199
Administrator
From 200 to 249
Tab. 9.9.1
For a description of “UserLevel”, “UserName” and “UserPwd” functions
please see WebGate Script Functions.
The customer can build his own page to be able to set the access-level
he likes (from 0 to 249).
Fig. 9.9.1 is an example of how a this page can be built.
50
Manuale WebGate - cod. +030220230 rel. 1.0 - 16.09.2003
Fig. 9.7.1
