Come funziona il controllo d'accesso (RBAC, principio di minimo privilegio)?

Question

Accepted Answer

**Il controllo d'accesso** governa cosa gli utenti autenticati possono fare — attraverso modelli come **RBAC** (Role-Based Access Control) e principi come il **principio di minimo privilegio**. Un controllo d'accesso appropriato è critico, poiché il broken access control è la vulnerabilità #1 di OWASP.

## Modelli di controllo d'accesso

```text
RBAC (Role-Based Access Control) → assign users to ROLES; roles have PERMISSIONS:
  → user → role(s) (admin, editor, viewer) → permissions → access decisions
  → manageable, common; change a role's permissions, all its users update
ABAC (Attribute-Based) → decisions based on ATTRIBUTES (user, resource, context) → flexible,
  fine-grained (e.g. "editors can edit docs in their department during business hours")
ACLs → per-resource lists of who can do what
```

## Il principio del minimo privilegio

```text
LEAST PRIVILEGE → grant the MINIMUM access needed to do the job, nothing more:
  → limits the BLAST RADIUS if an account/component is compromised
  → applies to users, services, processes, database accounts, API keys, etc.
→ a foundational security principle (default to LESS access; grant more only as needed)
```

## Implementare il controllo d'accesso in modo sicuro

```text
⚠️ BROKEN ACCESS CONTROL is OWASP #1 — common and serious:
✓ ENFORCE authorization on the SERVER for EVERY protected action/resource (never trust
  the client; don't rely on hiding UI elements)
✓ Check the user is authorized for the SPECIFIC resource (prevent IDOR — accessing
  others' data by changing an ID)
✓ DENY by default; verify on each request; centralize authorization logic
✓ Test access control (a common gap — easy to miss authorization checks)
```

## Perché è importante

Comprendere il controllo d'accesso è importante perché **governa cosa gli utenti possono fare ed è critico per la sicurezza** — il broken access control è la vulnerabilità #1 di OWASP — quindi è una conoscenza di sicurezza preziosa e praticamente critica.

Il controllo d'accesso determina cosa agli utenti autenticati è consentito fare, e realizzarlo correttamente è essenziale.

Comprendere i **modelli** — **RBAC** (assegnare gli utenti a ruoli che hanno permessi — gestibile e comune), **ABAC** (decisioni basate su attributi per un controllo flessibile e granulare), e ACL (liste di permessi per risorsa) — fornisce i framework per strutturare i permessi, con RBAC che è il più comune da comprendere.

Comprendere il **principio del minimo privilegio** — concedere l'**accesso minimo necessario**, che **limita il raggio d'esplosione se un account o componente viene compromesso** — è un principio di sicurezza fondamentale che si applica ampiamente (utenti, servizi, account di database, chiavi API), ed è uno dei concetti di sicurezza più importanti.

Criticamente, comprendere come **implementare il controllo d'accesso in modo sicuro** affronta la vulnerabilità #1: **applicare l'autorizzazione sul server per ogni azione protetta** (non fidandosi mai del client o facendo affidamento su UI nascosta — un errore comune), **verificare l'autorizzazione per la risorsa specifica** (prevenendo IDOR, dove gli utenti accedono ai dati di altri modificando un ID — un difetto di broken access control frequente), **negare per impostazione predefinita**, verificare ad ogni richiesta, e **testare il controllo d'accesso** (un gap comune, poiché i controlli di autorizzazione mancanti sono facili da trascurare).

Poiché il controllo d'accesso governa cosa gli utenti possono fare e il broken access control è la vulnerabilità principale (comune e seria), e poiché comprendere i modelli (RBAC), il principio del minimo privilegio, e l'implementazione sicura (applicazione server-side, controlli specifici per risorsa, negazione per impostazione predefinita) è critico per la sicurezza, comprendere il controllo d'accesso è una conoscenza di sicurezza preziosa e praticamente critica — affrontando il rischio di sicurezza #1, fondamentale per controllare cosa gli utenti possono fare, e essenziale per evitare i difetti di broken access control (come IDOR e controlli di autorizzazione mancanti) che sono tra le vulnerabilità più comuni e serie.