Discussione:
dps : LA PWD per accedere ai gestionali
(troppo vecchio per rispondere)
Gabriele
2006-01-02 14:46:57 UTC
Permalink
I clienti sono preoccupati se qualche gestionale non controlla che la pwd di
accesso non è di almeno 8 caratteri , se non ti viene segnalato che non è
stata cambiata da almeno 3 mesi etc etc ..( come da dps ) .
Ma secondo me questi controlli andrebbero fatto a monte , cioè nel momento
di autenticarsi al sistema operativo del pc o di rete !
Qualcuno ha win 98 e lo capisco che non ha i controlli ma gli altri cosa
vogliono da noi ?
Se malintenzionati accedono al sistema qualcuno può lo stesso fregarsi i
dati e leggerseli con comodo poi , senza dover neppure aprire il programma
gestionale ( in generale questo , salvo cioè criptature etc ) .
ciao.
Davide Consonni
2006-01-02 15:03:20 UTC
Permalink
Post by Gabriele
I clienti sono preoccupati se qualche gestionale non controlla che la pwd
di accesso non è di almeno 8 caratteri , se non ti viene segnalato che non
è stata cambiata da almeno 3 mesi etc etc ..( come da dps ) .
Ma secondo me questi controlli andrebbero fatto a monte , cioè nel momento
di autenticarsi al sistema operativo del pc o di rete !
Qualcuno ha win 98 e lo capisco che non ha i controlli ma gli altri cosa
vogliono da noi ?
Se malintenzionati accedono al sistema qualcuno può lo stesso fregarsi i
dati e leggerseli con comodo poi , senza dover neppure aprire il programma
gestionale ( in generale questo , salvo cioè criptature etc ) .
quindi ?
--
Davide Consonni
<***@virgilio.it>
http://csvtosql.sf.net

Legge di Meskimen: Non c'e' mai tempo per farlo giusto, ma c'e' sempre tempo
per farlo ancora.
Gabriele
2006-01-02 15:19:11 UTC
Permalink
Post by Davide Consonni
quindi ?
i gestionali vanno messi in regola con il codice della privacy oppure no ?
Secondo me non serve a nulla mettere in regola qualcosa che si trova a valle
, se a monte non sei in regola !
Installo gestionali , alcuni a norma e altri se ne impippano , addirittura
accedi senza pwd !

Tu che dici ?
Viri
2006-01-02 15:22:56 UTC
Permalink
Post by Gabriele
Installo gestionali , alcuni a norma e altri se ne impippano , addirittura
accedi senza pwd !
Ciao
Credo che basti l'autenticazione alla macchina (in realtà, IMHO basta
alla rete se il regolamento interno prevede che non si debbano lasciare
documenti in locale), ovviamente con password di 8 caratteri rinnovate
ogni 6 mesi nel caso di dati comuni e 3 nel caso di dati sensibili.

Sbaglio?
Vincent Vega
2006-01-02 15:23:07 UTC
Permalink
Post by Gabriele
I clienti sono preoccupati se qualche gestionale non controlla che la pwd di
accesso non è di almeno 8 caratteri , se non ti viene segnalato che non è
stata cambiata da almeno 3 mesi etc etc ..( come da dps ) .
Ma secondo me questi controlli andrebbero fatto a monte , cioè nel momento
di autenticarsi al sistema operativo del pc o di rete !
Il gestionale usa l'autenticazione e le credenziali di Windows? Allora
hai ragione.
Il gestionale usa un'altra autenticazione? Allora hai palesemente
torto.
Post by Gabriele
Qualcuno ha win 98 e lo capisco che non ha i controlli ma gli altri cosa
vogliono da noi ?
Vogliono che il gestionale sia conforme.
E che voi gli diate una consulenza competente.
Post by Gabriele
Se malintenzionati accedono al sistema qualcuno può lo stesso fregarsi i
dati e leggerseli con comodo poi , senza dover neppure aprire il programma
gestionale ( in generale questo , salvo cioè criptature etc ) .
Vabbeh, se l'utente di rete ha i permessi di accesso ai datafile del
gestionale, tanto vale che compri un chilo di tarallucci e un fiasco di
vino.
LOTUS123
2006-01-02 15:52:14 UTC
Permalink
Il gestionale usa l'autenticazione e le credenziali di Windows? Allora
hai ragione.
Il gestionale usa un'altra autenticazione? Allora hai palesemente
torto.

Vogliono che il gestionale sia conforme.
E che voi gli diate una consulenza competente.

Vabbeh, se l'utente di rete ha i permessi di accesso ai datafile del
gestionale, tanto vale che compri un chilo di tarallucci e un fiasco di
vino.


Concordo ... se l'autenticazione è affidata al gestionale queste "falle"
non possono essere tollerate ... se l'autenticazione integrata con il SO
allora bisogna adottare politiche di sicurezza di rete e di macchina
basatati su ntfs e base minima OS NT.


Sciau
LOTUS123
2006-01-02 15:57:51 UTC
Permalink
Post by LOTUS123
Concordo ... se l'autenticazione è affidata al gestionale queste "falle"
non possono essere tollerate ... se l'autenticazione integrata con il SO
allora bisogna adottare politiche di sicurezza di rete e di macchina
basatati su ntfs e base minima OS NT.
aggiungo che ogni scusa è buona per vendere al cliente
anche un upgrade HW... ;)
AleTV
2006-01-02 15:24:26 UTC
Permalink
Post by Gabriele
Ma secondo me questi controlli andrebbero fatto a monte , cioè nel
momento di autenticarsi al sistema operativo del pc o di rete !
Appunto, perché aggiungere un'altra autenticazione per l'uso del
gestionale?
Io caverei proprio la login al gestionale e mi terrei per buono il nome
dell'utente (che se sta usando il PC vuole dire che si è già autenticato
con successo rispetto al SO/dominio).
Ciao, Alessandro
--
questo articolo e` stato inviato via web dal servizio gratuito
http://www.newsland.it/news segnala gli abusi ad ***@newsland.it
Vincent Vega
2006-01-02 15:45:33 UTC
Permalink
Post by AleTV
Appunto, perché aggiungere un'altra autenticazione per l'uso del
gestionale?
Banalmente, perchè il gestionale avrà una sua gestione della
sicurezza.
Post by AleTV
Io caverei proprio la login al gestionale e mi terrei per buono il nome
dell'utente (che se sta usando il PC vuole dire che si è già autenticato
con successo rispetto al SO/dominio).
E se fosse una applicazione web?
AleTV
2006-01-02 15:53:39 UTC
Permalink
Post by Vincent Vega
E se fosse una applicazione web?
Vero, ho sempre avuto a che fare con gestionali classici (al limite
l'accesso via web era sempicemente gestito come una connessione tipo
terminale via TSWeb), via web per forza di cose il mio approccio non
sarebbe valido.
Ciao, Alessandro
--
questo articolo e` stato inviato via web dal servizio gratuito
http://www.newsland.it/news segnala gli abusi ad ***@newsland.it
Mattia
2006-01-02 15:33:32 UTC
Permalink
Ciao

Per come la vedo io la sicurezza deve essere a livello di rete.

PRIMO sicurezza fisica
SECONDO sicurezza logica dei client a livello S. O.
TERZO Sicurezza applicativi

Personalmente trovo scomodo e detesto la pw a livello applicazione.
Tutto dovrebbe essere legato al nome utente da cui accedo al PC e con quello
implementare permission efficaci.
Un sw che mi chiede una pw quando sono già connesso al server come
administrator a cosa mi serve?
Se non devo accedere ai dati di quel programma non devo nemmeno essere
amministratore della macchina.

L'amministratore non deve avere limitazioni di alcun tipo, la sicurezza si
amministra a monte altrimenti posso non riuscire a disinstallare un
applicativo perchè non mi ricordo più la password admin DELL'APPLICATIVO..
Insomma troppe pw da ricordare e modificare.

Io direi innanzitutto che chi ha win98 è fuori norma per 1000 e più motivi
quindi di mettersi in regola prima di tutto col parco macchine.
Oppure li fai accedere tutti ad un server su cui sono impelmentati
permission NTFS e non memorizzi i dati SENSIBILI in locale.
Quindi donnine nude e bigliettini di auguri li puoi lasciare sul
vulnerabilissimo C: di windows 98

Comunque non tutti i dati richiedono tutela ma solo quelli sensibili.

Mattia
Perito informatico
MCSA,MCDST
Laureando in informatica
Viri
2006-01-02 15:38:43 UTC
Permalink
Post by Mattia
Ciao
Comunque non tutti i dati richiedono tutela ma solo quelli sensibili.
Ciao,
sul resto sono d'accordo, ma che sappia io *tutti* i dati devono essere
tutelati, quelli sensibili con accortezze in più, nonchè notifica al
garante (che per i dati comuni non serve)
AleTV
2006-01-02 15:39:39 UTC
Permalink
Post by Mattia
Un sw che mi chiede una pw quando sono già connesso al server come
administrator a cosa mi serve?
Se non devo accedere ai dati di quel programma non devo nemmeno essere
amministratore della macchina.
Be', visto che si parlava di gestionali e quindi visto che in gioco ci
deve pur essere un RDBMS (quindi non Access :-) tu che sei loggato come
amministratorre potresti anche non essere assolutamente nessuno per
l'RDBMS, e quindi non avere accesso ai dati del gestionale.
Ciao, Alessandro
--
questo articolo e` stato inviato via web dal servizio gratuito
http://www.newsland.it/news segnala gli abusi ad ***@newsland.it
Newbie
2006-01-02 15:39:14 UTC
Permalink
Post by Mattia
Tutto dovrebbe essere legato al nome utente da cui accedo al PC e con quello
implementare permission efficaci.
Troppo banale. Troppo insicuro. Meglio avere password distinte per
servizi diversi. La diversificazione e' un must quando si parla
di sicurezza. E non solo. Nei trasporti, nei mercati finanziari, etc
etc.
Post by Mattia
applicativo perchè non mi ricordo più la password admin DELL'APPLICATIVO..
Insomma troppe pw da ricordare e modificare.
Secondo me dovresti studiare un po' qualche libro che parla di
"sicurezza". Perche' una frase del genere "troppe pw da ricordare
e modificare" e' una frase da utente, non da sistemista.

Per un sistemista non e' un problema avere 10.000 password da
ricordare, perche' sa benissimo che piu' password ci sono,
e piu' diverse sono tra di loro, e piu' il livello intrinseco
di sicurezza dell'architettura aumenta.
Mattia
2006-01-02 17:06:33 UTC
Permalink
Post by Newbie
Secondo me dovresti studiare un po' qualche libro che parla di
"sicurezza". Perche' una frase del genere "troppe pw da ricordare
e modificare" e' una frase da utente, non da sistemista.
Ma io lavoro per gli utenti non per altri sistemisti...
Nel caso del posto l'applicativo lo usano gli utenti.
Meglio imporre varie password complesse con la certezza che la scriveranno
sotto la tastiera e chiameranno l'help desk in continuazione oppure solo
quella iniziale di windows (+ blocco del pc ogni tot minuti di inattività
ovviamente) con la possibilità che la usino in maniera appropriata?
Non dimentichiamoci poi dell'assente che deve essere sostituito nelle
piccole realtà.
Alla peggio si resetta la pw e si lavora per il tempo indispensabile a
risolvere l'urgenza (è una cosa da regolamentare ovviamente, l'utente al
rientro sarà informato e riceverà una nuova PW)
Già noto casini per le PW dei siti web che offrono servizi (e sono molti)
perchè alcuni usano la stessa pw della mail personale per tutto, dall'home
banking all'ufficio e poi la passano pure al collega.
Post by Newbie
Per un sistemista non e' un problema avere 10.000 password da
ricordare, perche' sa benissimo che piu' password ci sono,
e piu' diverse sono tra di loro, e piu' il livello intrinseco
di sicurezza dell'architettura aumenta.
Se però si becca la pw di administrator si accede a tutto...
A meno che il database del gestionale sia criptato con certificati digitali
per i quali administrator non è agente di ripristino.
Newbie
2006-01-03 08:26:07 UTC
Permalink
Post by Mattia
Ma io lavoro per gli utenti non per altri sistemisti...
No. Il tuo compito non e' quello di facilitare il lavoro agli
utenti. Se tu sei un responsabile CED, il tuo compito e' anche
quello di fare il possibile, perche' tutto il sistema sia
sicuro.
Post by Mattia
Meglio imporre varie password complesse con la certezza che la scriveranno
sotto la tastiera e chiameranno l'help desk in continuazione oppure solo
quella iniziale di windows (+ blocco del pc ogni tot minuti di inattività
ovviamente) con la possibilità che la usino in maniera appropriata?
Si tratta di saper educare le persone alla sicurezza. Nella mia azienda,
tanto per dire, se qualcuno viene beccato con una password scritta
su un biglietto della scrivania, parte subito un richiamo disciplinare.
Post by Mattia
Non dimentichiamoci poi dell'assente che deve essere sostituito nelle
piccole realtà.
Questi sono casi.
Post by Mattia
Già noto casini per le PW dei siti web che offrono servizi (e sono molti)
perchè alcuni usano la stessa pw della mail personale per tutto, dall'home
banking all'ufficio e poi la passano pure al collega.
Perche' la gente non e' educata all'utilizzo del "compiuter!"
DarkPulsar
2006-01-02 15:51:09 UTC
Permalink
Post by Mattia
L'amministratore non deve avere limitazioni di alcun tipo, la sicurezza si
amministra a monte altrimenti posso non riuscire a disinstallare un
applicativo perchè non mi ricordo più la password admin DELL'APPLICATIVO..
Non è del tutto esatto,l'amministratore "universale" in certi ambienti
(enterprise) non esiste,
c'è l'amministratore della rete e l'amministratore del gestionale/software
per esempio,
non è tutto in mano ad una persona sola.
L'amministratore del gestionale non ha accesso all'amministrazione del/dei
server diretta,
per accedere passa dall'aministratore della rete che gli concede l'accesso
diretto al server (quando serve).
L'amministratore della rete non ha accesso diretto al gestionale che ha la
sua
persona preposta al'amministrazione del gestionale.
Dipende tutto dall'ambiente (e relative dimensioni) che si va ad
analizzare.....
Mattia
2006-01-02 17:16:12 UTC
Permalink
Il mio ragionamento è basato su un ambiente piccolo per il quale credo fosse
riferito il post: client 98 con gestionale usato da utenti.

Su realtà multiadministrator il mio discorso non vale.

Resto cmq dell'idea che, relativamente al DPS una pw a livello gestionale
deve essere subordinata ad un'ottima gestione degli utenti a livello
dominio.

Se si ha accesso ad un database fisicamente o logicamente con permessi
administrator lo si può rubare o corrompere.
Poi si penserà off-line a come leggere i dati.

E' un po' come il database di Active Directory: di per sè è sicuro ma se ho
accesso fisico al server trovo tool in grado di resettare la password di
amministratore ed accedere alla macchina in barba a tutte le mie pw strong.

La sicurezza logica di un dominio o di un PC è quindi subordinata alla
sicurezza fisica.

La sicurezza del gestionale in questione è subordinata alal sicurezza del
S.O.

Quel database su windows 98 con una password non sarà più molto più sicuro
di quanto è ora.

IMHO
DarkPulsar
2006-01-02 18:10:51 UTC
Permalink
Post by Mattia
Se si ha accesso ad un database fisicamente o logicamente con permessi
administrator lo si può rubare o corrompere.
Poi si penserà off-line a come leggere i dati.
certo
Post by Mattia
E' un po' come il database di Active Directory: di per sè è sicuro ma se
ho accesso fisico al server trovo tool in grado di resettare la password
di amministratore ed accedere alla macchina in barba a tutte le mie pw
strong.
La sicurezza logica di un dominio o di un PC è quindi subordinata alla
sicurezza fisica.
aricerto :)
Post by Mattia
La sicurezza del gestionale in questione è subordinata alal sicurezza del
S.O.
Quel database su windows 98 con una password non sarà più molto più sicuro
di quanto è ora.
bhè,se il database sta fisicamente su un win 98
direi che la sicurezza non esiste e non è implementabile a monte
(tranne che chiudendo la macchina dentro una cassaforte) dal momento che
ntfs non c'è...quindi d'accordo con te,la password può negare ad un utente
standard l'accesso all'applicativo ma
se l'utente è meno standard potrebbe salvarsi i file del database da qualche
parte e poi farne ciò che gli pare..
Post by Mattia
IMHO
gabriele
2006-01-02 18:17:55 UTC
Permalink
Post by DarkPulsar
(tranne che chiudendo la macchina dentro una cassaforte) dal momento che
e usare la pwd del BIOS del pc con W98 ?
ma si resetta mi pare facilmente pure quella!
DarkPulsar
2006-01-02 18:57:18 UTC
Permalink
Post by gabriele
e usare la pwd del BIOS del pc con W98 ?
ma si resetta mi pare facilmente pure quella!
siamo alle solite,è acqua di rose...se gli utenti sono utenti ok,
ma l'utente smaliziato o l'intruso che sa cosa fare ci gira intorno senza
fatiche....
Direi che la soluzione migliore è quella di informare chi vuole installare
sul 98
quali sono i problemi di sicurezza e almeno fargli cambiare sistema
operativo...
poi se insiste, per evitare possibili voltagabbana
sulle responsabilità, una bella dichiarazione scritta dove chiaramente si
dice
che è informato della situazione e
la responsabilità con relative conseguenze sulla eventuale fuga di dati sono
cazzetti suoi :)
Personalmente non prenderei sottogamba la cosa dato che in caso di
questionamenti il cliente credo che faccia alla svelta a risponderti "è
colpa tua"
e se tu non puoi dimostrare il contrario con fatti (non parole) può
diventare una gran rottura di palle
enricoe
2006-01-02 20:56:51 UTC
Permalink
Post by DarkPulsar
siamo alle solite,è acqua di rose...se gli utenti sono utenti ok,
ma l'utente smaliziato o l'intruso che sa cosa fare ci gira intorno senza
fatiche....
[cut]

Ferma tutto.. il nostro compito non è fare un ced con accesso blidato
e server con dischi criptati a 1024 bit con autodistruzione in caso di
apertura dello sportello !

Calma, torniamo con i piedi per terra..

Se il database è protetto da password, di qualunque tipo, il sistema
è sicuro.
Possono esserci porte più o meno resistenti, e lucchetti più o meno
resistenti, ma l'importante è che ci sia un lucchetto.

Il legislatore impone che i dati non siano accessibili liberamente, ma
non il livello di sicurezza da impostare, è vero che su FAT32 non
esiste la sicurezza a livello di file, ma se per accedere a un db devo
rubarlo, portarlo a casa e poi craccarlo commetto un crimine.

Prendiamo la Privacy con le cartelle dei documenti di carta. Le
cartelle non devono essere lasciate in giro, non devono essere lasciate
aperte, ok. Ma se le chiudo in un armadio ignifugo con una chiave sono
a posto.

Potrei riporle in una cassaforte certo, ma io non ho i soldi (e le
cartelle sono 10.000 !) quindi le proteggo come posso.
Per leggerle devo commettere un crimine e forzare l'armadio.

Nello stesso modo i dati sensibili di un DB utenti non devono essere
accessibili da chiunque, devono essere protetti da pwd, devono avere un
backup ecc...

Se io ho il 98 una volta impostata la pwd di accesso e poi un pwd per
il gestionale, per rubare il db devo fare una azione di crack.. o no ?

Ultima cosa... nell'ALLEGATO B si indica esplicitamente che 8 caratteri
non sono obbligatori se lo strumento informatico non lo consente. In
oltre il rinnovo e la disabilitazione può benissimo essere fatta a
mano gestendo la sicurezza senza strumenti informatici... o meglio con
il classico foglio excel con gli utenti (ma non lo pwd !) e istruendo
gli utenti.
DarkPulsar
2006-01-02 22:04:58 UTC
Permalink
Post by enricoe
Se io ho il 98 una volta impostata la pwd di accesso e poi un pwd per
il gestionale, per rubare il db devo fare una azione di crack.. o no ?
ok,capisco il tuo discorso...stavo andando oltre,nel senso che
se hai un 98 e fai il boot con un floppy disk o cd accedi al file system e
la password di accesso non serve +.
a quel punto puoi prendere i file che vuoi senza far danni sul posto e senza
che nessuno se ne accorga.
Se hai ntfs lo puoi fare lo stesso ma si incomincia ad andare su terreni +
complessi
e non alla portata di tutti...diventa una forzatura studiata e ragionata che
necessita
di + tempo.
Imho non è serio pretendere di avere dati protetti su un s.o che non nasce
per lo scopo...
Uomo Mascherato
2006-01-03 10:00:14 UTC
Permalink
Post by DarkPulsar
Post by enricoe
Se io ho il 98 una volta impostata la pwd di accesso e poi un pwd per
il gestionale, per rubare il db devo fare una azione di crack.. o no ?
ok,capisco il tuo discorso...stavo andando oltre,nel senso che
se hai un 98 e fai il boot con un floppy disk o cd accedi al file system e
la password di accesso non serve +.
sei entrato abusivamente in una proprietà privata hai commesso un reato
penale
Post by DarkPulsar
a quel punto puoi prendere i file che vuoi senza far danni sul posto e senza
che nessuno se ne accorga.
furto con destrezza
Post by DarkPulsar
Se hai ntfs lo puoi fare lo stesso ma si incomincia ad andare su terreni +
complessi
e non alla portata di tutti...diventa una forzatura studiata e ragionata che
necessita
di + tempo.
altro reato
Post by DarkPulsar
Imho non è serio pretendere di avere dati protetti su un s.o che non nasce
per lo scopo...
dipende. se il tuo win(sozz)98 gestisce una rete interna ad un'azienda
e non esce su internet non vedo grossi problemi
DarkPulsar
2006-01-03 12:17:45 UTC
Permalink
Post by Uomo Mascherato
dipende. se il tuo win(sozz)98 gestisce una rete interna ad un'azienda
e non esce su internet non vedo grossi problemi
dipende da che ? direi che "gestire" con un un windows 98 una rete è parola
grossa,
poi leggi bene il post, non è importante se esce o non esce su internet,
la sicurezza non è legata solo a internet si/internet no
(che con un firewall hardware controlli)
esiste anche una sicurezza interna.
un win 98 che funge da server nel 2006 è ridicolo
Icestorm
2006-01-10 15:04:23 UTC
Permalink
Post by enricoe
Ultima cosa... nell'ALLEGATO B si indica esplicitamente che 8 caratteri
non sono obbligatori se lo strumento informatico non lo consente. In
oltre il rinnovo e la disabilitazione può benissimo essere fatta a
mano gestendo la sicurezza senza strumenti informatici... o meglio con
il classico foglio excel con gli utenti (ma non lo pwd !) e istruendo
gli utenti.
Quando il sistema non consente la scadenza automatica della password con
cambio forzato (intendo all'accesso del computer, non di ogni singolo
programma), faccio semplicemente fare un foglio di carta (equivalente del
foglio Excel) in cui ogni utente, ogni 3/6 mesi a seconda del tipo di dati
firma per confermare il cambio di password.

Lo so, ogni utente potrebbe non cambiare la password e firmare comunque, ma
in questo caso sono cavoli suoi, lui ha comunque dichiarato di averlo fatto.
enricoe
2006-01-02 17:34:18 UTC
Permalink
[cut]
Post by Mattia
Un sw che mi chiede una pw quando sono già connesso al server come
administrator a cosa mi serve?
Se non devo accedere ai dati di quel programma non devo nemmeno essere
amministratore della macchina
Non puoi accedere ai dati del programma perchè :

-Ci sono i dati delle paghe e dei bonifici.
-E' un applicativo di un'altra azienda
-L'utente ha cambiato la pwd e tu non la conosci (come è giusto che
sia)
ecc....
Post by Mattia
Se non devo accedere ai dati di quel programma non devo nemmeno essere
amministratore della macchina.
Che sighifica ? Se stiamo parlando di una azienda con DPS si suppone
che ci sia un DB su un server, puoi essere amministratore della
macchina quanto vuoi...
Post by Mattia
Insomma troppe pw da ricordare e modificare.
No, ogni utente si ricorda le sue, con possibilità di reimpostarle, ma
non di leggere pwd applicative ne di os ne tue ne di altri.
Post by Mattia
Io direi innanzitutto che chi ha win98 è fuori norma per 1000 e più motivi
quindi di mettersi in regola prima di tutto col parco macchine.
Assolutamente errato, win98 può benissimo essere un client per
applicativi
Post by Mattia
Oppure li fai accedere tutti ad un server su cui sono impelmentati
permission NTFS e non memorizzi i dati SENSIBILI in locale.
Dato che deve essere fatto il backup dei documenti come da dps, o monti
100 unità nastro oppure è la norma (lo era che prima del dps)
Mattia
2006-01-02 17:57:08 UTC
Permalink
Le tue considerazioni generalizzate sono corrette.
Io ho fatto considerazioni basate su casi a me noti e sull'effettiva
necessità di implementare sicurezza a livello gestionale su cliennt 98 PER
OTTEMPERARE AL DPS.

Qui il problema è:
A livello DPS la garanzia di un'autenticazione SO a norma con il rispetto
del rinnovo delle pw eccetera è requisito sufficiente per la tutele della
privacy?
DPS parla di requisiti minimi.

Focalizzare la sicurezza sull'autenticazione client ed eliminare 98 permette
d gestire il problema delle decine di servizi web che non supportano il
rinnovo e la complessità della password.
Tutti sappiamo che gli utenti impostano IE per memorizzare le pw.
Le pw memorizzate sono utilizzabili solo dall'account utente che le ha
impostate.
Potrei pensare di memorizzare password complesse e basarmi poi su
autenticazione windows.

Altrimenti come fare per un gestionale web-based che permette password
semplici e corte ? L'utente o non mette la password o mette il nome del
figlio e lo tiene a vita.

Se si da torto a chi ha scritto il post iniziale e cioè che dovrebbe
implementare sul suo gestionale la gestione pw occcorrerebbe imporre a n
fornitori la stessa cosa per tutte le basi dati esistenti.

DPS impone all'azienda di dotarsi delle adeguate MISURE MINIME che non credo
comprendano richiedere upgrade per tutto il sw che usano.
L'importante è che in un modo o nellì altro quel gestionale sia utilizzabile
solo da chi è autorizzato.
Che poi sia tramite windows e permessi NTFS oppure a livello database (una
volta impedito un accesso al datafile) credo sia irrilevante
Certo l'ideale sarebbe combinare entrambe le cose in maniera oculata.
Hanger Freisen
2006-01-02 22:57:58 UTC
Permalink
Se malintenzionati accedono al sistema qualcuno pu• lo stesso fregarsi
i
dati e leggerseli con comodo poi
Si ... missione impossibile :-)

I nostrani ladri italiani sicuramente sono piu' interessati alle cose
tangibili ed immediate piuttosto che ai dati cui fra l'altro non sanno
neppure cosa farsene non essendoci cultura in tal senso.

Il problema semmai e' l'abitudine consolidata al pettegolezzo, sempre
tipica italiana, dove quando avviene e' solita fatto causa da parte di
chi gia opera all'interno della stessa organizzazione per cui e' tanto
inutile l'applicazione e l'attivazione delle sicurezze cui oggetto del
post quando e' proprio chi puo' accedere a tali sistemi che provvede a
dar via alle fughe dei "dati".

In sintesi tutto cio' ha solo fine di produrre reddito agli addetti ai
lavori oltre produrre future sanzioni, pertanto incassi da parte dello
Stato, e per conseguenza reddito anche alle solite lobby e tutto cio' a
discapito di altri per cui, chi opera nel settore, abbia quanto meno la
trasparenza di indicarlo sensa remore di sorte.

E qui piuttoto si chieda al limite un parere di come convincere il
potenziale cliente a fare nuovi investimenti evitando l'ipocrisia di far
leva strumentalizzando una DL che ben si sa che poi nella realta' dei
fatti chiunque in italia, a cominciare dai piani alti e dagli stessi
organi istituzionali, lo disattende.
Icestorm
2006-01-10 11:24:58 UTC
Permalink
Post by Gabriele
I clienti sono preoccupati se qualche gestionale non controlla che la pwd di
accesso non è di almeno 8 caratteri , se non ti viene segnalato che non è
stata cambiata da almeno 3 mesi etc etc ..( come da dps ) .
Ma secondo me questi controlli andrebbero fatto a monte , cioè nel momento
di autenticarsi al sistema operativo del pc o di rete !
Si, hai ragione ma devi stare attento che il gestionale sia accessibile solo
da macchine che hanno un'autenticazione adatta.
Ad esempio se il gestionale è un'applicazione web o se magari il client è
sul server e chiunque da una macchina non protetta della LAN può installarsi
il client allora non va bene.

Se invece tutte le macchine della LAN hanno un'autenticazione "a norma" e il
gestionale può essere utilizzato solo da loro allora l'autenticazione del
gestionale passa in secondo piano.

Ovvio poi che come dici tu se entra un ladro e si porta via la macchina dove
ci sono i dati allora la questione è diversa, l'autenticazione in questo
caso non c'entra.
Continua a leggere su narkive:
Loading...