Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
|
Top |
|
|
pentolino Semidio
Registrato: 04/09/08 13:53 Messaggi: 243
|
Inviato: 11 Ott 2013 09:52 Oggetto: |
|
|
Complimenti per la "giustificazione"!
Questo è quasi un imbroglio (avevo scritto truffa, ma non so perché mi viene corretto in trofia), spacciano il prodotto come fornito di connessione HTTPS, ma di fatto non lo è nella fase più cruciale, il login (ho personalmente verificato che le credenziali vengano trasmesse in chiaro); in queste condizioni non ha i minimi requisiti di sicurezza perché il tutto funzioni correttamente.
Vergogna! |
|
Top |
|
|
ziobacco Mortale devoto
Registrato: 01/12/10 10:56 Messaggi: 9
|
Inviato: 11 Ott 2013 10:44 Oggetto: |
|
|
Date i certificati ai professori. Configurate i portatili dei professori con una rete VPN.
Povera sicurezza. |
|
Top |
|
|
roberto65 Eroe
Registrato: 08/08/06 07:40 Messaggi: 70
|
Inviato: 11 Ott 2013 13:29 Oggetto: |
|
|
Mi sfugge il senso dell'articolo:
Se un fanciullo riesce ad accedere al PC del prof e montare uno spyware, o un keylogger, la sicurezza è andata con qualsiasi programma tu possa avere a bordo...
Casomai, trasmettendo la pwd in chiaro, un fanciullo scafato sarà in grado di sniffare la pwd anche senza accedere al pc del prof, se si attacca alla wlan...
E cmq a scuola mia i docenti hanno una rete wifi separata, quindi il prob non si dovrebbe porre (e si usa un altro registro elettronico...) |
|
Top |
|
|
spacexplorer Dio minore
Registrato: 08/10/09 10:22 Messaggi: 610
|
Inviato: 11 Ott 2013 13:33 Oggetto: |
|
|
@ziobacco
Questo è un male moderno, si stratificano tecnologie INUTILI per non andare
a riscrivere/modificare servizi non più adatti al mondo moderno. NON SERVE
ad un tubazzo un VPN. Basta una normalissima connessione SSL. Non serve aver
cataste di macchine virtuali, servono invece sistemi di deploy e provisoning
adatti ai bisogni attuali.
È questo il motivo per cui la sicurezza è opzionale: da un lato c'è chi non
sa un tubo e preferisce "aggiungere" una "tecnologia nuova" che non rifare
la vecchia (un po' come l'italica mania di ristrutturare abitazioni assurde
per i giorni nostri anziché buttarle giù e rifarle) e preferisce il classico
commerciale che garantisce tutto&subito. Gli utenti sono in prima linea tra
quelli che alimentano questo problema.
Oggi si parla di "ore di somministrazione di cultura" come fosse uno sciroppo
od un massaggio, si vuole infilare tutto dentro software pseudo-gestionali
ideati e sviluppati da bipedi arrivisti ed incompetenti e tanto si continua
a pagarne le conseguenze con conti sempre più salati.
@roberto65
Non so quante scuole abbiano vlan o cmq lan separate e nel caso non so quanto
siano realmente separate... |
|
Top |
|
|
pentolino Semidio
Registrato: 04/09/08 13:53 Messaggi: 243
|
Inviato: 11 Ott 2013 14:20 Oggetto: |
|
|
Citazione: |
Non so quante scuole abbiano vlan o cmq lan separate e nel caso non so quanto
siano realmente separate...
|
appunto per quello, visto il target a cui si rivolge il software, il livello di sicurezza offerto dall'HTTPS (anche in fase di login) mi sembra davvero il minimo sindacale di sicurezza... |
|
Top |
|
|
zero Dio maturo
Registrato: 22/03/08 17:34 Messaggi: 1947
|
Inviato: 11 Ott 2013 17:52 Oggetto: |
|
|
Citazione: | La risposta viene dall'amministratore delegato di Axios (l'azienda che ha realizzato il software), il quale ha affermato che, pur possedendo un certificato VeriSign, al momento non ha potuto attivare la connessione sicura a causa della migrazione della piattaforma su nuovi server. Il problema dovrebbe però rientrare in breve tempo. |
Bene, quando risolverai il problema ti pagheremo.
(ma immagino che abbiano gia' intascato!) |
|
Top |
|
|
ziobacco Mortale devoto
Registrato: 01/12/10 10:56 Messaggi: 9
|
Inviato: 11 Ott 2013 19:35 Oggetto: |
|
|
Se raggiungete il sito, nella home, dicono che usano il protocollo SSL e che il sito è certificato da VeriSign (ma qui penso basti pagare...). |
|
Top |
|
|
mda Dio maturo
Registrato: 01/11/06 09:39 Messaggi: 6648 Residenza: Figonia
|
Inviato: 12 Ott 2013 16:44 Oggetto: |
|
|
roberto65 ha scritto: | Mi sfugge il senso dell'articolo:
Se un fanciullo riesce ad accedere al PC del prof e montare uno spyware, o un keylogger, la sicurezza è andata con qualsiasi programma tu possa avere a bordo...
Casomai, trasmettendo la pwd in chiaro, un fanciullo scafato sarà in grado di sniffare la pwd anche senza accedere al pc del prof, se si attacca alla wlan...
E cmq a scuola mia i docenti hanno una rete wifi separata, quindi il prob non si dovrebbe porre (e si usa un altro registro elettronico...) |
Basta una password dinamica invece che fissa! Come quella che si usa per le banche per capirci.
Ma da quanto dicono (la pwd trasmessa in chiaro???ORRORE!) questa ditta non fornisce neanche gli elementi BASE della sicurezza!!!
Il bello è che la pagano pure!!! Notate che dovrebbe essere GRATIS, dato che la software-house crea il programma ma poi DEVE ESSERE DI PROPRIETÀ DI STATO e gestita solo dallo Stato!
Dunque, se vero, siamo in presenza di una VIOLAZIONE delle norme di privacy di Stato e pagamenti illegali!!!
Ciao |
|
Top |
|
|
nicorac Eroe in grazia degli dei
Registrato: 30/01/07 08:37 Messaggi: 128
|
Inviato: 12 Ott 2013 23:50 Oggetto: |
|
|
Spinto dalla curiosità sono andato a gustarmi il sito SissiWeb e, meraviglia, sono stato accolto da una pagina con immagini non disponibili.
Ho cliccato su una di queste (credo fosse il pulsante di logout) e ho avuto uno splendido errore di runtime.
Codice: | [NullReferenceException: Object reference not set to an instance of an object.]
ASP.global_asax.SessionStateCheck() +152
SWMasterPage.ImageButtonLogoff_Click(Object sender, ImageClickEventArgs e) +63
System.Web.UI.WebControls.ImageButton.OnClick(ImageClickEventArgs e) +115
System.Web.UI.WebControls.ImageButton.RaisePostBackEvent(String eventArgument) +120
System.Web.UI.WebControls.ImageButton.System.Web.UI.IPostBackEventHandler.RaisePostBackEvent(String eventArgument) +10
System.Web.UI.Page.RaisePostBackEvent(IPostBackEventHandler sourceControl, String eventArgument) +13
System.Web.UI.Page.RaisePostBackEvent(NameValueCollection postData) +36
System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +5563 |
Non che avessi fatto alcunché, NullReferenceException al primo click...
Essendo poi la pagina standard di errore di .NET, al fondo pagina si può anche leggere il dettaglio della versione in uso:
Codice: | Microsoft .NET Framework Version:4.0.30319; ASP.NET Version:4.0.30319.1 |
|
|
Top |
|
|
mda Dio maturo
Registrato: 01/11/06 09:39 Messaggi: 6648 Residenza: Figonia
|
Inviato: 13 Ott 2013 01:43 Oggetto: |
|
|
@nicorac
Niente di strano capita quando provano ad scopiazzare pagine Java in .NET. Il .NET NON dispone della potenza Java dunque non può avere riferimenti ad istanze di oggetto sulla rete.
Ciao |
|
Top |
|
|
spacexplorer Dio minore
Registrato: 08/10/09 10:22 Messaggi: 610
|
Inviato: 14 Ott 2013 13:25 Oggetto: |
|
|
@nicorac
senza scomodare un servizio relativamente nuovo hai mai provato Sister? O
magari i vari Unico*, Gerico, Entratel, il sito dell'INPS ecc? Credo che il
100% del software della PA sia scritto così... Anche per questo vorrei che
tutto fosse open-source sotto public-domain con nomi dei committer e PM ecc
PUBBLICI. Non solo la qualità sarebbe migliore ma sarebbe MOLTO più facile
andar a scaldare le natiche a chi lavora a certi modi... |
|
Top |
|
|
mda Dio maturo
Registrato: 01/11/06 09:39 Messaggi: 6648 Residenza: Figonia
|
Inviato: 14 Ott 2013 14:59 Oggetto: |
|
|
Bé anche perchè opensource si eviterebbe duplicati di software e schifezze software.
Faccio un esempio con il software (quello per riconoscere e firmare) per la Tessera Sanitaria:
La prima fu la Lombardia che spese dei bei soldini e la rese pubblica (scaricabile gratuitamente) sul suo sito, poi le altre Regioni perchè semplicemente non usano quella della Lombardia e hanno fatto la propria spendendo altri bei soldini pubblici???
Quella lombarda è in Java e funziona su tutte le piattaforme, mentre troviamo alcune (fatte dopo questa) che non funzionano su OSX o Linux o determinati Windows.
Quella Lombarda è ottima MA oramai "vecchia", ma non essendo opensource nessuno la può modificare e la Regione Lombardia (ma tutte le Regioni) se ne sbatte di fare una nuova commessa.
Quante cose risolvibili se fosse il software OpenSource.
Ciao |
|
Top |
|
|
pentolino Semidio
Registrato: 04/09/08 13:53 Messaggi: 243
|
Inviato: 14 Ott 2013 15:09 Oggetto: |
|
|
Straquoto, mi chiedo come nel 2013 il software della PA possa NON essere open; mi ricordo un software dell'agenzia delle entrate scritto in java ma funzionava solo se java era in "C:\Java"... |
|
Top |
|
|
mda Dio maturo
Registrato: 01/11/06 09:39 Messaggi: 6648 Residenza: Figonia
|
Inviato: 14 Ott 2013 16:48 Oggetto: |
|
|
@pentolino
Cera uno script-Linux in giro per fregarlo, poi hanno fatto la correzione.
Menomale che non è di competenza Regionale se No, avremmo 20 programmi diversi.
Ciao |
|
Top |
|
|
pentolino Semidio
Registrato: 04/09/08 13:53 Messaggi: 243
|
Inviato: 14 Ott 2013 17:05 Oggetto: |
|
|
Sì ricordo che in qualche modo riuscimmo ad aggirare, anche se mi sembra di ricordare che al tempo lavorassi in Windows (era tanto tempo fa) |
|
Top |
|
|
spacexplorer Dio minore
Registrato: 08/10/09 10:22 Messaggi: 610
|
Inviato: 15 Ott 2013 10:16 Oggetto: |
|
|
@pentolino, mda
sono in genere N programmi, altro che 20! Per compilare il modello unico pf
servono:
* Unico Pf dell'anno di riferimento (si è un programma a se anno x anno)
* Controlli, un programma che controlla il file generato da Unico
* Gerico, un programma x agg. gli studi di settore
* Controlli SDS, un programma che controlla il file fatto da Gerico, che
poi verrà incorporato in unico
* FileInternet o Entratel che invia il file via web o lo firma per poi
inviarlo via portale
Un unico programma, form-style che mastica un template generato anno per
anno e provvede all'invio è troppo semplice: ti fai pagare per un solo
programma, un solo servizio di supporto ecc. È un po' come i click-day,
se fai un servizio web disponibile in tutta calma ti serve tot server e
tot manutenzione; se fai un click-day ti serve n volte tot server e banda
per poter reggere il "DDOS volontario" di tutti gli utenti che arrivano
insieme e il conto sale alle stelle...
Ps i path fissi hard-coded ci sono tutt'ora e c'è di meglio: puoi impostare
un path tuo, peccato che questo poi non venga usato... Ah Java non > di
1.5, dopotutto siamo solo nel 2013 ed i mostri scritti negli anni '90 non
sono per nulla facili da aggiornare... |
|
Top |
|
|
mda Dio maturo
Registrato: 01/11/06 09:39 Messaggi: 6648 Residenza: Figonia
|
Inviato: 15 Ott 2013 12:38 Oggetto: |
|
|
mda ha scritto: | Bé anche perchè opensource si eviterebbe duplicati di software e schifezze software.
Faccio un esempio con il software (quello per riconoscere e firmare) per la Tessera Sanitaria:
(....)
Quante cose risolvibili se fosse il software OpenSource.
Ciao |
Finalmente scoperto un software opensource e ottimo per firmare digitalmente i documenti e collegabile (questo lo sto ancora provando) alla smart card.
Jsignpdf .. Sito ... addition per open/LibreOffice!!!
Il software è in Java, dunque funziona dappertutto.
Per chi usa la" Dike" (un software Java creato da InfoCert SpA, comunemente usato nelle Pubbliche Amministrazioni italiane) c'è un addition opensource per open/LibreOffice , questo solo con l'appoggio di libreumbria.
Ciao |
|
Top |
|
|
spacexplorer Dio minore
Registrato: 08/10/09 10:22 Messaggi: 610
|
Inviato: 16 Ott 2013 08:47 Oggetto: |
|
|
@mda
il brutto è che non risponde alla normativa italica come non risponde più
FreeSigner del Comune di Trento o Dike in versione GNU/Linux... Non li puoi
usare per firmare a valor di legge PEC ed allegati... La PA colpisce ancora,
come (pressoché) sempre...
PS han pure cambiato alcune CNS, alcuni "certificatori" come le Camere di
Commercio (per lo meno quella di Genova) han avvisto, altri per quanto ne
so manco se ne sono accorti... |
|
Top |
|
|
mda Dio maturo
Registrato: 01/11/06 09:39 Messaggi: 6648 Residenza: Figonia
|
Inviato: 16 Ott 2013 12:21 Oggetto: |
|
|
@spacexplorer
La normativa è confusa quindi potresti firmarli, del resto l'organo certificante non è lo Stato ma la Regione e se la Regione dice (chi se ne frega che non si sono accorti) che è ancora valido...
Ok, il classico "cavillo legale", ma valido per firmare PEC anche perchè già la email PEC è autocertificata. Di norma non dovresti firmare gli allegati, serve solo quando si scorporano dalla email ma in questo caso sono gestiti dalla Stato e quindi viaggiano come documenti di Stato.
Tanto quanto ci scommetti che cambiano ancora???
Ciao |
|
Top |
|
|
|