Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Scuola, hackerare i voti sul registro? In Italia è facile
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza
Precedente :: Successivo  
Autore Messaggio
Zeus News
Ospite





MessaggioInviato: 11 Ott 2013 08:45    Oggetto: Scuola, hackerare i voti sul registro? In Italia è facile Rispondi citando

Leggi l'articolo Scuola, hackerare i voti sul registro? In Italia è facile
Una falla nel programma adoperato dai professori mina la sicurezza dei registri elettronici.



Foto via Fotolia

Segnala un refuso
Top
pentolino
Semidio
Semidio


Registrato: 04/09/08 13:53
Messaggi: 243

MessaggioInviato: 11 Ott 2013 09:52    Oggetto: Rispondi citando

Complimenti per la "giustificazione"!

Questo è quasi un imbroglio (avevo scritto truffa, ma non so perché mi viene corretto in trofia), spacciano il prodotto come fornito di connessione HTTPS, ma di fatto non lo è nella fase più cruciale, il login (ho personalmente verificato che le credenziali vengano trasmesse in chiaro); in queste condizioni non ha i minimi requisiti di sicurezza perché il tutto funzioni correttamente.

Vergogna!
Top
Profilo Invia messaggio privato
ziobacco
Mortale devoto
Mortale devoto


Registrato: 01/12/10 10:56
Messaggi: 9

MessaggioInviato: 11 Ott 2013 10:44    Oggetto: Rispondi citando

Date i certificati ai professori. Configurate i portatili dei professori con una rete VPN.
Povera sicurezza.
Top
Profilo Invia messaggio privato
roberto65
Eroe
Eroe


Registrato: 08/08/06 07:40
Messaggi: 70

MessaggioInviato: 11 Ott 2013 13:29    Oggetto: Rispondi citando

Mi sfugge il senso dell'articolo:
Se un fanciullo riesce ad accedere al PC del prof e montare uno spyware, o un keylogger, la sicurezza è andata con qualsiasi programma tu possa avere a bordo...
Casomai, trasmettendo la pwd in chiaro, un fanciullo scafato sarà in grado di sniffare la pwd anche senza accedere al pc del prof, se si attacca alla wlan...
E cmq a scuola mia i docenti hanno una rete wifi separata, quindi il prob non si dovrebbe porre (e si usa un altro registro elettronico...)
Top
Profilo Invia messaggio privato
spacexplorer
Dio minore
Dio minore


Registrato: 08/10/09 10:22
Messaggi: 610

MessaggioInviato: 11 Ott 2013 13:33    Oggetto: Rispondi citando

@ziobacco
Questo è un male moderno, si stratificano tecnologie INUTILI per non andare
a riscrivere/modificare servizi non più adatti al mondo moderno. NON SERVE
ad un tubazzo un VPN. Basta una normalissima connessione SSL. Non serve aver
cataste di macchine virtuali, servono invece sistemi di deploy e provisoning
adatti ai bisogni attuali.

È questo il motivo per cui la sicurezza è opzionale: da un lato c'è chi non
sa un tubo e preferisce "aggiungere" una "tecnologia nuova" che non rifare
la vecchia (un po' come l'italica mania di ristrutturare abitazioni assurde
per i giorni nostri anziché buttarle giù e rifarle) e preferisce il classico
commerciale che garantisce tutto&subito. Gli utenti sono in prima linea tra
quelli che alimentano questo problema.

Oggi si parla di "ore di somministrazione di cultura" come fosse uno sciroppo
od un massaggio, si vuole infilare tutto dentro software pseudo-gestionali
ideati e sviluppati da bipedi arrivisti ed incompetenti e tanto si continua
a pagarne le conseguenze con conti sempre più salati.

@roberto65
Non so quante scuole abbiano vlan o cmq lan separate e nel caso non so quanto
siano realmente separate...
Top
Profilo Invia messaggio privato
pentolino
Semidio
Semidio


Registrato: 04/09/08 13:53
Messaggi: 243

MessaggioInviato: 11 Ott 2013 14:20    Oggetto: Rispondi citando

Citazione:

Non so quante scuole abbiano vlan o cmq lan separate e nel caso non so quanto
siano realmente separate...


appunto per quello, visto il target a cui si rivolge il software, il livello di sicurezza offerto dall'HTTPS (anche in fase di login) mi sembra davvero il minimo sindacale di sicurezza...
Top
Profilo Invia messaggio privato
zero
Dio maturo
Dio maturo


Registrato: 22/03/08 17:34
Messaggi: 1935

MessaggioInviato: 11 Ott 2013 17:52    Oggetto: Rispondi citando

Citazione:
La risposta viene dall'amministratore delegato di Axios (l'azienda che ha realizzato il software), il quale ha affermato che, pur possedendo un certificato VeriSign, al momento non ha potuto attivare la connessione sicura a causa della migrazione della piattaforma su nuovi server. Il problema dovrebbe però rientrare in breve tempo.

Bene, quando risolverai il problema ti pagheremo.
(ma immagino che abbiano gia' intascato!)
Top
Profilo Invia messaggio privato
ziobacco
Mortale devoto
Mortale devoto


Registrato: 01/12/10 10:56
Messaggi: 9

MessaggioInviato: 11 Ott 2013 19:35    Oggetto: Rispondi citando

Se raggiungete il sito, nella home, dicono che usano il protocollo SSL e che il sito è certificato da VeriSign (ma qui penso basti pagare...).
Top
Profilo Invia messaggio privato
mda
Dio maturo
Dio maturo


Registrato: 01/11/06 09:39
Messaggi: 6648
Residenza: Figonia

MessaggioInviato: 12 Ott 2013 16:44    Oggetto: Rispondi citando

roberto65 ha scritto:
Mi sfugge il senso dell'articolo:
Se un fanciullo riesce ad accedere al PC del prof e montare uno spyware, o un keylogger, la sicurezza è andata con qualsiasi programma tu possa avere a bordo...
Casomai, trasmettendo la pwd in chiaro, un fanciullo scafato sarà in grado di sniffare la pwd anche senza accedere al pc del prof, se si attacca alla wlan...
E cmq a scuola mia i docenti hanno una rete wifi separata, quindi il prob non si dovrebbe porre (e si usa un altro registro elettronico...)


Basta una password dinamica invece che fissa! Come quella che si usa per le banche per capirci.

Ma da quanto dicono (la pwd trasmessa in chiaro???ORRORE!) questa ditta non fornisce neanche gli elementi BASE della sicurezza!!!
Laughing Laughing Laughing

Il bello è che la pagano pure!!! Notate che dovrebbe essere GRATIS, dato che la software-house crea il programma ma poi DEVE ESSERE DI PROPRIETÀ DI STATO e gestita solo dallo Stato!

Dunque, se vero, siamo in presenza di una VIOLAZIONE delle norme di privacy di Stato e pagamenti illegali!!!
Shocked Shocked Shocked

Ciao
Top
Profilo Invia messaggio privato HomePage AIM
nicorac
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 30/01/07 08:37
Messaggi: 128

MessaggioInviato: 12 Ott 2013 23:50    Oggetto: Rispondi citando

Spinto dalla curiosità sono andato a gustarmi il sito SissiWeb e, meraviglia, sono stato accolto da una pagina con immagini non disponibili.

Ho cliccato su una di queste (credo fosse il pulsante di logout) e ho avuto uno splendido errore di runtime.
Codice:
[NullReferenceException: Object reference not set to an instance of an object.]
   ASP.global_asax.SessionStateCheck() +152
   SWMasterPage.ImageButtonLogoff_Click(Object sender, ImageClickEventArgs e) +63
   System.Web.UI.WebControls.ImageButton.OnClick(ImageClickEventArgs e) +115
   System.Web.UI.WebControls.ImageButton.RaisePostBackEvent(String eventArgument) +120
   System.Web.UI.WebControls.ImageButton.System.Web.UI.IPostBackEventHandler.RaisePostBackEvent(String eventArgument) +10
   System.Web.UI.Page.RaisePostBackEvent(IPostBackEventHandler sourceControl, String eventArgument) +13
   System.Web.UI.Page.RaisePostBackEvent(NameValueCollection postData) +36
   System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +5563

Non che avessi fatto alcunché, NullReferenceException al primo click...
Essendo poi la pagina standard di errore di .NET, al fondo pagina si può anche leggere il dettaglio della versione in uso:
Codice:
Microsoft .NET Framework Version:4.0.30319; ASP.NET Version:4.0.30319.1
Top
Profilo Invia messaggio privato
mda
Dio maturo
Dio maturo


Registrato: 01/11/06 09:39
Messaggi: 6648
Residenza: Figonia

MessaggioInviato: 13 Ott 2013 01:43    Oggetto: Rispondi citando

@nicorac

Niente di strano capita quando provano ad scopiazzare pagine Java in .NET. Il .NET NON dispone della potenza Java dunque non può avere riferimenti ad istanze di oggetto sulla rete.
Laughing Laughing Laughing


Ciao
Top
Profilo Invia messaggio privato HomePage AIM
spacexplorer
Dio minore
Dio minore


Registrato: 08/10/09 10:22
Messaggi: 610

MessaggioInviato: 14 Ott 2013 13:25    Oggetto: Rispondi citando

@nicorac
senza scomodare un servizio relativamente nuovo hai mai provato Sister? O
magari i vari Unico*, Gerico, Entratel, il sito dell'INPS ecc? Credo che il
100% del software della PA sia scritto così... Anche per questo vorrei che
tutto fosse open-source sotto public-domain con nomi dei committer e PM ecc
PUBBLICI. Non solo la qualità sarebbe migliore ma sarebbe MOLTO più facile
andar a scaldare le natiche a chi lavora a certi modi...
Top
Profilo Invia messaggio privato
mda
Dio maturo
Dio maturo


Registrato: 01/11/06 09:39
Messaggi: 6648
Residenza: Figonia

MessaggioInviato: 14 Ott 2013 14:59    Oggetto: Rispondi citando

Bé anche perchè opensource si eviterebbe duplicati di software e schifezze software.

Faccio un esempio con il software (quello per riconoscere e firmare) per la Tessera Sanitaria:

La prima fu la Lombardia che spese dei bei soldini e la rese pubblica (scaricabile gratuitamente) sul suo sito, poi le altre Regioni perchè semplicemente non usano quella della Lombardia e hanno fatto la propria spendendo altri bei soldini pubblici???

Quella lombarda è in Java e funziona su tutte le piattaforme, mentre troviamo alcune (fatte dopo questa) che non funzionano su OSX o Linux o determinati Windows.

Quella Lombarda è ottima MA oramai "vecchia", ma non essendo opensource nessuno la può modificare e la Regione Lombardia (ma tutte le Regioni) se ne sbatte di fare una nuova commessa.

Quante cose risolvibili se fosse il software OpenSource.

Ciao
Top
Profilo Invia messaggio privato HomePage AIM
pentolino
Semidio
Semidio


Registrato: 04/09/08 13:53
Messaggi: 243

MessaggioInviato: 14 Ott 2013 15:09    Oggetto: Rispondi citando

Straquoto, mi chiedo come nel 2013 il software della PA possa NON essere open; mi ricordo un software dell'agenzia delle entrate scritto in java ma funzionava solo se java era in "C:\Java"...
Top
Profilo Invia messaggio privato
mda
Dio maturo
Dio maturo


Registrato: 01/11/06 09:39
Messaggi: 6648
Residenza: Figonia

MessaggioInviato: 14 Ott 2013 16:48    Oggetto: Rispondi citando

@pentolino

Cera uno script-Linux in giro per fregarlo, poi hanno fatto la correzione.
Very Happy

Menomale che non è di competenza Regionale se No, avremmo 20 programmi diversi.
Laughing


Ciao
Top
Profilo Invia messaggio privato HomePage AIM
pentolino
Semidio
Semidio


Registrato: 04/09/08 13:53
Messaggi: 243

MessaggioInviato: 14 Ott 2013 17:05    Oggetto: Rispondi citando

Sì ricordo che in qualche modo riuscimmo ad aggirare, anche se mi sembra di ricordare che al tempo lavorassi in Windows (era tanto tempo fa)
Top
Profilo Invia messaggio privato
spacexplorer
Dio minore
Dio minore


Registrato: 08/10/09 10:22
Messaggi: 610

MessaggioInviato: 15 Ott 2013 10:16    Oggetto: Rispondi citando

@pentolino, mda
sono in genere N programmi, altro che 20! Per compilare il modello unico pf
servono:
* Unico Pf dell'anno di riferimento (si è un programma a se anno x anno)
* Controlli, un programma che controlla il file generato da Unico
* Gerico, un programma x agg. gli studi di settore
* Controlli SDS, un programma che controlla il file fatto da Gerico, che
poi verrà incorporato in unico
* FileInternet o Entratel che invia il file via web o lo firma per poi
inviarlo via portale
Un unico programma, form-style che mastica un template generato anno per
anno e provvede all'invio è troppo semplice: ti fai pagare per un solo
programma, un solo servizio di supporto ecc. È un po' come i click-day,
se fai un servizio web disponibile in tutta calma ti serve tot server e
tot manutenzione; se fai un click-day ti serve n volte tot server e banda
per poter reggere il "DDOS volontario" di tutti gli utenti che arrivano
insieme e il conto sale alle stelle...

Ps i path fissi hard-coded ci sono tutt'ora e c'è di meglio: puoi impostare
un path tuo, peccato che questo poi non venga usato... Ah Java non > di
1.5, dopotutto siamo solo nel 2013 ed i mostri scritti negli anni '90 non
sono per nulla facili da aggiornare...
Top
Profilo Invia messaggio privato
mda
Dio maturo
Dio maturo


Registrato: 01/11/06 09:39
Messaggi: 6648
Residenza: Figonia

MessaggioInviato: 15 Ott 2013 12:38    Oggetto: Rispondi citando

mda ha scritto:
Bé anche perchè opensource si eviterebbe duplicati di software e schifezze software.
Faccio un esempio con il software (quello per riconoscere e firmare) per la Tessera Sanitaria:
(....)
Quante cose risolvibili se fosse il software OpenSource.

Ciao


Finalmente scoperto un software opensource e ottimo per firmare digitalmente i documenti e collegabile (questo lo sto ancora provando) alla smart card.

Jsignpdf .. Sito ... addition per open/LibreOffice!!!

Il software è in Java, dunque funziona dappertutto.

Per chi usa la" Dike" (un software Java creato da InfoCert SpA, comunemente usato nelle Pubbliche Amministrazioni italiane) c'è un addition opensource per open/LibreOffice , questo solo con l'appoggio di libreumbria.


Ciao
Top
Profilo Invia messaggio privato HomePage AIM
spacexplorer
Dio minore
Dio minore


Registrato: 08/10/09 10:22
Messaggi: 610

MessaggioInviato: 16 Ott 2013 08:47    Oggetto: Rispondi citando

@mda
il brutto è che non risponde alla normativa italica come non risponde più
FreeSigner del Comune di Trento o Dike in versione GNU/Linux... Non li puoi
usare per firmare a valor di legge PEC ed allegati... La PA colpisce ancora,
come (pressoché) sempre...

PS han pure cambiato alcune CNS, alcuni "certificatori" come le Camere di
Commercio (per lo meno quella di Genova) han avvisto, altri per quanto ne
so manco se ne sono accorti...
Top
Profilo Invia messaggio privato
mda
Dio maturo
Dio maturo


Registrato: 01/11/06 09:39
Messaggi: 6648
Residenza: Figonia

MessaggioInviato: 16 Ott 2013 12:21    Oggetto: Rispondi

@spacexplorer

La normativa è confusa quindi potresti firmarli, del resto l'organo certificante non è lo Stato ma la Regione e se la Regione dice (chi se ne frega che non si sono accorti) che è ancora valido...

Ok, il classico "cavillo legale", ma valido per firmare PEC anche perchè già la email PEC è autocertificata. Di norma non dovresti firmare gli allegati, serve solo quando si scorporano dalla email ma in questo caso sono gestiti dalla Stato e quindi viaggiano come documenti di Stato.

Tanto quanto ci scommetti che cambiano ancora??? Laughing

Ciao
Top
Profilo Invia messaggio privato HomePage AIM
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi