Questo è il motivo grave...
On 11/20/07, Andrea P. <cerebrogis@ipergeo.org> wrote:
Gli argomenti che citi sono tutti giusti,
ma gli approcci da te citati non sono sufficienti per garantire un
sufficiente grado di sicurezza.
Se gli archivi sono cosi' sensibili, come pare siano in base a quello che
dici,
l'unica strada e' passare attraverso la criptazione.
Il ricorso a una sessione utente , oppure l'isolamento attraverso un
application-server sono roba da sicurezza di pbasso livello, troppo blanda
per archivi
sensibili.
Infatti, non devi dimenticare che se il colloquio tra il cliente e il server
avviene in http in chiaro, comprese eventali dati e mappe gif o jpeg che
siano.
Mi spiego meglio:
le mappe che ricevi sul browser sono in chiaro e sono quindi intercettabili.
Se fai un discorso di sicurezza estrema non bastano delle misure di
riconoscimento dell'utente, oppure misure che isolano la banca dati
dall'utenza, perche' quello che non riesci a isolare sono i risultati. La
mappa che ricevi, quando consulti e' un jpeg con il tracciato della linea
elettrica o della
linea del gas, ed essa passa in chiaro in http su internet e con un
protocollo il TCP/IP che e' pure connection-less per cui non sai neanche da
dove transita
il pacchetto, nel senso che non trattandosi di un collegamento punto-punto
tra la casa del client e la casa del server, potrebbe passare anche da zone
dove il pacchetto tcp e' facilmente intercettabile .
Quindi ribadisco che non mi sembra una cosa cosi' grave il fatto che si
vedano con un client arcexplorer.
Se sono archivi cosi' importanti semplicemente non andrebbero messi
consultabili su internet in chiaro in http. E se proprio si deve, quantomeno
si dovrebbe
ricorrere a un plugin che consenta di tenerle criptate, in modo da
consentirne la visione solo a chi disponga di opportuno plugin e chiave di
decodifica.
Andrea.
On Tue, 20 Nov 2007 09:45:52 +0100, Ivano Picco wrote:
>Cito dal sito:
>"Agli utenti "cittadino e professionista" non è permessa - per motivi
>legali e di sicurezza - la consultazione della banca dati cartografica
>e censuaria catastale e degli archivi: gas, acquedotto, fognatura e
>reti elettriche. "
>Sottolineo che non è permessa per motivi legali e di sicurezza. Questo
>è il requisito che il sistema informativo DEVE essere in grado di
>soddisfare: Fruizione delle mappe con profilazione utente e policy di
>sicurezza sull'accesso al dato.
>In questo caso questo requisito esplicito non viene rispettato, se il
>problema è ignoto o tollerato non può essere una scusante, semmai
>un'aggravante.
>Capisco che l'approccio tecnologico non consenta l'applicazione
>semplice di regole di sicurezza (la sicurezza IT non è mai un problema
>di facile risoluzione), ma questa è una scelta implementativa errata
>rispetto alle caratteristiche che deve avere il sistema in esame.
>Parlando più in generale: la sicurezza IT è un argomento spesso
>sottovalutato, anche in ambiti, come il GIS, in cui il dato è di
>fondamentale importanza, sia economica sia legale. Non è tollerabile
>una situazione in cui un dato protetto per ragioni economiche (dato su
>cui si fonda il business di un'azienda), legali o di sicurezza (come
>categorie di informazioni sensibili) siano facilmente accessibili al
>primo che capita. Evitare questo tipo di problemi richiede un
>approccio sistematico alla sicurezza, che comprenda anche quei sistemi
>che sono di pubblica fruibilità (tutti il sistema deve essere
>protetto, non solo le parti "sensibili").
>Nello specifico ci sono molti modi semplici per ovviare il problema:
>1) cambiare il client di consultazione in modo che sfrutti un
>approccio client-server a 3 livelli (con PHP come Ka-map o con Java o
>... ) in cui sia il server a consultare il servizio di pubblicazione
>immagine. Quest'ultimo non deve essere accessibile da internet ma solo
>dai sistemi di gestione e dal server di cui sopra.
>2) utilizzare un reverse-proxy per bloccare l'accesso diretto alle
>informazioni da parte di client diversi dall' applicativo web o
>utilizzare delle policy sull'application server per impedire la
>consultazione ad utenti con referer diverso da quello dell'applicativo
>web
>3) legare la consultazione del servizio alla sessione utente
>In ogni caso utilizzare diversi servizi a seconda della profilazione
>del dato, e non un unico generico servizio sul quale poi si "profila"
>spegnendo layer in TOC.
>On 11/20/07, Andrea P. <cerebrogis@ipergeo.org> wrote:
>> Non saprei se sia cosi' grave, anche perche'
>> tutti i sistemi ArcIMS, se non sono esplicitamente chiusi all'accesso
>> pubblico (ma e' abbastanza complicato poi gestirli), sono consultabili
con
>> dei clients
>> appositi , tra cui arcexplorer.
>> E' difficile ipotizzare che non lo sappiano, e quindi probabilmente, si
>> tratta di una possibilita' voluta o quantomeno tollerata.
>>
>> Andrea.
>>
>> On Mon, 19 Nov 2007 19:01:23 +0100, Ivano Picco wrote:
>>
>> >Ciao a tutti,
>>
>> >WMS in effetti è solo una "facciata". Il servizio infatti si appoggia
>> >ad ArcIMS in versione "classica".
>> >LA cosa grave è che "smanettando" un poco è possibile risalire all'url
>> >del servizio, ed usando anche solo ArcExplorer si può fare "la
>> >consultazione della banca dati cartografica e censuaria catastale e
>> >degli archivi: gas, acquedotto, fognatura e reti elettriche." (cito
>> >dal sito).
>> >Tralascio la url e non aggiungo altro.
>> >Questo è il mio "esordio" in lista, ne approfitto quindi per salutare
>> tutti!
>> >Ciao,
>> >Ivano
>>
>> >On 11/19/07, Paolo Cavallini <cavallini@faunalia.it> wrote:
>> >> Marco Cerruti ha scritto:
>> >> >
>> >> > Mi pare emergano alcune pesanti questioni:
>> >> > - cartografia a pagamento
>> >> > - formato DWG
>> >> >
>> >> > A queste si aggiunge il fatto che il servizio è WMS solo di nome e
>> >> > consultabile, mi pare, solo con MSIE. Magari qualcun'altro in lista
>> >> > conosce/usa questo servizio e può fornire maggiori informazioni, io
>> >> > non procedo oltre con le critiche anche perché ribadisco mi sono
>> >> > registrato per curiosità e non ho ancora approfondito il tutto.
>> >> > Personalmente mi sembra però davvero un buon esempio di quale strada
>> >> > NON seguire.
>> >> >
>> >> > [1] http://sit.geographics.it/WMS_Ferrara/
>> >>
>> >>
>> >> Ottimo! Per piacere segnalate casi positivi e negativi sul wiki, prob.
>> su:
>> >> http://wiki.gfoss.it/index.php/Geodati_Regioni
>> >> Ricordiamoci dell'antica proposta del premio GFOSS.it, per il soggetto
>> >> piu' e quello meno amichevole nei confronti del GFOSS...
>> >> Saluti.
>> >> pc
>> >> --
>> >> Paolo Cavallini, see: http://www.faunalia.it/pc
>> >>
>> >>
>>
>> >_______________________________________________
>> >Iscriviti all'associazione GFOSS.it:
http://www.gfoss.it/drupal/iscrizione
>> >Gfoss@faunalia.com
>> >http://www.faunalia.com/cgi-bin/mailman/listinfo/gfoss
>> >274 iscritti al 9.11.2007
>> >Questa e' una lista di discussione pubblica aperta a tutti.
>> >I messaggi di questa lista non rispecchiano necessariamente
>> >le posizioni dell'Associazione GFOSS.it.
>>
>>
>>
>>
>>
>> _______________________________________________
>> Iscriviti all'associazione GFOSS.it:
http://www.gfoss.it/drupal/iscrizione
>> Gfoss@faunalia.com
>> http://www.faunalia.com/cgi-bin/mailman/listinfo/gfoss
>> 274 iscritti al 9.11.2007
>> Questa e' una lista di discussione pubblica aperta a tutti.
>> I messaggi di questa lista non rispecchiano necessariamente
>> le posizioni dell'Associazione GFOSS.it.
>>
>_______________________________________________
>Iscriviti all'associazione GFOSS.it: http://www.gfoss.it/drupal/iscrizione
>Gfoss@faunalia.com
>http://www.faunalia.com/cgi-bin/mailman/listinfo/gfoss
>274 iscritti al 9.11.2007
>Questa e' una lista di discussione pubblica aperta a tutti.
>I messaggi di questa lista non rispecchiano necessariamente
>le posizioni dell'Associazione GFOSS.it.
_______________________________________________
Iscriviti all'associazione GFOSS.it: http://www.gfoss.it/drupal/iscrizione
Gfoss@faunalia.com
http://www.faunalia.com/cgi-bin/mailman/listinfo/gfoss
274 iscritti al 9.11.2007
Questa e' una lista di discussione pubblica aperta a tutti.
I messaggi di questa lista non rispecchiano necessariamente
le posizioni dell'Associazione GFOSS.it.