> >-----Messaggio originale----- > >Da: [email protected] > >[mailto:[email protected]] Per conto di giantkiar > >Inviato: mercoledì 14 ottobre 2009 9.57 > >A: [email protected] > >Oggetto: [ml] Re: Digest di ml, Volume 66, Numero 10 > > > > >> pur forse comprendendone la motivazione lato marketing, > >la frase piu' > > >> interessante/sconcertante, IMHO, rimane: > > >> > > >> "E' solo un 'defacement' che riguarda il sito > >informativo di Poste.it. > > >> Non sono stati violati i server con i dati personali > >degli utenti, che >> quindi non sono mai stati in pericolo" > > > > > Sinceramente non lo vedo poi cosà improbabile. Mettere > >in sicurezza un > asset ha un costo e i livelli di > >sicurezza sono diversi. Probabilmente > il server con i > >dati dei clienti é diverso dal server web, con un > > >livello di sicurezza ben piú alto. (per lo meno... lo spero) > > > >Concordo in pieno con la possibilità che abbiano server > >diversificati...anzi sarebbe una cosa abbastanza ovvia...ed > >"avendo visto molto di striscio" la server-farm di poste > >italiane di Roma accrediterei quasi questa ipotesi...
Che si debba separare Front-End e Back-End credo sia noto a tutti, che venga fatto sempre e' un altro paio di maniche. Non concordo affatto sull'applicare livelli di sicurezza differenti a livello di server, ma ritengo si debba ragionare a livello di sistema, che avra' la sua criticita' intrinseca (definita a livello di business e di sicurezza dei dati trattati). Valutata questa criticita', tutte le macchine del perimetro vanno valutate con il medesimo criterio, altrimenti gia' si pone nella catena un anello piu' debole, in particolar modo se i vari asset sono collegati logicamente (e/o fisicamente) tra di loro. La sicurezza intrinseca di un sistema parte da una buona ingegnerizzazione, in cui gli aspetti di sicurezza vengono presi in considerazione dall'inizio, e non applicati a posteriori. Saluti RR Questo messaggio e i suoi allegati sono indirizzati esclusivamente alle persone indicate. La diffusione, copia o qualsiasi altra azione derivante dalla conoscenza di queste informazioni sono rigorosamente vietate. Qualora abbiate ricevuto questo documento per errore siete cortesemente pregati di darne immediata comunicazione al mittente e di provvedere alla sua distruzione, Grazie. This e-mail and any attachments is confidential and may contain privileged information intended for the addressee(s) only. Dissemination, copying, printing or use by anybody else is unauthorised. If you are not the intended recipient, please delete this message and any attachments and advise the sender by return e-mail, Thanks. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
