2009/10/17 simo: > On Fri, 2009-10-16 at 17:58 +0200, Marco Ermini wrote: >> Sì ma tu stai arbitrariamente asserendo che le responsabilità siano >> ben precise e ricadano nel fantomatico "responsabile della security" >> che forse nemmeno esiste. > > Mi sembra di aver detto abbastanza chiaramente (ed e' pure nel quoting > della tua risposta), che io ho detto "responsabile", e non > necessariamente "responsabile delle sicurezza" inteso come *titolo*.
Beh, hai scritto proprio tu due giorni fa: "> Ad ogni evento simile licenziamo gente, quindi? Beh certo, se a te sembra tutto normale e se pensi che il responsabile della sicurezza non sia "responsabile" della sicurezza ma solo di occupare una poltrona nel management, beh allora e' tutto normale e nessuno va mai licenziato. Secondo me una cosa del genere e' un fallimento alcuanto pesante, specie viste le risorse di poste.it e soprattutto i rischi di poste.it (che ripeto e' una banca per cui ha fattori di rischio molto piu' elevati del giornaletto di topolino)." Non credo di metterti in bocca io il fatto che tu stessi chiaramente riferendoti al fatto che bisogna licenziare quello che tu chiami "responsabile della sicurezza" che io in realtà continuo a non capire chi sia (sono ironico ovviamente, intendo dire che siamo tutti responsabili e che in una grande realtà almeno non ha senso che una fugura simile esista, almeno nei termini da te usati). Sono contento che tu sia d´accordo con me per tutto il resto ;-) 2009/10/17 tag 636: > Ciao, > > ho una domanda sull'aspetto tecnico del defacement, generalmente > grosse societa' bilanciano le richieste su piu' web server, ma se hai > parecchi webserver hai anche piu' di un db server che generalmente si > sincronizza ogni tot. Non necessariamente, puoi benissimo avere un cluster es. Oracle, hai un unico punto di accesso automaticamente sincronizzato per tutti i DB [...] > Leggendo i dettagli trovati in rete sembrerebbe che la struttura qui > fosse molto piu' semplice, e' normale per una realta' cosi' grossa? Una grande realtà fa anche molti piccoli progetti, non soltanto pochi grandi... È proprio qua il macello spesso > Un altra curiosita' che ho e' che ormai quasi tutti gli application > firewall, cioe' a layer 7 fanno content inspection alla ricerca di sql > injection. > > Ho letto con interesse le mail di Gippa e di Marco, ma sinceramente > per la mia esperienza lavorativa non c'e' nessuno che non usi questa > soluzione, a volte per colmare anche qualche bug dell'applicazione o > per mascherare con policy di rewrite le risorse. > > Mi sembra che manchino i principi base, sono cosi' tanto in errore? Forse non in tutti i tuoi 300 progetti annui usi un NIDS o un sistema di prevenzione di SQL injection, soprattutto quelli che il mega boss vuole che vadano in produzione entro... ieri... Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" Sent from Dusseldorf, NW, Germany ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
