Ciao Fausto, > <Vendor mode ON> lo hai dimenticato? :) Si', lo ho dimenticato e me ne scuso con la lista: avrei dovuto avvertire che ci sono tre slides "vendor oriented". In realta' pero' ho tentanto di essere il piu' neutrale possibile durante l'intervento, il mio voleva essere un intervento divulgativo, facendo vedere quelle che sono prima le divisioni del cloud, ahime' purtroppo ancora poco note, e risvolti di sicurezza. Ho voluto puntare molto sul fattore umano, in cui che di solito i vendor non vanno a puntare il dito (penso), facendo apposta il paragone con l'aviazione dove il fattore umano e' preso seriamente in considerazione ed e' materia sia di studio che di una apposita commissione.
Approfitto anche per lanciare una discussione. Ora, al di la' della specifica soluzione implementata, vendor, ecc.., parlando di strong authentication con un "professionista" IT l'ha definita come "una soluzione estremamente specifica e ben lontana dalla quotidianita'". Leggendo questo commento a prima vista mi sono arrabbiato molto: un professionista dell'IT dovrebbe ben capire che e' l'identificazione di un utente e' una cosa seria. Posso capire (anche se non condividere) che il budget sia ridotto e che non c'e' spazio per altre soluzioni, oppure che non c'e' tempo... passi, ma definire una cosa che possa garantire l'utente e l'azienda "ben lontana dalla quotidianita'" e' tutto un altro pianeta. Spesso la strong authentication viene associata alle banche (conti) e non alle aziende. Non parlando come GARL, ma parlando come Canonical, una two-factor authentication e' stata implementata per i nostri servizi interni tramite l'Ubuntu Single Signon pubblico. Pensandoci bene, pero', quella frase puo' essere letta con un altra chiave. Perche'? Perche' viene considerata "lontana dalla quotidianita'" anche da un professionista IT? Quali sono le barriere (mi vien da dire) psicologiche per l'adozione di un qualcosa di piu' sicuro, anche a prezzi contenuti, se non addirittura a zero? Io sono un fautore della "sicurezza trasparente", anche se durante il mio intervento una delle domande era "come faccio a far percepire all'utente che il mio sistema e' sicuro", posto che ho adottato delle politiche di sicurezza? Non riesco a darmene una spiegazione, quindi magari in lista possiamo ragionare "ad alta voce" su questo argomento. Per dovere di cronaca e per evitare che in ML pensino che parli come vendor, vi segnalo che sono comunque il maintaner di un daemon open source per il two-factor authentication https://code.google.com/p/otpd/. Mi scuso, ma alcune volte mi e' difficile separare le due cariche quando parlo di roba pratica. Ciao ciao, Gippa ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
