[Flug] e-privacy 2008 - Call For Paper

Massimiliano Masi masi@firenze.linux.it
Sab 16 Feb 2008 21:15:16 CET 

Ciao,

Il giorno 16/feb/08, alle ore 20:32, Raistlin ha scritto:

> On Sat, 2008-02-16 at 18:32 +0100, Massimiliano Masi wrote:
>> Ma rendi vulnerabili i servizi. Ad esempio, loggandoti sempre
>>

> Bhe`, non credo.
> Semmai rendo piu` semplice il furto della _mia_ identita` con cui  
> accedo
> a quel servizio il che, se il servizio e` fatto bene, dovrebbe  
> essere un
> problema _mio_ e non del servizio e tantomeno degli altri suoi utenti!
>

Invece si. Pensa alle autenticazioni basate su kerberos. Se la tua
password e' semplice e qualcuno la trova, rendi il sistema attaccabile.

(perlomeno mi sembra di ricordare che il kerberos funzioni cosi',
ora ci riguardo, non sono sicuro. !!! C'e' anche il controllo nel
MIT KDC sulle weak passwords.)

>>>
> ... Il punto e` che se mi dici che alcune idee alla base di Trusted
> Computing e DRM (ma non _questo_ Trusted Computing e _questo_ DRM)
> potrebbero anche essere valide ed utili siamo completamente  
> d'accordo, a
> patto che siano "sviluppate" bene (ad esempio basandosi su soluzioni
> open e Libere, e continuando da qui).
>

Si, e' quello che penso anche io. Basta che siano standard. Vedi
SAML, standard OASIS, che funziona abbastanza bene.

Che poi, oh, il WCF di .NET lo implementi alla sua maniera, e'
un altro discorso !!! ;-)

> Se mi dici che il Trusted Computing e` necesario perche` la gente  
> mette
> "pippo" come password dell'home banking e non sa usare la crittografia

E sono d'accordo anche con questo. Il problema e' che la non-repudiation
e la confidenzialita' ora come ora sono complicate! Non e' cosi' banale
parlare di identita' digitali, basati ad esempio su certificati.

Un certificato puo' andare perso, o rubato. Pensa alla firma digitale,
quella implementata su un badge, con tanto di foto.

Con quella chiave si puo' firmare e cifrare i dati. Ma se poi viene  
perso
il badge? Che si fa? Come si fa ad averne uno nuovo indietro?

Si fa fare una copia dallo stato? No, e' contro il concetto di  
identita':
lo stato non sono io.

Boh?

Non e' una cosa banale, IMHO :-)

Ciao,

        Massimiliano


--
Massimiliano Masi

http://www.comunidelchianti.it/~max - max@f33.n550.z2.fidonet.org

Maggiori informazioni sulla lista flug