Problemi accesso con CieID ai siti della PA. Nessun problema con gli accessi tramite SPID

[Redazione di Hardware Upg]

Link alla notizia: https://edge9.hwupgrade.it/news/inno...id_117079.html

L'accesso con CieID ai siti della Pubblica Amministrazione non funziona: il problema sembra coinvolgere tutta l'infrastruttura pubblica, ma non coinvolge invece l'accesso tramite SPID

Click sul link per visualizzare la notizia.

[diabolikum]

ci fosse una sola delle idee di queste capre che ci governano che stia funzionando

[aqua84]

Quote:

Originariamente inviato da diabolikum

ci fosse una sola delle idee di queste capre che ci governano che stia funzionando

L idea di come non perdere la poltrona e di come non rinunciare ad un lauto stipendio funziona alla grande!!

Il resto pazienza, ci penserà poi "il governo successivo"

[AlexSwitch]

Impossibile anche rinnovare la CI... Avevo appuntamento stamane, dopo 35 gg di attesa, ma gli uffici comunali erano completamente bloccati!! Mattinata buttata e appuntamento spostato di una settimana.
Allerta rossa per pioggia intensa di madonne!!

[futuristicone]

Licenziamo tutti questi dipendenti statali, basta un AI risparmiamo soldi e buoni pasto usati per la carta igienica ai supermercati. Si cominci a risparmiare come stan facendo le Banche e tante multinazionali.

[sierrodc]

Va beh, un disservizio capita.

[MorgaNet]

Non capisco su che basi possiate attaccare uno specifico target, quando ancora non si sa esattamente la causa del disservizio.
Inoltre, non è che i disservizi capitino solo nel comparto pubblico. Capitano ovunque.
Sono ben altri i problemi della PA.

[Tasslehoff]

Quote:

Originariamente inviato da futuristicone

Licenziamo tutti questi dipendenti statali, basta un AI risparmiamo soldi e buoni pasto usati per la carta igienica ai supermercati. Si cominci a risparmiare come stan facendo le Banche e tante multinazionali.

Vedo che le supercazzole sull'AI che i media stanno somministrando a pioggia cominciano a far presa...

Quote:

Originariamente inviato da MorgaNet

Non capisco su che basi possiate attaccare uno specifico target, quando ancora non si sa esattamente la causa del disservizio.
Inoltre, non è che i disservizi capitino solo nel comparto pubblico. Capitano ovunque.
Sono ben altri i problemi della PA.

Quoto, oltretutto anche parlare di PA significa parlare di tutto e il contrario di tutto, specialmente dal punto di vista informatico si va dal comune di Vergate sul Membro con l'anagrafe che usa Windows 95 a enti da decine di migliaia di dipendenti con settori IT composti da centinaia di persone e datacenter o servizi che se la giocano con le realtà private più blasonate, sia dal pdv tecnico che di budget.

[lumeruz]

Quote:

Originariamente inviato da Tasslehoff

Vedo che le supercazzole sull'AI che i media stanno somministrando a pioggia cominciano a far presa...

Già la gente raglia e non sa neanche di cosa parla, come se una IA generativa avesse la capacità di gestire dei sistemi complessi.
Su un sito di tecnologia leggere simili cose fa riflettere.

Quote:

Originariamente inviato da Tasslehoff

Quoto, oltretutto anche parlare di PA significa parlare di tutto e il contrario di tutto, specialmente dal punto di vista informatico si va dal comune di Vergate sul Membro con l'anagrafe che usa Windows 95 a enti da decine di migliaia di dipendenti con settori IT composti da centinaia di persone e datacenter o servizi che se la giocano con le realtà private più blasonate, sia dal pdv tecnico che di budget.

Anche qui già, la gente non sa proprio di cosa parla, ci sono disservizi in tutti i settori dove ci sono sistemi informatici, quante volte la grande Vodafone ha avuto disservizi? DAZN?
Su downdetector c'è l'imbarazzo della scelta!
Poi prendersela con il governo per queste cose è davvero patetico, sintomo di ignoranza allo stato puro!
La società che gestisce la CIE è la stessa da anni e ne sono cambiati di governi nel frattempo!

[Sandro kensan]

SPID è distribuito mentre la CIE è centralizzata, quindi di facile attacco con un DDOS.

[Gringo [ITF]]

Quote:

Licenziamo tutti questi dipendenti statali, basta un AI risparmiamo soldi e buoni pasto usati per la carta igienica ai supermercati. Si cominci a risparmiare come stan facendo le Banche e tante multinazionali.

Hai vinto il Premio "LuogoComune 2023"!

COMPLIMENTI PER IL TUO 5° POST

[Tasslehoff]

Quote:

Originariamente inviato da Sandro kensan

SPID è distribuito mentre la CIE è centralizzata, quindi di facile attacco con un DDOS.

Vero, ciò non toglie che però ci siano gli strumenti per mitigare questo rischio.

Riguardo a SPID hai ragione, gli IDP sono diversi e indipendenti l'uno dall'altro, nella pratica però si sono comunque verificati grossi problemi in passato perchè gli utenti non sono ben distribuiti, anzi potremmo dire che sono drammaticamente sbilanciati su uno degli IDP (Poste).
A prescindere da ciò anche SPID ha un grosso tallone d'Achille che è Agid, una volta attaccato i loro sistemi si blocca tutta l'infrastruttura di gestione dei certificati SPID e crolla tutto il castello.

Aggiungiamo poi che questa "distribuzione" del carico (cosa ben nota e voluta dai progettisti di SPID, che poi in fin dei conti non è altro che una federazione SAML 2.0 eh, non è che abbiamo scoperto il motore a curvatura...) presta il fianco a una grossa criticità etica, di privacy e potenzialmente di mercato, ovvero si da un grande potere a dei soggetti privati che hanno tutto l'interesse a carpire informazioni dagli utenti.

E attenzione perchè chi sostiene che l'IDP SPID non sa nulla del sito a cui l'utente sta tentando di accedere (cosa che ho letto da più parti) dice palesemente il falso, perchè sia dal referer degli access logs che dall'asserzione SAML, l'IDP ottiene senza alcun dubbio il dominio e la url del sito che ha scatenato la richiesta di login.

Questo problema con CIE si risolve perchè di fatto l'IDP è un soggetto pubblico, lato SPID tecnicamente non esiste un IDP pubblico, praticamente quello che più gli si avvicina è Lepida (società partecipata dalla regione Emilia-Romagna).

[Thalon]

Poi queste emergenze ci fanno capire quanto sia utile avere almeno una forma di accesso alternativo se una è KO.

[Sandro kensan]

Quote:

Originariamente inviato da Tasslehoff

Vero, ciò non toglie che però ci siano gli strumenti per mitigare questo rischio.

Certo ma dipende anche se abbiano o meno l'intenzione di usarli questi strumenti. Penso che bisogna anche pensare a un data breach dove una istituzione pubblica è molto più semplice da attaccare di una privata, basti vedere il mezzo terabyte di dati divulgati dei pazienti della sanità dell'Aquila. Essere distribuiti limita i danni.

Quote:

Riguardo a SPID hai ragione, gli IDP sono diversi e indipendenti l'uno dall'altro, nella pratica però si sono comunque verificati grossi problemi in passato perchè gli utenti non sono ben distribuiti, anzi potremmo dire che sono drammaticamente sbilanciati su uno degli IDP (Poste).
A prescindere da ciò anche SPID ha un grosso tallone d'Achille che è Agid, una volta attaccato i loro sistemi si blocca tutta l'infrastruttura di gestione dei certificati SPID e crolla tutto il castello.

Non sono ben distribuiti, questo è vero. Non so bene come è fatta l'infrastruttura ma l'Agid non credo mantenga i dati degli utenti per cui se attaccata non dovrebbe rappresentare un danno per i dati ma solo un fuori servizio.

Quote:

Aggiungiamo poi che questa "distribuzione" del carico (cosa ben nota e voluta dai progettisti di SPID, che poi in fin dei conti non è altro che una federazione SAML 2.0 eh, non è che abbiamo scoperto il motore a curvatura...) presta il fianco a una grossa criticità etica, di privacy e potenzialmente di mercato, ovvero si da un grande potere a dei soggetti privati che hanno tutto l'interesse a carpire informazioni dagli utenti.

E attenzione perchè chi sostiene che l'IDP SPID non sa nulla del sito a cui l'utente sta tentando di accedere (cosa che ho letto da più parti) dice palesemente il falso, perchè sia dal referer degli access logs che dall'asserzione SAML, l'IDP ottiene senza alcun dubbio il dominio e la url del sito che ha scatenato la richiesta di login.

Questo problema con CIE si risolve perchè di fatto l'IDP è un soggetto pubblico, lato SPID tecnicamente non esiste un IDP pubblico, praticamente quello che più gli si avvicina è Lepida (società partecipata dalla regione Emilia-Romagna).

Sì, questo è un problema. Occorre valutarlo. Ma mi chiedo se sia più probabile che le Poste o Lepida o Sielte "venda" i dati oppure che se li faccia rubare. Secondariamente i server dello Stato è molto facile bucarli e rubare i dati. Quindi il problema della privacy è relativo, sfortunatamente.