OFFRO LAVORO

[repne scasb]

[homero]

mmmm....
allora si era parlato delle richieste di accesso a cartelle e file e non di gestione intera di un data base.

per gestire un data base serve un altro sistema che si basa in genere su un client/server o meglio un application server.
per 2 o 3 e fino a 10 computer il file server puo' fare anche da application server. al contrario bisogna installare i duesistemi su hardware separati.

in quel caso le maschere e tutto il resto sono configurabili secondo il tipo di accesso effettuato.

naturalmente nessuno puo' accedere agli interi file fisici del data base ossia non e' come in access in cui qualcuno si copia il file .mdb e si e' in automatico appropriato dell'intero archivio. tutta la struttura e' protetta da qualunque tipo di accesso.

pertanto quello che si richiede non e' ne' piu' e ne meno la necessità che la stragrande maggioranza degli uffici cerca.

ovviamente il database center e' a parte ai 2 mila euro di base.

cosi' come il trasporto dei vecchi archivi access(o db4 o quello che e') ai nuovi sistemi sql.....

detto questo basta soltanto decidere e stanziare i soldi

i prezzi sono sempre minimali non penso sia possibile farli con meno...

[massimo78]

Quote:

Originariamente inviato da ValeriaVitolo
1) so cosa significa il numero di bit in crittografia: oggi il riferimento (state of the art) è 256 bit;

2) non è che io perdo la chiave è il cliente che va tutelato, à tu compris?

3) dipende che tipo di protezione c'è sulla macchina.....

4) di pubblico dominio nel senso che può procurarselo chiunque.

Alla fine non sto dicendo che il tuo discorso sia sbagliato massimo 78, il fatto è che si può fare di più (e anche molto) sia in termini di sicurezza, sia in termini di operabilità, sia in termini di tutela del cliente e dei suoi dati.


Niente di personale, solo uno scambio di punti di vista eh.

1) ok , ma sai al livello "pratico" cosa ti cambia avere una criptazione a 128 bit o a 256 bit ? (non sto parlando del fatto che è meglio a 256, io parlo del perchè è meglio... al livello basso in che modo ti cambia la vita).
2) certo sono daccordo, ma sono convinto che ogni possibile soluzione riguardo questo argomento (il recovery della pwd) sia una possibile e potenziale exploit. Cmq alla peggio vista la legge sulla privacy, si può fare una pwd di admin che può recuperare l'archivio.
3) mmm non sono daccordo.
4) per carità è scambio di opinioni ci mancherebbe io sto solo cercando di dimostrarti che a volte le cose semplici sono le più funzionali poiché dipendono molto dal caso e dal contesto.
(cmq di pubblico dominio non significa che sia reperibile da tutti, ma che sia utilizzabile gratuitamente da tutti proprio in quanto di dominio pubblico lo dice la parola)

[massimo78]

Quote:

Originariamente inviato da ^TiGeRShArK^
Certo il winrar non ho idea ke tipo di algoritmo di cifratura utilizzi, però se trovi un prog equivalente ke usi kiavi a 128 bit ti puoi ritenere piuttosto al sicuro (x usi non militari...)

winrar dovrebbe usare lo stesso identico sistema che viene usato da winzip, ossia la xor della password (in questo caso chiave di criptazione) che viene applicata al pacchetto. Nell'archivio non è presente la pwd in questo modo e può essere trovata solamente tramite forza bruta.

[ValeriaVitolo]

Bene, bene....

Quello che stiamo provando a formulare è una soluzione efficiente (e se possibile economica) per l'attuazione della legge sulla privacy.

Quindi va bene la teoria purchè si passi poi alla implementazione pratica.

I casi sono:

1) Un solo utente ha accesso ai dati riservati;
I dati vengono gestiti solo nel DB.


2) Più utenti hanno accesso (a vari livelli di privilegio) ai dati riservati;
I dati vengono gestiti solo nel DB;

3) Più utenti hanno accesso (a vari livelli di privilegio) ai dati riservati;
I dati vengono gestiti esternamente al DB.



Posterò qui le soluzioni.


Caso (1): già risolto [migliorie possibili?];

Caso (2):
Teoria (incremento rispetto al caso 1):
Occorre un'applicazione (DBMS?) che possa filtrare gli accessi e che conservi un log criptato delle azioni;

Caso (3):
Occorre un'applicazione (DBMS?) che possa restituire i dati richiesti dal programma esterno, che possa filtrare le richieste in base ai privilegi, che conservi un log criptato delle azioni.


Credo sia tutto.

Ciao

[homero]

scusate ma di quale data base state parlando?!!?!??!
qua non si sta parlando di nulla!!!!!
niente!!!niecht!!!!
ossia facciamo un esempio:

postgreeSQL offre tutte le protezioni del caso con flusso dati ed accesso protetto mediante SSL2.0 cryptazione a 100000milione di bit e rovescio della medaglia girata al quadrato.....

Oracle offre anche il rovescio della medaglia al cubo ossia se gli stai antipaticato perche' chi e' al pc vuol fregare la società lui se ne accorge e tutela i dati......

insomma qui si sta parlando di cosa?!"?!?!
data base privicy etc etc etc.....

basta che tirate fuori dai vostri scritti la razza del software di data base che volete usare o gia' usate per verificare se e' conforme alla protezione dei dati personali, non c'e' altro da girarci attorno....

se volete tutelare un data base precotto fatto con access o excel o framemaker o db4 semplicemente scordatevelo!!!
perche'?!!??!
perche' non e' possibile avere alcun tipo di certificazione tantomeno trovare un programmatore che perda il proprio tempo ad implementare qualcosa che gia' e' sul mercato in tutte le salse salsette salsine....

gestire un flusso per un singolo utente?!?!?
che privicy dovrebbe avere un sistema che e' usato da un singolo utente....

basta windowsPRO e un catennaccio bello solido per chiudere la stanza del pc quando si e' via....

per i gruppi di lavoro e' altra storia.....

discutere sul tipo di cryptazione non serve ad una mazza sia 128bit o 256bit o 1 milione di bit....

esistono degli standard codificati da anni li usano tutti da ebay a paypal agli istituti di credito....sono implementati in quasi tutti software di un certo livello tra questi tutte le implementazioni di sql server piu' diffuse....
mysql+apache postegreeSQL+apache MSSQLserver+IIS etc etc etcce ne sono a iosa che altro andate trovando!?!?
cosa?!!??!
andar dietro a leggi leggine e leggette fatte per complicare la vita alla gente?!?!?
discutere del piu' e del meno o filosofeggiare sul numero di bit di crittazione nella speranza di raggiungere la protezione suprema....
....non riesco proprio a concepire come si possa girare intorno a questioni ormai trite e ritrite di cui tutti gli uffici dotati di una rete di un certo livello come le agenzie assicurative e i collegamenti al PRA, hanno gia' da qualche anno, saranno centinaia soltanto a BARI......e nessuno discute di crypt cropt o crupt.....bit o bot.....sanno che la loro connessione e' sicura che il server dell'istituto di credito fagocita tutto e che in locale non resta altro che le loro annotazioni ma nessun documento ufficiale, che nessuno che non ha login/password/codice telefonico puo' accedere alla rete e consultare gli schedari....a meno che qualche inbecille non lasci il pc accesso con il login attivo.....

[Madmind]

quoto completamente homero

mancano dati fondamentali per capirci qualcosa... che genere di dati andrebbero protetti? da cosa? dove? in quanti ci accedono? da dove? che sistema e' attualmente utilizzato? l'analisi presentata e' totalmente campata in aria e priva di significato...

[fabianoda]

Il problema è che chi ha proposto l'idea - chi ha aperto questo topic - non ha un'idea del tutto precisa di come voglia far funzionare il tutto. A dire la verità anche l'idea fornita è piuttosto vaga...

[ValeriaVitolo]

Un pò di chiarezza:
un cliente mi sottopone un'esigenza (tutela privacy: ovvero così com'è stabilito dalla legge) e aggiunge che se trovo una soluzione efficace ci sono altri clienti (abbastanza importanti!) pronti ad adottarla.

Posto l'OFFERTA di LAVORO così com'è nella pagina iniziale (a dirla tutta cerco un partner programmatore per sviluppare questo ed altri lavori insieme.....)

Ma nessuno si fa avanti.

A dire il vero ricevo due proposte:
1) un utente con msg privato che mi chiede (almeno) 6000 euro + iva.....
2) homero mi propone un server.

Beh a me il server non mi SERVER.... cioè se devo acquistare acquisterò solo un sw proprietario.

Solo allora provo a mettere sù una soluzione GENERICA per la privacy che possa essere utile a tutto il forum.... utilizzando programmi già esistenti.

Ovvero cerco di fare un'astrazione dalla piattaforma hw/sw del cliente, ponendo la questione semplicemente sui dati che tratterà (ovvero i dati menzionati dalla legge sulla privacy) e sulla tutela del responsabile della sicurezza.

Eppoi il trade non è mio ma di tutti: cioè se qualcuno ha un'idea ad esempio propone e motiva MySql come DBMS adotteremo quella nel post come soluzione tipo.....

Spero di essere stata ragionevolmente chiara.

[dupa]

Quote:

Originariamente inviato da ValeriaVitolo


A dire il vero ricevo due proposte:
1) un utente con msg privato che mi chiede (almeno) 6000 euro + iva.....

E ti sembrano tanti 6000 euro + iva per un prodotto che verrà venduto a N utenti?

Quando facevo siti web, per un sito coi controfiocchi fatto per un singolo cliente chiedevano dai 50 milioni di lire in su.

6000 euro credo sia il minimo per trovare un semi-professionista che faccia sto lavoro..

E inoltre come molti avevo sottolineato io e come hanno detto anche molti altri non si capisce un tubo dalle specifiche fornite.

ogni tanto si parla di privilegi di accesso al file server altre volte di database... mah, sembra che ci siano le idee molto confuse.

[cn73]

6000 euro lorde sono un prezzo ridicolo...non capisco perchè nessuno batte ciglio per un idraulico che per mezzora di lavoro ti chiede 500 euro o un meccanico che te ne chiede 800 per un paio d'ore...e per un lavoro di decine e decine di ore ci si scandalizza... se vuoi risparmiare puoi trovare il ragazzino che te lo fa per meno, magari è pure bravo...ma se vuoi un professionista... e poi come la mettiamo con la manutenzione? E se dopo un mese esce fuori un baco? E gli strumenti necessari allo sviluppo chi li mette? Il programmatore? O tu?

E poi sono proprio curioso di sapere quali sono le tariffe della tua azienda... la gente si è abituata troppo male ad usare software "aggratis"...

[dupa]

x Valeria Vitolo

Comunque non ho capito un po' di cose:

1) Tu da quel che ho letto di informatica capisci poco nulla, e qualcuno ti sta commissionando un lavoro che tu vorresti addirittura rivendere a terzi?

2) Se tu capisci poco di informatica ci sarà pure nella tua azienda qualcuno che "capisce" qualcosa e possa venire qui a spiegare i requisiti dell'applicazione al posto tuo, no?

3) Non ho capito se ci sei o ci fai. Cioè ti spaventano 6000 euro??? Nei tuoi primi post dicevi che chi ti avrebbe fatto questo lavoro avrebbe anche dovuto essere "sempre" reperibile per aggiornamenti e menate del genere... hai un'idea di quanto possa costare un servizio di assistenza e manutenzione di codice di questo tipo?

4) Queste leggi qua sulla privacy, sul trattamento dei dati personali sono fatte da gente che di informatica non sa nulla, ho parlato tempo fa con un amico per quel che riguarda il problema dello sniffing dei dati sulle LAN di uffici e per quel che riguarda la legge ogni ufficio del cavolo dovrebbe spendere migliaia e migliaia di euro per mettere in sicurezza l'ufficio?

5) Puoi fare quel cavolo che vuoi per creare un archivio sicuro dei tuoi dati, ma se gli utenti che poi useranno questi dati sono degli "utonti" informatici, i soldi spesi saranno totalmente inutili. In quanto che so magari uno piglia un file excel contenente informazioni "protette" e se lo copia un floppy disk per leggerlo sul portatile tutta la sicurezza va a farsi friggere..
Oppure magari si fa una stampa di alcune pagine del file excel con dentro i dati personali della gente e lo lascia sulla scrivania..
Oppure se uno su internet si becca un virus un worm o una qualunque schifezza che apre il suo pc come una scatoletta di tonno ..
A che cavolo è servito fare duecentomila sistemi di criptazione e sicurezza?

6) Con tutto lo schifo di criminalità che gira voglio proprio vedere quando lo Stato manderà in giro dei suoi uomini (che dovrà tra l'altro istruire) per fare controlli che i dati "sensibili" siano criptati con chiavi Y bit piuttosto che a X bit..

7) Per quel che mi riguarda tanto vale usare il sistema di autenticazione classico di windows, con eventualmente il sistema di criptazione delle cartelle integrato in windows se proprio vuoi fare una cosa un po' + decente..

8) Non ho capito a chi gliene frega qualcosa di sapere se il tizio X all'ora Y ha fatto accesso al file Z.
In sostanza, basta che registri gli orari di login e logout di un utente e presupponi che in quell'arco di tempo quell'utente ha avuto accesso continuo ai file nelle cartelle sulle quali ha i relativi permessi.

In sostanza a mio parere ste menate qui sulla tutela dei dati personali sono un sistema per far fare due lire alle software house che dopo il boom per il bug dell'anno 2000 e gli aggiornamenti all'euro sono rimaste senza una sega da fare.

Se qualcuno mi chiedesse un consiglio a riguardo gli risponderei di andare avanti usando i sistemi che ha sempre usato fregandosene altamente di tutte ste menate burocratiche e di ste leggi scritte da chi di informatica non sa nulla.

bye.

[ValeriaVitolo]

Madmind:
1) che dati andrebbero protetti? Ovviamente quelli tutelati dalla legge sulla privacy (nome, cognome,. reddito, credo religioso, abitudini sessuali, salute, ecc.), che presuppongo siano contenuti in un database.

2) da cosa? Da qualsiasi forma di attacco, di accesso o modifica non autorizzato (sia utenti sia altri programmi).

3) dove? Generalizzando non conosciamo se il database è su un server o su una sola macchina, nè se è connessa ad internet. Per semplicità escluderemo accessi remoti al database, quindi o stessa macchina o rete locale.

4) in quanti ci accedono? La soluzione proposta dovrebbe essere efficace sia che acceda al database un solo utente (caso banale) e sia che possa accedervi un insieme di utenti (diviso in base a gruppi e privilegi). Ovvero per generalizzare diciamo che diverse persone possono accedervi a vari livelli di privilegi: alcuni utenti vedono dei campi, altri no.

5) da dove? Escludiamo la connessione remota, possono accedervi o dalla stessa macchina (multiaccount) o dalla rete lan.

6) che sistema è attualmente usato? La soluzione dovrebbe essere indipendente dal sistema in uso dal cliente: sia esso un file di excel, di access o SQL server.... Magari si può consigliare il cliente di migrare verso una soluzione diversa da quella in uso.

7) analisi campata in aria: credo di essermi espressa ampiamente pur provando a progettare una soluzione generica.....


CN73 e DUPA: 6000 euro + iva (7200 euro, come quotazione minima e possibilità di incremento) credo siano una bella cifra....
Sfruttando programmi già in commercio, al programmatore spetta semplicemente un'applicazione che faccia da filtro tra la richiesta del programma esterno ed il DB.....
Eppoi non posso accettare un prezzo senza conoscere un progetto almeno a grandi linee... non vi pare?
cmq siamo in un libero mercato.... valuterò (ovvero sonderò pure cosa vuole investire il cliente....).


DUPA:

Un programmatore deve solo conoscere l'esigenza.... ed io credo di averla spiegata abbondantemente. Se hai dubbi specifici puoi chiedere... ti risponderò senz'altro.

La legge sulla privacy prevede l'arresto fino a 2 anni e fino a 125000 euro di multa.... bel consiglio che gli dai.


La legge in due parole dice:

Bisogna impedire che utenti (e programmi) non autorizzati accedono ai dati riservati. Il database dei dati deve essere crittato e protetto da pwd. Occorre distruggere i dati riservati non più utili (ad es. un cliente che cambia commercialista, o clinica di cura)


Ecco l'esigenza, la soluzione spetta ai programmatori... nO?

[fabianoda]

Beh il fatto dei 6000 euro tanti o pochi è una cosa molto soggettiva.

Con questo intendo che, chiesti da una ditta ad una software house, sono poca cosa; se invece sono chiesti ad un programmatore per fare un sw del genere sono tantissimi.

Bisogna infatti vedere quanto riesca a vendere di questo progetto: a quanto ho capito i clienti non sono proprio disposti a sborsare molto; inoltre considerate che un prodotto commerciale di questo tipo è venduto penso a 100-200 euro la copia [vista la natura non professionale del committente dubito che riesca a guadagnarci se chiedete 6000€].

La situazione è difficile: la cosa migliore sarebbe fare un contratto basato sul numero di licenze, utilizzando un sistema di controllo sulle copie (registrazione via web ad esempio). Chiaramente il problema principale è la FIDUCIA: perché voi dovreste fidarvi di un committente che non conoscete? come fa il committente ad essere sicuro che voi non vendiate il prodotto tramite altri canali??

Vi consiglio almeno un incontro di persona... anche se la soluzione ottimale sarebbe un contratto fra persone giuridiche.

[Madmind]

Quote:

1) che dati andrebbero protetti? Ovviamente quelli tutelati dalla legge sulla privacy (nome, cognome,. reddito, credo religioso, abitudini sessuali, salute, ecc.), che presuppongo siano contenuti in un database.

un buon inizio sarebbe allora modificare il post iniziale, poiche' la situazione e' completamente differente se si parla di DB o di semplice cartella su pc in locale.

Quote:

2) da cosa? Da qualsiasi forma di attacco, di accesso o modifica non autorizzato (sia utenti sia altri programmi).

se si parla di DB da chi o cosa vanno protetti i dati visto che puo' essere tutto impostato tramite permessi delle utenze? (poi anche qui, cambia tanto da DB a DB, non si puo' trovare una soluzione che vada bene per qualsiasi piattaforma).

Quote:

3) dove? Generalizzando non conosciamo se il database è su un server o su una sola macchina, nè se è connessa ad internet. Per semplicità escluderemo accessi remoti al database, quindi o stessa macchina o rete locale.

in pratica cercate di trovare una soluzione senza nemmeno avere l'idea di quale sia il quadro della situazione... fantastico

Quote:

5) da dove? Escludiamo la connessione remota, possono accedervi o dalla stessa macchina (multiaccount) o dalla rete lan.

ma se si parla DB continuo a non capire cosa andrebbe protetto... in qualche modo sti benedetti dati li vedranno e se vanno protetti, si concede l'accesso solo alle utenze autorizzate ed e' risolta la faccenda.

Quote:

6) che sistema è attualmente usato? La soluzione dovrebbe essere indipendente dal sistema in uso dal cliente: sia esso un file di excel, di access o SQL server.... Magari si può consigliare il cliente di migrare verso una soluzione diversa da quella in uso.

si ma state cercando di applicare un concetto di "protezione globale" di qualsiasi dato si trovi su un qualsiasi tipo di macchina, con qualsiasi tipo di OS, partendo dai file excel ai DB di qualsivoglia genere.... non c'e' ne capo ne coda in questo.

Quote:

7) analisi campata in aria: credo di essermi espressa ampiamente pur provando a progettare una soluzione generica.....

peccato non ci sia alcun senso in cio' che hai scritto... per i motivi di cui sopra.

[ValeriaVitolo]

Allora, quello che vorrei è una soluzione polivalente; diamo per scontata una piattaforma Windows.

Magari che implichi anche un cambiamento del sw (e dell'hw) del cliente, ma che alla fine vada bene per tutti.

Perchè cartella e non DB (cioè file)? Perchè può essere che i dati sensibili siano in una cartella, e non in un singolo file.
Perchè non solo DB? Perchè può essere che un applicativo gestionale richiami alcuni campi all'interno del (o dei) files del DB.


Ad esempio:

Esiste una clinica con db fatto con Access e più utenti che accedono al file dalla lan. il db è diviso in 4 files: medicina generale, ostetricia, ginecologia, malattie infettive.
I file vengono utilizzati nel db, ma pure da un'applicazione esterna TUTTOMEDICO che estrae alcuni campi direttamente da un (o più) file del database.

Probabile soluzione:

Implementazione di un server, con MySql. Filtro dei campi (di uno stesso file) in base ai privilegi di ciascun utente della lan.
Applicazione (o altro) che si frappone tra TUTTOMEDICO ed il DB in modo che gli restituisca (in base ai privilegi) i campi richiesti.

E poi: crittazione dei file, log degli accessi al db, ecc.



..... che sudata!