[webaccessibile] openoffice/staroffice, licenze pa e scuole

Roberto Scano - IWA/HWG rscano a iwa-italy.org
Mer 12 Lug 2006 10:51:55 CEST 


-----Original Message-----
From: webaccessibile-bounces a itlists.org
[mailto:webaccessibile-bounces a itlists.org] On Behalf Of Andrea Resmini
Sent: Wednesday, July 12, 2006 10:43 AM
To: La mailing list di webaccessibile.org
Subject: Re: [webaccessibile] openoffice/staroffice, licenze pa e scuole

Scenario: io dipendente della PA compro ed installo WinXP e grazie ad un 
worm che sfrutta una vulnerabilità nota delle librerie di IE mi rubano 
il database delle cartelle mediche.
Di chi è la colpa, di *MS*? Non scherziamo.

Roberto Scano:
Se è nota ed è disponibile una patch che non è stata installata, è
responsabilità di chi ha il contratto di manutenzione (se prevede anche la
manutenzione software) o del responsabile ai sistemi informativi.


Andrea Resmini:
Scenario: io dipendente della PA scarico Linux e lo installo di mia 
iniziativa e siccome lascio accesso SSH senza password mi rubano il 
database delle cartelle mediche.
Di chi è la colpa, di *nessuno*? Non scherziamo.

Roberto Scano:
La colpa è del dipendente. L'incuranza è sua.


Andrea Resmini:
Scenario: io fornitore della PA compro e faccio installare *WinXP* su 
mille postazioni. Grazie al fatto che posso installare patch solo dopo 
testing accurati per non bloccare applicazioni esistenti un worm che 
sfrutta una vulnerabilità nota delle librerie di IE patchato due giorni 
dopo rubano il database delle cartelle mediche.
Di chi è la colpa, di *MS*? Non scherziamo.

Roberto Scano:
Questi sono i rischi della fornitura dei prodotti: se non vengono patchati
in tempo utile, è un problema del fornitore... Quando si fornisce un
prodotto, non vi sono solo guadagni ma anche oneri.


Andrea Resmini:
Scenario: io fornitore della PA compro e faccio installare *Linux* su 
mille postazioni. Grazie al solito buco del kernel mi fanno un rootkit e 
via SSH rubano il database delle cartelle mediche.
Di chi è la colpa, di *nessuno*? Non scherziamo.

Roberto Scano:
Idem come sopra... Le responsabilità del produttore del software vi sono
solamente se - in caso di "danni" - risulta che alla data del "fatto" non
era disponibile una "patch" mentre in caso contrario la responsabilità
ricade sempre su chi aveva responsabilità della manutenzione e/o della
gestione del prodotto (anche il dipendente stesso, se possiede i privilegi
di amministrazione della macchina).

Maggiori informazioni sulla lista webaccessibile