[italy-tech] Sulla sicurezza

[briganzia-informatica]

Ciao a tutti, in relazione alla considerazione di cpunkpunk dela necessità 
di una lista chiusa esclusivamente  per l'amministrazione del server vorrei 
ricordare che oltre alle password ci sono diversi altri dati che sarebbe 
meglio non circolassero liberamente. Ad esempio la release dei software 
installati, i servizi attivi e le porte sulle quali girano, dati sul kernel, 
collocazione fisica sul server dei dati e permessi associati, specifiche ai 
file di conf e diversi altri ancora. Tutte informazioni che possono essere 
utilizzate per exploitare le attuali applicazioni o dare utili indicazioni 
per attacchi di varia natura. In merito ad esempio a Java è stato fatto  un 
discorso importante non ancora risolto. Idem su Drupal, girano troppe 
informazioni sensibili in lista.
Infine, in previsione del G8, c'è mi pare una proposta  ancora informale da 
parte di un nodo europeo per darci  una mano a  fronteggiare eventuali 
problemi tecnici non  improbabili (o di censura poliziesca) sul server. Una 
volta discussa e consensuata in italy list la proposta in generale, i 
singoli aspetti tecnici  non potranno essere discussi apertamente così come 
dovremo fornire una minima garanzia di sicurezza  e riservatezza verso  
coloro che ci aiuteranno condividendo la propria struttura tecnica assieme a 
noi.
Capisco che in nome della "sicurezza" in genere si fanno le peggio cose e io 
non sottovaluto questo problema. Ripeto, secondo me è ineludibile una lista 
chiusa di gestione tecnica server. Sforziamoci piuttosto di individuare una 
modalità di lavoro che metta assieme con successo i necessari elementi di 
fiducia, trasparenza e autocontrollo da parte della lista.
Ciao
B.