[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Aprile 2003 ml@sikurezza.org Soggetto: Re: security bugs e stato dell'arte Mittente: Simo Sorce Data: 28 Apr 2003 12:36:40 -0000
On Wed, 2003-04-23 at 14:38, naty wrote: > Ciao a tutti, > sto studiando i problemi della sicurezza informatica, e vorrei tentare > di dare una interpretazione giuridica realistica. > > L´impossibilità tecnica di individuare in sede di progettazione le > carenze di un software, esclude la configurabilità di un difetto? Si deve distinguere tra difetti di implementazione e difetti di progettazione, non sono la stessa cosa. Ovviamente in fase di progettazione si può pensare solo, eventualmente, a mitigare i possibili difetti di implementazione, non li si può conoscere. I difetti di progettazione invece se ci sono, sono conosciuti e tollerati, imho. > Nel senso: > - diamo per certa la difficoltà/ improbabilità/ impossibilità tecnica > di mettere in commercio un prodotto vicino alla perfezione o comunque > totalmente privo di bugs relativi alla sicurezza. Beh tutto dipende dalla complessità del programma. > - prendiamo il caso dei prodotti (sistemi operativi, o altro genere di > software) rilasciati periodicamente (e non mi riferisco necessariamente > solo a Microsoft). > > Questi prodotti sono effettivamente allo stato dell´arte (adeguati alle > conoscenze tecniche che si possiedono in quel momento) o sono presenti > "difetti" grossolani, cioè difetti che con una approfondita conoscenza > tecnica si potevano evitare (in termini giuridici si parla di DILIGENZA)? In alcuni ci sono difetti grossolani che potrebbe cogliere anche chi ha una media conoscenza tecnica. Ci sono molti produttori di software proprietario che tendono a tagliare molto sui costi e sui tempi a scapito della sicurezza, per arrivare presto e con poca spesa sul mercato. Peccato che senza sorgente è difficile dimostrarlo... > quando invece usa un software nella sua versione "definitiva", può > legittimamente rimanere nella convinzione che - in quel momento - > tecnicamente non si può raggiungere un livello di sicurezza maggiore? Assolutamente no! La sicurezza è solo uno dei tanti fattori, e per molti nenache uno dei principali .. Simo. -- Simo Sorce - simo.sorce@xsec.it Xsec s.r.l. - http://www.xsec.it via Durando 10 Ed. G - 20158 - Milano mobile: +39 329 328 7702 tel. +39 02 2399 7130 - fax: +39 02 700 442 399
This is a digitally signed message part
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005