Re: Domanda su files world readable/writeable (probabilmente OT)

spero mi si passi questo intervento come eccezione a margine,
di fronte al nuovo proposito "questioni di legge ai legali in law@",
(io non conosco la legge bene quanto l'informatica) ma prima che i lawman
si chiudano in discussione in law@ (dove molti di noi non li seguiranno),
ricordiamo qualcosa sull'educazione alla sicurezza in merito al tema
proposto in subject:

- la gestione dei diritti di accesso di un file e` largamente documentata,
 chi lascia un file di posta con permessi +006 (e senza speciali
 chattr o trigger del kernel) commette un errore
- esiste una configurazione di default detta umask comune a tutti i sistemi
 operativi unix implicitamente in questione (SVr4, SVID, POSIX,
 X/OPEN, BSD 4.3),
 che -a meno di essere alterata da un errore o un agente che in questo caso
 direi maligno-  *non* rende scrivibile a tutti(gli altri utenti) un file,
 dal momento della sua creazione. (Questo importante particolare
 concetto, evidenzia la possibile negligenza, e potrebbe sfuggire ad
 un lowman)
- se un semplice utente trova un altro utente che ha file con permessi
 che paiono irrazionali, se e` diligente e` bene che avvisi
 -scalando chi opera ignoranza- in ordine:
  - l'utente stesso (perche` pare, seppur stranamente, aver espresso
                     _consapevolmente_ tale volonta`)
  - l'amministratore di sistema
  - chi paga l'amministratore (voce ricorsiva)
 perche` se si lasciano le cose come nel citato esempio, tra questi
 c'e` qualcuno incapace -diciamo forzosamente- "di intendere e di volere"
 ed impreparato all'information technology (i danni successivi e
 conseguenti a questa incuranza/impreparazione possono essere maggiori,
 se poi si originano al di fuori della giurisdizione italiana...),
 quindi la legge, nell'intento di essere da esempio, deve evitare
 un protezionismo dell'ignoranza,
 se esiste un permesso che contraddice la volonta`, chi ha predisposto
 il permesso e` inadeguato soprattutto se non lo corregge, questa e`
 la primaria realta`.

NB: inoltre la modalita` di avvertimento degli interessati (se non possibili
 vie migliori) potrebbe anche consistere nell'usare il file "lasciato
 scrivibile volontariamente a meno di errori" come mezzo di
 comunicazione, appendendo l'informazione opportunamente formattata tipo
 echo "From me ...\n\nfile volutamente scrivibile, errore!?">>filerw

L'esempio in oggetto e` significativo perche` il protezionismo legale
della negligenza e` giustificato e tutelante tutt'al piu` quando
la violazione del permesso di scrittura ha origine da un
raggiro tecnico che contraddice quantomeno la documentazione,
non quando anche la documentazione (piu` elementare) e` ignorata.


Similmente si potrebbe considerare il caso di documenti privati
o riservati che havessero addirittura l'intestazione in chiaro
 <!DOCTYPE HTML PUBLIC ...
o robots.txt che non ne impedissero la pubblicazione addirittura in cache
sui motori di ricerca (evitabile con header
"Expire: now\nCache-Control: private\n").

Saluti,
MARco
-- 
x(t),y(t) = th(3t-34.5)*e^[-(3t-34.5)^2]/2-4.3+e^(-1.8/t^2)/(.8*atg(t-
3)+2)(t-1.8)-.3th(5t-42.5),(1.4e^[-(3t-34.5)^2]+1-sgn[|t-8.5|-.5]*1.5*
|sin(pi*t)|^[2e^(-(t-11.5)^2)+.5+e^(-(.6t-3.3)^2)])/(.5+t)+1  ; 0<t<14


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List