R: I: Re[26]: Sconfinati CAMPI di Cavoli Amari

> -----Messaggio originale-----
> Da: Simo Sorce [mailto:simo.sorce@xsec.it]
> Inviato: venerdì 27 settembre 2002 19.32
> A: ml@sikurezza.org
> Cc: MultiMedia it - Claudio Caprara
> Oggetto: Re: I: Re[26]: Sconfinati CAMPI di Cavoli Amari
> 
> Sapevo che il PDF avesse campi variabili, ma non che potesse utilizzare
> javascript, in questo caso è assolutamente da evitare.
> Che ne pensi di PostScript?
> Tiff è certamente una soluzione adeguata, ad un'immagine è impossibile
> far cambiare rappresentazione.

Per attivare il javascript, quando crei un campo, invece di attivare il flag del calcolo attivi quello del Custom Calcolate script, si apre una dialog box dove puoi inserire uno script a piacere i comandi sono disponibili nell'help e sono parecchi.

Formati
Se dovessi inviare un documento a chiunque (compressi Russi Cinesi Giapponesi e Arabi) gli invierei un tif, nei rapporti "normali" il pdf dovrebbe andare bene ma dobbiamo rivedere un sacco di cose a partire dai font la lingua gli script etc. 

Per la conservazione agisco diversamente, archivio qualsiasi formato informatico ma aggiungo l'immagine prima di passarli a cd rom 

Il postcript come gli altri va interpretato quindi si possono creare dei pasticci. Nella prima versione delle regole c'era anche l'AFP che è il linguaggio delle laser IBM (Advanced function printig) ma sarebbe come il postcript ed il pcl5/6 va interpretato e non viene sempre uguale.

> 
> Devo dire che il mio commercialista è stato molto serio e mi ha
> confermato che lui si terrà lontano dalle smartcard dei clienti come se
> avessero la peste perchè non si prenderà mai la responsabilità di
> tenerle presso di se; ma quanti faranno così? Quanti invece terrano card
> e pin del cliente?
> 

Copiato dal sito di un IR 

....Per poter accedere all'abilitazione al rilascio delle smartcard ai propri clienti, è necessario essere nominati IR (Incaricati di Registrazione) previa sottoscrizione di un mandato(PF - PG). Le smartcard ed i relativi lettori debbono essere ordinati a ...omissis ... anche se siete già in possesso di smartcard e lettore per uso interno.

Sicuramente questi ne approfittano , tra l'altro da loro il lettore costa 8 euro in più rispetto ad altri

Per quanto riguarda le modalità di rilascio devi sapere che la documentazione viaggia per fax. 

Copiato da un manuale operativo di un IR
.... 
>Il Professionista:
>· raccoglierà i moduli di richiesta compilati da parte dei >clienti
>· invierà la documentazione raccolta alla società xxxx a mezzo fax - 
>E) Invio del materiale al professionista
>xxxxxxxx
>· rende attive le smart card sulla base dei moduli inviati dall'incaricato >della registrazione e le invia al professionista presso il proprio studio >assieme i lettori, eventualmente richiesti.
>Le fatture intestate al professionista richiedente saranno inviate tramite >posta elettronica
>dalla xxxxxx all'indirizzo reso noto all'atto della prenotazione.
>F) Consegna delle smart-card ai clienti dello studio
>Il Professionista:
>· ricevute le smart-card, le distribuirà ai propri clienti, anche via posta >ordinaria
>dovrà specificare al cliente che il codice necessario per utilizzare la >smart-card (pin code) è
>composto dalle ultime 5 cifre del codice, poi da mificare con un codice a 6 >cifre tramite DIKE.

Come vedi e tutto vero

> Io credo sia stata sottovalutata la problematica che riguarda la
> documentazione vecchia. Se la firma scade NON si può più ritenre valido
> per alcun motivo, alcun documento firmato con la firma vecchia!
> La scadenza della firma è prevista proprio perchè dopo un certo lasso di
> tempo non è più sicura quindi tutte le firme fatte devono essere
> ritenute invalide perchè possono essere contraffate per un banale
> principio di precauzione.
> Questo vuol dire che periodicamente si devono ri-firmare tutti i
> documenti che sono stati precedentemente firmati e che hanno ancora un
> qaulche valore (contratti, bilanci, ecc...), la mole di lavoro cresce
> linearmente col passare degli anni ...

Occorre precisare che se verifichi un file firmato con un certificato scaduto non ti dice che il file non è valido ma soltanto che il certificato è scaduto. Se hai anche una marca temporale però ti da anche data e ora certa della firma, quindi tenendo conto della data di scadenza del certificato ne puoi dedurre SE al momento della firma era valido. Il problema e serio nel caso in cui la c.a. che ha emesso il certificato non c'è più (io per provare ho installato una ca sul mio server 10 volte), in quel caso oltre a dirti che il certificato è scaduto, ti segnala anche che la firma non è attendibile perché la ca non è tra le fonti attendibili quindi il problema esiste. 
Anche questo caso però si può risolvere inserendo nel p7m anche l'x509 della ca. A quel punto reinstallando i certificati e ponderando la data si capisce che il file era valido.

L'ipotesi di rigenerare le firme è tosta il documento è uno, ogni riversamento genera un nuovo documento, ad oggi i miei server tengono 1.856.000 files pari a 297 gigabyte. 

Al tempo stesso va detto che se attivi l'archiviazione ottica cioè la registrazione su supporto ottico non riscrivibile il file non sarà più modificabile e la data di chiusura del cd (che va fatta con firma) ti indica l'epoca in cui è stato creato. 

Comunque è un problema da capire e da risolvere, in fondo noi riusciamo ancora a leggere i grafiti disegnati sulla roccia ed i manoscritti di mille anni fa non vorrei che per guadagnare velocità e spazio finiamo con il perdere la nostra storia.
 
> Non l'ho capita... ti è mai capitato che il prodotto di un macchinario
> industriale sia la "manifestazione dell'atto giuridicamente rilevante"?
> Che fai in quel caso apponi firma su ogni pezzo del macchinario?
> 


Il  concetto che volevo esprimere è diverso, immaginiamo di affidare ad un architetto la ristrutturazione di un ufficio, se ci invia dei file autocad o 3ds firmati  li accettiamo come documenti oppure no ??? io li accetterei in fondo mi danno più informazioni di una stampa ma parliamo di rapporto tra privati e di contratti specifici in cui l'uso del documento informatico (file autocad o 3ds) è magari previsto dall'accordo.

Altro esempio io vendo sw che si attiva con un codice , se il cliente mi restituisse  il file con i codici di attivazione controfirmati, dopo averli installati e provati, io sarei a posto invece devo fare una busta con un ddt e farlo firmare altrimenti mi può dire che non li ha mai ricevuti. 

Un documento informatico può essere diverso da un documento  diciamo analogico, quindi occorre studiare applicazioni diverse o regole diverse per i diversi usi che si possono fare, resto comunque dell'idea che firmare un pdf o un word preparato da altri può riservare brutte sorprese 

Aspetti tecnici 

A proposito dei famigerati (leggasi infocamere) se uso il loro certificato con capicom 2 di microsoft mi fa vedere il flag della firma digitale  come non abilitato ne sapete qualche cosa ?

Sempre parlando di firma se si deve firmare in dieci, occorre fare le scatole cinesi (p7m di un p7m n volte) o si possono infilare tutte le firme in un solo p7m con la marca temporale applicata alla fine ?

Saluti a tutti 

magico

MultiMedia it Snc
Claudio  Caprara
Marketing Manager
personal email claudio.caprara@multimediait.it
 
MultiMedia it S.n.c. Tel. 0721960869 Fax 0721967079 Sede Operativa Via Piemonte 6A  - Sede Legale Via Brodolini 15 61035 Marotta di Mondolfo (PU) Italy -  iscrizione CCIAA PU 122739 - p.iva 01317580411 vat IT01317580411 email info@multimediait.it web http://www.multimediait.it
Servizio Amministrazione amministrazione@multimediait.it Servizio Assistenza assistenza@multimediait.it Servizio commerciale vendite@multimediait.it Servizio protezione e privacy privacy@multimediait.it Servizio acquisti acquisti@multimediait.it

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List