Consenso all'uso dei cookies

SITO1 -- SITO2 -- Forum2 -- CercaGlobale -- Informativa su Cookie e Privacy

Questo Forum1 è in sola lettura -- Usa il Forum2


Valutazione discussione:
  • 0 voto(i) - 0 media
  • 1
  • 2
  • 3
  • 4
  • 5
Una sezione con chiavi in un sito, si può?
#1
Capisco che il discorso per un non tecnico come me suonerà strano ma il fatto è questo: sto smanettando con Joomla in locale per imparare a creare un sito; in futuro ho intenzione di crearne uno per il mio studio legale e vorrei inserire una sezione in cui i clienti potranno visionare lo stato delle loro pratiche senza dovermi chiamare ma dovrebbe trattarsi di una sezione ben protetta poichè conterrebe dati sensibili protetti dalla legge sulla privacy (L. n. 196/2003) che prevede per la violazione sanzioni penali e quindi l'accesso ai dati delle pratiche deve essere permesso solo al personale dello studio mentre i clienti dovrebbero poter accedere solo ai dati della loro pratica. Ora con Joomla mi pare si possano creare delle categorie con accesso limitato ma dovrei creare una categoria per ogni cliente e poi chi mi assicura che le password non siano vulnerabili?
Quindi vi chiedo: qualcuno ha qualche idea su come rendere estremamente sicuro dall'attacco una parte di un sito a cui i singoli clienti potranno avere accesso per visionare lo stato delle loro pratiche?
Grazie a tutti ... mi raccomando niente termini complicati, cerco idee e non scervellamento!
Sconosco l'inglese e mi rifiuto di impararlo
Da solo avrò un'idea, in due potremmo averne tre, in tanti troveremo la soluzione migliore
Buona vita a tutti Heart
Cita messaggio
#2
(13-09-2012, 21:00 )nicolo74 Ha scritto: Capisco che il discorso per un non tecnico come me suonerà strano ma il fatto è questo: sto smanettando con Joomla in locale per imparare a creare un sito; in futuro ho intenzione di crearne uno per il mio studio legale e vorrei inserire una sezione in cui i clienti potranno visionare lo stato delle loro pratiche senza dovermi chiamare ma dovrebbe trattarsi di una sezione ben protetta poichè conterrebe dati sensibili protetti dalla legge sulla privacy (L. n. 196/2003) che prevede per la violazione sanzioni penali e quindi l'accesso ai dati delle pratiche deve essere permesso solo al personale dello studio mentre i clienti dovrebbero poter accedere solo ai dati della loro pratica. Ora con Joomla mi pare si possano creare delle categorie con accesso limitato ma dovrei creare una categoria per ogni cliente e poi chi mi assicura che le password non siano vulnerabili?
Quindi vi chiedo: qualcuno ha qualche idea su come rendere estremamente sicuro dall'attacco una parte di un sito a cui i singoli clienti potranno avere accesso per visionare lo stato delle loro pratiche?
Grazie a tutti ... mi raccomando niente termini complicati, cerco idee e non scervellamento!

Poste italiane ha introdotto per le operazioni online un sistema che genera una password temporanea che viene inviata tramite sms all'accesso.
Ora non chiedermi come funziona perchè nemmeno io sono un tecnico Sad
mandi...Eugenio
Ubuntu 12.04 Unity, Ubuntu 14.04 Unity, Pclinuxos Mate, Mint17 Cinnamon, PcLinuxOS KDE
Cita messaggio
#3
(13-09-2012, 21:21 )eu66 Ha scritto: Poste italiane ha introdotto per le operazioni online un sistema che genera una password temporanea che viene inviata tramite sms all'accesso.
Ora non chiedermi come funziona perchè nemmeno io sono un tecnico Sad
È già qualcosa, se loro ci sono riusciti posso farcela anch'io ... forse ... spero!
Sconosco l'inglese e mi rifiuto di impararlo
Da solo avrò un'idea, in due potremmo averne tre, in tanti troveremo la soluzione migliore
Buona vita a tutti Heart
Cita messaggio
#4
..beh se poi pensi all'Inps che passa tutti i dati pensionisti ad ogni singolo "cliente" tramite un codice che cambia ogni mese (porcaccia miseria lo so bene io che lo utilizzo per più persone)
L'unico problema è che si spera tutti sappiano usare il pc
ciao
Wink un sorriso non costa nulla....donalo
Cita messaggio
#5
(13-09-2012, 21:34 )ANNA Ha scritto: ..beh se poi pensi all'Inps che passa tutti i dati pensionisti ad ogni singolo "cliente" tramite un codice che cambia ogni mese (porcaccia miseria lo so bene io che lo utilizzo per più persone)
Questa del codice dell'Inps la sapevo ma non sapevo che cambiasse ogni mese, mi risulta che per accedere alla scheda dei contributi di ogni singolo si possa usare sempre la stessa chiave

(13-09-2012, 21:34 )ANNA Ha scritto: L'unico problema è che si spera tutti sappiano usare il pc
ciao
Alcuni miei clienti vivono all'estero e la gran parte fuori dal comune ove si trova il mio studio, sanno usare il pc e difatti comunichiamo via e-mail o tramite skype.
Grazie per le info e ciaooooooo
Sconosco l'inglese e mi rifiuto di impararlo
Da solo avrò un'idea, in due potremmo averne tre, in tanti troveremo la soluzione migliore
Buona vita a tutti Heart
Cita messaggio
#6
Tecnicamente quello che vuoi fare tu è possibile.
Il problema risiede nel livello di sicurezza che tu vuoi ottenere. Un CMS come joomla e quasi tutti gli altri hanno codice open source, per cui sono più facilmente attaccabili da eventuali malintenzionati.
E' noto infatti che periodicamente vengono individuate delle falle di sicurezza che di solito vengono coperte in breve tempo dagli sviluppatori con delle patches (un po' come succede per esempio per windows).

I sistemi delle poste, dell'inps e tantomeno delle banche, non sono basati su CMS opensource, e per quello sono molto piu sicuri, inoltre usano https (protocollo criptato) e non http, ed in genere hanno bisogno di almeno due password ed a volte di una chiavetta generatrice di numeri pseudocasuali.

Non fraintendiamo, se usi joomla sempre in ultima versione aggiornata e lo usi bene, imponi l'utilizzo di password lunghe, metti un captcha, cambi i prefissi standard delle tabelle del database e metti le parti sensibili in area https il 99% degli utenti non sarà in grado di bypassare le sicurezze.
Se poi aggiungi delle regole nell' .htaccess e se possibile nel php.ini, magari elimini il 99.9% dei rischi, ma se un esperto informatico decidesse di impegnarsi, probabilmente riuscirebbe a passare. (vedi qui).
Se il livello di sicurezza che cerchi deve essere quello di un ente pubblico o una banca, devi rivolgerti a specialisti del settore.

inoltre non dimenticare che la maggior parte delle falle di sicurezza, non derivano dal CMS stesso, ma dai plugin che forniscono funzionalità aggiuntive. Questi spesso sono scritti da altri sviluppatori esterni, ed a volte non perfettamente integrati con il sistema di base.

Premettendo che di sicuro al 100% non c'è nemmeno il sito del governo USA, in ogni caso joomla non è tra i CMS più sicuri. Sicuramente meglio è Plone, anche se più complesso nell'utilizzo o CMSMS, molto semplice e piuttosto sicuro..

Un'alternativa è creare per i dati sensibili, per ciascun utente, un area accessibile solo via SFTP

Riassumendo molto sinteticamente il mio parere è questo: se quello che cerchi è un sistema protetto da paswword, non accessibile all'utente normale, anche joomla ci può stare. Tieni conto che: più plugin = più rischi.

Scusa per i termini non chiari, ma se non ti fai un'idea di cosa sono, è meglio che la realizzazione del sito sicuro la deleghi a qualcun'altro.
a dieci anni il mondo è fantasia, a vent'anni possibilità, a trenta speranza. A quaranta è riflessione, a cinquanta... vi saprò dire.
Cita messaggio
#7
Grazie Dead, molto preciso, puntuale e semplice da comprendere. In verità non saprei se conviene veramente mettere in rete i dati dei miei clienti ma credo che un sistema protetto, magari con SFTP, sarebbe più sicuro di comunicare via e-mail o telefono.
Diciamo che il grado di sicurezza cui aspiro è quello di evitare possibili intrusioni da utenti normali, credo, ma non ho mai fatto ricerche in merito e ne chiedo scusa, che il livello di protezione richiesto dalla legge sulla privacy o meglio dai regolamenti di esecuzione della stessa sia quello di evitare un attacco da "gente normale" altrimenti tutti dovremmo avere Penelope Garcia di Criminal Minds al nostro soldo e non credo che si possa fare!
Ho scaricato CMSMS, vedrò di installarlo e magari smanettarci in locale come faccio con Joomla, a proposito la versione che sto usando è la 2.5; credo l'ultima se non è stata rilasciata la definitiva versione 3.0!
Grazie di tutto, aspetto qualche altra risposta, se non ti dispiace (magari qualcuno a qualche idea migliore), e poi metto risolto!
Sconosco l'inglese e mi rifiuto di impararlo
Da solo avrò un'idea, in due potremmo averne tre, in tanti troveremo la soluzione migliore
Buona vita a tutti Heart
Cita messaggio
#8
Io preferirei Jordan Cavanaugh se ti fosse possibile, ma prima avrei anch'io da chiarirmi qualche dubbio, visto che siamo a parlarne.

Immagino che i materiali che vorresti mettere a disposizione non siano tutte fotocopie di documenti ma soprattutto dei contenuti di un database da cui il server raccatta i dati che formatterà in html con asp o php.
Quindi il protocollo da usare sarà https e non sftp.
O meglio, sftp verrà usato solo nel caso in cui uno nella pagina https trovi un link per il download diretto di un pdf.
È +/- giusto in questi termini, dead?

Quindi bisogna che anche il database venga costruito badando a codificare il più possibile dei contenuti.
Soprattutto le password che, statiche o dinamiche, devono essere ovviamente il più al sicuro possibile.

Per fare una password dinamica non c'è problemi, l'unico problema è l'invio del sms, visto che coinvolgerà un servizio terzo vanificando di fatto qualsiasi speranza di privacy.
Molto più facile mandarla per mail come una chiave pubblica da associare a una chiave privata trasmessa separatamente.
Più economico e semplice da scrivere e realizzare: basta un server smtp che di solito non si nega a nessuno.
[Immagine: http://pclinuxos.com/forum/avatars/Pengu...guitux.png] Parole !
Mai che se ne trovino due uguali !
Cita messaggio
#9
Zafran sei unico; riesci sempre a farmi girarel le palle degli occhiscappascappascappaSfascio tuttoSfascio tutto!
Capisco che il tuo messaggio è rivolto a Dead e che fra di voi vi capirete sicuremente ma io comune mortale non ho capito un "h" di quel che dici; posso solo dire che i datiRolleyesRolleyes da trasmettere sarebbero spesso del pdf o semplici comunicazioni brevi; se credi che la cosa non sia fattibile HuhHuhper un comune mortale qual sono allora dillo a chiare lettere, peraltro la mia è solo un'intenzione e non costituisce arrossire crimineConfusedConfused!
Ciao e naturalmente guarda che scherzo HeartHeartHeart
Sconosco l'inglese e mi rifiuto di impararlo
Da solo avrò un'idea, in due potremmo averne tre, in tanti troveremo la soluzione migliore
Buona vita a tutti Heart
Cita messaggio
#10
@nicolo74
esegui l'upgrade a joomla 2.5.7;
non usare Joomla 3.0 quando uscirà: la versione con supporto a lungo termine (LTS) dicono sarà rilasciata solo in futuro, probabilmente la 3.6
Il mio blog: http://zerozerocent.blogspot.it/
Legge di Murphy: SE QUALCOSA PUO' ANDAR MALE, LO FARA'
Cita messaggio


Vai al forum:


Utenti che stanno guardando questa discussione: 1 Ospite(i)