Il 15/07/05, thomas@xxxxxxxxxx<thomas@xxxxxxxxxx> ha scritto: > E' una valutazione di pubblic policy. Su chi devo far ricadere il danno > derivante dall'intrusione? sul soggetto nella miglior posizione per > evitarlo, cioè il leggittimo titolare. Chiaro non è previsto che egli > debba mettere una prota blindata perchè non è questo lo spirito giuridico > della società in cui viviamo. Ma il titolare deve assumersi l'onere di > chiudere quella porta. Due considerazioni a questo proposito: 1) Il rischio è sempre quello di infilarsi in una serie infinita di valutazioni tecnologiche, che non credo dovrebbero avere posto in una policy o legge che sia. Stuoia di paglia, porta blindata: quale di queste è una "forma tecnologica" atta a far capire che l'ingresso è vietato? Altro esempio in ambito wi-fi, se guardi i manuali di qualche anno fa, l'SSID veniva fatto passare per una password di rete. Oggi, nessuno più lo considera uno strumento di sicurezza. Probabilmente la via d'uscita da questo problema sta nel definire policy simili a quelle previste nel campo della sicurezza ambientale, dove si è tenuti ad implementare "il migliore livello di tecnologia possibile", ovvero - necessariamente semplificando - le migliori tecnologie dato il livello corrente di conoscenze e costo di acquisizione. In altre parole, il livello minimo accettabile è definito dalla comunità, at large (che se sufficientemente estesa e dinamica non attuerà cartelli) e, nel contempo, si promuovono incentivi per innalzare costantemente il livello tecnologico correntemente impiegato (obbligando così l'intera comunità ad una corsa al rialzo). 2) Altro problema, arcinoto: se mi vendono una porta blindata che poi si rivela una stuoia di paglia, il venditore è (co)responsabile? Nel campo del software, finora no, ma ho l'impressione che le cose non possano durare così in eterno. Riformulando la questione: siamo davvero sicuri che il legittimo titolare di un bene sia sempre nella posizione migliore per evitare intrusioni ai danni di quel bene? Marco -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx