Roma – Egregio Direttore,
ho letto con interesse, prestando particolare attenzione ai riferimenti alla sicurezza, la lettera dello studente Marco D.V. , datata 8/11, riguardante il nostro sistema informatico. Le sarei pertanto grato se volesse ospitare alcune mie considerazioni che fanno riferimento e rispondono, per quanto possibile, alle valutazioni dello studente.
Partendo dalle modalità di “comunicazione” della password, premetto che quanto segnalato dallo studente riguarda il solo meccanismo basato sulla coppia “domanda-risposta” e soltanto per gli studenti già iscritti (dal secondo anno in su) in quanto gli immatricolati (al primo anno) possono scegliere autonomamente la coppia in fase di registrazione.
Perciò, un qualsiasi studente può (ri)ottenere la password utilizzando la propria matricola e, se non ha definito autonomamente la coppia “domanda-risposta”, fornendo il proprio codice fiscale. Quindi, per ottenere la password, e nei soli casi menzionati, è necessario conoscere l’accoppiata matricola-codice fiscale, di per sè non banale. Del resto, il meccanismo scelto non è molto diverso da quello che si utilizza per attivare una carta di credito quando si fornisce ad un operatore automatico il suo numero e scadenza unitamente a qualche dato anagrafico del titolare.
Tornando a noi, la password ottenuta è ovviamente modificabile dall’utente che potrà cambiare anche la coppia “domanda-risposta” per renderla più personale e quindi impermeabile. Per inciso, in origine la procedura inviava la password all’indirizzo di e-mail registrato: abbiamo dovuto modificarla sulla base di segnalazioni e richieste di molti studenti.
Abbiamo in fase di rilascio una nuova implementazione la cui la risposta da fornire nei casi in questione non sarà più il solo codice fiscale ma una stringa costituita anche da ulteriori elementi personali e non anagrafici.
Ciò detto, la domanda che ci si può porre, e che ci siamo posti, è: ma non si poteva implementare un sistema più sicuro?
Certo, nel nostro caso si poteva far ritirare a sportello la password, in busta opaca, previa esibizione di valido documento d’identità e contestuale registrazione della consegna (pressappoco come avviene per il pin in banca). Questa procedura avrebbe però richiesto l’impiego di notevoli risorse, incluso il tempo per gli spostamenti degli studenti, avrebbe causato inutili code e non ci avrebbe evitato giusti rilievi per non aver pensato ad un modo più semplice ed aggiornato.
Per quanto riguarda il certificato, si sta utilizzando il protocollo sicuro di Oracle in attesa di attivare i certificati di Verisign (già acquisiti). Il trasferimento dati è comunque sicuro e protetto, la quale cosa è dichiarata nel relativo pop-up. E’ sicuramente un metodo discutibile nella forma ma che salvaguarda comunque la sostanza e che, sia pure per il momento, ci sembra accettabile.
Per quanto riguarda alcune altre affermazioni dello studente, rispondo brevemente che si possono utilizzare tutti i browser più diffusi; é anche vero che, per le operazioni di stampa è necessario scaricare (in automatico) un activex e che al suo posto si poteva usare, per esempio, Acrobat Reader; ma l’installazione di quest’ultimo prevede, com’è noto, un download più articolato e complesso. Ad ogni modo, sul sito sono indicati chiaramente i requisiti tecnici necessari a garantire la piena interazione con il sistema.
Le altre valutazioni riportate mi sembrano francamente soggettive e, se mi è permesso, attengono anche alla scala delle priorità di implementazione che, come è riportato nel sito, avverrà gradualmente per tutte le funzionalità del sistema.
Quello per cui stiamo lavorando è un sistema che consenta il massimo delle attività via web, inclusa la verbalizzazione degli esami di profitto (sicura, ovviamente), lasciando libero lo studente di recarsi allo sportello solo se è inevitabile. Al momento, abbiamo gestito via web e per la prima volta l’intero ciclo di immatricolazione di oltre venticinquemila studenti (oltre trentatremila registrazioni al sito in circa tre mesi), allo stesso modo, gestiremo le oltre centomila iscrizioni attese.
Riteniamo di avere un buon obiettivo e siamo determinati a perseguirlo, accettando anche le critiche se queste ci aiutano a migliorare, specialmente sul tema della sicurezza.
Cordialmente,
Dr. Carlo Maria Serio
Dirigente Ripartizione VIII – SATIS
Servizi, Applicazioni e Tecnologie Informatiche de “La Sapienza” (Roma)
Ti potrebbe interessare
16 nov 2004