Xbox 360, stop alla produzione

La console Microsoft di settima generazione termina il suo ciclo vitale, almeno a livello di produzione industriale. Redmond rassicura gli utenti: l'hardware, il software e il networking continueranno a funzionare senza problemi

Roma – Microsoft ha comunicato il primo, importante segnale di “fine-vita” per Xbox 360, la home console che ha permesso a Redmond di imporsi definitivamente come player di primaria importanza nel business videoludico e che, a distanza di 10 anni, cesserà la fase di produzione di nuove unità.

Xbox 360

Phil Spencer, capo del progetto Xbox, ha detto addio a Xbox 360 evidenziando la popolarità raggiunta dalla piattaforma grazie alle serie videoludiche che sono nate e cresciute sulla console, per non parlare dell’accoglienza da parte degli utenti che finora hanno totalizzato 78 miliardi di ore di gioco, 27 miliardi di “achievement” e trofei online e 25 miliardi di ore passate in compagnia delle “app”.

La vita di Xbox 360, come d’altronde quella di quasi tutte le console passate e presenti che hanno raggiunto la popolarità mainstream, non è stata esente da polemiche o “scandali” come l’infame epidemia di Red Ring of Death ; degna di menzione poi è la contesa tecnologica e commerciale tra HD-DVD e Blu-ray, una “guerra” che si è conclusa con la capitolazione di Microsoft e l’adozione del formato promosso da Sony per la sua nuova console.

A 10 anni dal debutto di Xbox 360, la situazione di mercato non potrebbe essere più diversa: l’ottava generazione di home console ha fin qui incoronato PS4 come la piattaforma di elezione dei giocatori duri e puri, e Microsoft è al momento costretta a un inseguimento serrato dopo il disastroso periodo di lancio azzoppato da DRM alwayson, connettività obbligatoria e tutto quanto .

Xbox 360

La produzione di console Xbox 360 è terminata, rassicura Microsoft, ma non per questo il videoludo su Xbox 360 va in pensione: il network Xbox Live continuerà a funzionare senza problemi sia per il multiplayer che per l’acquisto di giochi, i server resteranno attivi così come il supporto ufficiale da parte della corporation. La popolarità dei giochi Xbox 360 è destinata a durare anche grazie alla retrocompatibilità recentemente introdotta su Xbox One.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • urbe non suburbe scrive:
    altro che spid
    Tutto nasce morto in questo paese devastato dai cialtroni al governo da decenni.Un paese che al posto di pensare ai problemi gravissimi in cui versa, pensa a fare un referendum sulle trivelle (costato milioni e assolutamente inutile) è un paese governato da cialtroni e popolato da stolti che si meritano i cialtroni di cui sopra.
    • Zack scrive:
      Re: altro che spid
      - Scritto da: urbe non suburbe
      popolato da stolti che si meritano i
      cialtroni di cui sopra.Tu compreso vero?
  • lapo elkann scrive:
    Cosa buona
    Io sono sempre stato a favore dello SPID. :)
  • xx tt scrive:
    Soluzione
    Tenere un vecchio cellulare, tipo l'eterno 3310, SOLO per ricevere gli SMS di notifica (con una seconda SIM dedicata, ovviamente).Con il 3310 o equivalente:-non ci sono virus alla iFogn-non ci sono aggiornamenti-non ci sono sincronizzazioni-l'antifurto + incorporato: è un po' difficile che eventuali ladri ve lo rubino, dato che non vale nulla o quasi per la ricettazioneE tanti saluti agli "hackers" dell'app store: facile fare malware sulle app attira-utonti, con gli stessi che ti concedono tutti i diritti che chiedi (leggasi tappeto rosso).Ma proviamo a parlare di EPROM, con un cellulare che non ha bisogno di essere aggiornato né "sincronizzato" e vediamo cosa sapete fare.E si: questi cellulari si trovano ancora in vendita, perché nei Paesi più poveri ci sono ancora (del resto come telefoni funzionano benissimo)
    • Fai il login o Registrati scrive:
      Re: Soluzione
      - Scritto da: xx tt
      Tenere un vecchio cellulare, tipo l'eterno 3310,
      SOLO per ricevere gli SMS di notifica (con una
      seconda SIM dedicata,Ma un bel dongle OTP da 1.5 dollari non sarebbe meglio e piu' economico?Perche lo stato deve costringerci alle acrobazie ...... ?
      • xx tt scrive:
        Re: Soluzione

        Ma un bel dongle OTP da 1.5 dollari non sarebbe
        meglio e piu'
        economico?No, perché bisognerebbe avere un serivzio unico di token per tutti. Oppure far comprare più token a testa.Inoltre ci sarebbe il rischio che venissero hackerati, nel senso che si potrebbe riuscire a prevedere i numeri calcolati.Alla fine con un singolo cellulare vecchio potresti avere il riconoscimento sicuro per tutti i servizi, quindi non sarebbe una spesa così esorbitante.E se si rompe il cellulare vecchio ne compri un altro senza aspettare il cambio token (che non è altrettanto veloce).
  • anonimo scrive:
    Non è proprio cosi
    Purtroppo si tratta di pattern di attacco ben noti e che sono parte del rischio associato al 2FA via app.Ovviamente se qualcuno usa un telefono con S.O. vecchio e vulnerabile accetta il rischio di effettuare proprio lì transazioni di una certa delicatezza. Rinforzare la sicurezza dell'app è cosa buona ma per niente risolutiva in quanto prendendo il controllo del S.O. puoi fare qualunque cosa.L'unica contromisura utile è informare l'utente del rischio ed educarlo all'uso di dispositivi più sicuri (S.O. aggiornati ecc).Io non lo legherei troppo al fattore Spid in ogni caso.
  • Omino Paranoico scrive:
    Ci stiamo lasciando andare ...
    Partiamo col dato più evidente e cioè con l'evidenza, che mischiare gli SPID a SMS con le chiavi hardware RSA Security (cioè quegli affarini ini ini col display) è una enorme stupidaggine.Nessuno che conosce un minimo come funzionano quei meccanismi, farebbe questo paragone, così come non direbbe che lo SPID3, è una triplicazione dello SPID1, dimostrando una profonda conoscenza solo dell'aritmetica di base.Il famoso SPID3 che è l'autenticazione con smart card a chiave pubblica e private e che non si file nessuno. Certo come no ! Infatti i comuni distribuiscono lettori di smart card da 10 anni per diletto.Ma tralasciamo ed entriamo nel vivo della discussione cioè il povero SPID2 ! La ricerca linkata che immagino tutti abbiano letto, parla di diversi attacchi e di come portarli a termine, sui vari sistemi mobile, sfruttando in particolare i meccanismi di sincronizzazione e parlando di Trojan e di Malware per l'SMS stealing.La sintesi è che un sistema informatico potenzialmente insicuro, messo in mano ad una persona che non sa quello che sta facendo, costituiscono un rischio per la sicurezza. Ma va ?Il problema è che quando hai a che fare con il pubblico non ti puoi puntare sulla sicurezza assoluta ( che per altro non esiste ) ma devi sempre guardare al compromesso tra sicurezza e "ACCESSIBILITÀ" che è la prima cosa richiesta a chi sviluppa software in ambito pubblico.Non è che puoi pretendere che l'interlocutore capisca il concetto di chiave pubblica e privata, di sicurezza, del fatto che deve essere certificata eccetera, altrimenti succede come è sucXXXXX per il PGP (o GPG) che usano solo gli autori, giusto per fare un test e basta.E così usano l'autenticazione tramite SMS che è la cosa più ovvia e quelli che non lo fanno usano strategie alternative per esempio per impedire che l'utente usi 123456 come password, mandandogli i vari PIN metà su SMS e metà per posta ordinaria, in attesa che esca una nuova ricerca dell'università di Amsterdam dal titolo: "Intercettazione di postini, tramite l'uso di cani affamati" .Quindi invece che lamentarsi della sicurezza di SPID2 e dei suoi problemi, vediamo di tenere in considerazione quello che dice VERAMENTE quella ricerca, che non parla solo di PIN o di telefoni, ma mostra chiaramente come non la semplice "convergenza" desktop/mobile, ma soprattutto il cloud e i meccanismi di sincronizzazione aggiunti ad XXXXXXXm dai vari fornitori di servizi siano il reale problema.Un telefono che appena attivato mi spara tutte le fotografie, la rubrica, i miei impegni, le mie ricerche, in remoto, che fa il backup di tutto quello che ho (compresi i token), e lo mette su un server sconosciuto, che ha la testiera software che si può aggiornare vi Internet con un sistema di keylogging ad apprendimento, integrato con il correttore automatico e magari dizionari online, è ovviamente una ca*ata per design.Su un sistema così, che per altro cambia automaticamente di giorno in giorno, si scarica automaticamente gli aggiornamenti di non so cosa in non so che modo, io non installo l'APP che permette l'acXXXXX alla mia banca, uso un browser su una chiavetta Linux in read only.Il problema è che tra un po`sparirà anche l'interfaccia browser, visto che ormai il futuro è quello lì e Windows 10 l'ha definitivamente sdoganato e istituzionalizzato, quindi anche con lo SPID8000 inventato da Cory Doctorow in persona, non cambierebbe nulla, perché gli idioti, idioti sono e idioti restano.
    • Sky scrive:
      Re: Ci stiamo lasciando andare ...
      L'altra faccia della medaglia è usare tutti Gentoo e compilarsi a mano qualsiasi sw (compreso il lato client di SPID)(*)... ma credo confligga con il discorso "accessibilità" (per il famoso cittadino medio), giusto?(*) come hanno fatto i cinesi con COS su CPU Dragon.
      • Onimo Paranoico scrive:
        Re: Ci stiamo lasciando andare ...
        - Scritto da: SkyAh beh ... Gentoo non è nulla ... se vogliamo aumentare l'accessibilità, un bel linux from scratch. Tanto che vuoi che sia ? Calamari stesso, è un esperto di Linux, lo cita sempre quando si lamenta dei virus.
      • pippuz scrive:
        Re: Ci stiamo lasciando andare ...
        - Scritto da: Sky
        L'altra faccia della medaglia è usare tutti
        Gentoo e compilarsi a mano qualsiasi sw (compreso
        il lato client di SPID)(*)... Non è mica sufficiente, eh. Prima di compilarsi del codice, bisognerebbe leggerlo (e capirlo, soprattutto) per assicurarsi che non ci siano backdoor, così come anche bisognerebbe leggersi il codice del compilatore. Perché avere fiducia in chi scrive il codice o in chi dice di averlo controllato, se non lo hai in altre situazioni?
  • opensipa scrive:
    Viva lo SPID e viva Renzi!
    Sono stufo delle aggrillate contro qualunque cosa bona che faccia questo governo! Ciabbiamo guadagnato tutti con lo SPID gestito dai privati, voi manco ve l'immaginate quanto! Mappoi scusate, non li ricevete gli 80 euri a fine mese? Non vi bastano pe' tacere?!
  • michelangio lo buona scrive:
    Sicurezza
    Partendo dal fatto che nessun sistema è stato, è o lo sarà mai sicuro al 100%, non possiamo per questo bloccare delle iniziative che comunque portano in un modo o nell'altro ad un progresso della nostra società. Se ci saranno dei problemi dovranno essere risolti, nel frattempo si spera che, così come succede per la carta d'identità e tutti gli altri certificati che ci obbligano a fare, ci devono essere degli organi di controllo che monitorano continuamente la situazione, bloccando, nel limite del possibile, eventuali azioni illeciti. Ed infatti in questo articolo, così come in molti altri su internet, non è possibile trovare alcuna indicazione su quali sono le azioni di controllo messe su da parte dello stato per arginare eventuali carenze di sicurezza. E' forse una mera pubblicità per l'autore?
    • Hop scrive:
      Re: Sicurezza
      - Scritto da: michelangio lo buona
      Partendo dal fatto che nessun sistema è stato, è
      o lo sarà mai sicuro al 100%, non possiamo per
      questo bloccare delle iniziative che comunque
      portano in un modo o nell'altro ad un progresso
      della nostra società.Ti sei dimenticato i BAMBINI!!!Chi proteggerà i bambini da tutti questi pedoXXXXXterrosatanisti? :D
      • michelangio lo buona scrive:
        Re: Sicurezza
        Non riesco a capire cosa c'entrano i Bambini in riferimento al mio discorso, sicuramente ho io qualche problema di visione. Comunque il mio voleva essere un discorso generalizzato di come affrontare le innovazioni, senza nessuna discriminazione di età, di sesso, razziale o quant'altro. tutto questo deve essere analizzato successivamente
        • Il fuddaro scrive:
          Re: Sicurezza
          - Scritto da: michelangio lo buona
          Non riesco a capire cosa c'entrano i Bambini in
          riferimento al mio discorso, sicuramente ho io
          qualche problema di visione. Comunque il mio
          voleva essere un discorso generalizzato di come
          affrontare le innovazioni, senza nessuna
          discriminazione di età, di sesso, razziale o
          quant'altro. tutto questo deve essere analizzato
          successivamenteE un modo di dire. vai di guggle: bambini+pedoterrosatanisti.
      • Il fuddaro scrive:
        Re: Sicurezza
        - Scritto da: Hop
        - Scritto da: michelangio lo buona

        Partendo dal fatto che nessun sistema è
        stato,
        è

        o lo sarà mai sicuro al 100%, non possiamo
        per

        questo bloccare delle iniziative che comunque

        portano in un modo o nell'altro ad un
        progresso

        della nostra società.
        Ti sei dimenticato i BAMBINI!!!
        Chi proteggerà i bambini da tutti questi
        pedoXXXXXterrosatanisti?
        :DEcco bravo quei poverelli dei bambini, se pure il 50% dei bambini viventi nella 'nostra' ItaGlia, somigliano vagamente ai bambini del vicinato, io opterei per darli tutti alla strega di hansel & grethel! @^ Ha quasi dimenticavo, senza escludere i genitori! Quelli li metterei nella pubblica piazza e li fucilerei. @^ @^
  • mah boh scrive:
    opensipa???
    spero proprio che chi si firma 'opensipa' non abbia *nulla* a che vedere con l'omonima associazione dei Sistemisti Informatici della Pubblica Amministrazione...saremmo messi anche peggio di come già siamo...
    • Albedo 0,9 scrive:
      Re: opensipa???
      - Scritto da: mah boh
      spero proprio che chi si firma 'opensipa' non
      abbia *nulla* a che vedere con l'omonima
      associazione dei Sistemisti Informatici della
      Pubblica
      Amministrazione...

      saremmo messi anche peggio di come già siamo...Davvero, è lo stesso pensiero che è venuto anche a me...L'uscita del "facciamolo fare ad altri che per altri motivi già lo fanno" è a dir poco <b
      agghiacciante </b
      .
      • opensipa scrive:
        Re: opensipa???

        L'uscita del "facciamolo fare ad altri che per
        altri motivi già lo fanno" è a dir poco
        <b
        agghiacciante </b

        .Ragazzi, non lo dico io, lo dice Agid: http://www.agid.gov.it/spid-faq-carattere-generaleFAQ A1, ultimo capoverso: "Le organizzazioni del settore privato, operando già in questo ambito, sono in una posizione migliore rispetto a qualunque pubblica amministrazione per tenere il passo con gli sviluppi di mercato"Si può non essere d'accordo con quello che dice Agid come l'utente Mariolino/Mario ecc, ma non sono cose che mi invento io, sono cose che si trovano scritte nel sito dell'Agid lo ripeto.Io non ci trovo nulla di male se la mia banca mi offrisse un sistema di autenticazione SPID: mi conosce, ho già il suo affarino, conosco la procedura. Perché dovrei averne un altro per autenticarmi ad un sito della PA?
        • Sky scrive:
          Re: opensipa???
          Si può non esser d'accordo... E DATO CHE PAGHIAMO NOI credo che il "non esser d'accordo" dovrebbe anche essere vincolante, no?
        • Albedo 0,9 scrive:
          Re: opensipa???
          - Scritto da: opensipa

          L'uscita del "facciamolo fare ad altri che
          per

          altri motivi già lo fanno" è a dir poco

          <b
          agghiacciante </b


          .

          Ragazzi, non lo dico io, lo dice Agid:
          http://www.agid.gov.it/spid-faq-carattere-generale

          FAQ A1, ultimo capoverso: "Le organizzazioni del
          settore privato, operando già in questo ambito,
          sono in una posizione migliore rispetto a
          qualunque pubblica amministrazione per tenere il
          passo con gli sviluppi di
          mercato"

          Si può non essere d'accordo con quello che dice
          Agid come l'utente Mariolino/Mario ecc, ma non
          sono cose che mi invento io, sono cose che si
          trovano scritte nel sito dell'Agid lo
          ripeto.E tu stai appoggiando in toto quella visione.
          Io non ci trovo nulla di male se la mia banca mi
          offrisse un sistema di autenticazione SPID: mi
          conosce, ho già il suo affarino, conosco la
          procedura. Perché dovrei averne un altro per
          autenticarmi ad un sito della
          PA?Perché te lo faranno pagare ulteriormente tra i costi dei loro servizi, visto che dietro c'è una filiera non governativa che, giustamente, pretenderà il proprio ritorno economico.Secondo me nella peggiore delle ipotesi andrà a finire così: SPID per le PA e basta.
  • Mimmus scrive:
    Interessante
    Io mi sento più sicuro col mio token hardware, qualcosa dell'SMS mi puzzava e ora mi vado a leggere il documento che indica la cara Cassandra.Comunque, l'apporto alla discussione di "opensipa" è interessante, grazie.
  • Uqbar scrive:
    Solite cag*te!
    L'identificazione e l'autenticazione digitale sono questioni strettamente tecniche.Quindi i politici se ne dovrebbero tirare fuori completamente e lasciare lo spazio ... ai loro amici tecnici.Io tornerei alla fotocopia della carta d'identità e del codice fiscale.Per lo meno costa poco.-----------------------------------------------------------Modificato dall' autore il 22 aprile 2016 09.23-----------------------------------------------------------
    • Il fuddaro scrive:
      Re: Solite cag*te!
      - Scritto da: Uqbar
      L'identificazione e l'autenticazione digitale
      sono questioni strettamente
      tecniche.
      Quindi i politici se ne dovrebbero tirare fuori
      completamente e lasciare lo spazio ... ai loro
      amici
      tecnici.
      Io tornerei alla fotocopia della carta d'identità
      e del codice
      fiscale.
      Per lo meno costa poco.E io ti vengo dietro.
  • zobbie la mouche scrive:
    segreti
    Caro Marco, tu fai considerazioni tecniche mentre i politici fanno considerazioni... politiche.Che significa che i loro errori li pagherà pantalone e ci penseranno i futuri politici, in collaborazione con gli utilissimi burocrati, a proporre decreti, decreti per i decreti, decretoni e specialmente decretini.Tanto il popolo bue non fiata.E non fiata, ti rivelo un segreto, perché mentre esiste l'italia, non esistono gli italiani; di più, non sono mai esistiti.Oggi più che mai è vero il "dividi e impera".E' tutta qui l'arte.
  • ucciardone scrive:
    mandrake è un pivello
    Il distributore di identità.Significa che se pago esisto e se non pago non esisto.Grande cosa la civiltà.Grandissima cosa la democrazia.
    • Uqbar scrive:
      Re: mandrake è un pivello
      Eccerto!A te la carta di identità la danno gratis, forse.Io ho pagato 20 eurini, più le foto e il tempo perso.
      • io no no no scrive:
        Re: mandrake è un pivello
        - Scritto da: Uqbar
        Eccerto!
        A te la carta di identità la danno gratis, forse.
        Io ho pagato 20 eurini, più le foto e il tempo
        perso.io ho pagato 5 euro e rotti per la carta d'identità ... strano che costi così tanto lì da te, ovunque sia.
  • calamity scrive:
    zavorra
    Moltissime cose pubbliche sono nate morte e rimangono sotto forma di mummie, con dirigenti e dipendenti lautamente pagati per guardarle....In realtà tutto ciò che è pubblico è una zavorra che i cittadini devono sotenere perché una parte di questa zavorra va in giro armata e costringe i cittadini (gli unici a produrre reddito) a mantenerli.Parassiti
    • mah boh scrive:
      Re: zavorra
      - Scritto da: calamity
      In realtà tutto ciò che è pubblico è una zavorra
      che i cittadini devono sotenere perché una parte
      di questa zavorra va in giro armata e costringe i
      cittadini (gli unici a produrre reddito) a mantenerli.Mi dispiace ma è un po' tutto il contrario.Il "pubblico" (stato, leggi, polizie ecc. ovvero i dispositivi di potere economico, giuridico e militare/poliziesco) esistono (apposta sono stati "inventati") solo per garantire a (molto) pochi il potere e il controllo su tutti gli altri... Quella che tu chiami "zavorra pubblica" costringe i cosiddetti cittadini a manterere non tanto e non solo gli stessi apparati pubblici (si tratta in fondo di spiccioli rispetto al resto), ma soprattutto a manterere l'enorme potere di pochissimi su tutti gli altri.
      ParassitiMa più che altro "maggiordomi"... E la parola chiave in questo discorso (quella che rimanda al "vero" cuore dellas questione) è semmai un altra: SFRUTTAMENTO
      • Il fuddaro scrive:
        Re: zavorra
        - Scritto da: mah boh
        - Scritto da: calamity

        In realtà tutto ciò che è pubblico è una zavorra

        che i cittadini devono sotenere perché una parte

        di questa zavorra va in giro armata e costringe
        i

        cittadini (gli unici a produrre reddito) a
        mantenerli.

        Mi dispiace ma è un po' tutto il contrario.
        Il "pubblico" (stato, leggi, polizie ecc. ovvero
        i dispositivi di potere economico, giuridico e
        militare/poliziesco) esistono (apposta sono stati
        "inventati") solo per garantire a (molto) pochi
        il potere e il controllo su tutti gli altri...

        Quella che tu chiami "zavorra pubblica" costringe
        i cosiddetti cittadini a manterere non tanto e
        non solo gli stessi apparati pubblici (si tratta
        in fondo di spiccioli rispetto al resto), ma
        soprattutto a manterere l'enorme potere di
        pochissimi su tutti gli
        altri.


        Parassiti

        Ma più che altro "maggiordomi"...
        E la parola chiave in questo discorso (quella che
        rimanda al "vero" cuore dellas questione) è
        semmai un altra:
        SFRUTTAMENTOResta il fatto però, che anche se formulato 'male' il discorso di calamity, il risultato non cambia di UNA virgola!
  • rudy scrive:
    chi mi protegge dal mio SPID?
    una volta che ho uno SPID, non ho alcun controllo che non vengano messi su dei servizi che usino autenticazione a SPID che io non desidero siano sottoposti a rischio hackeraggio? oggi qualsiasi servizio di autenticazione digitale, per imperfetto che sia, e' definito e io lo accetto in quanto tale magari prendendo precauzioni (e.g. limitate risorse su un conto ecc).Qui invece si tratta di una autenticazione che non so a che servizi mi mettera a rischio.certo poi contestazioni , tribunale ecc...
  • .poz scrive:
    informazioni incomplete
    Credo che le informazioni fornite nell' articolo siano incomplete.A me il gestore che ha rilasciato lo SPID ha fornito un app che genera password OTP che credo sia quasi equivalente al token delle banchequindi non c'è solo l' SMS...
    • Mario scrive:
      Re: informazioni incomplete
      - Scritto da: .poz
      Credo che le informazioni fornite nell' articolo
      siano
      incomplete.

      A me il gestore che ha rilasciato lo SPID ha
      fornito un app che genera password OTP che credo
      sia quasi equivalente al token delle
      banche

      quindi non c'è solo l' SMS...il limite di tutti questi sistemi è che dipendono da apparati aggiuntivi, smartphone, app, token etc. serve una soluzione che si basi solo su quello che uno può tenere a mente.
      • .poz scrive:
        Re: informazioni incomplete
        Meglio di no visto che il 99% usa la stessa password per tutto e questa password universale è di solito simile alla combinazione della valigetta del presidente Scrocco
        • Mario scrive:
          Re: informazioni incomplete
          - Scritto da: .poz
          Meglio di no visto che il 99% usa la stessa
          password per tutto e questa password universale è
          di solito simile alla combinazione della
          valigetta del presidente
          Scroccocerto perché la password è sempre quella ma se cambiasse ogni volta?
          • panda rossa scrive:
            Re: informazioni incomplete
            - Scritto da: Mario
            - Scritto da: .poz

            Meglio di no visto che il 99% usa la stessa

            password per tutto e questa password
            universale
            è

            di solito simile alla combinazione della

            valigetta del presidente

            Scrocco
            certo perché la password è sempre quella ma se
            cambiasse ogni
            volta?E poi come la apri la valigia?
          • Mario scrive:
            Re: informazioni incomplete
            - Scritto da: panda rossa
            - Scritto da: Mario

            - Scritto da: .poz


            Meglio di no visto che il 99% usa la
            stessa


            password per tutto e questa password

            universale

            è


            di solito simile alla combinazione della


            valigetta del presidente


            Scrocco

            certo perché la password è sempre quella ma
            se

            cambiasse ogni

            volta?

            E poi come la apri la valigia?si può fare, una password memorizzatile e che cambia ogni volta, è facile, pensaci.
          • Albedo 0,9 scrive:
            Re: informazioni incomplete
            - Scritto da: Mario

            E poi come la apri la valigia?
            si può fare, una password memorizzatile e che
            cambia ogni volta...e che un banalissimo software riuscirebbe a bucare.
          • Mario scrive:
            Re: informazioni incomplete
            - Scritto da: Albedo 0,9
            - Scritto da: Mario


            E poi come la apri la valigia?

            si può fare, una password memorizzatile e che

            cambia ogni volta

            ...e che un banalissimo software riuscirebbe a
            bucare.difficile se un SW si trova davanti una finestra dove può solo scrivere una stringa di lunghezza sconosciuta e che cambia ogni volta (anche in lunghezza) e come unica risposta che ottiene è un si o un no
          • Albedo 0,9 scrive:
            Re: informazioni incomplete
            - Scritto da: Mario
            - Scritto da: Albedo 0,9

            - Scritto da: Mario



            E poi come la apri la valigia?


            si può fare, una password memorizzatile
            e
            che


            cambia ogni volta



            ...e che un banalissimo software riuscirebbe
            a

            bucare.
            difficile se un SW si trova davanti una finestra
            dove può solo scrivere una stringa di lunghezza
            sconosciuta e che cambia ogni volta (anche in
            lunghezza) e come unica risposta che ottiene è un
            si o un
            noE ti sei reinventato il sistema dei token temporali come fanno le banche.Con la differenza che sei tu a dovertele calcolare di volta in volta (quindi dovranno essere anche semplici = bucabili).
          • Mario scrive:
            Re: informazioni incomplete
            no nessun token temporale, riprova.
          • Albedo 0,9 scrive:
            Re: informazioni incomplete
            - Scritto da: Mario
            no nessun token temporale, riprova.Son comunque generazioni successive che il sistema remoto deve in qualche modo conoscere. Come dire: "mi dai il token relativo a questo range temporale?"nel tuo caso: "mi dai la password relativa a N?"Dal momento che N corrisponde ad M stringhe arbitrarie, il server remoto deve avere un dizionario (che gli devi passare e ricordatelo per intero a memoria), oppure un algoritmo che da N porti automaticamente ad M.In quest'ultimo caso baserà un attacco man in the middle per ottenere un campione di N-
            M.Dato che l'algoritmo di generazione deve essere semplice (anche tu povero umano devi essere in grado di calcolare facilmente la password), con un piccolo campione ti bucheranno alla grande.
          • Mario scrive:
            Re: informazioni incomplete
            - Scritto da: Albedo 0,9
            - Scritto da: Mario

            no nessun token temporale, riprova.

            Son comunque generazioni successive che il
            sistema remoto deve in qualche modo conoscere.

            Come dire: "mi dai il token relativo a questo
            range
            temporale?"
            nel tuo caso: "mi dai la password relativa a N?"

            Dal momento che N corrisponde ad M stringhe
            arbitrarie, il server remoto deve avere un
            dizionario (che gli devi passare e ricordatelo
            per intero a memoria), oppure un algoritmo che da
            N porti automaticamente ad
            M.

            In quest'ultimo caso baserà un attacco man in the
            middle per ottenere un campione di
            N-
            M.
            Dato che l'algoritmo di generazione deve essere
            semplice (anche tu povero umano devi essere in
            grado di calcolare facilmente la password), con
            un piccolo campione ti bucheranno alla
            grande.il mio sistema funziona diversamente, il computer calcola ogni volta casualmente una password, io la indovino e lui mi dà l'acXXXXX, come la indovino te lo lascio indovinare a te
          • Albedo 0,9 scrive:
            Re: informazioni incomplete
            - Scritto da: Mario
            - Scritto da: Albedo 0,9

            - Scritto da: Mario


            no nessun token temporale, riprova.



            Son comunque generazioni successive che il

            sistema remoto deve in qualche modo
            conoscere.



            Come dire: "mi dai il token relativo a questo

            range

            temporale?"

            nel tuo caso: "mi dai la password relativa a
            N?"



            Dal momento che N corrisponde ad M stringhe

            arbitrarie, il server remoto deve avere un

            dizionario (che gli devi passare e
            ricordatelo

            per intero a memoria), oppure un algoritmo
            che
            da

            N porti automaticamente ad

            M.



            In quest'ultimo caso baserà un attacco man
            in
            the

            middle per ottenere un campione di

            N-
            M.

            Dato che l'algoritmo di generazione deve
            essere

            semplice (anche tu povero umano devi essere
            in

            grado di calcolare facilmente la password),
            con

            un piccolo campione ti bucheranno alla

            grande.
            il mio sistema funziona diversamente, il computer
            calcola ogni volta casualmente una password, io
            la indovino e lui mi dà l'acXXXXX, come la
            indovino te lo lascio indovinare a
            teOk, proviamo. Sono il computer e ho scelto casualmente una password di 32 caratteri.Dimmi qual'è.
          • Pietro scrive:
            Re: informazioni incomplete
            - Scritto da: Albedo 0,9
            - Scritto da: Mario

            - Scritto da: Albedo 0,9


            - Scritto da: Mario



            no nessun token temporale, riprova.





            Son comunque generazioni successive che
            il


            sistema remoto deve in qualche modo

            conoscere.





            Come dire: "mi dai il token relativo a
            questo


            range


            temporale?"


            nel tuo caso: "mi dai la password
            relativa
            a

            N?"





            Dal momento che N corrisponde ad M
            stringhe


            arbitrarie, il server remoto deve avere
            un


            dizionario (che gli devi passare e

            ricordatelo


            per intero a memoria), oppure un
            algoritmo

            che

            da


            N porti automaticamente ad


            M.





            In quest'ultimo caso baserà un attacco
            man

            in

            the


            middle per ottenere un campione di


            N-
            M.


            Dato che l'algoritmo di generazione deve

            essere


            semplice (anche tu povero umano devi
            essere

            in


            grado di calcolare facilmente la
            password),

            con


            un piccolo campione ti bucheranno alla


            grande.

            il mio sistema funziona diversamente, il
            computer

            calcola ogni volta casualmente una password,
            io

            la indovino e lui mi dà l'acXXXXX, come la

            indovino te lo lascio indovinare a

            te

            Ok, proviamo. Sono il computer e ho scelto
            casualmente una password di 32
            caratteri.
            Dimmi qual'è.Mi devi inviare una stringa in forma di capcha, dall'elaborazione di quella stringa otterrò la password, es il terzo numero n equivale ai primi n decimali del pi greco etc.
          • Albedo 0,9 scrive:
            Re: informazioni incomplete
            - Scritto da: Pietro
            Mi devi inviare una stringa in forma di capcha,
            dall'elaborazione di quella stringa otterrò la
            password, es il terzo numero n equivale ai primi
            n decimali del pi greco
            etc.Appunto, vale esattamente il discorso precedente: "il terzo numero n equivale..." è il pattern (banale!) che si andrebbe a beccare con l'analisi del piccolo campione N-
            M.In parole povere il tuo ipotetico sistema si basa sulla security by obscurity, ovvero il banale pattern (banale poiché a prova di utente umano) che devi nascondere e mai rivelare.-----------------------------------------------------------Modificato dall' autore il 22 aprile 2016 11.18-----------------------------------------------------------
          • Mario scrive:
            Re: informazioni incomplete
            - Scritto da: Albedo 0,9
            - Scritto da: Pietro

            Mi devi inviare una stringa in forma di
            capcha,

            dall'elaborazione di quella stringa otterrò
            la

            password, es il terzo numero n equivale ai
            primi

            n decimali del pi greco

            etc.

            Appunto, vale esattamente il discorso precedente:
            "il terzo numero n equivale..." è il pattern
            (banale!) che si andrebbe a beccare con l'analisi
            del piccolo campione
            N-
            M.

            In parole povere il tuo ipotetico sistema si basa
            sulla security by obscurity, ovvero il banale
            pattern (banale poiché a prova di utente umano)
            che devi nascondere e mai
            rivelare.
            --------------------------------------------------
            Modificato dall' autore il 22 aprile 2016 11.18
            --------------------------------------------------Se la stringa di partenza è casuale e non visibile da un sistema automatico (captcha) qualunque elaborazione della stessa produrrá un numero casuale
          • Albedo 0,9 scrive:
            Re: informazioni incomplete
            - Scritto da: Mario
            - Scritto da: Albedo 0,9

            - Scritto da: Pietro


            Mi devi inviare una stringa in forma di

            capcha,


            dall'elaborazione di quella stringa
            otterrò

            la


            password, es il terzo numero n equivale
            ai

            primi


            n decimali del pi greco


            etc.



            Appunto, vale esattamente il discorso
            precedente:

            "il terzo numero n equivale..." è il pattern

            (banale!) che si andrebbe a beccare con
            l'analisi

            del piccolo campione

            N-
            M.



            In parole povere il tuo ipotetico sistema si
            basa

            sulla security by obscurity, ovvero il banale

            pattern (banale poiché a prova di utente
            umano)

            che devi nascondere e mai

            rivelare.


            --------------------------------------------------

            Modificato dall' autore il 22 aprile 2016
            11.18


            --------------------------------------------------
            Se la stringa di partenza è casuale e non
            visibile da un sistema automatico (captcha) Sono due premesse errate.1) se fosse davvero casuale neanche tu riusciresti a capire dov'è quel "n"2) sarà comunque visibile da un sistema automatico (il captcha non deve rappresentare un single point of failure!)
          • Mario scrive:
            Re: informazioni incomplete
            - Scritto da: Albedo 0,9
            - Scritto da: Mario

            - Scritto da: Albedo 0,9


            - Scritto da: Pietro



            Mi devi inviare una stringa in
            forma
            di


            capcha,



            dall'elaborazione di quella stringa

            otterrò


            la



            password, es il terzo numero n
            equivale

            ai


            primi



            n decimali del pi greco



            etc.





            Appunto, vale esattamente il discorso

            precedente:


            "il terzo numero n equivale..." è il
            pattern


            (banale!) che si andrebbe a beccare con

            l'analisi


            del piccolo campione


            N-
            M.





            In parole povere il tuo ipotetico
            sistema
            si

            basa


            sulla security by obscurity, ovvero il
            banale


            pattern (banale poiché a prova di utente

            umano)


            che devi nascondere e mai


            rivelare.





            --------------------------------------------------


            Modificato dall' autore il 22 aprile
            2016

            11.18





            --------------------------------------------------


            Se la stringa di partenza è casuale e non

            visibile da un sistema automatico (captcha)

            Sono due premesse errate.
            1) se fosse davvero casuale neanche tu
            riusciresti a capire dov'è quel
            "n"
            2) sarà comunque visibile da un sistema
            automatico (il captcha non deve rappresentare un
            single point of
            failure!)Se la stringa casuale deve essere composta da per esempio almeno tre numeri e tre caratteri, il terzo numero da sinistra ci sará sempre, comunque se ti avevano assegnato il quarto numero quella volta lì salterai il passaggioIl captcha in effetti potrebbe essere un punto debole
          • ... scrive:
            Re: informazioni incomplete
            - Scritto da: Mario
            il mio sistema funziona diversamente, il computer
            calcola ogni volta casualmente una password, io
            la indovino e lui mi dà l'acXXXXX, come la
            indovino te lo lascio indovinare a
            te[img]http://m.memegen.com/p4kt5w.jpg[/img]
          • rico scrive:
            Re: informazioni incomplete
            Io uso una password diversa per ogni sevizio a cui accedo, e le tengo a memoria, non mi sembra cosi difficile.Basta usare frasi o parole (anche con numeri) che hanno significato solo per te e non per altri.
          • ... scrive:
            Re: informazioni incomplete
            - Scritto da: rico
            Io uso una password diversa per ogni sevizio a
            cui accedo, e le tengo a memoria"Sevizio", tutte a memoria... devi essere un masochista...
      • opensipa scrive:
        Re: informazioni incomplete

        il limite di tutti questi sistemi è che dipendono
        da apparati aggiuntivi, smartphone, app, token
        etc. serve una soluzione che si basi solo su
        quello che uno può tenere a
        mente.No, ci sono un sacco di posti o sistemi che funzionano se hai un token, cioè qualcosa che ti porti dietro. Ad esempio per fare certe cose ti chiedono i documenti, per pagare con bancomat o carta di credito ti servono le apposite carte. Accedere ad un servizio da casa con un token che presumibilmente conservi a casa per me è comodo.
        • panda rossa scrive:
          Re: informazioni incomplete
          - Scritto da: opensipa

          il limite di tutti questi sistemi è che
          dipendono

          da apparati aggiuntivi, smartphone, app,
          token

          etc. serve una soluzione che si basi solo su

          quello che uno può tenere a

          mente.

          No, ci sono un sacco di posti o sistemi che
          funzionano se hai un token, cioè qualcosa che ti
          porti dietro. Ad esempio per fare certe cose ti
          chiedono i documenti, per pagare con bancomat o
          carta di credito ti servono le apposite carte.

          Accedere ad un servizio da casa con un token che
          presumibilmente conservi a casa per me è
          comodo.Per me e' ancora piu' comodo se invece del token mi danno l'algoritmo del token cosi' lo impolemento su un mio device e non devo tenere dozzine di token ciondolanti che poi magari li confondo pure.
          • Mariolino con la bici rossa scrive:
            Re: informazioni incomplete
            - Scritto da: panda rossa
            - Scritto da: opensipa


            il limite di tutti questi sistemi è che

            dipendono


            da apparati aggiuntivi, smartphone, app,

            token


            etc. serve una soluzione che si basi
            solo
            su


            quello che uno può tenere a


            mente.



            No, ci sono un sacco di posti o sistemi che

            funzionano se hai un token, cioè qualcosa
            che
            ti

            porti dietro. Ad esempio per fare certe cose
            ti

            chiedono i documenti, per pagare con
            bancomat
            o

            carta di credito ti servono le apposite
            carte.



            Accedere ad un servizio da casa con un token
            che

            presumibilmente conservi a casa per me è

            comodo.

            Per me e' ancora piu' comodo se invece del token
            mi danno l'algoritmo del token cosi' lo
            impolemento su un mio device e non devo tenere
            dozzine di token ciondolanti che poi magari li
            confondo
            pure.Beh ma questo è semplice ... oathhttp://www.nongnu.org/oath-toolkit/(rfc6238)https://en.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm(totp)Quale implementi (puoi pure implementarli entrambi) sono fattacci tuoi il resto (per fortuna è standard) con tanto di reference open source...
          • panda rossa scrive:
            Re: informazioni incomplete
            - Scritto da: Mariolino con la bici rossa
            - Scritto da: panda rossa

            - Scritto da: opensipa



            il limite di tutti questi sistemi
            è
            che


            dipendono



            da apparati aggiuntivi,
            smartphone,
            app,


            token



            etc. serve una soluzione che si
            basi

            solo

            su



            quello che uno può tenere a



            mente.





            No, ci sono un sacco di posti o sistemi
            che


            funzionano se hai un token, cioè
            qualcosa

            che

            ti


            porti dietro. Ad esempio per fare certe
            cose

            ti


            chiedono i documenti, per pagare con

            bancomat

            o


            carta di credito ti servono le apposite

            carte.





            Accedere ad un servizio da casa con un
            token

            che


            presumibilmente conservi a casa per me è


            comodo.



            Per me e' ancora piu' comodo se invece del
            token

            mi danno l'algoritmo del token cosi' lo

            impolemento su un mio device e non devo
            tenere

            dozzine di token ciondolanti che poi magari
            li

            confondo

            pure.
            Beh ma questo è semplice ...
            oath
            http://www.nongnu.org/oath-toolkit/
            (rfc6238)
            https://en.wikipedia.org/wiki/Time-based_One-time_
            (totp)
            Quale implementi (puoi pure implementarli
            entrambi) sono fattacci tuoi il resto (per
            fortuna è standard) con tanto di reference open
            source...Si ma non devi darmelo tu. Me lo deve dare l'amministratore del sistema a cui accedo.Quello che mi da il token per intenderci.
          • Mariolino con la bici rossa scrive:
            Re: informazioni incomplete
            - Scritto da: panda rossa
            Si ma non devi darmelo tu.
            Me lo deve dare l'amministratore del sistema a
            cui
            accedo.
            Quello che mi da il token per intenderci.Lui usa quegli algoritmi... ne più ne meno...Il problema è che l'algoritmo conta come il 2 di coppe con briscola a denari il token (software o hardware che sia non ha alcuna rilevanza) è tale solo perchè condivide col server una specifica chiave simmetrica nota solo a lui e al tuo token senza la quale l'unica cosa che puoi fare con l'algoritmo è fare una App a chi manche l'inizializzazione (una chiave) che ovviamente nessuno ti darà per ovvi motivi di sicurezza.Il token per essere "sicuro" deve esserti consegnato già "inizializzato" (aka con già la chiave "dentro") dal tuo "identity provider"...Questo dice la "teoria" che sta dietro a "oath" e "totp"... vedi te...
          • panda rossa scrive:
            Re: informazioni incomplete
            - Scritto da: Mariolino con la bici rossa
            - Scritto da: panda rossa


            Si ma non devi darmelo tu.

            Me lo deve dare l'amministratore del sistema
            a

            cui

            accedo.

            Quello che mi da il token per intenderci.
            Lui usa quegli algoritmi... ne più ne meno...
            Il problema è che l'algoritmo conta come il 2 di
            coppe con briscola a denari il token (software o
            hardware che sia non ha alcuna rilevanza) è tale
            solo perchè condivide col server una specifica
            chiave simmetrica nota solo a lui e al tuo token
            senza la quale l'unica cosa che puoi fare con
            l'algoritmo è fare una App a chi manche
            l'inizializzazione (una chiave) che ovviamente
            nessuno ti darà per ovvi motivi di
            sicurezza.
            Il token per essere "sicuro" deve esserti
            consegnato già "inizializzato" (aka con già la
            chiave "dentro") dal tuo "identity
            provider"...
            Questo dice la "teoria" che sta dietro a "oath" e
            "totp"... vedi
            te...Quindi con la chiave cablata dentro siamo tornati al security by obscurity.Complimenti!Che differenza passa tra darmi il token con dentro algoritmo e chiave, e darmi invece algoritmo e chiave?Come custodisco il token, custodisco anche la chiave, no?
          • Mariolino con la bici rossa scrive:
            Re: informazioni incomplete
            - Scritto da: panda rossa
            Quindi con la chiave cablata dentro siamo tornati
            al security by
            obscurity.
            Complimenti!E lo dici a me?Che c'entro io?Sei tu che volevi l'algoritmo... e quello ce lo hai!è pubblico e con un numero più che abbondante di apps open source o (meglio ancora) free (as in freedom)...Del resto la chiave è <b
            simmetrica </b
            (casomai c'è da chiedersi quanto questo sia sensato) conoscere la chiave significa comprometterla ne più ne meno... e viene (in parole povere ma succose) usata per generare delle "signatures HMAC" che il server (condividendo la stessa chiave) può "decifrare/convalidare"...Stabilito questo la "obscurity" è necessaria per questo sprecifico motivo tecnico e ovviamente il punto vero è :"Quanto posso fidarmi di un servizio terza parte che da tanta fiducia al server?""ho sufficienti informazioni sulle politiche di sicurezza e di gestione di questo server per fidarmi?"...Queste sono le domande che dovresti farti...E secondo me il vero problema è che l'utonto medio anche se ricevesse le risposte non sarebbe in grado di capire se sono convincenti dal punto di vista del "trust" o se non lo sono.

            Che differenza passa tra darmi il token con
            dentro algoritmo e chiave, e darmi invece
            algoritmo e
            chiave?La differenza è che il token non te la fa leggere (ne a te ne a nessun altro la tiene cifrata con una sua chiave "inventata" (aka pseudo random generator) al momento della inizializzazione)... molto semplice... :DAl massimo puoi chiederti se l'implementazione di "questa roba" (ripeto soft o hard) non sia bacata o bukabile! :D

            Come custodisco il token, custodisco anche la
            chiave,
            no?No la perdita del token non porta a conoscenza di nessuna chiave ma solo alla sua invalidazione... basta riemetterne un altro (o ri-inizializzare il token con una nuova chiave se il token è una app software)
      • PandaR1 scrive:
        Re: informazioni incomplete
        - Scritto da: Mario
        - Scritto da: .poz

        Credo che le informazioni fornite nell'
        articolo

        siano

        incomplete.



        A me il gestore che ha rilasciato lo SPID ha

        fornito un app che genera password OTP che
        credo

        sia quasi equivalente al token delle

        banche



        quindi non c'è solo l' SMS...
        il limite di tutti questi sistemi è che dipendono
        da apparati aggiuntivi, smartphone, app, token
        etc. serve una soluzione che si basi solo su
        quello che uno può tenere a
        mente.proprio il meglio della sicurezza. Il top.
  • Fabio scrive:
    soluzione
    La soluzione e' semplice...Nuova SIM dedicata per ricevere SMS su vecchio telefono (magari motorola 8700):-)
  • opensipa scrive:
    Molta confusione
    Scusate ma credo che ancora non sia chiaro a molti cos'è lo SPID e come funzioni. Cerchiamo di fare un po' di chiarezza.Avete presente quando fate un pagamento con carta di credito o paypal? A parte certe grande aziende, quello che fanno tutti è che siamo in una pagina web, visualizziamo l'importo (il carrello ecc), veniamo trasferiti in un'altra pagina (tipo banca sella o paypal), paghiamo, ritorniamo alla pagina dove abbiamo fatto il pagamento.Lo SPID farà più o meno la stessa cosa dove ci appoggeremo per l'autenticazione ad un "gestore delle identità digitali". Perché è importate avere un gestore delle IDENTITA'? Perché qua non si tratta di fare un acquisto on-line dove non importa veramente chi sta facendo l'acquisto o chi sta pagando, qua è importante sapere CHI si sta autenticando perché è ovvio che in ballo ci sono questioni di autorizzazione di acXXXXX a dati, chiamiamola privacy se vogliamo.Lo Stato italiano NON è in grado di garantire l'identità digitale dei cittadini, non è il suo lavoro, allora ha chiesto aiuto a delle aziende che ad oggi già lo fanno per un motivo o per l'altro in maniera più o meno forte (e da qua i 3 livelli di SPID). Facciamo degli esempi per capirci: chi secondo voi ha una vaga idea di chi siate quando vi autenticate ad uno dei loro servizi? caso tipico, le compagnie telefoniche che vi chiedono un documento di identità quando volete un numero telefonico. Oppure, caso più evidente, la banca nella quale avete i vostri soldini, non sa forse bene chi siete e non è forse abbastanza sicura che siate voi quelli che accedete all'home banking e che voi stessi proteggete adeguatamente quelle credenziali? Insomma, per essere ancora più chiari, serve qualcuno che si frapponga tra voi e Stato italiano che vi conosca e garantisca la vostra identità! Il conetto è chiaro e semplice. Se andate nella pagina con prova dell SPID forse vi sarà ancora più chiaro (http://www.spid.gov.it/).E' ovvio che ci sono livelli diversi di sicurezza: farsi assegnare un numero telefonico con carta di identità falsa nel negozio di telefonia è una cosa fattibile, fare la stessa cosa in un ufficio infocamere per una certificato di firma è un attimo più complesso, farlo in banca MOLTO più complesso. Quindi in base a cosa dovete accedere è ovvio che serviranno maggiori garanzie del vostro spid.Veniamo al discorso degli enti accreditanti che hanno bisogno di 5 milioni di euro. Adesso ognuno ragioni in coscienza, ma secondo voi possiamo dare in mano al provider di periferia le nostre identità digitali? Il capitale dei 5 milioni viene richiesto a garanzia delle vostre capacità di proteggere i dati e garantire un servizio, non è un modo di dare acXXXXX agli "amici", chi la vede in questo modo, scusatemi, è uno un attimo malato di paranoia e vede complotti e malaffare ovunque. Stiamo parlando di identità digitali, se voi volete affidare la vostra autenticazione alla start-up o al provider sotto casa vostra fate pure, appena vi fregano gli accessi o inibiscono i servizi mi raccomando a non fare la class action chiedendo molto di rimborso però, non so se rendo l'idea. Aziende che possono accreditarsi e che superano i 5 milioni di euro di fatturato ce ne sono a centinaia in Italia, non solo Poste o Telecom come pensano i malfidenti, ci sono i tre principali operatori di telefonia mobile, le banche e altre aziende come infocamere.Ultimo punto: lo SPID è insicuro. Si, lo SPID non sarà perfetto probabilmente, saranno possibili attacchi e truffe. La domanda però da farsi è: con il cartaceo o altri sistemi non sono possibili attacchi e truffe? Davanti alla volontà di avere servizi accessibili da casa in maniera comoda e veloce, ci si pone il problema che qualche manigolda forse potrà attaccare il sistema? sistema che ricordiamo è spezzettato, cioè si potrà attaccare una banca o infocert o un sito di una PA, non è che attacchi tutto il sistema in generale. In ogni caso, davanti a queste paure preferite rimanere al fatto di dover prendere la macchina, andare in centro, posteggiare (magari pagando), andare in comune o in ente, ritirare il numero e/o mettersi in coda, aspettare, parlare, ritirare documento se va bene (molte cose prevedono una richiesta oggi e venirlo a ritirare dopo qualche giorno). Io preferisco lo SPID, anche pagando, voi fate come credete.Per la cronaca: nei sistemi informativi attaccabili ci sono i miei quanto i vostri dati, non è che adesso nei gestionali verranno caricati solo i dati di chi ha lo SPID, si tratta solo di un nuovo metodo di acXXXXX ai servii ma gli enti attaccabili già ci sono.Buona giornata a tutti
    • Hop scrive:
      Re: Molta confusione
      - Scritto da: opensipa
      Lo SPID farà più o meno la stessa cosa dove ci
      appoggeremo per l'autenticazione ad un "gestore
      delle identità digitali". Perché è importate
      avere un gestore delle IDENTITA'? Perché qua non
      si tratta di fare un acquisto on-line dove non
      importa veramente chi sta facendo l'acquisto o
      chi sta pagandoROTFL non è importante se pago con la TUA carta di credito?

      Lo Stato italiano NON è in grado di garantire
      l'identità digitale dei cittadini, non è il suo
      lavoroVuoi dire che quel pezzo di carta con la mia foto e le mie impronte che mi rilascia lo stato itaGliano non è il SUO lavoro? :D
      • opensipa scrive:
        Re: Molta confusione

        ROTFL non è importante se pago con la TUA carta
        di
        credito?
        E' importante per me ma non per chi riceve i soldi. Chi riceve il pagamento non è interessato all'identità, è interessato ai soldi, infatti tu puoi fare un acquisto dove ti apre e specificare la carta di credito di un altro, ad esempio della moglie o di un amico. Se invece devi autenticarti ad un sito che rilascia informazioni sensibili o personali, è interesse tuo e suo che la persona autenticata sia quella che dichiara di essere.
        Vuoi dire che quel pezzo di carta con la mia foto
        e le mie impronte che mi rilascia lo stato
        itaGliano non è il SUO lavoro?
        :DVa be', forse ti è sfuggita la parola "digitale". Lo Stato italiano non ha una infrastruttura (e non gli conviene averla) di autenticazione digitale. La hanno già molte aziende per offrire i loro servizi, tanto vale farlo fare a loro. Lo Stato italiano, tramite l'anagrafe, rilascia dei documenti di identità, ma non digitali, al massimo elettronici.
        • NN figlio di NN scrive:
          Re: Molta confusione

          E' importante per me ma non per chi riceve i
          soldi. Chi riceve il pagamento non è interessato
          all'identitàQuesto è in effetti interessante, nei pagamenti cartacei con carta di credito chi riceve il pagamento deve assicurarsi dell'identità del titolare della carta (e verificare la firma).Nei pagamenti elettronici no. Ti basta avere in mano la carta per completare il pagamento.

          Vuoi dire che quel pezzo di carta con la mia
          foto

          e le mie impronte che mi rilascia lo stato

          itaGliano non è il SUO lavoro?

          :D

          Va be', forse ti è sfuggita la parola "digitale".
          Lo Stato italiano non ha una infrastruttura (e
          non gli conviene averla) di autenticazione
          digitale.cartacea o digitale sempre di autenticazione del cittadino si tratta.Per me è uno dei compiti dello stato, e il fatto che lo deleghi (per scelta o incapacità, è indifferente) non mi trova favorevole.
          • ... scrive:
            Re: Molta confusione
            - Scritto da: NN figlio di NN

            E' importante per me ma non per chi riceve i

            soldi. Chi riceve il pagamento non è
            interessato

            all'identità

            Questo è in effetti interessante, nei pagamenti
            cartacei con carta di credito chi riceve il
            pagamento deve assicurarsi dell'identità del
            titolare della carta (e verificare la
            firma).
            Nei pagamenti elettronici no. Ti basta avere in
            mano la carta per completare il
            pagamento.
            ni.in realtà è la stessa cosa, in entrambi i casi nessuno ti obbliga ad assicurarti che il pagatore sia effettivamente il proprietario della carta. il tutto si riconduce alla tutela in caso di frode.se il negoziante fisico ha accettato un pagamento del primo XXXXX che ha trovato un portafogli con dentro una carta, senza verificare la firma (cosa per la quale si usa il documento) e questa si rivelasse quindi falsa, sarà a carico del commerciante il rimborso.lo stesso per il negoziante virtuale, dove c'è da dire che molti oramai chiedono anche la pwd della carta di credito aumentando la sicurezza.probabilmente i casi di frode sono una frazione non così rilevante per cui sia nel fisico che nel virtuale i negozianti si permettono un certo grado di fiducia.
          • opensipa scrive:
            Re: Molta confusione
            - Scritto da: ...
            - Scritto da: NN figlio di NN


            E' importante per me ma non per chi
            riceve
            i


            soldi. Chi riceve il pagamento non è

            interessato


            all'identità



            Questo è in effetti interessante, nei
            pagamenti

            cartacei con carta di credito chi riceve il

            pagamento deve assicurarsi dell'identità del

            titolare della carta (e verificare la

            firma).

            Nei pagamenti elettronici no. Ti basta avere
            in

            mano la carta per completare il

            pagamento.



            ni.
            in realtà è la stessa cosa, in entrambi i casi
            nessuno ti obbliga ad assicurarti che il pagatore
            sia effettivamente il proprietario della carta.
            il tutto si riconduce alla tutela in caso di
            frode.
            se il negoziante fisico ha accettato un pagamento
            del primo XXXXX che ha trovato un portafogli con
            dentro una carta, senza verificare la firma (cosa
            per la quale si usa il documento) e questa si
            rivelasse quindi falsa, sarà a carico del
            commerciante il
            rimborso.
            lo stesso per il negoziante virtuale, dove c'è da
            dire che molti oramai chiedono anche la pwd della
            carta di credito aumentando la
            sicurezza.


            probabilmente i casi di frode sono una frazione
            non così rilevante per cui sia nel fisico che nel
            virtuale i negozianti si permettono un certo
            grado di
            fiducia.Ecco è quello che dicevo, per me le funzioni del ministero dell'interno andrebbero delegate da Mastercard e Visa, che sono anche più fighe! Viva Renzi!
          • opensipa scrive:
            Re: Molta confusione

            cartacea o digitale sempre di autenticazione del
            cittadino si
            tratta.
            Per me è uno dei compiti dello stato, e il fatto
            che lo deleghi (per scelta o incapacità, è
            indifferente) non mi trova
            favorevole.No, attento, stiamo confondendo l'identificazione della persona nel mondo fisico (cioè attribuirgli un documento di identità dove un pubblico ufficiale ne attesta le generalità), con la gestione dell'identità digitale. Non farmi come MementoMori che non ne ha capito la differenza.E' lo Satto che ti identifica e ti rilascia i documenti, su questo non cambia nulla, ma quando si è on-line lo Stato ed i suoi enti non sanno chi sei, giusto? Tu non puoi mostrargli la tua carta di identità ad un sito, giusto? Oppure avere un pubblico ufficiale accanto a te che certifichi che sei proprio tu ad entrare, giusto?Bene. Allora lo Stato dice: mi serve qualcuno che ha già (o ha voglia) di identificare digitalmente i cittadini (che NON vuol dire che ti danno un documento di identità, al contrario, gli devi far vedere quello rilasciato dall'anagrafe del tuo comune!) in modo che io possa passare attraverso il tuo sistema di autenticazione secondo certe regole tecniche e possa essere abbastanza certo che sto dialogando con il sig. X.Questo fa il gestore dell'identità digitale, non rilascia carte di identità, gestisce solo la tua "personalità" in rete. Torno a ripetere: perché questo gestore lo fa? Perchè lo fa già e gli conviene continuare a farlo anche per lo SPID, perché magari è una banca e quindi ti ha già fornito token e quant'altro, per vantaggio competitivo. Il vantaggio competitivo lo hanno nel momento io cui magari a te serve uno SPID e ti accorgi che con TIM lo hai gratuitamente, allora di fai un contratto con TIM piuttosto che con Wind per esempio. Oppure ti apri il conto al bancoposta piuttosto che all'Unicredit.Spero sia più chiaro.
          • Albedo 0,9 scrive:
            Re: Molta confusione
            - Scritto da: opensipa
            Bene. Allora lo Stato dice: mi serve qualcuno che
            ha già (o ha voglia) di identificare digitalmente
            i cittadini (che NON vuol dire che ti danno un
            documento di identità, al contrario, gli devi far
            vedere quello rilasciato dall'anagrafe del tuo
            comune!) in modo che io possa passare attraverso
            il tuo sistema di autenticazione secondo certe
            regole tecniche e possa essere abbastanza certo
            che sto dialogando con il sig.
            X.E secondo te per ottenere un'identificazione digitale non occorre anche un'anagrafica ricca di dati sensibili?L'anagrafe che, per far accedere i cittadini, necessità di un terzo incomodo, dotato di altrettanta anagrafica, fa ridere pure i polli.
            Il
            vantaggio competitivo lo hanno nel momento io cui
            magari a te serve uno SPID e ti accorgi che con
            TIM lo hai gratuitamente, allora di fai un
            contratto con TIM piuttosto che con Wind per
            esempio. Oppure ti apri il conto al bancoposta
            piuttosto che
            all'Unicredit.
            Spero sia più chiaro.Questo non è un vantaggio competitivo, ma è un triste gioco tra pastori che si contenderanno le pecore (i cittadini e le imprese che vorranno sfruttare SPID).
          • opensipa scrive:
            Re: Molta confusione


            E secondo te per ottenere un'identificazione
            digitale non occorre anche un'anagrafica ricca di
            dati
            sensibili?
            L'anagrafe che, per far accedere i cittadini,
            necessità di un terzo incomodo, dotato di
            altrettanta anagrafica, fa ridere pure i
            polli.Calma un attimo, tu vuoi dire che avendo lo Stato già l'anagrafica nazionale allora a questo punto è meglio apra un ufficio identità digitali, ci meta un qualche centinaio di server e sistemi di sicurezza ecc ecc, gestisca un suo sistema di autenticazione ecc ecc, si certifichi ISO 270001 ecc ecc? Tu pensi che così sia meglio?Io invece penso sia meglio che lo Stato lo faccia fare ad altri che per altri motivi già lo fanno. Il caso più evidente è quello di inforcert che rilascia firme digitali, anche le poste avevano già dei sistemi così anche la TIM (le prime aziende accreditate).

            Questo non è un vantaggio competitivo, ma è un
            triste gioco tra pastori che si contenderanno le
            pecore (i cittadini e le imprese che vorranno
            sfruttare
            SPID).Bicchiere mezzo pieno o mezzo vuoto? Ad ognuno la sua visione.
          • Albedo 0,9 scrive:
            Re: Molta confusione
            - Scritto da: opensipa



            E secondo te per ottenere un'identificazione

            digitale non occorre anche un'anagrafica
            ricca
            di

            dati

            sensibili?

            L'anagrafe che, per far accedere i cittadini,

            necessità di un terzo incomodo, dotato di

            altrettanta anagrafica, fa ridere pure i

            polli.

            Calma un attimo, tu vuoi dire che avendo lo Stato
            già l'anagrafica nazionale allora a questo punto
            è meglio apra un ufficio identità digitali, ci
            meta un qualche centinaio di server e sistemi di
            sicurezza ecc ecc, gestisca un suo sistema di
            autenticazione ecc ecc, si certifichi ISO 270001
            ecc ecc? Tu pensi che così sia
            meglio?Macché centinaia, migliaia!C'è da replicare Facebook o OpenID?
          • opensipa scrive:
            Re: Molta confusione
            - Scritto da: Albedo 0,9
            - Scritto da: opensipa





            E secondo te per ottenere
            un'identificazione


            digitale non occorre anche un'anagrafica

            ricca

            di


            dati


            sensibili?


            L'anagrafe che, per far accedere i
            cittadini,


            necessità di un terzo incomodo, dotato
            di


            altrettanta anagrafica, fa ridere pure i


            polli.



            Calma un attimo, tu vuoi dire che avendo lo
            Stato

            già l'anagrafica nazionale allora a questo
            punto

            è meglio apra un ufficio identità digitali,
            ci

            meta un qualche centinaio di server e
            sistemi
            di

            sicurezza ecc ecc, gestisca un suo sistema di

            autenticazione ecc ecc, si certifichi ISO
            270001

            ecc ecc? Tu pensi che così sia

            meglio?

            Macché centinaia, migliaia!
            C'è da replicare Facebook o OpenID?Basta ai rotto, komunista! Il muro è caduto nel 1889, fattene una racione!Renzi ha raggione e tu sei scemo!
          • Sky scrive:
            Re: Molta confusione
            - Scritto da: opensipa
            - Scritto da: Albedo 0,9

            - Scritto da: opensipa







            E secondo te per ottenere

            un'identificazione



            digitale non occorre anche
            un'anagrafica


            ricca


            di



            dati



            sensibili?



            L'anagrafe che, per far accedere i

            cittadini,



            necessità di un terzo incomodo,
            dotato

            di



            altrettanta anagrafica, fa ridere
            pure
            i



            polli.





            Calma un attimo, tu vuoi dire che
            avendo
            lo

            Stato


            già l'anagrafica nazionale allora a
            questo

            punto


            è meglio apra un ufficio identità
            digitali,

            ci


            meta un qualche centinaio di server e

            sistemi

            di


            sicurezza ecc ecc, gestisca un suo
            sistema
            di


            autenticazione ecc ecc, si certifichi
            ISO

            270001


            ecc ecc? Tu pensi che così sia


            meglio?



            Macché centinaia, migliaia!

            C'è da replicare Facebook o OpenID?

            Basta ai rotto, komunista! Il muro è caduto nel
            1889, fattene una
            racione!
            Renzi ha raggione e tu sei scemo!Spero MOLTO che questa sia ironia, seppure pesante.
          • Sky scrive:
            Re: Molta confusione
            - Scritto da: opensipa

            E secondo te per ottenere un'identificazione

            digitale non occorre anche un'anagrafica
            ricca di dati sensibili?

            L'anagrafe che, per far accedere i cittadini,

            necessità di un terzo incomodo, dotato di

            altrettanta anagrafica, fa ridere pure i

            polli.

            Calma un attimo, tu vuoi dire che avendo lo Stato
            già l'anagrafica nazionale allora a questo punto
            è meglio apra un ufficio identità digitali, ci
            meta un qualche centinaio di server e sistemi di
            sicurezza ecc ecc, gestisca un suo sistema di
            autenticazione ecc ecc, si certifichi ISO 270001
            ecc ecc? Tu pensi che così sia
            meglio?
            Io invece penso sia meglio che lo Stato lo faccia
            fare ad altri che per altri motivi già lo fanno.
            Il caso più evidente è quello di inforcert che
            rilascia firme digitali, anche le poste avevano
            già dei sistemi così anche la TIM (le prime
            aziende
            accreditate).




            Questo non è un vantaggio competitivo, ma è
            un

            triste gioco tra pastori che si
            contenderanno
            le

            pecore (i cittadini e le imprese che vorranno

            sfruttare

            SPID).

            Bicchiere mezzo pieno o mezzo vuoto? Ad ognuno la
            sua
            visione.Più che altro, leggendoti, parrebbe che lo Stato gestisca ancora tutto in via cartacea, cosa che non è: i sistemi della PA sono fra i più grossi della nazione e la gente che ci lavora c'è ed è preparata (lo so per esperienza personale).Per questo non ci vedo sto gran problema, oltre a gestire tutti i nostri dati come GIA' fanno, a farli diventare un Provider di autenticazione: nel mio modo di vedere, lo Stato italiano non solo gestisce i miei dati ma è anche l'unico a poter dire a chiunque altro "terzo", anche in rete, che io sono proprio io, una volta che mi sono autenticato presso i suoi sistemi.Figuriamoci poi se lo deve dire ad un "non terzo" (es. Agenzia delle Entrate).Last but not least, da una rapida verifica risulta che 5 milioni di euro non sono alla portata di tanti gestori che, molto probabilmente, quel lavoro lo saprebbero fare (ad es. il mio ISP, che è comunque un Provider a livello nazionale, non arriva ai 3 milioni): la discriminante dovrebbe essere nel merito, ovvero nella "capacità di gestire il servizio" sia nella forma tecnica che per i volumi sui quali verrà richiesto, e non una qualche "ipotetica capacità" decisa dal capitale sociale di un carrozzone come TIM, per dirne una, altrimenti va a finire come per quel dirigente di una ditta privata a capitale pubblico che comprava i software di gestione per i propri uffici "a volume" (ovvero, un sw da 10 MB era "certamente migliore" di uno da 5 MB) senza valutarlo per le capacità (magari anche perchè non sapeva valutarlo, chi lo sa).
          • Mariolino scrive:
            Re: Molta confusione
            - Scritto da: NN figlio di NN
            Per me è uno dei compiti dello stato, e il fatto
            che lo deleghi (per scelta o incapacità, è
            indifferente) non mi trova
            favorevole.Neppure a me mi trova favorevole e inoltre ho dei forti dubbi che lo SPID sia conforme al framework eiDAS (UE) e alle relative norme europee...https://ec.europa.eu/digital-single-market/en/trust-services-and-eid
          • opensipa scrive:
            Re: Molta confusione
            - Scritto da: Mariolino
            - Scritto da: NN figlio di NN


            Per me è uno dei compiti dello stato, e il
            fatto

            che lo deleghi (per scelta o incapacità, è

            indifferente) non mi trova

            favorevole.
            Neppure a me mi trova favorevole e inoltre ho dei
            forti dubbi che lo SPID sia conforme al framework
            eiDAS (UE) e alle relative norme
            europee...
            https://ec.europa.eu/digital-single-market/en/trushttp://www.agid.gov.it/spid-faq-carattere-generaleRisposta A4
          • Mariolino con la bici rossa scrive:
            Re: Molta confusione
            - Scritto da: opensipa
            Risposta A4Risposta errata o meglio non pertinente dato che (meglio che te le rileggi le regole eidas) è previsto l'onere di implementare un punto (gateway) di interscamboio europeo (e lo deve implementare. o quantomeno ne è responsabile, lo stato non mia nonna in carriola).A dichiarare che "saremo" son tutti bravi intanto però la/le norme di riferimento è stata approvata già nel 2014.N.B. c'è pure stata una fase di "sperimentazione" di cui se vuoi trov pure il/i siti ovviamente tutto funziona il altro modo... il gate è (ripeto) uno anche se gli spid possono essere di diverse nature e il gate stesso può intermediare (a carico suo però) altri servizi....Quindi qualcuno è meglio che cominci a "alzare il XXXX dall sedia" in "agid" e a inventare meno perchè mentre noi diciamo "sarà" (leggi bene) "dovremmo già essere" al presente non al futuribile....Chiaro?
          • opensipa scrive:
            Re: Molta confusione

            Risposta errata o meglio non pertinente dato che
            (meglio che te le rileggi le regole eidas) è
            previsto l'onere di implementare un punto
            (gateway) di interscamboio europeo Con quale altro sistema nazionale di identificazione si deve collegare questo presunto gateway?
          • Mariolino con la bici rossa scrive:
            Re: Molta confusione
            - Scritto da: opensipa

            Risposta errata o meglio non pertinente dato
            che

            (meglio che te le rileggi le regole eidas) è

            previsto l'onere di implementare un punto

            (gateway) di interscamboio europeo

            Con quale altro sistema nazionale di
            identificazione si deve collegare questo presunto
            gateway?Non è "presunto" è reale (vedi stork)....se sei in "crande cermania" la PA "cermanica" chiede al "gateway italico con spaghetti mandolino e paffi neri" il quale risponde secondo i metodi qui descritti:http://ec.europa.eu/growth/single-market/services/services-directive/implementation/evaluation/index_en.htmOvviamente il gate è libero di chiedere a sua volta a pippo pluto o paperino...Ma.... il responsabile è lui...E non lo dico io lo dice il regolamento...."Articolo 2DefinizioniAi fini del presente regolamento si intende per:1)«nodo», il punto di connessione facente parte di un'architettura di interoperabilità dell'identificazione elettronica, che interviene nell'autenticazione transfrontaliera delle persone ed è in grado di riconoscere ed elaborare le trasmissioni o di inoltrarle ad altri nodi attraverso l'abilitazione dell'interfacciamento dell'infrastruttura di identificazione elettronica nazionale di uno Stato membro con le infrastrutture di identificazione elettronica nazionale di altri Stati membri;2)«operatore di nodo», l'entità responsabile di assicurare che il nodo svolga le sue funzioni di punto di connessione in modo corretto e affidabile"
          • opensipa scrive:
            Re: Molta confusione

            Non è "presunto" è reale (vedi stork)....
            se sei in "crande cermania" la PA "cermanica"
            chiede al "gateway italico con spaghetti
            mandolino e paffi neri" il quale risponde secondo
            i metodi quiBene, e dov'è il gateway della "crande cermania"? vediamo se così ci capiamo
          • Mariolino con la bici rossa scrive:
            Re: Molta confusione
            - Scritto da: opensipa

            Non è "presunto" è reale (vedi stork)....

            se sei in "crande cermania" la PA "cermanica"

            chiede al "gateway italico con spaghetti

            mandolino e paffi neri" il quale risponde
            secondo

            i metodi qui


            Bene, e dov'è il gateway della "crande cermania"?
            vediamo se così ci
            capiamoIn "crande cermania" e non serve alla PA della "crande cermania" ma alla PA di "piccola italia con spaghetti mandolino e paffi neri" quando il cittadino di "crande cermania" si deve autenticare a un servizio di "piccola italia con spaghetti mandolino e paffi neri"...Forse invece di leggere le FAQ di Agid faresti meglio a leggere le linee guida di eidas (mica posso spiegarti qui tuttuto il framework di interoperabilità) che ne dici? :D :D
          • opensipa scrive:
            Re: Molta confusione

            In "crande cermania" e non serve alla PA della
            "crande cermania" ma alla PA di "piccola italia
            con spaghetti mandolino e paffi neri" quando il
            cittadino di "crande cermania" si deve
            autenticare a un servizio di "piccola italia con
            spaghetti mandolino e paffi
            neri"...Scusa, i cittadini delle crande cermania hanno un sistema di autenticazione che segue standard eidas? e se lo hanno dov'è il loro gateway per fare autenticare noi con la nostra CNS? e se non lo hanno a cosa serve che noi gli mettiamo una gateway? Mi rispondi gentilmente? grazie
          • 1889 scrive:
            Re: Molta confusione
            - Scritto da: opensipa
            comunista ai rotto i XXXXXXXX! Il muto è caduto
            nel 1889! Renzi ha vinto ettu hai
            perso!nel 1889?(rotfl)(rotfl)Non è che sia caduto non c'era ancora!Magari se non lo trovi sulle FAQ agid basta cercare su google!Quanto al resto forse hai sbagliato nick forse "openXXXXX" era meglio di "opensipa".(rotfl)(rotfl)(rotfl)
          • Sky scrive:
            Re: Molta confusione
            quoto!+1
        • Mariolino scrive:
          Re: Molta confusione
          - Scritto da: opensipa
          Stato italiano, tramite l'anagrafe, rilascia dei
          documenti di identità, ma non digitali, al
          massimo
          elettronici.My dear... non so come tu lo voglia chiamare ma il certificato che c'è sulla CNS (ma anche sulla CIE) si chiama "certificato DIGITALE x.509".Inoltre (tanto per aggiungere zucchero al miele) nessuno dei 2 "è rilasciato" dallo stato (anche se "stampato e prodotto fisicamente dal poligrafico") ma il rilascio è rispettivamente del comune (carta di identità) e dalla regione (CNS) è come chiosa finale aggiungiamo pure che tutte e due sono "strumenti di identità digitale" per legge (vedi il decreto 9 dicembre 2004 e la sezione delle specifiche tecniche)...Che dici la chiudiamo qui o vuoi insistere nonostante la legge?
          • opensipa scrive:
            Re: Molta confusione

            My dear... non so come tu lo voglia chiamare ma
            il certificato che c'è sulla CNS (ma anche sulla
            CIE) si chiama "certificato DIGITALE
            x.509".Il certificato digitale non è l'identità digitale, perché continuate a mettere insieme pezzi di nomi o nomi incompleti??
            Inoltre (tanto per aggiungere zucchero al miele)
            nessuno dei 2 "è rilasciato" dallo stato (anche
            se "stampato e prodotto fisicamente dal
            poligrafico") ma il rilascio è rispettivamente
            del comune (carta di identità)Per Stato intendevo gli enti pubblici in generale, non i privati insomma e dalla regione
            (CNS) è come chiosa finale aggiungiamo pure che
            tutte e due sono "strumenti di identità digitale"
            per legge (vedi il decreto 9 dicembre 2004 e la
            sezione delle specifiche
            tecniche)...
            Che dici la chiudiamo qui o vuoi insistere
            nonostante la
            legge?Hai ragione, mea culpa. Rimane il fatto che lo Stato (inteso come insieme dei suoi enti), non gestiscono le identità digitali:http://www.agid.gov.it/spid-faq-carattere-generalerisposta A1, A2 e A8
          • Mariolino con la bici rossa scrive:
            Re: Molta confusione
            - Scritto da: opensipa

            My dear... non so come tu lo voglia chiamare
            ma

            il certificato che c'è sulla CNS (ma anche
            sulla

            CIE) si chiama "certificato DIGITALE

            x.509".

            Il certificato digitale non è l'identità
            digitale, perché continuate a mettere insieme
            pezzi di nomi o nomi
            incompleti??Perchè la legge dice <b
            che è l'identità digitale </b
            (ripeto vedere il decreto già citato).



            Inoltre (tanto per aggiungere zucchero al
            miele)

            nessuno dei 2 "è rilasciato" dallo stato
            (anche

            se "stampato e prodotto fisicamente dal

            poligrafico") ma il rilascio è
            rispettivamente

            del comune (carta di identità)

            Per Stato intendevo gli enti pubblici in
            generale, non i privati
            insommaE secondo te Stato e regione o anche comune sono la stessa cosa?Mi spiace non è così ..La PA centrale è appunto statale la PA locale è appunto locale.Sono istanze diverse di istituzioni diverse non una unica istituzione!

            e dalla regione

            (CNS) è come chiosa finale aggiungiamo pure
            che

            tutte e due sono "strumenti di identità
            digitale"

            per legge (vedi il decreto 9 dicembre 2004 e
            la

            sezione delle specifiche

            tecniche)...

            Che dici la chiudiamo qui o vuoi insistere

            nonostante la

            legge?

            Hai ragione, mea culpa. Rimane il fatto che lo
            Stato (inteso come insieme dei suoi enti), non
            gestiscono le identità
            digitali:http://www.agid.gov.it/spid-faq-carattere

            risposta A1, A2 e A8Sbagliato non gestiscono lo SPID che è un altro film!e io come cittadino ho tutto il diritto (lo dice la legge già citata ribadisco) di usare la semplice CNS per autenticarmi presso qualunque PA...Anzi dirò di più la posso addirittura usare in tutta EUROPA!Chiaro cosi?
          • opensipa scrive:
            Re: Molta confusione


            E secondo te Stato e regione o anche comune sono
            la stessa
            cosa?
            Mi spiace non è così ..Ripeto che dico Stato come semplificazione di ente pubblico, cioè solo per distinguere un ente pubblico da un ente privato. Non scrivo ogni volta la lista dei suoi organi. Quando dico "lo Stato rilascia un documento" personalmente sotto intendo anche il comune.Dimmi se sto facendo un concorso per impiegato pubblico che allora utilizzo la terminologia più corretta quando parlo con te.
            Sbagliato non gestiscono lo SPID che è un altro
            film!
            e io come cittadino ho tutto il diritto (lo dice
            la legge già citata ribadisco) di usare la
            semplice CNS per autenticarmi presso qualunque
            PA...
            Anzi dirò di più la posso addirittura usare in
            tutta
            EUROPA!
            Chiaro cosi?No, non ho capito che problema ci sia con la CNS e lo SPID
          • Mariolino con la bici rossa scrive:
            Re: Molta confusione
            - Scritto da: opensipa
            Dimmi se sto facendo un concorso per impiegato
            pubblico che allora utilizzo la terminologia più
            corretta quando parlo con
            te.No stai semplicemente usando ad arte termini inappropriati... :DDopo di che ti posso ripetere la spiegazione oppure puoi prenderne atto...
            No, non ho capito che problema ci sia con la CNS
            e lo
            SPIDNessun problema salvo il fatto che la CNS (come la CIE) svolge già da sola <b
            TUTTE </b
            le funzioni dello SPID e non ha alcuna necessità di terzi "privati" e quando dico <b
            tutte </b
            dico a </b
            tutti </b
            gli effetti di legge.Ti risulta oppure no? :D
          • opensipa scrive:
            Re: Molta confusione

            Nessun problema salvo il fatto che la CNS (come
            la CIE) svolge già da sola <b
            TUTTE
            </b
            le funzioni dello SPID e non ha
            alcuna necessità di terzi "privati" e quando dico
            <b
            tutte </b
            dico a </b

            tutti </b
            gli effetti di
            legge.
            Ti risulta oppure no?
            :DSi, come dire che la Ferrari testa rossa svolge da sola tutte le funzioni di un'auto. Non per questo si obbliga tutti a circolare con una Ferrari.Ti invito a rileggere le risposte alla FAQ nel sito dell'Agid, se poi le leggi e ne contesti le risposte, ok, ne prendo atto e mi domando come mai tu non faccia parte del nucleo di consulenza dell'Agid.
          • Mariolino con la bici rossa scrive:
            Re: Molta confusione
            - Scritto da: opensipa

            Nessun problema salvo il fatto che la CNS
            (come

            la CIE) svolge già da sola <b
            TUTTE

            </b
            le funzioni dello SPID e non ha

            alcuna necessità di terzi "privati" e quando
            dico

            <b
            tutte </b
            dico a
            </b


            tutti </b
            gli effetti di

            legge.

            Ti risulta oppure no?

            :D

            Si, come dire che la Ferrari testa rossa svolge
            da sola tutte le funzioni di un'auto. Non per
            questo si obbliga tutti a circolare con una
            Ferrari.Non si tratta di circolare con la ferrari ma di non tentare di vendere una cinquecento a chi è già titolare di una ferrari!
            Ti invito a rileggere le risposte alla FAQ nel
            sito dell'Agid, se poi le leggi e ne contesti le
            risposte, ok, ne prendo atto e mi domando come
            mai tu non faccia parte del nucleo di consulenza
            dell'Agid.Se ti soddisfa ti posso dire di averne fatto parte all'epoca della firma digitale.Ciò detto (e appurato che non c'entra nulla con quanto sto discutendo)Amico mio.. se non le avessi lette non sarei qui a dire che sono piuttosto ridicole e molto spesso fanno a XXXXXtti con norme già esistenti la legge è legge e le faq sono faq...Pensi che i giudici leggano le faq?Io credo di no..In ogni caso te lo ripeto che le istituzioni (comune e regione) gestiscano <b
            identità digitale </b
            (ripeto CIE e CNS) non è la "mia opinione" è un dato di fatto confermato dalle norme nazionali e europee.Fattene una ragione e mettiti l'animo in pace...Se questo non "coincide" con le famose "FAQ" Agid non è un problema mio (e <b
            forse </b
            neppure tuo) ma dell'Agid invece si!!Poi ... per carità si può sempre provare a far pace col cervello e magari imparare dalle sentenze dopo aver provato a fare i soliti favori alle solite lobby (vedi sentenza sul famoso "capitale sociale") e prendere atto che non sempre le FAQ giustificano le incongruenze e meno che mai i giudici ne tengono conto! :D :D
          • bubba scrive:
            Re: Molta confusione
            - Scritto da: Mariolino con la bici rossa
            - Scritto da: opensipa

            In ogni caso te lo ripeto che le istituzioni
            (comune e regione) gestiscano <b

            identità digitale </b
            (ripeto CIE e CNS)
            non è la "mia opinione" è un dato di fatto
            confermato dalle norme nazionali e
            europee.io ho idea che la discussione sia deragliata perche' la differenza principale e fondante di CIE/CNS e SPID, NON STA' nel rilascio di una differente certificazione di identita' (e si, in quel senso CIE/CNS e' buona quanto SPID), MA nel framework attorno..... che potremmo definirlo "sistema federato multilivello".... lo SPID (che e' poi quella roba SAMLv2 OASIS gia' usata altrove) aspira ad essere un Single-sign-on per una molteplicita' di servizi...... in estrema sintesi tu dall'Identity Provider sei identificato e profilato al 100%, ma ai Service Provider puoi fornire/vengono richiesti livelli di auth e di profilazione inferiori al massimo (hotspot al bar vs agenzia delle entrate). Sara' interessante vedere il livello di abusi :P :P
          • Mariolino con la bici rossa scrive:
            Re: Molta confusione
            - Scritto da: bubba
            - Scritto da: Mariolino con la bici rossa

            - Scritto da: opensipa



            In ogni caso te lo ripeto che le istituzioni

            (comune e regione) gestiscano <b


            identità digitale </b
            (ripeto CIE e
            CNS)

            non è la "mia opinione" è un dato di fatto

            confermato dalle norme nazionali e

            europee.
            io ho idea che la discussione sia deragliata
            perche' la differenza principale e fondante di
            CIE/CNS e SPID, NON STA' nel rilascio di una
            differente certificazione di identita' (e si, in
            quel senso CIE/CNS e' buona quanto SPID), MA nel
            framework attorno..... che potremmo definirlo
            "sistema federato multilivello".... lo SPID (che
            e' poi quella roba SAMLv2 OASIS gia' usata
            altrove) aspira ad essere un Single-sign-on per
            una molteplicita' di servizi...... in estrema
            sintesi tu dall'Identity Provider sei
            identificato e profilato al 100%, ma ai Service
            Provider puoi fornire/vengono richiesti livelli
            di auth e di profilazione inferiori al massimo
            (hotspot al bar vs agenzia delle entrate).

            Sara' interessante vedere il livello di abusi :P
            :PNon è che il "single sign on" non funziona col certificato x.509 ... anzi funziona benissimo e quanto alla "profilazione" non è che gli stessi dati (in quantità esattamente identica) non possano essere associati al certicato.... anzi per assurdo su un certificato puoi non metterci addirittura il nome vero ma uno pseudonimo (è ammesso dalla legge in tutta europa) e l'identità la asserisci solo se chi la richiede ha il diritto di saperlo (sempre nella stessa identica modalità "federata").Quindi non c'è nessun "equivoco" se non nella testa di chi non ha ancora capito che il metodo di autenticazione e la "federabilita" di diversi livelli di profilazione sono 2 cose logicamente separate il problema è che la "federazione" richiederebbe (appunto) un decentramento (altrimenti non è una federazione ma è tante centralizzazioni tra loro scoordinate) delle responsabilità delle cosidette "attribute authorities" in altri termini chi profila cosa?Ad esempio chi se non la mia azienda può dire che ruolo io ho dentro la stessa? (amm. delegato, impiegato al magazzion o, o addetto alla tesoreria)..Questi dati possono si essere raccolti (se si vuole) in un unico "gateway" o in un unico punto "federato" che ha sempre la alternativa tra rivolgersi a sua volta in tempo reale ai servizi (eventuali) delle "attribute authority" o utilizzare le informazioni in cache.Ovviamente il "gate" è responsabile (e le "firma" nel caso OASIS) della integrità delle info che fornisce mentre le attribute authorities sono responsabili della autenticità delle asserzioni dei singoli attributi.E la gestione degli attributi non necessariamente è "on line" le AA possono tranquillamente inviare le asserzioni firmate che possono essere conservate in cache fino a avvenuta revoca.Suona complesso?In realtà non lo è ... in fondo il "modello logico" non è da inventare esiste da tanto tempo si chiama "DNS" (è l'unico sistema federato e distribuito che funzioni realmente... funziona da tanto tempo e funziona in tutto il mondo) il solo problema è (al di la delle technicality) smettere di re-inventare l'acqua calda e spacciarla per "grande innovazione" francamente io mi sono un pochino rotto gli zebedei del metodo "hot water re-inventing" non so tu ma io si.E considerando da quanto tempo mi occupo di queste cose e della loro sicurezza logica credo proprio che se c'è uno che non ha "equivocato" è il sottoscritto.P.S.La federazione non è un sistema di n baronetti (con n grande a piacere) che si fanno i fatti loro (quelli si chiamano diadochi quelli che morto alessando magno si fecero la guerra finche non arrivo il "romanaccio" col centurione "mo-te-rovinus" che li ha menati tutti di brutto...) una federazione è tale perchè esiste una distribuzione coordinata (cioè appunto "federata") delle responsabilità capito?e (lo ripeto per estrema chiarezza) non ha niente (ma proprio niente) a che fare coi metodi di autenticazione ne con quelli di autorizzazione in senso stretto poichè tali metodi sono del tutto indipendenti dalla gestione della ipotetica federazione.Capito? ;)
          • opensipa scrive:
            Re: Molta confusione


            Capito?
            ;)Io non ho capito di cosa tu ti stia lamentando esattamente sullo SPID. Ho capito che hai conoscenze tecniche ma non capisco cosa non ti vada bene. Non lo volevi così? Si doveva fare solo con CNS o CIE o tessera sanitaria? Non dovevano esservi gestori di identità digitale?Cos'è che non ti va bene nel fatto che un cittadino potrebbe accedere nelle stesse modalità con le quali accede alla sua banca, oppure tranquillamente con il suo cellulare senza avere lettori di smart card dietro.E' questo che mi sfugge.Attento che non sostengo che SPID sia perfetto ma di certo è un passo avanti in questa italietta che sempre ogni giorno vedo piena di gente che sa solo lamentarsi perché quel poco che si fa può essere fatto meglio.SPID si colloca all'interno di un progetto più grande che comprende anagrafe nazionale, pagopa, fatturazione elettronica ed altro...Qua si sta cambiando la PA, con tutti i limiti ed i problemi del mondo ma si va avanti.
          • Mariolino con la bici rossa scrive:
            Re: Molta confusione
            - Scritto da: opensipa



            Capito?

            ;)

            Io non ho capito di cosa tu ti stia lamentando
            esattamente sullo SPID. Facile il punto è che sostanzialmente così come è fatto non è ne realmente "eIDAS" ne realmente utile al cittadino hai mica per caso letto la tabella di quali meccanismi (spid 1, 2 e 3) vanno bene (in termini di livello) per fare e autenticare cosa?(rotfl)(rotfl) Ti faccio una domandina facile facile un cittadino che ritiene di avere una cosa che si chiama (per lui) semplicemente "SPID" leggerà mai e capirà mai quella tabella?E capirà mai perchè eventualmente il "suo SPID" (datogli ad esempio da TIM) non è accettato per certe operazioni dal comune di "saltalacapra di sotto"?
            Ho capito che hai
            conoscenze tecniche ma non capisco cosa non ti
            vada bene. Non lo volevi così? Si doveva fare
            solo con CNS o CIE o tessera sanitaria? Non
            dovevano esservi gestori di identità
            digitale?Beh sai se una cosa esiste già e la hai distribuita a piene mani (spendendo soldi nostri) magari pensare di farne un alta non è il massimo!
            Cos'è che non ti va bene nel fatto che un
            cittadino potrebbe accedere nelle stesse modalità
            con le quali accede alla sua banca, oppure
            tranquillamente con il suo cellulare senza avere
            lettori di smart card
            dietro.Il "lettore di smart card" non è mica indispensabile tecnicamente parlando ragionando in astratto si tratta sempre di certificati x.509 e magari migliorare l'aspetto "multicanalità" era una cosa più furba?Cosa ti fa pensare che non sia possibile 1) ospitare una istanza di CNS su mobile in "secure context" ? e 2) cosa ti fa pensare che non esistano i token USB (con microsim) ?Le 2 cose (o anche solo una) sono troppo complicate? è un pensiero che da il mal di testa?
            E' questo che mi sfugge.Pure a me...
            Attento che non sostengo che SPID sia perfetto Niente è perfetto ma le cose possono essere fatte bene o male in questo caso è fatta male!
            ma
            di certo è un passo avanti in questa italiettaNon lo è di fatto è un ulteriore modo per aumentare la confusione e il numero di intermediari (inutili) tra il cittadino e la PA.Io che sono "malizioso" vedo che mentre la rete ha prodotto fenomeni eclatanti di "disintermediazione" questo SPID fa il contrario e il "burosauro" ringrazia più il cittadino è mediato (da terzi) e meno responsabilità ha (è colpa di tizio caio e sempronio) e meno responsabiltà ha il "burosauro" e più lo vedrai timbrare il cartellino in mutande..
            SPID si colloca all'interno di un progetto più
            grande che comprende anagrafe nazionale, pagopa,
            fatturazione elettronica ed
            altro...Come del resto si era detto con CNS firma elettronica ecc... :D
            Qua si sta cambiando la PA, con tutti i limiti ed
            i problemi del mondo ma si va
            avanti.Hai presente il gattopardo...Ogni dieci quindici anni è bene cambiare tutto non c'è modo migliore per non cambiare niente! :D
          • opensipa scrive:
            Re: Molta confusione
            Basta ai rotto, komunista! Il muro è caduto nel 1889, fattene una racione!Renzi ha vinto e tu hai apperso!
          • Sky scrive:
            Re: Molta confusione
            E' possibile, e lo dico a mo di consiglio, uscire da discussioni in cui si è evidentemente stufi (o evidentemente in fallo) anche in modo un filino più signorile, se non proprio ammettendo la fallacità delle proprie convinzioni.
          • Sky scrive:
            Re: Molta confusione
            - Scritto da: Mariolino con la bici rossa
            Non lo è di fatto è un ulteriore modo per
            aumentare la confusione e il numero di
            intermediari (inutili) tra il cittadino e la
            PA.Intermediari che, di certo, non stanno lì gratis: quanto meno, lo stipendio ai propri dipendenti, anche senza pensare ai dirigenti, lo dovranno pagare no? Le loro strutture informatiche (subset/duplicati di quella della PA) hanno un costo.
            Io che sono "malizioso" vedo che mentre la rete
            ha prodotto fenomeni eclatanti di
            "disintermediazione" questo SPID fa il contrario
            e il "burosauro" ringrazia più il cittadino è
            mediato (da terzi) e meno responsabilità ha (è
            colpa di tizio caio e sempronio) e meno
            responsabiltà ha il "burosauro" e più lo vedrai
            timbrare il cartellino in
            mutande..Esattamente.Anche io dico "paghiamo le tasse, facciamoli lavorare" e pretendiamo che il prodotto sia almeno della qualità commisurata alle tasse che paghiamo.Credo che nessuno di noi andrebbe al ristorante, pagando, ed uscendo senza mangiare: come mai con lo Stato facciamo così e ce la facciamo andar bene? Manca forse una coscienza di servizi resi dietro pagamento?
    • rudy scrive:
      Re: Molta confusione
      assolutamente daccordo su molti dei punti di cui parli.oggi per la dichiarazione (annuale!!) di non possesso TV ho preso piu di mezz'ora di ferie (e 5 euro) alle poste..resta pero che un identificativo che ti rappresenta legalmente diventa una cosa preoccupante in caso di furto di identita, in potenza superiore al furto di credenziali bancarie, specie se a questo si aggiunge la possibile mancanza di supporto fisico.cioe' chi garantisce la appropriatezza del livello di sicurezza richiesto da un fornitore di servizi, una volta che ho un SPID?
      • opensipa scrive:
        Re: Molta confusione


        resta pero che un identificativo che ti
        rappresenta legalmente diventa una cosa
        preoccupante in caso di furto di identita, in
        potenza superiore al furto di credenziali
        bancarie, specie se a questo si aggiunge la
        possibile mancanza di supporto
        fisico.Attenzione, l'identità non ti può essere rubata a vita. Se qualcuno ti ruba credenziali e token sarà tuo compito far denuncia e te ne saranno dati di nuovi. Esattamente come avviene adesso se perdi il certificato della firma digitale o le credenziali della tua banca o il bancomat o i documenti ecc ecc: ne fai denuncia e ne chiedi di nuovi.La cosa forse più preoccupante invece sono eventuali bug nell'implementazione, ovviamente bug che dovranno essere scoperti e corretti.Ricordiamoci infine che la maggior parte dei servizi non è che sia particolarmente critica, già adesso abbiamo credenziali composte unicamente da username e passwod per fare cose sensibili come il 730 o l'acXXXXX a paypal ed altro, lo SPID a partire dal livello 2 offre già di più di un sistema composto unicamente da un account.

        cioe' chi garantisce la appropriatezza del
        livello di sicurezza richiesto da un fornitore di
        servizi, una volta che ho un
        SPID?
        • Nome e cognome scrive:
          Re: Molta confusione
          - Scritto da: opensipa



          resta pero che un identificativo che ti

          rappresenta legalmente diventa una cosa

          preoccupante in caso di furto di identita, in

          potenza superiore al furto di credenziali

          bancarie, specie se a questo si aggiunge la

          possibile mancanza di supporto

          fisico.

          Attenzione, l'identità non ti può essere rubata a
          vita. Se qualcuno ti ruba credenziali e token
          sarà tuo compito far denuncia e te ne saranno
          dati di nuovi. Esattamente come avviene adesso se
          perdi il certificato della firma digitale o le
          credenziali della tua banca o il bancomat o i
          documenti ecc ecc: ne fai denuncia e ne chiedi di
          nuovi.Attenzione, se qualcuno ti ruba pin e dispositivo di firma e ci firma un contratto, il contratto e' valido, proprio come se tu avessi firmato un foglio in bianco perche' qualcuno te lo diceva, e poi questo ci avesse scritto sopra il contratto che voleva.Il possesso di un dispositivo di firma configura precise reponsabilita' legali, e l'onere di provare la perdita, l'abuso da parte di terzi, il dolo di che ne ha abusato e chiedere il risarcimento e' tutto tuo.Non so se hai idea cosa questo voglia dire in pratica.....
          • opensipa scrive:
            Re: Molta confusione

            Attenzione, se qualcuno ti ruba pin e dispositivo
            di firma e ci firma un contratto, il contratto e'
            valido, proprio come se tu avessi firmato un
            foglio in bianco perche' qualcuno te lo diceva, e
            poi questo ci avesse scritto sopra il contratto
            che
            voleva.
            No, il contratto è valido se nessuno presenta denuncia, se tu presenti denuncia tuttoquello firmato dopo non è valido e quello firmato prima è impugnabile.
            Il possesso di un dispositivo di firma configura
            precise reponsabilita' legali, e l'onere di
            provare la perdita, l'abuso da parte di terzi, il
            dolo di che ne ha abusato e chiedere il
            risarcimento e' tutto
            tuo.
            Non so se hai idea cosa questo voglia dire in
            pratica.....Si, in pratica vuol dire che se hai paura di questo puoi andare a fare la fila in comune, io mi prendo il rischio di tenere un token (che magari già uso per altro) in casa con pin o password in un posto diverso.
          • Nome e cognome scrive:
            Re: Molta confusione
            - Scritto da: opensipa

            Attenzione, se qualcuno ti ruba pin e
            dispositivo

            di firma e ci firma un contratto, il
            contratto
            e'

            valido, proprio come se tu avessi firmato un

            foglio in bianco perche' qualcuno te lo
            diceva,
            e

            poi questo ci avesse scritto sopra il
            contratto

            che

            voleva.



            No, il contratto è valido se nessuno presenta
            denuncia, se tu presenti denuncia tuttoquello
            firmato dopo non è valido e quello firmato prima
            è impugnabile.Se tu presenti denuncia (cioe' se revochi il certificato) un contratto firmato dopo la sottrazione e prima che revochi (perche' te ne sei accorto) e' valido come se sosse firmato col tuo sangue.Si puo' tentare di impugnare qualsiasi cosa, ma se lo fai con un contratto firmato a tua insaputa mentre il certificato era ancora valido ...... auguri!
      • opensipa scrive:
        Re: Molta confusione

        cioe' chi garantisce la appropriatezza del
        livello di sicurezza richiesto da un fornitore di
        servizi, una volta che ho un
        SPID?L'accreditamento verifica questo: http://www.agid.gov.it/sites/default/files/circolari/spid-regolamento_accreditamento_gestori_spid_v9.pdfAd esempio devi avere personale qualificato, certificazione iso/iec 27001 ed i famosi 5 milioni di euro di capitale sociale
        • rudy scrive:
          Re: Molta confusione
          Mi riferivo al fornitore di servizi che richiede una autenticazione SPID (e che una volta che ho uno SPID qualcuno puo accedervi rubandomi l'identita), non a chi fornisce l'autenticazione. Se faccio un account paypal so che cosa metto in ballo usando il suo sistema di autenticazione, e magari ci metto una prepagata. Che succederebbe se la mia banca potesse decidere successivamente LEI di usare le credenziali del mio account paypal per accedere pienamente al mio conto corrente? Spero di averti chiarito il problema.In sostanza una volta che ho uno SPID non posso controllare chi decida di usarlo (come autenticazione ai suoi servizi) e come. chiaro che posso a posteriori contestare qualsiasi cosa, contratto ecc, e se non ho SPID chiaramente sono al sicuro da questo (e che code!!)..
    • Lorenzo scrive:
      Re: Molta confusione
      Io direi che lo spid e' forse sara' utile ma e' alla lunga potenzialmente dannoso , perche' sara' la scusa per non fare mai un' anagrafe unica digitale efficiente che si e' compito dello stato fare ( e tenere sotto controllo ed in sicurezza ) ed e' grave che non lo abbia fatto ;poi abbiamo tutti il codice fiscale / tessera sanitaria , alcuni di noi ce lo hanno anche con un generatore NFC / OTP ( ma non lo sanno ) , perche' non memorizzarci dentro una chiave privata ed usarlo per la firma di documenti digitali ed il riconoscimento dell'identita' digitale ? Quanto al limite del capitale sociale be' e' il ridicolo nel paese dove si appalta si subappalta si subappalta si subappalta ecc ecc ricorsivamente finche' il lavoro lo fa chissa' chi e chissa' come , sarebbe stato piu' utile imporre di avere tot unita' di personale formato in una certa maniera e con tot esperienza il tutto certificabile .
      • opensipa scrive:
        Re: Molta confusione
        - Scritto da: Lorenzo
        Io direi che lo spid e' forse sara' utile ma e'
        alla lunga potenzialmente dannoso , perche' sara'
        la scusa per non fare mai un' anagrafe unica
        digitale efficiente che si e' compito dello stato
        fare ( e tenere sotto controllo ed in sicurezza )
        ed e' grave che non lo abbia fatto
        ;No, veramente l'anagrafe unica si sta già facendo ed è partita la sperimentazione: http://www.agid.gov.it/agenda-digitale/pubblica-amministrazione/anagrafe-nazionale-anprNon confondiamo l'identità dall'identità digitale, cioè qualcuno che certifichi in qualche modo chi sei tu in rete.
        poi abbiamo tutti il codice fiscale / tessera
        sanitaria , alcuni di noi ce lo hanno anche con
        un generatore NFC / OTP ( ma non lo sanno ) ,
        perche' non memorizzarci dentro una chiave
        privata ed usarlo per la firma di documenti
        digitali ed il riconoscimento dell'identita'
        digitale ?Ma infatti chi ha già alcune di queste cose valgono come SPID, ad esempio la CNS (carta nazionale dei servizi) è uno SPID di livello 3 (o meglio, sarebbe). Quello che qualcuno deve fare è legare l'identità digitale a quel dispositivo. Qua alcuni chiarimenti: http://www.agendadigitale.eu/identita-digitale/1308_identita-digitale-tutti-i-dubbi-chiariti.htm

        Quanto al limite del capitale sociale be' e' il
        ridicolo nel paese dove si appalta si subappalta
        si subappalta si subappalta ecc ecc
        ricorsivamente finche' il lavoro lo fa chissa'
        chi e chissa' come , sarebbe stato piu' utile
        imporre di avere tot unita' di personale formato
        in una certa maniera e con tot esperienza il
        tutto certificabile
        .Infatti è richiesto anche quello che dici. Riguardo il subapplato poi alla fine a pagare è chi ha ottenuto l'accreditamento.
        • Lorenzo scrive:
          Re: Molta confusione
          Non le confondo dico solo che e' assurdo trattarle come due cose diverse quando l'identita' digitale puo' essere ( anzi deve essere ) esattamente quella "fisica" collegandole presso l'anagrafe ( digitale unica e fatta bene ) non presso un terzo , tanto piu' che aggiungere un tabella in un db con la tua chiave univoca ( del db ) e la tua chiave pubblica asimettrica non e' la fine del mondo in termini di complessita' e risorse , anche fornire questa chiave per l'autenticazione non e' cosi' complicato od esoso , mettere la chiave privata nella carta d'identita' digitale poi e' banale ... quindi come si giustifica lo spid ?
          • opensipa scrive:
            Re: Molta confusione
            - Scritto da: Lorenzo
            Non le confondo dico solo che e' assurdo
            trattarle come due cose diverse quando
            l'identita' digitale puo' essere ( anzi deve
            essere ) esattamente quella "fisica" collegandole
            presso l'anagrafe ( digitale unica e fatta bene )
            non presso un terzo , tanto piu' che aggiungere
            un tabella in un db con la tua chiave univoca (
            del db ) e la tua chiave pubblica asimettrica non
            e' la fine del mondo in termini di complessita' e
            risorse , anche fornire questa chiave per
            l'autenticazione non e' cosi' complicato od esoso
            , mettere la chiave privata nella carta
            d'identita' digitale poi e' banale ...

            quindi come si giustifica lo spid ?Basta ai rotto oure tu, komunista! Il muro è caduto nel 1889, fattene una racione!Renzi ha raggione e tu sei scemo!
        • Lorenzo scrive:
          Re: Molta confusione
          Pagare ? In italia non paga mai nessuno ... meglio che non faccio esempi ... Se intendevi paga il lavoro ... finora sono spesso uscite fuori situazioni in cui il lavoro finale e' stato pagato un tozzo di pane ed il risultato era commisurato mentre il committente ha pagato il lavoro a prezzo pieno e ricevuto aria fritta ( come i famosi servizi nuovi che regolarmente partono , vanno in crash appena ci sono due tre utenti e vengono "potenziati" con secondo appalto )o i servizi erogati tramite software versione 2016 che richiedono java di 10 anni fa ... ecc ecc ...
    • MementoMori scrive:
      Re: Molta confusione

      Cerchiamo di fare un po' di chiarezza.Si infatti. Ne hai bisogno.
      Avete presente quando fate un pagamento con carta
      di credito o paypal?
      Lo SPID farà più o meno la stessa cosa dove ci
      appoggeremo per l'autenticazione ad un "gestore
      delle identità digitali".Si. Questo è a grandi linee il suo funzionamento.
      Perché è importate
      avere un gestore delle IDENTITA'?la parte importante della tua frase è 'un' inteso come 'uno solo' e non 'identità'
      Lo Stato italiano NON è in grado di garantire
      l'identità digitale dei cittadini,cheeeee???
      non è il suo lavorocooosaaaa??? Ma dimmi un po... chi ti ha rilasciato la tua carta di identità? il comune o un'azienda privata? Il sindaco (o un suo delegato) con suo timbro e sua firma o un pinco pallino qualunque? È il sindaco (di un qualunque comune italiano) che attesta che tu sei tu.(Anche altre poche istituzioni pubbliche ma il concetto è lo stesso)
      allora ha chiesto aiuto a delle aziende
      che ad oggi già lo fanno per un motivo o per
      l'altro in maniera più o meno forte (e da qua i 3
      livelli di SPID).Ho risposto al tuo commento solo per questa frase. Sto ancora ridendo...Nessuna azienda privata ha l'autorità di identificazione personale. punto.Poi se vivi a Paperopoli magari li è diverso...
      Facciamo degli esempi per capirci:eddai... facciamoli!
      chi secondo voi ha una vaga idea di chi
      siate quando vi autenticate ad uno dei loro
      servizi? caso tipico, le compagnie telefoniche
      che vi chiedono un documento di identità quando
      volete un numero telefonico.Appunto. Si usando un documento che un sindaco ha rilasciato dove c'è scritto (attraverso la foto timbrata si vede) che tu sei tu.
      Insomma, per essere ancora più chiarieddai... sìilo...
      serve
      qualcuno che si frapponga tra voi e Stato
      italiano che vi conosca e garantisca la vostra
      identità!ti giuro... ho le lacrime... ma almeno le scuole dell'obbligo... dico... ma non ci posso credere....
      Il conetto è chiaro e semplice. Se
      andate nella pagina con prova dell SPID forse vi
      sarà ancora più chiaro
      (http://www.spid.gov.it/).tò... .gov.it che caso....
      E' ovvio che ci sono livelli diversi di
      sicurezza: farsi assegnare un numero telefonico
      con carta di identità falsa nel negozio di
      telefonia è una cosa fattibileovvio... non hanno i mezzi per identificarti... si fidano... se il documento è falso (e ti pizzicano) sono solo problemi tuoi.
      fare la stessa
      cosa in un ufficio infocamere per una certificato
      di firma è un attimo più complesso,perchè? cosa hanno in più come tecnologia?
      farlo in
      banca MOLTO più complesso.Si. Confrontano il tuo DNA con una base dati mondiale dove tutti siamo registrati alla nascita e con una foto che invecchia da sola grazie all'intelligenza artificiale. Anzi no scusa... hanno il dna... sanno come invecchierai...
      Quindi in base a cosa
      dovete accedere è ovvio che serviranno maggiori
      garanzie del vostro spid.Questa nel mio cervello da un 'syntax error'. No ablo tuo idioma...
      Veniamo al discorso degli enti accreditanti che
      hanno bisogno di 5 milioni di euro.eddai... veniamoci...
      Adesso ognuno
      ragioni in coscienza, ma secondo voi possiamo
      dare in mano al provider di periferia le nostre
      identità digitali?Ovviamente no.
      Il capitale dei 5 milioni
      viene richiesto a garanzia delle vostre capacità
      di proteggere i dati e garantire un servizio, non
      è un modo di dare acXXXXX agli "amici", chi la
      vede in questo modo, scusatemi, è uno un attimo
      malato di paranoia e vede complotti e malaffare
      ovunque.Disse chi non sa chi gli rilascia i documenti di identità. Ma è ovvio... se lo stato avesse 5 milioni a garanzia di qualcosa se lo farebbe da solo... ma visto lo Stato in deficit e il pil è basso meglio darlo a chi 5 milioni a garanzia ce li ha... Non è mica un modo per far accedere solo i soliti. No. È un modo di tutelare noi.
      Stiamo parlando di identità digitali, seNo. Stiamo parlando di indentità. Punto. Poi se sei schizofrenico e a tua personalità dai un documento cartaceo e ad un'altra dai un documento digitale è un problema tuo. Io, personalmente, ho una sola identità. Posso dimostrare agli altri chi sono con la carta o con i bit. Ma dimostro sempre la stessa cosa. Tu che fai? Dopo aver letto un libro lo ricompri digitale per vedere se è diverso??
      voi volete affidare la vostra autenticazione alla
      start-up o al provider sotto casa vostra fate
      pure, appena vi fregano gli accessi o inibiscono
      i servizi mi raccomando a non fare la class
      action chiedendo molto di rimborso però, non so
      se rendo l'idea.No. sempre syntax error, mi spiace...
      Aziende che possono accreditarsi
      e che superano i 5 milioni di euro di fatturato
      ce ne sono a centinaia in Italia,eee! Mio Cuggino ne ha due!!
      non solo Poste
      o Telecom come pensano i malfidenti, ci sono i
      tre principali operatori di telefonia mobile, le
      banche e altre aziende come
      infocamere.Le banche. Specialmente le banche.
      Ultimo punto: eddai... ci siamo!
      lo SPID è insicuro. Si, lo SPID non
      sarà perfetto probabilmente, saranno possibili
      attacchi e truffe. La domanda però da farsi è:
      con il cartaceo o altri sistemi non sono
      possibili attacchi e truffe?Dipende dalla cultura personale e dal grado di consapevolezza che ognuno ha. Secondo me tu sei un truffato abituale.
      Davanti alla volontà
      di avere servizi accessibili da casa in maniera
      comoda e veloce, ci si pone il problema che
      qualche manigolda forse potrà attaccare il
      sistema?Com'era? Chi scambia la libertà per la sicurezza non merita etc. etc.
      sistema che ricordiamo è spezzettato,
      cioè si potrà attaccare una banca o infocert o un
      sito di una PA, non è che attacchi tutto il
      sistema in generale.Ah ok. Allora va bene.
      In ogni caso, davanti a
      queste paure preferite rimanere al fatto di dover
      prendere la macchina, andare in centro,
      posteggiare (magari pagando), andare in comune o
      in ente, ritirare il numero e/o mettersi in coda,
      aspettare, parlare, ritirare documento se va bene
      (molte cose prevedono una richiesta oggi e
      venirlo a ritirare dopo qualche giorno).Ho avuto tempo di rispondere alla tua profonda pensata... Secondo me un po di tempo lo trovo anche per fare delle cose serie.
      Io preferisco lo SPID, anche pagando, voi fate come credete.Grazie per la libertà che ci lasci.
      Per la cronaca: nei sistemi informativi
      attaccabili ci sono i miei quanto i vostri dati,
      non è che adesso nei gestionali verranno caricati
      solo i dati di chi ha lo SPID, si tratta solo di
      un nuovo metodo di acXXXXX ai servii ma gli enti
      attaccabili già ci sono.Quindi? Corriamo impazziti in preda al panico o aspettiamo un tuo segnale e poi scateniamo l'inferno?
      Buona giornata a tuttiAnche a te caro
      • opensipa scrive:
        Re: Molta confusione


        non è il suo lavoro
        cooosaaaa??? Ma dimmi un po... chi ti ha
        rilasciato la tua carta di identità? il comune o
        un'azienda privata? Il sindaco (o un suo
        delegato) con suo timbro e sua firma o un pinco
        pallino qualunque? È il sindaco (di un qualunque
        comune italiano) che attesta che tu sei
        tu.E questa secondo te sarebbe l'identità digitale? La carta di identità (elettronica o cartacea) sarebbe identità digitale? E dire che non ci volevo molto a capire di cosa stiamo parlando: https://it.wikipedia.org/wiki/Identit%C3%A0_digitaleSecondo te lo Stato rilascia identità digitali? Credenziali? sistemi di autenticazione?
        Ho risposto al tuo commento solo per questa
        frase. Sto ancora
        ridendo...
        Nessuna azienda privata ha l'autorità di
        identificazione personale.
        punto.
        Poi se vivi a Paperopoli magari li è diverso...
        Mentre continui a ridere, se riesci, prova a vedere dove ho scritto che aziende private identificano le persone. Io ho parlato di gestione delle identità digitali. E si, lo Stao ha chiesto "aiuto": http://www.agid.gov.it/notizie/2015/12/19/spid-accreditati-i-primi-gestori-identita-digitale
        ti giuro... ho le lacrime... ma almeno le scuole
        dell'obbligo... dico... ma non ci posso
        credere....
        Ridi ridi, io purtroppo rimango molto serio nel vedere che non hai capito molto di cosa è lo SPID e di cosa è una identità digitale.


        fare la stessa

        cosa in un ufficio infocamere per una
        certificato

        di firma è un attimo più complesso,
        perchè? cosa hanno in più come tecnologia?
        Sono più attenti in quanto rilasciano certificati di firma digitale, non SIM per il telefono.
        Si. Confrontano il tuo DNA con una base dati
        mondiale dove tutti siamo registrati alla nascita
        e con una foto che invecchia da sola grazie
        all'intelligenza artificiale. Anzi no scusa...
        hanno il dna... sanno come
        invecchierai...Va be', è facile come al negozio di telefonini sotto casa tua. Prendiamola per buona.
        Questa nel mio cervello da un 'syntax error'. No
        ablo tuo
        idioma...E si era capito.
        Disse chi non sa chi gli rilascia i documenti di
        identità. Ma è ovvio... se lo stato avesse 5
        milioni a garanzia di qualcosa se lo farebbe da
        solo... ma visto lo Stato in deficit e il pil è
        basso meglio darlo a chi 5 milioni a garanzia ce
        li ha... Non è mica un modo per far accedere solo
        i soliti. No. È un modo di tutelare
        noi.Quanta confusione. Ancora con questi documenti di identità.... ancora non hai capito vero?
        No. Stiamo parlando di indentità. Punto. No. Stiamo parlando di identità digitali. Se tu che sei convinto del contrario. A proposito, per la cronaca, SPID vuol dire "sistema pubblico di identità digitale", il punto lo hai messo un attmo prima quindi è chiaro che perdi il filoPoi se
        sei schizofrenico e a tua personalità dai un
        documento cartaceo e ad un'altra dai un documento
        digitale è un problema tuo.??? Documento digitale ??? Scusa, chi ha mai aprlato di documento digitale? mamma che figura che stai facendo.


        voi volete affidare la vostra autenticazione


        non solo Poste

        o Telecom come pensano i malfidenti, ci sono i

        tre principali operatori di telefonia mobile, le

        banche e altre aziende come

        infocamere.
        Le banche. Specialmente le banche.
        Loro sarebbero avvantaggiate si perché hanno già sistemi di autenticazione abbastanza sicuri con controlli regolari. Le poste faccio presente che sono anche una banca infatti. Le banche erano tra i principali soggetti interessati e coinvolti infatti: http://www.agid.gov.it/notizie/2014/06/10/parte-il-progetto-il-sistema-pubblico-identita-digitale
        Com'era? Chi scambia la libertà per la sicurezza
        non merita etc.
        etc.In cosa saresti meno libero?Rinnovo il mio invito a trascorrere una buona giornata, magari fai una coda in meno e studia cosa è lo spid prima di rispondere a qualcuno la prossima volta.
      • pippuz scrive:
        Re: Molta confusione


        farlo in

        banca MOLTO più complesso.
        Si. Confrontano il tuo DNA con una base dati
        mondiale dove tutti siamo registrati alla nascita
        e con una foto che invecchia da sola grazie
        all'intelligenza artificiale. Anzi no scusa...
        hanno il dna... sanno come
        invecchierai...Banalmente una banca verifica se il documento che tu hai presentato è inserito in quelli rubati e/o smarriti e denunciati oltre ad altre verifiche; ciò lo rende decisamente più difficile
    • mah boh scrive:
      Re: Molta confusione
      - Scritto da: opensipa
      Avete presente quando fate un pagamento con carta
      di credito o paypal? A parte certe grande
      aziende, quello che fanno tutti è che siamo in
      una pagina web, visualizziamo l'importo (il
      carrello ecc), veniamo trasferiti in un'altra
      pagina (tipo banca sella o paypal), paghiamo,
      ritorniamo alla pagina dove abbiamo fatto il
      pagamento.
      Lo SPID farà più o meno la stessa cosa dove ci
      appoggeremo per l'autenticazione ad un "gestore
      delle identità digitali". Perché è importate
      avere un gestore delle IDENTITA'? Perché qua non
      si tratta di fare un acquisto on-line dove non
      importa veramente chi sta facendo l'acquisto o
      chi sta pagando, qua è importante sapere CHI si
      sta autenticando perché è ovvio che in ballo ci
      sono questioni di autorizzazione di acXXXXX a
      dati, chiamiamola privacy se vogliamo.In ballo c'è molto di più... Domande, dichiarazioni, attestazioni, contratti, voto ecc.
      Lo Stato italiano NON è in grado di garantire
      l'identità digitale dei cittadini, non è il suo
      lavoro, con ca...o! L'anagrafe (con tutto quello che ne "deriva": carta identità, residenza, liste elettorali ecc.) *è* ESATTAMENTE il suo lavoro!!!
      allora ha chiesto aiuto a delle aziende
      che ad oggi già lo fanno per un motivo o per
      l'altro in maniera più o meno forte (e da qua i 3
      livelli di SPID). Ma per favore!C'è già la CNS (che in genere coincide con la tessera sanitaria), che fornisce una sicurezza (hardware) migliore e che è tutta nelle tue mani, che già esiste ed è pure abbastanza diffusa...SPID non serve a *NULLA* se non a fare propaganda politica da un lato e a buttare (per non dire altro) soldi dall'altro...
      Facciamo degli esempi per
      capirci: chi secondo voi ha una vaga idea di chi
      siate quando vi autenticate ad uno dei loro
      servizi? caso tipico, le compagnie telefoniche
      che vi chiedono un documento di identità quando
      volete un numero telefonico. Oppure, caso più
      evidente, la banca nella quale avete i vostri
      soldini, non sa forse bene chi siete e non è
      forse abbastanza sicura che siate voi quelli che
      accedete all'home banking e che voi stessi
      proteggete adeguatamente quelle credenziali?
      Insomma, per essere ancora più chiari, serve
      qualcuno che si frapponga tra voi e Stato
      italiano che vi conosca e garantisca la vostra
      identità! Il conetto è chiaro e semplice. Esempi che non ci azzeccano per nulla: lo stato NON è e non deve essere una compagnia telefonica o una banca...E deve essere lo stato a garantire direttamente per l'identità dei cittadini, non un privato (che ha altri e diversdissimi scopi e finalità...)Inoltre, ripeto, ci sono già sistemi (molto migliori e più sicuri) di identificazione digitale (la CNS, come già detto prima).
      Veniamo al discorso degli enti accreditanti che
      hanno bisogno di 5 milioni di euro. Adesso ognuno
      ragioni in coscienza, ma secondo voi possiamo
      dare in mano al provider di periferia le nostre
      identità digitali? Il fatto è che in realtà NON servirebbe alcun intermediario.Basterebbe usare la CNS (magari migliorando la norma italiana che ha aggiunto a quella europea la XXXXXXX furi standard che permettono ai vari produttori di avere ciascuno il suo driver diverso): - il cittadino si genera da solo (eventualmente con un suo consulente tecnico) un certificato idoneo secondo le specifiche di legge e lo "carica" sulla CNS (cosa semplicissima)- poi va all'anagrafe (dello stato!!!) con la sua carta di identità e il suo bel certificato pubblico e l'anagrafe li associa e memorizza il tutto- fine del discorso
      Il capitale dei 5 milioni
      viene richiesto a garanzia delle vostre capacità
      di proteggere i dati e garantire un servizio, non
      è un modo di dare acXXXXX agli "amici", no certo, non l'acXXXXX... intendi che è un modo di dare soldi?probabile
      vede in questo modo, scusatemi, è uno un attimo
      malato di paranoia e vede complotti e malaffare
      ovunque. semmai chi non li vede (i fatti sono sotto gli occhi di tutti) ha qualche serio problema di vista...se vuoi ti consiglio un buon oculista
      Stiamo parlando di identità digitali, se
      voi volete affidare la vostra autenticazione alla
      start-up o al provider sotto casa vostra fate
      pure, no no... io PRETENDO che sia lo stato a farlo direttamente
      appena vi fregano gli accessi o inibiscono
      i servizi mi raccomando a non fare la class
      action chiedendo molto di rimborso però, non so
      se rendo l'idea. Aziende che possono accreditarsi
      e che superano i 5 milioni di euro di fatturato
      ce ne sono a centinaia in Italia, non solo Poste
      o Telecom come pensano i malfidenti,
      ci sono i
      tre principali operatori di telefonia mobile, le
      banche e altre aziende come infocamere.ah proprio dei begli esempi di aziende che eccellono in sicurezza...e ci sono pure un sacco di multinazionali... tutti soggetti a cui interesano solo potere e profitti, che se ne strafottono della privacy delle persone (e che anzi, spesso fanno di tutto per violarla e per aggirare le norme) e della sicurezza...a te davvero sembra una buona idea affidare la tua identità a gente come telecom, microsoft, apple ecc. ecc. ???
      Ultimo punto: lo SPID è insicuro. Si, lo SPID non
      sarà perfetto probabilmente, saranno possibili
      attacchi e truffe. si ma qui non ti stanno portando via 10 eruro da una prepagata... qui si tratta di "rubare" la tua identità che tutto quello che ne consegue... ma hai idea????
      La domanda però da farsi è:
      con il cartaceo o altri sistemi non sono
      possibili attacchi e truffe? molto molto molto molto molto molto molto molto molto molto molto molto molto molto molto molto molto meno
      Davanti alla volontà
      di avere servizi accessibili da casa in maniera
      comoda e veloce, ci si pone il problema che
      qualche manigolda forse potrà attaccare il
      sistema? sistema che ricordiamo è spezzettato,
      cioè si potrà attaccare una banca o infocert o un
      sito di una PA, non è che attacchi tutto il
      sistema in generale. è proprio il contrario: "sfondando" la tua identità SPID faccio TUTTO proprio perchè non è spezzettata...
      In ogni caso, davanti a
      queste paure preferite rimanere al fatto di dover
      prendere la macchina, andare in centro,
      posteggiare (magari pagando), andare in comune o
      in ente, ritirare il numero e/o mettersi in coda,
      aspettare, parlare, ritirare documento se va bene
      (molte cose prevedono una richiesta oggi e
      venirlo a ritirare dopo qualche giorno). Ma di cosa parli???Basterebbe la CNS, un lettore e un dispositivo a cui collegarlo.
      Io preferisco lo SPID, anche pagando, voi fate come
      credete.tranquillo... mi tengo la CNSlo SPID (come dice anche cassandra) "Neanche gratis."
      • opensipa scrive:
        Re: Molta confusione

        con ca...o!
        L'anagrafe (con tutto quello che ne "deriva":
        carta identità, residenza, liste elettorali ecc.)
        *è* ESATTAMENTE il suo
        lavoro!!!
        Niente, questa cosa non entra in testa...

        C'è già la CNS (che in genere coincide con la
        tessera sanitaria), che fornisce una sicurezza
        (hardware) migliore e che è tutta nelle tue mani,
        che già esiste ed è pure abbastanza
        diffusa...CNS non va in contrasto con SPID

        Esempi che non ci azzeccano per nulla: lo stato
        NON è e non deve essere una compagnia telefonica
        o una
        banca...
        E' quello che sto dicendo, ma sopra hai appena detto il contrario.
        E deve essere lo stato a garantire direttamente
        per l'identità dei cittadini, non un privato (che
        ha altri e diversdissimi scopi e
        finalità...)Il privato gestisce la tua identità digitale!!! Non è un pubblico ufficiale che rilascia carte di identità, fa solo da gestore della tua autenticazione

        Inoltre, ripeto, ci sono già sistemi (molto
        migliori e più sicuri) di identificazione
        digitale (la CNS, come già detto
        prima).
        lo SPID non nasce per dare maggiore o minore sicurezza, serve per dare più possibilità a tutti.

        - il cittadino si genera da solo (eventualmente
        con un suo consulente tecnico) un certificato
        idoneo secondo le specifiche di legge e lo
        "carica" sulla CNS (cosa
        semplicissima)
        - poi va all'anagrafe (dello stato!!!) con la sua
        carta di identità e il suo bel certificato
        pubblico e l'anagrafe li associa e memorizza il
        tutto
        - fine del discorso
        Scusa? Fai conservare la chiave privata al cittadino? a posto
        no no... io PRETENDO che sia lo stato a farlo
        direttamenteCentralizzare tutto?

        ah proprio dei begli esempi di aziende che
        eccellono in
        sicurezza...Chi eccelle in sicurezza? Hacking-team?
        a te davvero sembra una buona idea affidare la
        tua identità a gente come telecom, microsoft,
        apple ecc. ecc.
        ???Non affido la mia identità, affido la gestione della mia identità digitale.
        si ma qui non ti stanno portando via 10 eruro da
        una prepagata... qui si tratta di "rubare" la tua
        identità che tutto quello che ne consegue... ma
        hai
        idea????Alla peggio non ti portano via la tua identità ma ti bucano il sistema per gestirla. Ti rubano l'identità finché non te ne accorgi. Per questo sono richiesti meccanismi di autenticazione a più fattori, perché fregarti una cosa potrebbe essere semplice, fregartene due un po' meno.
        è proprio il contrario: "sfondando" la tua
        identità SPID faccio TUTTO proprio perchè non è
        spezzettata...Tutto cosa?
  • Mario scrive:
    proposte
    dunque Spid1 non va bene, Spid2 non va bene, Spid3 non va bene, qualche proposta?
    • PandaR1 scrive:
      Re: proposte
      - Scritto da: Mario
      dunque Spid1 non va bene, Spid2 non va bene,
      Spid3 non va bene, qualche
      proposta?Spid4
      • Mario scrive:
        Re: proposte
        - Scritto da: PandaR1
        - Scritto da: Mario

        dunque Spid1 non va bene, Spid2 non va bene,

        Spid3 non va bene, qualche

        proposta?

        Spid4perfetto, ma lo immaginavo già
        • Mariolino scrive:
          Re: proposte
          - Scritto da: Mario
          - Scritto da: PandaR1

          - Scritto da: Mario


          dunque Spid1 non va bene, Spid2 non va
          bene,


          Spid3 non va bene, qualche


          proposta?



          Spid4
          perfetto, ma lo immaginavo giàDunque ai fini della legge (non perchè lo dico io) la CNS è (da sola) sufficiente."La Carta Nazionale dei Servizi (CNS) è uno strumento di identificazione in rete che consente la fruizione dei servizi delle amministrazioni pubbliche. La CNS non contiene la foto del titolare e non richiede particolari requisiti di sicurezza per il supporto plastico. La completa corrispondenza informatica tra CNS e CIE (Carta d'Identità Elettronica) assicura linteroperabilità tra le due carte. Per ulteriori approfondimenti, si veda il decreto 9 dicembre 2004 e la sezione delle specifiche tecniche".Morale lo SPID è una complicazione di cio che esisteva già in altri termini nel bel paese si spaccia per "innovazione" la complicazione del semplice attraverso l'inutile.Se esistesse un "bizantine-prize" o un "bizantine-award" (bisogna dirlo in inglese altrimenti non è innovativo)...Noi lo vinceremmo sicuro.Anzi lo vincerebbero (i nostri Pollitici... n.b. "pollitica = scienza dell'allevamento del pollame") noi come al solito lo finanziamo.:'(:'(
          • opensipa scrive:
            Re: proposte

            Morale lo SPID è una complicazione di cio che
            esisteva già in altri termini nel bel paese si
            spaccia per "innovazione" la complicazione del
            semplice attraverso
            l'inutile.
            Se esistesse un "bizantine-prize" o un
            "bizantine-award" (bisogna dirlo in inglese
            altrimenti non è
            innovativo)...
            Noi lo vinceremmo sicuro.No, lo spiegano bene in questo articolo: http://www.agendadigitale.eu/identita-digitale/1232_identita-digitale-il-ruolo-della-carta-nazionale-dei-servizi.htmlo spid non esclude la CNS, lo SPID allarga le possibilità e fa gestire le identità digitali ad altri, magari il cittadino può usare il suo abituale sistema e non deve rompersi le scatole ad avere uno ulteriore. Ad esempio con il mio home banking non ho bisogno di nulla se non del mio cellulare. Lo SPID è uno strato che è stato posto per raggiungere più persone possibili, l'alternativa era dire alla gente "dotatevi tutti della CNS", in un Paese dove la gente non vuole neppure farsi la PEC non credo sarebbe stato un gran sucXXXXX.
          • Mariolino con la bici rossa scrive:
            Re: proposte
            - Scritto da: opensipa

            Morale lo SPID è una complicazione di cio che

            esisteva già in altri termini nel bel paese
            si

            spaccia per "innovazione" la complicazione
            del

            semplice attraverso

            l'inutile.

            Se esistesse un "bizantine-prize" o un

            "bizantine-award" (bisogna dirlo in inglese

            altrimenti non è

            innovativo)...

            Noi lo vinceremmo sicuro.

            No, lo spiegano bene in questo articolo:
            http://www.agendadigitale.eu/identita-digitale/123

            lo spid non esclude la CNS, lo SPID allarga le
            possibilità e fa gestire le identità digitali ad
            altri, magari il cittadino può usare il suo
            abituale sistema e non deve rompersi le scatole
            ad avere uno ulteriore. Ad esempio con il mio
            home banking non ho bisogno di nulla se non del
            mio cellulare. Lo SPID è uno strato che è stato
            posto per raggiungere più persone possibili,
            l'alternativa era dire alla gente "dotatevi tutti
            della CNS", in un Paese dove la gente non vuole
            neppure farsi la PEC non credo sarebbe stato un
            gran
            sucXXXXX.Guarda che "siamo in un paese" dove se non hai la CNS (aka tessera sanitaria) non esisti per il servizio sanitario nazionale e sempre in "questo paese" è così "complicato" usarla che se devi comprare le sigarette al distributore automatico (e non ho detto automagico :D ) usi sempre quella (e ce la hanno tutti) N.B. persino il nonno la ha usata quando era restato provvisoriamente senza "toscanelli"...Che te devo di' fijo mio....Adesso (da bravo) apri il portafogli e scopri che tra tutto il plasticume (bancomat carte di credito banca a banca b banca c.... ) hai pure la "tessera sanitaria"... e è un bene che tu ce la abbia dato che è la tua "assicurazione sanitaria"...Questo come primo punto...come secondo punto...invece...Non esiste (ripeto <b
            NON </b
            ) alcuna authority che non sia una istituzione pubblica che possa fare "asserzioni autoritative" sulla identità degli individui in Italia....È uno dei pochi "mestieri" pubblici che le istituzioni fanno (e lo sanno pure fare) da sempre dopo di che possiamo pure discutere di metodi "tecnici" di autenticazione e autorizzazione (certo ce ne sono molti) ma il problema è la loro diffusione e la loro circolarità e dal punto di vista diffusione... beh... oltre al tuo portafogli controlla pure quello di tua nonna scommettiamo che ce la trovi la tessera sanitaria? :D Dopo di che puoi sostenere (magari anche riuscendoci) che tua nonna non sa fare a gestire le transazioni "on line"... ma... questo non è "colpa della CNS" e assai probabilmente non lo sa fare a prescindere dal metodo di autenticazione... che forse non sa neppure cosa sia (il suddetto metodo)...Ok? ;)
    • mah boh scrive:
      Re: proposte
      - Scritto da: Mario
      dunque Spid1 non va bene, Spid2 non va bene,
      Spid3 non va bene, qualche proposta?tipo usare la cns (che in genere coincide con la tessera sanitaria), che fornisce una sicurezza hardware che è tutta nelle tue mani, che già esiste ed è pure abbastanza diffusa??????spid non serve a *NULLA* se non a fare propaganda politica da un lato (i bimbiminkia in politica fanno solo danni) e a buttare (per non dire altro) soldi dall'altro...
  • Pollivendol o scrive:
    CHIP
    Il chip sottopelle dalla nascita
    • Nome e cognome scrive:
      Re: CHIP
      Niente SPID-1, SPID-2 solo con token hardware, obbligo di permettere l'autenticazione SPID-3 anche quando si richiede solo lo SPID-2.Ti piace?
      • Mario scrive:
        Re: CHIP
        - Scritto da: Nome e cognome
        Niente SPID-1, SPID-2 solo con token hardware,
        obbligo di permettere l'autenticazione SPID-3
        anche quando si richiede solo lo
        SPID-2.

        Ti piace?hai lasciato a casa il token non era previsto che oggi ti sarebbe servito
        • Nome e cognome scrive:
          Re: CHIP
          Come se lasci a casa la smartcard della firma elettronica o la tessera sanitaria od il telefonino per ricevere lo SMS.Torni indietro sacrementando, lo prendi e la prossima volta sarei meno distratto
    • opensipa scrive:
      Re: CHIP
      - Scritto da: Pollivendol o
      Il chip sottopelle dalla nascitaCosa che non c'entra assolutamente nulla ma se ti fa piacere associare la cosa allo SPID puoi sempre non usarlo e andare a farti la gita negli enti pubblci, io non ti fermerò
  • Epoch scrive:
    SMS...
    Le banche che io sappia usano il token generato via hw.Il sistema SMS soffre anche del problema che devi essere sotto copertura di rete.Dove lavoro il capannone è una specie di gabbia di faraday... All'interno riuscire ad avere copertura è una sfida.
    • opensipa scrive:
      Re: SMS...
      - Scritto da: Epoch
      Le banche che io sappia usano il token generato
      via
      hw.
      Il sistema SMS soffre anche del problema che devi
      essere sotto copertura di
      rete.
      Dove lavoro il capannone è una specie di gabbia
      di faraday... All'interno riuscire ad avere
      copertura è una
      sfida.Ok, fermeremo lo SPID perché tu lavori in un capannone che è una gabbia di faraday. Non ci avevano pensato in effetti. Specifichiamo tra l'altro che lo SPID non prevede invio di SMS per forza, prevede che tu abbia un account con un gestore di identità digitali accreditato, se usa SMS o altro non è un problema dello Stato italiano ma tuo. Detto questo, in ogni caso devo dire che il problema di tutti quei lavoratori che dovranno accedere ad un sistema SPID mentre sono a lavoro ed hanno il capannone che è una gabbia di farady era stato trascurato. E' gravissimo. Come faremo? Meglio fermare tutto e farsi le code all'agenzia delle entrate nel frattempo....
  • djechelon scrive:
    SMS non obbligatorio secondo SPID
    Da una bozza del regolamentohttp://www.agid.gov.it/sites/default/files/regole_tecniche/spid_moda_attuative_v0_1.pdf"Per il secondo livello SPID (corrispondente a LoA 3 dellISO 29115[11]), il gestore delle identità digitali deve rendere disponibili sistemi di autenticazione informatica a due fattori non necessariamente basati su certificati digitali, ad esempio allapassword può essere combinato un OTP (attraverso un out of band token come un SMS inviato ad un cellulare, attraverso un applicazione mobile o un dispositivo fisico)."Significa che l'SMS, pur essendo la soluzione utilizzata dagli attuali IdP, non è l'UNICA prevista. Esiste anche il servizio Authenticator App, che soffre degli stessi problemi.O i token ovviamente. Ma va da se che un token hardware ha un costo maggiore di un servizio OTP, e gli SPID L2 sono forniti normalmente gratis
Chiudi i commenti