posts - 4237, comments - 3946, trackbacks - 370

Disclaimer

This was my personal weblog originally hosted by UgiDotNet, written mostly in Italian.

This blog is now part of my new site:
These postings are provided 'AS IS' with no warranties, and confer no rights. The views expressed on this weblog are mine alone and do not necessarily reflect the views of my employers.

Licenza Creative Commons

Tag Cloud

Archives

Post Categories
<< Grazie! Come disabilitare l'odiosa notifica di SMS inviato | Home | Che senso ha diventare MCSD oggi su .NET 1.1 >>

La Security è l'aspetto architetturale per eccellenza.

State scrivendo il Notepad 27.0? Allora potete "forse" ignorare questo post.

Voi usereste un sistema INSICURO ma con tutte queste ALTRE caratteristiche architetturali?

  • Scalabile: immaginate un PayPal dove i soldi al posto di arrivare a voi vengano distratti da altri... oppure Amazon, scalabilissimo. ma i vostri libri/mp3/lavatrici vengono inviati ad altri....
  • Veloce: immaginate le risposte di Google che arrivano in un lampo ma portano tutte a siti contenenti malware causa "manipolazione del DB...
  • Affidabile: immaginate un sistema 24X7X365, magari con 5 o 6 "nove" di affidabilità ma che poi è un colabrodo... non fatemi fare nomi...
  • Manutenibilità: pensate a Windows... è indiscutibilmente il sistema più semplice da manutenere (Windows Update e via... nessuna ricompilazione del Kernel da parte di mia cognata disperata smile_omg), ma prima del "Trustworthy Computing", prima di Win2003 SP1 di XP SP2 o di Vista, quando alcune scelte non erano state fatte pensando prima di ogni cosa alla security, quanta gente era contenta di dover andare su Windows Update varie volte al mese? Quanti sistemi non patchati che formano bot-net di zombie non ci sarebbero se alla security fosse stata  data fin da subito l'importanza che merita. Certo... un errore può sempre scappare, ma volete mettere?
  • Carico/Quantità: pensate a "Unbreakable"... può contenere miliardi di dati, ma di certo "unbreakable" proprio non è... basta vedere come memorizza le password la versione 11g su Linux...

E chi più ne ha più ne metta... certo... strumenti come il Threat Analysis and Modeling Tool andrebbero semplificati, integrati e resi più accessibili, altrimenti ci troviamo a partlarne solo io e Raf, ma quanti architetti leggono questo blog?

Se poi professori universitari, guru e altri non parlano di security... siamo proprio sicuri che siano nel giusto?

Ribaltiamo la domanda... usereste un sistema SICURO senza queste caratteristiche?

  • Scalabile: un sito di e-commerce "casalingo" ma sicuro, che vende mele del trentino o arance siciliane a decine di utenti lo usereste? Io si.
  • Veloce: un sito che fa ricerche "particolari" anche se molto lento lo usereste? Io si se ho bisogno di quei dati e sono sicuro che non siano stati manipolati, provate a pensare ad esempio cruscotti decisionali, KPI e altri tipi di dati, magari forniti in abbonamento via Internet. Non mi importa quanto siano "veloci", mi importa che non siano stati "manipolati".

E così via... la differenza tra la SECURITY e gli altri requisiti "non funzionali" o di "quality of service" è evidente.

Se non lo è... preparate il Rosario, no, non la prossima versione di VSTS, quello vero! smile_regular

Print | posted on domenica 7 ottobre 2007 15:32 |

Feedback

Gravatar

# re: La Security è l'aspetto architetturale per eccellenza.

Quoto in pieno. Ho visto sistemi che usavano prodotti stratisucri, ma che implementati male avevano più falle di un colabrodo.
07/10/2007 16:05 | Alessandro Scardova
Gravatar

# re: La Security è l'aspetto architetturale per eccellenza.

Era solo per sottolineare la trasversalità de "l'aspetto sicurezza". Non volevo "sporcare" il post nominando aspetti implementativi, si capisce che il tuo è un discorso ad alto livello... Spesso però noi dev, appena sentiamo nominare il termine "sicurezza" cominciamo a pensare al form per la login, a scelte fra http/https, kerberos/passport/windows... E questo va nella tua direzione: scarsa cultura su questo tema.
Ho deciso: da grande voglio fare il "Security Architect" :) Mi sembra un po' lo spot del CEPU :)
07/10/2007 18:28 | Antonio Santise
Gravatar

# re: La Security è l'aspetto architetturale per eccellenza.

Non è questione di sporcare il post. La questione è di non "sputtanare" delle tematiche facendo mischioni che alle persone che stanno ancora imparando possono fare solo danni.
Di AOP ne scrivevo 4 o 5 anni fa quindi se vogliamo parlare di implementazione, parliamone pure, ma per favore, non banalizziamo tutto, che di faciloni qualunquisti è già troppo pieno il nostro campo.
07/10/2007 18:36 | Lorenzo Barbieri
Gravatar

# re: La Security è l'aspetto architetturale per eccellenza.

P.s. Antonio non ti voglio dare del facilone qualunquista, è la piega che stava prendendo il discorso che mi sembrava troppo semplicistica. Mi scuso per il tono usato nell'impeto della risposta.
07/10/2007 19:09 | Lorenzo Barbieri
Gravatar

# re: La Security è l'aspetto architetturale per eccellenza.

@Stefano. Le tue parole sono il miglior complimento che uno speaker può ricevere. Grazie!
09/10/2007 01:05 | Raffaele Rialdi
Gravatar

# re: La Security è l'aspetto architetturale per eccellenza.

@Gimmi. Come markettaro troveresi posto subito :)
Le update unificate ci sono tanto in Windows quanto su Linux.
Lavorare come amministratore è stato più semplice per Linux perché non aveva una storia precedente. Onore comunque a Linux per aver intrapreso quella strada prima.
Il discorso antivirus è una bella markettata, ma se sei un tecnico sai benissimo che il virus, rootkit e quant'altro sono piaghe OS independent. BTW io non uso antivirus.
Quanto alle compatibilità lasciamo perdere perché le rogne con le versioni dei toolkit di Linux mi hanno fatto venire i capelli bianchi e i forum là fuori sono lì a darmi ragione.

Critica pure, ma sii *almeno* oggettivo, non markettaro
09/10/2007 01:09 | Raffaele Rialdi
Gravatar

# re: La Security è l'aspetto architetturale per eccellenza.

Non credo che Lorenzo si riferisse alla fascia enterprise. (a meno che sua cognata non sia una sistemista :-) ). Per quanto riguarda la fascia consumer, sicuramente linux è piu evoluto e semplice. Ho usato a casa windows dalla 3.1 e ho passato tutte le release fino a Vista (oggi). Lavoro nell'IT da 6 anni esclusivamente con tecnologie Microsoft si cui mi posso ritenere un esperto. Con queste premesse ti posso dire che sicuramente Linux è di gran lunga piu semplice per utenti consumer. Il problema è che molti sostenitori delle tecnologie microsoft semplicemente non conosco le alternative. Quindi è meglio non fare paragoni azzardati.
09/10/2007 12:00 | Gimmi
Gravatar

# re: La Security è l'aspetto architetturale per eccellenza.

Ripeto: non credo che Lorenzo si riferisse alla fascia enterprise.
Non mi è chiaro che esperienza hai di linux nella fascia consumer.
Noto com piacere che comunque sei d'accordo nel dire che con linux non hai bisogno di antivirus.
09/10/2007 17:22 | Gimmi
Comments have been closed on this topic.

Copyright © Lorenzo Barbieri