La Sapienza sui problemi del sito

I responsabili dell'ateneo romano scrivono a Punto Informatico per rispondere alla lettera pubblicata nei giorni scorsi e offrire una serie di chiarimenti

Roma - Egregio Direttore,
ho letto con interesse, prestando particolare attenzione ai riferimenti alla sicurezza, la lettera dello studente Marco D.V., datata 8/11, riguardante il nostro sistema informatico. Le sarei pertanto grato se volesse ospitare alcune mie considerazioni che fanno riferimento e rispondono, per quanto possibile, alle valutazioni dello studente.

Partendo dalle modalità di "comunicazione" della password, premetto che quanto segnalato dallo studente riguarda il solo meccanismo basato sulla coppia "domanda-risposta" e soltanto per gli studenti già iscritti (dal secondo anno in su) in quanto gli immatricolati (al primo anno) possono scegliere autonomamente la coppia in fase di registrazione.

Perciò, un qualsiasi studente può (ri)ottenere la password utilizzando la propria matricola e, se non ha definito autonomamente la coppia "domanda-risposta", fornendo il proprio codice fiscale. Quindi, per ottenere la password, e nei soli casi menzionati, è necessario conoscere l'accoppiata matricola-codice fiscale, di per sè non banale. Del resto, il meccanismo scelto non è molto diverso da quello che si utilizza per attivare una carta di credito quando si fornisce ad un operatore automatico il suo numero e scadenza unitamente a qualche dato anagrafico del titolare.

Tornando a noi, la password ottenuta è ovviamente modificabile dall'utente che potrà cambiare anche la coppia "domanda-risposta" per renderla più personale e quindi impermeabile. Per inciso, in origine la procedura inviava la password all'indirizzo di e-mail registrato: abbiamo dovuto modificarla sulla base di segnalazioni e richieste di molti studenti.

Abbiamo in fase di rilascio una nuova implementazione la cui la risposta da fornire nei casi in questione non sarà più il solo codice fiscale ma una stringa costituita anche da ulteriori elementi personali e non anagrafici.

Ciò detto, la domanda che ci si può porre, e che ci siamo posti, è: ma non si poteva implementare un sistema più sicuro?
Certo, nel nostro caso si poteva far ritirare a sportello la password, in busta opaca, previa esibizione di valido documento d'identità e contestuale registrazione della consegna (pressappoco come avviene per il pin in banca). Questa procedura avrebbe però richiesto l'impiego di notevoli risorse, incluso il tempo per gli spostamenti degli studenti, avrebbe causato inutili code e non ci avrebbe evitato giusti rilievi per non aver pensato ad un modo più semplice ed aggiornato.

Per quanto riguarda il certificato, si sta utilizzando il protocollo sicuro di Oracle in attesa di attivare i certificati di Verisign (già acquisiti). Il trasferimento dati è comunque sicuro e protetto, la quale cosa è dichiarata nel relativo pop-up. E' sicuramente un metodo discutibile nella forma ma che salvaguarda comunque la sostanza e che, sia pure per il momento, ci sembra accettabile.

Per quanto riguarda alcune altre affermazioni dello studente, rispondo brevemente che si possono utilizzare tutti i browser più diffusi; é anche vero che, per le operazioni di stampa è necessario scaricare (in automatico) un activex e che al suo posto si poteva usare, per esempio, Acrobat Reader; ma l'installazione di quest'ultimo prevede, com'è noto, un download più articolato e complesso. Ad ogni modo, sul sito sono indicati chiaramente i requisiti tecnici necessari a garantire la piena interazione con il sistema.

Le altre valutazioni riportate mi sembrano francamente soggettive e, se mi è permesso, attengono anche alla scala delle priorità di implementazione che, come è riportato nel sito, avverrà gradualmente per tutte le funzionalità del sistema.

Quello per cui stiamo lavorando è un sistema che consenta il massimo delle attività via web, inclusa la verbalizzazione degli esami di profitto (sicura, ovviamente), lasciando libero lo studente di recarsi allo sportello solo se è inevitabile. Al momento, abbiamo gestito via web e per la prima volta l'intero ciclo di immatricolazione di oltre venticinquemila studenti (oltre trentatremila registrazioni al sito in circa tre mesi), allo stesso modo, gestiremo le oltre centomila iscrizioni attese.

Riteniamo di avere un buon obiettivo e siamo determinati a perseguirlo, accettando anche le critiche se queste ci aiutano a migliorare, specialmente sul tema della sicurezza.

Cordialmente,
Dr. Carlo Maria Serio
Dirigente Ripartizione VIII - SATIS
Servizi, Applicazioni e Tecnologie Informatiche de "La Sapienza" (Roma)
TAG: italia
103 Commenti alla Notizia La Sapienza sui problemi del sito
Ordina
  • Gentile Dr. Serio,
    non so se leggerà mai queste mie righe[*], ma dopo aver letto la sua risposta, per la quale ringrazio, devo in effetti fare pubblicamente una precisazione sulla questione del recupero della password: la coppia domanda/risposta può essere cambiata, dopo aver effettuato il login nel sito; non ci avevo fatto caso, e le devo dire che i quattro paragrafi da lei spesi sull'argomento, sinceramente piuttosto confusi, non aiutavano molto (il cambio può essere fatto già ora, ma così non sembrava, in base alle sue parole).
    Poter scegliere una coppia arbitraria invece del codice fiscale è un buon metodo, e ridimensiona in parte questo aspetto del problema. Dovreste però cercare di sensibilizzare gli studenti (bastano due righe sul sito) riguardo all'importanza di cambiarla.

    Riguardo agli altri aspetti, certificato e compatibilità in primis, ritengo abbia già ricevuto degne risposte da gran parte degli utenti che hanno commentato la sua replica.

    Aggiungo solo questo: è ovvio che qualsiasi cosa sia meglio della fila allo sportello, ma questo non toglie che l'impressione globale sia quella di un sito/servizio mal progettato, e soprattutto non all'altezza della situazione.

    Supponiamo, ad esempio, che il Comune di Roma annunci un nuovo servizio per avere facilmente due determinati documenti, ma che andando a ritirarli si scopra che per arrivare allo sportello dedicato si devono fare sei piani di scale a piedi (il che taglia fuori parte della cittadinanza), e arrivati allo sportello si venga a sapere che per il momento viene fornito solo uno dei due documenti promessi, perché l'altro non è ancora pronto.
    Lei, da bravo cittadino che vuole veder spesi bene i soldi delle proprie tasse, cosa penserebbe? Non è difficile immaginarlo.

    Cordialmente,
    Marco D. V.

    [*]
    Le scrivo qui perché volevo che la mia precisazione fosse pubblica. Avevo intenzione di cercare un suo recapito email per inviarle copia del messaggio, ma http://www.satis.uniroma1.it/ (link al SATIS dalla pagina infostud) risulta al momento non raggiungibile.
  • Se pensate che l'università non sappia fare un sito...
    http://search.enel.it/lang_it/portale/gsearch.asp

    Active Server Pages error 'ASP 0241'

    CreateObject Exception

    /lang_it/portale/gsearch.asp

    The CreateObject of '(null)' caused exception C0000022.

    Error accessing Fulcrum Object Library.
    Please contact your administrator.


    ho provato a fare una ricercaTriste

    Fan Apple
    non+autenticato
  • da 3 anni (da quando ho inizato la laurea triennale, conclusa quest'anno) non stampo badge, mi iscrivo agli esami via internet, i prof verbalizzano i voti via internet, scarico le dispense da internet, contatto i professori con una email, sul sito ho tutte le informazioni che cerco, ecc..
    Per gli esami, il sito è uniwex.unibo.it
    Il professore può esportare la lista degli iscritti, importare i voti in un unico colpo tutto tramite XML e volendo in automatico!
    Https, firma digitale forte e tanto altro.
    Benvenuti a ingegneria a BolognaA bocca aperta
    ps: uniwex hanno provato ad estenderlo a tutto l'ateneo, ma fuori da ingegneria pochi professori sanno usare il pc, per cui il 98% è talmente tonto da non riuscire neanche a fare quattro click su uniwex.
    non+autenticato
  • Sono uno studente di ingegneria informatica della Sapienza, e avevo scritto una lunga lettera allo staff dell'odiato sito infoStud lo scorso luglio.

    Nella lettera avevo parlato, civilmente, di:
    * incompatibilità con qualsiasi browser diverso da MSIE 5.5 e superiori;
    * violazione della legge sull'accessibilità informatica a disabili e non vedenti dell'anno scorso: http://www.innovazione.gov.it/ita/news/2003/cartel...
    * il fatto che, fino al 2002, il sito non era poi malaccio. Certo, apriva dei popup minuscoli ma uno almeno poteva ingrandirli e soprattutto leggerli. E poi era navigabile con qualsiasi browser. Qualche tempo dopo hanno dovuto buttare soldi per la versione attuale, inutilizzabile e insicura...

    Comunque, dopo qualche giorno, mi risposero. Volete sapere in che modo?
    >Accettiamo volentieri la sua nota. Cercheremo di fare meglio
    >e di più (ma ci serve un po' di tempo).
    >Cordialità.

    Sarà!
  • Quoto dal messaggio dell'ESPERTO:
    >Perciò, un qualsiasi studente può (ri)ottenere la password >utilizzando la propria matricola e, se non ha definito >autonomamente la coppia "domanda-risposta", fornendo il >proprio codice fiscale. Quindi, per ottenere la password, e nei >soli casi menzionati, è necessario conoscere l'accoppiata >matricola-codice fiscale, di per sè non banale.

    Come fa a non essere banale ???
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | Successiva
(pagina 1/6 - 29 discussioni)