Molte organizzazioni hanno, giustamente, iniziato ad usare servizi informatici "in cloud", ad esempio i servizi Office 365 di Microsoft.
Operazioni come queste si possono fare in due modi: "facile" o "un pò meno facile".
Il modo "facile" ha, come tutte le cose facili, un costo nascosto. In questo caso il costo nascosto consiste nel permettere al fornitore del servizio cloud di conoscere le credenziali (username e password) usate nell'organizzazione.
E' quello che accade nel nostro ateneo. Per usare alcuni servizi dobbiamo collegarci a https://login.microsoftonline.com ed inserire le nostre credenziali di ateneo. Il browser invia le credenziali al web server di nome login.microsoftonline.com:
POST https://login.microsoftonline.com/OMISSIS/login HTTP/1.1
Host: login.microsoftonline.com
Connection: keep-alive
Content-Length: 1393
Cache-Control: max-age=0
...
Content-Type: application/x-www-form-urlencoded
i13=0&login=MIAMATRICOLA%40ds.units.it&...OMISSIS...&passwd=MIAPASSWORD&....OMISSIS....
Non so chi controlli quel web server perché non ho analizzato l'indirizzo IP corrispondente. Il web server potrebbe essere controllato da Microsoft (molto probabile) o da altri (Università di Trieste compresa, anche se è molto improbabile).
E' però certo che è Microsoft a decidere, ogni volta che ci colleghiamo, a quale indirizzo IP deve corrispondere il nome "login.microsoft.online". Pertanto è Microsoft a decidere a quale web server saranno inviate le nostre credenziali. Pertanto, da un punto di vista tecnico, Microsoft può impossessarsi delle credenziali di ateneo di tutti gli utenti che si collegano a quel servizio.
Il modo "un pò meno facile" è quello di realizzare moduli di autenticazione basati su OAuth o SAML, tecnologie che fanno parte del programma del corso di "Reti di Calcolatori 2 e Principi di Sicurezza Informatica". Queste tecnologie sono molto diffuse (il cosiddetto Sistema Pubblico di Identità Digitale SPID, ad esempio, è basato su SAML) e permettono di ottenere una funzionalità molto importante, specialmente per l'utilizzo aziendale di servizi cloud: le credenziali di ateneo non escono mai dall'ateneo.
Nota bene: "facile" non vuol dire "sbagliato". La modalità da adottare non è necessariamente quella a sicurezza maggiore. La modalità deve essere adottata in base ad un compromesso tra sicurezza e costo ed in base ad una analisi del rischio corretta e consapevole. Uno potrebbe chiedersi se questa analisi del rischio sia stata fatta e da chi, ma questo è tutto un altro problema.
Operazioni come queste si possono fare in due modi: "facile" o "un pò meno facile".
Il modo "facile" ha, come tutte le cose facili, un costo nascosto. In questo caso il costo nascosto consiste nel permettere al fornitore del servizio cloud di conoscere le credenziali (username e password) usate nell'organizzazione.
E' quello che accade nel nostro ateneo. Per usare alcuni servizi dobbiamo collegarci a https://login.microsoftonline.com ed inserire le nostre credenziali di ateneo. Il browser invia le credenziali al web server di nome login.microsoftonline.com:
POST https://login.microsoftonline.com/OMISSIS/login HTTP/1.1
Host: login.microsoftonline.com
Connection: keep-alive
Content-Length: 1393
Cache-Control: max-age=0
...
Content-Type: application/x-www-form-urlencoded
i13=0&login=MIAMATRICOLA%40ds.units.it&...OMISSIS...&passwd=MIAPASSWORD&....OMISSIS....
Non so chi controlli quel web server perché non ho analizzato l'indirizzo IP corrispondente. Il web server potrebbe essere controllato da Microsoft (molto probabile) o da altri (Università di Trieste compresa, anche se è molto improbabile).
E' però certo che è Microsoft a decidere, ogni volta che ci colleghiamo, a quale indirizzo IP deve corrispondere il nome "login.microsoft.online". Pertanto è Microsoft a decidere a quale web server saranno inviate le nostre credenziali. Pertanto, da un punto di vista tecnico, Microsoft può impossessarsi delle credenziali di ateneo di tutti gli utenti che si collegano a quel servizio.
Il modo "un pò meno facile" è quello di realizzare moduli di autenticazione basati su OAuth o SAML, tecnologie che fanno parte del programma del corso di "Reti di Calcolatori 2 e Principi di Sicurezza Informatica". Queste tecnologie sono molto diffuse (il cosiddetto Sistema Pubblico di Identità Digitale SPID, ad esempio, è basato su SAML) e permettono di ottenere una funzionalità molto importante, specialmente per l'utilizzo aziendale di servizi cloud: le credenziali di ateneo non escono mai dall'ateneo.
Nota bene: "facile" non vuol dire "sbagliato". La modalità da adottare non è necessariamente quella a sicurezza maggiore. La modalità deve essere adottata in base ad un compromesso tra sicurezza e costo ed in base ad una analisi del rischio corretta e consapevole. Uno potrebbe chiedersi se questa analisi del rischio sia stata fatta e da chi, ma questo è tutto un altro problema.
Commenti