Il 2 luglio 2008 12.21, Flavio Stanchina <flavio@xxxxxxxxxxxxx> ha scritto: > Roberto Resoli wrote: >> >> Per chi fosse interessato, si è innescata una discussione tra Franco >> Ruggieri e Francesco Buccafurri, >> sempre nei commenti alla notizia su pubblicaamministrazione (dot) net: > > Se ho capito bene, l' "attacco" consiste in un file che si apre > correttamente sia come Windows Bitmap (.bmp) che come HTML, evidentemente > con contenuti diversi. Quindi, semplicemente cambiando l'estensione al file > ed aprendolo si vedono due cose diverse. > > Secondo me hanno ragione tutti e due: il problema è reale ma non è un > attacco alla firma digitale in quanto tale. E' noto da sempre che con un po' > di creatività (e grazie a parser talvolta non troppo pignoli) si riescono a > confezionare file "polimorfi", diciamo così. L'unica soluzione è associare > alla firma anche il content-type previsto, come dice Ruggieri. proprio così. Il problema non è stimato come grave dal CNIPA, perchè firmare un contenuto "bifronte" è un po' come firmare la stringa "bla bla bla qui quo qua". Il contenuto non è giuridicamente rilevante, anche se per accorgersene bisogna andare ad esaminarne la struttura. Il grosso problema della firma digitale, è che si perde il contatto immediato con il contenuto, cioè agli effetti pratici serve un interprete per valutarne il significato. E si sa, più intermediari ci sono e più il controllo sull'intero processo da parte dell'utente vacilla. Ciò non toglie che il documento firmato digitalmente sia di enorme utilità nello snellire i processi di gestione, specie quando la mole di documenti è notevole, e l'importanza del singolo documento sia abbastanza scarsa. Insomma la vedo bene per un mandato di pagamento, un po'meno per un contratto. Per lo meno, bisognerebbe che i criteri di sicurezza sull' *intero* processo di firma fossero adeguati all'importanza di ciò che si firma. ciao, rob > > -- > Ciao, Flavio > -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx