comunecis
commented
2 years ago @laser-dev-support: Esiste manualistica ufficiale a supporto di queste configurazioni?
Open comunecis opened 2 years ago
comunecis
commented
2 years ago @laser-dev-support: Esiste manualistica ufficiale a supporto di queste configurazioni?
comunecis
commented
2 years ago @mtiraferri @francescocarrino @danilort: vedo che avete installato recentemente e analizzato simili tematiche.
Avete per caso indicazioni circa questi aspetti?
danilort
commented
2 years ago Non mi occupo piu' del prodotto.
comunecis
commented
2 years ago La ringrazio molto per la rapida risposta. Ha altri riferimenti nella sua azienda che potrebbero conoscere la materia?
danilort
commented
2 years ago No, mi spiace. Puo' provare a contattare lo sviluppatore (sempre che sia ancora valido): https://github.com/anticorruzione/openwhistleblowing/issues/19#issue-425353161
danilort
commented
2 years ago @laser-dev-support: Esiste manualistica ufficiale a supporto di queste configurazioni?
https://github.com/anticorruzione/openwhistleblowing/tree/master/doc
Buonasera,
stiamo provando l'applicazione al fine di supportarne l'adozione in alcuni comuni e chiediamo gentilmente alcuni chiarimenti in merito alla crittografia.
Se comprendiamo bene l'applicativo implementa crittografia tramite il caricamento da parte degli utenti riceventi di chiavi PGP.
E' questa la sola e suggerita modalità di implementazione della crittografia?
Abbiamo provato infatti ad utilizzare questo tipo di chiavi e verificare cosa venga cifrato è ci siamo accorti che apparentemente quando viene caricata una chiave PGP il sistema provvede a cifrare solo i file caricati da un segnalante sulla propria segnalazione senza però applicare alcuna crittografia alle seguenti:
Tutti questi dati infatti risultano direttamente accessibili ad eventuali amministratori di sistema o attaccanti che abbiano accesso alla partizione su cui l'applicativo è installato.
Notiamo inoltre che la vostra installazione sembrebbe non avere abilitata nessuna chiave crittografica (vedasi API: https://servizi.anticorruzione.it/segnalazioni/receivers), ci domandiamo dunque quale sia l'implementazione crittografica adottata da ANAC e quali siano le indicazioni a cui tenersi.
Vi ringraziamo