user@blasterhome$ ~/Informatica, Linux, Server/Utenti MySQL, da Luglio tutti fuorilegge!

| Se ci tieni a me, abbonati al feed

Utenti MySQL, da Luglio tutti fuorilegge!

giugno 22nd, 2009 Posted in Informatica, Linux, Server

Leggo adesso da My B Side, che da Luglio 2009 verranno imposte delle norme agli utilizzatori di MySQL aberranti, oltre che restrittive al massimo.

Dalle F.A.Q. del Garante della Privacy, giunge questa nuova a proposito del logging:

19) La registrazione degli accessi è relativa al sistema operativo o anche ai DBMS?
Tra gli accessi logici a sistemi e archivi elettronici sono comprese le autenticazioni nei confronti dei data base management systems (DBMS), che vanno registrate.

Quindi a detta del Garante, se non aggiungiamo la riga

log = /var/log/mysql/mysql.log

Al nostro my.cnf, possiamo essere perseguiti, poichè senza tale riga impediamo al database di loggare TUTTI gli accessi, le query, varie ed eventuali. Come dice ancora My B Side, non è un problema solamente di costrizione, ma di costi esorbitanti, dato che un’operazione di logging condotta in modo così massivo fa salire il consumo di CPU e traffico alle stelle. Grosse aziende non avranno quindi grossi problemi, mentre le piccole avranno da ridire sobbarcandosi di questo nuovo costo imposto (che rima!).

Mi sorge anche qualche dubbio sul sistema di controllo utilizzato. Chi avrà la certezza che tali parametri siano adottati? Il file di configurazione è il mio, e l’intrusione al’interno della macchina dall’esterno è un reato punibile penalmente.

Sono proprio curioso di vedere come finirà la faccenda, e che misure verranno adottate.

Ma guarda tu, uno non può più nemmeno amministrare i suoi server come vuole.

This entry was posted on lunedì, giugno 22nd, 2009 at 13:07 and is filed under Informatica, Linux, Server. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.
  • Quindi? Scaricano tutto sulle spalle di noi poveri sistemisti? 0_o
  • Ovviamente il titolo era provocatorio e vorrei trovare una soluzione per stare nella (assurda) legalità.
    Vorrei tanto che si potessero loggare SOLO gli accessi magari via syslogd e magari firmandoli digitalmente ma così non è nella versione "community" di mysql e non credo che faranno delle versioni per il mercato italiano.
    Modificare i sorgenti è fattibile ma impraticabile per n motivi.

    @edo: in caso di controlli io voglio esser tranquillo e non usare la solita medologia italiota del chiudere un occhio o sperare di cavarmela in qualche modo. C'è una legge (fatta male) e va rispettata punto. Se puoi farci la cortesia di condividere il "trigger" faresti cosa gradita a tutti cmq :)
  • Edo
    Mi sa che non hai letto bene il mio commento ...

    Tu per essere tranquillo devi rispettare la legge, quindi SE sei uno dei soggetti individuati dalla normativa e tratti dati sensibili allora devi sottostare alle norme.

    Nel caso tu non abbia le conoscenze tecnologiche per farlo puoi chiedere a dei consulenti o chiedere in rete. Personalmente allarmistica la trovata del gridare: "al lupo" se tu sei nei guai perchè sei un soggetto tenuto a seguire una normativa e senza le conoscenze per seguirla non sostenere che tutti saranno nell'illegalità.

    Prendilo come un consiglio, non sono un giurista ma potresti anche rischiare una denuncia per procurato allarme :D
  • Cavolo, hai avuto fegato e pazienza a leggerti il mio post, più tutti i thread che ne sono seguiti :D
    Congratulazioni :P
  • Grazie a te per aver trattato l'argomento !
    Magari troviamo assieme una soluzione ! :)
  • Possibile che in MySQL non ci sia un "coso" che permetta di loggare i soli accessi?
    Strano 0_o

    P.S.: Tra l'altro pare che la cosa sia stata richiesta, visto che comunque un sistema di log per i soli accessi (riusciti e falliti) sarebbe utile a prescindere.
    http://forums.mysql.com/read.php?35,142007,142007
  • "Mi sorge anche qualche dubbio sul sistema di controllo utilizzato. Chi avrà la certezza che tali parametri siano adottati? Il file di configurazione è il mio, e l’intrusione al’interno della macchina dall’esterno è un reato punibile penalmente."

    Semplicemente ti bussano a casa e ti dicono, mi favorisca il file di log (un pò come per la patente) e se tu non lo hai sono uccelli per diabetici.

    Ma soprattutto cosi com'è messa la cosa è un pò ambigua, io devo attivare il log, e va bene, ma come devo gestire le mie policy di backup? perchè quel file andrà ruotato non posso tenermi un file di 20Tera nel disco perchè loro mi obbligano a loggare tutto, quindi dovrò ruotarlo almeno quotidianamente (dipende dal traffico), ma quanto storico devo tenere? 3 giorni? una settimana? un mese(!) di log?

    Me lo danno loro il disco per tenere dentro tutta sta mole di dati?
  • Edo
    non è ambigua, semplicemente hai letto un punto della FAQ, se leggi la normativa viene detto quanto a lungo tenere i log ma soprattutto a nessuno importa che tu li tenga sul disco, puoi comprimerli e tenerli su nastro o metterli su dvd ;)
  • LuNa
    Mi trovi d'accordo con Edo. Avevo letto la notizia già un pò di tempo fa. Vi è obbligo di loggare gli accessi, quindi chi lo fa e quando. Non cosa, che è ben diverso.
    La perplessità sullo spazio occupato da questi file secondo me è relativa. L'accesso si fa una volta solamente. Diverso sarebbe se dovessi loggare tutto il movimento, come dice il tuo (sbagliato) post. Viola la privacy quanto la viola una portinaia che vede entrare e uscire la signora da casa :) mica che questa sa dove è stata e cosa ha comprato per cena la signora (anche se nel caso specifico portinaia qualche ragionevole dubbio potrebbe anche venirmi !)
  • Molte volte mi viene semplicemente voglia di prendere tutte le mie cose e scappare da questo schifo di paese che è diventato l'Italia...

    (...non è che ora mi censurano questo commento?? Tanto sembra proprio che manchi poco per arrivare a questo...)
  • Niente paura, qua non ti censura nessuno :D
    I commenti sono Disqus powered, quindi il server è lontano da queste ingiurie :P
  • Edo
    1) chi ha ipotizzato questa soluzione non sa nemmeno leggere una riga di FAQ: "sono comprese le autenticazioni" non tutto, le autenticazioni, non tutte le query !!!
    2) tu puoi anche non adottare le imposizioni di legge (es. puoi guidare senza cintura) ma se fanno un controllo o in caso di necessità (es. se ti ferma la polizia o se fai un incidente) sono cavoli tuoi e mi sembra che li si vada nel penale
  • Sul punto 2 sono completamente d'accordo, se la legge non si rispetta è giusto che si paghi per ciò che si è fatto, ma sul punto 1 mi trovi in disaccordo: le autenticazioni sono un bel po' delle azioni subite da un database ._.
  • Edo
    le autenticazioni sono una frazione irrisoria delle azioni di un db ...
    a meno che il db non sia usato proprio per le autenticazioni :D
  • E allora come si dovrebbe fare per loggare solo gli accessi?
  • Edo
    o fai un trigger sulla tabella degli utenti o fai una modifica a livello applicativo dipende dalla situazione e dalle esigenze, non mi sembra la fine del mondo
  • Altro domandone: mi sa che se il server è all'estero, questa imposizione non lo tange vero?
  • Edo
    non sono esperto di giurisprudenza a questi livelli ma non vedo perchè ti preoccupi ...
  • Mi spieghi perchè non dovrebbe (e non dovrei) preoccuparsi, dato che è autore di questo blog, e io del mio?
  • Edo
    LOL
    solo se tu mi spieghi cosa c'entri l'essere autore di un blog con l'essere titolare di trattamento dei dati sensibili :D
  • Il punto è che ne saremo responsabili noi, non gli altri. -.-
  • Edo
    Premetto che non sapendo esattamente cosa fai tu non posso pretendere di sapere quali responsabilità tu abbia.

    Tieni conto che il dlgs che regolamenta la gestione dei dati personali è in vigore da diversi anni quindi se non l'hai mai applicato non ostante tu sia un soggetto indicato allora sei inadempiente da diversi anni.

    L'argomento che vi ha spaventati tutti è un'integrazione a quel decreto nel quale vengono fatte diverse precisazioni.

    Tieni conto però che i blogger amatoriali sono esclusi dagli obblighi di trattamento dei dati personali (qualora gestissero dei dati personali di terzi).

    Quindi non mi è chiaro cosa vi spaventa ... oltre all'uomo nero :D :D :D
  • Per quanto riguarda me, era una semplice curiosità. Da aspirante sistemista quale sono, avendo il mio serverino a casa, volevo solo sapere se, qualora questo si trovasse in un altro Paese, la cosa lo tangerebbe ancora (e credo di no).
    Semplicemente volevo capire come funge la faccenda, tutto qua :)
    Oltretutto in azienda da mio padre stanno avendo qualche problemino da diverso tempo (e ancora non risolto) per questa magagna, quindi mi interesserebbero anche le soluzioni da te proposte ;)
  • Edo
    sai che penso non interessi molto dove è situato il server ma più che altro interessa se il titolare al trattamento ricade sotto la legge italica ma non ho assolutamente esperienze in merito a server all'estero ...
  • Come per quanto riguarda una casa, un agente esterno (che sia un civile o un poliziotto), senza un mandato delle autorità giudiziarie non può entrare nel mio server. E' passibile di denuncia.

    Un altro conto è che anche lui può denunciarti perchè non hai loggato.

    Un altro conto ancora è che questa legge è talmente idiota che mi chiedo chi è quel menomato che fa le leggi qui in italia.
  • Tra l'altro lo sa anche un neonato che il log di MySQL viene fatto su file di testo, quindi non è assolutamente attendibile -.-
  • Edo
    proprio per questo vengono richieste misure che ne attestino l'inalterabilità ...
  • Assurdo, veramente assurdo
    MySQL è uno dei migliori, non possono farci questo!
    Si ritorna alle pagine statiche signori! :)
  • Veramente amarezza su amarezza, sembra che il Garante sia un n00b dei più completi.
    Sembra.
blog comments powered by Disqus