Articolo su salto sulla scelta della giunta di migrare verso Office Cloud

Io ho sollevato un polverone da quando all'eurac ci hanno
fondamentalmente *costretto* a passare ad office365.

Ve ne butto una qui', tanto per divertirsi, perche' mi piace aggiungere
la benzina al fuoco.

Come pensate che funzioni l'autenticazione su office365? In teoria, via
web, tramite un sistema shibboleth (o come cavolo lo chiamano), ovvero
tramite token di modo tale che il server di terze parti non riceva mai
la password in chiaro. Questo perche', con office365 (e l'integrazione
dell'ICT), l'account e' gestito in modo unico.

Chi fornisce il codice JS per fare tale lavoro? Il server di terze parti
stesso.

Meglio ancora. Come credete che funzioni l'autenticazione nel caso
usiamo un protocollo standard, come pop3 o imap? Beh, in quel caso
ricevono la password in chiaro, e fanno semplicemente il forward della
richiesta. Basta non usare pop3/imap no? (<= risposta ufficiale).

Non sono riuscito ad ottenere la separazione dell'account in modo da
separare la password da quella che poi viene anche usata per i servizi
di VPN.

Ma noi ci fidiamo della microsoft, perche' e' quello che fa anche la
provincia (scusa ufficiale #2).

Poi ci rompono le scatole per questioni di sicurezza irrilevanti come
cambiare la password ogni 30 giorni, mentre noi non possiamo scrivere
nessun dato potenzialmente sensibile per email perche' non possiamo piu'
dare per assunto che il server sia locale.

Ora mi chiedo, se come cittadino che contatto la provincia per questioni
private, il mio diritto alla privacy non viene infranto quando la mia
email passa per un servizio di terze parti (che sappiamo benissimo
essere una ditta che risponde alle leggi US)?

No perche' immagino, se fanno come qui, che lo scanner faccia il forward
in automatico per email. E scannerizzando un documento sensibile viene
cosi' inviato fuori dall'italia automaticamente. E' _legale_?

I server di office365.com sono, nella nostra zona, localizzati in UK.
Questo, "ufficialmente". La MS ha un intera AS dedicata a loro, il che
rende impossibile verificare tramite geoip dove sono effettivamente
(possono mettere quel cavolo che vogliono). Via V4, tutti i server
risultano in US. Via V6, sono quasi tutti UK.

Con un traceroute, l'ultimo punto noto e' il VIX (vienna internet
exchange). Chi ha voglia di chiamare e verificare qual'e' il prossimo
hop? (SE ce ne sono altri fuori dalla loro infrastruttura).

La localizzazione viene poi determinata via DNS, con un TTL di un ora.
Il che significa che possono variare la localizzazione per problemi al
loro data center UK in qualsiasi momento verso quello US, e nessuno si
accorge di niente.

Ne avrei altre, ma su alcune ho le mani legate. Ad un certo punto ho
gettato la spungna.