• User

    File Log

    Salve a tutti,

    sapete dove trovare il file log di un sito joomla?

    Ho chiesto direttamente al mio hosting e mi hanno risposto cosi:
    "Le comunichiamo che tali Log possono essere richiesti solo ed esclusivamente dalle Autorità Giudiziarie quando, ovviamente, l'eventuale azione malevola non è scaturita dalla presenza di vulnerabilità dell'applicativo usato."

    Possibile che certi hosting lo mostrino e certi no?

    Conoscete hosting che lo mostrino?

    grazie


  • Super User

    Ciao,

    molto probabilmente tu vuoi vedere gli access_log del tuo servizio, vi sono hosting che ne permettono la visualizzazione e altri, invece, che non permettono questo. Sono sicuramente scelte aziendali.

    Ciao.


  • User Attivo

    @vhosting said:

    Sono sicuramente scelte aziendali.

    Permettimi, ma NON è solo una mera questione di "scelte aziendali"

    • il contenuto dell'access log rientra tra i "dati personali", con tutto ciò che ne consegue
    • se si tratta degli access log di un server di hosting shared, il responsabile per il trattamento è il provider
    • fino a che sono conservati in maniera disaggregata, sono soggetti solo all'obbligo di riservatezza (e quindi, per definizione, visto che sono soggetti all'obbligo di riservatezza, non è possibile divulgarli a terzi)
    • se poi li comunichi a terzi (violando l'obbligo di riservatezza) e questi li aggregano e contestualizzano, puoi trovarti di fronte a situazione esplosive...

    Un esempio?
    Un file di access log relativo al sito degli "adoratori della transustanziazione del prosciutto del sacro giovedì 13", messo in relazione con il carattere religioso del sito, acquista immediatamente il rango di "dato sensibile"... con tutto ciò che ne consegue.

    Quindi, non è una questione di "scelte aziendali": il file di log non deve e non può essere MAI divulgato.

    E' un po' come la questione delle telecamere di videosorveglianza in determinate zone: tu, privato cittadino, puoi metterle (sia pure con i mille accorgimenti del caso), ma non devi guardare i filmati: in caso di necessità, solo l'autorità giudiziaria può accedere ai filmati e visionarli.


  • Super User

    Ciao,

    se un utente chiede i suoi access_log sino a prova contraria sono dati dell'utente quindi sono scelte aziendali se darli o no, esempio plesk non mischia gli access_log, ogni utente ha i suoi access_log pertanto se un utente li vuole avere non vedo il problema dato che con esempio plesk ogni utente puo' gestirli in autonomia. (leggerli/cancellarli)

    Se poi il provider ha gli access_log uniti per tutti i clienti la cosa e' differente. Pertanto per quanto ci riguarda sono scelte aziendali se darli o meno.

    Ciao


  • User Attivo

    @vhosting said:

    se un utente chiede i suoi access_log sino a prova contraria sono dati dell'utente quindi sono scelte aziendali se darli o no

    Questa è la classica affermazione che SEMBRA ragionevole e di cristallina e lampante evidenza, ma invece è clamorosamente FALSA.

    Due ragionamenti:

    • se i log fossero del cliente, potrebbe anche chiedere di cancellarli, giusto?
      Però, guardacaso, in caso di indagini sarai TU quello obbligato a produrli, e non il cliente...

    • i log sono dati personali: chi ne gestisce il trattamento? Tu (che ci puoi accedere direttamente, copiarli, cancellarli), oppure il tuo cliente (che per fare qualunque delle operazioni descritte deve chiederlo a te?)
      Ovviamente sei tu.
      Però, se sei tu a gestirne il trattamento, in primis devi rispettare l'obbligo di riservatezza (e quindi limitarne la diffusione all'interno della tua struttura e solo nell'ambito dei processi previsti), e poi, nel caso tu voglia trasmetterli a terzi, devi avere il preventivo consenso SCRITTO del soggetto... ovvero dell'anonimo navigatore che alla certa data ed alla tal ora si è connesso da un certo IP verso un certo sito.
      Ovviamente, ciò è impossibile, e quindi ne discende che è impossibile cedere i log a chiunque.

    Il ragionamento è ancora più lampante se, invece che agli access log, fai riferimento ai log dell'email

    Viene il cliente, e ti chiede i log dell'email di una certa casella... ha pagato e quindi, secondo il tuo ragionamento, sono suoi, vero?
    Bene, viene fuori che la casella è quella della moglie, e lui dopo usa quei log in una causa di divorzio, per dimostrare che la moglie fedifraga lo tradisce.
    Può anche darsi che il marito vinca la causa, ma quel che è certo è che gli alimenti alla ex-moglie li pagherai TU, assieme ad un certo numero di rate del mutuo del suo avvocato, in quanto tu sei responsabile di aver divulgato a terzi dei SUOI dati personali senza la sua autorizzazione.

    Oppure (situazione anche più diffusa): il cliente che chiede i log di una casella per controllare l'attività di un dipendente... altra situazione apparentemente lecita, ma se ci caschi ti invischi in una causa infinita...

    Nota: se il cliente ha un dedicato unmanaged il problema ovviamente non si pone. I dati sono suoi, ed è solo ed esclusivamente sua responsabilità il gestirli secondo la legge.
    Se il cliente ha un dedicato managed... siamo in una zona d'ombra. Dipende anche da cosa c'è scritto nel contratto, e dovrebbe essere il cliente che ti fa firmare un corposo papiro relativamente al trattamento dei dati personali, DPS, accordo di riservatezza ecc.

    Se vuoi discriminare bene le due situazioni, poniti la seguente domanda:

    SE mi ritrovo una richiesta della magistratura di fornirgli quei log, posso liquidarla rispondendogli "il server è in gestione diretta di [...]", oppure non posso farlo?

    Se la risposta è "si", allora è vero: i log sono del cliente e glieli puoi dare.
    Se la risposta è "no" o anche solo "probabilmente no", allora i log sono solo ed esclusivamente tuoi...


  • ModSenior

    Discussione interessante ma si sta andando fuori tema.
    Per chiunque voglia discutere degli aspetti legali, e ripeto, assolutamente interessanti, lo invito a spostarsi nella sezione legale che è frequentata da diversi avvocati ed esperti giuristi che potranno dare il loro contributo.

    Qui l'utente Alessandroweb2 ha solo chiesto quali hosting offrono nel loro pacchetto di hosting la visualizzazione del log degli accessi al suo sito ovviamente.
    Visto che ci sono tante società che offrono questo servizio nel pieno rispetto della legalità, atteniamoci solo alla richiesta di Alessandro.

    Valerio Notarfrancesco