MySQL illegale in Italia da Luglio 2009

Riporto con piacere l’appello di My B Side riguardo il problema della privacy riferito all’utilizzo di DBMS.

Il Garante ha scritto nelle sue FAQ che

19) La registrazione degli accessi è relativa al sistema operativo o anche ai DBMS?
Tra gli accessi logici a sistemi e archivi elettronici sono comprese le autenticazioni nei confronti dei
data base management systems (DBMS), che vanno registrate.
e
Le registrazioni (
access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.

Questo significa, per chi ha un mysql server, che bisogna aggiungere a my.cnf
log = /var/log/mysql/mysql.log
Il problema qual è ? Il problema è che così facendo mysql logga tutto: connect, query, quit

Time Id Command Argument
090611 21:33:43 1 Connect debian-sys-maint@localhost on
1 Quit
2 Connect debian-sys-maint@localhost on
2 Quit
3 Connect debian-sys-maint@localhost on
3 Query show /*!40003 GLOBAL */ variables
3 Quit
4 Connect debian-sys-maint@localhost on mysql
4 Query select @@version_comment limit 1
4 Query show variables like ‘datadir’
4 Quit
5 Connect debian-sys-maint@localhost on
5 Query select @@version_comment limit 1
5 Query SELECT count(*) FROM mysql.user WHERE user=’root’ and password=’password’
5 Quit
6 Connect debian-sys-maint@localhost on
6 Query select @@version_comment limit 1
6 Query select concat(”select count(*) into @discard from `”,
TABLE_SCHEMA, “`.`”, TABLE_NAME, “`”)
from information_schema.TABLES where ENGINE=”MyISAM”

Ovviamente l’installazione di un semplice cms tipo joomla/drupal/wordpress implica una serie di query ben maggiori e quindi overhead diffusi, memoria sprecata, I/O ridotto, cpu più carica. Non parliamo poi del requisito relativo all’integrità dei log… mysql scrive su un file di testo quindi pure qui direi che non ci siamo.
Una grossa azienda non avrà problemi ma una piccola azienda, magari una start-up, dovrà farsi carico di questi COSTI maggiori e in generale i responsabili IT saranno responsabili penalmente di ciò.
Le soluzioni ?
1) Migrare verso altri prodotti con relativi costi e tempo sprecato.
2) Lasciare tutto così sperando di non esser beccati.
3) Usare qualche prodotto di terze parti che comunque non può coprire tutti i requisiti di questa legge.
4) Migrare il proprio portale verso un cms che utilizzi file di testo al posto di database tipo FlatNuke
..

Io vorrei tanto sapere chi è stato consultato per emanare questa norma e queste FAQ ma credo che non lo saprò mai per via della… privacy !

Non posso che appoggiare le perplessità di questo utilizzatore di DBMS di MySQL in particolare (il problema si pone a prescindere dal tipo di db).
E’ proprio vero che un certo garantismo arruffone non garantisce proprio nessuno.

Invito i colleghi informatici e gli utilizzatori a proporre soluzioni e iniziative.

Link: MySQL illegale in Italia da Luglio 2009