Tutti i sistemi che proteggono l’accesso a dati riservati attraverso il meccanismo di codice utente/password sono esposti al rischio che persone non autorizzate scoprano, in un modo o nell’altro, le password di altre e quindi facciano uso di tale password per effettuare accessi non autorizzati.
E’ fondamentale seguire le seguenti regole per la gestione della propria password di accesso al self service:

1. Non scegliere password troppo ovvie: il proprio nome, il nome della squadra del cuore, ecc. sono esempi di password pessime.
2. Evitare di scrivere la password su pezzi di carta facilmente accessibili. Se non si può fare a meno di farsi una promemoria su carta, occorre tenerlo in un posto sicuro e possibilmente senza scrivere a fianco diciture facilmente comprensibili (ad es. "password del self service").
3. Cambiare la password regolarmente, attraverso l’apposita funzione.

Una buona password è:

• facile da ricordare per il possessore, ma difficile da indovinare per gli altri;
• relativamente lunga, rendendola più difficile da scoprire procedendo per tentativi (evidentemente occorre bilanciare questa considerazione con la facilità d’uso);
• contiene non solo lettere ma anche numeri (il numero di possibili combinazioni aumenta notevolmente, rendendo più difficile indovinarla).

Normalmente, quando si accede ad un sito web, il dialogo tra client (browser) e server passa attraverso la rete Internet "in chiaro", incluse le password. Un tecnico sufficientemente attrezzato ed esperto (e che ha accesso a qualche punto intermedio sulla rete) potrebbe essere in grado di intercettare ed ispezionare i messaggi scambiati.

Il volume del traffico è tipicamente così elevato che un esperto dovrebbe dedicare molto tempo per portare a termine questo tipo di intercettazione. Dovrebbe sapere esattamente quando la vittima prescelta si collega, quale indirizzo prende in quel momento, ecc. ecc. Non trattandosi di segreti industriali o di transazioni finanziarie, risulta difficile immaginare con quale motivazione un eventuale malintenzionato investirebbe così tanto tempo.
Tuttavia, abbiamo deciso in ogni modo di utilizzare una particolare variante del protocollo HTTP per il dialogo tra PC e server Web che usa tecnologie crittografiche per codificare i messaggi scambiati. Questo accorgimento dovrebbe praticamente eliminare il rischio di intercettazione, anche se la certezza assoluta è impossibile.

E’ prassi abbastanza comune tra i fornitori di accesso Internet offrire un servizio di "proxy server" con l'obiettivo di velocizzare gli accessi ai siti Internet da parte dei propri utenti. Spesso si consiglia ai propri utenti di farne uso, oppure tale modalità di accesso viene automaticamente programmata nell'installazione di software fornito dallo stesso provider.
Un proxy server memorizza le pagine e le immagini dai siti consultati in una cosiddetta "cache" locale ad esso, nella speranza che ulteriori accessi a tali pagine e/o immagini potranno essere velocizzate perché non sarà più necessario collegarsi al sito originale. I benefici reali in termini di miglioramento sono spesso esigui e tali proxy servers non sono sempre compatibili con tutti i siti.
Infatti, nel caso di accesso al sistema self service attraverso un proxy server, potrebbero facilmente verificarsi malfunzionamenti e, inoltre, esiste il rischio che le pagine consultate contenenti i propri dati personali vengano memorizzate nella cache del proxy server. Tali pagine sarebbero potenzialmente visibili a chiunque abbia accesso a tale cache (tipicamente il personale tecnico del fornitore di accesso) o, nelle peggiori delle ipotesi, a qualsiasi altro utente che cerchi di accedere al medesimo sistema attraverso lo stesso proxy server.
Visto che l’Università non può avere controllo sul proxy server del provider, che potrebbe essere incompatibile con il sistema self service e inoltre non può verificare chi avrebbe accesso alla cache di tale server, è chiaro che l’Università non può assumere responsabilità né per il corretto funzionamento del sistema né per la riservatezza dei dati personali che transitano attraverso il proxy.

Purtroppo, non risulta esistere modo per capire con assoluta certezza quando un accesso avviene tramite un proxy server, per cui l’Università non è in grado di bloccare tale accesso a livello del server web.
Se, nell’ambiente di casa o di lavoro, il browser web che si utilizza è configurato per accedere all’Internet attraverso un proxy server, disattivare tale opzione durante gli accessi al self service.
In alcuni contesti (per esempio, accesso da una rete aziendale), può essere impossibile accedere all’Internet senza passare attraverso un proxy server. In tali casi, sconsigliamo di tentare di accedere al sistema self service.

Tutti i programmi di browser Web memorizzano le pagine scaricate sul disco locale, applicando un concetto di "cache" simile a quello dei proxy server. Questo meccanismo è utile per ottimizzare gli accessi ai siti lontani e consente inoltre di riconsultare le pagine scaricate anche quando non si è più collegati all’Internet.
Tuttavia, nel caso di pagine che contengono dati privati riservati, questo comportamento non è desiderabile, perché potrebbe consentire a chiunque altro abbia accesso al PC di rivedere tali pagine.

L’Università ha compiuto ogni sforzo per cercare, nei limiti della tecnologia a disposizione in questo momento, di costruire le pagine del sistema self service in maniera che il browser web non memorizzi le pagine in locale.
Tuttavia, non avendo controllo sul browser installato né sulla sua configurazione, l’Università non può assumere responsabilità per gli eventuali rischi annessi alla memorizzazione delle pagine del sistema self service sul PC utilizzato.
L’Università consiglia di dotarsi di versioni aggiornate del browser, e possibilmente di utilizzare Mozilla 1.7 o superiore oppure Microsoft Internet Explorer 6 o superiore.
Per alcuni browser, ci sono particolari opzioni da configurare che possono regolare il comportamento del programma in questo contesto.
E' doveroso fare presente che i vostri dati personali possono comunque essere più facilmente accessibili a chiunque altro abbia accesso al PC utilizzato. Consigliamo, nel caso di voler avere assoluta certezza sulla riservatezza dei propri dati personali, di svuotare la cache del browser dopo ogni sessione.
E’ fortemente sconsigliato l’accesso al self service da PC collegati a Internet in posti pubblici (Cybercafé, bar, biblioteca pubblica, ecc.) laddove non si avrebbe né il diritto di interferire con la configurazione del PC né la possibilità di controllare queste situazioni.

E' una caratteristica fondamentale di Internet che l'accesso ad un sito possa essere effettuato indifferentemente da qualsiasi punto sulla rete mondiale. Ovviamente, questo è uno dei punti di forza della rete Internet.
Tuttavia, nel caso di pagine che diano accesso a dati personali e/o aziendali riservati risulta evidente che si potrebbe avere l’esigenza di delimitare l'accesso solo ai computer autorizzati.

Una strategia consiste nel limitare l'accesso ai soli indirizzi IP autorizzati. E' infatti semplice inserire nelle pagine ASP controlli sull'indirizzo IP del PC da cui proviene una richiesta e, volendo, bloccare l'accesso in caso di indirizzo indesiderato (è una delle tecniche applicate per limitare attualmente l'accesso nel sistema self service alla rete di campus).
Nel caso di accessi tramite connessione modem a provider Internet (come sarà per la maggioranza degli utenti domestici) non risulta fattibile filtrare l'accesso in questo modo, perché l'indirizzo IP sarà quasi sempre diverso ogni volta che si connette.
Un’altra strategia, provata nel progetto pilota sopraccitato, è di impiegare la tecnologia dei certificati digitali, ma pur essendo promettente non ci risulta una soluzione gestibile per la Nostra realtà in questo momento.
E’ stato perciò deciso che l’abilitazione dell’accesso via Internet per un singolo studente sarà priva di restrizioni riguardanti il computer utilizzato per l’accesso. Tuttavia, abbiamo ritenuto utile aggiungere alle voci del menù principale dell’applicazione una funzione che consente di visualizzare tutti gli accessi effettuati recentemente alla propria posizione, e consigliamo a tutti gli utenti di controllare regolarmente le risultanze di questa funzione.