Blog

kindness cookie

Incredibile: l'applicazione della legge sui cookies sta amplificando le minacce alla sicurezza dei nostri dati. Fino a qualche tempo fa ci veniva consigliato di disabilitare o bloccare i cookies e addirittura di cancellarli per limitare l’intromissione nella nostra privacy, ora ci viene detto invece di accettarli altrimenti non puoi navigare: come cambia la prospettiva!!!.

Se è vero che tanti siti hanno adottato i prescritti di legge, all'ultimo minuto, è anche vero che l'utenza di questi siti sta trovando noioso e invadente il banner sui cookie che ogni tanto appare, e le lamentele crescono, con manager che borbottano alla ricerca di una soluzione meno invadente e più usabile. Ma ci sono veramente soluzioni che permettono di abbandonare i cookie senza perdere il controllo dei nostri dati? Se si abbandonano i cookie, l'ID di sessione che viene registrato nei cookie, come lo gestiamo? Qualcuno ha avuto la bella idea di risponere "semplice: nella URL!!!" e del resto se non accettate il trattamento dei cookie, la session id passa nella url, visto che il sito non vi può far salvare il cookie....

Far passare la SessionID nella url, è ampiamente riconosciuta  non essere una pratica sicura, ed è chiaramente testimoniato anche dalla OWASP Top 10, la lista delle più frequenti vulnerabilità applicative,  che ne parla  nel punto A2 (https://www.owasp.org/index.php/Top_10_2013-A2-Broken_Authentication_and_Session_Management);

L'uso della session id nella url, oltre ad esporre al massimo il vostro id di sessione e di conseguenza la vostra capacità di azione su quel sito, potrebbe finire in qualche bookmark o ancora peggio nella url di qualche  qualche post su social network;  ma soprattutto potrebbe essere un canale di attacco alla session fixation, una  vulnerabilità con cui un malintenzionato, mediante un link che riesce a farvi clickare , vi costringe cad usare un session id scelto da lui per un'attività malevola. E' quindi chiaro che la session id nella url rappresenta la scelta peggiore che si può fare dal punto di vista della sicurezza.

Tutto questo senza considerare che anche Google sconsiglia l'uso delle session ID nelle url https://static.googleusercontent.com/media/www.google.com/it//intl/it/webmasters/docs/search-engine-optimization-starter-guide-it.pdf

Insomma, una legge nata per sensibilizzare e proteggere i nostri dati alla fine rischia di ottenere l’effetto contrario: aumentare le minacce alla sicurezza delle nostre informazioni in cambio dell’usabilità dei servizi web di Internet...che dire, grazie Garante per aver fatto un provvedimento così mal scritto? Non è la prima volta e non sarà neanche l’ultima, ma certamente l’incapacità di certi personaggi e dei loro consiglieri di riuscire a valutare correttamene e compiutamente gli effetti delle scelte che adottano,   sta diventando troppo frequente e  ingombrante, con effetti negativi sul business e sulle persone.

cookie lawCookie law, orma gira sui social e sui giornali online allo stesso ritmo di oroscopo e previsioni meteo; forse la maggior parte delle persone non se ne era neanche preoccupata di questi "cosi" tecnici, del resto all'uomo della strada non interessa tanto conoscere cosa c'è dietro un servizio quanto usare il servizio: basta vedere l'uso disinvolto delle app, tutti accettano tutto altrimenti non funzionano.....

Eccoci quindi al primo grande errore, il Garante ha essenzialmente parlato di cookies di siti web, trascurando che i cookies non sono un concetto riservato ai siti web ma anche ai milioni di  App Mobile che tutti noi, Garante compreso, usiamo quotidianamente, e che quotidianamente ci tracciano e ci profilano......

Secondo Errore, una parte di utenti, quelli più paranoici e i tecnici, talvolta quotidianamente utilizzano tool come ccleaner per la pulizia del pc, cookies compresi. Questi utenti ogni volta che fanno girare i loro tool si ritroveranno riproposto il messaggio sui cookies da parte di tutti i siti che visitano: cavolo che scocciatura!

Terzo ma non ultimo, provate a spiegare al commerciante del Texas, che ha il suo bel sito di ecommerce di prdotti di elettronica e che vende in tutto il mondo, che se fra i suoi visitatori ci sono Italiani, deve fornire informativa sui cookies e eventualmente richiedere consenso, magari che se arrivano visitatori dal Kazakistan deve mettere un banner di tipo X, che se invece arrivano dal Giappone deve richiedere l'autorizzazione per la Japan commerce act..... l'ecommerce e Internet diventano una follia!

Ho la sensazione che i soggetti che hanno pensato e scirtto questo provvedimento, e non parlo solo di Garante Italiano e dei suoi stakeholder,  siano fortemente dissociati dal mondo reale,  in cui le persone sono interconnesse H24,  in cui la globalizzazione dei mercati e degli strumenti di comunicazione è la leva della nuova economia. Nel 2015 non si può pensare di ragionare e disciplinare l'IT e Internet come all'epoca della guerra fredda. 

Non è più pensabile di definire confini digitali come se fossero confini tradizionali, o meglio lo si può anche fare ma poi vai a peseguire chi dall'altra parte del mondo viola il tuo dettato! al più  persegui quelli che in casa tua non seguono le tue regole, è facile fare i duri con i deboli.

Ultimanente la politica e le istituzioni dimostrano, come in questo caso, di avere persone inadeguate, non al passo coin itempi, per poter comprendere correttamente cosa sta succedendo, siamo come nella londra del 1865 che cercava di arginare il progresso introdotto dalle automobili con il "locomotive act" 

Oggi patch di Acrobat, ieri c'era l'aggiornamento di Java, ierilatro quello di flash, domani è il patch day Microsoft.... forse sabato rilasciano la patch del nostro applicativo e poi c'è il fix per Tomcat: un patch continuo in severfarm senza dover minimamente impattare sui clienti

Provate a pensare se accettereste di buon grado, quasi quotidianament, di portalre la vostra auto in assistenza per aggiornamenti, una volta il fix del navigatore, una volta quello dello sterio, un'altra uno sbalzo di tensione sulle candele, fix per la pressione delgli iniettori: Ma siamo matti? Io no, non ho tempo da perdere, ma subisco come tutti i vari patch day dei vari brand, e non si tratta di concentrarli tutti in un giorno, ma si distribuiscono in fix che almeno un paio a settimana arrivano. Tutto tempo, quello dedicato al patching, che impatta sui clienti e sulla disponibilità delle piattaforme utente . Microsoft, Oracle, Google, sembrano ormai sfidarsi nella corsa al patching... .questa è la qualità dei prodotti che abbiamo, non ci meritiamo di più? magari meno fronzoli cosmetici ma sistemi più stabili!