[AcLab] R: Ancora Open ID

[NW/315]

Angelo Rosina ha scritto:
> --- Gio 10/9/09, Nuccio Cantelmi <n.cantelmi a bluehat.it> ha scritto:
>
>
> Da: Nuccio Cantelmi <n.cantelmi a bluehat.it>
> Oggetto: [AcLab] Ancora Open ID
> A: "ACLab" <aclab a lists.aktivix.org>
> Data: Giovedì 10 settembre 2009, 10:17
>
>
> Leggo da Punto Informatico (http://punto-informatico.it/2705157/PI/News/digitalizzazione-pa-passa-open-id.aspx) che la PA statunitense vorrebbe affidarsi ad Open ID.
> Conoscete già le mie perplessità su Open ID (http://openid.net/) quale strumento di facilitazione del tracking e del controllo.
> Â 
> Condivido i tuoi dubbi, ma del resto mi aspettavo una cosa del genere: esistono migliaia di siti che pretendono la registrazione, e molti utenti si trovano decine di log-in e password da tenere a mente; il risultato Ú che spesso si usava lo stesso login e la stessa password per tutto, dalla posta elettronica, a facebook, a ebay, al sito di condivisione di files, ai forum.
> Il risultato Ú che se uno di questi servizi Ú gestito da persone disoneste, che spiano le password dei loro utenti, usare la stessa password permetterebbe loro di rubare l' accesso a tutto: con OpenId la password viene inserita non nel sito sconosciuto, ma in un sito di cui ci si dovrebbe fidare, che si occupa di "garantire" l' identità al sito, usando informazioni di login specifiche (non Ú il massimo, ed espone a tentativi di phishing, ma Ú sicuramente meglio che dare la stessa password a 50 siti diversi). Ovviamente la soluzione ideale sarebbe di usare una password diversa per ogni servizio, e non scriverla da nessuna parte, ma quanti lo farebbero?
>   

il discorso resta che tutti dovrebbero farlo. il problema relativo
all'uso della stessa pswd per differenti servizi è legato alla cattiva
abitudine della gente e non comporta la necessità o la approvazione di
servizi come open id.
Al contrario questa tendenza va criticata negativamente senza dubbi di
sorta.

> D'altro canto, posso ammettere che la Pubblica Amministrazione voglia affidarsi ad un sistema chiaro, univoco e non equivoco per identificare il cittadino utente dei servizi di e-government. Ma bisogna per forza affidarsi ad un sistema privato ed in mano agli stessi colossi che invadono la rete con la loro pervasività ???
> Â 
> Lo stato Ú sempre indietro con i tempi, in queste cose (spesso sono riconosciuti legalmente come supporti di backup solo supporti obsoleti, ad esempio). Non Ú strano che abbia deciso di appoggiarsi a qualcosa che esiste già , piuttosto che tentare di realizzare qualcosa di nuovo senza sapere come fare (del resto, ricordate quando avevano tentato di realizzare Quaero? un mucchio di rumore e di spese, e l' unico risultato Ú il quasi sconosciuto exalead), e che sarebbe obsoleta prima ancora di essere completa.
>
> E la firma digitale, che fine ha fatto? Meglio Open ID di una smart card?
> Â 
> Una smart card sarebbe una buona soluzione, ma quanti computer hanno lo slot per inserirla?
> Il famigerato chip Fritz (che era poi un coprocessore crittografico) sarebbe potuto servire allo scopo, ma avrebbe limitato l' accesso ad un solo computer (e se si guastava, si rimaneva tagliati fuori), e presentava più problemi che vantaggi, in fatto di sicurezza (oltre alla pessima fama, dovuta al suo probabile impiego nel TCPA)
> Â 
> Forse la soluzione migliore sarebbe un coprocessore crittografico USB: i dati vengono inviati al chip (che li cripta e li decripta, senza trasmettere mai al computer la chiave privata, ma solo la chiave pubblica). L' utente, quando non ne ha bisogno, toglie il dispositivo (così nessuno potrà usarlo per DRM o altri usi indesiderati), e può spostarlo su qualsiasi computer (senza il pericolo, se uso un computer che non conosco, che un keylogger mi rubi la password)
>   
l'idea è buona ma non dimentichiamoci: primo di quante volte
comunichiamo con la PA in un anno; poi di quante volte abbiamo la
estrema necessità di farlo da un computer non nostro.
Certo nei casi in cui siamo costretti a farlo, la soluzione di avere un
pezzo di hardware in tasca è ottima.


> Ed anche nel caso di smart card, come evitare di cadere nel tranello del divieto di navigazione anonima suggerito da molti (in Italia abbiamo la proposta dell'On.le Carlucci che da varietà e ballerina Ú stata promossa ad esperta di politiche della rete....)?
> Â 
> Â 
> Una ID univoca, che permetta di risalire con certezza ad una persona, può anche avere la sua utilità , soprattutto nel commercio elettronico (così se io mando i soldi, la merce non mi arriva e il venditore non risponde più Ú possibile rintracciarlo per chiedere il rimborso).
>   

di solito nei siti che forniscono servizi di commercio elettronico
questo risultato è praticamente garantito con altre soluzioni.
In pratica non c'è bisogno di open id.
Sinceramente non capisco dove sia il vantaggio offerto da questo
servizio e soprattutto dove sia quello dell'utente. Se parliamo di
maggiore sicurezza, io continuo a dire che la sensazione di essere
sicuri e protetti deve essere consapevole. la certezza non deve derivare
da un servizio, solo perché ce lo mettono a disposizione dicendoci che è
sicuro. Le favole continuano a raccontarle anche agli adulti che
continuano a crederci.
La rete è piena di esempi di grossi fornitori di servizi che venivano
offerti come sicuri che poi si sono persi milioni di dati sensibili
degli utenti.
Personalmente credo che il processo che si sta insinuando nella nostra
società digitale sia quello di far fare le cose ad altri e godere solo
di servizi. Questo contribuisce a creare anche uno status di dipendenza
ed una perdita di capacità da parte dell'utente.
Il discorso è molto più ampio e per quanto mi riguarda parte dal
principio che se di una cosa non ho assoluta necessità è meglio.. perché
non la utilizzo. (KISS)
Se poi facciamo diventare open id uno strumento obbligatorio o
assoultamente necessario, la colpa è solo nostra che abbiamo deciso di
utilizzarlo solo per non sprecare del tempo a creare delle pswd sicure e
differenti per ogni connessione a servizi terzi. La cosa mi sembra
davvero ridicola, dover utilizzare un servizio solo per non avere voglia
di gestire le proprie password come si deve...
Sinceramente mi sembra che non trovare il tempo sia una scusa e che
invece ci sia una tendenza all'apatia informatica.


> Naturalmente, esistono situazioni perfettamente legali in cui si preferisce restare anonimi (ad esempio la discussione di problemi di salute), e nessuno vorrebbe usare una OpenId in tale sede.
> Per adesso il problema non si pone, ma si porrà nel caso in cui la openID venisse fornita dal provider al momento della connessione (basandosi sui dati dell' abbonamento), perchÚ in tal caso non sarebbe più possibile disattivarla.
>   
io credo che invece il diritto all'anonimato sia tale a prescindere
dall'argomento che si tratta.
Ricordo solo per fare un esempio che la corrispondenza cartacea è
protetta da severe norme; non si comprende perché, visto che quella
digitale senza certi accorgiment non è altrettanto sicura, non si possa
pensare di proteggerla con metodi che la rendono abbastanza sicura,
ripeto, a prescindere dal contenuto.
torno a dire, crittare e firmare, semplice e gratuito. Se la
corrispondenza è privata, il fatto che sia crittata o meno non deve
interessare nessuno. Se il fatto che una chiave privata potrebbe
comportare la necessità di lavorare 150 anni per decrittarla da fastidio
o comporta difficoltà, beh, ci troviamo di fronte ad una piccola goccia
di privacy in mano agli utenti contro un mare di attività invasiva posta
in essere da un sacco di gentaglia.

Tutto il resto sono cose in più che non sono assolutamente necessarie.
- mio personale parere-

>
>
> Gnuccio
>
> -- Nuccio Cantelmi AKA GNUccio
> www.nucciocantelmi.it
> Anti Cloud Computing Laboratory - http://aclab.indivia.net/
> Feudalesimo Digitale - www.feudalesimodigitale.net
> Hacklab Catanzaro â?? www.hlcz.it
>
>
>
> _______________________________________________
> AcLab
> http://aclab.indivia.net
> AcLab mailing list
> AcLab a lists.aktivix.org
> https://lists.aktivix.org/mailman/listinfo/aclab
>
>
>
>       
>   
> ------------------------------------------------------------------------
>
> _______________________________________________
> AcLab
> http://aclab.indivia.net
> AcLab mailing list
> AcLab a lists.aktivix.org
> https://lists.aktivix.org/mailman/listinfo/aclab
>   


-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  267 bytes
Descrizione: OpenPGP digital signature
URL:         <https://lists.aktivix.org/pipermail/aclab/attachments/20090910/ee9218e1/attachment-0001.pgp>