[AcLab] minimalismo: contromosse

[Ezu]

Ritengo che, almeno tecnologicamente parlando, la fattibilità
dell'idea di Gnuccio ci sia.

Credo che i punti cardini della strategia siano essenzialmente:
interoperabilità, possibilità di lavorare off-line, impossibilità di
accedere ai dati dell'utente (i contenuti) da parte del provider del
servizio SAAS.

I primi due credo siano sufficientemente facili da superare, esistono
standard aperti e condivisi affinché i dati di un'applicazione SAAS
possano essere condivise (sotto la supervisione dell'utente
proprietario dei dati) tra diversi provider di applicazioni. Fosse
anche soltanto un file xml o un mix - sullo stile ODF che consente di
mixare file strutturati come immagini o video, insieme a file di dati
xml per esempio in unico file compresso -. Per quanto riguarda la
possibilità di lavorare off-line, ci sono tecnologie che permettono di
farlo già oggi, come Google Gears. Certo non è la soluzione, visto che
comunque è un codice chiuso, ma credo sia facilmente superabile se la
comunità degli sviluppatori fosse interessata nello scrivere un proxy
locale di sincronizzazione (perché tanto di quello si tratta).

Resta l'ultimo punto, quella di avere i propri dati salvati nel cloud
e la certezza che nessuno ci metta la mani dentro. Credo che a questo
punto della Storia possiamo affermare senza sembrare dei seguaci di
leggende della cospirazione, che i Governi non consentono che ciò
avvenga. Ogni datastore del mondo dev'essere accessibile ai vari
Governi in caso di indagini, lo abbiamo visto con Microsoft BitLocker,
con Google con i log dei dati di ricerca degli utenti, senza arrivare
ad echelon o altro. Insomma mi sembra piuttosto difficile che ciò
possa avvenire.

Tra l'altro, a me sembra che la sicurezza assoluta di un file criptato
sia quella di avere una chiava asimmetrica unica, in mano all'utente
con una pass-phrase sufficientemente lunga. Questo è l'unico modo per
assicurare l'impossibilità per qualcuno di poter aprire il file se non
al legittimo proprietario. Il problema è che, oltre al fatto che
ognuno dovrebbe avere un software di crittazione di cui fidarsi
ciecamente, ognuno dovrebbe avere un metodo di salvataggio delle
proprie pass-phrase molto sicuro ed affidabile. Il rischio è quello di
perdere i propri dati perché ci si è dimenticati la propria
pass-phrase oppure perché il luogo adibito a raccoglierle è stato
spazzato via da un terremoto/alluvione. Ma rispetto alla questione
legale, credo che questa sia solo una questione tecnica, sicuramente
superabile.

Un osservatore sufficientemente tecnico mi potrebbe dire che il
provider SaaS per offrire il servizio deve necessariamente avere
accesso ai dati :D. Gli darei ragione, per cui credo che, a meno che
non vediamo il provider SaaS solo come un hard-disk nel cloud o uno
strumento di distribuzione di software per il client (magari anche
solo un'applicazione web disconnessa) dove l'applicazione interagisce
con i dati in chiaro, beh credo che il SaaS non abbia in nessun caso i
requisiti necessari alla privacy di cui necessita il sistema di
Gnuccio.

...a meno che... il provider non sia un'entità di cui i cittadini -
gli utenti - decidono di avere fiducia, perché supportata da
sufficienti rassicurazioni sulla affidabilità etica. E qui entra in
gioco il public cloud... ma forse così vado off-topic.

È mia opinione però che l'unico modo in cui le applicazioni possano
davvero ritenersi affidabili, con l'accezione che ognuno di noi vuole
dare alla parola (privacy, accesso indipendentemente dalla
disponibilità di un collegamento o dalla affidabilità del server del
provider, ecc.), è che vi sia un approccio di tipo client-server, che
magari però non necessiti l'installazione, ma che comunque sia una via
di mezzo tra ciò che erano le applicazioni client e quelle che sono le
applicazioni web di oggi. In altre parole i cosiddetti SmarClient. Ciò
anche per la potenza di cui sono dotati finanche i netbook di oggi. È
uno spreco che sarebbe meglio usare a vantaggio degli utenti.

Martino.

2009/9/15 Nuccio Cantelmi <n.cantelmi a bluehat.it>:
> Ritengo si debba ragionare con coerenza. Il nostro obiettivo è quello di
> trovare una risposta minimal al Cloud Computing, ovvero al fatto che i pc
> del futuro non garantiranno prestazioni e costringeranno a servirsi dei
> servizi di rete con tutto ciò che ne consegue nel bene e nel male.
> Ciò posto, la mia domanda è la seguente: quali caratteristiche deve avere un
> pc ed il sistema operativo per avere il minimo di usabilità ed evitare che
> sia costretto, tentato o invogliato a rivolgermi al Saas???
> Se una soluzione esiste già, allora spingiamola. Credo comunque che sia
> molto difficile convincere chi sviluppa su una piattaforma proprietaria a
> passare al floss. La migrazione non è solo una questione di licenza, ma è
> una soluzione aziendale complessa che comporta un profondo stravolgimento
> del paradigma industriale. Mi capita spesso, durante le consulenze alle
> aziende informatiche, di dover spiegare che la politica di licensing precede
> il prodotto, perché ne influenza il modello di produzione e di distribuzione
> ed una volta posto sul mercato è difficile cambiare rotta. Se i signori di
> Geos non comprendono la forza del floss, non sono neppure preparati a
> muoversi verso di esso. E' una questione di convinzione prima che di licenze
> o tecnologie.
> Questo è il primo passo.
> Dopo di che, dovremmo iniziare a ragionare in termini differenti. Posto che
> il Saas ed i suoi derivati sono inevitabili, esiste una soluzione che
> consenta di salvare capra e cavoli?
> Mi spiego meglio. Il provider ha l'interesse ad offrire servizi remoti dai
> propri server. L'utente ha interesse ad avere il proprio desktop a portata
> di mano ed i propri dati disponibili all over the world. Bene.
> Una tecnologia che renda cifrati i dati del fruitore del servizio ed
> accessibili solo a lui, potrebbe risolvere il dilemma.
> Il provider custodisce dati cui non può accedere e non può rivendere (a che
> pro?). L'utente non ha bisogno di portarsi appresso il proprio pc per avere
> a disposizione il proprio lavoro. Nessuno può invadere la privacy di nessun
> altro. Ovviamente, il lock in può essere superato con previsioni
> contrattuali ad hoc, quali backup periodici inoltrati all'utente e
> standardizzazione dei formati.
> Che ne pensate, è fattibile?
>
> Gnuccio
>
>
> --
> Nuccio Cantelmi AKA GNUccio
> www.nucciocantelmi.it
> Anti Cloud Computing Laboratory - http://aclab.indivia.net/
> Feudalesimo Digitale - www.feudalesimodigitale.net
> Hacklab Catanzaro – www.hlcz.it
>
>
>
> _______________________________________________
> AcLab
> http://aclab.indivia.net
> AcLab mailing list
> AcLab a lists.aktivix.org
> https://lists.aktivix.org/mailman/listinfo/aclab
>