GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/710/01.jpg

Dettaglio news
I paladini dei cookies e della sicurezza: a Firenze si dice “parlare per dar aria alla bocca”


venerdì 9 settembre 2022
di Alessandro Papini - Presidente Accademia Italiana Privacy



Oggi voglio raccontare una storia, purtroppo vera, che è successa ieri. Un nostro partner ci ha inviato una mail dicendosi dubbioso sull’efficacia di acconsento.click, un widget per la conformità del trattamento dati tramite siti web che abbiamo sviluppato con la divisione software dell'azienda del quale sono socio fondatore. In particolare, l'email metteva in dubbio l'essere a norma del sito web shop.acconsento.click. A riprova della supposta "non conformità" del sito web, nell'email è stata allegata la seguente immagine:


Non solo: nell'email, il nostro partner ci comunicava che esistono strumenti gratuiti appositamente pensati per fare questo tipo di check, messi a disposizione dal Garante francese (CNIL) e dal Garante Inglese (ICO). Infine sono stato invitato a seguire le attività del gruppo Monitora-PA. Gruppo che, nel frattempo, pare diventato paladino della guerra ai cookies e in particolar modo a Google Analytics (con tutti i predatori di dati a fini criminali che ci sono sul pianeta chissà cosa gli avrà fatto il gigante di Mountain View a Monitora-PA).

Ad ogni modo io e il mio gruppo di sviluppatori, sempre attenti alle segnalazioni provenienti dai nostri partner e sempre ansiosi di imparare cose nuove, ci siamo messi al lavoro seguendo le sue indicazioni. Abbiamo analizzato l’immagine inviata e ci siamo subito resi conto che quella bella X rossa messa in bella vista a mò di pericolo altro non era che la mancanza di SRI nei link presenti nella pagina. Per spiegarla in parole semplici per chi non è addetto ai lavori, l’SRI non è altro che una sorta di hash, ovvero una stringa univoca generata su di un link che non cambia mai.

A cosa serve l'SRI? Ad essere sicuri che il link non subisca trasformazioni dalla pagina in cui si trova fino all’altra pagina su cui si aprirà quando ci cliccheremo sopra. Il dialogo surreale che vi scrivo è per far capire il funzionamento: “ho un link sulla mia pagina, ok adesso creo l’hash che mi dà il valore 12345678 e sono tranquillo. Hey, qualcuno clicca sul link! Si sono io ma prima di caricare il link voglio calcolare il suo hash. Ecco, l'ho calcolato ed è 12345678, lo controllo ed è uguale al tuo…ok posso aprire il link in tutta sicurezza.”  Ecco, questo è ciò che succede con l’SRI, ovvero l'avere la sicurezza che, nel tragitto da A a B, il link non venga modificato illecitamente. Ottima protezione, soprattutto fino ad un po’ di anni fa quando gli indirizzi iniziavano con http:// e di conseguenza erano modificabili a piacimento.

Ma oggi che i link sono tutti protetti da certificato https:// l’SRI non è una contromisura in grado di aumentare la protezione del link in quanto scardinare un https equivarrebbe a guadagnarsi con diritto il Nobel per la Tecnologia a vita. E, d’altra parte, è utile leggere attentamente ciò che c’è scritto dopo la X rossa: “l’integrità delle risorse secondarie (SRI) non è implementata, ma tutte le risorse esterne sono caricate in https:// . L’italiano è importante!

A questo punto, non ancora paghi, abbiamo deciso di testare il tool utilizzato dal nostro partner per effettuare queste verifiche: non è stato difficile perché è molto pubblicizzato sul sito di Monitora-PA. Si tratta di Webbkoll

 

 

Abbiamo quindi puntato e lanciato Webbkoll sul nostro sito shop.acconsento.click e ci ha reso la seguente schermata:



A questo punto ci siamo divertiti a passare il tool sui vari siti dei Garanti europei e quelli sottostanti sono i risultati che abbiamo ottenuto: 

 

 E questo il risultato su shop.acconsento.click:

 

Ecco poi l’SRI del sito del Garante:


E quello di acconsento.click:

 

Infine ci siamo detti: Monitora-pa sarà sicuramente in regola, ma verifichiamo ugualmente:


Come non detto, non è in regola e non ci sta facendo un bella figura ad erigersi come paladino della sicurezza ed essere a sua volta un colabrodo addirittura senza redirect. E l’Agenzia per la Cybersicurezza Nazionale?



PER CONCLUDERE...

Come sempre, a gridare “al lupo” bisogna Stare attenti e soprattutto essere sicuri che quello che si afferma non possa ritorcesi contro di noi. Da parte nostra, io e i miei sviluppatori, abbiamo passato un’ora del nostro tempo divertendoci come matti con la consapevolezza, oggi rafforzata, che chiunque si può permettere di fare il grande inquisitore ma pochi, veramente pochi hanno in realtà il “fisique du role” per poterlo fare ed essere credibili.

A questo proposito dovremmo tutti riflettere sul motivo di certe crociate anti quello o anti quell’altro. Molto spesso, dietro queste campagne non ci sono specialisti della materia che cercano di tutelare per davvero i nostri dati e la nostra privacy, ma gruppi politicizzati al servizio di questa o quella lobby nati con il solo scopo di deviare il business da una parte ad un'altra. E’ ora di iniziare ad approfondire in proprio le notizie che ci vengono propinate dalla rete, mettendo un freno alla credibilità di ogni fonte perché di questo passo, ai primi freddi faranno apparire anche Babbo Natale che si schiererà con l’Ucraina o con la Russia a seconda della fazione alla quale sarà venuta l’idea.




CONDIVIDI QUESTA PAGINA!