Buongiorno nexiane, sinceramente mi sento un po' cretino a parlare ANCORA, nel 2022, di interoparabilità, come se negli ultimi 40 anni (almeno) non fosse successo nulla, come se ad ogni "innovazione" (in realtà servizio, pure pubblico in questo caso) fosse necessario ripetere tutto da capo, come un disco rotto... ma qui siamo, vorrei davvero che andassimo /oltre/ (c'è tanto da fare per le persone di buona volontà) ma siamo /zavorrati/ qui.
Questa è una storia di ordinaria sudditanza digitale imposta dai burocrati che "fanno le cose" APPOSITAMNETE a metà [1], perché non ci vorrebbe nulla a imporre come /requisito/ tecnico che i fornitori di SPID forniscano i dati per accedere ai loro sistemi TOTP, magari anche obbligarli a usare un servizio interoperabile (adesso lo fanno per convenienza), perché sarebbero capaci di riscriverlo da zero pur di renderlo non interoperabile! ...perché è di questo che siamo parlando, di fornire i dati TOTP per la propria utenza SPID in modo del tutto analogo a quanto succede per le utenze email con SMTP e IMAP; a meno che qualcuno mi dimostri che va bene così, che possiamo mettere in soffitta l'interoperabilità (l'email manco a dirlo, è preistoria!), perché tanto ci sono le App proprietarie (traccianti, ma non è questo il punto) Un compagno di interessi ci ha segnalato [2] questo interessante aricolo: https://www.lealternative.net/2022/02/02/quale-spid-scegliere/ «Quale SPID scegliere?» --8<---------------cut here---------------start------------->8--- Purtroppo tutti i provider SPID richiedono, per la creazione del codice OTP (cioè il codice di sei cifre che viene richiesto ogni volta), l’installazione di una loro applicazione oppure l’invio di un SMS. Secondo noi questo è un grande difetto al quale il Governo poteva (e probabilmente può ancora) trovare una soluzione. L’utilizzo di un loro codice OTP non è infatti sinonimo di maggiore sicurezza. È stato dimostrato infatti che l’algoritmo utilizzato, quantomeno da Aruba e Lepida (e verosimilmente anche da tutti gli altri), è sempre lo stesso ovvero l’algoritmo TOTP. Non c’è dunque nessuna motivazione di sicurezza dietro questa scelta scellerata ma solo evidentemente la necessità di mantenere gli utenti attaccati alle varie applicazioni proprietarie. Applicazioni che però potrebbero non funzionare su smartphone degooglizzati e che sono letteralmente superflue se lo scopo è solo quello di generare un codice che potrebbe essere generato da qualsiasi applicazione libera come ad esempio Aegis Authenticator. È anche per questo che scriviamo questo articolo: cosicché possiate scegliere l’applicazione meno impattante dal punto di vista dei traccianti e dell’usabilità. --8<---------------cut here---------------end--------------->8--- Sono pronto a scommettere che lato server usano pure software libero, ma solo perché è gratis. Se volete davvero comprendere gli insopportabili mezzucci che i provider SPID mettono in pratica per impedire ai propri utenti di venire a conoscenza dei BANALI parametri per le loro applicazioni preferite [3], leggete qua: https://archive.ph/IDvjY#selection-43.0-47.55 «SPID e Google Authenticator - Quando l'interoperabilità viene ostacolata di proposito» di Jacopo Jannone, 9 Marzo 2021 --8<---------------cut here---------------start------------->8--- Di fatto il codice QR contiene soltanto un URI con la seguente struttura: otpauth://totp/?secret=SEGRETO&algorithm=HASH&period=INTERVALLO&digits=CIFRE in cui sono ben riconoscibili i quattro parametri appena descritti. Eventualmente possono essere inclusi anche ulteriori parametri come il nome del servizio e l’username. [...] I provider SPID usano l’algoritmo standard TOTP per la generazione dei codici OTP, ma tentano di impedire che si usino app diverse dalla loro distruggendo l’interoperabilità che lo standard garantisce, e probabilmente limitando anche l’esperienza d’uso degli utenti. --8<---------------cut here---------------end--------------->8--- Per usare altro software, quindi, basterebbe che ci forniscano quei maledetti parametri... oppure possiamo fare reverse engineering, per fortuna ci è ancora concesso, esattamente come nel 1980. «Is there anybody out there?» Saluti, 380° [1] non venite a dirmi che si tratta di ignoranza o stupidità, non credo a Babbo Natale da un pezzo [2] via canale Telegram https://t.me/c18e_community della community «Cittadinanza Digitale e Tecnocivismo» [3] alcuni, tra cui io, usano OTP via riga di comando (pass-otp su https://www.passwordstore.org/)... perfino dentro Emacs; tranne che con SPID perché sono costretto a usare gli SMS per non installare quelle app che NON voglio -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
signature.asc
Description: PGP signature
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
