Home
Designer? Sicuro!

28 Gennaio 2014

Designer? Sicuro!

di

Il design oggi è in parti uguali creatività e solida comprensione delle fondamenta tecniche, come nel caso della security.

Una delle cose più faticose da martellare nella testa dei miei studenti del master in web design è la necessità di interessarsi alla sicurezza. I creativi non riescono a concepire la cosa, e posso simpatizzare con la loro riluttanza.
Chi disegna non siti web ma, putacaso, personaggi per un cartone Pixar può fare affidamento sul fatto che dopo di lui passerà un esperto di texture, che farà risultare realistici i vestiti. Poi un esperto di luci che metterà a posto l’illuminazione del personaggio. Eccetera, ad libitum, ciascuno dipendente dal lavoro dei precedenti ma libero di compiere le sue scelte indipendentemente, se vuole. Al contrario, il web designer non può sperare che dopo di lui un esperto di sicurezza renda sicuro il sito. Semmai, andrebbe fatto passare prima. Così si esprime in materia Bruce Schneier su Perché la crittografia è più difficile di quanto si pensi:

La maggior parte dei sistemi in esistenza oggi non viene disegnata e progettata in concerto con i crittografi, ma semmai da ingegneri che pensano alla sicurezza solo come a un altro componente. Non lo è. Non potete rendere un sistema sicuro applicando la crittografia a posteriori. Dovete sapere quel che fate a ogni passo del percorso, dalla ideazione all’installazione.

Per carità, chi di mestiere disegna siti-vetrina può anche vivere una lunga, prosperosa, più che onorevole vita da limatore di pixel in Photoshop e non capire la differenza tra una chiave privata e uno scopino del water. Produrrà comunque siti di primissima qualità e di cui c’è un gran bisogno. Ma d’altra parte un numero sempre maggiore di aziende vuole aggiungere al proprio sito il commercio elettronico, il forum, l’area riservata per clienti e fornitori: tutte cose che devono avere la sicurezza nel DNA.
Sul concreto… snocciolo qualche esempio pratico di questioni che il web designer deve tenere a mente quando abbozza un sito del genere. Insistere per avere https almeno nella pagina del profilo cliente e in quella di login. Non limitare artificialmente la lunghezza delle password. Affiancare alla logora accoppiata username-password anche un sistema di autenticazione in due step, magari appoggiandosi a una infrastruttura esterna come Google Authenticator. Studiare un meccanismo ho dimenticato la password che non faccia affidamento su domande di (in)sicurezza come Qual era il cognome di mamma da signorina.
Poi c’è tutta la spinosa questione della gestione dei numeri di carta di credito, che influenza la disponibilità o meno di meccanismi one-click nell’interfaccia. Ne riparliamo, promesso.

L'autore

  • Luca Accomazzi
    Luca Accomazzi (@misterakko) lavora con i personal Apple dal 1980. Autore di oltre venti libri, innumerevoli articoli di divulgazione, decine di siti web e due pacchetti software, Accomazzi vanta (in ordine sparso) una laurea in informatica, una moglie, una figlia, una società che sviluppa tecnologie per siti Internet

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.