L'enigma della casella

Nontiscordardimé

di

thumbnail

09

nov

2015

Entro per la seconda volta in un sito, che mi riconosce senza inserire username e password. Bello, ma come funziona?

Capita su parecchi siti web, sarà capitato anche a voi. Nel riquadro dove i visitatori registrati possono inserire nome utente e password appare anche una casellina quadrata, Ricordati di me. Se la spuntiamo, possiamo tornare su quel sito – anche a giorni di distanza, anche dopo aver chiuso e riaperto il browser – senza inserire nuovamente le credenziali. Bel trucco. Ma vi siete mai chiesti come funziona davvero questa memorizzazione, se introduca rischi, se e quando valga la pena di usarla? In altre parole, perché sulla maggioranza dei siti il ricordo della visita svanisce al termine della visita stessa, come un bel sogno al risveglio?

Fumetto in cui un ragazzo si sveglia eccitato dal sogno notturno e corre a raccontarlo, ma l'ha dimenticato prima di raggiungere la compagna.

Aveva a che fare con una spada, una coppa, una collina e un albero, mi pare.

Se non ci fermiamo troppo a pensarci, sembra che non ci voglia molto. Ogni visione di una pagina su un sito web sarebbe una visita a sé, come abbiamo già spiegato, se non esistesse la magia dei cookie. Una tecnologia semplice, innocua e largamente incompresa. Però, che ci vuole? Salviamo username e password in un cookie permanente e in questo modo alla prossima visita non ci sarà bisogno di reinserirla.

Si potrebbe fare, ma sarebbe una ingenuità pericolosa. Mi spiego. Il traffico da e per un sito web http viaggia in chiaro, in forma completamente intercettabile. Per esempio, se mi fermo in un Internet Café e apro Apogeonline sul mio portatile (tablet, smartphone o notebook), il mio browser manda i cookie al server in un formato che tutti gli altri avventori possono sbirciare senza problemi. Se ci fosse un cookie che contiene i dati con cui io commento il blog, qualsiasi altro avventore potrebbe copiarlo, impersonarmi e commentare a mio nome. Quindi, se i programmatori di WordPress – il sistema su cui è basato Apogeonline – usassero i cookie in questo modo sarebbero dei peracottai. Fortunatamente ci vuol poco, usando Google Chrome, per verificare quali e quanti cookie un sito utilizza, e cosa c’è dentro.

Google Chrome mostra come i cookie di Apogeonline siano insicuri.

Oops.

Avviso ai naviganti: se usate un sito per qualcosa di importante, scegliete di non usare la funzionalità ricordati di me perché comunque essa è, per sua natura, un po’ insicura. E voi, in quanto meri utilizzatori del sistema, non avete controllo sul modo esatto in cui l’informazione viene processata. Specialmente se c’è sotto WordPress.

Chi di web ne mastica si chiederà a questo punto se c’è un modo consigliato con cui può dare vita alla funzionalità ricordati di me. La risposta è positiva, ma ci vuole un po’ di lavoro. In sintesi: nel cookie mettiamo una password usa-e-getta, unica e casuale. Sul server ne esiste una copia cifrata, che viene verificata quando tornate; se coincide, la sostituisce immediatamente con un’altra che verrà consumata alla prossima pagina visitata; se non coincide deduce che un altro avventore del vostro Internet Café ve l’ha rubata e ve ne informa.

Come sempre, a guardare cosa fanno quelli bravi c’è sempre da imparare. Se andate su Amazon, verrete riconosciuti e salutati grazie a un sistema ricordati di me (realizzato nel modo appena spiegato e relativamente sicuro); potete navigarlo e fruire del suggerimenti personalizzati. Però non appena provate a fare qualcosa di impegnativo, come chiudere un acquisto – zac! – scatta la richiesta di username e password.




Luca Accomazzi (@misterakko) ha messo le mani su un calcolatore (Apple) nel 1980 e da allora non le ha quasi mai staccate anche se, avendo una moglie e una figlia, viene da sospettare che qualche pur breve pausa l’abbia trovata. Su Internet dal 1992, si dedica a tempo pieno a scrivere siti – circa trecento da fine 1997 – fermandosi solo per scrivere libri per Apogeo (spesso in sodalizio con Lucio Bragagnolo). L’azienda che ha fondato, Accomazzi.net, è specializzata in commercio elettronico e newsletter.

In Rete: www.accomazzi.net

Letto 2.549 volte | Tag: , , , , , , , ,

Lascia il tuo commento