Gli articoli del bravo Francesco Armando su Apogeonline rendono molto bene l’idea di quanta sia l’attenzione generale alla sicurezza e quanto purtroppo i rischi specifici vengano sottovalutati fino a che accade davvero qualcosa.
Apple mostrava solo l’altroieri tra le novità principali di iPhone 5S proprio Touch ID, l’accesso allo smartphone garantito dall’impronta digitale, attirandosi le ironie del giornalista Paolo Attivissimo:
Apple, nel mezzo dello scandalo delle intercettazioni di massa dell'NSA, propone un telefonino che rileva le impronte digitali. Perfetto.
— Paolo Attivissimo (@disinformatico) September 10, 2013
Alle preoccupazioni generali di sicurezza dovremo aggiungere anche il browser. Non solo in termini di phishing ma anche di stoccaggio locale delle informazioni, per via dei progressi compiuti in HTML5. Afferma Steve Orrin, direttore del lavoro sulle architetture di sicurezza in Intel:
Uno dei cambiamenti maggiori consiste proprio nelle nuove funzioni di HTML5. […] È una delle bellezze e anche uno dei pericoli del nuovo linguaggio. È un cambiamento significativo di paradigma, specialmente nei casi dove le applicazioni native funzionano su telefono o tavoletta, dove non agiscono secondo le convenzioni usuali del browser e hanno accesso a risorse interne.
Se prima il browser era limitato alla lettura di dati, con l’eccezione limitata dei cookie (quelli necessari al riconoscimento automatico prima del login o all’esecuzione delle transazioni di commercio elettronico), ora sessionStorage, localStorage e database lato client consentono la memorizzazione sul disco di vaste quantità di informazioni quasi con la stessa libertà che si concede alle applicazioni desktop.
JavaScript, il linguaggio di programmazione residente dentro le pagine Web, consente a un programmatore di accedere a dati interni alla macchina. E le sue possibilità crescono, per esempio con l’aggiunta del cosiddetto cross-origin resource sharing (CORS) che consente l’interazione con informazioni provenienti da dominî differenti, cioè sorgenti che si sperano benevole, ma non danno garanzia automatica di esserlo.
Se vogliamo acqua corrente, dobbiamo essere preparati a tentativi di sabotaggio. Se la comodità e il valore di portarsi un computer in tasca creano bersagli appetiti dai malviventi, il riconoscimento delle impronte digitali può passare da misura repressiva a meccanismo di autoprotezione. L’idea di applicazioni funzionanti nel browser, se non di addirittura sistemi operativi, costringe a pensare alle possibili falle di sicurezza che i progressi tecnologici a disposizione implicano.
La tecnologia moderna ricorda il tiro alla fune applicato a un elastico infinitamente flessibile. Da una parte la sicurezza, dall’altra la libertà di elaborare dati e informazioni; l’elastico va tirato in misura uguale da entrambe le parti. Se una lascia andare l’elastico, l’impatto sarà tanto più doloroso quanto più le due estremità si erano allontanate.
L'autore
Iscriviti alla newsletter
Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo
