Home
Nontiscordardimé

09 Novembre 2015

Nontiscordardimé

di

Entro per la seconda volta in un sito, che mi riconosce senza inserire username e password. Bello, ma come funziona?

Capita su parecchi siti web, sarà capitato anche a voi. Nel riquadro dove i visitatori registrati possono inserire nome utente e password appare anche una casellina quadrata, Ricordati di me. Se la spuntiamo, possiamo tornare su quel sito – anche a giorni di distanza, anche dopo aver chiuso e riaperto il browser – senza inserire nuovamente le credenziali. Bel trucco. Ma vi siete mai chiesti come funziona davvero questa memorizzazione, se introduca rischi, se e quando valga la pena di usarla? In altre parole, perché sulla maggioranza dei siti il ricordo della visita svanisce al termine della visita stessa, come un bel sogno al risveglio?

Fumetto in cui un ragazzo si sveglia eccitato dal sogno notturno e corre a raccontarlo, ma l'ha dimenticato prima di raggiungere la compagna.

Aveva a che fare con una spada, una coppa, una collina e un albero, mi pare.

Se non ci fermiamo troppo a pensarci, sembra che non ci voglia molto. Ogni visione di una pagina su un sito web sarebbe una visita a sé, come abbiamo già spiegato, se non esistesse la magia dei cookie. Una tecnologia semplice, innocua e largamente incompresa. Però, che ci vuole? Salviamo username e password in un cookie permanente e in questo modo alla prossima visita non ci sarà bisogno di reinserirla.

Si potrebbe fare, ma sarebbe una ingenuità pericolosa. Mi spiego. Il traffico da e per un sito web http viaggia in chiaro, in forma completamente intercettabile. Per esempio, se mi fermo in un Internet Café e apro Apogeonline sul mio portatile (tablet, smartphone o notebook), il mio browser manda i cookie al server in un formato che tutti gli altri avventori possono sbirciare senza problemi. Se ci fosse un cookie che contiene i dati con cui io commento il blog, qualsiasi altro avventore potrebbe copiarlo, impersonarmi e commentare a mio nome. Quindi, se i programmatori di WordPress – il sistema su cui è basato Apogeonline – usassero i cookie in questo modo sarebbero dei peracottai. Fortunatamente ci vuol poco, usando Google Chrome, per verificare quali e quanti cookie un sito utilizza, e cosa c’è dentro.

Google Chrome mostra come i cookie di Apogeonline siano insicuri.

Oops.

Avviso ai naviganti: se usate un sito per qualcosa di importante, scegliete di non usare la funzionalità ricordati di me perché comunque essa è, per sua natura, un po’ insicura. E voi, in quanto meri utilizzatori del sistema, non avete controllo sul modo esatto in cui l’informazione viene processata. Specialmente se c’è sotto WordPress.

Chi di web ne mastica si chiederà a questo punto se c’è un modo consigliato con cui può dare vita alla funzionalità ricordati di me. La risposta è positiva, ma ci vuole un po’ di lavoro. In sintesi: nel cookie mettiamo una password usa-e-getta, unica e casuale. Sul server ne esiste una copia cifrata, che viene verificata quando tornate; se coincide, la sostituisce immediatamente con un’altra che verrà consumata alla prossima pagina visitata; se non coincide deduce che un altro avventore del vostro Internet Café ve l’ha rubata e ve ne informa.

Come sempre, a guardare cosa fanno quelli bravi c’è sempre da imparare. Se andate su Amazon, verrete riconosciuti e salutati grazie a un sistema ricordati di me (realizzato nel modo appena spiegato e relativamente sicuro); potete navigarlo e fruire del suggerimenti personalizzati. Però non appena provate a fare qualcosa di impegnativo, come chiudere un acquisto – zac! – scatta la richiesta di username e password.

L'autore

  • Luca Accomazzi
    Luca Accomazzi (@misterakko) lavora con i personal Apple dal 1980. Autore di oltre venti libri, innumerevoli articoli di divulgazione, decine di siti web e due pacchetti software, Accomazzi vanta (in ordine sparso) una laurea in informatica, una moglie, una figlia, una società che sviluppa tecnologie per siti Internet

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.