3944289_acd21023

In una recente ricerca è risultato che di 1200 applicazioni per cellulare prese in esame molte utilizzavano informazioni e dati che non erano necessari per lo scopo dell’applicazione stessa.

In pratica capita spesso che un’app che scaricate magari per giocare a Tic Tac Toe vi chieda durante l’installazione il permesso di leggere i dati della rubrica e del GPS. La maggior parte delle volte l’utente dà il suo OK, perché altrimenti l’app non si installa e noi non possiamo giocare a Tic Tac Toe.

Ulteriore risultato della ricerca, il 15% delle app esaminate non forniva una descrizione chiara e a norma di legge di come avrebbe usato i dati raccolti.

Poi veniamo a qualche esperienza diretta. Io ho un telefono Microsoft. Sì, e allora? Mi piace l’interfaccia grafica ed è veloce. Ti vedo utente Apple che storci il naso e già ti senti superiore. Devo dire che però una cosa abbastanza scellerata del mio telefono Microsoft è la gestione dell’autenticazione OAuth.

Di che si tratta? Avete presente quando la vostra app che so, del club doposcuola di vostro figlio, vi dice ad esempio “fai login con Facebook”? Benissimo. In questi casi significa che chi ha sviluppato la app semplicemente non vi vuole far annoiare “creando e confermando” un nuovo account sulla loro app e decide di riconoscere la vostra identità attraverso Facebook (potrebbe essere Twitter o Google, è lo stesso).

In questi casi quello che succede è che l’app ci mostra sullo schermo una pagina che viene direttamente dai server di Facebook dove noi inseriamo username e password. Facebook stesso restituisce il controllo alla app insieme ad un token, ovvero una specie di password temporanea che noi utenti non vediamo proprio, che da questo momento potrà essere usata dalla app per ottenere da Facebook le informazioni personali che attestano la nostra identità.

Questo passaggio è critico, infatti la schermata in cui inseriamo username e password deve assolutamente venire dai server di Facebook e non deve essere generata dalla app. Questo per garantire che la app non riceva mai in chiaro la nostra password.

In genere nei browser web questo è verificabile sulla barra dell’indirizzo dove possiamo vedere il lucchetto e affianco leggere il nome del server “www.facebook.com”.

Purtroppo su Windows Phone (almeno nella versione 8.*) non è così chiaro da dove provenga la pagina che chiede di inserire username e password: non si vede un certificato, non si vede il famoso lucchetto del browser che in genere consente di capire che la connessione verso un certo server è certificata.

Per la gioia di mio figlio adolescente e ifonista (double trouble), mentre scrivo queste righe abbiamo verificato che invece iOS 10.2 gestisce la cosa correttamente aprendo una vera finestra di Safari con lucchetto e nome del server ben visibile.

Picture © Copyright Brian Robert Marshall and licensed for reuse under this Creative Commons Licence.

Annunci