Menzonie e Bugie

Ho scaricato la versione demo di un programmino di Timex (Time Sheet e Spese), giusto per vedere cosa realizza la concorrenza.

In abbonamento costa 1 CHF al giorno, poco, a onor del vero: vediamo cosa fa e soprattutto come lo fa.

Dopo aver scaricato l'applicativo senza dover fornire nessun dato personale, ho immediatamente pensato che la ditta produttrice desidera proprio che il maggior numero di persone scarichi il loro applicativo per provarlo e non per crearsi una banca dati di indirizzi, da molestare in un futuro prossimo con email e proposte: non male, almeno qualcuno che crede nel proprio prodotto ed è sicuro di aver realizzato qualcosa di magnifico.

Tolgo l'accesso Wireless (non si sa mai!) e doppio clicco sull'icona di installazione.
Una volta installato, per prima cosa, mi chiede di connettermi alla banca dati ed indicarne il percorso, ma dov'è?
Ok, apro Explorer di Windows, la cerco, la trovo e la definisco quale banca dati; non proprio alla portata di un utente qualsiasi, ma è andata.

Parte il software, e - giustamente - mi richiede la creazione di un utente e la scelta di una password personale.
Sotto, in rosso, una frase mi avvisa che la password me la devo ricordare bene perchè non è resettabile, quindi neanche dal fornitore del software.

In caso dimenticate la vostra password non potrete più accedere al programma.
Una funzione per resettare la password non esiste.
In questo caso si metta in contatto con il produttore del software.

 

Il fatto che non sia resettabile mi rassicura. In nessun caso qualcun altro potrà accedere, se non il fornitore del software con chissà quale procedura complicata. In fondo, come utente, vuol dire che i miei dati sono veramente al sicuro e se la dimentico, in fondo sarà anche colpa mia.

Wow!  ecco un software sicuro, con password criptate e... nessun amministratore per resettarle!

Come tecnico però ciò mi preoccupa un po' e intriga molto.

Ma come, una password non resettabile? Quale cavolo di algoritmo di crittografia avranno utilizzato? Se non è resettabile, allora vuol dire che l'algoritmo è biettivo, in altri termini che la chiave è decodificabile, caso contrario sono morto io, e pure il mio produttore di software, e allora perchè rivolgermi a lui, se non può fare altro che dirmi che sono morto? Ok, allora la chiave è decodificabile e ciò non è buono perchè è da almeno trent'anni che le password non sono (e non devono essere) decodificabili.

Probabilmente siamo in presenza di una sicurezza e protezione della privacy pari a quella di Apple, che pretende di non aprire i propri dispositivi neanche all'FBI in nome della privacy (Affaire à suivre..), di grande attualità in questi giorni.

Indago un po' per vedere come hanno realizzato la questione.

Apro la banca dati e nella tabella degli utenti vedo un campo con le stellettine al posto del testo, Uhmm. Un dlookup("[Password]","[tblUtenti]") mi dà immediatamente, in chiaro, la password. Posso anche cancellarla (cioè resettarla) e l'utente entra senza problema e senza password oppure digitarne una nuova nuova a mio piacimento.
 

Più grave ancora: non solo possa resettarla, ma anche conoscerla e quindi impersonare un qualsiasi utente senza che quest'ultimo se ne accorga!

Tutto ciò senza hackeraggio o altre tecnologie: solo tramite la lettura di una tabella... orripilante!

Ora, anche uno studente di informatica al primo semestre si chiederà:

1) Perchè ad un tale messaggio, che dà un sentimento di sicurezza estrema, soggiace una realizzazione così scadente ed ingenua?
2) Perchè imporre una password quando esse sono resettabili praticamente da chiunque disponga di  3 minuti di tempo?
3) Perchè
chiedere una password quando un qualsiasi utente può imporsonarne un altro a piacimento?

È chiaro che il testo avrebbe dovuto essere:

In caso dimenticate la vostra password non potrete più accedere al programma.
Una funzione per resettare la password non esiste c'è, ma non vi diciamo né dove né come.
In questo caso si metta in contatto con il produttore del software,
che sarà felice di fatturare l'intervento e farvi di nuovo credere che siete al sicuro.

 

Ok, hanno mentito, alla grande: vi richiedono ad ogni accesso una password che non vi protegge e - nel caso in cui la dimenticate - vi fanno credere che solo loro possono risolvere il problema, implementando il tutto in maniera non professionale, menzoniera e volutamente senza una funzione per resettarla (3 linee di codice) che dovrebbe essere pensata ancora prima di realizzare la scheda di accesso al software.

Tradotto in linguaggio comune:

Arrivate in uffico e scoprite che avete perso la chiave. A quel punto il portinaio, vedendovi imbarazzato, vi dice:

"Provate con la chiave del garage. La chiave del garage (che tutti hanno) apre tutte le porte dello stabile!"

Vi sentite presi in giro e immediatamente parte una raccomandata all'amministrazione dello stabile, fate cambiare serratura e se vi ricordate che una volta, quando era sparito quel contratto, sicuramente...

Come sarà scritto il resto del software, se risolve una questione tanto basilare quanto indispensabile in maniera così ingenua, anzi non risolvendola affatto, facendovi credere nella famosa botte di ferro?

Noi affittiamo OfficeNetPoint a circa 3 CHF al giorno.

Fa molto di più, ma la questione non è questa: non è ingenuo, la consulenza di base è compresa e non viene fatturata a CHF 200.-/ora (per magari solo resettare una password e che serve a pagare la stupidità tecnica dell'architetto software) e soprattutto non mente ai propri clienti.

Tutte le funzioni di protezione dell'informazione e di sicurezza sono definibili dall'utente con diritti di amministrazione, senza che quest'ultimo debba essere un tecnico.

OfficeNetPoint dispone di tre diverse metodologie di gestione degli utenti. La più utilizzata è quella che prevede i diritti di accesso in base alle credenziali di accesso Windows.
L'utente non deve neanche eseguire un login nell'applicativo con le sue credenziali, (le ha già date accedendo al suo PC o server), così il problema è risolto in maniera egregia e professionale dai programmatori di Windows, che in questo campo sono sicuramente migliori di noi.

Morale: Se vi dotate di un software, guardate bene a che la ditta non sia costituita da soli venditori, ma che abbia almeno un team di sviluppo degno di questo nome.

Post Scriptum: A proposito dello scaricamento della demo senza richiesta di dati personali: Al primo avvio l'antivirus AVIRA (e pure AVG) mi informano che vi è un malware relativo a un possibile furto di identità e trasmissione di dati sensibili: un falso positivo oppure mia ingenuità per aver creduto che ci sia ancora qualcuno che antepone il piacere di realizzare software ben fatto al fare business?