L’ingresso di palmari, tablet e simili in azienda è uno dei tanti fenomeni inevitabili. Mi sembra che assomigli al passaggio dal mainframe ai sistemi distribuiti, e non a caso il calo di sicurezza degli apparati viene paragonato a quello degli albori di Windows. Su questo tornerò un altro giorno, ma adesso vorrei mettere l’accento su uno dei tanti problemi di sicurezza collegati a questi apparati e che probabilmente sfugge a molti degli utenti, professionali o domestici che siano. Qualche giorno fa chiacchieravo con un collega di app rischiose, e in particolare di quelle che visualizzano documenti di formati inusuali. Date le risorse di calcolo limitate di questi strumenti, è comune che l’app non sia altro che un’interfaccia che manda il documento ad un server, il quale lo interpreta e lo restituisce visualizzato come pagina HTML o altro. Quindi sì, queste applicazioni mandano i vostri documenti riservati ad un server gestito da chissà chi. Un sistema semplice per vedere se l’app che state usando si comporta in questo modo, è mettervi off-line e provare a leggere un documento: se l’app ha bisogno di connettersi ad un server si lamenterà e vi dirà che non può visualizzare il documento. Quanti documenti superriservati interni aziendali viaggiano felicemente verso server in mezzo mondo? Scherzavamo sul fatto che questi server potrebbero preparare delle “bustone sorpresa” come quelle di Natale per i bimbi: 10.000 documenti assortiti per 10 euro, se siete fortunati ci trovate un documento di grande valore… 😉 Ma ripensandoci, c’è un altro aspetto interessante, e cioè l’interfaccia fra la app e il server. Qualcuno si illude che sia sicura? E quindi, non sarebbe un buon vettore sia per attaccare l’apparato, sia per andare “a pesca” di documenti sul server?
Ma quello che mi ha spinto a scrivere il post è un altro problema, simile. È noto che Opera è un ottimo browser per gli smartphone perché usa un proxy con un meccanismo di compressione. Anche grazie ad un articolo di InfoWorld, ho deciso di considerare di installare Opera sul tablet Android nuovo che mi sono appena comprato (grande soddisfazione!), e mi sono trovato davanti alla scelta fra Opera Mobile e Opera Mini. Opera Mini è pensato apposta per gli smarphone perché utilizza quel meccanismo di compressione… e naturalmente mi sono chiesto: ma con le connessioni SSL, come fa? La risposta, ovvia, è nella FAQ di Opera Mini:
Is there any end-to-end security between my handset and — for example — paypal.com or my bank?
Opera Mini uses a transcoder server to translate HTML/CSS/JavaScript into a more compact format. It will also shrink any images to fit the screen of your handset. This translation step makes Opera Mini fast, small, and also very cheap to use. To be able to do this translation, the Opera Mini server needs to have access to the unencrypted version of the webpage. Therefore no end-to-end encryption between the client and the remote web server is possible. If you need full end-to-end encryption, you should use a full web browser such as Opera Mobile.
Naturalmente, tutti ci fidiamo di Opera… specialmente poi se lo comprasse facebook, come si rumoreggia 😉
