Riguardando i miei ultimi post, vedo che quelli su Vista sono un po’ tutti sul tono: “è pieno di bachi, ma cosa ci dovevamo aspettare?”. Così mi devo chiedere se mi sto lasciando andare ad un facile Micorosft bashing. Occupandomi di sicurezza, cercare difetti è una parte importante del mio lavoro. Tuttavia, la ricerca dei difetti deve essere accompagnata dalla ricerca delle soluzioni, e bisogna anche saper pesare pregi e difetti: mettere solo in evidenza problemi e difetti ha una sua utilità, ma limitata. Vedo lo stesso problema con le tante norme, ben lontane dall’essere perfette, che interessano di volta in volta la sicurezza e l’ICT: cori di critiche si levano ogni volta, ma devo dire che non è altrettando diffusa la critica costruttiva o la proposta di soluzioni. Sia chiaro che non mi riferisco al decreto di ieri sulla pedopornografia, dato che ho sentito più che altro richieste di poterlo leggere… Ma torniamo a Vista. Cosa non mi piace? Magari dovrei dire “non lo so”, dato che non ho ancora avuto occasione di provarlo. In realtà so benissimo cosa non mi piace: il fatto che venga pubblicizzato come sistema operativo “più sicuro”. Naturalmente sono convinto che sia “più sicuro” di XP. Il problema è che penso che sia marginalmente più sicuro di XP. La sicurezza non è un prodotto, e per il “processo sicurezza” che può interessare alla maggior parte degli utenti, quello che offre Vista rispetto a XP probabilmente non cambierà molto. In particolare, le funzionalità di supporto al DRM saranno magari lodevoli, ma non sono certo utili all’utente. Quindi, finita la parte di bashing, qual’è la parte costruttiva? Bene, innanzitutto la sicurezza del sistema operativo dovrebbe garantire prima di tutto quello che gli utenti vogliono. A questo proposito, invito a rileggere l’intervista a Tanenbaum. Poi, se vogliamo parlare di come si sviluppa un sistema operativo “in sicurezza”, ma in modo ragionevolmente gestibile (niente complicazioni da EAL7, per intenderci), si può vedere OpenBSD: vedi ad esempio questo commento. Infine, se vogliamo vedere le funzionalità che servono agli utenti, che moltissimi prodotti non Microsoft già integrano (ancora a partire da Mozilla), e a proposito di Microsoft Bashing, suggerisco questo post del 2003 😉 Se queste funzionalità fossero integrate da qualche anno anche nei prodotti più usati, probabilmente tanti problemi al riguardo adesso non li avremmo.
Nel frattempo, i bug di Vista stanno andando a regime come numero e frequenza 😉 È curioso che si continuino a indicare come “non critical” quelli di privilege escalation. È chiaro che l’ottica e la mentalità è ancora quella dell’utente di casa che naviga su Internet, alla faccia degli usi professionali.
