[Solira] google, privacy e firefox
Salvatore Sanfilippo
antirez a gmail.com
Lun 8 Gen 2007 12:01:10 CET
Ciao a tutti,
mi volevo riallacciare al discorso che e' stato fatto in questi giorni
su google e la privacy, e sul fatto che avere applicazioni sul web
ovvero svincolate da un PC fisico e sempre disponibili e cosi' comodo
che molti corrono il rischio di una privacy limitata per avvantaggiarsi
della maggiore praticita'.
Io sono uno di quelli che lascia tutta la posta su gmail, ma sono
un po' scocciato di non poter almeno cifrare in maniera comoda
alcune cose di grande importanza lavorativa o che contengono
password eccetera. Delle cose che riguardano la mia sfera privata
mi interessa poco perche' non credo che con google si rischia
molto da questo punto di vista. Insomma non e' che se qualcuno
dei loro dipendenti legge che mi piace strofinare il ginocchio sul
cuscino o inserirmi il dito mignolo dentro l'orecchio sinistro me ne
puo' fregare piu' di tanto...
Invece ci sono una quantita' di cose da strategie aziendali a
password a discorsi di varia natura fortemente riservati che
meritano un po' piu' di protezione. Per questo ho deciso di inziare
a scrivere una estensione per firefox qualche giorno fa che
in parte limita un po' il problema, e funziona anche tra utenti
che non hanno una grande cultura riguardo a crittografia
e dintorni.
La soluzione proposta si basa molto sul fatto che "peggio e' meglio"
nel senso che i benefici dovuti alla semplicita' compensano le
carenze di tipo crittografico.
Ecco di cosa si tratta.
Dopo aver installato "Firesecrets" (cosi' la sto chiamando),
e' possibile selezionare del testo da una text area, e premendo
sul tasto destro appare una voce "Firesecrets - encrypt".
Se si preme bisogna digitare una password, e il risultato e'
che la porzione selezionata viene rimpiazzata con una cosa
simile a PGP in modalita' ASCII:
--- BEGIN FIRESECRETS 01 ---
aslkfjsdklfj sadklfj safkjsa dfklsadj fs
adfklsadjf lksadjf lksaj flksdj flkasf sdaf
...
.
--- END ... ---
Il testo e' cifrato con 3DES in CBC mode utilizzando
un IV casuale. Per chi volesse sapere di preciso come funziona
ecco lo schema:
3DES (PLAINTEXT | PADDING | SHA1(PLAINTEXT))
a sua volta PLAINTEXT e' formato da (LEN|MESSAGE)
Il PADDING e' casuale e non permette a nessun messaggio
di essere piu' corto di 400 caratteri, dunque anche "OK"
diventa qualcosa di abbastanza lungo.
Chi riceve il messaggio fa la stessa cosa. Seleziona
la parte --- BEGIN ... --- fino ad END, preme il destro
e seleziona "Firesecrets - decrypt", mette la password
ed e' fatta, gli si apre un nuovo tab col messaggio
(non si puo' sostituire sulla pagina originale altrimenti
il testo decifrato e' in preda ad ajax. C'e' anche l'auto-save
di gmail che e' un problema da considerare dunque
molto probabilmente il programma avra' una funzione
"open safe textarea" che apre un nuovo tab con una
text area in cui prima si scrive il messaggio e lo si cifra
e poi si fa cut&paste su gmail o chi per lui).
CONSIDERAZIONI
Ovviamente l'ambito di utilizzo del programma non e' il solo
gmail, la cosa funziona in maniera generale in qualunque
servizio web dove c'e' una textarea per inserire testo
che poi viene proposto a noi stessi o altri utenti.
Trattandosi di crittografia simmetrica gli utenti devono trovare
un modo per scambiarsi una password, tuttavia per le
finalita' della applicazione non e' un grosso problema passarsi
la password per telefono o qualcosa del genere. I piu'
attenti utilizzeranno magari PGP o simili, ma il concetto e'
meglio una cosa facile che non necessita di alcuna gestione
delle chiavi se si spera che ci sia un minimo di diffusione.
Perche' vi scrivo questo? Primo, per vedere se nella mia
idea c'e' qualcosa che la rende non pratica a cui non sto
pensando. Secondo, per sapere se c'e' interesse da parte
dei partecipanti alla ML che affrontano ciclicamente questo
tipo di discussioni su gmail ad utilizzare una tale applicazione
e magari a tentarne la diffusione.
Qualunque commento o critica e' ben accetto.
Ciao,
Salvatore
--
Salvatore 'antirez' Sanfilippo
We're programmers. Programmers are, in their hearts, architects -- Joel Spolsky
http://antirez.com
Maggiori informazioni sulla lista
Solira