Re: [Hackmeeting] Il post coi disegnini sulla crittografia …

Delete this message

Reply to this message
Autore: b
Data:  
To: hackmeeting
Oggetto: Re: [Hackmeeting] Il post coi disegnini sulla crittografia end-to-end nel browser
Eila'

> - BROWSER "LISCIO": Alice apre la sua fichissima


Non condivido questa email perche' non e' questa la direzione in cui i
browser si stanno muovendo per risolvere il problema. Cio' che si sta
realmente cercando di fare e' supportare crittografia E2E che funzioni
su browser "liscio" - come dici tu, ma senza bisogno di alcuna
interazione col server.

La soluzione che mi sembra piu' promettente e che non richiede troppe
conoscenze da parte dell'utente e' WebRTC:

http://dev.w3.org/2011/webrtc/editor/webrtc.html

Qui il modello di sicurezza:

http://tools.ietf.org/html/draft-ietf-rtcweb-security-arch-07

che e' forse piu' commestibile qui:

http://www.ietf.org/proceedings/82/slides/rtcweb-13.pdf

WebRTC dovrebbe essere gia' su tutti i browser con cui state leggendo
questa email... :)

> - ESTENSIONE DEL BROWSER: Sia Alice che Bob scaricano un'estensione


La principale ragione per cui questo approccio e' fallimentare e' che
alice e bob useranno 2 browser diversi e solo 1 dei due avra' questa
fantomatica estensione installata.

Uno standard se implementato correttamente e diffuso non richiede a
nessun utente di 'installare' cose per far si' che il browser le faccia.

Spostiamo la discussione su cui decide/implementa/spinge standards?
Questo e' un argomento mooolto interessante.

> - APPLICAZIONE "TRADIZIONALE": In questo caso Alice e Bob si devono


Applicazioni tradizionali stanno morendo. E per fortuna.
Era anche ora che cambiassero i paradigmi di sviluppo.
Alcuni punti che ritengo importanti:

1. Un po' forzando, POSIX e' lo standard su cui sono basati (o resi
compatibili) quasi tutti i nostri OS. Uno standard inventato oltre 20
anni fa che forse fa un po' fatica a stare al passo coi tempi.
Sviluppare applicazioni - cosi' come le vogliamo ora - social,
graficamente interessanti, etc etc, in html5 e' oggettivamente piu' facile.

2. si parla di layer e layer di astrazione. Io lo vedo piu' come far
girare applicazioni in modo distribuito. JS non e' manco il linguaggio
piu' pesante e lento di questo mondo, paragonato ad altri (python?
ruby?). Una applicazione web occupa meno spazio a livello di filesystem,
e' piu' accessibile perche' non e' fisicamente in locale, e' portabile
su OS/dispositivi divesi.

Per quanto riguarda debian vs google o apple, non e' che negli ultimi
anni debian sia stato un modello di sicurezza a prova di bomba...

Anche se in linea di principio condivido questo punto con te al 100%
(debian vs google o apple), penso non sia inerente alla conversazione.
Al max facciamoci domande sull'eticita' di un browser piuttosto che un
altro. Personalmente continuo a non usare chrome perche' non ho alcuna
fiducia in cio' che fa google; non condivido le ragioni per cui'
implementa certe cose piuttosto che altre; non mi da abbastanza
sicurezza. Prodotti Apple non l considero nemmeno :)

b