Seguo questa lista da anni ma intervengo quasi mai perché non ho le vostre competenze. Vi chiedo ok al git perché chi ne capisce guardi, critichi, segnali.. Ma secondo voi al momento un cittadino comune puo'installarsi la app quando per android serve android studio per compilarla? Metterla sul repo era troppo complicato o sarà la fase 2? Scusate se magari ho sbagliato ma mi pare sia questa la procedura per installare IMMUNI. Grazie Gb Il 26/05/20 10:44, M. Fioretti ha scritto:
On Tue, May 26, 2020 09:30:20 AM +0200, Giuseppe Attardi wrote:
Come richiesto a più voci, il codice di Immuni è stato rilasciato Open Source.
Ora è possibile farne una code review, analizzarlo e provare a migliorarlo. Chi ha dei dubbi se i dati vengano raccolti da Google o Apple, lo potrà verificare. Se teme che ciò avvenga all’interno della libreria di supporto, potrà verificarlo facendo sniffing dei pacchetti.
https://www.agendadigitale.eu/sanita/immuni-prima-analisi-del-codice-bene-ma...
Prima ancora di leggere quell'articolo, copio e incollo quanto appena scritto da tale Massimiliano Uggeri su FB:
Massimiliano Uggeri 23 hrs ·
OK, lo scrivo qui così è per tutti e facciamo prima e lo potete condividere se volete. Ovviamente è pieno di tecnicismi, se non capite chiedete, ma sono purtroppo necessari.
Ho clonato il repo iOS da GitHub di #IMMUNI ed ho iniziato a curiosarci dentro mettendoci le mani.
Dalla prima analisi questo è quello che ho trovato
1 - Utilizzo di CocoaPods come se piovesse (non che sia male, per carità, ma li ho sempre odiati) e questo, a parte i Pods fatti direttamente da Bending Spoons, non garantisce il controllo completo del codice. Certo, sono Pods ormai di uso comune, ma non c'è di fatto controllo su tutto;
2 - Il codice è scritto e documentato benissimo, c'è solo qualche warning nel build ma nulla di terribile, la prima cosa che si nota è che il Pod "KATANA" va aggiornato, per cui è come dicevo sopra, il controllo del codice è troppo frammentato per un'App così "delicata";
3 - Gli errori (sono tutti trappati, per cui si vedono solo sulla console di debug) sono tutti sul collegamento che dovrebbe recuperare le chiavi di crittografia dal server che - di fatto - non esiste ("get.immuni.gov.it/v1/keys/index"), per cui mi chiedo come faccia Apple ad approvarla: se la mandano non passa nemmeno il primo ciclo di review e viene ritardato il rilascio. Il nome del server è farlocco, quello vero sarà un'altro e vabbè, si farà alla svelta a vedere sniffando il traffico;
4 - Questa è una versione che - come scritto chiaramente nel README e nel codice - lavora senza backend, per cui non raccontiamocela, questa è una versione "stubbata" per far star buona la gente;
5 - Non c'è nessuna richiesta di autenticazione, chiede solo regione e città, e per "caricare i dati" (non si sa quali e non si sa dove) viene effettivamente generato un codice che cambia ogni volta, per cui di fatto l'anonimato sembra realmente garantito;
6 - le chiamate per caricare ToS, Privacy, etc sono tutte dirette a "example.com", ragione per cui è chiarissimo che questa è solo una DEMO, pubblicata per far star buona la gente e non quello che Apple ha in approvazione.
Concludendo, questa è una presa per il culo, l'ennesima dimostrazione che ci considerano dei poveri cretini ignoranti come loro.