Ultimo mio messaggio in questa conversazione, perché concordo che stiamo annoiando. Constato che: sul punto (1) siamo d'accordo (tu ci aggiungi un lungo "ma", ma che non confuta il claim iniziale); sul punto (2) sembri basarti su una definizione di UX che sembra essere legata solo al look & feel, mente HCI ci dice che UX è molto di più. Gli altri punti, come tu stesso osservi, sono già stati dibattuti su questa lista e non mi sembrano pertinenti a questa specifica sub-discussione. A presto On Wed, Sep 19, 2018 at 03:01:01PM +0200, Giacomo Tesio wrote:
On Wed, Sep 19, 2018 at 12:17:08PM +0200, Giacomo Tesio wrote:
4) rinunciare all'utilizzo della stragrande maggioranza del Web (non perché JS sia tcnicamente necessario... solo perché altrimenti nessun business model basato sulla raccolta capillare di dati su di te funzionerebbe)
Perdonami, ma questo mi sembra veramente uno strawman. JavaScript è certamente usato anche per surveillance, ma....
Temo di non poter essere d'accordo.
Non voglio annoiare la lista con temi già trattati per cui ti fornisco alcuni link ai thread dove ho descritto i problemi legali e di sicurezza informatica posti da JavaScript.
http://server-nexa.polito.it/pipermail/nexa/2018-September/013712.html http://server-nexa.polito.it/pipermail/nexa/2018-August/013645.html
Qui i link diretti agli exploit che abbiamo pubblicato fin ora: https://rain-1.github.io/in-browser-localhostdiscovery https://dev.to/shamar/the-meltdown-of-the-web-4p1m
Qui il bug report per Mozilla (con descrizione di altri attacchi alla portata di grandi e piccini, link al bug report per Chromium e pure semplici suggerimenti per ridurre enormemente la superficie di attacco): https://bugzilla.mozilla.org/show_bug.cgi?id=1487081
1) si fa surveillance anche senza JavaScript;
Vero. Ma senza JS non entri dentro le reti aziendali (o ospedaliere, o militari o...) attraverso il browser e senza lasciare tracce. E non puoi con un semplice timing attack alla cache, scoprire se sotto elezioni un cittadino ha visitato un certo sito. (immagina ad esempio quello delle forze dell'ordine, per denunciare minacce o tentativi di voto di scambio)
E senza JS, il caching riduce notevolmente la precisione della profilatura perché molte interazioni non arrivano al server. (precisione nella profilatura che invece HTTPS aumenta... ma questa è un'altra storia)
2) JavaScript aumenta veramente la qualità della UX Web, per questo ha vinto in termini di adozione
No. Programmo in JavaScript da circa 20 anni (credo fosse in voga Netscape Navigator 3.0 quando ho iniziato). Credo di parlare con cognizione di causa.
Almeno il 95% delle pagine web non necessitano di un linguaggio Turing complete per erogare la medesima UX. Per queste, la stessa UX potrebbe essere realizzata attraverso l'uso di un markup dichiarativo migliore e fogli di stile appropriati. Avremmo qualche XMLNS da gestire in più, con attributi semantici, e tag come <TREE> o <ADVERTISEMENT>; alcuni tag verrebbero estesi (pensa ad esempio a <VIDEO>). Avremmo anche CSS più potenti, ed un sistema tipografico serio.
Ma l'usabilità del 95% dei siti non cambierebbe affatto. Anzi, migliorerebbe. Download più rapidi e sempre paralleli. E rendering più rapido.
Il restante 5% non sono pagine web, ma UI di applicazioni distribuite: giochi 3D, fogli di calcolo, word processor, CAD... c'è di tutto. Utilizzano JS per spostare una parte importante della elaborazione sul client. In pratica sopperiscono alle carenze di sistemi operativi primitivi (Windows, Linux, BSD, Android... la lista è lunga) che non forniscono astrazioni adatte alle possibilità offerte dalle reti moderne. E, mentre che ci sono, approfittano del fatto di essere eseguiti ciecamente dagli utenti, per raccogliere dati personali.
Non molti comprendono veramente QUANTI dati personali.
Hai mai giocato ad un casual game gratuito sul browser? Comodo no? Non devi neanche installarlo o rimuoverlo! In cambio hai solo ceduto preziosissime informazioni mediche relative a diverse patologie della vista cui sei o non sei soggetto. E quando effettui lo zoom su un articolo che stai leggendo? Confrontando lo zoom con la dimensione del tuo schermo, il device ed un paio di altri parametri che posso ottenere via JS, un software dedicato può stabilire quante diottrie ti mancano.
Ha vinto in termini di adozione perché il WHATWG è riuscito ad imporlo. Ora guarda la nazionalità delle organizzazioni che costituiscono il WHATWG. E dei maggiori fornitori di hosting su cloud. E dei maggiori fornitori di CDN.
Hai ragione JS è usato ANCHE per la surveillance. Infatti è ANZITUTTO un pericoloso veicolo di attacchi mirati a persone, aziende ed istituzioni. Perché come personalizzi una pubblicità puoi personalizzare il JS. E grazie agli header di cache control puoi rimuovere le tracce.
Sei proprio sicuro che questo sia solo uno straw man?
Giacomo
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Stefano Zacchiroli . zack@upsilon.cc . upsilon.cc/zack . . o . . . o . o Computer Science Professor . CTO Software Heritage . . . . . o . . . o o Former Debian Project Leader . OSI Board Director . . . o o o . . . o . « the first rule of tautology club is the first rule of tautology club »