On Tue, May 26, 2020 09:30:20 AM +0200, Giuseppe Attardi wrote:
Come richiesto a più voci, il codice di Immuni è stato rilasciato Open Source.
Ora è possibile farne una code review, analizzarlo e provare a migliorarlo. Chi ha dei dubbi se i dati vengano raccolti da Google o Apple, lo potrà verificare. Se teme che ciò avvenga all’interno della libreria di supporto, potrà verificarlo facendo sniffing dei pacchetti.
https://www.agendadigitale.eu/sanita/immuni-prima-analisi-del-codice-bene-ma...
Prima ancora di leggere quell'articolo, copio e incollo quanto appena scritto da tale Massimiliano Uggeri su FB: Massimiliano Uggeri 23 hrs · OK, lo scrivo qui così è per tutti e facciamo prima e lo potete condividere se volete. Ovviamente è pieno di tecnicismi, se non capite chiedete, ma sono purtroppo necessari. Ho clonato il repo iOS da GitHub di #IMMUNI ed ho iniziato a curiosarci dentro mettendoci le mani. Dalla prima analisi questo è quello che ho trovato 1 - Utilizzo di CocoaPods come se piovesse (non che sia male, per carità, ma li ho sempre odiati) e questo, a parte i Pods fatti direttamente da Bending Spoons, non garantisce il controllo completo del codice. Certo, sono Pods ormai di uso comune, ma non c'è di fatto controllo su tutto; 2 - Il codice è scritto e documentato benissimo, c'è solo qualche warning nel build ma nulla di terribile, la prima cosa che si nota è che il Pod "KATANA" va aggiornato, per cui è come dicevo sopra, il controllo del codice è troppo frammentato per un'App così "delicata"; 3 - Gli errori (sono tutti trappati, per cui si vedono solo sulla console di debug) sono tutti sul collegamento che dovrebbe recuperare le chiavi di crittografia dal server che - di fatto - non esiste ("get.immuni.gov.it/v1/keys/index"), per cui mi chiedo come faccia Apple ad approvarla: se la mandano non passa nemmeno il primo ciclo di review e viene ritardato il rilascio. Il nome del server è farlocco, quello vero sarà un'altro e vabbè, si farà alla svelta a vedere sniffando il traffico; 4 - Questa è una versione che - come scritto chiaramente nel README e nel codice - lavora senza backend, per cui non raccontiamocela, questa è una versione "stubbata" per far star buona la gente; 5 - Non c'è nessuna richiesta di autenticazione, chiede solo regione e città, e per "caricare i dati" (non si sa quali e non si sa dove) viene effettivamente generato un codice che cambia ogni volta, per cui di fatto l'anonimato sembra realmente garantito; 6 - le chiamate per caricare ToS, Privacy, etc sono tutte dirette a "example.com", ragione per cui è chiarissimo che questa è solo una DEMO, pubblicata per far star buona la gente e non quello che Apple ha in approvazione. Concludendo, questa è una presa per il culo, l'ennesima dimostrazione che ci considerano dei poveri cretini ignoranti come loro. -- M. Fioretti http://mfioretti.com http://stop.zona-m.net Your own civil rights and the quality of your life heavily depend on how software is used *around* you