Codice aperto di Immuni
Come richiesto a più voci, il codice di Immuni è stato rilasciato Open Source. Ora è possibile farne una code review, analizzarlo e provare a migliorarlo. Chi ha dei dubbi se i dati vengano raccolti da Google o Apple, lo potrà verificare. Se teme che ciò avvenga all’interno della libreria di supporto, potrà verificarlo facendo sniffing dei pacchetti. https://www.agendadigitale.eu/sanita/immuni-prima-analisi-del-codice-bene-ma... —
Buongiorno Giuseppe, Giuseppe Attardi <attardi@di.unipi.it> writes: [...]
Se teme che ciò avvenga all’interno della libreria di supporto, potrà verificarlo facendo sniffing dei pacchetti.
Non ho approfondito la cosa ma immagino che sia perché della libreria di supporto non è disponibile il codice sorgente: ho capito bene? Se così fosse, quindi il codice delle librerie fosse proprietario, l'unico modo che c'è per capire cosa fa la libreria è applicare tecniche di reverse engineering (tra cui lo sniffing); però non è proprio la stessa cosa che poter analizzare il codice, richiede ulteriori competenze. Nell'articolo c'è scrtitto «l’utilizzo dell API di Apple e Google è riservato alle entità governative e ai dev approvati» e non ho la più pallida idea di come funzioni l'autorizzazione di accesso alle API. Sono sicuro che la cosa sarà documentata chiaramente in qualche pagina di https://www.google.com/covid19/exposurenotifications/ ma non ho sufficiente tempo per stare a studiare la cosa :-S
https://www.agendadigitale.eu/sanita/immuni-prima-analisi-del-codice-bene-ma...
Per completezza: --8<---------------cut here---------------start------------->8--- abbiamo per ora solo il codice dell’app, ma non i codici del server e quelli del backend usato per validare i codici (che sarà gestito dal ministero della Salute). --8<---------------cut here---------------end--------------->8--- [...] Cordiali saluti. Giovanni -- Giovanni Biscuolo
On Tue, May 26, 2020 09:30:20 AM +0200, Giuseppe Attardi wrote:
Come richiesto a più voci, il codice di Immuni è stato rilasciato Open Source.
Ora è possibile farne una code review, analizzarlo e provare a migliorarlo. Chi ha dei dubbi se i dati vengano raccolti da Google o Apple, lo potrà verificare. Se teme che ciò avvenga all’interno della libreria di supporto, potrà verificarlo facendo sniffing dei pacchetti.
https://www.agendadigitale.eu/sanita/immuni-prima-analisi-del-codice-bene-ma...
Prima ancora di leggere quell'articolo, copio e incollo quanto appena scritto da tale Massimiliano Uggeri su FB: Massimiliano Uggeri 23 hrs · OK, lo scrivo qui così è per tutti e facciamo prima e lo potete condividere se volete. Ovviamente è pieno di tecnicismi, se non capite chiedete, ma sono purtroppo necessari. Ho clonato il repo iOS da GitHub di #IMMUNI ed ho iniziato a curiosarci dentro mettendoci le mani. Dalla prima analisi questo è quello che ho trovato 1 - Utilizzo di CocoaPods come se piovesse (non che sia male, per carità, ma li ho sempre odiati) e questo, a parte i Pods fatti direttamente da Bending Spoons, non garantisce il controllo completo del codice. Certo, sono Pods ormai di uso comune, ma non c'è di fatto controllo su tutto; 2 - Il codice è scritto e documentato benissimo, c'è solo qualche warning nel build ma nulla di terribile, la prima cosa che si nota è che il Pod "KATANA" va aggiornato, per cui è come dicevo sopra, il controllo del codice è troppo frammentato per un'App così "delicata"; 3 - Gli errori (sono tutti trappati, per cui si vedono solo sulla console di debug) sono tutti sul collegamento che dovrebbe recuperare le chiavi di crittografia dal server che - di fatto - non esiste ("get.immuni.gov.it/v1/keys/index"), per cui mi chiedo come faccia Apple ad approvarla: se la mandano non passa nemmeno il primo ciclo di review e viene ritardato il rilascio. Il nome del server è farlocco, quello vero sarà un'altro e vabbè, si farà alla svelta a vedere sniffando il traffico; 4 - Questa è una versione che - come scritto chiaramente nel README e nel codice - lavora senza backend, per cui non raccontiamocela, questa è una versione "stubbata" per far star buona la gente; 5 - Non c'è nessuna richiesta di autenticazione, chiede solo regione e città, e per "caricare i dati" (non si sa quali e non si sa dove) viene effettivamente generato un codice che cambia ogni volta, per cui di fatto l'anonimato sembra realmente garantito; 6 - le chiamate per caricare ToS, Privacy, etc sono tutte dirette a "example.com", ragione per cui è chiarissimo che questa è solo una DEMO, pubblicata per far star buona la gente e non quello che Apple ha in approvazione. Concludendo, questa è una presa per il culo, l'ennesima dimostrazione che ci considerano dei poveri cretini ignoranti come loro. -- M. Fioretti http://mfioretti.com http://stop.zona-m.net Your own civil rights and the quality of your life heavily depend on how software is used *around* you
Seguo questa lista da anni ma intervengo quasi mai perché non ho le vostre competenze. Vi chiedo ok al git perché chi ne capisce guardi, critichi, segnali.. Ma secondo voi al momento un cittadino comune puo'installarsi la app quando per android serve android studio per compilarla? Metterla sul repo era troppo complicato o sarà la fase 2? Scusate se magari ho sbagliato ma mi pare sia questa la procedura per installare IMMUNI. Grazie Gb Il 26/05/20 10:44, M. Fioretti ha scritto:
On Tue, May 26, 2020 09:30:20 AM +0200, Giuseppe Attardi wrote:
Come richiesto a più voci, il codice di Immuni è stato rilasciato Open Source.
Ora è possibile farne una code review, analizzarlo e provare a migliorarlo. Chi ha dei dubbi se i dati vengano raccolti da Google o Apple, lo potrà verificare. Se teme che ciò avvenga all’interno della libreria di supporto, potrà verificarlo facendo sniffing dei pacchetti.
https://www.agendadigitale.eu/sanita/immuni-prima-analisi-del-codice-bene-ma...
Prima ancora di leggere quell'articolo, copio e incollo quanto appena scritto da tale Massimiliano Uggeri su FB:
Massimiliano Uggeri 23 hrs ·
OK, lo scrivo qui così è per tutti e facciamo prima e lo potete condividere se volete. Ovviamente è pieno di tecnicismi, se non capite chiedete, ma sono purtroppo necessari.
Ho clonato il repo iOS da GitHub di #IMMUNI ed ho iniziato a curiosarci dentro mettendoci le mani.
Dalla prima analisi questo è quello che ho trovato
1 - Utilizzo di CocoaPods come se piovesse (non che sia male, per carità, ma li ho sempre odiati) e questo, a parte i Pods fatti direttamente da Bending Spoons, non garantisce il controllo completo del codice. Certo, sono Pods ormai di uso comune, ma non c'è di fatto controllo su tutto;
2 - Il codice è scritto e documentato benissimo, c'è solo qualche warning nel build ma nulla di terribile, la prima cosa che si nota è che il Pod "KATANA" va aggiornato, per cui è come dicevo sopra, il controllo del codice è troppo frammentato per un'App così "delicata";
3 - Gli errori (sono tutti trappati, per cui si vedono solo sulla console di debug) sono tutti sul collegamento che dovrebbe recuperare le chiavi di crittografia dal server che - di fatto - non esiste ("get.immuni.gov.it/v1/keys/index"), per cui mi chiedo come faccia Apple ad approvarla: se la mandano non passa nemmeno il primo ciclo di review e viene ritardato il rilascio. Il nome del server è farlocco, quello vero sarà un'altro e vabbè, si farà alla svelta a vedere sniffando il traffico;
4 - Questa è una versione che - come scritto chiaramente nel README e nel codice - lavora senza backend, per cui non raccontiamocela, questa è una versione "stubbata" per far star buona la gente;
5 - Non c'è nessuna richiesta di autenticazione, chiede solo regione e città, e per "caricare i dati" (non si sa quali e non si sa dove) viene effettivamente generato un codice che cambia ogni volta, per cui di fatto l'anonimato sembra realmente garantito;
6 - le chiamate per caricare ToS, Privacy, etc sono tutte dirette a "example.com", ragione per cui è chiarissimo che questa è solo una DEMO, pubblicata per far star buona la gente e non quello che Apple ha in approvazione.
Concludendo, questa è una presa per il culo, l'ennesima dimostrazione che ci considerano dei poveri cretini ignoranti come loro.
On 26/05/2020, gb <gb@ecn.org> wrote:
Ma secondo voi al momento un cittadino comune puo'installarsi la app quando per android serve android studio per compilarla?
In questo momento l'app non è pronta per la distribuzione di massa. Quando la riterranno pronta, la troverai su Google Play. Detto questo, ne sconsiglio caldamente l'installazione. Soprattutto a chi non è in grado di compilarsela da zero sul proprio PC. Giacomo
participants (5)
-
gb -
Giacomo Tesio -
Giovanni Biscuolo -
Giuseppe Attardi -
M. Fioretti