sabato 26 novembre 2011

Splinder muore

Vi annuncio che l'argomento di oggi è lunghetto, ma non è complicato, e tutto sommato è abbastanza divertente.

Oggi vorrei parlare di un argomento che tocca anche l'IT Security: ricordate la "triade" su cui è basata l'IT Security? Autorità, Non-Corruttibilità e Disponibilità delle informazioni. Ecco parliamo proprio di disponibilità di un particolare servizio on-line.

Chiunque abbia in Italia un Blog, su qualunque piattaforma, avrà sicuramente sentito parlare in questi giorni del fatto che una delle piattaforme "storiche" del blogging italiano, Splinder (www.splinder.com) chiude il 31 gennaio p.v.

Ora, al di là del fatto che nei TOS di Splinder è chiaramente indicato che si riservano di poter interrompere il servizio in qualsiasi momento, credo che a nessuno faccia molto piacere "perdere" anni di articoli e relativi commenti. Certo, Splinder annuncia che metterà a disposizione degli utenti un "export" dei dati, ma i dettagli tardano ad arrivare, così come l'annuncio ufficiale della chiusura del servizio si è fatto attendere anche troppo, a sentire i commenti degli utenti stessi.

Si pone quindi il problema della migrazione da Splinder: certamente a tutti gli utenti piacerebbe avere una "bacchetta magica" che sposti i loro blog da Splinder a qualche altra piattaforma.

Ed ecco che allora sono nate diverse iniziative per accogliere i transfughi. Ne cito alcune, senza la pretesa di essere esaustivo. Analizzeremo di seguito le implicazioni di sicurezza relative a ciascuna soluzione.

iobloggo.com : questa piattaforma ha messo a disposizione una procedura "for dummies" per accogliere blog da splinder. I dati vengono estratti da splinder, viaggiano su internet e infine vengono scritti su iobloggo. Considerazioni di sicurezza: le credenziali di accesso a Splinder vengono fornite in chiaro, i dati viaggiano in chiaro da Splinder a iobloggo, le verifiche di consistenza (inalterabilità) dei contenuti sono tutt'altro che automatiche.

wordpress.com : al momento offre una procedura semi-automatica per il passaggio di blog provenienti da Splinder. Grazie all'architettura "open" del software (ma non dell'hosting), alcuni utenti "smanettoni" hanno realizzato un programma per l'import dei blog di Splinder. Viene però richiesta la disponibilità e l'attrezzaggio di un ambiente intermedio (locale), cioè il passaggio non avviene direttamente da Splinder a Wordpress.com, ma transita su un "server" dell'utente (può anche essere il PC di casa). Considerazioni di sicurezza: le credenziali di accesso a Splinder vengono fornite in chiaro, i dati viaggiano in chiaro da Splinder al server locale e poi da questo a Wordpress.com, le verifiche di consistenza (inalterabilità) dei contenuti sono tutt'altro che automatiche.

blogger/blogspot.com : vale quanto detto al punto precedente, con l'aggiunta di un ulteriore programma per la conversione da "formato wordpress" a "formato blogger" da eseguire prima dell'invio dei dati al servizio Blogger. Considerazioni di sicurezza: le credenziali di accesso a Splinder vengono fornite in chiaro, i dati viaggiano in chiaro da Splinder al server locale e poi da questo al programma di conversione e infine a blogger.com, le verifiche di consistenza (inalterabilità) dei contenuti sono tutt'altro che automatiche.

it.Altervista.org : questa piattaforma offre una procedura simile alle precedenti, ma senza necessità di passaggi intermedi: si agisce prima sul blog Splinder, poi si esegue la fase di "import" direttamente su Altervista. Considerazioni di sicurezza: le credenziali di accesso a Splinder vengono fornite in chiaro, i dati viaggiano in chiaro da Splinder ad Altervista, le verifiche di consistenza (inalterabilità) dei contenuti sono tutt'altro che automatiche.

Da quanto abbiamo detto, risulta chiaro che tutti i passaggi di dati avvengono in chiaro. Inoltre, bisogna in tutti i casi intervenire sul blog Splinder, e le username / password di Splinder viaggiano in chiaro (non c'è mai stato https, figuriamoci in questa fase di dismissione). I rischi che si corrono sono quelli ovvi della manipolazione dei dati, anche se mediamente il "valore" delle informazioni contenute su questi blog è principalmente affettivo (non si esclude qualche caso di blog aventi valore commerciale, ma sono un'eccezione).

Un altro rischio è quello della "copia non autorizzata" dei blog: mentre si stanno effettuando le operazioni di lettura del blog Splinder, niente e nessuno impedisce ad altri che non siano il legittimo proprietario del blog di prelevarne silenziosamente il contenuto (compresi i commenti). Si obietterà che, essendo sempre state informazioni pubbliche, queste operazioni si sarebbero potute effettuare anche in passato: diciamo che in questo momento risulterebbe estremamente facile copiare un blog, riproponendolo con veste grafica diversa. Anche i "furti di identità digitale" sono appena dietro l'angolo.

Infine, un rischio concreto ma misconosciuto è proprio quello da cui siamo partiti: la disponibilità del servizio. È ovvio che per poter esportare un blog da Splinder il servizio Splinder deve essere disponibile. E che cosa succede secondo voi quando si disinveste da un'infrastruttura (in vista della sua dismissione) e contemporaneamente il carico di richieste aumenta, proprio a causa di questa prossima chiusura? Succede quello che si può verificare in questi giorni: tempi di risposta molto lunghi, a volte disconnessioni e altri errori a causa dei server Splinder sovraccarichi. Questo rende assurdamente difficile "andarsene finché si è in tempo" da Splinder.

Ecco, l'articolo è molto lungo, ma credo di aver illustrato le difficoltà di una "migrazione dati" sostanzialmente non gestita e le cui responsabilità coinvolgono più soggetti, nessuno dei quali è "committed" al risultato, trattandosi tutto sommato di servizi gratuiti.

Un'ulteriore dimostrazione (ma ce n'era bisogno?) che la Security non si fa coi fichi secchi.




Riferimenti:

Risorse e altri articoli interessanti:

(...)

Nessun commento:

Posta un commento