boyska e jaromil a fine email. scusate per l'email lunga, ma ci sono
concetti che mi piace esprimere verbosamente.
2014-07-25 19:52 GMT+02:00 putro <putro@???>:
> On Fri, Jul 25, 2014 at 04:17:34PM +0200, ?????????? wrote:
>
> quindi tutti noi che per anni abbiamo detto agli utenti di abbandonare
> windows per passare al meno usabile linux abbiamo sbagliato tutto ?
>
per carità, no! ma riconoscevamo che ci fosse un problema di usabilità,
auspicavamo si sarebbe risolto. si è risolto con ubuntu, ma lo standard di
mercato (e quindi il concorrente della nostra offerta) è diventato un super
integrato MacOSX, un supportato-di-default-presente-in-ogni-ufficio
Windows, e 2 sistemi mobili con il paradigma delle App che ha attratto
programmatori.
Semplicemente il mondo in cui stiamo cambia in fretta, e gli utenti
cambiano esigenze, i più vecchi maturano ed i più giovani sono ancora più
ignoranti di chi doveva mettere un CD per installare office.
> nn e' windows che ha dato agli utenti quel che volevano, microsoft
> ha obbligato tutti a usare il suo sistema preinstallato su qualunque
> PC che compravi (a parte i mac), questo non si chiama dare all'utente
> quello che vuole, questo si chiama attirare le mosche con una lampadina,
> e' un po' diverso.
>
Ok, ma ha vinto. è stata una strategia meschina ? Sì, il mercato l'ha
premiata ? Sì. Loro sono i nostri concorrenti, insieme a molti altri che
hanno potuto pianificare meglio una gestione del prodotto, studi di
usabilità, comunicazione e offerta migliore.
>
> > Per anni abbiamo visto sw sicuri rimanere sicuri [*] e poco usabili,
> > ignorando le necessità degli utenti.
>
> qui' mi pare ci sia il punto focale della discussione.
> Io non la vedo la necessita' degli utenti, io vedo, rispetto a 10 anni
> fa un numero di utenti nmila volte maggiore, che non ha altra necessita'
> se non click and go.
è vero, ma perché si è creata questa necessità ? (e magari chiediamoci:
perchè noi più vecchi la vediamo con disgusto ?)
secondo me ci sono poche regole fondamentali, e tra queste "il progresso lo
fa la semplificazione".
quando abbiano iniziato, ci si approciava allo strumento (un PC) dicendo
"con questo strumento posso fare delle cose che altrimenti non potrei fare.
se sono in grado di trasformare il mio problema in calcoli, questo
strumento me li risolve, e non ho più il problema". caso d'uso classico: i
cassieri in banca, i ricercatori di fisica, pochi altri.
si è passati poi da: "ho questo problema, capirò come il computer mi
aiuta", a "so già che il computer mi fa fare questa cosa che altrimenti non
posso avre, devo mettere in fila i passi X, Y e Z" caso d'uso: tutti gli
utenti da windows 95 in poi, con internet.
poi si è passati da: "per sopperire a questa esignza devo aprire questa
applicazione o andare su questo sito": caso d'uso: da OSX in poi, e ogni
dispositivo mobile (windows 8... non ho ancora capito), ogni social
network. hai un'esigenza = hai l'app che te la risolve. non devi fare nulla
se non aprirla.
quindi tornando a te: gli utenti hanno necessità click and go. ok. è vero.
dobbiamo forse capire se ci/ti/mi interessano ora che sono cambiati.
(secondo me sì, valgono quanto quelli di 10 anni fa)
parlado di consapevolezza: prima era una barriera all'ingresso necessaria,
perché non c'era ancora stato il progresso. ora c'è stato, questa barriere
non c'è più, non è più necessario essere consapevoli di nulla.
> Gli fotte una sega della sicurezza, se gli dai in
> mano un'applicazione identica a whatsapp, diciamo idealmente sicura con
> tutti i controcazzi a curva ellittica, ma che necessita dell'inserimento
> di una password all'avvio (che non e' una cosa "complicata"), 9 su 10
> non la useranno.
>
le recenti esperienze in mio possesso sono diverse: il problema non sta in
una password o in un'installazione esotica, in un caso simile, sta nel
fatto che whatsapp/facebook/skype sono delle "reti chiuse" e una rete vale
quanto il quadrato dei suoi nodi. come raccontato qui:
http://cantiere.org/art-04362/whatsapp-facebook-=telegram-noi-scegliamo-textsecure.html
cioè se ad un utente dai come soluzione quella di usare una nuova
tecnologia sicura con password all'avvio e scambio di chiavi invisibile, il
problema non è la password, è che non ci troverà i suoi amici.
E questo è l'altro elemento da tenere in considerazione: cioè che la tech
può essere anche bella, ma se poi hai solo 2 contatti (che hai anche su
altre reti) e devi aprire l'applicazione sicura per parlare solo con
loro... entro poco la dismetterai (a me sta succedendo così con Pond:
https://pond.imperialviolet.org/ )
... altro caso: pensa ad avere un gruppo che ha una chat su skype, chiedi
di migrare su IRC perché è più indipendente, leggero e libero. non tutti
emigrano perché è così che vanno le comunità. skype verrà sempre tenuto
aperto perché ogni membro del gruppo ha anche altri contatti, oltre al
gruppo stesso. va a finire che la chat su skype rimane il riferimento più
stabile a disposizione del gruppo per parlare con tutti i suoi membri.
(impuntarsi ed uscire, causa solo frammentazione)
Allora come si fa ? la tua app a curve ellittiche non sarà mai la rete di
riferimento, da una parte perché non esiste ancora una realtà che produca
software con alti standard di sicurezza E alti standard di prodotto,
dall'altra, se mai dovesse esistere, avrebbe uno svantaggio competitivo
rispetto a chi mangia le stesse fette di utenti ma non si è auto-imposto il
constraint di sicurezza.
allora si possono usare le tecnologie parassite, tipo chi si era fatto il
plugin per attaccare skype a pidgin, così da usare OTR sopra a skype. In
questo modo, stai:
1) accettando la perdita di libertà che ti da la tecnologia che ti da
accesso alla rete chiusa
2) stai rompendo un minimo le scatole alla rete chiusa perché metti dei
contenuti che non sono previsti nel suo modello di business
3) stai comunque facendo il suo interesse per quanto concerne lo studio
delle reti sociali.
Ma almeno puoi, essendo nella condizione di cui sopra, parlare in modo
riservato con chi si è posto il problema, senza dover splittare le reti. E'
un tradeoff, e in questo caso non è tra usabilità e sicurezza, è tra
insicurezza+schiavità della rete chiusa e sicurezza+schiavitù della rete
chiusa+rischio di violare un ToS ed essere bannato.
> Oggi hai un sacco di utenti che non hanno alcuna necessita' in questo
> senso, quindi dargli una soluzione preconfezionata e sicura (posto che
> sicura lo sia per davvero perche' questa al momento non e' la priorita'),
> e' come dare agli automobilisti un'auto con l'airbag:
>
> E' un passo in avanti per l'umanita' ? mah, anche no, senza
> consapevolezza non c'e' molto progresso.
>
Ecco, e qui centri il punto. consapevolezza. utile ? disutile ? necessaria
?
Io credo che sia irrilevante in questa fase cercare di dare agli utenti
consapevolezza dei meccanismi.
La sicurezza informatica diventerà simile alla medicina. Una scienza
complessa, talvolta inesatta, che richiede interpretazione a seconda del
paziente.
E lo sviluppo di malware ed exploit sarà al pari delle armi
batteriologiche: se studi quello all'università, sarai mappato in quanto
tale, potrai lavorare per un'istituzionalizzata dedicata, e per lavorare
sulle cose più delicate ti si chiedranno standard salaminchia simili a chi
fa ricerca sulle armi chimiche. (e magari per i programmatori sarà meno
facile dire "beh è un lavoro come un altro")
E non ci sarà consapevolezza per nessuno che non si sia fatto anni di
studi, convegni, specializzazione. la complessità è alta e cresce sempre di
più.
Allora noi che abbiamo la fortunata condizione di essere tra coloro che
hanno studiato sta cosa sin da medioevo, che hanno visto la nascita della
pennicillina e dei protocolli di soccorso (cioè, 500 anni di storia medica
che trasposti nell'informatica sono gli ultimi 15 anni) dobbiamo decidere:
vogliamo parlare solo con chi ha consapevolezza di questo ? si chiama
tecnocrazia.
Nel mondo ipercontrollato, i quali processi informativi, sociali economici
e politici transitano sulla tecnologia, chi la padroneggia avrà un
vantaggio competitivo in più.
Essere in grado di proteggersi è uno di questi vantaggi.
Possiamo tenercelo per noi, possiamo creare tecnologie che siano selettivie
(che so, "gira solo su linux" o "git clone" sono due esempi di selettori
umani), o possiamo crearle intese "4 the masses" (purtroppo non avremo mai
contezza precisa della barriere all'ingresso minima e dello sforzo massimo
che possiamo chiedere ad una massa di utenti, quindi si andrà per prove).
Secondo me, un po' come 1984 citava "Nel tempo dell'inganno universale dire
la verità è un atto rivoluzionario" mi pare appropriato dire "nel mondo del
controllo globale, proteggere una vittima è un atto rivoluzionario". Poi
questa persona non sarà mia consapevole di come funzionano le cose, ma che
ci vuoi fare, è la complessità. quando qualcuno che non ha visione di
questa complessità si improvvisa a creare una soluzione fa danni, al pari
di un falso medico.
Inoltre, la consapevolezza non è un dato binario. Sto conoscendo sempre più
persone che sono sensibili al tema del controllo, quando lo siamo stati noi
tecnoparanoici che venivano da un background tecnologico, solo che queste
persone vengono da altri background. Queste sono persone consapevoli ?
secondo me si. e magari apriranno pure un terminale se gli si mostra con un
video cosa devono fare, ma non avranno mai quel background che abbiano noi.
L'esempio dell'airbag mi è piaciuto, e direi che è appropriato associato a
"filevault di macosx". il mercato ti ha detto che ora sei sicuro, l'hai
pagato solo un po' di più, ma solo il giorno che fai un incidente scoprirai
se si gonfia o se ti gonfi tu.
Invece le tecnologie open, di autodifesa digitale, sono da intendersi come
una maschera antigas fatta con materiali di recupero.
Gas sarin, costo = un sacco.
Effetto = paura, morte, dominio.
Costo delle maschere = pochissimo.
Se tutti hanno delle maschere antigas, con il tuo sarin ci fanno gli
aereosol.
Non potremo mai dare consapevolezza agli utilizzatori di questa maschera,
su come funziona il sarin, come funziona l'apparato respiratorio e come
funzionano i microfiltri delle maschere. Ma serve davvero dargli sta
consapevolezza ?
E sulla questione dei nuovi poteri: fare maschere e distribuire maschere,
crea necessariamente un nuovo potere ? possibile. dipende da com'è
organizzato il ciclo di ricerca produzione diffusione. E' possibile, si, è
riconoscibile, si, giudichiamo e valutiamo singolarmente i singoli pezzetti
di questa catena (continua dopo con boyska)
boyska:
> minilock è solo per chrome, e probabilmente lo sarà sempre. google
> chrome ha dei seri problemi di sicurezza a priori: il suo webstore è
> fortemente legato all'account google, soggetto che di fatto controlla le
> estensioni installate sul browser. Questa cosa non crea dei problemi?
hai detto tre cose, ne contesto solo una.
"minilock è solo per chrome": si, minilock di nadim, in questa fase, è solo
per chrome.
"probabilmente lo sarà sempre": ma chi lo sa ? e chi se ne frega di
minilock rilasciato da nadim ? è un repository su github, è una tecnologia
aperta, il codice è JS, fare un porting per renderlo per firefox significa
mantenere dal 5% al 10% di codice differente, fare un porting per renderlo
un pacchetto node.js (e farselo girare headless in un container docker
superlimitato, così che anche il problema del non poter fare audit
dell'interprete JS, usi un profilo minimale che ti fa solo inviare/ricevere
file dalla dir che vuoi tu, senza possibilità di toccare altre parti del
disco). Quello che conta è che è una tecnologia aperta = non crea una rete
chiusa, non creerà lo stesso problema che c'è con whatsapp/fb/skype. E ha
le potenzialità per diventare uno standard de facto, perché una massa
critica la si può raggiungere grazie alla semplicità d'uso.
"google e chrome sono un problema": è vero, rianalizzando il threat model,
e facendo un'associazione forse un pò più pessimistica della realtà, cioè
che google sia in mano al DoD, allora questo strumento non va considerato
affidabile per chi non combatte un nemico comune con gli stati uniti, che
considerando la quantità di nemici che hanno, rimane comunque una buona
soluzione per una buona fetta di utenti nelle development countries. fino a
che qualcuno non ci fa l'app per firefoxOS (5%-10% di differenza di codice)
Ognuno di voi ha un potere senza precedenti tra quelle mani, e non parlo
del cazzo di jaromil con il quale vi svegliate ogni mattina :)
un abbraccio,
v
--
This account is intended for mailing list only. Personal email via:
vecna at globaleaks dot org
