@quinta@mastodon.uno @informapirata@mastodon.uno Penso possa interessarvi: Poste Italiane introduce Play Integrity sullβapp PosteID, bloccando quindi tutti i dispositivi non certificati da Google. Per chi ha lβapp giΓ installata e attiva, continua a funzionare, ma non permette di effettuare il login da zero: https://github.com/GrapheneOS/grapheneos.org/pull/1330#issuecomment-3688896284
@BucciaBuccia@mastodon.social
@quinta@mastodon.uno @informapirata@mastodon.uno la proponiamo una legge che VIETA porcherie come Play Integrity?
Chi fornisce servizi essenziali con app dovrebbe fornire il binario ED i sorgenti direttamente, senza passare per i GAFAM e senza "dispositivi certificati"
@paoloredaelli@mastodon.uno @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno
Concordo! Se una app su un dispositivo compromesso diventa compromessa, il problema Γ¨ della app, non del dispositivo.
@77nn@goto.77nn.it @paoloredaelli@mastodon.uno @quinta@mastodon.uno @informapirata@mastodon.uno Beh no, puΓ² anche dipendere dal resto del sistema.
@77nn@goto.77nn.it Io inizio a valutare l'idea di rifiutare qualsiasi servizio che richieda l'uso di uno #smartphone.
#NoSmartPhone! @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno
@paoloredaelli@mastodon.uno @77nn@goto.77nn.it @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno rifiutare uno smartphone no.
Il 2fa con il numero di telefono Γ¨ quanto di piΓΉ semplice possano usare gli urgenti normali.
Come pensare di togliere wathsapp a mia moglie, ormai Γ¨ uno strumento di lavoro.
Servirebbero sistemi EU, sulla falsariga dello SPID.
@paoloredaelli@mastodon.uno @77nn@goto.77nn.it @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno giusto, oppure si prende un telefono muletto con google, si toglie la fotocamera anteriore e il microfono, e lo si accende solo per queste app, mentre si gira quotidianamente con il proprio telefono custom
@Meliodas@mastodon.uno @paoloredaelli@mastodon.uno @77nn@goto.77nn.it @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno Γ¨ follia questa. roba da geek esaltati. non tutti lo sono. poi lasciamo stare che ci sono altre modalitΓ di tracciamento.
@Steutt@mastodon.uno @paoloredaelli@mastodon.uno @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno
Faccio degli esempi a caso:
DidUp, registro scolastico elettronico. Accessibile solo da App mobile.
Autolinee Toscane e Firenze InfomobilitΓ : se vuoi usufruire del bonus per gli abbonamenti solo da smartphone.
Doctolib. Se vuoi un appuntamento o anche solo una ricetta dal medico di base, almeno per quelli della mia famiglia, non c'Γ¨ altro modo.
Io. Solo su app mobile
Home banking. Pretende autenticazione da smartphone.
CieId. Solo da smartphone
...
In veritΓ , ma poi dipende da chi siamo e cosa facciamo, siamo giΓ obbligati allo smartphone. Senza appello. Ma questo non Γ¨ giusto.
@cniside@mastodon.uno @paoloredaelli@mastodon.uno @77nn@goto.77nn.it @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno Fiero di essere un geek esaltato
@77nn@goto.77nn.it @Steutt@mastodon.uno @paoloredaelli@mastodon.uno @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno
argo è fermo all'anteguerra ed è diventato obbligatori per la gestione di una scuola. la gestione del personale per richiedere un congedo lo puoi fare solo da tablet o da pc perchè da browser sul telefono la web app non scala appropriatamente.
hype che funziona solo da smartphone e per il browser devi pagare hype next. tuttora non riesco ad entrare nel mio conto secondario per via di questo balzello.
@77nn@goto.77nn.it tutte dipendenze artificiose. I #2fa si possono sostituire con #OTP che girano anche su desktop. Anche dal famigerato #Google Authenticator poi estrarre le chiavi ed usarle su un OTP su #Linux. Io l'ho fatto.
Non tutti le banche obbligano l'uso di smartphone. Monte dei Paschi e Mediolanum, per esempio.
CIE manda tranquillamente SMS per il 2fa ma ad onor del vero non so se l'attivazione si possa fare con un #tontofonino
@Steutt@mastodon.uno @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno
@cniside@mastodon.uno questo argo https://www.portaleargo.it/ ? Che io sappia ce ne sono anche altri di registri elettronici, tutti, ahimΓ© proprietari (i.e. ClasseViva di Spaggiari )@77nn@goto.77nn.it @Steutt@mastodon.uno @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno
@paoloredaelli@mastodon.uno @77nn@goto.77nn.it @Steutt@mastodon.uno @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno
didup Γ¨ di Argo Software, basata in Ragusa, ed ha una suite che costa ad una scuola di 1000 persone, completa di tutto, qualcosa come 7000β¬ annui.
è il software più diffuso nelle scuole italiane, ce ne sono altri. ma comunque è un gestionale allargato obbligatorio, lo so perchè ho i genitori nella scuola.
@77nn@goto.77nn.it la questione non è #smartphone sì/no. La questione è essere obbligati ad usare sistemi #proprietari, #non-standard, legandosi mani e piedi ad uno ed uno solo fornitore. Straniero, per di più!
Sono critico anche sulla #CIE perchΓ© abolito lo #SPID diventerΓ un unico enorme #SingoloPuntoDiRottura (#SinglePointOfFailure): se #CIE si ferma si ferma l'intera nazione!
@Steutt@mastodon.uno @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno
@77nn@goto.77nn.it
Nota di folklore: le chiavi OTP da Google Authenticator le ho estratte qualche anno fa, su un dispositivo rootato. Non saprei se si possa ancora fare ma mi guardo bene dal ricominciare ad usare roba proprietaria
@Steutt@mastodon.uno @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno
@paoloredaelli@mastodon.uno @77nn@goto.77nn.it @Steutt@mastodon.uno @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno si puΓ² ancora fare anche su dispositivi non-rootati, io qualche mese fa ho passato tutto su Aegis e Bitwarden.
@paoloredaelli@mastodon.uno @77nn@goto.77nn.it @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno io non credo aboliranno lo SPID.
Funziona troppo bene ed Γ¨ giΓ integrato.
Hanno provato e hanno dovuto ritrattare.
Un po' come l Oro della banca d Italia....
Quando arriverΓ uno SPID europeo?
@betelgeuse93@mastodon.uno @paoloredaelli@mastodon.uno
Anche Keepass ha il supporto per le OTP. E con Syncthing faccio anche a meno del cloud.
@Steutt@mastodon.uno @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno
@Steutt@mastodon.uno @paoloredaelli@mastodon.uno @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno
C'Γ¨ giΓ da un po'.
Non so se ha valore come identificazione, ma accedi a numerosi servizi europei.
@77nn@goto.77nn.it
Ma Γ¨ arrivato prima lo SPID o l'equivalente europeo?
PerchΓ© se Γ¨ come per la PEC, prima Γ¨ arrivata l'Italia e con largo anticipo e poi l'Europa anzichΓ© prendere la PEC ed estenderla a tutta l'Europa ha preteso di fare un ALTRO sistema ovviamente incompatibile con la PEC. Non sia mai che prendano per buono qualcosa fatto in Italia! π±
π€¬
@Steutt@mastodon.uno @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno
@77nn@goto.77nn.it
Ma Γ¨ arrivato prima lo SPID o l'equivalente europeo?
PerchΓ© se Γ¨ come per la PEC, prima Γ¨ arrivata l'Italia e con largo anticipo e poi l'Europa anzichΓ© prendere la PEC ed estenderla a tutta l'Europa ha preteso di fare un ALTRO sistema ovviamente incompatibile con la PEC. Non sia mai che prendano per buono qualcosa fatto in Italia! π±π€¬
@Steutt@mastodon.uno @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno
@paoloredaelli@mastodon.uno @77nn@goto.77nn.it @Steutt@mastodon.uno @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno
Il regolamento eIdas Γ¨ arrivato circa 6 mesi prima di SPID, basato su OpenID, ma l'Italia ha preferito procedere con il modello SAML a base di SPID "caldeggiato" da TIM/Poste.
@paoloredaelli@mastodon.uno @77nn@goto.77nn.it @Steutt@mastodon.uno @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno
Il regolamento eIdas Γ¨ arrivato circa 6 mesi prima di SPID, basato su OpenID, ma l'Italia ha preferito procedere con il modello SAML a base di SPID "caldeggiato" da TIM/Poste.
@Skeybu@mastodon.uno
@paoloredaelli@mastodon.uno @77nn@goto.77nn.it @Steutt@mastodon.uno @BucciaBuccia@mastodon.social @informapirata@mastodon.uno
nn Γ¨ esatto
eidas 1 lasciava la scelta tecnica agli stati membri
ritardammo la legge x aspettare l'europa, ma i lavori da noi sono iniziati prima (scoop (nel senso che non lo ho mai detto prima): ho dato un contributo fondamentale alla definizione dei principi base di eidas poi finiti anche nel DSA. sul web della commissione ci sono tracce)
Le regole tecniche di spid sono entrate in vigore nel 2015, eidas nel 2016(vado a mente)
@paoloredaelli@mastodon.uno @77nn@goto.77nn.it @Steutt@mastodon.uno @BucciaBuccia@mastodon.social @quinta@mastodon.uno @informapirata@mastodon.uno Peraltro, il tutto mentre l'Europa adottava l'eInvoicing a base di Peppol mentre in Italia si adottava Fattura PA con i suoi XML non standard.
@quinta@mastodon.uno @paoloredaelli@mastodon.uno @77nn@goto.77nn.it @Steutt@mastodon.uno @BucciaBuccia@mastodon.social @informapirata@mastodon.uno ricordo anche abbastanza bene la discussione avuta con le persone di agid in cui fu evidenziato lo sfriso di protocollo e la loro soluzione di implementare il mostruoso grateway saml to openid che ad esempio si vede quando si tenta di fare un login forte allβestero con SPID (ad esempio io ora vivo in Finlandia e se tento lβautenticazione italiana finisco sul proxy saml di agid)β¦
@Skeybu@mastodon.uno
https://ec.europa.eu/futurium/sites/futurium/files/presentation_0.pdf
@paoloredaelli@mastodon.uno @77nn@goto.77nn.it @Steutt@mastodon.uno @BucciaBuccia@mastodon.social @informapirata@mastodon.uno
@Skeybu@mastodon.uno @paoloredaelli@mastodon.uno @77nn@goto.77nn.it @Steutt@mastodon.uno @BucciaBuccia@mastodon.social @informapirata@mastodon.uno
fu un progetto chiamato ficep
altri stati usavano saml
il problema non era tecnico ma giuridico: alcuni volevano solo livello assurance high e non accettavano substantial.
per questo nel 2017 proposi a servida e sagstetter di passare ad una modalità uniforme in europa ispirata a SSI, anche perchè alcuni stati non cedevano sul fatto di avere gestori unici autovigilantisi ed io lo giudicavo un problema democratico inaccettabile
Buccia
Paolo Redaelli
