Mastodawn

@quinta @informapirata Penso possa interessarvi: Poste Italiane introduce Play Integrity sull’app PosteID, bloccando quindi tutti i dispositivi non certificati da Google. Per chi ha l’app già installata e attiva, continua a funzionare, ma non permette di effettuare il login da zero: https://github.com/GrapheneOS/grapheneos.org/pull/1330#issuecomment-3688896284

add PosteID to list of apps banning GrapheneOS by jacopotediosi · Pull Request #1330 · GrapheneOS/grapheneos.org

The PosteID app, owned by Poste Italiane - the Italian national postal operator - has recently adopted the Play Integrity API, which now prevents the application from running on GrapheneOS and resu...

GitHub

DottorFred Dec 25

@BucciaBuccia @quinta @informapirata non funzionerebbe nemmeno con MicroG o in un profilo separato con i servizi Google installati?

@drfrededison @quinta @informapirata Non funzionerebbe.

DottorFred Dec 25

@BucciaBuccia @quinta @informapirata che cavolo… ogni giorno trovo sempre più motivi per abbandonare iOS, ma scopro sempre più magagne per “sostituire” certe funzioni su graphene… e non ho intenzione di passare a un semplice Android nemmeno lontanamente. Maledetta Google (immagine di me vecchio che urlo alla nuvola)

Paolo Redaelli Dec 25

@BucciaBuccia
@quinta @informapirata la proponiamo una legge che VIETA porcherie come Play Integrity?
Chi fornisce servizi essenziali con app dovrebbe fornire il binario ED i sorgenti direttamente, senza passare per i GAFAM e senza "dispositivi certificati"

@paoloredaelli @BucciaBuccia @quinta @informapirata

Concordo! Se una app su un dispositivo compromesso diventa compromessa, il problema è della app, non del dispositivo.

Paolo Redaelli Dec 26

@77nn Io inizio a valutare l'idea di rifiutare qualsiasi servizio che richieda l'uso di uno #smartphone.
#NoSmartPhone! @BucciaBuccia @quinta @informapirata

@paoloredaelli @77nn @BucciaBuccia @quinta @informapirata rifiutare uno smartphone no.
Il 2fa con il numero di telefono è quanto di più semplice possano usare gli urgenti normali.
Come pensare di togliere wathsapp a mia moglie, ormai è uno strumento di lavoro.
Servirebbero sistemi EU, sulla falsariga dello SPID.

@Steutt @paoloredaelli @BucciaBuccia @quinta @informapirata

Faccio degli esempi a caso:

DidUp, registro scolastico elettronico. Accessibile solo da App mobile.

Autolinee Toscane e Firenze Infomobilità: se vuoi usufruire del bonus per gli abbonamenti solo da smartphone.

Doctolib. Se vuoi un appuntamento o anche solo una ricetta dal medico di base, almeno per quelli della mia famiglia, non c'è altro modo.

Io. Solo su app mobile

Home banking. Pretende autenticazione da smartphone.

CieId. Solo da smartphone

...

In verità, ma poi dipende da chi siamo e cosa facciamo, siamo già obbligati allo smartphone. Senza appello. Ma questo non è giusto.

Paolo Redaelli Dec 27

@77nn tutte dipendenze artificiose. I #2fa si possono sostituire con #OTP che girano anche su desktop. Anche dal famigerato #Google Authenticator poi estrarre le chiavi ed usarle su un OTP su #Linux. Io l'ho fatto.
Non tutti le banche obbligano l'uso di smartphone. Monte dei Paschi e Mediolanum, per esempio.
CIE manda tranquillamente SMS per il 2fa ma ad onor del vero non so se l'attivazione si possa fare con un #tontofonino
@Steutt @BucciaBuccia @quinta @informapirata

Paolo Redaelli Dec 27

@77nn
… la CIE si può usare ed attivare senza smartphone, vedi https://www.cartaidentita.interno.gov.it/assistenza/
@Steutt @BucciaBuccia @quinta @informapirata

Unauthorized Request Blocked

Paolo Redaelli Dec 27

@77nn
Nota di folklore: le chiavi OTP da Google Authenticator le ho estratte qualche anno fa, su un dispositivo rootato. Non saprei se si possa ancora fare ma mi guardo bene dal ricominciare ad usare roba proprietaria
@Steutt @BucciaBuccia @quinta @informapirata

@paoloredaelli @77nn @Steutt @BucciaBuccia @quinta @informapirata si può ancora fare anche su dispositivi non-rootati, io qualche mese fa ho passato tutto su Aegis e Bitwarden.

@betelgeuse93 @paoloredaelli

Anche Keepass ha il supporto per le OTP. E con Syncthing faccio anche a meno del cloud.

@Steutt @BucciaBuccia @quinta @informapirata

@77nn @paoloredaelli @Steutt @BucciaBuccia @quinta @informapirata io come app ed estenxione browser uso bitwarden, ma il cloud è sul mio raspberry con vaultwarden.
Anche io faccio a meno del cloud.

Paolo Redaelli Dec 27

@77nn la questione non è #smartphone sì/no. La questione è essere obbligati ad usare sistemi #proprietari, #non-standard, legandosi mani e piedi ad uno ed uno solo fornitore. Straniero, per di più!
Sono critico anche sulla #CIE perché abolito lo #SPID diventerà un unico enorme #SingoloPuntoDiRottura (#SinglePointOfFailure): se #CIE si ferma si ferma l'intera nazione!
@Steutt @BucciaBuccia @quinta @informapirata

@paoloredaelli @77nn @BucciaBuccia @quinta @informapirata io non credo aboliranno lo SPID.
Funziona troppo bene ed è già integrato.
Hanno provato e hanno dovuto ritrattare.
Un po' come l Oro della banca d Italia....
Quando arriverà uno SPID europeo?

@Steutt @paoloredaelli @BucciaBuccia @quinta @informapirata

C'è già da un po'.

Non so se ha valore come identificazione, ma accedi a numerosi servizi europei.

Paolo Redaelli Dec 28

@77nn
Ma è arrivato prima lo SPID o l'equivalente europeo?
Perché se è come per la PEC, prima è arrivata l'Italia e con largo anticipo e poi l'Europa anziché prendere la PEC ed estenderla a tutta l'Europa ha preteso di fare un ALTRO sistema ovviamente incompatibile con la PEC. Non sia mai che prendano per buono qualcosa fatto in Italia! 😱🤬
@Steutt @BucciaBuccia @quinta @informapirata

Marco Bresciani Dec 28

@paoloredaelli
Credo sia arrivato prima lo SPID.
Il problema è contrario, comunque: è l'Italia che si è inventata un sistema, la PEC, incompatibile col resto dell'universo...
@77nn @Steutt @BucciaBuccia @quinta @informapirata

Paolo Redaelli Dec 28

@AAMfP
Perché c'era già #PGP/#gpg … ho vaghe memorie di aver letto i motivi per cui non è stato preso PGP così com'era, ma al momento non ne ricordo nemmeno uno. Credo che il buon @quinta potrebbe illuminarci sulla questione
@77nn @Steutt @BucciaBuccia @informapirata

Andrea Brancatelli Dec 28

@paoloredaelli @77nn @Steutt @BucciaBuccia @quinta @informapirata

Il regolamento eIdas è arrivato circa 6 mesi prima di SPID, basato su OpenID, ma l'Italia ha preferito procedere con il modello SAML a base di SPID "caldeggiato" da TIM/Poste.

Andrea Brancatelli Dec 28

@paoloredaelli @77nn @Steutt @BucciaBuccia @quinta @informapirata Peraltro, il tutto mentre l'Europa adottava l'eInvoicing a base di Peppol mentre in Italia si adottava Fattura PA con i suoi XML non standard.

Paolo Redaelli Dec 28

@Skeybu
Grazie per questi preziosi dettagli poco conosciuti! La cosa raccontata così assume tutt'altra piega!
@77nn @Steutt @BucciaBuccia @quinta @informapirata

quinta - Stefano Quintarelli Dec 28

@paoloredaelli @77nn @Steutt @BucciaBuccia @informapirata

nn è esatto
eidas 1 lasciava la scelta tecnica agli stati membri
ritardammo la legge x aspettare l'europa, ma i lavori da noi sono iniziati prima (scoop (nel senso che non lo ho mai detto prima): ho dato un contributo fondamentale alla definizione dei principi base di eidas poi finiti anche nel DSA. sul web della commissione ci sono tracce)

Le regole tecniche di spid sono entrate in vigore nel 2015, eidas nel 2016(vado a mente)

quinta - Stefano Quintarelli Dec 28

@Skeybu
https://ec.europa.eu/futurium/sites/futurium/files/presentation_0.pdf

@paoloredaelli @77nn @Steutt @BucciaBuccia @informapirata

Andrea Brancatelli Dec 28

@quinta @paoloredaelli @77nn @Steutt @BucciaBuccia @informapirata il draft tecnico di eidas uscì già a fine estate 2014, prima della formalizzazione di SPID (che arrivò a fine 2014), lo ricordo con certezza perché lavoravo in un’azienda che voleva accreditarsi SPID ed aveva già una soluzione openid eidas compatibile ma dovemmo metterla da parte per seguire le indicazioni agid…

quinta - Stefano Quintarelli Dec 29

@Skeybu @paoloredaelli @77nn @Steutt @BucciaBuccia @informapirata

può essere, non ricordo di preciso. ricordo che un draft di spid ci fu da inizio 2014. ricordo bene che lo discutemmo in una riunione a palazzo vidoni (da qualche parte ho ancora le slide..)

Andrea Brancatelli Dec 28

@quinta @paoloredaelli @77nn @Steutt @BucciaBuccia @informapirata ricordo anche abbastanza bene la discussione avuta con le persone di agid in cui fu evidenziato lo sfriso di protocollo e la loro soluzione di implementare il mostruoso grateway saml to openid che ad esempio si vede quando si tenta di fare un login forte all’estero con SPID (ad esempio io ora vivo in Finlandia e se tento l’autenticazione italiana finisco sul proxy saml di agid)…

quinta - Stefano Quintarelli Dec 29

@Skeybu @paoloredaelli @77nn @Steutt @BucciaBuccia @informapirata

fu un progetto chiamato ficep
altri stati usavano saml
il problema non era tecnico ma giuridico: alcuni volevano solo livello assurance high e non accettavano substantial.
per questo nel 2017 proposi a servida e sagstetter di passare ad una modalità uniforme in europa ispirata a SSI, anche perchè alcuni stati non cedevano sul fatto di avere gestori unici autovigilantisi ed io lo giudicavo un problema democratico inaccettabile

Andrea Brancatelli Dec 28

@quinta @paoloredaelli @77nn @Steutt @BucciaBuccia @informapirata poi, sia chiaro, sono certo che tutti operassero col migliore degli intenti, ma che si stesse creando una divergenza Italia Europa era ben chiaro fin dall’inizio. E la mancanza della federazione, ad esempio, era un altro dei dubbi che sollevammo…

quinta - Stefano Quintarelli Dec 29

@Skeybu @paoloredaelli @77nn @Steutt @BucciaBuccia @informapirata non sono d'accordo. vado a mente... in spagna, belgio, lussemburgo, francia (la poste) ... usavano SAML

Paolo Redaelli Dec 28

@Steutt
Purtroppo l'abolizione dello SPID è quasi inevitabile. Esattamente perché è una cosa italiana, robusta e che funziona 😭🤬
@77nn @BucciaBuccia @quinta @informapirata

Ciriaco Niside Dec 28

@paoloredaelli @77nn @Steutt @BucciaBuccia @quinta @informapirata io direi di evitare le 2fa da sms per via della scarsa sicurezza del protocollo sms.

l'otp sul pc riduce l'ampiezza di attacco e non è buono, non ha senso,
poi al posto di gauth io userei Aegis e altri otp opensource.
tra l'altro lo tengo installato su un vecchio smartphone, funziona ancora. oggi gli ultimi merdofonini per anziani hanno android dietro (a parte nokia) quindi è installabile e non so quanto gestibile

Doctolib è utilizzabile come web app. Il codice di accesso può essere inviato sulla casella di posta elettronica.

@77nn @Steutt @paoloredaelli @BucciaBuccia @quinta @informapirata

Ciriaco Niside Dec 28

@77nn @Steutt @paoloredaelli @BucciaBuccia @quinta @informapirata
argo è fermo all'anteguerra ed è diventato obbligatori per la gestione di una scuola. la gestione del personale per richiedere un congedo lo puoi fare solo da tablet o da pc perchè da browser sul telefono la web app non scala appropriatamente.

hype che funziona solo da smartphone e per il browser devi pagare hype next. tuttora non riesco ad entrare nel mio conto secondario per via di questo balzello.

Ciriaco Niside Dec 28

@77nn @Steutt @paoloredaelli @BucciaBuccia @quinta @informapirata poi lasciamo perdere sanità e studi medici, i sistemi sono variegati e diversi tra loro e non sono standard. tipo ilmiodottore, cartelle parmenide ecc...
il sistema regionale non viene mai preso in considerazione e funziona anche bene ma ci si appoggia sempre a sistemi esterni e privati. una ricetta la posso scaricare direttamente da li al posto di mandarmi il link su un sistema terzo su email o peggio tramite whatsapp.

Paolo Redaelli Dec 28

@cniside questo argo https://www.portaleargo.it/ ? Che io sappia ce ne sono anche altri di registri elettronici, tutti, ahimé proprietari (i.e. ClasseViva di Spaggiari )@77nn @Steutt @BucciaBuccia @quinta @informapirata

Argo - registro elettronico e altri applicativi per la Scuola

Argo, registro elettronico, didattica a distanza e altri applicativi per la gestione della scuola.

Ciriaco Niside Dec 28

@paoloredaelli @77nn @Steutt @BucciaBuccia @quinta @informapirata
didup è di Argo Software, basata in Ragusa, ed ha una suite che costa ad una scuola di 1000 persone, completa di tutto, qualcosa come 7000€ annui.
è il software più diffuso nelle scuole italiane, ce ne sono altri. ma comunque è un gestionale allargato obbligatorio, lo so perchè ho i genitori nella scuola.

Paolo Redaelli Dec 28

@cniside
In che senso "obbligatorio"? Sarà molto diffuso, magari è assai migliore dei concorrenti, ma ben difficilmente sarà obbligatorio per le scuole statali.
Esistono SW liberi analoghi?
@77nn @Steutt @BucciaBuccia @quinta @informapirata

Ciriaco Niside Dec 29

@paoloredaelli @77nn @Steutt @BucciaBuccia @quinta @informapirata il gestionale è obbligatorio per essere in regola con il provveditorato degli studi provinciale. non argo nello specifico.

@77nn @paoloredaelli @quinta @informapirata Beh no, può anche dipendere dal resto del sistema.

informapirata ⁂

@BucciaBuccia può dipendere, ok... ma resta il fatto che quel problema è legato all'app

@77nn @paoloredaelli @quinta

@informapirata @BucciaBuccia @paoloredaelli @quinta

Non voglio dire che la mia sia una affermazione assoluta. Intendo dire che se dipendi dal sistema per servizi come la crittografia, non ti puoi lamentare se il sistema espone dell API compromesse. Altrimenti vai a zero trust e embeddi i tuoi servizi crittografici. Per dire.

Ciriaco Niside Dec 26

@77nn @paoloredaelli @BucciaBuccia @quinta @informapirata esatto! perchè posso accendere all'home banking da browser installato su una distro linux qualunque e da mobile no? su pc sono responsabile del mio sistema operativo, perchè non lo devo essere sullo smartphone (alla fine sempre un computer è).

Giorgio Romano Dec 25

@BucciaBuccia @quinta @informapirata io non capisco come android non vuoli il DMA, esattamente tanto quanto lo viola apple

Dovrebbe essere vietato per google gestire in maniera esclusiva i google play services, e di base dovrebbe essere vietato in linea di massima bloccare un app su un sistema operativo solo perchè non ufficiale

Se vuoi fare un controllo di integrità trova altri modi, non di sicuro bloccare l'app
Ma tanto tutto il mondo software italiano è gestito da consulenti e PM ignoranti…

@GiorgioRomano @quinta @informapirata Perché tecnicamente non è Google a bloccare l'app, ma l'app stessa. Inoltre Google è attenta a non scrivere come agire in base all'esito, né di bloccare del tutto gli utenti. Per loro esiste una API, poi è l'app a decidere cosa fare dopo.

Giorgio Romano Dec 25

@BucciaBuccia @quinta @informapirata ok, ma lasciando stare le app private come banche ecc… un app pubblica che fa questa cosa non viola qualche regola del codice digitale? ed ok possiamo pure dire che posteId non è pubblica (anche se è fondamentale per un servizio pubblico, e sicuramente deve rispettare un ToC fatto da agid per SPID)

Ma perchè l'app io fa lo stesso check? l'app io dovrebbe girare pure su FreeBSD per quanto mi riguarda, è pure open source…

@GiorgioRomano @quinta @informapirata

> Ma perché l'app IO fa lo stesso check?

Sulla carta serve per evitare di rilasciare documenti digitali su dispositivi compromessi, o rimuoverli in caso di violazione. In pratica è inutile, consentono dispositivi con falle catastrofiche ma che passano il check in quanto certificati da Google.