richiesta di cancellazione pignante a sorpresa, e così aggiornamento di privacy ancor più a magia

Una delle cose che naturalmente può accadere quando mi dimentico che il fritto misto di octospacc esiste (e, a dire il vero, anche quando mi dimentico solamente di alcune delle sue parti), e che infatti guarda caso è accaduta in grosso stile stavolta che avevo dimenticato il sito per ben più di 2 mesi, è che mi dimentico (…la dimenticanza è combustibile e comburente di sé stessa e delle rognine!!!) di controllare eventuale posta che mi arriva tramite il form di contatto che ho appunto qui sul sito… (e che in realtà ho come punto di contatto generico, per qualsiasi cosa, solo perché è il metodo per i miei standard più affidabile) 😰

Ebbene, l’altro ieri mi è capitato di andare a controllare nel pannello admin del sito se avessi nuovi messaggi arrivati in questi ultimi 2 mesi — anche perché il mio server mail self-hosted si è misteriosamente rotto da un mesetto, non mi arriva più niente lì, quindi non mi viene inoltrato nessun messaggio e devo ricordarmi io di guardarli a manina — e, con mia sorpresa, ce n’era uno (…anzi, due, di cui uno scritto tipo 3 settimane fa, e poi un altro 2 settimane fa, visto che io intanto non avevo risposto): di una persona che praticamente chiedeva di cancellare un memino finito salvato sul mio Pignio (tra l’altro perfettamente innocuo, quindi bah, ma OK), perché stava cercando di ripulire la propria traccia digitale e, cercando il suo username su Google, avrebbe appunto trovato il post in questione, giustamente rimasto sul mio sito anche dopo che aveva cancellato l’originale su Pinterest… 😳

Beh, sapevo che prima o poi, per la legge dei grandi numeri e dell’inaspettata stranezza per cui magicamente pignio.octt.eu.org è decentemente indicizzato su Google, un fatto di questo tipo sarebbe accaduto, e sarebbe quindi stata solo questione di tempo prima che… io mi trovassi costretta ad implementare al volissimo più impostazioni di privacy per le robe archiviate in Pignio!!! Precisamente, oltre alla visibilità pubblica predefinita, ora c’è quindi anche l’opzione di non in elenco (ossia, accessibile solo sapendo l’URL, o praticamente l’ID) e, cosa utile in questo caso specifico, visibilità privata o solo all’utente creatore dell’elemento, o almeno a qualunque utente loggato nell’istanza… e così ho fatto, letteralmente il pomeriggio stesso dopo aver scoperto (già fin troppo tardi) questa richiesta, senza troppe difficoltà… dopo mesi e mesi che ho procrastinato la feature perché non era ancora mai risultata urgente, lol. 😝

Alla fine è anche ovvio così, però, eheh… comportamento prevedibile da una ragazza magica tutta sfaldata, direi; nel tecnico, nel pratico, e nel mancato. Da un lato, ovviamente io rispetto le richieste di privacy e robe e mazzetti personali vari, perché è giusto così e soprattutto perché io, per quanto mi piaccia atteggiarmi a malvagia, sono brava… ma, dall’altro, ovviamente il Pignio da me ospitato sul mio serverino è pur sempre la mia collezione privata di memini ed immagini particolari, e nessuno potrà mai (mai!!!) sottrarmi dati da essa in questo modo così insensato!!! Ma ecco: di disperar, bisogno non c’è stato, perché la soluzione a questo problema è stata appunto semplice come ho detto: ho impostato il meme oggetto della questione come privato, così la pagina restituisce 404 per chiunque eccetto me che ho l’account, e stessa cosa l’endpoint API per lo stesso elemento, con la ricerca integrata di Pignio ovviamente questo non si trova, e a tempo debito il link sparirà pure da Google (dove però è già inutile). 🔥

…Quello che non ho ancora fatto però, e questo mi è saltato in mente solo ora scrivendo, è implementare il controllo dei permessi di accesso anche per l’endpoint che restituisce i file media effettivi, oltre a quelli delle pagine, perché altrimenti chi conosce l’ID ad esempio di un’immagine salvata può comunque almeno vedere quella, pur senza i metadati, andando all’URL diretto del file… e, pensandoci ancora più forte, credo che il controllo dei permessi di accesso non ci sia attualmente nemmeno per l’endpoint di download, attraverso cui si può quindi fare la stessa magagna, ma non lo so, dovrei controllare… E ah, per via della fretta di fare il commit ed aggiornare la mia istanza di produzione l’altro ieri, non ho nemmeno tradotto tutte le nuove stringhe, quindi ora c’è pure un orribile miscuglio di italiano ed inglese in quel <select> che si vede qui nella schermata di modifica di un elemento (e nel testo che appare passando il mouse sopra l’icona di stato della privacy che viene mostrato sulle pagine degli elementi, appena aggiunta per l’occasione!!!), che lasciamo stare… 💩

E non solo questo, comunque, eh… perché, visto che sono veramente terribilmente iperterribile, ho anche dimenticato una cosa meno fondamentale ma comunque importante, cioè di aggiungere l’header di noindex alla risposta HTTP per le pagine degli elementi pubblici non in elenco, altrimenti i motori di ricerca potrebbero elencarli, e non è il massimo… e, inoltre, dopo ben 2 giorni che la richiesta di questa persona l’ho esaudita, ancora in realtà non ho inviato neanche una mail indietro per informare del fatto che mi sono svegliata dal mio sonno millenario ed ho fatto la cosa; che certo, non è importantissimo, perché la cosa importante era fare ciò che mi è stato chiesto, e questo l’ho fatto appena possibile, seppur mio malgrado in ritardo… però eh, la rispostina di cortesia farebbe bene all’anima, quindi è un peccato non inviarla… ma il fatto è che non so neanche con quale delle mie email private rispondere, perché la pagina di contatto mi permette solo di ricevere, quindi per rispondere devo sempre passare da fuori, e che palle. 😤

Pensando al futuro, invece… questa sarebbe finalmente la volta buona, almeno dopo aver sistemato i buchi di cui sopra, di implementare queste impostazioni di privacy anche per collezioni e cartelle in Pignio, che probabilmente farebbe comodo a me in primis per archiviare roba personalissima mia… Ma, a parte ciò, mi rendo anche conto che, probabilmente, dovrei aggiungere delle pagine di sistema in Pignio tipo contatto, privacy policy, termini di servizio, e chissà che altro, o almeno la possibilità per gli admin di istanza di impostare facilmente dei link a pagine esterne per questi scopi… perché beh, è qualcosa che qualsiasi piattaforma di comunicazione self-hostabile implementa, per ovvi motivi che a me nella pratica sfuggono sempre; e in questo caso non servirebbe nemmeno tanto a me per la mia istanza, quanto più perché, semmai Pignio dovesse diventare effettivamente popolare, sarebbe lievemente fastidioso ricevere magari email di questo tipo ma legate ad istanze che io non controllo… o, forse, piuttosto sarebbe divertente, per la mia parte amante del caos (Evil Octt), ma per ora basta. 💥

#devlog #Pignio #privacy