Link alla notizia: https://www.hwupgrade.it/news/telefonia/immuni-ecco-tutte-le-schermate-e-come-funzionera-l-app-italiana-contro-il-covid-19_89400.html

Arrivano le prime schermate ma anche la documentazione relativa al funzionamento dell'applicazione di Bending Spoons, Immuni, ossia l'app per il contenimento del contagio da COVID-19. Ecco allora le schermate e come dovrebbe funzionare il meccanismo secondo la documentazione.

Click sul link per visualizzare la notizia.

potrebbe risultare utile solo se la mettessero tutti, pero' rimarrebbe il problema che non tutti hanno il telefono dietro e non tutti funzionano bene o lo sanno usare.
quindi di fatto rimarrà INUTILE.
l'unica cosa che sarebbe utile è un chip sottopelle, ma dubito che si potrà fare. :D

In pratica la compilazione dello stato di positività spetta non solo alla discrezionalità del soggetto ma anche, nel caso, necessita della supervisione di un medico.
Inoltre non si avrà nessun tracciamento della posizione e quindi se il soggetto è positivo non si saprà con chi è entrato in contatto lungo i suoi percorsi e quindi dove potrebbe essere il nuovo focolaio.

Peraltro, ricordando che un eventuale infetto avrebbe l'obbligo di non uscire di casa, tirando le somme e semplificando... non serve assolutamente a nulla di utile per la collettività.

potrebbe risultare utile solo se la mettessero tutti, pero' rimarrebbe il problema che non tutti hanno il telefono dietro e non tutti funzionano bene o lo sanno usare.
quindi di fatto rimarrà INUTILE.
l'unica cosa che sarebbe utile è un chip sottopelle, ma dubito che si potrà fare. :D
Stesso mio pensiero :)

Che inutile spreco di tempo e soldi :rolleyes:

Che inutile spreco di tempo e soldi :rolleyes:

*

potrebbe risultare utile solo se la mettessero tutti, pero' rimarrebbe il problema che non tutti hanno il telefono dietro e non tutti funzionano bene o lo sanno usare.
quindi di fatto rimarrà INUTILE.
l'unica cosa che sarebbe utile è un chip sottopelle, ma dubito che si potrà fare. :D

Considerando pure che appena uscirà sui social sarà un bombardamento di post negativi, inventati e di fake news... posso solo immaginari quanti tra gli "indecisi" la metteranno.
Per quanto mi riguarda doveva essere pronta un mese fa per poter essere utile... o almeno all'inizio della fase 2. Ora come ora penso sia in ritardo mostruoso.

Che inutile spreco di tempo e soldi :rolleyes:

mppfff
è da quando è nata la repubblica italiana che il grande fiume di denaro pubblico versato dai contribuenti, viene (mal)gestito cosi.
Tanti piccoli rivoli ,fra cui questa app, assorbono tutta l'acqua (le risorse) di cui il grande fiume dispone. A valle (cioè dal popolo), non arrivano che goccioline.

Un gran magna magna in cui i partiti sguazzano come maiali ,distribuendo di volta in volta ai loro sodali: appalti, poltrone e cariche con retribuzioni fuori mercato. Non è solo voto di scambio è un sistema per mangiare alle nostre spalle non facendo un beneamato cazzo.

Per quanto mi riguarda doveva essere pronta un mese fa per poter essere utile... o almeno all'inizio della fase 2. Ora come ora penso sia in ritardo mostruoso.

Non sarebbe stata comunque utile dato che:
- non si fanno tamponi (sono arrivato a contare una dozzina di persone che conosco più o meno direttamente che ancora non sono stati tamponati e ne han fatto richiesta 1 mese fa)
- l'app è da installare su base volontaria.

In pratica la compilazione dello stato di positività spetta non solo alla discrezionalità del soggetto ma anche, nel caso, necessita della supervisione di un medico.
Inoltre non si avrà nessun tracciamento della posizione e quindi se il soggetto è positivo non si saprà con chi è entrato in contatto lungo i suoi percorsi e quindi dove potrebbe essere il nuovo focolaio.

Peraltro, ricordando che un eventuale infetto avrebbe l'obbligo di non uscire di casa, tirando le somme e semplificando... non serve assolutamente a nulla di utile per la collettività.

Nulla di utile per la collettività? invece, a me come persona credo sia utile, se ti chiedessero:
"vuoi installare questa app che ti avvisa se sei stato vicino a qualcuno di positivo?"
messa così come rispondi alla domanda? se poi l'app non funziona o non ti segnala mai nulla, amen, non ti costa nulla ma, come si dice, ha del potenziale, perchè privarmi di una possibilità che non mi costa niente e può aiutarmi?

- l'app è da installare su base volontaria.

Quando, purtroppo ormai alcune decine di anni fa, mi arrrivò la cartolina precetto per il servizio militare, un caro amico di famiglia militare di carriera mi diede due soli consigli:

1) Quando ti daranno il vestiario, scegli gli anfibi del numero superiore al tuo piede. Cioè provali, e poi una volta trovato quelli della giusta misura, prendi quelli con numero superiore.

2) Non offrirti MAI volontario. Mai. C'è la fregatura dietro.


Ecco, non ho mai smesso di ringraziarlo perché entrambi i consigli furono azzeccati.

Non sarebbe stata comunque utile dato che:
- non si fanno tamponi (sono arrivato a contare una dozzina di persone che conosco più o meno direttamente che ancora non sono stati tamponati e ne han fatto richiesta 1 mese fa)
- l'app è da installare su base volontaria.

Da noi i tamponi li fanno abbastanza celermente, forse dipende dalla zona. Mia mamma lo ha fatto su consiglio del medico di famiglia in 2/3 giorni ha trovato posto e dopo 3/4 giorni è arrivata la risposta (negativa per fortuna, questo lo aggiungo io).

Da noi i tamponi li fanno abbastanza celermente, forse dipende dalla zona. Mia mamma lo ha fatto su consiglio del medico di famiglia in 2/3 giorni ha trovato posto e dopo 3/4 giorni è arrivata la risposta (negativa per fortuna, questo lo aggiungo io).

In lombardia è un disastro. Altro che "servizio sanitario d'eccellenza".

Si ma cavolo fatela uscire !!! :muro: :muro: :muro:



Cò,saòmslmslmslms

Si ma cavolo fatela uscire !!! :muro: :muro: :muro:



Cò,saòmslmslmslms

E cosa te ne fai se almeno il 90% della popolazione non la installa o, comunque, non sono fatti prontamente i tamponi A TUTTI per segnalare gli asintomatici?

Ma come pensate che si possano fare 50M di tamponi tipo ogni 2 settimane?

E' una barzelletta. Un po' come il fatto di usare un foulard o una mascherina chirurgica per proteggersi :rolleyes:

NHS ha messo online i sorgenti per l'app di tracciamento che verrà usata in UK
https://github.com/nhsx/COVID-19-app-iOS-BETA
qui per ora c'è la documentazione, meglio di niente ma sarebbe bello avere accesso a tutto quanto

alla fine hanno preso l'unica decisione possibile che era quella di usare le nuove API di Apple&Google, cosa che invece NHS si ostina a non fare andando incontro a problemi, almeno su iOS
Immuni avrà più dati a disposizione proprio perché li otterrà direttamente dal sistema operativo, volendo si può negare questo permesso anche se non vedo il punto di installare l'app se poi non la si usa per il tracciamento

Per quanto mi riguarda doveva essere pronta un mese fa per poter essere utile... o almeno all'inizio della fase 2. Ora come ora penso sia in ritardo mostruoso.

in teoria poteva uscire un mese fa solo con BLE, ma sarebbe servita ancora a meno, per via di difficile interoperabilità tra iOS e Android e per le limitazioni delle app che girano in background

comunque secondo me adesso serve a poco, però diciamo che le API nel sistema operativo ci sono, le app sono pronte
se in autunno ci sarà una seconda ondata o se in futuro ci sarà un'altra pandemia, le app saranno già pronte e ben collaudate
lo vedo al momento più come un test su larga scala che una vera soluzione a un problema che c'è ma che non è grave come 2 mesi fa
l'importante è essere pronti in futuro, stavolta abbiamo avuto mesi di lockdown e di ospedali strapieni, in futuro dovremmo cavarcela meglio anche con l'aiuto della tecnologia
ovvio che servono anche più tamponi se no con l'app ci fai poco

articolo ben scritto, chiaro, dettagliato, preciso.
grazie!

Forse non l'ho capito io, ma uno che sa di essere positivo per SARS-CoV-2, evidente o asintomatico poco importa, quando esce di casa si porta dietro lo smartphone con l'app installata, attivata e funzionante? :confused:

Ma gli infetti non dovrebbero stare isolati e basta fino alla provata guarigione? :confused:

In lombardia è un disastro. Altro che "servizio sanitario d'eccellenza".

Io sono poco di qua dal Po, perchè disto pochi km dalla Lombardia. Però l'ospedale di zona è diventato da subito un "ospedale Covid", forse è per quello che qui da me fanno i tamponi più velocemente. Comunque mi dispiace, pensavo che visto che la mia è una cittadina piccola, il resto fosse messo meglio e non peggio!


comunque secondo me adesso serve a poco, però diciamo che le API nel sistema operativo ci sono, le app sono pronte
se in autunno ci sarà una seconda ondata o se in futuro ci sarà un'altra pandemia, le app saranno già pronte e ben collaudate
lo vedo al momento più come un test su larga scala che una vera soluzione a un problema che c'è ma che non è grave come 2 mesi fa
l'importante è essere pronti in futuro, stavolta abbiamo avuto mesi di lockdown e di ospedali strapieni, in futuro dovremmo cavarcela meglio anche con l'aiuto della tecnologia
ovvio che servono anche più tamponi se no con l'app ci fai poco

Anche io penso che facendola uscira ora, servirà più in futuro che nel presente.
Io non sono contrario ad installarla, non vorrei che passasse questo messaggio dai miei post... non mi da alcun fastidio.

E cosa te ne fai se almeno il 90% della popolazione non la installa o, comunque, non sono fatti prontamente i tamponi A TUTTI per segnalare gli asintomatici?

Ma come pensate che si possano fare 50M di tamponi tipo ogni 2 settimane?

E' una barzelletta. Un po' come il fatto di usare un foulard o una mascherina chirurgica per proteggersi :rolleyes:

Me ne frega di quello he fanno gli altri, io la voglio usare...




Clmsòòòsòsòàs

Tralasciando che arriva con un ritardo sconsiderato...teniamo anche conto che Whatsapp, l'app più scaricata in Italia, ha raggiunto 30 milioni di utenti italiani in 10 anni, non vedo come questa app possa raggiungere almeno 45 milioni di utenti in tempo utile per avere una qualisaisi utilità.

Forse non l'ho capito io, ma uno che sa di essere positivo per SARS-CoV-2, evidente o asintomatico poco importa, quando esce di casa si porta dietro lo smartphone con l'app installata, attivata e funzionante? :confused:

Ma gli infetti non dovrebbero stare isolati e basta fino alla provata guarigione? :confused:

si gli infetti devono stare a casa, l'applicazione è pensata per comunicare a coloro con cui sei venuto a contatto che successivamente sei risultato positivo

Dai commenti che si leggono, sembra che la pandemia sia sparita, ci vedremo a settembre.

Che inutile spreco di tempo e soldi :rolleyes:

Quali soldi sono stati sprecati?

Ottimo esperimento per il controllo globale delle Masse insieme al 5G e chip sottocutaneo (o tramite VAX) la dittatura perfetta è servita per i prossimi 35 -40 anni. Buon Futuro a Tutti

Trovo che su questa app si sia fatto un pasticcio immane.
Le persone presenti nella task force che ha effettuato la selezione erano sicuramente di alto livello, e su questo non vi è alcun dubbio (tra questi anche il direttore del Cefriel del Politecnico di Milano che è oggettivamente uno dei fiori all'occhiello della ricerca e dell'innovazione in seno a una delle più rinomate università mondiali in ambito tecnico).

Dal punto di vista comunicativo e decisionale/politico invece è stato fatto un pasticcio cosmico...

Ci si è illusi (o comunque si è comunicato) che l'app potesse risolvere da sola i problemi, mentre è stato ripetuto anche in gloria che il tracciamento è solo una delle tre fasi per gestire questa situazione (Trace, Test & Treat); senza tutte le tre "T" anche il tracciamento è essenzialmente inutile.

E' stato fatto un casino cosmico sui protocolli da seguire (la famosa diatriba PEPP-PT vs DP-3T).

Sono stati dati per certi alcuni aspetti tecnici fondamentali che invece erano tutt'altro che definitivi, ad esempio la celebre feature di tracciamento di prossimità via bluetooth, con tutti i problemi annessi (es su iOS)

Ciliegina sulla torta il caso della scelta definitiva dell'app, fatta dal dicastero che ha comunicato i risultati del lavoro della task force (che ripeto ha lavorato egregiamente e gratis, nonostante le falsità che sono girate a scopo propagandistico) completamente stravolti (erano state individuati tre progetti, tra cui Immuni, mentre alla Presidenza del Consiglio è stato comunicato che la task force aveva scelto Immuni).
Poi su questo si possono montare tutte le polemiche e dietrologie varie, tipo le acquisizioni effettuate da Bending Spoons, oppure gli investimenti della famiglia Berlusconi sulla suddetta società.

Tirando le somme è stato un mix perfetto per buttare alle ortiche l'intero progetto, ma soprattutto per minare alle fondamenta l'aspetto più importante, ovvero la fiducia degli utenti finali che si poteva ottenere solo tramite una totale trasparenza e chiarezza.
A questo si è aggiunta la stupida e inutile polemica dei fanatici della tracciatura (tra cui virologi ed economisti, gente che non sa un'H di IT e sicurezza :rolleyes: ) che hanno cominciato a etichettare come anti-trax (con un vomitevole parallelo con gli anti-vax :rolleyes: ) tutti coloro che sollevavano osservazioni e criticità sul progetto; tra questi illustri professionisti di fama mondiale, ricercatori e professori universitari, tutta gente che riceve costanti offerte delle più grandi corporate dell'IT, contesa dalle più grandi conferenze mondiali in tema di sicurezza e innovazione, gente che poi si è riunita nella lettera aperta (https://nexa.polito.it/lettera-aperta-app-COVID19) del Politecnico di Torino ripetendo concetti limpidissimi fin dal giorno zero ed espressi direttamente in sede europea.

Se solo le autorità fossero state trasparenti e disponibili al confronto si sarebbero trovati un esercito composto dal top dei professionisti IT, disponibili a dare una mano più che volentieri, magari anche gratis.
Invece i tuttologi hanno preferito sbertucciare gli specialisti in questa materia, buttando alle ortiche tutte queste risorse preziosissime e creando un clima di sfiducia e diffidenza proprio tra coloro che hanno le competenze per smontare l'app e mostrarne tutte le criticità.

mppfff
è da quando è nata la repubblica italiana che il grande fiume di denaro pubblico versato dai contribuenti, viene (mal)gestito cosi.
Tanti piccoli rivoli ,fra cui questa app, assorbono tutta l'acqua (le risorse) di cui il grande fiume dispone. A valle (cioè dal popolo), non arrivano che goccioline.

Un gran magna magna in cui i partiti sguazzano come maiali ,distribuendo di volta in volta ai loro sodali: appalti, poltrone e cariche con retribuzioni fuori mercato. Non è solo voto di scambio è un sistema per mangiare alle nostre spalle non facendo un beneamato cazzo.Hai dimenticato "piove, governo ladro".

Ti rendi conto che l'umanità ripete queste parole dai tempi antichi, le ripeteva durante il medioevo e le continua a ripetere anche oggi?
Ma soprattutto queste stesse parole sono state ripetute ai tempi dei tiranni, delle oligarchie, della democrazia antica, durante gli imperi e i regni di tutte le epoche assolute o meno, durante le democrazie liberali guardando con invidia ai totalitarismi, salvo poi notare che in quelli c'era una corruzione e un malgoverno persino peggiore, con in più l'aggravante della mancanza di libertà, del terrore e della violenza.

Ottimo esperimento per il controllo globale delle Masse insieme al 5G e chip sottocutaneo (o tramite VAX) la dittatura perfetta è servita per i prossimi 35 -40 anni. Buon Futuro a TuttiHai dimenticato rettiliani e scie chimiche. :O

@Nicodemo Timoteo Taddeo
"Forse non l'ho capito io, ma uno che sa di essere positivo per SARS-CoV-2,
evidente o asintomatico poco importa..."

si non ha capito, spero pero abbia almeno chiara la cosa più importante,
si rischia la galera se si esce sapendo di essere positivi e
avendo l'obbligo della quarantena (a casa o in ospedale).

quindi l'APP serve per quando non si sa di esserlo e lo si scopre
successivamente e, dandone notizia, si prova a contenere
i possibili nuovi contagi

ma, la privacy ed i chippisti, avranno il sopravvento quindi
futuri "6 feet under" e potenziali malati a vita che
il simpatico virus ci regala non mancheranno.

ma, la privacy ed i chippisti, avranno il sopravvento quindi
futuri "6 feet under" e potenziali malati a vita che
il simpatico virus ci regala non mancheranno.La vogliamo capire una volta per tutte che se l'app segue le direttive europee, si basa su BT di prossimità, conserva i dati in locale sul dispositivo e non centralizzati, e permette l'invio volontario dei dati anonimi, il problema della privacy NON ESISTE?

Questo è quello che hanno ripetuto in coro tutti quelli che vengono etichettati come "no-trax", queste sono le direttive europee, questo è quello che è stato progettato (salvo poi continui pasticci di comunicazione da parte del commissario, tipo aggiungere features sanitarie che nulla hanno a che fare con il tracciamento covid).

Che l'uso dell'app sia volontario non è una scelta ma un OBBLIGO, obbligo per legge e per necessità, perchè non c'è modo di obbligare la gente ad avere un telefono, non c'è modo di garantire il funzionamento su ogni telefono, non c'è modo di usare strumenti alternativi (il braccialetto elettronico è stata una delle scemenze cosmiche di questa faccenda, non riusciamo a procurarci e distribuire un oggetto semplice ed economico come una mascherina chirurgica, figuriamoci un dispositivo costoso e complesso come un braccialetto per il tracciamento).

L'unica via per far funzionare questa cosa è creare fiducia, l'unico modo per farlo è tramite la più totale trasparenza.
Fare questo (e non è nemmeno difficile, basta volerlo) significa garantire efficacia all'app, che non è sufficiente (mancano test e trattamento) ma è necessaria.

Secondo il MIT l'app immuni ha 5 stelle su 5. (https://www.technologyreview.com/2020/05/07/1000961/launching-mittr-covid-tracing-tracker/)

La vogliamo capire una volta per tutte che se l'app segue le direttive europee, si basa su BT di prossimità, conserva i dati in locale sul dispositivo e non centralizzati, e permette l'invio volontario dei dati anonimi, il problema della privacy NON ESISTE?

Questo è quello che hanno ripetuto in coro tutti quelli che vengono etichettati come "no-trax", queste sono le direttive europee, questo è quello che è stato progettato (salvo poi continui pasticci di comunicazione da parte del commissario, tipo aggiungere features sanitarie che nulla hanno a che fare con il tracciamento covid).

Che l'uso dell'app sia volontario non è una scelta ma un OBBLIGO, obbligo per legge e per necessità, perchè non c'è modo di obbligare la gente ad avere un telefono, non c'è modo di garantire il funzionamento su ogni telefono, non c'è modo di usare strumenti alternativi (il braccialetto elettronico è stata una delle scemenze cosmiche di questa faccenda, non riusciamo a procurarci e distribuire un oggetto semplice ed economico come una mascherina chirurgica, figuriamoci un dispositivo costoso e complesso come un braccialetto per il tracciamento).

L'unica via per far funzionare questa cosa è creare fiducia, l'unico modo per farlo è tramite la più totale trasparenza.
Fare questo (e non è nemmeno difficile, basta volerlo) significa garantire efficacia all'app, che non è sufficiente (mancano test e trattamento) ma è necessaria.

Solo tanti tantissimi applausi per entrambi i commenti (hai colmato anche qualche lacuna che avevo anche se il succo lo sapevo già e concordo su tutto).

Non sai le litigate con gli "statistici" fra i miei contatti. Gente che ovviamente sapendone di statistica si avventura nell'epidemiologia e poi si vabbè la la tecnologia, la privacy, cosa vuoi che che sia di fronte al virus... :D

Ottimo esperimento per il controllo globale delle Masse insieme al 5G e chip sottocutaneo (o tramite VAX) la dittatura perfetta è servita per i prossimi 35 -40 anni. Buon Futuro a Tutti

Di che ti preoccupi? Tanto ci governano gli alieni dell'area 51...😂

App decisamente inutile, a mio avviso trovo più sensato fare esami del sangue a tutti compresi chi non è mai stato infetto.

Ottimo esperimento per il controllo globale delle Masse insieme al 5G e chip sottocutaneo (o tramite VAX) la dittatura perfetta è servita per i prossimi 35 -40 anni. Buon Futuro a Tutti

Invece che rompere il cazzo con queste stronzate, puoi prenderti le tue erbe mediche coltivate nel tuo balcone di casa, il tuo cappellino di alluminio e la tua bicicletta e tornare nel tuo bunker?

Grazie.

Quali soldi sono stati sprecati?

Le infrastrutture di PagoPA e Sogei le paghiamo noi.

La vogliamo capire una volta per tutte che se l'app segue le direttive europee, si basa su BT di prossimità, conserva i dati in locale sul dispositivo e non centralizzati, e permette l'invio volontario dei dati anonimi, il problema della privacy NON ESISTE?

1. Ancora non si vedono i sorgenti, quindi sono tutte supposizioni
2. Si parla anche di dati pseudonimizzati (https://www.altalex.com/documents/altalexpedia/2018/06/04/pseudonomizzazione). Quindi, eseguito l'upload sui cari server sogei, sono proprio curioso di sapere se possono collegare gli id generati randomicamente da un dispositivo all'anagrafica dell'utente.
3. Senza fare tamponi a tutti ed in continuazione, quest'app non serve a niente se non a scatenare il panico.

Già mi immagino il Sig Rossi che abita a Milano Nord, lavora a Milano Sud e si sposta in metro per andare a lavoro. Se malauguratamente venisse contagiato e lo scoprisse 7-10 giorni dopo, praticamente mezza milano riceverebbe la notifica e dovrebbe sigillarsi in casa o farsi fare il tampone.

Ripeto: le app non servono ad una ceppa se non fai tamponi continuamente a tutti, cosa che non siamo assolutamente in grado di fare.

Non a caso in cina l'app viene usata in altro modo, ovvero per bloccare chi è risultato positivo e non deve circolare. L'app praticamente è una specie di lasciapassare.

Dunque, c'era la possibilità di sfruttare la tecnologia per avere un controllo semplice ed efficace della diffusione pandemica e cosa fanno? un accrocchio pieno di complessità, vincoli ed interventi da terzi... risultato? perfettamente inutile. Ragazzi, ma la piantiamo di fare i fenomeni?
Chi esegue il test ne viene registrato AUTOMATICAMENTE il risultato sul codice fiscale (aka tessera sanitaria), il nr. di cell generalmente è abbinato ad un CF.... era così complicato? Non c'era nemmeno bisogno di installare gran chè...

Dunque, c'era la possibilità di sfruttare la tecnologia per avere un controllo semplice ed efficace della diffusione pandemica e cosa fanno? un accrocchio pieno di complessità, vincoli ed interventi da terzi... risultato? perfettamente inutile. Ragazzi, ma la piantiamo di fare i fenomeni?
Chi esegue il test ne viene registrato AUTOMATICAMENTE il risultato sul codice fiscale (aka tessera sanitaria), il nr. di cell generalmente è abbinato ad un CF.... era così complicato? Non c'era nemmeno bisogno di installare gran chè...

... No non è così semplice. Per fortuna.
Senza andare sui livelli di tecnologici vari di come funziona il tracciamento dei contatti. Non è che al cellulare è associato un cf, al massimo alla sim, che non sempre corrisponde all'utilizzatore. E in ogni caso il telefono non lo sa il cf. Rimane nei database di tim/vodafone! (e vorrei vedere!)

Per la privacy la tua idea sarebbe stata un disastro. E un'app bisognava installarla e svilupparla comunque :)

Applicazione inutile. Va contro la privacità delle persone. Prima questo, dopo il chip. Andiamo bene...

Qui si è già detto tutto ed il contrario di tutto...

La chiave di funzionamento client/server è racchiusa in questo paragrafo, sempre che sia corretta:
Esistono due momenti in cui l'app può inviare informazioni di esposizione al server:

Al momento di valutare il rischio di trasmissione. Il caricamento può avvenire dopo che l'app ha scaricato nuove chiavi dal server e valutato il rischio di trasmissione per l'utente, in base ai loro recenti contatti con utenti positivi al COVID-19. In questo caso, i seguenti dati epidemiologici vengono caricati automaticamente. Oppure al momento del caricamento delle chiavi di esposizione temporanee. Quando un operatore sanitario comunica all'utente la sua positività a un test COVID-19, verranno caricati anche tutti i dati epidemiologici disponibili dei 14 giorni precedenti. In questo caso, il caricamento dei dati deve essere avviato dall'utente e approvato dall'operatore sanitario.

Se questo è corretto e rispettato nell'effettiva implementazione, ne deduciamo che l'app con una certa regolarità scarica dai server l'elenco degli infetti e, se trova nella lista un id con cui è venuta in contatto, avviserà l'utente del potenziale contagio.
E fin qui tutto ok, ma...
dato che si tratta di un contagio solo potenziale, non capisco per quale motivo in questo caso debba inviare l'elenco di tutti i contatti al server, come se si trattasse di un contagio conclamato.

Allo stesso modo non capisco perché in caso di contagio (potenziale o conclamato) oltre al proprio ID debba inviare al server anche l'elenco dei contatti avuti: dovrebbero infatti essere le loro app (instalalte sui telefoni dei contatti) a fare il match ed avvisare l'utente, non il server.

Quindi positivo il fatto che il match avvenga lato client (app) e non lato server, ma il comportamento in caso di potenziale contagio sembra esagerata: prima di allertare il mondo dovrebbe attendere un tampone: prograbilmente i progettisti già sanno che i tamponi non verranno fatti....

Applicazione inutile. Va contro la privacità delle persone. Prima questo, dopo il chip. Andiamo bene...

https://lacrunadellago.net/2020/05/14/il-governo-conte-vicino-ad-autorizzare-il-microchip-in-italia/

Miraccomando a non farvela scappare. Correte a installarla. Mettere pure il braccialetto, fatevi il vaccino, fatevi piazzare un paio di antenne in casa, così avrete in omaggio anche il guinzagluo tanto la museruola LA METTETE già...

ascoltatelo bene fino in fondo dove parla della app e dei dati genetici trattenuti a fini istat e codice fiscale, annn.
https://youtu.be/oaiR2deSSw4

Ah dimenticavo il chip per i pagamenti visto che i soldi essendo sporchi (se ne sono accorti dopo 2000 anni), porterebbero il "virus" sterminatore. Che strano io sono 40 anni che maneggio soldi come li maneggia gente di 80-90 anni e siamo ancora qui. Aprite gli occhi gioventù perché poi sarà veramente troppo tardi...

Le infrastrutture di PagoPA e Sogei le paghiamo noi.


Non viene utilizzata l'infrastruttura PagoPA ma la supervisione tecnica.

L'infrastruttura SOGEI è già di proprietà al 100% del Ministero dell'Economia e Finanza.

Ah dimenticavo il chip per i pagamenti visto che i soldi essendo sporchi (se ne sono accorti dopo 2000 anni), porterebbero il "virus" sterminatore. Che strano io sono 40 anni che maneggio soldi come li maneggia gente di 80-90 anni e siamo ancora qui. Aprite gli occhi gioventù perché poi sarà veramente troppo tardi...
Come si sono appena accorti, dopo migliaia e migliaia di anni che si muore :asd: peggio per loro.

Qui si è già detto tutto ed il contrario di tutto...

La chiave di funzionamento client/server è racchiusa in questo paragrafo, sempre che sia corretta:


Se questo è corretto e rispettato nell'effettiva implementazione, ne deduciamo che l'app con una certa regolarità scarica dai server l'elenco degli infetti e, se trova nella lista un id con cui è venuta in contatto, avviserà l'utente del potenziale contagio.
E fin qui tutto ok, ma...
dato che si tratta di un contagio solo potenziale, non capisco per quale motivo in questo caso debba inviare l'elenco di tutti i contatti al server, come se si trattasse di un contagio conclamato.

Allo stesso modo non capisco perché in caso di contagio (potenziale o conclamato) oltre al proprio ID debba inviare al server anche l'elenco dei contatti avuti: dovrebbero infatti essere le loro app (instalalte sui telefoni dei contatti) a fare il match ed avvisare l'utente, non il server.

Quindi positivo il fatto che il match avvenga lato client (app) e non lato server, ma il comportamento in caso di potenziale contagio sembra esagerata: prima di allertare il mondo dovrebbe attendere un tampone: prograbilmente i progettisti già sanno che i tamponi non verranno fatti....

Infatti è difficile parlarne nel merito dell'app con gente che parla dei peggio complotti.

Io ho dei dubbi e sicuramente aspetterò pareri di amici di cui mi fido e ne sanno di codice, però qui secondo me con dati epidemiologici non parla di contatti ma di potenzialità di positività.

In teoria i server non dovrebbero ricevere alcun dato sui contatti. Mai. Almeno così avevo capito.

Il fatto è che così (ovvero considerando anche i potenziali contagi per inviare l'allert) si è potenzialmente più tempestivi, in teoria i positivi sono rossi poi mi aspetto una metrice considerando distanza e tempo in cui si è stati a contatto con il contagiato da cui può uscire un rischio contagio basso (giallo) o alto (arancio).
Invio dei miei dati di rischio contagio e ripetizione di quanto sopra ma aggiungendo alla matrice di rischio se le probabilità che io sia contagiato siano alte o basse.


La controindicazione è che mi aspetto un numero di alerts elevatissimo soprattutto per chi vive in grandi città in Lombardia...

Non viene utilizzata l'infrastruttura PagoPA ma la supervisione tecnica.

L'infrastruttura SOGEI è già di proprietà al 100% del Ministero dell'Economia e Finanza.

Ah, quindi dato che SOGEI è del ministero, l'infrastruttura sarebbe gratis? Zero costi?

Ma vi leggete quando scrivete certe cose? :mbe:

Ah, quindi dato che SOGEI è del ministero, l'infrastruttura sarebbe gratis? Zero costi?

Ma vi leggete quando scrivete certe cose? :mbe:

Che tu ci vedi uno spreco di soldi, io no.

Il problema "economico" sarebbe che il Ministero utilizza una sua infrastruttura di proprietà per app sviluppata a titolo gratuito?

Se mi trovi un sistema ancora più economico in altri Stati, fammelo sapere.

A certo, non fare nessuna app perchè tanto non serve...

Per tutti i Nostradamus che affermano che “immuni” sarà inutile, voglio ricordare che se solo riuscisse a scovare un positivo, tutto ad un tratto questa app diventerebbe utile e prova a convincere il soggetto in questione del contrario. Ora possiamo stare a discutere di quanto possa servire, se poco o potenzialmente tanto, ma perché non provare? Si muore?

Infatti i Nostradamus non stanno affermando che sia utile a trovare chi è malato di "fuffavirus",ma stanno affermando GIUSTAMENTE che sarà semplicemente un modo per controllare i rapporti sociali, le distanze ecc ovvero chi frequenti, perché, perché tutti nello stesso locale, ecc... Siccome penso che la app in questione abbia un margine di errore minimo nel tracciati, per questo impongono le distanze sociali. Arriveremo a vivere come i cinesi:lavoro/casa, casa/lavoro ma il popolo italiano preferisce vivere guardando la d'urso. Spero che questi soggetti saranno i primi a finire sul lastrico #Restateincasa #Andràtuttobene

Ah dimenticavo il chip per i pagamenti visto che i soldi essendo sporchi (se ne sono accorti dopo 2000 anni), porterebbero il "virus" sterminatore. Che strano io sono 40 anni che maneggio soldi come li maneggia gente di 80-90 anni e siamo ancora qui. Aprite gli occhi gioventù perché poi sarà veramente troppo tardi...
Che monete e banconote siano veicolo di malattie, proprio perché tutti li maneggiamo con le nostre mani piene di microorganismi di ogni tipo non è certo una novità, così come la necessità di lavarsi le mani dopo essere andato in bagno, anzi la buona regola sarebbe lavarsi le mani sia prima che dopo, dato che toccandosi zone delicate del corpo con le mani sporche è forse anche peggio di uscire dal cesso senza lavarsi le mani... così come è sempre stata una buona regola non toccarsi gli occhi o la bocca con le mani sporche.

Non è che tutto ciò vale solo oggi in tempo di pandemia, così come non è bisogna aspettare che arrivino le piogge per scopire che fiumi e canali di scolo pieni di detriti siano un pericolo, semplicemente nei momenti di calma ce ne freghiamo...

Il "fuffavirus" è reale e sta facendo stragi in tutto il mondo e guarda caso proprio quei paesi che hanno cercato di minimizzare il problema (USA,Regno Unito) ora ne pagano il prezzo maggiore, sveglia!

Infatti i Nostradamus non stanno affermando che sia utile a trovare chi è malato di "fuffavirus",ma stanno affermando GIUSTAMENTE che sarà semplicemente un modo per controllare i rapporti sociali, le distanze ecc ovvero chi frequenti, perché, perché tutti nello stesso locale, ecc... Siccome penso che la app in questione abbia un margine di errore minimo nel tracciati, per questo impongono le distanze sociali. Arriveremo a vivere come i cinesi:lavoro/casa, casa/lavoro ma il popolo italiano preferisce vivere guardando la d'urso. Spero che questi soggetti saranno i primi a finire sul lastrico #Restateincasa #Andràtuttobene

Non credo proprio che sia così. Anche perché google/apple non dicono con chi ti frequenti. Ne la posizione del contatto... Da lunedì si possono rivedere anche gli amici (e sono uno di quelli che intende farlo e spesso) e pure tornare al bar e ristorante.
Credo anche che diverse misure siano state esagerate o sbagliate ma non ci sono complotti, non è fuffa e non è stato inventato in laboratorio.

appena esce la metto, come essere in sud corea.
ma lo sport nazionale è la lamentatio.

... No non è così semplice. Per fortuna.
Senza andare sui livelli di tecnologici vari di come funziona il tracciamento dei contatti. Non è che al cellulare è associato un cf, al massimo alla sim, che non sempre corrisponde all'utilizzatore. E in ogni caso il telefono non lo sa il cf. Rimane nei database di tim/vodafone! (e vorrei vedere!)

Per la privacy la tua idea sarebbe stata un disastro. E un'app bisognava installarla e svilupparla comunque :)

Magari fosse così... l'accoppiata ICCID/CF e/o P.IVA vendute ed assegnate in Italia stanno tutte quante su un bel db... l'IMSI è vero che è solo presso gli operatori, ma poi è ovviamente abbinato al ICCID, quindi... siamo d'accapo.

anche la Germania mette online la documentazione della sua app
https://github.com/corona-warn-app/cwa-documentation/blob/master/solution_architecture.md
e una parte della implementazione (non tutta a quanto leggo) sarà open source

Infatti i Nostradamus non stanno affermando che sia utile a trovare chi è malato di "fuffavirus",ma stanno affermando GIUSTAMENTE che sarà semplicemente un modo per controllare i rapporti sociali, le distanze ecc ovvero chi frequenti, perché, perché tutti nello stesso locale, ecc... Siccome penso che la app in questione abbia un margine di errore minimo nel tracciati, per questo impongono le distanze sociali. Arriveremo a vivere come i cinesi:lavoro/casa, casa/lavoro ma il popolo italiano preferisce vivere guardando la d'urso. Spero che questi soggetti saranno i primi a finire sul lastrico #Restateincasa #Andràtuttobene
Io posso parlare per me (che ho commentato che la ritengo inutile) e non penso che sia un modo per controllare i rapporti sociali ecc. anche perché dichiaratamente non lo fa... piuttosto non è il modo auspicato per tener traccia dei positivi e dei probabili focolai perché non solo la compilazione è su base volontaria ma anche non tiene appunto traccia degli spostamenti. Quindi probabilmente la userò anch'io ma conscio della sua poca o scarsa utilità.
Sul resto non commento nemmeno, direi che non ne vale la pena.

Ma forse non vale la pena di fare nulla dopo aver visto la coda di oggi per la gelateria sotto casa mia, tutti assiepati e senza mascherina.... abbiamo quel che ci meritiamo.

1. Ancora non si vedono i sorgenti, quindi sono tutte supposizioni
2. Si parla anche di dati pseudonimizzati (https://www.altalex.com/documents/altalexpedia/2018/06/04/pseudonomizzazione). Quindi, eseguito l'upload sui cari server sogei, sono proprio curioso di sapere se possono collegare gli id generati randomicamente da un dispositivo all'anagrafica dell'utente.
3. Senza fare tamponi a tutti ed in continuazione, quest'app non serve a niente se non a scatenare il panico.

Già mi immagino il Sig Rossi che abita a Milano Nord, lavora a Milano Sud e si sposta in metro per andare a lavoro. Se malauguratamente venisse contagiato e lo scoprisse 7-10 giorni dopo, praticamente mezza milano riceverebbe la notifica e dovrebbe sigillarsi in casa o farsi fare il tampone.

Ripeto: le app non servono ad una ceppa se non fai tamponi continuamente a tutti, cosa che non siamo assolutamente in grado di fare.Assolutamente d'accordo, infatti ho scritto un bel "se" davanti a tutte quelle condizioni.

Confermo che dei sorgenti ad oggi non si è visto nulla (solo la documentazione prodotta dalla task force), si continua a pasticciare con la comunicazione parlando di server centralizzati (addirittura qualche "genio" ha parlato di server sicuri perchè presidiati dall'esercito :doh: ) e riguardo alla rilevazione dei casi si pasticcia ancora di più andando in ordine sparso per regione (grazie agli imbecilli del federalismo a tutti i costi per questo caos).

Insomma le premesse per fare questa cosa bene sono state chiarite, dette, stradette e ripetute più volte, ahimè per ora si sta solo "pedalando nello yogurt" :rolleyes:

E' già stato detto tempo fa che tutti i sorgenti per realizzare l'app sarebbero stati forniti al governo.
I server sono quelli del governo.
Come funzioni l'app è già stato descritto, e non sembrano esserci problemi di privacy/sicurezza.

Per il resto, la sua utilità sarà limitata visto che non sarà obbligatoria.

E' già stato detto tempo fa che tutti i sorgenti per realizzare l'app sarebbero stati forniti al governo.
I server sono quelli del governo.
Come funzioni l'app è già stato descritto, e non sembrano esserci problemi di privacy/sicurezza.

Per il resto, la sua utilità sarà limitata visto che non sarà obbligatoria.

Che li forniscano al governo, sinceramente non me ne può fregare di meno :)

Voglio i sorgenti resi pubblici a tutti e con build riproducibile. In questo modo posso essere certo che l'app sullo store è esattamente il compilato del codice aperto.

Ma se ci vorrà un "codice di sblocco" per eseguire l'upload dei dati, e lo stesso sarà fornito dal SSN, è palese che i dati non sono forniti anonimamente, ma "semplicemente" pseudonimizzati (passano dall'essere anonimi a pseudonimizzati nel momento in cui sono associati al codice di sblocco, che a sua volta sarà sicuramente legato ad una anagrafica).

Che li forniscano al governo, sinceramente non me ne può fregare di meno :)

Voglio i sorgenti resi pubblici a tutti e con build riproducibile. In questo modo posso essere certo che l'app sullo store è esattamente il compilato del codice aperto.

Ma se ci vorrà un "codice di sblocco" per eseguire l'upload dei dati, e lo stesso sarà fornito dal SSN, è palese che i dati non sono forniti anonimamente, ma "semplicemente" pseudonimizzati (passano dall'essere anonimi a pseudonimizzati nel momento in cui sono associati al codice di sblocco, che a sua volta sarà sicuramente legato ad una anagrafica).

Avevo letto non ricordo dove che i sorgenti dovrebbero essere rilasciati pubblicamente, non solo al governo.

Avevo letto non ricordo dove che i sorgenti dovrebbero essere rilasciati pubblicamente, non solo al governo.

https://www.corriere.it/tecnologia/20_maggio_17/app-immuni-paola-pisano-l-ho-scelta-io-assieme-speranza-pronta-entro-maggio-2badf3dc-9881-11ea-ba09-20ae073bed63.shtml?refresh_ce-cp
E non saremmo riusciti a mettere in pratica l’idea di adottare un codice open source, che verrà pubblicato questa settimana, a cui far accedere una comunità di esperti».

non si capisce cosa vuol dire comunità di esperti
se è open source per tutti, lo guarderanno ANCHE quelli esperti, se lo vedono solo gli esperti allora è come dire che è in mano al governo e basta
comunque parla di questa settimana, quindi se lo pubblicano sarà nel giro di poco e lo sapremo...

ci sarà anche un server e non so se vedremo i sorgenti di quello, probabilmente solo app poi che fine fanno le informazioni invitate al server chi lo sa, ho paura che sarà una scatola nera ma sarei felice di essere smentito

https://www.corriere.it/tecnologia/20_maggio_17/app-immuni-paola-pisano-l-ho-scelta-io-assieme-speranza-pronta-entro-maggio-2badf3dc-9881-11ea-ba09-20ae073bed63.shtml?refresh_ce-cp


non si capisce cosa vuol dire comunità di esperti
se è open source per tutti, lo guarderanno ANCHE quelli esperti, se lo vedono solo gli esperti allora è come dire che è in mano al governo e basta
comunque parla di questa settimana, quindi se lo pubblicano sarà nel giro di poco e lo sapremo...

ci sarà anche un server e non so se vedremo i sorgenti di quello, probabilmente solo app poi che fine fanno le informazioni invitate al server chi lo sa, ho paura che sarà una scatola nera ma sarei felice di essere smentito

Io in verità avevo letto un articolo non su un quotidiano online, qualche settimana fa. Se lo recupero lo posto.
Anche io avevo lo stesso dubbio, codice al governo o pubblico per tutti?
Io non ho sicuramente le capacità per "leggerlo" tutto quanto, ma se fosse rilasciato visibile a tutti e ci fossero cose poco chiare, sarebbe una figuraccia per l'azienda che lo sta scrivendo. Penso non possa permetterselo.
Vediamo in futuro, anche io spero che le mie perplessità siano eliminate tutte.

https://www.corriere.it/tecnologia/20_maggio_17/app-immuni-paola-pisano-l-ho-scelta-io-assieme-speranza-pronta-entro-maggio-2badf3dc-9881-11ea-ba09-20ae073bed63.shtml?refresh_ce-cp


non si capisce cosa vuol dire comunità di esperti
se è open source per tutti, lo guarderanno ANCHE quelli esperti, se lo vedono solo gli esperti allora è come dire che è in mano al governo e basta
comunque parla di questa settimana, quindi se lo pubblicano sarà nel giro di poco e lo sapremo...

ci sarà anche un server e non so se vedremo i sorgenti di quello, probabilmente solo app poi che fine fanno le informazioni invitate al server chi lo sa, ho paura che sarà una scatola nera ma sarei felice di essere smentito

Vuol dire codice closed source con alcuni NDA dispensati a un po' di persone che dovranno metterci la faccia per dire che è tutto buono e bello.

Il backend è probabile sia una black box, ma se il client è fatto bene e non ci sono "codici che sbloccano la segnalazione di esser positivi" e non è necessario registrarsi per poter usare l'app, allora siamo già un passo avanti.
Quantomeno, per poter deanonimizzare i dati, sarà necessario chiedere ai gestori di telefonia i tabulati del traffico internet (e lo si fa dietro mandato).

Che li forniscano al governo, sinceramente non me ne può fregare di meno :)
E, parimenti, il governo se ne può fregare di quello che vuoi tu. :)
Voglio i sorgenti resi pubblici a tutti e con build riproducibile. In questo modo posso essere certo che l'app sullo store è esattamente il compilato del codice aperto.
Qual sarebbe il problema se questo controllo lo facesse il governo?

y = f(x)

Se da la stessa x ottengo sempre l'y che mi aspetto, non me ne può fregar di meno chi, cosa sia, e come lavori la f per produrla.
Ma se ci vorrà un "codice di sblocco" per eseguire l'upload dei dati, e lo stesso sarà fornito dal SSN, è palese che i dati non sono forniti anonimamente, ma "semplicemente" pseudonimizzati (passano dall'essere anonimi a pseudonimizzati nel momento in cui sono associati al codice di sblocco, che a sua volta sarà sicuramente legato ad una anagrafica).
Senz'altro, ma dalla precedente notizia non mi pare che l'app si comporti così. Mi pare che venisse generato un codice univoco legato allo specifico telefonino/bluetooth, e questo garantirebbe la privacy.

Poi è passato già un po' di tempo, e non ricordo i dettagli.
Vuol dire codice closed source con alcuni NDA dispensati a un po' di persone che dovranno metterci la faccia per dire che è tutto buono e bello.
E va benissimo così: i sorgenti sarebbe meglio che non circolassero, perché se saltasse fuori una falla zero day potresti mettere a rischio tutti gli utenti che utilizzano l'app.
Il backend è probabile sia una black box, ma se il client è fatto bene e non ci sono "codici che sbloccano la segnalazione di esser positivi" e non è necessario registrarsi per poter usare l'app, allora siamo già un passo avanti.
Quantomeno, per poter deanonimizzare i dati, sarà necessario chiedere ai gestori di telefonia i tabulati del traffico internet (e lo si fa dietro mandato).
Infatti.

E, parimenti, il governo se ne può fregare di quello che vuoi tu. :)

Fintanto che non mi obbligano ad usarla, possono fare quel che vogliono.
Come io posso consigliare caldamente a chiunque conosco di non installare quella roba.


Qual sarebbe il problema se questo controllo lo facesse il governo?

y = f(x)

Se da la stessa x ottengo sempre l'y che mi aspetto, non me ne può fregar di meno chi, cosa sia, e come lavori la f per produrla.



Quindi dovrei fidarmi di un'azienda terza (tralascio chi siano gli investitori di quell'azienda) e del reparto it disastrato della PA? No grazie.


E va benissimo così: i sorgenti sarebbe meglio che non circolassero, perché se saltasse fuori una falla zero day potresti mettere a rischio tutti gli utenti che utilizzano l'app.
Infatti.

Security through obscurity, evviva evviva.

Come se per disassemblare un'app ci voglià chissà cosa. Le uniche persone a cui mettono i bastoni tra le ruote sono quelli che possono fare code review e beccare bug, non quelli a caccia di exploit. Qualsiasi esperto di security scriverebbe la stessa cosa.

Arrivano le prime schermate ma anche la documentazione relativa al funzionamento dell'applicazione di Bending Spoons, Immuni, ossia l'app per il contenimento del contagio da COVID-19. Ecco allora le schermate e come dovrebbe funzionare il meccanismo secondo la documentazione.

Perchè la redazione non aggiunge alla notizia un bel sondaggio per vedere chi non installerà e chi invece installerà la suddetta app italiana ?


https://giuseppevella.files.wordpress.com/2008/09/pillola_blu_pillola_rossa_matrix2.jpg


Dai forza apriamo "il televoto" che sono curioso di vedere i risultati ! :D

Fintanto che non mi obbligano ad usarla, possono fare quel che vogliono.
Sappiamo che non sarà il caso.
Come io posso consigliare caldamente a chiunque conosco di non installare quella roba.
De gustibus.
Quindi dovrei fidarmi di un'azienda terza (tralascio chi siano gli investitori di quell'azienda)
Gli investitori non hanno nulla a che fare con gli sviluppatori e il prodotto finale.

Il tuo è chiaramente un attacco ad hominen: nota fallacia logica.
e del reparto it disastrato della PA? No grazie.
E questi sono pregiudizi. Non puoi sapere se saranno degli esperti di sicurezza et similia ad analizzare i sorgenti.

Mentre se fossero pubblici chi si passerebbe il tempo ad analizzare i sorgenti? Tu, visto che ci tieni tanto? E chi altri?
Security through obscurity, evviva evviva.
Che è almeno "sicura" quanto il pubblicare i sorgenti.
Come se per disassemblare un'app ci voglià chissà cosa.
Ci vogliono skill certamente migliori di quelle di tanti altri programmatori. Roba non affatto comune.
Le uniche persone a cui mettono i bastoni tra le ruote sono quelli che possono fare code review e beccare bug, non quelli a caccia di exploit. Qualsiasi esperto di security scriverebbe la stessa cosa.
Quanti potrebbero essere quelli che possono fare code review? Quanto quelli in grado disassemblare applicazioni a caccia di exploit?

A naso la bilancia pende enormemente a favore dei primi.

Il che implica che la tanto vituperata "Security through obscurity" ha certamente il suo perché. Eccome.

Infine, quando ci saranno protezioni hardware in grado di evitare che il codice (altrui) venga disassemblato, il cerchio si chiuderà (e ancora una volta a favore della STO): voglio vedere poi come faranno i cacciatori di exploit. Magari cercheranno di emulare Neo, ma chissà dove andranno a sbattere. :rotfl:

Mentre se fossero pubblici chi si passerebbe il tempo ad analizzare i sorgenti? Tu, visto che ci tieni tanto? E chi altri?Devo dissentire, c'è una grossa comunità italiana che sarebbe più che disposta a fare le nottate spulciando il codice dell'applicazione, tutta gente che sarebbe stata più che disponibile a dare una mano se fosse stata coinvolta e non fosse stata etichettata come "anti-trax".
Non parlo di divulgatori o personaggi alla Aranzulla, parlo di professori universitari come Zanero, di gente che passa da un big all'altro come Valsorda o Bonfiglio, parlo di gente che ha una lista lunga un Km di CVE come Gubello, insomma gente con gli attributi (e questi sono solo i più celebri che mi sono venuti in mente per primi).

Il che implica che la tanto vituperata "Security through obscurity" ha certamente il suo perché. Eccome.No su questo concordo pienamente con WarSide, sono quasi 170 anni che questo paradigma si è dimostrato errato, tanto lato pratico quanto quello concettuale.
Tanto più è critica l'applicazione quanto più deve basarsi sul paradigma del security by design e deve essere aperta per l'analisi delle vulnerabilità.

Devo dissentire, c'è una grossa comunità italiana che sarebbe più che disposta a fare le nottate spulciando il codice dell'applicazione, tutta gente che sarebbe stata più che disponibile a dare una mano se fosse stata coinvolta e non fosse stata etichettata come "anti-trax".
Non parlo di divulgatori o personaggi alla Aranzulla, parlo di professori universitari come Zanero, di gente che passa da un big all'altro come Valsorda o Bonfiglio, parlo di gente che ha una lista lunga un Km di CVE come Gubello, insomma gente con gli attributi (e questi sono solo i più celebri che mi sono venuti in mente per primi).

No su questo concordo pienamente con WarSide, sono quasi 170 anni che questo paradigma si è dimostrato errato, tanto lato pratico quanto quello concettuale.
Tanto più è critica l'applicazione quanto più deve basarsi sul paradigma del security by design e deve essere aperta per l'analisi delle vulnerabilità.

Dopo aver letto la sua risposta, ho evitato appositamente di rispondere. Non sarebbe servito a niente.

Avrei potuto portare tanti esempi per smontare quel che ha scritto, ma sarebbe una perdita di tempo.

Forse, se aggiungessi in firma il link al mio profilo linkedin, si eviterebbero sparate alla marchese del grillo. Ma scrivo qui un po' per nostalgia ed un po' per cazzeggio :)

Devo dissentire, c'è una grossa comunità italiana che sarebbe più che disposta a fare le nottate spulciando il codice dell'applicazione, tutta gente che sarebbe stata più che disponibile a dare una mano se fosse stata coinvolta e non fosse stata etichettata come "anti-trax".
Non parlo di divulgatori o personaggi alla Aranzulla, parlo di professori universitari come Zanero, di gente che passa da un big all'altro come Valsorda o Bonfiglio, parlo di gente che ha una lista lunga un Km di CVE come Gubello, insomma gente con gli attributi (e questi sono solo i più celebri che mi sono venuti in mente per primi).
Ma non vedo preclusioni in tal senso: il governo potrebbe far firmare loro accordi di non divulgazione delle loro analisi, che condividerebbero soltanto con lui.
No su questo concordo pienamente con WarSide, sono quasi 170 anni che questo paradigma si è dimostrato errato, tanto lato pratico quanto quello concettuale.
Tanto più è critica l'applicazione quanto più deve basarsi sul paradigma del security by design e deve essere aperta per l'analisi delle vulnerabilità.
Questa, però, non è una dimostrazione, ma una speranza nonché presa di posizione soggettiva.

Non c'è alcun motivo per cui un codice debba necessariamente essere aperto per l'analisi delle vulnerabilità.

La differenza fra codice aperto e chiuso sta esclusivamente nel diverso audience. Certamente non nella mancanza di possibilità di analizzarlo alla ricerca di eventuali vulnerabilità. ;)
Dopo aver letto la sua risposta, ho evitato appositamente di rispondere. Non sarebbe servito a niente.

Avrei potuto portare tanti esempi per smontare quel che ha scritto, ma sarebbe una perdita di tempo.
Finora non hai portato esempi, ma fallacie logiche, e dubito che la cosa sarebbe cambiata.
Forse, se aggiungessi in firma il link al mio profilo linkedin, si eviterebbero sparate alla marchese del grillo. Ma scrivo qui un po' per nostalgia ed un po' per cazzeggio :)
Questa al più si configurerebbe come un'altra fallacia logica: il ricorso all'autorità. O al più grezzo "ce lo misuriamo e ce l'ho più grande".

Ma quel che dovrebbe contare in una discussione sono i FATTI. E solo quelli. Per chi ne può portare, ovviamente.

Questa al più si configurerebbe come un'altra fallacia logica: il ricorso all'autorità. O al più grezzo "ce lo misuriamo e ce l'ho più grande".

Ma quel che dovrebbe contare in una discussione sono i FATTI. E solo quelli. Per chi ne può portare, ovviamente.

Tranquillo, non ti tedierò con altre fallacie logiche.

PS: Chi ha il link al profilo linkedin qui sei tu e, sinceramente, è la prima volta che vedo un utente in un forum farlo. Sarà una moda italiana nata ultimamente.

Tranquillo, non ti tedierò con altre fallacie logiche.
Ottimo. Così potrò andare finalmente a nanna, che domani si lavora.
PS: Chi ha il link al profilo linkedin qui sei tu e, sinceramente, è la prima volta che vedo un utente in un forum farlo. Sarà una moda italiana nata ultimamente.
Sarà la prima volta per te, ma l'ho visto fare ad altri utenti tempo fa, e ho seguito la "moda".

Che poi significava, e significa ancora (almeno per me), avere la possibilità di entrare in contatto con gli utenti del forum anche a livello professionale, e non per "misurarselo" (a me non serve, peraltro: mi basta argomentare).

Ad esempio giusto da qualche ora ho aggiunto un'altra connessione con un utente del forum, che adesso non conosco più soltanto in forma anonima.

Notte

Ma non vedo preclusioni in tal senso: il governo potrebbe far firmare loro accordi di non divulgazione delle loro analisi, che condividerebbero soltanto con lui.

Questa, però, non è una dimostrazione, ma una speranza nonché presa di posizione soggettiva.

Non c'è alcun motivo per cui un codice debba necessariamente essere aperto per l'analisi delle vulnerabilità.

La differenza fra codice aperto e chiuso sta esclusivamente nel diverso audience. Certamente non nella mancanza di possibilità di analizzarlo alla ricerca di eventuali vulnerabilità. ;)Certamente gli approcci che suggerisci sono *teoricamente* fattibili, la STO non preclude certo ai pentest o a qualsiasi analisi di vulnerabilità, sicurezza etc etc...

Il problema è che storicamente quando la STO è stata adottata come strategia primaria tutto il resto è scomparso, perchè nel momento in cui precludi l'accesso alle informazioni (in questo mi riferisco chiaramente a quelle inerenti l'architettura e il codice, non certo ai dati che essi dovranno veicolare) allora automaticamente ti devi preoccupare di coinvolgere i soggetti che facciano queste analisi.
E fare questo vuol dire estendere la platea di quanti sono coinvolti, e quindi rendere l'obscurity un po' meno oscura, e quindi tenderai e non fare tutto questo concentrandoti solo sui pochi soggetti che hai scelto.
Al contrario rilasciare i sorgenti porta spontaneamente i soggetti competenti (non tutti, ma certamente un numero consistente in un caso di così ampia visibilità e portata mediatica) ad analizzare e integrare il lavoro di analisi iniziale.

Poi sappiamo bene (perchè l'abbiamo osservato tante volte nella storia dell'IT) che questo atteggiamento porta a trascurare (quando va bene) o ignorare i problemi di sicurezza perchè nessuno ha modo di rilevarli prima che la vulnerabilità venga sfruttata.
Sappiamo tutti che queste analisi costano (tanto), e qualsiasi progetto ha un budget finito (insufficiente), storicamente non si taglia sulle features ma su quello che viene percepito come accessorio (la sicurezza in tal senso è in pole position), se poi puoi beneficiare del falso senso si sicurezza dovuto alla chiusura del codice, il mix è perfetto :rolleyes:

Ma al di la di queste considerazione a metà tra lo psicologico e il tecnico c'è un altro aspetto per cui è anche più importante pubblicare il codice di questa app, la trasparenza.
Sappiamo tutti che è impossibile renderne l'uso obbligatorio, pertanto l'unico modo per incentivarne l'utilizzo è creare un clima di fiducia (e storicamente lo Stato non è mai stato in pole position per quanto riguarda la fiducia dei cittadini eh...), imho la più totale trasparenza è il modo più semplice per aumentarla, e rendere disponibile i sorgenti è qualcosa che va fortemente in quella direzione.

Certamente gli approcci che suggerisci sono *teoricamente* fattibili, la STO non preclude certo ai pentest o a qualsiasi analisi di vulnerabilità, sicurezza etc etc...

Il problema è che storicamente quando la STO è stata adottata come strategia primaria tutto il resto è scomparso, perchè nel momento in cui precludi l'accesso alle informazioni (in questo mi riferisco chiaramente a quelle inerenti l'architettura e il codice, non certo ai dati che essi dovranno veicolare) allora automaticamente ti devi preoccupare di coinvolgere i soggetti che facciano queste analisi.
E fare questo vuol dire estendere la platea di quanti sono coinvolti, e quindi rendere l'obscurity un po' meno oscura, e quindi tenderai e non fare tutto questo concentrandoti solo sui pochi soggetti che hai scelto.
Mi sembra un discorso troppo generale / astratto. Potresti fare degli esempi in cui ciò sia avvenuto?
Al contrario rilasciare i sorgenti porta spontaneamente i soggetti competenti (non tutti, ma certamente un numero consistente in un caso di così ampia visibilità e portata mediatica) ad analizzare e integrare il lavoro di analisi iniziale.
Questa è sostanzialmente la cosiddetta "legge di Torvalds" (che legge non è) descritta ne "La cattedrale e il bazaar".

Il problema è che avere tanti "occhi" non garantisce che ci sia competenza nell'analisi dei sorgenti né tanto meno che si riescano a trovare falle anche importanti.

Un esempio classico nonché estremamente famoso nel mondo open source è quello del bug trovato in OpenSSL (http://pocitace.tomasek.cz/debian-randomness/index.html), e che risulta ben sintetizzato dal meme che gira da allora:
http://pocitace.tomasek.cz/debian-randomness/img/tcv80ipepkza7.jpg

Dileggiato persino da Dilbert:
http://pocitace.tomasek.cz/debian-randomness/img/pmeo9hcjp7aw9.jpg

Eppure quel bug è rimasto lì, a bella posta, per tanti anni e nessuno se n'era accorto, neppure i tanti ricercatori di falle ed esperti di sicurezza che analizzano quei sorgenti, in quello che possiamo ben definire come il componente più importante in termini di sicurezza che viene usato in un sistema (OK, adesso c'è TSL, ma ci siamo capiti).
Poi sappiamo bene (perchè l'abbiamo osservato tante volte nella storia dell'IT) che questo atteggiamento porta a trascurare (quando va bene) o ignorare i problemi di sicurezza perchè nessuno ha modo di rilevarli prima che la vulnerabilità venga sfruttata.
A volte succede proprio il contrario: i problemi arrivano dopo che la falla è stata trovata e il fix già disponibile.

Qui entriamo nel ginepraio dell'aggiornamento dei sistemi...
Sappiamo tutti che queste analisi costano (tanto), e qualsiasi progetto ha un budget finito (insufficiente), storicamente non si taglia sulle features ma su quello che viene percepito come accessorio (la sicurezza in tal senso è in pole position), se poi puoi beneficiare del falso senso si sicurezza dovuto alla chiusura del codice, il mix è perfetto :rolleyes:
Mi sembra ancora un discorso molto generale. Magari dipende dall'azienda e dal progetto, ma grosse realtà non mettono assolutamente sotto gamba la sicurezza, che il codice sia open source (con i periodici aggiornamenti CVE) o closed (le patch devono passare dalla revisione del team di sicurezza).
Ma al di la di queste considerazione a metà tra lo psicologico e il tecnico c'è un altro aspetto per cui è anche più importante pubblicare il codice di questa app, la trasparenza.
Sappiamo tutti che è impossibile renderne l'uso obbligatorio, pertanto l'unico modo per incentivarne l'utilizzo è creare un clima di fiducia (e storicamente lo Stato non è mai stato in pole position per quanto riguarda la fiducia dei cittadini eh...), imho la più totale trasparenza è il modo più semplice per aumentarla, e rendere disponibile i sorgenti è qualcosa che va fortemente in quella direzione.
L'avevo detto prima, ma cosa succederebbe se dei malintenzionati trovassero delle falle zero-day nell'app, e le sfruttassero? Metteresti a rischio la sicurezza di milioni di utilizzatori.

Perché alla fine il nocciolo della questione sta tutto qui: l'apertura del codice consente potenzialmente di poterlo visionare a caccia di falle (ma vedi sopra), ma questo vale sia per i buoni sia per i cattivi.

Pubblicheresti lo schema completo dell'antifurto di casa tua, con annessi sorgenti completi?

Rendere pubblico qualcosa comporta anch'esso dei rischi alla sicurezza.

Viceversa, blindare qualcosa potrebbe renderla più sicura. Ad esempio software che gira dentro un'enclave non è soggetto a opere di reverse engineering (codice e dati sono cifrati con una master key di proprietà del solo proprietario).
Dunque i malintenzionati non potrebbero disassemblare alcunché a caccia di bug del codice, perché il codice non è a disposizione. Gli unici tentativi possibili sarebbero quelli di richiamare API a caso cercando di parametri parametri artefatti sperando di innescare un exploit, ma in ogni caso non potrebbero iniettare codice malevolo dentro l'enclave e dunque eventuali falle risulterebbero inutilizzabili.

Le enclave sono la prossima frontiera della sicurezza. E da sviluppatore mi auguro che si diffondano presto (per tutelare le mie opere dell'ingegno senza dover passare necessariamente da costosi brevetti).

Hanno pubblicato i sorgenti per ois/android https://github.com/immuni-app

Adesso c'è solo da capire se le build generate con quei sorgenti generano esattamente la stessa app scaricabile dal play/apple store.

In caso affermativo spenderò 3/4h durante il w.e. per dare un'occhiata all'app android.

Hanno pubblicato i sorgenti per ois/android https://github.com/immuni-app

Adesso c'è solo da capire se le build generate con quei sorgenti generano esattamente la stessa app scaricabile dal play/apple store.

In caso affermativo spenderò 3/4h durante il w.e. per dare un'occhiata all'app android.

credo proprio di sì, ma la conferma non la potremo mai avere...
sicuramente una modifica la devono fare perché adesso l'app spara su www.example.com quando chiedi le FAQ o fai finta di essere positivo, quindi la aggiorneranno per la comunicazione verso il server del governo che si occuperà della parte backend

Immagino sia già stato commentato ma non ho trovato nemmeno con cerca.
Ho installato Immuni su uno Xiaomi Redmi 8Pro.
Allora ci sono delle stranezze: per essere operativa deve avere Bluetooth attivo e questo era ovvio e noto ma anche il GPS nella modalità "alta precisione" ovvero proprio con il segnale GPS e non nella modalità "bassa precisione" che sfrutta segnali delle celle e wifi.
Inoltre ho notato un consumo elevato di energia durante l'attivazione.
Ho fatto la prova anche spegnendo linea dati e wifi ma ha continuato a funzionare.
Ma non era stato detto che avrebbe usato solo il Bluetooth e non il GPS? In teoria dovrebbe bastare il Bluetooth conoscendo una portata media del segnale si hanno tutti i dati, quindi non capisco la richiesta del GPS.
Inoltre se non usa dati come mi arriverà il segnale che sono stato vicino ad un infetto o potenziale tale servirebbe accedere ad una banca dati e quindi avrebbe anche la componente dati attiva.

Immagino sia già stato commentato ma non ho trovato nemmeno con cerca.
Ho installato Immuni su uno Xiaomi Redmi 8Pro.
Allora ci sono delle stranezze: per essere operativa deve avere Bluetooth attivo e questo era ovvio e noto ma anche il GPS nella modalità "alta precisione" ovvero proprio con il segnale GPS e non nella modalità "bassa precisione" che sfrutta segnali delle celle e wifi.
Inoltre ho notato un consumo elevato di energia durante l'attivazione.
Ho fatto la prova anche spegnendo linea dati e wifi ma ha continuato a funzionare.
Ma non era stato detto che avrebbe usato solo il Bluetooth e non il GPS? In teoria dovrebbe bastare il Bluetooth conoscendo una portata media del segnale si hanno tutti i dati, quindi non capisco la richiesta del GPS.
Inoltre se non usa dati come mi arriverà il segnale che sono stato vicino ad un infetto o potenziale tale servirebbe accedere ad una banca dati e quindi avrebbe anche la componente dati attiva.

in questo caso penso sia un problema di Android che ti chiede di autorizzare il GPS anche per usare BLE

su iOS non è così, ti chiede nello specifico il permesso di usare le API nuove per il COVID e basta, niente GPS (anche vedendo i sorgenti)

Allora ci sono delle stranezze: per essere operativa deve avere Bluetooth attivo e questo era ovvio e noto ma anche il GPS nella modalità "alta precisione" ovvero proprio con il segnale GPS e non nella modalità "bassa precisione" che sfrutta segnali delle celle e wifi.

E' il servizio di Google integrato nel pacchetto GMS che chiede entrambi i servizi attivi per girare, anche se poi, in teoria, l'app immuni usa solo i dati provenienti dal bluetooth.

Ergo o tieni sempre acceso il GPS alla massima precisione, o puoi pure disinstallare l'app perché non traccerebbe niente.

E' il servizio di Google integrato nel pacchetto GMS che chiede entrambi i servizi attivi per girare, anche se poi, in teoria, l'app immuni usa solo i dati provenienti dal bluetooth.

Ergo o tieni sempre acceso il GPS alla massima precisione, o puoi pure disinstallare l'app perché non traccerebbe niente.

Il problema diventa quindi arrivare a fine giornata con la batteria perchè usando GPS+Bluetooth si consuma parecchio ed anche se non usa il segnale GPS questo è operativo alla massima precisione e massimo consumo.

Inoltre per come è stata sbandierata Immuni basterebbe il bluetooth quindi se un utente l'attiva e vede il segnale GPS acceso lo spegne e se ne va a zonzo pensando di avere tutto operativo perchè ha Immuni e bluetooth attivo mentre non funziona nulla. Non è proprio marginale come cosa soprattutto per la comunicazione con gli utenti che si è fatta, non parlano mai di GPS anche se è essenziale.

C'è sempre il Piano B (https://it.euronews.com/2020/06/03/qui-c-e-il-covid-19-in-bolivia-scritte-sulle-porte-dei-sospetti-positivi-coronavirus)

Il problema diventa quindi arrivare a fine giornata con la batteria perchè usando GPS+Bluetooth si consuma parecchio ed anche se non usa il segnale GPS questo è operativo alla massima precisione e massimo consumo.

Inoltre per come è stata sbandierata Immuni basterebbe il bluetooth quindi se un utente l'attiva e vede il segnale GPS acceso lo spegne e se ne va a zonzo pensando di avere tutto operativo perchè ha Immuni e bluetooth attivo mentre non funziona nulla. Non è proprio marginale come cosa soprattutto per la comunicazione con gli utenti che si è fatta, non parlano mai di GPS anche se è essenziale.

Ne parla su Twitter con Stefano Zanero (https://twitter.com/raistolo/status/1267595161871228929?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1267595161871228929&ref_url=https%3A%2F%2Fattivissimo.blogspot.com%2F2020%2F06%2Fapp-immuni-pronta-da-scaricare.html)

Da più fonti l'app sembra che alla fine sia stata realizzata in maniera discreta.

Peccato che :

1) faccia affidamento sulla connessione bluetooth che presenta criticità
2) rischia di essere del tutto sueprflua se il sistema sanitario non sarà in grado di fare una grande mole di tamponi al giorno, altrimenti la prima delle famose 3 T viene meno...

Da più fonti l'app sembra che alla fine sia stata realizzata in maniera discreta.

Peccato che :

1) faccia affidamento sulla connessione bluetooth che presenta criticità
2) rischia di essere del tutto sueprflua se il sistema sanitario non sarà in grado di fare una grande mole di tamponi al giorno, altrimenti la prima delle famose 3 T viene meno...

Le criticità sono molteplici come detto; usare il bluetooth con la necessità di tenere acceso il gps in alta precisione è un grosso problema per via del consumo di batteria, non tutti i telefoni ce la farebbero ad arrivare a fine giornata senza ricarica, consideriamo che il cambio telefono non è cosi veloce come avviene per gli utenti di HW in genere.

Se uno non sta attento attiva Immuni, accende il Bluetooth, vede il GPS attivo e lo spegne; va in giro convinto di averlo attivo invece non è cosi, mi pare sia un grosso limite.

Ha dato problema con tutti gli Huaewi che non sono pochi.

Inoltre non è chiaro cosa uno con immuni può fare rispetto ad uno che non la usa; anche questo non è marginale per spingere l'adozione.

Poi le regioni si stanno esprimendo un po' in ordine sparso, tra cui il Piemonte che non intende caldeggiare l'uso dell'app.

Mi paiono che non si sono i presupposti per arrivare la 60% della popolazione con app attiva.