Secondo me, a monte di tutto, manca una autorità che stabilisca i requisiti di un sistema e le procedure per certificarlo.
Nel caso in oggetto, dalla notte dei tempi ci siamo scambiati messaggi su WhatsApp in chiaro.
Poi il Signor WhatsApp ha deciso, per sua bontà, di farci la grazia delle cifratura end to end; ma si è tenuto una porta aperta sui propri server in modo da accedere in chiaro alle informazioni scambiate fra i clienti per farne uso a lui (WhatsApp) gradito.
Tutto questo è cosa buona e giusta?
Si, fintanto che le regole vengono dettate e realizzate da un soggetto privato (WhatsApp per esempio) che se la canta e se la suona.
Se invece esistesse una autorità terza, avremo:
- regole scritte alle quali un qualsiasi privato si deve attenere per fornire un servizio;
- un ente al quale il privato sottopone il proprio *lavorato* per avere l'autorizzazione a distribuirlo.
In questo caso specifico, avremo definito che cosa è richiesto ad un servizio di messaggistica e le procedure per verificarne la corrispondenza con le specifiche.
Nella fase di verifica, la natura aperta o chiusa del codice è irrilevante.
Se il sorgente fosse chiuso, verrà firmato fra le parti un NDA (non disclosure agreement) che tuteli la non divulgazione del codice.
Quello che è certo, è che, per essere valutato, il sorgente stesso (aperto o chiuso) dovrà essere accompagnato da dettagliata documentazione e rispettare precisi canoni di qualità (altro che offuscamento), verificabili da appositi strumenti di analisi statica automatica, senza i quali l'applicazione non verrà neanche presa in considerazione.
Invece, quello che succede oggi è che, per esempio, il mio falegname si sveglia, decide di aprire un furum su un server offshore, si para il sedere definendo qualche migliaio di paragrafi di termini di servizio, scolpisce sui suoi mobili il testo dei post più interessanti.
Tutto perfettamente in regola.
|