Privacy & Sicurezza/ P3P: Grande Fratello addio?

Privacy & Sicurezza/ P3P: Grande Fratello addio?

di M. Corazzi. Le preoccupazioni di Microsoft per la sicurezza e la privacy degli utenti (sempre leggermente tardive e quasi mai autocritiche) si infittiscono. La nuova cura è pronta, si chiama P3P
di M. Corazzi. Le preoccupazioni di Microsoft per la sicurezza e la privacy degli utenti (sempre leggermente tardive e quasi mai autocritiche) si infittiscono. La nuova cura è pronta, si chiama P3P


Strana epoca, la nostra. Nonostante la grande curiosità che abbiamo nei confronti degli altri, testimoniata dalla fioritura dei reality show, siamo sempre molto attenti alla nostra privacy. La schiera di spettatori che ha intasato la Rete e l’etere sperando di scorgere una scena di sesso nella casa del Grande Fratello, è terrorizzata dall’idea che qualcuno possa spiare la privata vita dei privati cittadini tramite Internet.

Come tutti i mezzi di comunicazione tecnologici, la Rete è vulnerabile alle intrusioni, e il grande interesse che l’argomento sicurezza (e quindi privacy) sta conoscendo è dimostrato dalle conferenze , dagli articoli e dai personal firewall che stanno spuntando. Purtroppo non tutti i protocolli più usati nelle normali attività online sono stati progettati pensando alla sicurezza.

Anzi, si potrebbe dire che Internet, essendo nata con scopi militari e scientifici, sostanzialmente diversi da quelli per cui è usata oggi, è basata su protocolli che non tengono conto delle attuali istanze. Il World Wide Web Consortium ( W3C ) sta cercando di porre rimedio a questa situazione di emergenza studiando nuovi standard che permettano di utilizzare al meglio le strutture esistenti e di inserire facilmente quelle nuove che presto inevitabilmente si renderanno necessarie.

Uno dei principali problemi è il trattamento dei dati personali. Come sapete, il vostro indirizzo di posta elettronica, i vostri dati anagrafici e le vostre preferenze di consumatori sono fondamentali per le industrie. Avere queste informazioni ha un valore incalcolabile. Vi siete chiesti come mai tutti i servizi gratuiti che vi vengono offerti dai siti web sono subordinati alla compilazione di diverse pagine di domande e inchieste? Come possiamo essere sicuri che le nostre risposte non vengano vendute ad altri siti, non vengano usate in indagini di mercato o per costruire pubblicità su misura per noi?

L’idea per cercare di rendere più sicuri e affidabili i nostri pomeriggi e le nostre notti sul web è P3P. Di cosa si tratta?

Platform for Privacy Preferences Project (P3P) è lo strumento automatizzato che dovrebbe permettere agli utenti di avere un maggiore controllo sull’uso delle loro informazioni personali fatto dai siti web che visitano. Al livello elementare P3P è un insieme standardizzato di domande a scelta multipla che coprono tutti gli aspetti più comuni della Privacy Policy dei siti web. Prese nel loro insieme rappresentano la strategia con cui un sito utilizza le informazioni personali del visitatore. Incrociando le preferenze dell’utente con lo schema di regole usato dal sito è possibile, almeno in teoria, controllare che i dati personali non vengano usati in modo inadeguato o indesiderato.

Anche se P3P facilita l’utente evitandogli la tediosa pratica di controllare di volta in volta quale politica di sicurezza ciascun sito adotti, non può di certo garantire che chi gestisce questo sito effettivamente tenga fede alle sue dichiarazioni. Per fortuna, o purtroppo, le macchine ancora non sono in grado di verificare la sincerità e l’onestà delle persone.

La vera notizia è che Microsoft ha abbracciato interamente questa idea e la sta attuando sia a livello client (già da IE5.5, ma soprattutto nel prossimo IE6.0) che a livello server: tramite il sito bCentral alleato con TRUSTe sta cercando di sostenere lo sforzo di convincere le aziende ad adottare questo nuovo strumento.


Microsoft si è impegnata a realizzare una versione di Internet Explorer che permetta al software di rispondere automaticamente alle questioni inerenti la privacy all’atto del collegamento con un sito web.
Lo sforzo fatto dal W3C per portare avanti P3P attendeva sin dal 1998 che i siti web e gli sviluppatori dei browser gli venissero incontro implementando i protocolli necessari.

Dati del marzo scorso indicano che IE viene utilizzato da circa l’80% dei navigatori, e Microsoft ha acquisito la società Firefly (che già utilizzava una tecnologia simile a P3P) per inserire in IE6 un tool per la privacy.

Parallelamente a questo saranno introdotte tecniche che permettono di bloccare l’uso dei cookies più evoluto rispetto a quello attualmente presente; la novità consiste nel fatto che il sistema sarà più flessibile e sarà in grado di gestire in modo automatico degli scenari di abilitazione dei cookies, risparmiando all’utente di dover autorizzare manualmente le transazioni provenienti da siti sicuri.

Richard Purcell, il direttore della divisione privacy di Microsoft, ha affermato che “queste nuove impostazioni non solo faciliteranno una migliore comprensione di ciò che accade dietro le quinte quando un cliente visita un sito web, ma fornisce anche un maggior grado di controllo sulla distribuzione delle informazioni”. L’ottimismo regna sempre sovrano a Redmond…

Il browser sarà in grado di leggere una lista delle diverse pratiche per la privacy adottate dal sito, e selezionare quella che più si addice al suo modo di operare.

Cosa dovranno fare i webmaster? Essenzialmente memorizzare in appositi file queste specifiche.
Il linguaggio universale scelto per codificare questo tipo di informazioni è ovviamente XML, di cui anche noi abbiamo estesamente parlato anche in occasione della Future Web Conference .

Per fare un esempio un sito potrebbe informare l’utente che il nome e l’indirizzo di posta dei visitatori sono a volte condivisi con terze parti, e l’utente potrebbe impostare un server che supporti il P3P in modo che impedisca l’accesso alle pagine del sito web che adotti questa politica.

Anche il governo americano (quello precedente) era tra le organizzazioni che supportavano questo tipo di approccio, e anche il sito web della Casa Bianca era destinato al P3P. Recenti ricerche condotte sul sito però hanno rivelato che il file XML è sparito.

Anche se attualmente il supporto è discontinuo è prevedibile che la richiesta di siti “P3P compliant” cresca con l’uscita della nuova versione del server Microsoft.
Come ho già accennato, le compagnie interessate al fenomeno trovano il pieno supporto del sito bCentral che praticamente (in seguito alla registrazione) fornisce il file XML dopo circa una trentina di minuti di form pieni di domande.


“Quanto ci piacciono gli acronimi con il 3 in mezzo”, come direbbe l’attrice più curvilinea della nostra penisola. Analizziamo un po’ più da vicino il documento di specifica proposto da W3C il 15 Dicembre dello scorso anno.

La versione 1.0 è progettata per informare gli utenti delle pratiche per la raccolta delle informazioni nei siti web. Fornisce un modo al sito web di codificare le sue politiche per la raccolta e l’uso dei dati in formato XML leggibile dalla macchina.
La specifica P3P prevede:

– uno schema standard per i dati che un sito può desiderare di raccogliere (P3P base data schema)
– un insieme standard di usi, destinatari, categorie di dati e altri aspetti della privacy
– un formato XML che esprima le politiche sulla privacy
– un mezzo per associare queste politiche alle pagine web e ai cookies
– un meccanismo per far viaggiare questi dati su HTTP

L’obiettivo di questa fase è duplice. Da un lato permette ai siti di presentare la raccolta dati in modo standard, leggibile dalla macchina e in archivi facilmente localizzabili. Dall’altro consente agli utenti del web di comprendere quali dati saranno raccolti dai siti che visiteranno, come saranno utilizzati e quindi scegliere quali dati fornire autorizzandoli specificatamente per ciascun possibile uso.

Come esempio viene proposto uno scenario in cui l’immancabile Sheila, ormai protagonista di un miliardo di tutorial, decide di visitare un sito web che offre un catalogo di prodotti.
Il browser scaricherà il file XML contenente il P3P base data schema . Se le pagine che ospitano il catalogo hanno un set di politiche che concorda con le impostazioni di Sheila il browser le visualizzerà normalmente (magari avvisando con un’iconcina che il sito risponde alle preferenze dell’utente).
Navigando nel catalogo Sheila decide di fare acquisti. I cookies utilizzati dal carrello della spesa automatizzato sono accolti dai filtri impostati dalla nostra eroina, e quindi tutto procede regolarmente.
Al momento del perfezionamento dell’acquisto però sono richiesti ulteriori dati personali. Sheila ha chiesto di essere avvertita all’occorrenza, e il browser visualizza un messaggio, permettendole di annullare la richiesta o procedere.

L’esempio è decisamente semplice, e non rende giustizia alla flessibilità del sistema e alla miriade di possibilità offerte dall’interfaccia.

P3P utilizza una codifica XML di un particolare insieme di vocaboli per identificare le entità legali che rappresentano le pratiche di privacy in una determinata politica, enumerano il tipo di dati raccolti, e spiegano in quale modo i dati saranno utilizzati. Inoltre identificano i destinatari dei dati raccolti, e molte altre cose come informazioni sulla risoluzione delle dispute, e l’indirizzo dove le politiche di privacy del sito possano essere lette in linguaggio umano… cioè, in linguaggio legale, che non sempre è la stessa cosa…

Gli statement delle dichiarazioni P3P servono alla descrizione delle pratiche del sito, e sono quindi “affermativi”, nel senso che indicano ciò che il sito farà, non quello che il sito _non_ farà… quindi non è possibile, tanto per dirne una, controllare automaticamente che il comportamento di un sito sia allineato con la legge del paese in cui l’utente si trova. Però è previsto lo sviluppo di agenti che effettuino indirettamente questi controlli.

Un altro punto oscuro è rappresentato dagli ISP e dai fornitori di servizi di telecomunicazioni che non sono, ovviamente, sottoposti alla policy del sito a cui ci si è collegati tramite loro.


Gli agenti possono vivere all’interno dei browser, essere aggiunti come plug-in, oppure possono essere installati sui proxy. Possono ovviamente essere scritti come applet Java o come script Javascript. Possono anche essere forniti con i portafogli elettronici o con i riempitori automatici di form. Questi agenti, secondo la specifica, dovrebbero rintracciare nell’intestazione HTTP le informazioni rilevanti sulla privacy (in pratica il link al file XML appropriato) e scaricarle; quindi dovrebbero confrontarle con le preferenze dell’utente e autorizzare il rilascio dei dati soltanto se la politica è accettabile e i dati richiesti sono consistenti con questo tipo di politica. In caso contrario, sarà lasciata all’utente la scelta se proseguire o meno con la transazione.

I siti web dovranno, a tal fine, tradurre le loro politiche di privacy in sintassi P3P e pubblicare i relativi file (unitamente a delle “mappe” che specifichino a quali pagine del sito la politica faccia riferimento). Chiaramente gli operatori saranno assistiti da tool automatici (come quelli proposti da Microsoft a bCentral). P3P 1.0 può essere implementata sui server compatibili con la versione 1.1 di HTTP senza upgrade, salvo piccoli aggiustamenti per notificare la locazione del file contentente le specifiche.
Le mappe cui ho accennato poco sopra permettono una certa flessibilità: il sito può essere impostato per adottare una politica unica per tutte le pagine, oppure sceglierne una diversa per ciascuna parte.

La specifica così come ve l’ho presentata è stata snellita decurtandola di alcune istanze che forse troveranno voce nelle versioni successive di P3P. Per fare un esempio era previsto un meccanismo per consentire ai siti di offrire ai visitatori una scelta tra diverse politiche, il rilascio automatico (tramite agenti) dell’autorizzazione e dei dati.


Come sarà fatta una pagina web compatibile con le specifiche P3P?

Il primo passo consiste nel localizzare il file contenente la politica di privacy.
Questo viene fatto attraverso dei riferimenti, che permettono di risparmiare banda e tempo di calcolo; è presente una tabella (policy reference) che permette di specificare l’URL dove è possibile trovare una certa politica, a quali regioni la politica si applichi (e a quali no), i cookies autorizzati o meno da una certa politica, il metodo di accesso di riferimento, il periodo di validità.

Per indicare la locazione di questa tabella sono possibili tre metodi.
Il primo consiste nel posizionare il file p3p.xml in una locazione ben nota, come la directory /w3c .
Il secondo metodo prevede l’uso del tag link (specificando nel campo rel che si tratta di P3Pv1 ).



<link rel=”P3Pv1″ href=”http://punto-informatico.it/P3P/PolicyReferences.xml”>

Il terzo si basa sul nuovo tag p3p-header .

Una semplice tabella policy reference è strutturato in questo modo:



<POLICY-REFERENCES>

<EXPIRY max-age=”010102″/>

<POLICY-REF about=”/P3P/Pol1.xml”>
<INCLUDE>/*</INCLUDE>
<EXCLUDE>/plug-in/*</EXCLUDE>
<EXCLUDE>/stand-by/*</EXCLUDE>
</POLICY-REF>

<POLICY-REF about=”/P3P/Pol2.xml”>
<INCLUDE>/plug-in/*</INCLUDE>
</POLICY-REF>

<POLICY-REF about=”/P3P/Pol3.xml”>
<INCLUDE>/stand-by/*</INCLUDE>
</POLICY-REF>

</POLICY-REFERENCES>

L’XML di facile lettura prevede una data di scadenza (EXPIRY) nel primo giorno del prossimo anno, pone tutto il sito sotto la policy contenuta nel file Pol1.xml salvo le pagine di plug-in e stand-by che sono rispettivamente controllate dalla policy di Pol2.xml e Pol3.xml.


Come si specificano (all’interno dei files Pol1.xml , Pol2.xml e Pol3.xml ) le varie policy?

Questi documenti contengono una lista di statement P3P che indicano come i singoli dati saranno trattati, che livello di sicurezza e privacy è associato a ciascun dato, quanto tempo verranno tenuti in archivio, quali altri destinatari avrà.

Ogni statement P3P è racchiuso nel tag STATEMENT , e contiene le sezioni: PURPOSE , RECIPIENT , RETENTION e DATA-GROUP . Opzionale la sezione CONSEQUENCE .

Nella sezione PURPOSE vengono spiegati all’utente gli scopi per cui una certa informazione viene raccolta; sono previste diverse parole chiave predefinite che indicano come finalità l’amministrazione del sito e del sistema, l’uso nella sezione Research and Development o la personalizzazione del sito.

Nella sezione RECIPIENT specifica a chi andranno le informazioni raccolte; è possibile specificare che verranno utilizzate solo all’interno dell’azienda, che andranno allo spedizioniere delle merci, che saranno resi pubblici o inviati a uno specifico destinatario.

Nella sezione RETENTION verrà specificato per quanto tempo i dati verranno conservati nell’archivio della compagnia: un breve periodo, per tutto il tempo necessario al completamento dell’operazione, oppure indefinitamente.

Nella sezione DATA-GROUP verranno specificati i dati richiesti, ed eventuali specifiche di opzionalità. Nei DATA-GROUP è possibile utilizzare le CATEGORIES che permettono all’utente di avere un controllo più accurato sul tipo di informazioni che vuole che siano gestite dal browser.

Nella sezione CONSEQUENCE si possono inserire spiegazioni per l’utente che rassicurino sul fatto che una certa pratica (solitamente sconsigliabile) è necessaria nel caso particolare, fornendo le ragioni per cui l’utente dovrebbe procedere con la transazione.

Per aggiungere flessibilità è stato previsto l’uso della sezione EXTENSION .

Opzionale è invece l’uso delle COMPACT policy che permettono all’agente delle ottimizzazioni consentendo di controllare simultaneamente le autorizzazioni su diverse sezioni del sito.

Altro elemento importante per l’ottimizzazione (ma dal lato server, stavolta) è la persistenza in memoria delle tabelle che, chiaramente, diventeranno un dato di consultazione massiccia da parte di tutti i browser collegati.


Devo ammettere di essere rimasto colpito, dal punto di vista tecnico, dall’ottimo lavoro concertato da W3C e Microsoft. Sembra incredibile che il consorzio che si occupa di tenere insieme gli eterogenei protocolli di internet abbia tra i suoi più calorosi sostenitori una compagnia che qualche anno fa aveva dato Internet per spacciata.

Però… da un punto di vista personale ho moltissimi dubbi su questa strategia congiunta. I pericoli che intravedo in queste pratiche sono diversi.

Il primo è l’automazione di procedimenti già di per sé estremamente delicati. Rilasciare i propri dati personali basandosi su un file in cui un sito web dimostra la sua buona fede mi sembra quanto meno rischioso. Per loro stessa ammissione i promotori di questo protocollo ci segnalano la discrezionalità della nostra controparte nel rispettare le leggi e i patti stabiliti con il cliente.

Si parla di rendere più trasparenti i meccanismi che stanno dietro una transazione web. Permettetemi di dubitare che un utente mediamente esperto sia in grado di districarsi nelle infinite opzioni di Internet Explorer e Outlook. Senza contare che moltissime preferenze non sono documentate, e sono modificabili solo tramite opportune chiavi di registro: quello che compare nel menù delle opzioni è la punta dell’iceberg.

Lasciare che sia il browser a decidere se un sito è sicuro o meno, e se i dati che sta raccogliendo saranno usati in modo corretto o no significa porre un ulteriore strato tra gli utenti e il sistema. Da un lato, come sempre, ci saranno gli utenti inesperti che non saranno neppure in grado di gestire le diverse sfumature di privacy e sicurezza e le ignoreranno. Dall’altro ci saranno i power user che non potranno mettere esattamente le mani sulle scelte vitali, e finiranno per sviluppare una certa diffidenza. Come accade sempre nell’utilizzo di Windows e dei prodotti Microsoft in generale.

Quello che succederà sarà che la maggior parte degli utenti non modificheranno le impostazioni di fabbrica, e così facendo lasceranno che siano le compagnie certificate dall’oligarchia della sicurezza ad avere l’accesso ai dati.

Si ravvisano, quindi, i termini per un più subdolo monopolio nel mondo dell’informatica. Non confido nel sistema di fiducia “a cascata”: troppi attori entrano in gioco, e ciascuno deve recitare onestamente e in modo tecnicamente perfetto la sua pagina, altrimenti si corre il rischio di affidare a un sistema “bucato” qualche informazione veramente riservata e preziosa.

D’altro canto, P3P è un sistema intelligente e potentissimo per gestire le informazioni, e se nella sua versione 1.0 offre il fianco a qualche critica sull’equilibrio tra riservatezza ed effettiva utilità non c’è dubbio che saprà crescere per abbracciare le nuove esigenze che tutti gli utenti stanno avvertendo. E in fondo non c’è motivo di dubitare della buona fede delle compagnie che forniranno il supporto a P3P, ma la diffidenza verso un sistema che presenta molti lati oscuri non sembra abbandonarci mai.

Manrico Corazzi

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
6 mag 2001
Link copiato negli appunti