Follow

Ma nessuno qui si è spulciato il sorgente di ? Devono pur aver nascosto la malvagità tra qualche stringa.

In giro ho letto solo lamentele sul fatto che i dati inviati volontariamente in caso di esposizione a infetto prima di arrivare a Sogei passano sul cdn di Akamai. Dov'è il sangueeee?

@zeppe Da quel che ho letto l'App in sé è pulita ma è sui server che non si sa che accade

@Ca_Gi @zeppe

Non ho letto il sorgente pero' aggiungo che se scarichi il pacchetto compilato non hai molte garanzie che ci sia una corrispondenza esatta tra il programma che gira sul tuo computer e il sorgente che vedi su internet.

Se, per ipotesi, aggiungessi una chiamata ad un server "malevolo" nel sorgente che ricompilo, poi carico il programma sul repository dei pacchetti binari (da dove gli utenti lo scaricheranno) si', ce ne si potrebbe accorgere ovviamente, ma non leggendo i ,sorgenti "puliti".

L'ideale sarebbe compilarsi il proprio pacchetto (con tutto il concetto di reproducible builds che e' una "scienza" a parte). Ma non credo che il programma sarebbe poi, comprensibilmente, accettato dal repository dei binari.

Poi io di programmazione di questi sistemi non so nulla (una volta seguii un corso introduttivo ma programmando ebbi l'impressione di lavorare per una multinazionale senza essere pagato, mi sentii a disagio e fino ad adesso non sento la necessita' di riavvicinarmici) e magari, facilmente, c'e' qualche sistema che non conosco per non permettere questo genere di cose (firme, ispezione del pacchetto prima della pubblicazione mitigano il fenomeno ma non sono la soluzione, secondo me).

Ciao!
C.
@Ca_Gi @zeppe

Ciao!

Su hackernews hanno segnalato queste sezioni della documentazione del programma:

https://github.com/immuni-app/immuni-documentation/blob/master/Technology%20Description.md#app-build-verification

Nel quale viene presa in considerazione il problema della corrispondenza sorgente <-> eseguibile. Per quello che ne ho capito la fase di costruzione del pacchetto sara' effettuata con strumenti che consistono in software libero oppure con programmi di terze parti (di google/apple principalmente), il risultato del build (log?) sara' reso pubblico (immagino sempre su piattaforme di terze parti). Assumendo che ne' google ne' apple abbiano interesse a modificare il codice mi sembra ragionevole pensare (secondo me) che il problema sia stato ben affrontato.

Si sono posti anche il problema del "reproducible build" ma pare che la cosa non funzioni per IOS.

Sto volutamente tralasciando la parte politica della faccenda, anche perche' penso che non mi basterebbe il, pur generoso, limite alla lunghezza dei messaggi dell'istanza :D

Ciao!
C.

@zeppe
La malvagità non sta nel codice, ma nell'instillare nella mente dei cittadini l'idea che tecnologia e applicazioni inutili siano efficaci, che il governo stia effettivamente cercando di contrastare il virus, nell'idea che puoi installare con tranquillità un App di tracciamento, etc.

Il trojan è la "fiducia" che viene richiesta e che permetterà di dichiarare che è stato fatto tutto il possibile, quando qualcuno chiederà conto dei morti.

Sign in to participate in the conversation
Mastodon Bida.im

Un'istanza mastodon antifascista prevalentemente italofona con base a Bologna - Manifesto - Cosa non si può fare qui

An antifa mostly-italian speaking mastodon istance based in Bologna - About us - What you can't do here

Tech stuff provided by Collettivo Bida