La privacy e il Web 2.0 - Tesi di laurea con Fabio Vitali

La privacy e il Web 2.0:
una soluzione sicura per
Google Documents e Mozilla Firefox
Presentata da:
Edoardo Gargano
Relatore:
Chiar.mo Prof. Fabio Vitali
Correlatori:
Dott. G. D’Angelo
Dott. S. Zacchiroli
Privacy: definizione
●
“Diritto alla riservatezza delle informazioni
personali e della propria vita privata”
–
●
●
Proteggere la propria “sfera privata”
Evoluzione estensiva del termine, oggi indica
il diritto al controllo sui propri dati personali
Rispetto della privacy: legislazione
–
Comunitaria: Carta dei diritti fondamentali
dell'UE 1995, Articolo 8
–
Italiana: Legge n. 675, 1996
Privacy & Web 2.0
●
●
Caratteristiche del Web 2.0
–
I contenuti sono generati dagli utenti
–
Il software desktop diventa servizio Web
–
Tecnologie condivise (RSS, openAPI, AJAX...)
I contenuti vanno online
●
●
Il browser diventa piattaforma per la loro creazione
Problemi di privacy dei contenuti
–
Riservatezza delle informazioni inserite:
chi ha accesso a questi contenuti?
Google Documents
http://docs.google.com
●
Applicazione 'Office' 2.0
–
●
Componente client
–
●
Interfaccia nel browser (Javascript & AJAX)
Componente server
–
●
Vantaggi: nessuna installazione su disco,
storage online, condivisione file tra più utenti
Gestisce le operazioni sui file salvati nell'account
Problema: Contenuti visibili da Google
–
Necessità di maggiore riservatezza
SecureGdocs
●
●
Estensione per Firefox
Garantisce la riservatezza dei documenti
tramite crittografia
–
Permette la creazione di documenti cifrati in
Google Documents
–
Gestisce la crittografia dei documenti
–
L'utente modifica i documenti cifrati tramite
l'editor di Google Docs
–
La crittografia è trasparente all'utente
Interfaccia grafica
Login al servizio
di Google Docs
Gestione file di Google Docs
(Attivazione automatica crittografia)
Crittografia
●
Algoritmo simmetrico a blocchi
●
●
Advanced Encryption Standard (AES fino a 256bit)
Fasi della Codifica / Decodifica
1.Analisi dei messaggi HTTP di richiesta e risposta
2.Identificazione contenuti
●
●
Da cifrare nella richiesta
Da decifrare nella risposta
3.Contenuto cifrato o decifrato
4.Iniezione nei messaggi HTTP dei contenuti
modificati dalla crittografia
Schema crittografia
→Salvare e cifrare la stringa “abc”->”XYZ”
←Caricare e decifrare la stringa “XYZ”->”abc”
Codifica e decodifica
●
Codifica dei contenuti:
●
●
●
●
Intercettazione richiesta HTTP (AJAX)
Cifratura del testo contenuto nel parametro
“docContents” del campo POST
Inserimento della “docContents” modificata nella
richiesta originale
Decodifica dei contenuti:
●
●
●
●
Intercettazione risposta HTTP
Identificazione del testo cifrato
Decifratura del testo cifrato
Reinserimento nel messaggio HTTP di risposta
originale
Trasparenza per l'utente
●
●
●
●
L'utente effettua il “login” nell'account di
Google tramite SecureGdocs
Crea o apre file cifrati dell'account
dall'interfaccia di SecureGdocs
Le password specifiche dei documenti sono
richieste solo quando servono e vengono
salvate per la durata della sessione
La modifica dei file è effettuata tramite
l'editor di Google Docs
Condivisione dei documenti
●
Problema: condividere un documento cifrato
●
Il destinatario della condivisione deve:
–
Utilizzare SecureGdocs
–
Ottenere la password specifica del documento
●
Necessità canale sicuro
●
Crittografia asimmetrica
–
Cifrare la password con la chiave pubblica del
destinatario
–
Comunicarla al destinatario
FireGPG
●
Estensione per Firefox, è un'interfaccia per
GPG (GnuPG)
●
●
●
GnuPG deve essere installato nel sistema
Utilizzo intuitivo, gestione chiavi su “keyserver”
Crittografia della password di SecureGdocs
tramite l'editor di fireGPG
1.L'utente protegge tutte le diverse password con
la sua chiave pubblica e privata
2.L'utente protegge la password di un documento
condiviso con la chiave pubblica del destinatario
Sviluppi futuri
1.Integrazione del codice di FireGPG
●
Meccanismo ibrido simmetrico/asimmetrico
●
I contenuti sono protetti da algoritmo simmetrico
●
●
Le password dei documenti sono cifrate con
GnuPGP dall'applicazione stessa
Per condividere si dovrà selezionare solo la
chiave pubblica del destinatario dal keyserver
2.Adattabilità verso altre applicazioni 2.0
●
Protezione dei contenuti creati in altre tipologie di
applicazioni Web 2.0 del tipo AJAX/HTTP
Conclusioni
●
●
Distribuzione di SecureGdocs sul portale
“Mozilla addons”
Spunti di ricerca:
–
Creare una estensione configurabile capace di
nascondere qualsiasi contenuto spedito in
applicazioni Web 2.0 dall'interno del browser
Facebook
●
Social Network
–
Creazione di un profilo personale
●
–
●
●
Nel profilo si specificano informazioni personali
Permette di mantenere relazioni sociali
Tipi di informazioni
–
1st party: inserite e controllate dall'utente
–
3rd party: inserite e controllate da altri
Impostazioni “My Privacy”
–
Suggerimenti