La privacy e il Web 2.0 - Tesi di laurea con Fabio Vitali
Transcript
La privacy e il Web 2.0 - Tesi di laurea con Fabio Vitali
La privacy e il Web 2.0: una soluzione sicura per Google Documents e Mozilla Firefox Presentata da: Edoardo Gargano Relatore: Chiar.mo Prof. Fabio Vitali Correlatori: Dott. G. D’Angelo Dott. S. Zacchiroli Privacy: definizione ● “Diritto alla riservatezza delle informazioni personali e della propria vita privata” – ● ● Proteggere la propria “sfera privata” Evoluzione estensiva del termine, oggi indica il diritto al controllo sui propri dati personali Rispetto della privacy: legislazione – Comunitaria: Carta dei diritti fondamentali dell'UE 1995, Articolo 8 – Italiana: Legge n. 675, 1996 Privacy & Web 2.0 ● ● Caratteristiche del Web 2.0 – I contenuti sono generati dagli utenti – Il software desktop diventa servizio Web – Tecnologie condivise (RSS, openAPI, AJAX...) I contenuti vanno online ● ● Il browser diventa piattaforma per la loro creazione Problemi di privacy dei contenuti – Riservatezza delle informazioni inserite: chi ha accesso a questi contenuti? Google Documents http://docs.google.com ● Applicazione 'Office' 2.0 – ● Componente client – ● Interfaccia nel browser (Javascript & AJAX) Componente server – ● Vantaggi: nessuna installazione su disco, storage online, condivisione file tra più utenti Gestisce le operazioni sui file salvati nell'account Problema: Contenuti visibili da Google – Necessità di maggiore riservatezza SecureGdocs ● ● Estensione per Firefox Garantisce la riservatezza dei documenti tramite crittografia – Permette la creazione di documenti cifrati in Google Documents – Gestisce la crittografia dei documenti – L'utente modifica i documenti cifrati tramite l'editor di Google Docs – La crittografia è trasparente all'utente Interfaccia grafica Login al servizio di Google Docs Gestione file di Google Docs (Attivazione automatica crittografia) Crittografia ● Algoritmo simmetrico a blocchi ● ● Advanced Encryption Standard (AES fino a 256bit) Fasi della Codifica / Decodifica 1.Analisi dei messaggi HTTP di richiesta e risposta 2.Identificazione contenuti ● ● Da cifrare nella richiesta Da decifrare nella risposta 3.Contenuto cifrato o decifrato 4.Iniezione nei messaggi HTTP dei contenuti modificati dalla crittografia Schema crittografia →Salvare e cifrare la stringa “abc”->”XYZ” ←Caricare e decifrare la stringa “XYZ”->”abc” Codifica e decodifica ● Codifica dei contenuti: ● ● ● ● Intercettazione richiesta HTTP (AJAX) Cifratura del testo contenuto nel parametro “docContents” del campo POST Inserimento della “docContents” modificata nella richiesta originale Decodifica dei contenuti: ● ● ● ● Intercettazione risposta HTTP Identificazione del testo cifrato Decifratura del testo cifrato Reinserimento nel messaggio HTTP di risposta originale Trasparenza per l'utente ● ● ● ● L'utente effettua il “login” nell'account di Google tramite SecureGdocs Crea o apre file cifrati dell'account dall'interfaccia di SecureGdocs Le password specifiche dei documenti sono richieste solo quando servono e vengono salvate per la durata della sessione La modifica dei file è effettuata tramite l'editor di Google Docs Condivisione dei documenti ● Problema: condividere un documento cifrato ● Il destinatario della condivisione deve: – Utilizzare SecureGdocs – Ottenere la password specifica del documento ● Necessità canale sicuro ● Crittografia asimmetrica – Cifrare la password con la chiave pubblica del destinatario – Comunicarla al destinatario FireGPG ● Estensione per Firefox, è un'interfaccia per GPG (GnuPG) ● ● ● GnuPG deve essere installato nel sistema Utilizzo intuitivo, gestione chiavi su “keyserver” Crittografia della password di SecureGdocs tramite l'editor di fireGPG 1.L'utente protegge tutte le diverse password con la sua chiave pubblica e privata 2.L'utente protegge la password di un documento condiviso con la chiave pubblica del destinatario Sviluppi futuri 1.Integrazione del codice di FireGPG ● Meccanismo ibrido simmetrico/asimmetrico ● I contenuti sono protetti da algoritmo simmetrico ● ● Le password dei documenti sono cifrate con GnuPGP dall'applicazione stessa Per condividere si dovrà selezionare solo la chiave pubblica del destinatario dal keyserver 2.Adattabilità verso altre applicazioni 2.0 ● Protezione dei contenuti creati in altre tipologie di applicazioni Web 2.0 del tipo AJAX/HTTP Conclusioni ● ● Distribuzione di SecureGdocs sul portale “Mozilla addons” Spunti di ricerca: – Creare una estensione configurabile capace di nascondere qualsiasi contenuto spedito in applicazioni Web 2.0 dall'interno del browser Facebook ● Social Network – Creazione di un profilo personale ● – ● ● Nel profilo si specificano informazioni personali Permette di mantenere relazioni sociali Tipi di informazioni – 1st party: inserite e controllate dall'utente – 3rd party: inserite e controllate da altri Impostazioni “My Privacy” – Suggerimenti