Ho avuto modo di pensare in questi giorni ad un fatto che quasi sempre si dà per scontato,
gli autori dei plugin e estensioni che installiamo sui nostri browser. Gli autori e anche gli sviluppatori.
Questo perché diamo molta importanza alla nostra privacy, giustamente, ma solo a fasi alterne.
Non raramente le estensioni del browser richiedono permessi invasivi per poter operare al meglio e noi, visto che li stiamo installando, acconsentiamo. Negli ultimi anni molti utenti si sono preoccupati delle autorizzazioni delle applicazioni degli smartphone, tanto da non installarne alcune perché troppo invasive: giustamente.
Così ha avuto mercato anche quella settore di sviluppatori (soprattutto asiatici) che nelle loro versioni modificate di Android installavano software di forte controllo delle applicazioni installate; fortuna ha poi voluto che la moda successiva degli utenti sia stata quella dello spionaggio industriale, tutt'ora in atto, per cui si crede che chi ci ha venduto il device possa anche spiarci tramite backdoor. E, indovinate un po'? Proprio le case asiatiche sono le più bombardate da questo tipo di "inchieste" che si trovano sul web (con risultati anche esileranti, ve lo assicuro), come se non fossero noti i modi con cui le maggiori aziende americane hanno passato per anni informazioni riservate al Governo.
Ma questa è altra storia, credo sia solo da far notare che quando il Governo a cui si passano informazioni è quello USA allora il problema non esiste realmente, al massimo ci faranno una serie tv.
Ritornando al nostro argomento, perché questo stesso pudore verso le autorizzazioni concesse non si è esteso anche ai plugin e alle estensioni del browser?
Probabilmente i dati sensibili sono più accessibili dallo smartphone che non da un browser (anche se essendo tutto ottimizzato per il web, anche la propria rubrica personale si trova su un sito di Google), ma ciò non risolve il problema più grande, quello politico.
Un'applicazione su smartphone per essere aggiornata deve passare tramite l'approvazione dell'utente o comunque l'utente lo nota dal download in corso, su browser così non è. In più: le estensioni si basano alle volte su database esterni per dei dati, allargando così di molto il problema.
Questo articolo, qualcuno lo avrà immaginato a questo punto, nasce dal problema creato qualche giorno fa da un aggiornamento di un database di siti bloccati di AdBlock e plugin simili: questo blocco riguardava infatti i file jquery e jquery touch dei nostri circuiti, andando così a creare enormi problemi a tutti i forum e al circuito stesso. Ormai infatti jQuery è una libreria pesantemente utilizzata, bloccarla significa creare problemi non irrilevanti.
Chi ha aggiornato questo database si è scoperto,
per sua stessa ammissione, ha fatto un errore e probabilmente non ha fatto nemmeno tanti controlli: ha visto che i primi file js della pagina erano quelli e che gli altri puntavano a quelli e ha deciso di bloccarli.
Se questa persona che ha inserito questo blocco ha un minimo di conoscenze web e ha aperto i due file non risconoscendo che si trattava di jQuery ha evidentemente da farsi un esame di coscienza, ma se non fosse un conoscitore di javascript bisognerebbe allora domandarsi su quali basi inserisce questi blocchi.
Sarebbe poi interessante capire chi è questo utente e da chi è autorizzato a fare queste modifiche unilaterali che vanno a intaccare i browser di milioni di utenti (ovvero quelli italiani, perché lui aggiorna il database italiano su cui le estensioni di blocco pubblicitario si basano).
Ed è qui che nasce il problema del titolo dell'articolo, il problema politico. Chrome andando nella pagina delle estensioni (chrome://extensions/) permette di vedere per ogni estensione i permessi dati, ecco quelli di uBlock Origin (che sono gli stessi per i suoi parenti):
Questa estensione può
leggere e modificare tutti i siti web visitati. Alla faccia.
Mi si dirà che è normale, affinché l'estensione funzioni ha bisogno di libertà di movimento, ed è vero, ma qui risiede anche il problema.
Questo utente che ha bloccato per errore le nostre librerie ha evidentemente avuto un abbaglio (che non doveva avere), ma non ha creato problemi di portata enorme, come invece si potrebbe fare in linea teorica. Chi ci dice infatti che un giorno non passi per la testa a lui o uno dei suoi colleghi di bloccare porzioni di un sito politico, o di uno specifico quotidiano?
Chi ci dice che questo potere di alterazione dei contenuti non possa diventare attivamente politico? Alla fine abbiamo capito che chi decide su questi blocchi può essere anche un semplice utente un po' sbadato, pensate se per errore gli capita di bloccare un sito alla vigilia delle elezioni, o dei messaggi politici. Per errore, chiaro.
Ma forse anche no, perché a me pare palesemente eccessivo che una singola estensione possa mutare completamente la percezione che ho di un sito senza che possa rendermente conto.
Nel nostro caso specifico, e non dico che sia quello che è avvenuto ma che poteva avvenire, se l'utente che controlla quella lista di blocchi facesse anche parte di un sito concorrente al nostro? O se avesse amici che gli hanno chiesto un favore?
Alla fine bloccare jQuery non crea, come dicevo sopra, danni non risolvibili, ma altri tipi di blocchi potrebbero arrecare non pochi problemi agli utenti che potrebbero quindi ritenere la nostra piattaforma non funzionante o, peggio, non sicura e tutto questo per colpa di una estensione del browser: l'esperienza ci insegna che prima di dare la colpa al browser la darebbero a chi gestisce il servizio che ha il problema e non a torto, ma così si potrebbe creare una disaffezione degli utenti per un problema esterno.
Questo articolo, lo si sarà capito, è stato più un gioco mentale e si basa su molte ipotesi, ma dopo che abbiamo sentito che siti usavano le visite degli utenti per i bitcoin e dopo tutto quello che si è scoperto sullo spionaggio governativo degli ultimi decenni, non è proprio fantascientifico pensare che qualcosa del genere possa avvenire anche nel piccolo di un'estensione del browser.
