MyCivis rete civica di Bolzano attenzione alla (poca) sicurezza!

Prima esperienza con l’accesso alla rete civica “MyCivis”, portale per accedere ai servizi online delle amministrazioni pubbliche dell’Alto Adige ed ennesimo caso di incontinenza digitale. Termine con cui amo definire quando si parla tanto usando paroloni informatici ma poi la sostanza non c’è.

Dovevo fare l’iscrizione di mio figlio al servizio di ristorazione scolastica. Entro nel link indicato dove posso scegliere se entrare con il “mitico” SPID o con la CNS (carta servizi nazionale). Scelgo lo SPID.

Già qui rimango basito dal fatto che non funziona l’autenticazione a due fattori ovvero entro solo con username e password senza inserire la chiave dall’apposita App Infocert sullo smartphone. Cosa che rende abbastanza inutile il concetto di SPID stesso!

Subito dopo l’autenticazione comincia la sfilza di errori come ad esempio questo:

quindi questo:

ed infine questo:

chiudo le finestre del browser (Firefox su MacOS) e riapro e voilà magicamente sono dentro.

Già questo è un grande bug perché l’utente crede di non essere entrato, mentre lo è, e nel caso di uso di un PC condiviso questo potrebbe creare sicuramente un problema di sicurezza.

Faccio quello che devo fare quindi decido i fare il logout!

Dopo il logout mi appare questa pagina.

 

Già questo è anomalo (per non dire sbagliatissimo dal punto di vista della sicurezza) in quanto normalmente facendo logout io non dovrei più fare altro. Ad ogni modo chiudo la finestra ne apro una nuova e torno all’indirizzo di partenza e voilà sono ancora dentro!

Questo significa che se fossi stato davanti ad un PC pubblico (ufficio, internet point, centro civico, ecc,) avrei creduto di essere uscito dal sistema ma in realtà sono ancora autenticato.

Ora tecnicamente mi è molto chiaro perché questo è successo. Su Mac, a differenza di Windows, chiudendo tutte le finestre non si chiude anche il browser e di conseguenza la sessione rimane aperta. Pertanto il messaggio dovrebbe dire: “chiudi il browser per uscire completamente dalla sessione di lavoro”.

Questo errore che apparentemente pare banale in realtà è molto grave perché oggi i furti di identità sono all’ordine del giorno e pertanto questi banali accorgimenti aiutano ad aumentare la sicurezza. Suppongo che il sistema non sia stato minimamente testato su sistema MacOs e al di là del campanilismo di sistema operativo è segno di veramente poca attenzione da parte di chi sovraintende alla creazione di questi portali.

L’infinita storia del mio accento

Non contento di tutto questo c’è anche il piccolo dettaglio della a accentata del mio cognome. Una disgrazia in termini informatici. Le lettere accentate hanno sempre creato problemi a livello informatico per via della poca uniformità dei sistemi di codifica. Certo è che nel 2018 uno si aspetta che venga usata una codifica che supporti gli accenti…già uno si aspetta ma non è così.

Il sistema MyCivis legge i dati al momento dell’autenticazione da un altro sistema. In MyCivis il mio cognome appare così:

Non essendoci la possibilità di modificare i dati anagrafici, proprio perché questi vengono letti dal db nazionale, chiamo il Call Center che cortesemente mi dice di aver preso in carico il problema e che mi faranno sapere.

Dopo 10 minuti vengo chiamato e mi dicono che non è colpa loro perché il problema è a monte.

Balle!

Se io entro in SPID o in qualsiasi altro portale il mio cognome è corretto dunque essendo la fonte dati corretta non può certo essere un problema a monte.

Tento di spiegare la cosa e anche il discorso codifiche tra UTF e ISO ma ottengo altri 10 minuti di attesa online (per parlare con i tecnici). Fortunatamente la gentile addetta ha almeno capito la logica del “a monte e a valle”.

La cosa rimarrà irrisolta, almeno così mi immagino. Indicherò qui se e quando troverò il mio cognome con la lettera correttamente accentata e non una A con la dieresi!

UPDATE:

Dopo 1 ora ricevo una email dove mi si dice che il problema è risolto…ma non è così. :-(

UPDATE 2:

Il giorno dopo stessa email ma il problema non si è risolto…

UPDATE 3:

Passa un altro giorno, nuova email con richiesta di dire se il problema è risolto ma…non lo è!

UPDATE 4:

E’ il 4 maggio e dopo 2 settimane ancora nulla. Non hanno ancora capito il problema e mi hanno detto che attendono risposte da Infocert. Cosa del tutto inutile dato che il problema si presenta anche accedendo con CNS per cui non può essere un problema di Infocert.

UPDATE 5:

E’ il 31 maggio e la risposta del servizio di assistenza della Provincia di Bolzano continua a insistere che è un problema di Infocert e che questi non rispondono alle loro richieste. Mi hanno consigliato di fare lo Spid con Aruba o Poste.

Egregio Sig. Donegà,

Abbiamo segnalato il problema ad Infocert però purtroppo non abbiamo ricevuto un riscontro. Forse hanno anche corretto i Suoi dati e al prossimo accesso saranno corretti. Sennò non possiamo consigliare altro che scegliere un altro provider SPID (e.g. Posteid o Aruba).

A parte il fatto che i miei dati si Infocert sono correttissimi, detto fatto ho provato con ArubaID e … ovviamente il problema è lo stesso.

Vediamo quanto tempo ancora ci vorrà perché ammettano che sia un errore loro!

Voto lettori
- Voti: 0 Media: 0

2 commenti

  1. Prossima volta scrivi Donega’ OR 1 = 1; delete from users
    :-)

    Se sono a quei livelli facile che li rasi il db!

    1. Non sono io che lo scrivo. Loro prendono i dati dal db di Infocert e io non ho possibilità di cambiarli. E’ un banale problema di codifica.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *