mirror of
https://gitlab.com/ansol/web-ansol.org.git
synced 2024-10-18 22:13:06 +00:00
67 lines
3.7 KiB
Markdown
67 lines
3.7 KiB
Markdown
|
---
|
||
|
layout: article
|
||
|
title: ANSOL rejeita "medidas de segurança" da EMEL
|
||
|
date: 2024-05-13
|
||
|
image:
|
||
|
caption: |
|
||
|
["Lisbon", por Neil](https://commons.wikimedia.org/wiki/File:Lisbon_(45923876392).jpg), sob a licença CC BY-SA 2.0.
|
||
|
---
|
||
|
|
||
|
Dois grupos de estudantes criaram duas aplicações, a
|
||
|
[Gira+](https://github.com/rt-evil-inc/gira), que é Software Livre, e a
|
||
|
[mGira](https://mgira.pt/), para poderem utilizar as bicicletas GIRA, geridas
|
||
|
pela EMEL, uma vez que a aplicação da própria EMEL deixou de ter suporte e, por
|
||
|
consequência, passou a ter problemas de utilização. As duas aplicações foram
|
||
|
bem recebidas pela comunidade de utilizadores das bicicletas.
|
||
|
|
||
|
Recentemente, a EMEL contratou uma empresa para actualizar a aplicação e a sua
|
||
|
infraestrutura, com o objectivo impedir a utilização do serviço GIRA por parte
|
||
|
de terceiros, e assim bloquear o funcionamento daquelas aplicações.
|
||
|
|
||
|
O caderno de encargos apresentado pela EMEL menciona duas categorias de
|
||
|
actualizações: melhorias à experiência de utilização, e medidas de segurança.
|
||
|
Já a proposta apresentada pela empresa contratada apenas se foca nas medidas de
|
||
|
segurança, tendo as melhorias à experiência de utilização sido deixadas para
|
||
|
uma fase posterior. Esta ordem de prioridades fará com que os utilizadores das
|
||
|
bicicletas sejam prejudicados: não vêem a aplicação oficial melhorada, e passam
|
||
|
a ser impedidos de utilizar as alternativas. Além disso, as medidas de
|
||
|
segurança apresentadas são baseadas em estratégias que muito preocupam a ANSOL,
|
||
|
por irem contra os princípios do Software Livre e da liberdade de escolha dos
|
||
|
utilizadores. Por exemplo:
|
||
|
|
||
|
* SSL Pinning - Serve principalmente para impedir os utilizadores de
|
||
|
inspeccionarem as comunicações que a aplicação faz com os servidores. A
|
||
|
própria Google desaconselha esta prática nos seus guias de desenvolvimento de
|
||
|
Android, e a [técnica equivalente nos navegadores de internet foi
|
||
|
descontinuada há 4
|
||
|
anos](https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning);
|
||
|
* Ofuscação de código - Vai contra a liberdade de estudarmos o software que
|
||
|
corre nos nossos próprios dispositivos, e não traz benefícios de segurança
|
||
|
para o utilizador, apenas escondendo quaisquer falhas de segurança que a
|
||
|
aplicação possa ter;
|
||
|
* Validação de APP genuína - Serve para implementar DRM, que a ANSOL [tem
|
||
|
combatido](https://drm-pt.info) desde a sua criação. É um mecanismo que
|
||
|
impede a utilização da aplicação em telemóveis que tenham *root*, em
|
||
|
telemóveis cujos utilizadores não queiram usar os serviços da loja da Google
|
||
|
ou da Apple, ou em aparelhos com sistemas operativos que a EMEL não suporte
|
||
|
explicitamente.
|
||
|
|
||
|
Tais medidas, que a EMEL classifica como *"de segurança"*, não trazem
|
||
|
benefícios de segurança para os utilizadores do serviço, e têm como único
|
||
|
objectivo impedir que os utilizadores estudem o comportamento das aplicações
|
||
|
que estão instaladas nos seus próprios dispositivos, o que vai contra o que a
|
||
|
ANSOL tem defendido e considera boas prácticas. Software desenvolvido com
|
||
|
dinheiro público, como é o caso do software desenvolvido pela EMEL, deve ser
|
||
|
ele [próprio público](https://publiccode.eu/pt/), com licenças livres.
|
||
|
|
||
|
Para além de querer bloquear as aplicações não oficiais, a EMEL prepara-se para
|
||
|
impedir os utilizadores de usarem a aplicação oficial quando estes escolhem
|
||
|
usar software livre nos seus equipamentos. O foco aparenta estar no bloqueio da
|
||
|
utilização legítima do serviço GIRA e não na melhoria da experiência e
|
||
|
usabilidade do serviço.
|
||
|
|
||
|
A ANSOL convida a EMEL a repensar a sua abordagem na actualização da aplicação,
|
||
|
e continuará a acompanhar os desenvolvimentos desta situação.
|
||
|
|
||
|
|