mirror of
https://gitlab.com/ansol/web-ansol.org.git
synced 2024-11-25 23:53:16 +00:00
68 lines
3.7 KiB
Markdown
68 lines
3.7 KiB
Markdown
---
|
|
layout: article
|
|
title: ANSOL rejeita "medidas de segurança" da EMEL
|
|
date: 2024-05-13
|
|
image:
|
|
caption: |
|
|
["Lisbon", por Neil](https://commons.wikimedia.org/wiki/File:Lisbon_(45923876392).jpg), sob a licença CC BY-SA 2.0.
|
|
---
|
|
|
|
Dois grupos de estudantes criaram duas aplicações, a
|
|
[Gira+](https://github.com/rt-evil-inc/gira), que é Software Livre, e a
|
|
[mGira](https://mgira.pt/), para poderem utilizar as bicicletas GIRA, geridas
|
|
pela EMEL, uma vez que a aplicação da própria EMEL deixou de ter suporte e, por
|
|
consequência, passou a ter problemas de utilização. As duas aplicações foram
|
|
bem recebidas pela comunidade de utilizadores das bicicletas.
|
|
|
|
Recentemente, [a EMEL contratou uma empresa para actualizar a aplicação e a sua
|
|
infraestrutura](https://www.base.gov.pt/Base4/pt/detalhe/?type=contratos&id=10695934),
|
|
com o objectivo de impedir a utilização do serviço GIRA por parte de terceiros,
|
|
e assim bloquear o funcionamento daquelas aplicações.
|
|
|
|
O caderno de encargos apresentado pela EMEL menciona duas categorias de
|
|
actualizações: melhorias à experiência de utilização, e medidas de segurança.
|
|
Já a proposta apresentada pela empresa contratada apenas se foca nas medidas de
|
|
segurança, tendo as melhorias à experiência de utilização sido deixadas para
|
|
uma fase posterior. Esta ordem de prioridades fará com que os utilizadores das
|
|
bicicletas sejam prejudicados: não vêem a aplicação oficial melhorada, e passam
|
|
a ser impedidos de utilizar as alternativas. Além disso, as medidas de
|
|
segurança apresentadas são baseadas em estratégias que muito preocupam a ANSOL,
|
|
por irem contra os princípios do Software Livre e da liberdade de escolha dos
|
|
utilizadores. Por exemplo:
|
|
|
|
* SSL Pinning - Serve principalmente para impedir os utilizadores de
|
|
inspeccionarem as comunicações que a aplicação faz com os servidores. A
|
|
própria Google desaconselha esta prática nos seus guias de desenvolvimento de
|
|
Android, e a [técnica equivalente nos navegadores de internet foi
|
|
descontinuada há 4
|
|
anos](https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning);
|
|
* Ofuscação de código - Vai contra a liberdade de estudarmos o software que
|
|
corre nos nossos próprios dispositivos, e não traz benefícios de segurança
|
|
para o utilizador, apenas escondendo quaisquer falhas de segurança que a
|
|
aplicação possa ter;
|
|
* Validação de APP genuína - Serve para implementar DRM, que a ANSOL [tem
|
|
combatido](https://drm-pt.info) desde a sua criação. É um mecanismo que
|
|
impede a utilização da aplicação em telemóveis que tenham *root*, em
|
|
telemóveis cujos utilizadores não queiram usar os serviços da loja da Google
|
|
ou da Apple, ou em aparelhos com sistemas operativos que a EMEL não suporte
|
|
explicitamente.
|
|
|
|
Tais medidas, que a EMEL classifica como *"de segurança"*, não trazem
|
|
benefícios de segurança para os utilizadores do serviço, e têm como único
|
|
objectivo impedir que os utilizadores estudem o comportamento das aplicações
|
|
que estão instaladas nos seus próprios dispositivos, o que vai contra o que a
|
|
ANSOL tem defendido e considera boas prácticas. Software desenvolvido com
|
|
dinheiro público, como é o caso do software desenvolvido pela EMEL, deve ser
|
|
ele [próprio público](https://publiccode.eu/pt/), com licenças livres.
|
|
|
|
Para além de querer bloquear as aplicações não oficiais, a EMEL prepara-se para
|
|
impedir os utilizadores de usarem a aplicação oficial quando estes escolhem
|
|
usar software livre nos seus equipamentos. O foco aparenta estar no bloqueio da
|
|
utilização legítima do serviço GIRA e não na melhoria da experiência e
|
|
usabilidade do serviço.
|
|
|
|
A ANSOL convida a EMEL a repensar a sua abordagem na actualização da aplicação,
|
|
e continuará a acompanhar os desenvolvimentos desta situação.
|
|
|
|
|