Come potete leggere nel post pubblicato sul Social Network sembrerebbe che la falla sia nel fatto che
i siti vanno mantenuti costantemente aggiornati e questi CMS hanno in parte fallito nel loro messaggio "è facile, puoi fare il tuo sito anche tu..." senza specificare che poi devi giornalmente stargli dietro a quel sito per mantenerlo aggiornato e sicuro, fuori dalla portata dei malintenzionati.
Ma su questo concetto mi trovo a dissentire.
O meglio, è chiaro e che sia necessario mantenere aggiornato un Content Management System Open Source, in quanto per sua natura vi è una più alta percentuale di "malintenzionati" che provano a trovare delle falle nel software in quanto:
- i sorgenti sono alla portata di chiunque;
- vi sono molti più utenti che utilizzano questi programmi a fronte di CMS proprietari e realizzati in proprio;
Quel che non mi trova in sintonia è il fatto che non è tanto il mancato messaggio da parte delle community di sviluppo (che tanto mancato non è, visti gli sforzi fatti in tal senso) quanto un semplice concetto che gli utenti dei diversi CMS Open Source in maggioranza non conoscono, ovvero:
Open Source NON vuol dire gratis
Che tra l'altro, ironicamente parlando, si potrebbe enunciare anche così:
E' tutta colpa di Torvalds
Cosa vuol dire Open Source
Da metà anni 80 (pur se questo era un discorso già affrontato precedentemente) si incominciò a parlare di software libero, discorso portato avanti dal suo founder Richard Stallman, ovvero di software con un codice sorgente aperto alla comunità come antitesi al codice proprietario di programmi come la Microsoft.
Negli anni 90 questa filosofia di codice ebbe una forte accelerata e un cambio di direzione, grazie a Linus Torvalds che creò il kernel Linux da cui si sviluppo un intero sistema operativo, distribuito con licenza gratuita e codice sorgente aperto, e che si può a tutti gli effetti considerare come il primo progetto "Open Source" (che è diverso dal precedente concetto di software libero).
Di li in poi la storia ci insegna che, grazie al fatto che internet divenne di pubblico dominio, Apache (che in genere viene montato su sistemi operativi Linux e quindi Open Source) divenne il web server più utilizzato al mondo e, sulla scia vennero creati software per sviluppare siti web con la stessa licenza Open Source, come Wordpress, Joomla e Drupal, per fare il nome di quelli più utilizzati in Italia.
Perchè Open Source non vuol dire gratis?
Visionando le licenze che vengono rilasciate insieme al software open source ci rendiamo conto che vi è scritto "software rilasciato con codice sorgente liberamente disponibile, con accordi specifici di licenza". Leggendo poi questi accordi, che differiscono nei diversi software, possiamo poi renderci conto che in alcuni casi vi sono anche software con parti di codice proprietario.
Vi è poi un ulteriore concetto, da applicare al software Open Source, in quanto più marcato rispetto ai software proprietari: se hai un problema nella maggior parte dei casi è necessario tirarsi su le maniche e cercare di risolverlo (spesso da soli). Questo perchè è vero che vi è una più folta comunità di persone a cui chiedere in cerca di aiuto, ma nello stesso tempo nessuno viene pagato per farlo.
In effetti per spiegare meglio questo concetto avrei dovuto scrivere:
Perchè Open Source non vuol dire risparmiare?
Open source come abbiamo visto non è sinonimo di gratis ed anzi, in molti casi pur se il software non lo si paga per poterlo utilizzare è necessario conoscere più approfonditamente concetti informatici rispetto a quando si usa software proprietario.
In altri casi, i peggiori, vi sono poi dei bug NON noti e su cui non è possibile effettuare attività di rivalsa: se hai pagato il software quello deve funzionare, se è gratis non ha alcun senso lamentarsi, hai scelto te di utilizzare quel programma a tuo rischio e pericolo.
In ultimo, in quanto lo sviluppo del software è su base volontaria, non sempre tutte le funzionalità necessarie sono state realizzate e in alcuni casi è necessario metter mano al codice per modificare l'ambiente al nostro bisogno.
Quale relazione hanno questi concetti con i siti sviluppati mediante CMS?
La maggior parte dei CMS in cui sono state riscontrate falle di sicurezza sono quelli rilasciati con licenza Open Source e che è vero, al giorno d'oggi sono alla portata di chi non ha piena competenza del mezzo informatico, ma che sopratutto vuole tutto e subito e che per questo non legge con attenzione le istruzioni di un prodotto prima di utilizzarlo. E se non legge le istruzioni immaginiamoci la licenza d'uso!
Quello che però il pubblico non conosce è che, per quanto risparmi in denaro, lo devi investire in tempo. E' la legge dello Yin e Yang o in vietnamita dell'Am o Duong: vi è il positivo e il negativo in ogni cosa e vi deve essere armonia tra i due elementi (qui in Italia si potrebbe dire che è la legge del bastone e della carota).
Conclusioni
Vista la questione, al posto di spiegare meglio che un CMS deve essere aggiornato per chiudere le falle di sicurezza, sarebbe più opportuno sensibilizzare l'utenza sul prodotto che si sta utilizzando, in modo che comprenda i rischi che potrebbe andare incontro quando sceglie di utilizzarlo, vista la licenza d'uso e che in sostanza sono:
- non viene a costare in termini di denaro, ma in termini di risorse impiegate;
- è necessario accettare la licenza d'uso e i rischi che comporta;
- più sale la percentuale di utilizzo da parte dell'utenza, più salgono i rischi che qualcuno scopra falle e le utilizzi;
- devi starci dietro e aggiornarti/aggiornare il software continuamente;
- visto lo sviluppo su base volontaria non è possibile pretendere niente, ma al massimo chiedere e aspettare con pazienza una risposta. Se non ti va di aspettare, o non puoi, è necessario sviluppare da soli il codice necessario.