Ciao a tutti, oggi ho avuto uno spunto interessante in una discussione con una collega. Vorrei chiedere il vostro parere a riguardo e, magari, se avete qualche link a riguardo.
La questione è la seguente: è meglio usare per i propri documenti personali una soluzione locale come LibreOffice oppure una soluzione cloud come Google Documents / Drive? Nel caso, perché?
Tra gli ambiti rilevanti del confronto penso ci siano l’impatto ambientale, la sicurezza e la privacy (credo si intuisca la mia posizione naive a riguardo).
I documenti personali a cui mi riferisco includono ad esempio le presentazioni per i meeting o i documenti per gli appunti; trascurerei il caso d’uso in cui è necessario modificare in modo collaborativo.
La risposta è sempre dipende, poiché per tutte le soluzioni e le mitigazioni proposte è imprescindibile secondo me prima discutere di:
- Qual’è il tuo Threat model (chi scrive qui assumo che sia: avere il più possibile controllo sui propri dati personali e non darli a big tech)
- Il livello di alfabetizzazione digitale (nota alfabetizzazione digitale: non significa che devi saper installare Arch Linux)
- Quanto tempo o denaro sei disposto a pagare per la tua privacy (si, dovrebbe essere un diritto è vero, ma ci stiamo lavorando)
Un breve elenco dei problemi:
- Impatto ambientale: ogni volta che ho provato a cercare in letteratura scientifica non ho mai trovato un consensus sul fatto che l’IT sia green o meno, proprio perché quelle aziende non hanno alcun interesse a divulgare i propri dati. Le argomentazioni che ho trovato sono:
Pro: Big Tech ottimizza il proprio hardware per consumare meno, sfrutta datacenter green, li raffredda anche utilizzando l’aria esterna bla bla Contro: Big Tech utilizzando algoritmi di Machine Learning che hanno consumo di corrente elevato e richiedono processori dedicati, fabbricati con materie prime prese facendo danni ambientali in paesi del terzo mondo. Fonte per approfondire: Atlas of AI di Kate Crawford
Contro: Utilizzare i propri dispositivi piuttosto che i servizi cloud dovrebbe essere in qualche modo più ecologico. In generale è una argomentazione molto debole in quanto deve essere provata con dei dati che AFAIK non ci sono (se invece ci sono, sono felice di essere smentito).
-
Impatto sulla sicurezza: fare attacchi mirati a Google o in generale ai driver online o offline al tuo computer è in entrambi i casi molto difficile, il secondo non conviene al criminale informatico non avrebbe alcun guadagno dall’avere solo i tuoi documenti (a meno che non sei CEO salcazzo o parlamentare o qualcosa del genere, ma quello è un altro discorso). Assumendo che venga applicata correttamente la cifratura, è da preferire un drive cifrato online con zero knowledge da parte di chi ti fornisce il servizio. Vedi link: https://www.lealternative.net/2019/10/29/alternative-a-google-drive/
-
Privacy: Il modello di business di Big Tech è basato sulla analisi e vendita di dati personali. Se ti forniranno dei servizi cifrati (es Whatsapp) allora inizieranno ad analizzare i tuoi metadati, che non sono ovviamente cifrati. Per la maggiore parte delle persone, questo non è un problema e quindi può non essere una argomentazione, il Fediverso è frequentato da una nicchia di persone per cui invece la privacy è una killer feature.
-
Accesso ai documenti: questo in teoria andrebbe nel punto 2 però va be:
Rischio ambientale legato al cambiamento climatico, le alte temperature mettono a rischio i sistemi che mantengono l’energia elettrica Questo punto è un po’ apocalittico ad oggi 2023, ma sarà più concreto man mano che la temperatura media si alza in tutto il pianeta. Tuttavia con la tecnologia, data la grande disponibilità e la cultura dell’usa-e-getta, non riusciamo a ragionare nel medio-lungo termine e diamo per scontato tante cose. Mitigazione: vedi punto successivo
Impossibile accedere offline: apparte il punto precedente, immagina che un giorno non hai la connessione internet, o non hai la linea. Ti serve per forza accedere ai tuoi documenti personali ma l’app non te lo fa fare. Ovviamente controlla sempre che il Drive che usi consenta l’accesso anche da offline, non so se è il caso di Google.
Ban dell’account: il rischio è basso, ma se per qualsiasi motivo il tuo account viene bandito, perderai tutti i tuoi dati. Il supporto è notoriamente lento a rispondere e si potrebbe rifiutare di ripristinare l’account. Caso noto: https://www.theguardian.com/technology/2022/aug/22/google-csam-account-blocked
Se non fai i backup in modo appropriato, potresti perdere i tuoi documenti: questa è una argomentazione a favore del drive. Questo punto può essere mitigato se sei capace a fare un backup e segui le buone pratiche.
Comodità: Il drive è comodo, l’offline è scomodo.
In conclusione, se hai tempo o denaro o competenze/alfabetizzazione digitale o una combinazione delle precedenti, una soluzione che sia rispettosa della privacy, “green” e sicura si trova. C’è un articolo delle alternative che consiglio https://www.lealternative.net/2019/10/29/alternative-a-google-drive/
Se nessuna delle soluzioni proposte nell’articolo soddisfano la tua necessità, allora meglio Google Drive che avere i documenti offline.
Allora, partiamo da alcuni presupposti che penso sian fondamentali:
-
Che tipo di documenti personali? Leggendo la lista che hai dato credo sian più che altro documentazioni di lavoro che, bene o male, anche se finissero nel vasto web non sarebbe una problematica seria. Fastidioso? Certo. Problematico? Eh.
-
È quasi impossibile far veramente un discorso sull’impatto ambientale senza saper seriamente che tipo d’uso e casistiche d’utilizzo hai. E anche sapendo quello sarebbe un discorso incredibilmente approssimativo. Puoi calcolare magari quanti W/h finiresti per usare, ma questo dice ben poco sul vero impatto ambientale.
In linea di massima, però, parti dal pensiero che se puoi metter tutto su un Raspberry Pi, o tenertelo direttamente sul tuo portatile/fisso perché ti serve solo quando sei con il PC acceso, di sicuro l’impatto è inferiore a qualsiasi altra soluzione. Al contempo la riduzione non è sinceramente significativa a livello globale.
Con questi presupposti ti direi: Usa il servizio che è più comodo per il tuo uso, senza perderci troppo sonno.
Mettendo ciò da parte mi piacerebbe parlare, più in generale, del cloud: credo sia importante per le persone capire cosa significa mettere qualcosa “nel cloud”.
Il cloud è solo una collezione di computer da qualche altra parte. Qualcuno gestisce i servizi per te, dandoti in cambio dei tuoi soldi (o direttamente dei tuoi dati) una comodità, o rendendo meno oneroso per la tua azienda l’uso di un servizio (stai praticamente esternalizzando il reparto IT).
Quando usi un servizio cloud devi però tenere a mente questo:1- Per un attore malevolo avanzato più sei piccolo e meno sei interessante. Certo puoi aver litigato su qualche forum con xXxX420UberKringer69XxXx che in realtà è un esperto h4x0r, ma è abbastanza improbabile.
Questo significa che, generalmente, avere il tuo serverino in casa con le dovute minime accortezze (non lasciare tutte le porte aperte ed evitare di metterlo direttamente collegato alla rete esterna son già buoni passi, cosa che purtroppo in molti non fanno) è più sicuro di essere sul cloud di una qualche nuova startup che è recentemente esplosa in fama passando da 0 clienti a 10 milioni.
Perché, al contrario di quello che certi soggetti marketing vogliono farti credere, non si tratta di un “se” un servizio verrà bucato, ma di “quando”.
Più appetibili e numerosi sono i dati che un servizio contiene, più sofisticati diventano gli attacchi a cui deve far fronte. E non si tratta solo dell’hacker e degli 0-day ma anche, molto più spesso, di semplice ingegneria sociale (l’articolo di Wikipedia non è gran che, ma rende l’idea) che parte dal basso e pian piano scala i livelli di sicurezza, letteralmente truffando le persone e i sistemi informatici.2- Se è sul cloud significa che finché sia tu che i loro server hanno l’accesso ad internet, potrai accedere ai tuoi dati ovunque tu (o chiunque altro con i dati d’accesso) sia, il che oggigiorno non è male. Al contempo se tu, o loro, hanno problemi (magari perché soggetti ad un attacco di negazione del servizio ) allora i tuoi dati non saranno accessibili per tutta la durata del disservizio. Puoi ovviare a questo problema mantenendo una copia aggiornata locale, ma a questo punto, vale lo sforzo d’avere un cloud? Usa direttamente qualcosa come rsync o syncthing. Al contrario del punto di prima qui più un servizio è grosso più è improbabile che ciò abbia un impatto significativo. È più semplice fare un DDoS di lemmy.world che buttare giù github.com . Ma succede anche quello.
3- Quando metti qualcosa su internet devi esser sempre pronto al fatto che l’informazione venga trapelata, in un modo o nell’altro. Questa è una regola di base che è sempre sano tener presente.
4- Le aziende mentono o travisano la realtà attraverso il marketing. Spesso parlano di “Military-grade cryptography” o altri bei paroloni che, spesso, si traducono in un meno ampolloso “usiamo un qualche standard”. E, ancor più spesso, anche se quello che dicono è tecnicamente vero, alla prova dei fatti è ininfluente. Per esempio anche se il servizio offre la criptografia dei tuoi dati mentre non sono utilizzati (un esempio del concetto: Collegamento ), ma offre la decriptazione lato server, significa che sono loro ad avere la chiave ai tuoi dati: non tu! Questo significa che se i loro server vengono bucati è plausibilissimo che anche la chiave ai tuoi dati venga ottenuta in un modo o nell’altro.
Senza considerare che è sempre possibile che condividano i tuoi dati con agenti terzi, come forze di polizia o “business partners”. Ovviamente esistono centinaia di modi per prevenirlo, ma devi comunque fidarti che l’azienda prenda questi passi supplementari. Il che spesso significa spese maggiori per loro. Eh.5- Anche quando sono veramente crittografati e l’azienda non ha accesso alla chiave, può succedere che i loro server vengano bucati e i dati estrapolati: ci sono gruppi che mantengono i blob crittografati nella prospettiva che i computer di domani potranno bucarli, o perché abbastanza veloci, o perché si troverà una falla nello standard.
Questo non significa “non usare il cloud!” ma semplicemente che prima di usarlo bisogna tener presente quali sono i potenziali problemi. Un’azienda - o una persona - dovrebbe sempre fare una valutazione del rischio conscia prima d’inviare i propri dati, o quelli dei propri clienti, a qualche azienda terza.
-
Ne ho scritto un articolo sul blog (link) proprio l’altro giorno, riguardo i password manager. In quel caso, io sono assolutamente per una soluzione locale perché si ha controllo sui propri dati sensibili.
Le uniche suite che hanno senso usate “online” sono quelle che permettono una collaborazione in tempo reale a un qualche file.
Ove possibile, sono per l’utilizzo in locale e poi una sincronizzazione in cloud al momento del salvataggio (Dropbox, OneDrive, ecc.), soprattutto per evitare sprechi computazionali non necessari in cloud.