In famiglia sono il più “tech-savvy”, e questo significa che ogniqualvolta ci siano difficoltà, più o meno banali, con tutto ciò che riguarda la “tecnologia”, io sia coercitivamente chiamato in causa.
“…e chi chiamerai? Ghooostbusters ephestione!“
Ebbene, stavolta è stato il turno di un parente medico, alle prese con il sistema di certificazione online per l’INPS, e per certificati di malattia di vario tipo; arrivo senza sapere quale sia il problema reale, ma sapendo comunque che, da qualche parte, l’inghippo si troverà. Cominciamo dall’inizio.
L’indirizzo del sito è www.sistemats.it, e prima di realizzare che si legge “sistema T-S”, l’istinto è di pronunciarlo “sistemaz”. Un altro nome potevano trovarlo. Il conforto però giunge quando, inserito l’URL nella barra degli indirizzi del browser, si viene ridiretti al seguente URL:
http://sistemats1.sanita.finanze.it/wps/portal/
Che senso ha? Anche se il sito è ospitato sui server del ministero delle finanze, avrebbero potuto mantenere sistemats.it come dominio root, per coerenza.
Cliccando sul link home, l’URL diventa magicamente qualcosa tipo (tenetevi forte):
http://sistemats1.sanita.finanze.it/wps/portal/!ut/p/c1/04_SB8K8xLLM9MSSzPy8xBz9CP0os_gwL2dLZwODYAP_UG9jA6MAf3Mvk6AQAwMPM30_j_zcVP2CbEdFAGkQrCE!/dl2/d1/L2dJQSEvUUt3QS9ZQnB3LzZfVkpDOUMwMFMwT1VLMzAyUE83SjRSVDAwSDY!/
I cookie di sessione dove li abbiamo dimenticati?
Fin qui, il problema non si pone molto, in fondo una volta arrivati sul sito X, chi è che torna a guardare cosa si trova nella barra degli indirizzi? (e questo è un motivo per cui molte persone rimangono vittima di scam e spoof di vario tipo.)
Una prima considerazione è d’uopo: molti medici, soprattutto i più “grandi”, a meno di non possedere uno spiccato interesse personale verso l’informatica, una volta messi davanti ad un pc sono delle vere e proprie capre (in senso buono, s’intende). L’obbligarli a rilasciare certificazioni unicamente per via non solo digitale, ma per giunta telematica, ha imposto su di essi un onere umano immenso; inoltre, lasciati a sé stessi, con in mano degli sterili fogli arrivati per posta, che pretenderebbero di spiegare in modo chiaro il funzionamento del sistema, fornendo allo stesso tempo i dati di accesso composti da codici alfanumerici, significa averli persi per sempre nei meandri di un universo sconosciuto e spaventoso.
Ora, questa è la pagina home del sito. Non so voi, ma io ho dovuto impiegare una buona manciata di secondi per trovare la sezione per autenticarsi. Mi sarei atteso un modulo di login con i campi per nome utente e password in alto a destra, oppure un link “Login/Entra/Accedi” ben visibile nel menu, ma non riuscivo a trovare nulla del genere. La mia banner-blindness mi ha impedito di far caso all’icona nell’angolo in alto a destra, con il link apposito. Risolto, penserete? Macché.
Subito dopo aver cliccato sul link per “accedere con credenziali” ci si trova di fronte a questo. Nessun problema per me, immagino sia privo di rischi l’accettare un certificato proveniente dal ministero delle finanze, ma ricordate che stiamo parlando di qualcosa rivolto ai medici di famiglia, capre davanti ad un computer. Cosa fa il medico in questo caso? Giustamente, perso nell’universo parallelo del digitale, usa un mezzo a lui ben noto, il telefono, per mettersi in contatto col servizio di assistenza. Risposta?
Deve avere qualche problema di sicurezza con l’antivirus
Tralasciamo, dopotutto alla fine ha fatto una cosa sensata, ed invece di disattivare AVG (ammesso che sarebbe riuscito) ha deciso di chiamar me.
Quindi accetto il certificato e proseguo, mi trovo ora davanti a quello che dev’essere il form di login più userfriendly della storia:
Il livello di zoom della pagina nel browser non è stato modificato in alcun modo, anzi, per sicurezza, in Firefox ho anche cliccato su Visualizza>Zoom>Reimposta. Mentre io sfruttavo la mia vista ancora buona, il medico accanto a me si ciecava strizzando gli occhi a 15cm di distanza dal monitor cercando di capire cosa ci fosse scritto a schermo. Se non altro, siamo rassicurati dal fatto che
Per qualunque chiarimento rivolgersi al proprio Amministratore di Sicurezza
Chi sarebbe costui?
Premo CONFERMA (perché non “Entra”?) contemplando il pulsante RIPULISCI (perché non “Cancella”?). E soprattutto, perché entrambi i pulsanti sono ombreggiati in modo da sembrare già premuti?
Mi autentico, cambio la password standard fornita dalla società che, per conto del ministero, gestisce il sistema, ed il medico comincia a prendere confidenza col pannello utente. Ma non prima di aver dovuto scegliere le domande di sicurezza. Sì, perché se yahoo e google ti permettono di scegliere tra “Come si chiama il tuo gatto” e “Qual era il nome della tua prima fidanzatina”, per tutelarti qualora dovessi dimenticare la password, il sito in questione ti chiede di scrivere a mano sia la domanda che la risposta, per due volte. Altri 5 minuti persi così aspettando che la fantasia ormai scossa del medico partorisse una coppia di domande di autenticazione.
Troviamo il link per “Inviare un certificato (medico)”, finalmente. Ci si clicca sopra, e ricompare un secondo errore da Firefox per un certificato di sicurezza non riconosciuto, ma ormai siamo preparati all’imprevedibile e superiamo l’ostacolo. Un paio di giri di prova con logout seguito da login autonomo del medico, per accertarsi che avesse acquisito il metodo, e via verso nuovi orizzonti.
Tornato a casa, mi sono voluto divertire anche ad esaminare il sito dal lato tecnico. Per prima cosa, i badge di XHTML e CSS del W3C (quanti siti li mettono in mostra senza usare codice validato). Il sito è in XHTML 1.0 valido (persino strict), mentre il badge del CSS punta alla pagina del validator vuota, senza specificare di validare automaticamente il link referer; quindi non mi sono dato la pena di inserire a mano l’URL, mi fido.
Veniamo al sorgente, vero aspetto in cui il sito si distingue. Non bene, ma l’importante è che si distingua.
La prima riga di codice è la specifica del DOCTYPE, e si trova alla quindicesima riga, le 14 righe precedenti sono vuote, le ultime due di queste contengono alcuni spazi randagi prima del carriage return.
La riga successiva, il tag di apertura <html>, si trova alla riga 34.
Il codice prosegue così, tra fulgidi biancori di righe desertificate, ed un numero straordinariamente elevato di <!--commenti html--> lasciati dovunque, alcuni con abbondante markup html inutilizzato, altri con commenti veri e propri riguardo al codice.
Il più caratteristico comincia così:
<!-- Modifiche Anto 2007-11-14 R1.1 [...]
Passando il codice HTML della homepage nel servizio HTML minifier (che rimuove tutto ciò che non viene visualizzato, quindi non solo spazi tabulazioni e carriage return, ma anche, appunto, i commenti) i bytes da scaricare si riducono nientemeno che del 43%. Per confronto, ho eseguito lo stesso test con alcune pagine di un sito il cui codice è stato interamente scritto da me, e la compressione si aggira attorno al 10%.
Che altro dire?
