In famiglia sono il più “tech-savvy”, e questo significa che ogniqualvolta ci siano difficoltà, più o meno banali, con tutto ciò che riguarda la “tecnologia”, io sia coercitivamente chiamato in causa.
“…e chi chiamerai? Ghooostbusters ephestione!“
Ebbene, stavolta è stato il turno di un parente medico, alle prese con il sistema di certificazione online per l’INPS, e per certificati di malattia di vario tipo; arrivo senza sapere quale sia il problema reale, ma sapendo comunque che, da qualche parte, l’inghippo si troverà. Cominciamo dall’inizio.
L’indirizzo del sito è www.sistemats.it, e prima di realizzare che si legge “sistema T-S”, l’istinto è di pronunciarlo “sistemaz”. Un altro nome potevano trovarlo. Il conforto però giunge quando, inserito l’URL nella barra degli indirizzi del browser, si viene ridiretti al seguente URL:
http://sistemats1.sanita.finanze.it/wps/portal/
Che senso ha? Anche se il sito è ospitato sui server del ministero delle finanze, avrebbero potuto mantenere sistemats.it come dominio root, per coerenza.
Cliccando sul link home, l’URL diventa magicamente qualcosa tipo (tenetevi forte):
http://sistemats1.sanita.finanze.it/wps/portal/!ut/p/c1/04_SB8K8xLLM9MSSzPy8xBz9CP0os_gwL2dLZwODYAP_UG9jA6MAf3Mvk6AQAwMPM30_j_zcVP2CbEdFAGkQrCE!/dl2/d1/L2dJQSEvUUt3QS9ZQnB3LzZfVkpDOUMwMFMwT1VLMzAyUE83SjRSVDAwSDY!/
I cookie di sessione dove li abbiamo dimenticati?
Fin qui, il problema non si pone molto, in fondo una volta arrivati sul sito X, chi è che torna a guardare cosa si trova nella barra degli indirizzi? (e questo è un motivo per cui molte persone rimangono vittima di scam e spoof di vario tipo.)
Una prima considerazione è d’uopo: molti medici, soprattutto i più “grandi”, a meno di non possedere uno spiccato interesse personale verso l’informatica, una volta messi davanti ad un pc sono delle vere e proprie capre (in senso buono, s’intende). L’obbligarli a rilasciare certificazioni unicamente per via non solo digitale, ma per giunta telematica, ha imposto su di essi un onere umano immenso; inoltre, lasciati a sé stessi, con in mano degli sterili fogli arrivati per posta, che pretenderebbero di spiegare in modo chiaro il funzionamento del sistema, fornendo allo stesso tempo i dati di accesso composti da codici alfanumerici, significa averli persi per sempre nei meandri di un universo sconosciuto e spaventoso.
Ora, questa è la pagina home del sito. Non so voi, ma io ho dovuto impiegare una buona manciata di secondi per trovare la sezione per autenticarsi. Mi sarei atteso un modulo di login con i campi per nome utente e password in alto a destra, oppure un link “Login/Entra/Accedi” ben visibile nel menu, ma non riuscivo a trovare nulla del genere. La mia banner-blindness mi ha impedito di far caso all’icona nell’angolo in alto a destra, con il link apposito. Risolto, penserete? Macché.
Subito dopo aver cliccato sul link per “accedere con credenziali” ci si trova di fronte a questo. Nessun problema per me, immagino sia privo di rischi l’accettare un certificato proveniente dal ministero delle finanze, ma ricordate che stiamo parlando di qualcosa rivolto ai medici di famiglia, capre davanti ad un computer. Cosa fa il medico in questo caso? Giustamente, perso nell’universo parallelo del digitale, usa un mezzo a lui ben noto, il telefono, per mettersi in contatto col servizio di assistenza. Risposta?
Deve avere qualche problema di sicurezza con l’antivirus
Tralasciamo, dopotutto alla fine ha fatto una cosa sensata, ed invece di disattivare AVG (ammesso che sarebbe riuscito) ha deciso di chiamar me.
Quindi accetto il certificato e proseguo, mi trovo ora davanti a quello che dev’essere il form di login più userfriendly della storia:
Il livello di zoom della pagina nel browser non è stato modificato in alcun modo, anzi, per sicurezza, in Firefox ho anche cliccato su Visualizza>Zoom>Reimposta. Mentre io sfruttavo la mia vista ancora buona, il medico accanto a me si ciecava strizzando gli occhi a 15cm di distanza dal monitor cercando di capire cosa ci fosse scritto a schermo. Se non altro, siamo rassicurati dal fatto che
Per qualunque chiarimento rivolgersi al proprio Amministratore di Sicurezza
Chi sarebbe costui?
Premo CONFERMA (perché non “Entra”?) contemplando il pulsante RIPULISCI (perché non “Cancella”?). E soprattutto, perché entrambi i pulsanti sono ombreggiati in modo da sembrare già premuti?
Mi autentico, cambio la password standard fornita dalla società che, per conto del ministero, gestisce il sistema, ed il medico comincia a prendere confidenza col pannello utente. Ma non prima di aver dovuto scegliere le domande di sicurezza. Sì, perché se yahoo e google ti permettono di scegliere tra “Come si chiama il tuo gatto” e “Qual era il nome della tua prima fidanzatina”, per tutelarti qualora dovessi dimenticare la password, il sito in questione ti chiede di scrivere a mano sia la domanda che la risposta, per due volte. Altri 5 minuti persi così aspettando che la fantasia ormai scossa del medico partorisse una coppia di domande di autenticazione.
Troviamo il link per “Inviare un certificato (medico)”, finalmente. Ci si clicca sopra, e ricompare un secondo errore da Firefox per un certificato di sicurezza non riconosciuto, ma ormai siamo preparati all’imprevedibile e superiamo l’ostacolo. Un paio di giri di prova con logout seguito da login autonomo del medico, per accertarsi che avesse acquisito il metodo, e via verso nuovi orizzonti.
Tornato a casa, mi sono voluto divertire anche ad esaminare il sito dal lato tecnico. Per prima cosa, i badge di XHTML e CSS del W3C (quanti siti li mettono in mostra senza usare codice validato). Il sito è in XHTML 1.0 valido (persino strict), mentre il badge del CSS punta alla pagina del validator vuota, senza specificare di validare automaticamente il link referer; quindi non mi sono dato la pena di inserire a mano l’URL, mi fido.
Veniamo al sorgente, vero aspetto in cui il sito si distingue. Non bene, ma l’importante è che si distingua.
La prima riga di codice è la specifica del DOCTYPE, e si trova alla quindicesima riga, le 14 righe precedenti sono vuote, le ultime due di queste contengono alcuni spazi randagi prima del carriage return.
La riga successiva, il tag di apertura <html>, si trova alla riga 34.
Il codice prosegue così, tra fulgidi biancori di righe desertificate, ed un numero straordinariamente elevato di <!--commenti html--> lasciati dovunque, alcuni con abbondante markup html inutilizzato, altri con commenti veri e propri riguardo al codice.
Il più caratteristico comincia così:
<!-- Modifiche Anto 2007-11-14 R1.1 [...]
Passando il codice HTML della homepage nel servizio HTML minifier (che rimuove tutto ciò che non viene visualizzato, quindi non solo spazi tabulazioni e carriage return, ma anche, appunto, i commenti) i bytes da scaricare si riducono nientemeno che del 43%. Per confronto, ho eseguito lo stesso test con alcune pagine di un sito il cui codice è stato interamente scritto da me, e la compressione si aggira attorno al 10%.
Che altro dire?
sito fatto con i piedi (o altra parte del corpo a scelta) a parte, non credo che nell’anno di grazia 2010 possa (o debba) esistere un professionista degno di defnirisi tale che possa rimanere “informaticamente ignorante”.
aggiornarsi, quindi, mi sembra una necessità non procrastinabile.
Sono d’accordo sul fatto che la competenza minima per utilizzare una webmail (e in generale per effettuare registrazione, login, e navigazione attraverso pagine e funzioni diverse dei servizi web) dovrebbe essere di pubblico dominio; purtroppo, ti sfido a trovare un (quasi) sessantenne, qui in italia, per quanto bravo e aggiornatissimo riguardo alla sua professione (se non relativa all’IT), in grado di svolgere questi compiti con disinvoltura. E’ già tanto che sappia dire buongiorno, buonasera, grazie ed arrivederci in lingua inglese.
Non sono d’accordo d’altronde con l’estremismo di quello che dici… in sala operatoria preferirei essere “aperto” da un mago del bisturi che non sa distinguere “Invio” da “Barra spaziatrice”, piuttosto che da un appassionato di informatica come me di cui però non conosco il background di competenze specifiche.
Comunque, questo sfogo era più che altro rivolto, proprio come dicevi tu, a criticare l’estrema sufficienza con cui vengono creati i siti istituzionali, da parte di “professionisti” (per riprendere il nostro discorso) che nell’IT ci lavorano, ma sono in proporzione più “informaticamente ignoranti” del chirurgo che non sa usare il pc, ma almeno il suo lavoro lo fa benissimo 🙂
https://sistemats2.sanita.finanze.it/simossHome/passwordDimenticata.do?utente=codicefiscaleutente si acede alla pagina di ripristino…. e se l’ho beccata io è tutto dire sulla sicurezza del sistema….
Grazie Mara per aver aggiunto questa perla 🙂
Per una volta, a difesa del sito, certo ti basta conoscere il C.F. del tuo medico di fiducia per “tentare la fortuna”, tuttavia devi indovinare le risposte che ha fornito; nel mio caso ne ricordavo solo una della persona per cui effettuai la registrazione, ma credo che se anche avessi indovinato la seconda, la nuova password sarebbe stata inviata all’indirizzo di posta elettronica del medico, e non sarebbe stato garantito l’accesso a schermo.
Per ora insomma, tutto “normale”, è una procedura in linea con quella normalmente usata da tutti i siti, sicché conoscere il CF o altro identificavo non aiuta in realtà nell’intento di ottenere le credenziali.
Purtroppo non riesco ad entrare nel sito per l’invio della certificazione : C.U.D. dei medici dipendenti-USL. grazie. cordiali saluti a Tutti.
Paolo,
mi dispiace, ma io non sono affiliato in alcun modo col sito internet delle certificazioni, e non fornisco il supporto per il suo uso, immagino che tu debba cercare su quel sito i contatti del servizio tecnico per segnalare il problema.
Ciao Ephestione,
chi ti parla e’ una mosca/capra bianca nel gregge della medicina generale 🙂 condivido al 100% ogni singola cosa rilevata nell’orrido sito e descritta con un humour in un mix di stupore/orrore da tecnico specialista. Io, da eccezione che conferma la regola, da informatico non specialista ma appassionato da sempre che milioni di anni fa si e’ fatto da se’ un programma di gestione della medicina generale in visual basic per dribblare la scrausa scelta di default e a cui poi naturalmente ha dovuto soccombere, ti posso dire che anche se ti sembrera’ strano, quello che hai rilevato non e’ l’elemento piu’ drammatico del “sistemaz”; ma non avevi gli elementi per notarlo e a dire il vero quasi nessuno lo ha fatto. La comune banner blindness censura il sottotitolo “monitoraggio della spesa sanitaria” del portale perche’ se si parla di “ricetta elettronica” per risparmiare tonnellate di carta e di tempo, cosa sacrosanta, nessuno dice che un domani la rete di servizi regionale (da noi SOLE) fara’ passare attraverso questo stesso portale per accedere al SAC (servizio di accoglienza centrale) i codici di ogni singola prescrizione medica effettuata. Tenuto conto che il portale gia’ salta regolarmente con i certificati di malattia e che i dati che trotterellano sulle nostre Asincrone DSL viaggiano a un quarto di 1-2 megabit per secondo in uploading, quanti millisecondi impieghera’ la megamole di dati a far saltare perennemente il portale? Con conseguente cronico inchiodamento ambulatoriale? Ma niente paura!; come recita la documentazione scaricata dal portale stesso basta entrare, autenticarsi, e seguire LE TRE PAGINE A VIDEO DA RIEMPIRE MANUALMENTE PER OGNI RICETTA. Un incubo!! Ci sono stati gia’ due rinvii (“non prorogabili”) ma nessun adeguamento ne’ di infrastruttura ne’ di “terrible software”. Ma nel paese delle banane informatiche questo e’ la regola. Ci sarebbe da dire per ore sull’adozione di architetture paleolitiche in sanita’, la mancanza di standard, la mancanza di cartella clinica centralmente condivisa, dell’uso delle VPN come “reti orrizontali” per recuperare dati sparsi sul territorio, etc. etc. Grazie per aver scoperchiato il vaso di pandora a cui sembra nessuno interessi. Ciao, Alberto 🙂 PS bello il link al framework mule; al momento collaboro ad un progetto open source che riguarda un framework java di home automation, freedomotic. Progetto meno ambizioso ma in continua evoluzione
Grande Alberto,
grazie del tuo prezioso intervento.
Sono anche io un collega, perlomeno specialista al punto tale da non dover sottostare a obblighi di piattaforma. Come al solito comunque, da italiani siamo resilienti e ci si adatta, il primo periodo buio è passato anche se le criticità rimangono… il non essere stato più “convocato” per consulenze varie è testimone della quiete dopo la tempesta…