(quasi) Straordinario Opera Mini 4.1

E' da circa un anno che sul mio telefonino, un modestissimo Sony Ericsson W300i con connessione GRPS-EDGE, utilizzo Opera Mini per navigare in Internet. La valutazione? STREPITOSO.

Se avete un telefonino che supporta J2ME, ed è difficile che ce ne sia qualcuno che non lo supporta, dovete assolutamente utilizzare questo browser: semplice, intuitivo, veloce, usabile.

Inoltre Opera Mini ad ogni riavvio controlla on-line se ci sono nuove versioni disponibili e le propone all'utilizzatore.

Connessioni in HTTPS, siti con JavaScript, gestione dello schermata Web sul piccolo schermo del cellulare e altro non sono un problema per Opera Mini. Considerate che di solito è dal mio cell che leggo i blog su Google Reader, controllo il tempo, controllo i Bus in arrivo e molto altro ancora.

Che c'entra questo con la sicurezza? Mah...poco e niente a parte il fatto di rendere veramente "available" la navigazione su un Cellulare.

ADDENDUM del 28-8-2008

Ci sono dei risvolti dal punto di vista di sicurezza non secondari che mi sono stati fatti notare (giustamente) in un commento.

Di fatto il traffico Web è proxato dai server di Opera che, una volta ricevuta la request dal cell, ottengono il response dal server Web puntato e rimodulano la pagina inviandola al telefonino una volta adattata per massimizzare visibilità e velocità. Questo vale anche per le credenziali.

Tutto questo presuppone un grosso trust dell'utente ad Opera che di fatto fa un Man In The Middle.

C'è anche da dire che la società non nega in nessun modo le modalità operative e rende disponibili nelle proprie FAQ gli aspetti di security & privacy implicati dalle loro scelte architetturali.

Questo quello che afferma Wikipedia:

When using Opera Mini 4.0 or 3.0 Advanced, the connection between the mobile device and the proxy server is always encrypted for privacy and security. The encryption key is obtained on the first start by requesting that the user press random keys a certain number of times. When using Opera Mini 3.0 Basic, the connection is not encrypted. Opera Mini has received some criticism because it does not offer true, end-to-end security when visiting encrypted sites such as PayPal.com. When visiting an encrypted web page, the Opera Software company's servers decrypt the page, then re-encrypt it themselves, breaking end-to-end security.

Questo quello che afferma invece la società a riguardo della Security:

Does Opera Mini support encrypted connections?
Yes. Information sent between your handset and the Web site is encrypted in the advanced version of Opera Mini 3.0 and newer versions. In the basic version of Opera Mini 3.0, and in older versions, there is no encryption between your handset and the Opera Mini servers. See a more detailed explanation here.

Is there any end-to-end security between my handset and — for example — paypal.com or my bank?
No. If you need full end-to-end encryption, you should use a full Web browser such as Opera Mobile. Opera Mini uses a transcoder server to translate HTML/CSS/JavaScript into a more compact format. It will also shrink any images to fit the screen of your handset. This translation step makes Opera Mini fast, small, and also very cheap to use. To be able to do this translation, the Opera Mini server needs to have access to the unencrypted version of the Web page. Therefore no end-to-end encryption between the client and the remote Web server is possible.

Can Opera Software see my passwords and credit card numbers in clear text? What is the encryption good for then?
The encryption is introduced to protect the communication from any third party between the client (the browser on your handset) and the Opera Mini transcoder server. If you do not trust Opera Software, make sure you do not use our application to enter any kind of sensitive information.

Questo quello che afferma invece la società a riaguardo della Privacy:

How does Opera protect my privacy?
Opera does not store any users' private information. Opera generates statistics of the usage of Opera Mini, but these are aggregated numbers and no information can be linked to a single user. All information gathered by Opera Mini is subject to Norwegian laws regarding personal data. More information about the Norwegian Personal Data Act and Regulations can be found here.

What kind of data does Opera store on the server? Will filled-in data like credit card numbers be stored, or possibly cached?
No, the servers will not store any such data.

Beh mi sembrano, almeno, onesti intellettualmente no? :-)

Se avete un J2ME con MIDP 2 allora la versione di Opera Mini è quella Advanced (basta controllare che nel nome del file donwloadato vi sia il suffisso "advanced") e la connessione tra il cell e il server di Opera è cifrata.

The communication is protected by 256 bit RC4 and the key exchange is done by
1280 bit RSA. All hashes are created using SHA-256. These are the algorithms
used by most SSL sites today.

Del resto se mi fido:

• dell'esercente quando gli do la mia carta di credito;
• di Gmail e di altri provider di posta elettronica quando ricevo i vari messaggi con le password di accesso ai vari portali;
• di PayPal che detiene il mio numero di carta di credito;
• di Amazon e di tutti i portali di e-commerce che si prendono il numero della carta;
• del mio ufficio e degli Amministratori di rete che magari hanno installato un Proxy non proprio trust
• etc.

Penso che continuerò a trustuare Opera Mini e a concedermi il lusso e la comodità di avere Internet in tasca :-)

Del resto c'è sempre un trade-off tra Security & Usability.