Jitsi Meet è un’applicazione gratuita e open source per le videoconferenze. Al momento della sua presentazione, Jitsi Meet forniva evidenti rassicurazioni in tema privacy, affermando di utilizzare standard di sicurezza elevati al fine di proteggere la riservatezza, l’integrità e la disponibilità delle informazioni personali degli utenti. La piattaforma viene proposta con la licenza permissiva Apache 2.0 che consente agli utenti di utilizzare, modificare e distribuire il software senza restrizioni.
Nei giorni scorsi, i responsabili del progetto Jitsi Meet hanno annunciato che la loro soluzione non supporta più la creazione anonima di stanze su meet.jit.si ed è obbligatoriamente necessario effettuare l’autenticazione con un account Google, Facebook o GitHub. Il login avviene ricorrendo all’utilizzo del protocollo OAuth e l’elenco dei provider che forniscono l’attestazione dell’identità dell’utente sarà esteso nel prossimo futuro.
“Quando abbiamo avviato il servizio nel 2013, il nostro obiettivo era offrire un’esperienza di riunione con il minor attrito e la massima privacy possibile“, spiegano gli ideatori e gestori di Jitsi Meet. “Dall’inizio di quest’anno abbiamo riscontrato un aumento nel numero di segnalazioni ricevute su alcune persone che utilizzano il nostro servizio in modi che non possiamo tollerare“.
Jitsi Meet controlla l’account di colui che crea una nuova stanza online
Una serie di abusi inaccettabili nell’utilizzo del servizio di videoconferencing, ha quindi indotto i responsabili di Jitsi Meet al “giro di vite”. D’ora in avanti chiunque utilizzi la piattaforma, deve effettuare l’accesso con un account gestito da un altro soggetto (come Google, Facebook e GitHub).
La motivazione è sotto gli occhi di tutti: usando un account come Google, Facebook o GitHub per l’autenticazione, il fornitore di quello stesso account conosce l’identità dell’utente e ha già effettuato le opportune verifiche per accertarsi che il proprietario sia chi dichiara di essere. Quanto meno, conosce i suoi indirizzi IP pubblici via via utilizzati e spesso ha registrato anche almeno un numero di telefono personale dell’utente.
I gestori di Jitsi Meet spiegano che, in forza delle modifiche applicate ai termini del servizio e alla politica sulla privacy applicata, la piattaforma adesso provvedere a memorizzare il responsabile della creazione di ciascuna “stanza virtuale”. Le stanze sono gli ambienti in cui avvengono le videoconferenze, con gli utenti partecipanti che possono scambiarsi messaggi e file di ogni genere. In ogni caso, Jitsi Meet non è in possesso e non può utilizzare strumenti che possano compromettere la riservatezza delle conversazioni effettuate sulla piattaforma.
Jitsi Meet continua a supportare la crittografia end-to-end
Jitsi Meet supporta e continuerà a usare la crittografia end-to-end (E2EE): questo significa che nessuna terza parte e neppure il gestore della piattaforma può decodificare le informazioni trasmesse e ricevute durante l’utilizzo del servizio.
La novità introdotta in questi giorni, quindi, non cambia nulla rispetto alle specificità tecniche delle riunioni online che rimangono protette da un solido meccanismo crittografico. Ciò che cambia, invece, è proprio la memorizzazione del dato relativo al nome dell’account che organizza il meeting. Questo soggetto è ritenuto responsabile di eventuali violazioni: gli utenti di Jitsi Meet possono infatti segnalare eventuali abusi, così come era possibile fare anche in passato.
Le videoconferenze possono essere organizzate installando la piattaforma sui propri server
“È del tutto comprensibile che alcuni utenti possano sentirsi a disagio nell’utilizzare un account per accedere al servizio“, ammette Jitsi Meet. Nulla vieta, tuttavia, di installare la piattaforma su un proprio server. In questo caso, infatti, spetta all’utente decidere le eventuali modalità di autenticazione degli utenti che fanno uso del servizio. Inoltre, è possibile proteggere l’accesso al sistema applicando varie forme di protezione: in questo modo si può far sì che l’installazione di Jitsi Meet sia utilizzabile solo dai soggetti che ne hanno davvero titolo.
In un altro articolo abbiamo visto come creare un server per le videoconferenze in 10 minuti, capace di accogliere un numero illimitato di partecipanti. Allo scopo si può utilizzare un server cloud che, sempre connesso alla rete, permetta di gesti le riunioni online quando ve n’è effettivamente bisogno. Il tutto superando le eventuali limitazioni tecniche e di banda di una soluzione allestita in locale all’interno della propria infrastruttura.