Il concetto di reputazione
Visto che nel mio post di ieri ho parlato del concetto di reputazione applicato alle identità usate in Internet senza spiegarlo bene, ho chiesto a un amico che se ne occupa accademicamente di scrivere una introduzione all'argomento. Quello che segue è un guest post di Matteo Dell'Amico.
Come dice Marco, su Internet "l'anonimato è e sarà sempre alla portata di tutti e coloro che hanno intenzione di commettere un crimine sono i primi ad usarlo". Rendere impossibile l'anonimato è una battaglia persa in partenza: se ce ne rendiamo conto, possiamo prenderne atto e cercare di risolvere i problemi che abbiamo di fronte con altre strategie.
La crittografia — o comunque i sistemi di autenticazione — ci permettono piuttosto agevolmente di evitare che la nostra identità venga rubata; invece, siamo a corto di difese contro chi decide di creare una quantità essenzialmente illimitata di identità virtuali. Questo problema è conosciuto nella comunità della sicurezza informatica come Sybil attack (Sybil è un romanzo che ha per protagonista una donna con 16 personalità distinte).
Una delle strade più promettenti è quella della reputazione: nella "vita reale" noi non diamo la stessa importanza a chiunque, e diamo sicuramente più ascolto ad una persona autorevole o ad un caro amico che alla prima persona che incontriamo per strada. L'idea è quella di trasportare questo concetto nell'informatica, attribuendo — appunto — una reputazione ad ogni identità. Per chi si crea nuove identità a ripetizione è essenzialmente impossibile fare in modo che ognuna di esse riesca a crearsi una buona reputazione, che richiede tempo ed impegno. Chi, invece, si è costruito nel tempo l'immagine di un "buon netizen" può ottenere una credibilità e una visibilità maggiore.
Questi non sono solo discorsi accademici: i sistemi basati sulla reputazione esistono da molto tempo: per esempio, siti come Advogato e Slashdot li utilizzano da anni per premiare e mettere in evidenza gli utenti del sito che si sono distinti per la qualità dei loro contributi. Gli utenti con una buona reputazione hanno, di solito, maggior voce in capitolo nel costruire quella degli altri.
Non è necessario che sia un sistema centralizzato a calcolare la reputazione: dopotutto, la reputazione viene dai rapporti di fiducia tra gli utenti stessi e non è detto che il valore di reputazione di un utente debba essere lo stesso indipendentemente da chi lo valuta. Un esempio estremo di soggettività sono le reti sociali alla Facebook, in cui ogni utente seleziona a mano quali sono gli utenti da cui vuole ricevere informazioni.
Creare sistemi di reputazione efficaci, scalabili, resistenti agli attacchi e, magari, anche decentralizzati, non è semplice: è un problema di ricerca aperto che attrae un discreto interesse. Per chi vuole saperne di più, vi rimando al capitolo 2 della mia tesi di dottorato in cui sintetizzo lo stato dell'arte.