Archivio mensile:febbraio 2008

L’insostenibile leggerezza dell’open source

So già che questo provocherà una certa quantità di vaccate scritte nei vari commenti, ma tant’è… Certi personaggi sono disposti a cancellare le pagine che fanno scandalo, io no. Parlerò anche di questo, ma non oggi.

Oggi voglio fare una capatina nel mondo del magico Open Source. Quello della “sicurezza perchè tutti posssono guardare il codice” e del “rilascio delle patch di sicurezza rapido perchè ci lavora un sacco di gente”.

Basta una ricerca su internet per vedere che questo è un po’ il leit motiv di un sacco di pagine. Ok, ora prendiamo uno dei progetti più famosi in ambito open source, e cioè il Panda Rosso (si, Firefox è una specie di panda minore dal pelo rosso, anche piuttosto rara).

Orbene, ieri è stata rilasciata la versione 2.0.0.12 che corregge 12 bug di sicurezza, cosa anche piacevole. Sorprendentemente, però, manca la correzione di un piccolissimo bug, noto da tempo che del quale potete trovare una pagina demo su heise-security: attivate i javascript, seguite leistruzioni e godetevela.

O forse ripensandoci non è molto strano, visto che heise securitiy ha reso noto il bug il 22 Novembre 2006, la bellezza di 15 mesi fa.
Sono stupito sinceramente che un bug del genere non sia ancora stato corretto.

Secondo le dichiarazioni presenti a questa pagina, Mozilla Foundation ha dichiarato:

Mozilla developer Gavin Sharp confirmed that the developers are aware of that problem. Indeed, there were controversial discussions of the issue in the bug database, but further measures were discarded. Automatically entering passwords in other pages increases the user-friendliness on sites with several login pages. And even if this functionality is removed, this does not mean that passwords cannot be stolen.

Ossia: chissenefrega, tanto le password possono essere rubate lo stesso, se un attaccante modifica la pagina del server.

Certo, però ricordiamo che smepre secondo la ricerca di heise, il bug in questione fornisce le pwd memorizzate di qualsiasi pagina che abbia un form simile a quello nel quale vengono memorizzate le password dal manager.

Uno dice: eh, ma c’è noscript e una tonnellata di estensioni. Si, ma l’utente medio, di default, quella roba non la installa.

Ritengo che in questo caso si sarebbe dovuto fare qualcosa di più. Il bug esiste ed è grave. E la maggior parte degli attacchi di phishing si basano proprio su form simili a quelli di siti affidabili. Facilitare così la vita di un phisher, mi pare una mossa un tantino azzardata… Faster, Safer, Better? Chissà.

-Miauz!

Ars Amanuensi

Qual è la vostra strategia di backup? Questo il titolo di un interessantissimo post di Jeff Atwood. L’ho letto qualche giorno fa, giusto prima di upgradare il mio sistema (sono passato, finalmente, a 3 Ghz e 1 GB Ram), post che termina con due frasi spassosissime:

If backing up your data sounds like a hassle, that’s because it is. Shut up. I know things. You will listen to me. Do it anyway.

La cosa veramente tragica di tutto questo, è che ho scoperto nel modo più doloroso quanto Jeff avesse ragione: chiaramente, gli hard disk erano sempre gli stessi, ma sulla macchina ho cambiato scheda madre, processore, e ram… Vado per avviare, e dopo un primo momento in cui la barra di caricamento di Vista va agile, mi compare per un microsecondo il BSOD, seguito da un riavvio istantaneo. Ok. No panic. Dopo aver accertato che probabilmente Vista non riconosceva più una cippa di hardware, ho pensato bene di reinstallare in agilita, senza formattare. Agile, sbatto il dvd nel lettore, riavvio, installo. Riavvio, boot loader che fa casino come al solito e pensa di avere due copie di vista invece che una, avvio copia, BSOD. Seconda reinstallazione: idem come sopra. A questo punto, a malincuore, devo radere al suolo l’hard disk ed installare a sistema pulito. Peccato che così abbia perso un po’ di roba. Non tanta, per fortuna, ho imparato a mettere i miei dati su partizioni diverse da quella di sistema, ma rimane sempre un trauma reinstallare tutti gli applicativi. Per cui, mi armo di pazienza, e si, Jeff. Avevi ragione. Ergo, mi armo di hard disk, che ne ho due che non so dove piazzare, lo rado al suolo, e lo uso come unità di backup esterna, usando il prode backup di windows. Da notare, l’hard disk di backup è da 40 giga. Io, sbattendomene allegramente, faccio 3 backup… Due da 10 giga l’uno e l’ultimo mi è risultato da 20 Giga. Spazio esaurito? Nemmeno per sogno: il backup di Vista è impressionante, finalmente una utility da usare veramente: il backup è incrementale, per cui vengono registrati i cambiamenti. Quindi alla fin della fiera ho un backup integrale della partizione da 20 giga… Quindi, che dire:

Si, il backup è noioso. Una rottura. Zitti. Io conosco queste cose. Dovete ascoltarmi. Fatelo lo stesso. 😀

 

 

Ah, quasi scordavo, un paio di note a margine: il backup è estremamente veloce. Mi ci ha messo, per 20 giga, non più di 20 minuti. La seconda è che le 3 installazioni di Vista le ho fatte in circa un’ora e mezza, pause incluse.