Entries from Gennaio 2009 ↓

Una cliente è in possesso legittimo delle licenze d’uso di un costoso e utilissimo programma di CAD tridimensionale. Il sistema di gestione delle licenze di questo programma risiede su un server oramai dismesso; viene quindi richiesta al fornitore la procedura per migrare il programma di gestione delle licenze su un altro server.

Arriva la mail con una procedura apparentemente semplice e il nuovo file delle licenze. La prima sorpresa è la scoperta che il file delle licenze è legato al MAC address della scheda di rete. Oltre all’opinabilità di una scelta simile, ci accorgiamo presto che dobbiamo disabilitare la ridondanza delle due schede di rete del server, introducendo un insensato single point of failure nel medesimo.

Una volta installato e configurato il software di gestione, ci accorgiamo che nei client il nome del server che gestisce le licenze è disseminato in vari file; poco male: i file hosts e lmhosts sono lì apposta.

Una volta avviato il programma sul client ci accorgiamo che il file di licenze rilasciato deve essere convertito in un nuovo formato attraverso un’appliance presente sul web del fornitore. Ma non potevano farlo loro prima di mandarci il file o mandarci il file in entrambi i formati?!

Ci colleghiamo con le credenziali già in nostro possesso (ovvio: siamo utenti paganti registrati) al sito, ma scopriamo che il nostro account non può eseguire l’appliance e dobbiamo contattare il fornitore. Notare che l’account è il medesimo al cui nome è intestata la licenza.

Morale: dopo varie imprecazioni e altri problemi taciuti in questo testo per pietà verso i miei due lettori gettiamo mestamente la spugna, evitiamo di bloccare ulteriormente il lavoro dell’azienda e ci teniamo il vecchio server, confidando nell’intervento di qualcuno che sia in grado di recitare le rune necessarie per completare con successo questa operazione.

Compiendo un piccolo salto nel passto di una ventina d’anni, molti studi che utilizzavano AutoCAD e altri pogrammi ad esso correlati acquistavano le licenze legittime, ma utilizzavano le versioni pirata perché le varie chiavi hardware necessarie per i diversi programmi andavano in conflitto tra loro e impedivano l’uso legittimo del software.

Vent’anni di informatica e non è cambiato nulla: chi si comporta in modo onesto e regolare finisce per avere meno diritti d’utilizzo legittimo e più impedimenti rispetto a chi utilizza versioni illegittimamente sprotette del medesimo programma.

Il commercialista mi ha informato sulle novità delle varie leggi e manovre delle ultime settimane. Tra queste mi salta all’occhio l’obbligo immediato per le nuove aziende e differito per quelle esistenti di dotarsi di un indirizzo di posta elettronica certificata (PEC). I dettagli della legge li potete leggere sul sito del Sole.

La PEC è stata normata in Italia qualche anno fa, quando è stata introdotta una legge che consentiva di diventare fornitori di PEC di fatto solamente alle Poste e alle banche. In quel periodo c’era in ballo anche la PEC per la pubblica amministrazione (PA): ogni ente della PA (comuni, prefetture, regioni…) dovevano avere un indirizzo PEC. Iniziativa lodevole nell’intento, ma abbastanza incasinata nell’implementazione: dal momento che (ipotizziamo) un Comune può avere un solo indirizzo PEC, i dipendenti di quel Comune devono comunque rivolgersi all’addetto della PEC per inviare un messaggio. È facile intuire che lo strumento è poco pratico: tanto vale stampare un documento firmarlo, timbrarlo, imbustarlo e passarlo alla segretaria perché lo smisti. Con buona pace del paperless office.

La PEC sta avendo ancora poco successo e i provider di PEC che hanno speso fior di quattrini per mettere in piedi le strutture previste dalla legge si trovano con pochi clienti.

Ecco che arriva la legge che obbliga tutte le nuove aziende e i professionisti ad avere la PEC. E quando avremo tutti la PEC cosa ce ne faremo? Io e il mio commercialista ci scambiamo già documenti via posta elettronica e ho la ragionevole certezza che le comunicazioni siano legittime e veritiere, anche se nessuno di noi due firma i messaggi con certificati, forti o leggeri che siano.

Mi chiedo come possa servire la PEC alla salumeria o all’officina che apre in zone rurali o montane dove non arrivano né ADSL né UMTS, a parte offrire un appiglio per sanzionare l’azienda in caso di controlli.

Anziché imporre ex lege l’utilizzo della tecnologia, sarebbe stato meglio fare in modo che alle aziende e ai professionisti convenisse utilizzare la PEC, magari partendo dal dialogo con la PA; in questo modo l’azienda o il professionista percepirebbe la dotazione della PEC come infrastruttura necessaria al pari di una linea telefonica o il contratto con il fornitore di energia elettrica, non come l’imposizione di uno strumento inutile.

Per citare una frase classica dei necrologi, il Dr. Dobb’s Journal ci lascia nella forma in cui lo conosciamo dopo lunga e penosa malattia.

Chi ha cominciato a scrivere software alla fine degli anni ‘80 quando le risorse online in Italia erano le aree echo della FidoNet sa che il Dr. Dobb’s Journal costituiva una risorsa notevole, sia per gli articoli, sia per gli inserti pubblicitari che conteneva.

La rivista trattava in maniera molto professionale vari aspetti della programmazione legati ai singoli linguaggi o dedicati alla teoria degli algoritmi. Tramite gli inserti pubblicitari si poteva scoprire che un software o una libreria specifica era più conveniente acquistarla presso il Programmer’s Paradise piuttosto che direttamente dal distributore ufficiale.

Già con l’avvento di Windows 95 la testata si era arroccata su posizioni eccessivamente anti-Microsoft e pro-Java, comportamento che mi ha indotto ad abbandonarne la lettura abituale. Le ultime copie che ho sfogliato erano solamente una sottile ombra della rivista di un tempo.

Da quest’anno la testata chiude per confluire in Information Week e per potenziare la parte online. Auguro al Dr. Dobb’s Journal se non un futuro prospero, quantomeno un futuro migliore di quello che è toccato a OMNI quando ha intrapreso la medesima strada.

Addio Dr. Dobb’s Journal e mille grazie per tutto quello che abbiamo imparato leggendo i tuoi articoli.

HyperB5, la risorsa italiana su Babylon 5, si rinnova passando da documenti HTML statici ad un motore di visualizzazione dinamico basato su PHP e MySQL.

La notizia per me è ancora più bella in quanto Steve, il curatore del sito, ha deciso di adottare il motore di visualizzazione di HyperTrek, disponibile gratuitamente con licenza GNU GPL.

Non è certo mia intenzione pormi al livello di gestori di contenuti quali, a titolo di esempio, WordPress o Joomla, in quanto il motore di HyperTrek è assai specifico e ottimizzato per guide su serie televisive. Il motore di HyperTrek manca di un sistema di gestione dei contenuti degno di questo nome, che esiste e fornisco tranquillamente su richiesta ma non è affatto di qualità pubblicabile (ci sto lavorando per metterlo online senza vergognarmi).

Inoltre il motore di HyperTrek non è deliberatamente collaborativo, nel senso che non si basa né sul concetto di wiki dove tutti possono scrivere (e cancellare) né sul concetto di blog dove tutti possono commentare (e spammare). Probabilmente questa è una limitazione, ma non è nemmeno detto che tutti i siti del web debbano sempre e comunque permettere i commenti di ogni visitatore, anche perché chi gestisce il sito potrebbe non avere tempo per vagliare i commenti.

I due punti forti, a mio avviso, del motore sono la modularità con cui si possono costruire le pagine di diverso layout e il fatto che il motore di visualizzazione acceda in sola lettura all’archivio dei dati, rendendo poco efficace qualsiasi tentativo di SQL injection che sfrutterebbe eventuali problemi di sicurezza del motore.

Steve sta ancora lavorando alla conversione delle pagine HTML, lavoro che so essere molto lungo e oneroso. Consiglio ogni tanto di passare a dare un’occhiata alla nuova versione del sito e segnalare eventuali imprecisioni ai gestori, aiuto sempre apprezzato da chi tiene alla qualità dei contenuti di ciò che pubblica.

L’ultimo giorno del 2008 è stata presentata con dati di fatto verificabili la prova che i certificati di sicurezza basati sugli algoritmi a chiave pubblica verificati con hash MD5 dono da considerare non sicuri.

Anche questa volta il problema è molto tecnico, ma potrebbe avere ripercussioni sulla sicurezza di molti utenti. Fortunatamente, le autorità di certificazione (CA) che utilizzano ancora MD5 sono poche e cambieranno l’algoritmo in breve tempo, in quanto sono state avvisate prima della pubblicazione della ricerca.

La verifica della validità di un certificato di sicurezza (quello che provoca la visualizzazione di un lucchetto chiuso nel browser quando si visitano siti considerati sicuri) non avviene confrontando i certificati veri e propri ma confrontando delle sequenze di numeri ottenute applicando un algoritmo particolare (l’algoritmo di hash) al certificato originale. In questo modo si evita di spedire in chiaro il certificato stesso. Questo sistema è utilizzato per verificare o registrare le password di molti sistemi ed è il motivo per cui il vostro amministratore di sistema vi dice che non può dirvi la vostra password, ma la può solamente cambiare.

Gli algoritmi di hash sono (o dovrebbero essere) tali per cui non sia possibile risalire al dato originale conoscendo solamente l’hash e sia molto difficile modificare ad arte un documento in modo tale che l’hash dell’originale e della versione contraffatta siano uguali.

Purtroppo quello che un gruppo di persone è riuscito a fare è proprio questo: ha creato un certificato modificato ad arte che ha lo stesso hash (che non va confuso con la firma elettronica, sono due cose differenti) del certificato originale, rendendo possibile ingannare gli utenti.

Non è, comunque, il caso di allarmarsi perché l’algoritmo MD5 è utilizzato oramai da poche autorità di certificazione ed è in fase di dismissione; al suo posto vengono utilizzati SHA-1 e SHA-2, che, per ora, sono sicuri.

Va notato che già nel 2007 era stata dimostrata la poca sicurezza di MD5 ed era noto che la possibilità di creare questo tipo di attacco era solamente questione di tempo e volontà. Inoltre i ricercatori hanno sfruttato dei comportamenti prevedibili di un’autorità di certificazione che rilascia certificati con hash MD5.

Come detto, il rischio è molto limitato, ma chi volesse evitare di considerare validi i certificati firmati dalle CA che utilizzano ancora MD5 può installare il plugin di Firefox SSL Blacklist e stare tranquillo, almeno fino alla prossima falla del sistema.