Entries Tagged 'internet' ↓

Niente sesso: siamo Indiani

Ricerca SEX con impostazioni inglesiHo sperimentato un curioso comportamento di Bing segnalato da Thomas Hawk (via Slashdot). Per l’esperimento ho utilizzato una macchina virtuale Windows XP USA con Internet Explorer 8 con cui non avevo mai visitato Bing.

Per comprendere le modalità del test va segnalato che Bing decide la posizione di un utente in base all’impostazione della lingua del browser (da non confondere con la lingua in cui il browser visualizza i menu e i messaggi).

Ho provato, innanzi tutto, a visitare Bing con le mie impostazioni standard, ovvero inglese del Regno Unito. La ricerca di «SEX» mostra un normale risultato di un motore generalista (prima immagine, clickare per ingrandire).

Ricerca di SEX su Bing con impostazione indiane

Ho quindi impostato il linguaggio in hindi, ho riavviato Explorer, ho rivisitato Bing e ho effettuato la medesima ricerca (seconda immagine, clickare per ingrandire). Anziché i risultati visualizzati nell’esempio precedente è apparsa la scritta «sex खोज कामोत्तेजक सामग्री दिखा सकता है. परिणाम प्राप्त करने के लिए, अपनी खोज शर्तें बदलें.» che, grazie a Google, ho potuto tradurre in «Search can show sex erotic content. To achieve results, change your search terms.» La traduzione automatica italiana lasciava un po’ a desiderare, ecco perché ho riportato quella inglese.

Resta il dubbio del motivo per cui a chi si dichiara Inglese venga consentito di vedere i risultati di una ricerca, mentre a chi si dichiara Indiano questi risultati siano negati. Ironia della sorte, Carmella Bing è stata un’attrice porno, ma questi sono i rischi che si corrono scegliendo nomi brevi e facili da pronunciare per i propri prodotti.

Badda-Bing Badda-Bang

Microsoft ha messo online l’ennesimo reboot del suo motore di ricerca, questa volta con il nome di Bing.

Benché la copertina sembra quella di un dépliant di viaggi, la grafica con cui vengono elencati i risultati delle ricerche lo fa sembrare praticamente identico a Google, salva la possibilità di visualizzare al passaggio del mouse alcuni testi presenti nella pagina indicata dal motore di ricerca. Sempre in tema di grafica, il nome visualizzato sopra una montagna ricorda un attimino il vecchio logo di Altavista, ma sarà un caso.

I risultati delle ricerche sono assolutamente paragonabili a quelli di Google, nulla da dire in questo senso, essendo un motore di ricerca generalista. Come tutti i motori, facendo delle prove con ricerche a caso, saltano fuori delle stranezze. A titolo di prova ho cercato «size of Florida» in Bing e Google; nelle ricerche correlate visualizzate dal motore di Microsoft, assieme ad altre ricerche sul Sunshine State, appaiono inspiegabilmente «Size Of South Carolina» e «Size Of Alaska». Ironicamente, cercando «Vista» Google presenta come primo risultato la pagina principale di Windows Vista del sito Microsoft, mentre Bing presenta la pagina della Wikipedia che descrive il sistema operativo mentre la pagina di Vista del sito Microsoft è solamente al quarto posto. Almeno per ora si può presumere che i risultati di Bing non abbiano la tendenza a privilegiare le pagine di Microsoft.

Bing non è un prodotto innovativo, è semplicemente un altro motore di ricerca generalista. Resta il dubbio se nel 2009 con il fiorire di motori specifici come TinEye e Wolfram | Alpha avessimo bisogno di un altro motore di questo tipo.

Malware e Spam

Cos’hanno in comune malware e spam? Molto più di quello che una persona non del settore possa immaginare.

Innanzi tutto, alcune premesse doverose. Per quanto difficile da credere, lo spam rende soldi a chi lo gestisce. Il fatto stesso che continui ad esistere significa che è una pratica conveniente. Lo spam non è opera di un ragazzino solitario, ma è un’azione coordinata portata avanti da organizzazioni malavitose. Il malware non è più il virus scritto dall’universitario per noia o per goliardia, ma è un programma che ha il preciso e deliberato scopo di assumere il controllo di un computer o carpirne i dati (o entrambi).

Se è vero che molti computer casalinghi non hanno veramente nulla da nascondere al mondo (onestamente, le foto delle vostre vacanze e dei vostri compleanni non interessano a terzi), parimenti il mondo della malavita organizzata non ha interesse alle foto delle vostre vacanze. Ciò che fa gola del vostro computer è la sua connessione permanente a Internet, ovvero la vostra banda.

Il malware di ultima generazione fa di tutto per non essere scoperto dall’utente, se ne sta zitto zitto in un angolino del vostro computer e sfrutta la banda o la capacità di calcolo della vittima per scopi non esattamente ragolari quali, a titolo di esempio:

  • attacchi distribuiti di denial of service;
  • attacchi per tentare di indovinare le password di sistemi protetti;
  • scansioni di blocchi di indirizzi per vedere se ci sono servizi da attaccare;
  • invio di spam, magari pescando degli indirizzi anche dalle vostre rubriche o dalla cache del vostro browser;
  • crack di sistemi CAPTCHA;
  • server di distribuzione di materiale illegale (software, musica, film).

Possono passare mesi prima che ci si accorga di essere stati infettati da qualche malware e durante quel periodo potreste aver contribuito ad inviare migliaia di mail di spam: riflettete su questo la prossima volta che considerate l’antivirus o l’aggiornamento del medesimo una scocciatura.

GeoCities

GeoCitiesQuando ancora non esistevano i social network; quando Netscape era il browser che andava per la maggiore e molti puristi lo snobbavano in favore del più corretto Mosaic; quando il motore di ricerca era sinonimo di Altavista; quando lo spazio mail non veniva regalato a Gigabyte…

Quando tutte queste cose erano la realtà per chi era su Internet c’era un sito che permetteva di creare piccole paginette anche senza avere un client FTP la cui grafica lasciava molto a desiderare, ma erano, dopotutto, delle pagine fatte dagli utenti per cui non pagavano nulla.

Questo sito era GeoCities, forse il primo aggregatore di siti similari grazie al concetto di vicinato, che permetteva di associare tra di loro le pagine che trattavano argomenti simili.

La fama di GeoCities come aggregatore di moda è andata in seguito scemando; l’organizzazione è stata incorporata da Yahoo! ma oramai era un cadavere pieno di file inutili (se non illegali), pagine morte, dati non aggiornati.

Yahoo! ha deciso di radere al suolo queste città fantasma, residuati di una Rete che non esiste più e che non aveva più senso tenere in vita.

Il laser ai Babilonesi

The more you tighten your grip, Tarkin, the more star systems will slip through your fingers.

Immaginate di compiere un salto di circa tremila anni indietro nel tempo e di dover spiegare cosa sia un laser ai Babilonesi agitando davanti a loro un puntatore laser acquistabile da noi per pochi Euro.

Immaginate ora di dover spiegare ai politici del nostro tempo cosa sia Internet.

Tra le due, io scelgo senza indugio il laser ai Babilonesi perché credo che avrei più successo.

Riporta Stefano che purtroppo è passata al Senato una legge assurda sulla censura dei siti Internet quando si procede per delitti di istigazione a delinquere o a disobbedire alle leggi, ovvero per delitti di apologia di reato, previsti dal codice penale o da altre disposizioni penali, e sussistono concreti elementi che consentano di ritenere che alcuno compia detta attività di apologia o di istigazione in via telematica sulla rete internet.

La norma non è ancora legge dello Stato perché deve passare anche alla Camera, ma metà del danno è fatto.

Ritengo che la legge sia assurda perché è semplicemente inefficace e lascia troppa discrezionalità interpretativa.

L’inefficacia è palese da un punto di vista tecnico. L’articolo uno dice che il Ministro dell’Interno può ordinare ai fornitori di connettività alla rete internet di utilizzare gli appositi strumenti di filtraggio necessari a tal fine. Abbiamo visto l’efficacia di questi appositi strumenti di filtraggio questa estate nel caso di The Pirate Bay: alcuni provider avevano semplicemente invalidato i record DNS della zona di The Pirate Bay, cosa che ha colpito solamente chi utilizzava il server DNS del provider; e comunque The Pirate Bay aveva aperto altri nomi a dominio per aggirare la cosa. Anche ipotizzando un sistema “alla cinese”, basterebbe una banale connessione VPN o un proxy HTTP per aggirare l’ostacolo, ma questo il legislatore lo ignora, come i Babilonesi ignoravano il concetto di luce coerente. L’articolato prevede comunque che, entro sessanta giorni dalla pubblciazione, individui e definisca gli strumenti tecnici e di filtraggio. Auguri!

Ciò che preoccupa maggiormente è comunque la poca specificità della legge. Considerata la terribile quantità di norme, non sarebbe possibile utilizzare qualche grimaldello legislativo per far chiudere siti scomodi? Se venisse attuato un filtraggio in base all’indirzzo IP, che colpa ne avrebbero le persone oneste che si vedrebbero oscurato il proprio sito legale per il solo fatto di condividere un server presso un provider con altre persone di cui non ha alcuna conoscenza?

Non è con un comportamento tecnicamente ignorante che si fermano i presunti malviventi.

HyperB5

HyperB5HyperB5, la risorsa italiana su Babylon 5, si rinnova passando da documenti HTML statici ad un motore di visualizzazione dinamico basato su PHP e MySQL.

La notizia per me è ancora più bella in quanto Steve, il curatore del sito, ha deciso di adottare il motore di visualizzazione di HyperTrek, disponibile gratuitamente con licenza GNU GPL.

Non è certo mia intenzione pormi al livello di gestori di contenuti quali, a titolo di esempio, WordPress o Joomla, in quanto il motore di HyperTrek è assai specifico e ottimizzato per guide su serie televisive. Il motore di HyperTrek manca di un sistema di gestione dei contenuti degno di questo nome, che esiste e fornisco tranquillamente su richiesta ma non è affatto di qualità pubblicabile (ci sto lavorando per metterlo online senza vergognarmi).

Inoltre il motore di HyperTrek non è deliberatamente collaborativo, nel senso che non si basa né sul concetto di wiki dove tutti possono scrivere (e cancellare) né sul concetto di blog dove tutti possono commentare (e spammare). Probabilmente questa è una limitazione, ma non è nemmeno detto che tutti i siti del web debbano sempre e comunque permettere i commenti di ogni visitatore, anche perché chi gestisce il sito potrebbe non avere tempo per vagliare i commenti.

I due punti forti, a mio avviso, del motore sono la modularità con cui si possono costruire le pagine di diverso layout e il fatto che il motore di visualizzazione acceda in sola lettura all’archivio dei dati, rendendo poco efficace qualsiasi tentativo di SQL injection che sfrutterebbe eventuali problemi di sicurezza del motore.

Steve sta ancora lavorando alla conversione delle pagine HTML, lavoro che so essere molto lungo e oneroso. Consiglio ogni tanto di passare a dare un’occhiata alla nuova versione del sito e segnalare eventuali imprecisioni ai gestori, aiuto sempre apprezzato da chi tiene alla qualità dei contenuti di ciò che pubblica.

Sicurezza dei certificati con MD5

L’ultimo giorno del 2008 è stata presentata con dati di fatto verificabili la prova che i certificati di sicurezza basati sugli algoritmi a chiave pubblica verificati con hash MD5 dono da considerare non sicuri.

Anche questa volta il problema è molto tecnico, ma potrebbe avere ripercussioni sulla sicurezza di molti utenti. Fortunatamente, le autorità di certificazione (CA) che utilizzano ancora MD5 sono poche e cambieranno l’algoritmo in breve tempo, in quanto sono state avvisate prima della pubblicazione della ricerca.

La verifica della validità di un certificato di sicurezza (quello che provoca la visualizzazione di un lucchetto chiuso nel browser quando si visitano siti considerati sicuri) non avviene confrontando i certificati veri e propri ma confrontando delle sequenze di numeri ottenute applicando un algoritmo particolare (l’algoritmo di hash) al certificato originale. In questo modo si evita di spedire in chiaro il certificato stesso. Questo sistema è utilizzato per verificare o registrare le password di molti sistemi ed è il motivo per cui il vostro amministratore di sistema vi dice che non può dirvi la vostra password, ma la può solamente cambiare.

Gli algoritmi di hash sono (o dovrebbero essere) tali per cui non sia possibile risalire al dato originale conoscendo solamente l’hash e sia molto difficile modificare ad arte un documento in modo tale che l’hash dell’originale e della versione contraffatta siano uguali.

Purtroppo quello che un gruppo di persone è riuscito a fare è proprio questo: ha creato un certificato modificato ad arte che ha lo stesso hash (che non va confuso con la firma elettronica, sono due cose differenti) del certificato originale, rendendo possibile ingannare gli utenti.

Non è, comunque, il caso di allarmarsi perché l’algoritmo MD5 è utilizzato oramai da poche autorità di certificazione ed è in fase di dismissione; al suo posto vengono utilizzati SHA-1 e SHA-2, che, per ora, sono sicuri.

Va notato che già nel 2007 era stata dimostrata la poca sicurezza di MD5 ed era noto che la possibilità di creare questo tipo di attacco era solamente questione di tempo e volontà. Inoltre i ricercatori hanno sfruttato dei comportamenti prevedibili di un’autorità di certificazione che rilascia certificati con hash MD5.

Come detto, il rischio è molto limitato, ma chi volesse evitare di considerare validi i certificati firmati dalle CA che utilizzano ancora MD5 può installare il plugin di Firefox SSL Blacklist e stare tranquillo, almeno fino alla prossima falla del sistema.

Apple e Dovecot

Questa mattina nella lettura delle varie mailing list che seguo ho trovato una piacevole sorpresa.

Michael Abbott di Apple ha postato un messaggio nella mailing list di Dovecot in cui annunciava la disponibilità di Apple a contribuire al progetto con alcune patch sviluppate al suo interno e già verificate.

Negli ultimi tempi Apple non è stata un esempio di apertura come tecnologie e piattaforme, ma mi sembra corretto segnalare un comportamento meritevole quando questo si verifica. Troppo spesso le ditte approfittano del software Open Source per ridurre tempi e costi di sviluppo senza, però, attenersi alle regole di questo tipo di distribuzione, ovvero senza contribuire a loro volta ai progetti che sfruttano. L’ultimo esempio di questo comportamento poco corretto sarebbe rappresentato da CISCO (la giustizia americana deciderà), contro cui la FSF ha intentato una causa.

Tornando ad un esempio di comportamento meritevole, Apple ha offerto di contribuire al progetto Dovecot con varie migliorie, quali:

  • permettere ai processi IMAP e POP di gestire client multipli;
  • code di ascolto più lunghe;
  • modifiche per permettere la compilazione su varie piattaforme;
  • sistemi per aggirare bachi noti di OSX;
  • varie correzioni a bachi del software;
  • integrazione con Apple Open Directory;
  • implementazione di un sistema che blocca i client dopo vari ripetuti tentativi di accesso falliti;
  • gestione dei cambiamenti dinamici degli hostname.

Timo Sirainen, l’autore di Dovecot, hamostrato molto interesse per l’offerta di Apple. Con ogni probabilità, le correzioni dei bachi verranno implementate nella versione corrente, 1.1, mentre le nuove caratteristiche verranno aggiunte alla nuova versione 1.2 in fase di sviluppo.

Collaborazioni di questo tipo tra aziende e progetti Open Source ce ne sono molte e sono l’esempio che un modello di sviluppo del software di questo tipo, quando le circostanze lo permettono, non solo è possibile, ma è anche vantaggioso per tutti.

Thunderbird 3 Beta 1

Il team coordinato da David Ascher ha reso disponibile la prima versione beta “meno che beta” di Thunderbird 3.La versione pubblicata si chiama beta ma non ha dichiaratamente la qualità di una beta.

Molte novità sono, infatti, disabilitate e l’interfaccia a tab è presente, ma non si capisce bene ancora come la si possa sfruttare, sebbene ci siano alcune anteprime promettenti.

Nonostante questi possibili problemi, ho installato la versione Linux sulla medesima Ubuntu 8.10 su cui utilizzo Thunderbird 2 ogni giorno.

Un’altra interessante funzione, le conversazioni, è purtroppo disabilitata e non la si può testare. Questa funzione permetterebbe di visualizzare i messaggi non separati tra posta inviata e posta in arrivo, ma in una sorta di threading simile a quello dei newsgroup. La funzione è molto interessante, specialmente quando il dialogo via mail si ramifica su più fronti.

Altra funzione annunciata, l’integrazione del calendario, non è disponibile. Parimenti, tutti i plugin che ho installato non vengono caricati perché nonsono ancora stati aggiornati, ma è comprensibile perché siamo solamente all’inizio della versione 3 del programma.

L’impressione generale e’ di una maggior velocità rispetto alla versione 2: i miei account IMAP con tanti messaggi si caricano molto più velocemente; parimenti lo spostamento tra messaggi, cartelle e account risulta più sciolto.

Positivi il collocamento di alcuni comandi usati spesso nell’area grigia dell’header del messaggio e l’evidenziazione con una stella gialla a fianco degli indirizzi presenti in rubrica.

Sotto Linux Thunderbird 3 utilizza una cartella di default differente rispetto alla versione 2; a titolo di prova ho fatto trovare a Thunderbird 3 tutti i file del profilo della versione 2. Thunderbird 3 non ha dato problemi e ha caricato e riconosciuto tutte le impostazioni, i plugin e i file di dati della versione precedente senza problema.

Thunderbird 3 beta 1 è praticamente una preview della versione 3. Molte caratteristiche sono disabilitate o non presenti; nonostante ciò, il prodotto è stabile e più veloce della release 2. Thunderbird 3 parte con il piede giusto, in bocca al lupo!

Il Presidente di Internet

20081104_Chicago_IL_ElectionNight1258 Il sistema elettorale americano richiede che il Presidente che voglia essere eletto debba convincere la popolazione votante; è, quindi, gioco forza che i media rivestano un ruolo fondamentale nell’elezione.

La storia dei media vuole che Franklin D. Roosevelt abbia dovuto il proprio successo alla radio. John F. Kennedy è stato indubbiamente il primo presidente che ha sfruttato i potenziali della televisione. Probabilmente Barack Obama è il primo presidente che ha tratto grande sostegmno da Internet.

Questi presidenti, e i loro staff, sono stati i primi a conoscere ed esplorare le potenzialità di un nuovo media. Lo staff e gli attivisti di Obama non hanno visto Internet come “quella cosa lì dove la gente scambia film illegali e pornografia”, ma hanno capito e sfruttato sapientemente le potenzialità del mezzo.

Gli esempi di quanto deto sopra potrebbero essere moltissimi, ma credo che uno solo li valga tutti. Su Flickr l’account di Barack Obama non contiene delle immagini di propaganda, come farebbe un politicante che non conosce il mezzo, ma ci sono le foto che molti mettono su Flickr, foto personali di momenti più o meno importanti. Le ultime immagini caricate ci mostrano gli attimi dell’attesa del risultato elettorale; sono foto molto belle e molto personali che meritano di essere guardate.

Ciliegina sulla torta: le foto sono distribuite con la licenza Creative Commons Attribution-Noncommercial-Share Alike 2.0 Generic.

Aggiornamento: anche Giovanni De Matteo ha trattato questo tema in un suo articolo.