Come selezionare il testo nelle pagine di Spotify e altri siti

Probabilmente qualcuno avrà notato che in molti siti, uno fra tutti è Spotify, quando si seleziona del testo questo non può più essere copiato, o meglio non può proprio essere selezionato.

Questo a causa di una specifica di CSS3 che introduce una nuova proprietà, ancora sperimentale e non adottata da tutti i browser o adottata con differenti specifiche, che consente al web developer di decidere se l’utente può selezionare il testo di ogni elemento HTML. Questo potrebbe anche essere utile se si usa con attenzione questa proprietà per non far selezionare la fuffa di vario genere (intestazione, elementi social, vari link interni), permettendo di copiare solo il testo dell’articolo. Purtroppo però, come uno può anche immaginare, è molto più probabile che venga usata esattamente per l’obiettivo opposto e cioè quello di non far selezionare il contenuto “interessante” e proteggerlo dai vari copia/incolla.

Per fortuna, in Firefox, però, è sempre possibile fare un reset di questa proprietà tramite il file userContent.css e far diventare tutto selezionabile. Per selezionare il testo delle pagine di Spotify per esempio, includere questo codice:

@-moz-document domain(spotify.com){
    *{
        -moz-user-select: text !important;
    }

Riavviare e aprire, ad esempio, questa pagina.

Per maggiori informazioni su questa proprietà di selezione testo e la sua implementazione sui vari browser web, visitare questa pagina su MDN.

Come attivare OAuth2 per i vecchi account GMail in Thunderbird

AGIORNAMENTO: contrariamente a quanto detto inizialmente, è possibile utilizzare OAuth2 solo con account Imap e non con account POP3 (Bug 1174505).

Due giorni fa, , è stato rilasciato Mozilla Thunderbird 38.0.1. Una delle principali novità di questa versione è il supporto al protocollo di autenticazione OAuth2 (bug 849840) come riportato nelle note di versione:

GMail supports OAuth2 authentication, removing the need to manually select "allow less secure applications" in Google options for the account. (bug 849540)

Ciò significa che i nuovi account GMail che verranno creati in Thunderbird utilizzeranno il nuovo protocollo per effettuare l’accesso a GMail. Chi però, come il sottoscritto, ha un account GMail configurato da tempo in Thunderbird, dovrà modificare manualmente la configurazione dell’account per sfruttare OAuth2. Di seguito viene spiegato come fare.

Logo di OAuth via Wikipedia

Che cos’è OAuth2 ?

OAuth2 è la versione 2.0 del protocollo sviluppato da Blaine Cook e Chris Messina, con tale protocollo un’applicazione può accedere e utilizzare un servizio online senza comunicare la password. In pratica (leggere l’articolo di Wikipedia per maggiori dettagli) viene rilasciato un token crittografico che consente all’applicazione di accedere senza dover fornire la password, una specie di cookie di sessione. Al primo utilizzo verrà richiesto di effettuare il login presso il servizio di cui si vogliono utilizzare i dati (esempio la mail di Google, Twitter, ecc.) e di autorizzare l’applicazione a effettuare delle operazioni per proprio conto. A questo punto verrà rilasciato un token che l’applicazione salverà e che utilizzerà per accedere al servizio in futuro. In questo modo non sarà più necessario fornire la password per utilizzare l’applicazione. La maggiore sicurezza sta nel fatto che l’applicazione non conosce la password e non ha un accesso completo al proprio account GMail e che le autorizzazioni di accesso possono sempre essere revocate accedendo all’account GMail. Ora, nel caso di un client di posta affidabile come Thunderbird che salva le password in locale con le protezioni di vario livello (account utente di sistema ed eventuale master password) questo potrebbe non sembrare un gran vantaggio, però si pensi a le migliaia di app che vengono create ogni giorno da aziende software o sviluppatori semisconosciuti che vogliono, ad esempio, accedere al proprio account per scaricare la posta o, più semplicemente, per accedere ai soli contatti della rubrica. L’affidabilità di queste famigerate app non è così conprovata e dargli la propria password (con cui potrebbero fare qualunque cosa anche eliminare l’account) non è molto sicuro, molto meglio concedergli un accesso “temporaneo” che può essere sempre revocato in futuro se si dovesse scoprire che queste app hanno dei comportamenti non desiderati.

Inoltre, si può in questo modo definire una serie di autorizzazioni, ad esempio prevedere delle autorizzazioni diverse per un’app che voglia solo accedere e salvare i contatti email e un’app che voglia invece avere pieno accesso alle email, inviarle, salvarle e così via. In qualunque caso, questi permessi potranno sempre essere revocati a discrezione del proprietario dell’account o di chi conosce la password :-P.

Come attivare OAuth2 in Thunderbird?

In Thunderbird, se viene creato un nuovo account di posta GMail questo utilizzerà di default la modalità di autenticazione OAuth2, però se, come nel mio caso, si ha un vecchio profilo con degli account GMail già configurati (non importa se POP3 o Imap) sarà necessario effettuare manualmente la modifica. La cosa è molto semplice.

Andare in Strumenti → Impostazioni account → Nome account → Impostazioni server; e alla voce Protocollo di autenticazione selezionare OAuth2 (dovrebbe essere impostata su password normale).

Ritaglio del pannello Impostazioni account di Thunderbird con in evidenza la voce Protocollo di autenticazione OAuth2

La stessa cosa bisogna farla per il server SMTP, sempre dal pannello Impostazioni account selezionare Server in uscita (SMTP), fare doppio clic sul server GMail e effettuare la modifica. Salvare e provare a scaricare la posta o inviare una mail.

Al primo utilizzo Thunderbird aprirà una finestra con la pagina di Google dove sarà possibile effettuare il login e dare il consenso.
A questo punto è anche possibile cancellare le password salvate da Thunderbird per l’account GMail (Strumenti → Opzioni → Sicurezza → Mostra password).

La password servirà nel caso si cambi dispositivo o vi ci si sposti fuori dall’area geografica in cui è stato consentito l’accesso, questo perché GMail richiederà un’ulteriore autorizzazione per confermare che siate realmente voi e che non sia qualche ostile che voglia accedere impropriamente all’account.

Disattivare il supporto per le “App meno sicure”

Questa è un’operazione facoltativa e, anzi, è meglio riflettere bene prima di effettuarla.

Da metà luglio 2014 Google ha deciso che la l’unica modalità di accesso ai suoi server è OAuth2, però, essendo ancora molti client di posta e altre applicazioni non aggiornati per utilizzare questa specifica, ha previsto di “concedere” il vecchio accesso tramite password attivando un’opzione denominata “Supporto App meno sicure”. In realtà ha fatto anche di più, attivando automaticamente questa opzione a tutti coloro che in quella settimana avevano scaricato la posta via POP3 o Imap, questo per evitare un sacco di richieste di assistenza.

ù

Infatti, con questa opzione disattivata (il default per chi crea una nuova casella di posta GMail o per chi in quella settimana non abbia consultato la posta via IMap o POP3) senza effettuare la modifica di cui sopra non sarà più possibile scaricare la posta. Non sarà nemmeno possibile utilizzare applicazioni che non supportino OAuth2, ad esempio estensioni che sincronizzano la rubrica di GMail o altre applicazioni di vario genere che si utilizzano per leggere la posta. Per questo è necessario assicurarsi di non utilizzare tali applicazioni prima di disattivare il supporto alle app meno sicure. Nel caso non si usino altre applicazioni che non siano Thunderbird, potete accontentare Google e disattivare il supporto a queste app meno sicure visitando questa pagina.

Personalmente credo che se per un anno si è utilizzato un account GMail nell’inconsapevolezza di utilizzare “un’app meno sicura” senza problemi, si possa continuare a farlo, anche perché è quello che si fa implicitamente con qutti le altre caselle di posta non GMail.

È altresì vero però che ci sono dei reali vantaggi di sicurezza nell’utilizzare OAuth2, quindi si scelga pure liberamente cosa fare.

[Indovinello] Vediamo chi sa piegare un foglio di carta…

questo indovinello mi è venuto in mente dopo aver visto una conferenza su TED e l’ho messo sul mio profilo Facebook, però ho visto che sembra più complicato di quanto io pensassi e quindi, visto che passavo di qua per aggiornare WordPress, lo condivido anche qui.

Lo scopo dell’indovinello non è quello di stabilire l’esatta distanza in millimetri, metri o chilometri, ma di scegliere una delle dieci opzioni fra quelle proposte (una è corretta).

L’indovinello

Supponendo di avere un foglio di carta dello spessore di un decimo di millimetro (è lo spessore di un normalissimo foglio di carta) “abbastanza grande” da poter essere piegato per 50 volte, a quale delle seguenti grandezze si avvicina lo spessore del blocco dopo la cinquantesima piega?

Possibili risposte

  1. spessore di una moneta (qualche millimetro)
  2. una sigaretta (qualche centimetro)
  3. l’altezza di una persona adulta
  4. la torre Eiffel (324 metri)
  5. il monte Everest (8848 metri)
  6. il fiume Po (650 chilometri)
  7. un giro del mondo (40000 chilometri)
  8. la distanza Terra Luna (384000 chilometri)
  9. la distanza Terra Sole (150 milioni di chilometri)
  10. un anno luce o più (circa 63000 volte la distanza Terra Sole o più)

Per determinare l’esatto spessore raggiunto probabilmente serve una calcolatrice, siccome è sufficiente indovinare l’ordine di grandezza, si può fare anche a mente facendo una buona approssimazione, comunque Google è anche un’ottima calcolatrice.

Se qualcuno obietta, a ragione, che l’ingegneria dei materiali non ci consente di piegare 50 volte un foglio di carta, può continuare segando il blocco di carta e mettere le due metà una sopra l’altra.

Soluzione

Gestione avanzata delle immagini in un archivio compresso (CBR, CBZ e non solo)

Che cosa sono i file .cbz e .cbr, non solo fumetti

Comic book archive o comic book reader file è un formato file di tipo archivio che contiene una sequenza di immagini e viene utilizzato soprattutto per i fumetti. A seconda del container di compressione utilizzato il file viene rinominato nel seguente modo:

  • .cb7 – (application/x-7z-compressed) – archivio in formato 7z;
  • .cba – (application/x-ace-compressed) – archivio in formato ACE;
  • .cbr – (application/x-rar-compressed) – archivio in formato RAR;
  • .cbt – (application/x-tar) – archivio di tipo tarbal (non compresso);
  • .cbz – (application/zip) – archivio di tipo ZIP.

Alcuni di questi sono formati aperti (7z, ZIP e Tarbal), altri come ACE e RAR sono soggetti, almeno per quanto riguarda l’algoritmo di compressione, a licenza e possono essere creati ricorrendo ai software sviluppati dalle aziende che ne detengono i diritti, WinAce e Winrar o altri software a pagamento che hanno acquistato i diritti di includere i rispettivi algoritmi di compressione nei loro prodotti. È comunque sempre possibile leggere questo tipo di file con software gratuiti in quanto l’algoritmo di decompressione non è soggetto alle stesse restrizioni e può essere utilizzato senza problemi (questo accade per favorirne la diffusione). In ogni caso, il consiglio è sempre quello di utilizzare formati aperti (7z, ZIP o Tarbal). I più diffusi sono comunque i formati .cbz e .cbr.

Gli stessi archivi di immagini presentano dei vantaggi rispetto a un archivio in .pdf contenente immagini:

  • meno risorse della CPU per l’apertura;
  • estrazione facilitata dell’immagine desiderata contenuta negli archivi (nel .pdf c’è da lavorare di zoom, tasto stamp/copia, incolla, salva…).

Oltre che per i fumetti, il formato comic book archive è ottimo per tutti quei documenti multi-pagina scansionati, come riviste o altro. Ricapitolando, questo formato di file viene utilizzato specialmente per le immagini digitalizzate – cioè trasformate dal formato cartaceo a quello elettronico – ed è comodo anche per raccogliere le proprie immagini in archivi compressi, per poi essere archiviati sugli hard disk. Purtroppo i software per leggere gli archivi .cbz e .cbr sono dei programmi di nicchia e – nonostante le loro potenzialità, come ad esempio quella di creare una libreria visuale di documenti tutti con la loro bella copertina – rimangono sospesi nel limbo, non sono aggiornati e sono di difficile reperibilità. Se non si hanno particolari esigenze è comunque possibile visualizzare questi file ricorrendo a un programma di gestione archivi o anche altri programmi che li supportano.

Contrariamente a Linux che riconosce questo tipo di file come archivi compressi, in Windows è necessario associare questo tipo di file a un programma per la gestione degli archivi compressi; per farlo è sufficiente selezionare il programma in questione la prima volta che si apre il file..È anche possibile utilizzare il programma nativo per la gestione dei file ZIP e RAR, presente nelle ultime versioni di Windows, in modo da vederne l’anteprima nell’Esplora risorse di sistema. Ma, una delle limitazioni della gestione nativa di Windows degli archivi (e a maggior ragione degli archivi di immagini), è quella, appunto, di non avere l’anteprima delle immagini. Per ovviare a questo inconveniente è possibile utilizzare CBX Shell.

Anche i lettori PDF come, ad esempio, Sumatra e PDF-XChange Viewer possono essere utilizzati per visualizzare questi file. PDF-XChange Viewer permette inoltre di convertire i file PDF nei formati immagine, qui è possibile trovare una semplice guida che descrive come farlo. Prima che me lo chiediate: non credo che esista un software, gratuito, tuttofare, cioè lettore-creatore-convertitore .pdf/.cbz-.cbr/eBook, purtroppo.

Anche il noto visualizzatore di immagini Irfanview consente di gestire questo tipo di file tramite un plugin (non ufficiale) che richiede però la presenza di Net Framework e i diritti di Amministratore sulla macchina (e non sempre questo è possibile). Anche col plugin, comunque, Irfanview non è il massimo per leggere questo tipo di file in quanto non offre:

  • la possibilità di inserire una visualizzazione personalizzata PER TUTTE le immagini presenti in una cartella e di mantenere tale personalizzazione per TUTTE le immagini e non solo per l’immagine corrente;
  • la possibilità di leggere i documenti scansionati facendoli scorrere da destra a sinistra, cioè al contrario, come si fa con i manga;
  • la possibilità nativa di affiancare permanentemente due immagini;
  • la possibilità di effettuare lo zoom di una porzione dell’immagine e non di tutta l’immagine;
  • la possibilità di ricordare l’ultima immagine letta in una cartella e quindi di non posizionarsi sempre all’inizio della medesima.

Ci sono altre cose che non è possibile fare con IrfanView, ma per adesso ho elencato le richieste più comuni degli utenti che si trovano a gestire le immagini di documenti (e non solo di fumetti).

Però, anche utilizzando programmi appositi per la gestione dei file compressi, la visualizzazione di questi file è limitata per chi voglia visualizzare le immagini in sequenza e gestirlo, appunto,come fosse un fumetto da leggere e sfogliare. Per questo esistono programmi appositi che verranno discussi qui di seguito. Questi lettori, essendo specificatamente progettati per gestire questi file come veri e propri fumetti, sono molto più potenti e flessibili rispetto ai software presenti di default nelle varie distro Linux, dei software utilizzati per gestire gli archivi compressi e di eventuali plugin installati per leggere questi file da visualizzatori come Irfanview o di lettori PDF adattati allo scopo, in quanto offrono funzionalità specifiche per la gestione dei fumetti, ad esempio i fumetti scansionati possono non essere tutti dello stesso formato:per i fumetti più vecchi ci sono le classiche strisce orizzontali, gli albi Marvel presentano delle dimensioni diverse dalle pubblicazioni Bonelli, mentre i “neri” italiani sono diversi dal classico Topolino.

Windows

CDisplay

Il capostipite, il primo vero e proprio programma creato per leggere i fumetti, ormai non è più sviluppato da anni ma rimane ben rodato, l’autore è scomparso, ma rimane una pietra miliare, ancora oggi utilizzatissimo. Molto personalizzabile, ottima gestione del mouse, correzione del colore e gestione delle pagine doppie. Il programma, mediante interpolazione, adatta le dimensioni delle immagini a quelle dello schermo. Il risultato è una lettura distensiva, comoda e qualitativamente sempre soddisfacente. Legge i formati classici in cui si trovano i fumetti digitali, .cbr e .cbz, ma non altri (che sono comunque formati poco diffusi. Funziona su tutte le versioni di Windows, perfino la 98 ed è quindi adatto per i PC preistorici. Il primo difetto che balza subito all’occhio è che non ricorda l’ultima pagina del libro/fumetto letto e quindi si posiziona sempre all’inizio dell’archivio. Licenza: freeware (gratis).

Di seguito, l’interfaccia di CDisplay, in pratica un fumetto a pieno schermo senza interfaccia alcuna!

Interfaccia CDisplay

Se si vuole un programma semplice, per me questo è il numero uno.

CDisplayEx

Una versione migliorata di CDisplay. Tra le altre cose permette di leggere i fumetti a schermo intero, supporta i file .cbr e .cbz, legge anche i file .pdf e, soprattutto, è in grado di creare file .cbz e cbr se si inseriscono le immagine con il giusto ordine; con questo programma si può quindi omettere la parte della compressione degli archivi e rinomina del file .zip/.rar creati. Ha inoltre modalità multiple di visualizzazione: ad esempio permette di leggere guardando due pagine alla volta, come un fumetto cartaceo. Si possono anche modificare colore e nitidezza dei fumetti. Ottimo per la lettura, ma non per catalogare. Il programma – proprio come CDisplay – è anche abbastanza leggero. Questa alternativa è anche in grado di visualizzare numerosi formati di immagini, ma è un po’ meno configurabile dal punto di vista dell’utilizzo via mouse.

In rete è possibile reperire anche altre versioni non ufficiali di questo programma che implementano ulteriori caratteristiche e risolvono alcuni bug.

Comical

Ha le stesse caratteristiche base degli altri lettori, ma nasce per leggere un albo a fumetti specifico piuttosto che per gestire le collezioni di fumetti. Per questo non possiede alcuni tool come il segnalibro o gli strumenti di gestione dei file, ma in compenso offre dei filtri per migliorare la qualità delle immagini, il che consente anche una lettura agevole dei testi. Anche questo software, licenza: open source (GPL2), non ha nulla da invidiare agli altri, apre ogni formato di archivio (sia .zip che .rar) e anche tutti i formati di immagini usabili, interfaccia carina, abbastanza leggero, ridimensionamento automatico e molto altro. Il programma è disponibile anche per Mac e Linux.

ComicRack

Un gioiellino della categoria, pieno di strumenti e di opzioni. Sviluppato utilizzando il Net Framework, dà il meglio di sé nella gestione dei file pertanto permette di organizzare le collezioni e catalogare in vari modi ogni albo, ne memorizza le copertine, permette di votarli e ovviamente li visualizza, La qualità delle immagini è buona e l’applicazione ha delle funzioni specifiche per i manga, che si leggono al contrario. Apre anche i .pdf, ma solo se il testo è incluso nelle immagini. Chiaramente è un po’ più pesante all’apertura, ma se si ha un grosso archivio ne vale la pena. Inoltre è probabilmente il software più “vivo”. Per me è, assieme a MangaMeeya, il numero uno, se si vuole un programma comapleto.

GonVisor

È a metà strada tra il semplice Cdisplay e gli avanzati ComicRack eMangaMeeya, quindi se la virtù sta nel mezzo è da preferire su tutti. Come aspetto e opzioni è simile a CDisplay, ma ha qualche cosa in più: legge anche i file PDF (anche se non in modo nativo) ed eBook ma, soprattutto, è in grado di creare file .cbr e .cbz se vengono inserite le immagini nel giusto ordine. Il programma è anche molto leggero, per questo si apre e si gestisce con una manciata di risorse di sistema. GonVisor offre una qualità di riproduzione molto alta, che ci permetterà di leggere qualsiasi cosa come se stessimo sfogliando le pagine di un libro. Da notare che non è stato sviluppato originariamente per i fumetti. L’elenco delle pagine (miniature di immagini) è stato posizionato nella parte sinistra del pannello di lettura, affianco delle immagini, (il pannello è comunque posizionabile a destra o in alto), si può andare avanti e indietro, ingrandire l’immagine, spostare il riquadro o vedere le miniature di tutte le diapositive insieme. La versione con l’installer però tenta di inserire un programma indesiderato, quindi ho caricato online una versione “pulita” e portatile scaricabile dai link alternativi riportati più sotto.

Di seguito, l’interfaccia di GonVisor:

Interfaccia GonVisor

Per me è il numero 1 se si vuole un programma completo ma non complicato.

MangaMeeya

Programma standalone realmente flessibile in quanto a scelta e disponibilità delle funzioni, con uno zoom spettacolare! Molto veloce nel caricare archivi anche “pesanti”, capace di leggere agilmente anche archivi incapsulati all’interno di altri archivi e capace di visualizzare le sole immagini contenute nei file PDF. Purtroppo l’interfaccia è solo parzialmente in inglese. Difetti: software molto complesso (a parte i problemi di comprensione per la traduzione mancante, anche solo per ruotare una pagina è necessario creare uno script apposito, insomma c’è da smanettarci un po’ per poterlo sfruttare al meglio), codice del software incompleto in quanto in fase beta, dato l’abbandono del progetto da parte del team di sviluppatori, non è stata effettuata la traduzione dellinterfaccia in inglese, ma è reperibile “completa” solo in giapponese (lingua madre degli sviluppatori) e cinese. Il link fornito conduce alla pagina di un appassionato che ha curato lo sviluppo di questo software con ammirevole tenacia, mentre nel link alternativo riportato di seguito è scaricabile una versione personalizzata. Per me è, assieme a ComicRack, il numero 1 se si vuole un programma completo.

Hamana

È un visualizzatore di immagini cinese che in passato è stato molto apprezzato, anche se risulta che abbia più di una pecca (Direct-X obsolete, manca la navigazione nella pagina a dimensioni originale). È un altro software il cui sviluppo è stato abbandonato.

MComix

MComix è un visualizzatore di fumetti sviluppato in Python e distribuito con licenza GPL. L’applicazione ha un’interfaccia intuitiva e gradevole, mediante la quale si riescono a gestire ed organizzare i contenuti senza alcuna difficoltà. Pur rivolgendosi in specifico alla lettura di fumetti, è utilizzabile anche quale semplice visualizzatore di immagini, riuscendo ad aprire oltre ai comuni formati grafici gli archivi compressi .zip, .rar, .7z e .tar. L’interfaccia di MComix è stato realizzato con il toolkit GTK+, particolarmente adatto per generare e strutturare layout grafici personalizzati. Prevede le modalità di lettura a pieno schermo o a pagina doppia e automaticamente adatta la vista dei contenuti alla risoluzione corrente sia in altezza che in larghezza. L’esperienza d’uso è personalizzabile mediante l’inserimento di segnalibri (bookmark) e la generazione di librerie suddivisibili in categorie specifiche. È inoltre prevista la funzione “slideshow” per visualizzare i file grafici come presentazioni. Un nutrito pannello di controllo lascia impostare diversi parametri riguardanti interfaccia, visualizzazione ed interazione con fumetti o immagini.

Linux

Come già detto, il sistema operativo open source supporta nativamente i file .cbr/.cbz e per di più installare altri lettori “per fumetti” è molto semplice in quanto spesso già direttamente reperibili nelle applicazioni della distribuzione utilizzata: Calibre, Cbrpager, Comical, Comix (per Gnome), Evince, Mcomix(#mcomix), Okular (per KDE), Qcomicbook (uno dei lettori migliori), eccetera.

Le immagini sotto spiegano tutto.

Linux 01

Linux 02

Linux 03

Linux 03

Linux 05

Android

Per il mondo Android, che qui trattiamo marginalmente, si trovano diverse app. Un’app che utilizza poche risorse del sistema è Perfect Viewer, disponibile su Google Play. Con l’installazione di un plugin è possibile leggere anche file .pdf.

Mac Os X

Per il Mac OS X, che qui trattiamo marginalmente, sono disponibili diversi lettori di fumetti, Sequentialx, Simple comic ma soprattutto il freeware (gratis) FFView (che sembra essere molto buono) e il già citato Comical.

PSP

Persino per il mondo PSP, che qui trattiamo marginalmente, si trova un programma per leggere i fumetti: il freeware (gratis) Pens Enhanced Picture Viewer, segnalato per i possessori di PSP su cui sono avviabili programmi homebrew.

Versioni alternative

A questo link troverete dei file eseguibili, sono sicuri perché sono degli archivi auto-estraenti creati con 7-Zip per Windows (tranne uno creato per Linux, il .tar-gz). Le caratteristiche rispetto alla versione originale sono:

  1. interfaccia in italiano, quando disponibile;
  2. riduzione delle barre poco utilizzate che ostacolano la lettura dell’immagine a tutto schermo (escluso il caso di CDisplay, che quando si apre presenta solo l’immagine a tutto schermo e basta, disorientando l’utilizzatore che cerca comandi nascosti ma non sa come trovarli);
  3. aggiunta di nuove funzionalità disponibili come optional per alcuni programmi (ad esempio MangaMeya è la versione preparata da un appassionato, io ho lasciato quella ma l’ho arricchita di un paio di funzionalità supplementari);
  4. presenza di una guida nel file “Leggimi”;
  5. presenza di ben 4 archivi diversi (rispettivamente: .cbz, .cbr, .cb7 e .cba) con istruzioni per renderli tutti subito leggibili da Windows e da Linux con il programma scelto di default (questa è una vera chicca!);
  6. programmi quasi tutti resi portatili (nel caso di GonVisor era una tappa obbligata perché l’installer proponeva un componente indesiderato per accelerare la navigazione sul Web).
(12)

Equo compenso? Iniquo scompenso! Come prendere per i fondelli il popolo italiano e la sua lingua…

Con il recente comunicato del Ministero dei Beni Culturali, presieduto da un confusionario Dario Franceschini (che di questi tempi fa una cosa e ne sbaglia due), c’è stato recentemente un aumento della tariffe per l’equo compenso, che finirà per rallentare il mercato già in crisi a causa dei costi più alti, poiché i costi sostenuti dall’industria finiranno per riversarsi sui consumatori.

Non sto qui adesso a ripetere la solita solfa sui diritti non riconosciuti della copia privata, sulla conseguente legalizzazione indiretta delle copie pirata, sulla sproporzione delle gabelle gravanti sui supporti, sul carrozzone statale e parassita che è la S.I.A.E. … tutte queste cose le hanno trattate altri blog in maniera molto approfondita e imparziale.

Vorrei però farvi notare con questo articolo che il comunicato del Ministro è talmente pieno di lacune e falsità che le opposizioni potrebbero chiedere in Parlamento l’immediato arresto del Ministro per “palese presa per i fondelli del popolo italiano” (se poi ci scappa anche un’impiccagione non mi farebbe schifo, eh?).

Perché? Analizziamo il comunicato e commentiamolo pure con una buona dose di sarcasmo.

“… dopo un’approfondita istruttoria e un confronto che ha visto coinvolte tutte le categorie interessate.”

Lasciamo per un attimo da parte l’approfondita e passiamo alle categorie interessate. Sicuramente c’erano i rappresentanti dei grossi nomi dell’industria discografica e non solo, ma mi riesce difficile credere che ci fossero i rappresentanti di SanDisk, Hitachi, LaCie, Trascend, Lexar, Western Digital e compagnia bella. Possibile che questi produttori, con la crisi attuale, siano contenti di questi aumenti? Non lo sono i grossi colossi del tabacco quando aumentano le sigarette, figuriamoci costoro, ben consci che ogni aumento è un disincentivo alla vendita “tradizionale” in Italia (c’è sempre Internet con i relativi siti inglesi o spagnoli o cinesi o c’è persino il contrabbando per i supporti più convenienti).

“…il decreto ministeriale che aggiorna per il prossimo triennio il compenso per la riproduzione privata di fonogrammi e di videogrammi previsto dalla legge sul diritto d’autore.”

Il mio correttore ortografico mi sottolinea in rosso la parola “videogrammi”! Che cavolo è un “videogramma”? Forse la ripresa televisiva di una bilancia? O forse è una bella parola messa lì per “comprendere tutto e non escludere nulla”, in modo che al popolo ignorante bue non venga in mente di trovare la scappatoia e di farla franca col balzello? Ma chi ha scritto cotanto comunicato? Un epigono del grande Vate che era particolarmente ispirato nel creare un neologismo? Ah, qualcuno usa ancora in Itala i “fonogrammi”? Cavolo, non lo sapevo che su un telefono fisso o su un radiotelefono da taxi si potessero archiviare le mie copie pirata di “Marvel Agent of S.H.I.E.L.D.”! L’avessi saputo, mi sarei precipitato subito in un negozio di telefonia d’epoca a farne una buona scorta per i prossimi tre anni!

“Il Ministro Franceschini e il Presidente della Siae, Gino Paoli”

Attenti! Sono due persone diverse, ma sono praticamente la stessa cosa, visto che il Ministero è il succube lacchè del carrozzone S.I.A.E. (che si scrive come ho fatto io, non come ha fatto l’ispirato autore del documento).

“hanno convenuto di impegnarsi, per la parte incrementale di gettito delle nuove tariffe, affinché tutte le categorie di titolari dei diritti di copia privata impieghino una quota di tali somme alla promozione di giovani autori e artisti e di opere prime.”

Il che vuol dire che si spartiranno i soldi in più (difficili da quantificare anziché no) tra loro, poiché è ben noto che la S.I.A.E. NON aiuta i giovani autori e gli artisti sconosciuti. Come posso affermare questo con tanta sicumera? Prima di tutto basta leggere i commenti di questi sconosciuti artisti nei vari blog. Poi sappiate che per motivi professionali sono quotidianamente a contatto con questi giovani e le loro lamentele non si discostano da quelle di chi è intervenuto nei blog: chi li ha mai visti i soldi della S.I.A.E.? Tralascio, date le mie esperienze quotidiane, dettagli poco edificanti sul comportamento omissivo e complice di alcuni ispettori S.I.A.E. nei confronti di certi datori di lavoro che assumono artisti sconosciuti e vi faccio notare che il documento di richiesta è stato firmato da grandi nomi dello spettacolo, non certo da artisti sconosciuti. Quindi? È un po’ come quei politici che fanno le leggi per aumentarsi lo stipendio, insomma.

“Con questo intervento – ha commentato Franceschini – si garantisce il diritto degli autori e degli artisti alla giusta remunerazione delle loro attività creative, senza gravare sui consumatori.”

Ah, no, davvero, eh? Fatemi capire, loro aumentano le tasse sulla benzina e le compagnie petrolifere le pagano senza scaricarle sugli automobilisti? Loro aumentano le tasse sui tabacchi e le industrie manifatturiere le pagano senza scaricarle sui fumatori? Ma costoro credono davvero che ci beviamo ogni loro insulsaggine? L’aumento graverà solo ed esclusivamente su noi consumatori, stop. Anche se nelle schede di memoria delle nostre fotocamere ci conserviamo al massimo gli scatti osé delle nostre amanti e non certo i video osé del concerto di Miley Cyrus a Milano. E non solo. Il giovane cantante che vuole farsi conoscere che cosa fa? Incide le sue canzoni su CD e le distribuisce in giro, a radio private, manager discografici e personalità del mondo musicale per cercare di farsi conoscere. Quindi paga una tassa su quei CD (CD che servono a farsi conoscere) che gli sarà restituita in quanto è appunto uno sconosciuto… Genialmente arzigogolato, vero?

“CAPZIOSO CHI PARLA DI TASSA SUI TELEFONINI A CARICO DEI CONSUMATORI “Parlare di tassa sui telefonini è capzioso e strumentale: il decreto non introduce alcuna nuova tassa ma si limita a rimodulare ed aggiornare le tariffe che i produttori di dispositivi tecnologici dovranno corrispondere (a titolo di indennizzo forfettario sui nuovi prodotti) agli autori e agli artisti per la concessione della riproduzione ad uso personale di opere musicali e audiovisive scaricate dal web. Un meccanismo esistente dal 2009 che doveva essere aggiornato per legge”. “

Oh my God! L’autore di “fonogrammi e di videogrammi” utilizza l’espressione “capzioso”! L’avrà per caso scovata su Wikipedia? Questo paragrafo tende a parare il fondoschiena del Ministro ginopaolesco, mette subito le mani avanti ben sapendo che questo aumento scontenterà tutto il popolo del Web, altro che “un confronto che ha visto coinvolte tutte le categorie interessate” (le associazioni dei consumatori dov’erano in questo confronto?). Nessuno qui le dice che è stata introdotta una nuova tassa, signor Gino Paoli… pardon Dario Franceschini. Qui si dice che si poteva fare a meno di aumentare una tassa già ingiusta. Ah, era previsto dalla Legge questo aumento? Beh, veramente avete scritto “che doveva essere aggiornato per legge” , quindi potevate anche diminuire la tassa visto che “aggiornare” in italiano non significa automaticamente “aumentare”! Scusi la capziosità, signor Gino Franceschini, eh? Faccio poi notare che l’indennizzo forfettario agli autori e agli artisti secondo costoro è dovuto per una presunzione di reato, cioè per le opere musicali e audiovisive scaricate dal web. E allora? Ci inventiamo pure un’altra tassa per le automobili perché si presume che una parte di queste venga utilizzata per scopi criminosi o per investire le persone? Oppure inventiamo pure un’altra tassa per i motocicli perché si presume che una parte di questi venga utilizzata per scippare le vecchiette della loro pensione? Oppure ci inventiamo pure un’altra tassa per li coltelli da cucina perché si presume che una parte di questi venga utilizzata per pugnalare la propria moglie in uno scatto d’ira? (A parte il fatto che in quest’ultimo esempio io non ravviso alcun reato, ma anzi è pura legittima difesa…) E poi, ripeto, uno può comperare benissimo una memoria di massa e le opere musicali e audiovisive salvarsele senza passare dal Web (che si scrive maiuscolo e non minuscolo, signor Dario Paoli) ma con un semplice apparecchietto convertitore da analogico a digitale e relativi cavi, eh? E va bene, sono capzioso io, va bene.

“Il decreto non prevede alcun incremento automatico dei prezzi di vendita.”

Gentile estensore del comunicato, ma lei crede davvero a quello che ha scritto? Persino l’adozione dell’euro non prevedeva alcun incremento automatico dei prezzi di vendita, però sappiamo com’è andata a finire… Non ho altro da aggiungere a questo riguardo, Vostro Onore, l’imputato Dario Gino Paolo Franceschini stavolta l’ha sparata grossa!

“Peraltro, com’è noto, in larga parte gli smartphone e tablet sono venduti a prezzo fisso”.

Gentile autore della presa per i fondelli, me lo spiega in italiano che cosa significa questo paragrafo scritto in italiano? Di che cosa sta cercando di convincerci, scusi? In passato è stato aumentato di un euro il prezzo della benzina per favorire la cultura e infatti oggi gli scavi di Pompei, la Reggia di Caserta, il Colosseo di Roma e altri monumenti italiani stanno crollando a pezzi. Adesso invece aumentate le tasse su smartphone e tablet perché sono venduti ad un fantomatico “prezzo fisso”?

“Ho applicato doverosamente una norma di legge vigente” ha concluso il ministro Franceschini ricordando che “è dal 2012 che le tabelle sull’equo compenso attendevano di essere aggiornate. E ho anche ricostituito il tavolo tecnico che dovrà monitorare l’evoluzione e le tendenze del mercato”.

Franceschini, che cosa combini? Sei pagato per fare i politici e i politici non fanno una mazza tutto il giorno, ecco… Continua tranquillamente “doverosamente” a scaldare la poltrona che occupi e basta, visto che quando legiferi tu sei buono solo a ricostruire dei tavoli tecnici di monitoraggio, cioè in poche parole a fare danni al popolo che i soldi se li suda con il proprio onesto lavoro.

“Il decreto corrisponde alle tante sollecitazioni del mondo della cultura. Solo un mese fa, oltre 4.000 autori hanno chiesto al governo di intervenire a tutela del diritto alla creatività e di monitorare i riflessi della costante e rapida evoluzione tecnologica nel mondo dell’arte.”

Mah, veramente a me risulta che “il Palazzo aveva già meditato di introdurre alla fine del 2013, frenato però dalla prudenza del Ministro Bray, che aveva commissionato un’indagine conoscitiva alla società Quorum per sondare il terreno e valutare l’effettiva necessità di una revisione al rialzo dei prelievi per copia privata fissati nel 2009″ (fonte: Punto Informatico). L’inutile ricerca scoprì l’acqua calda: in piena epoca di* cloud storage* gli italiani ormai facevano davvero ben poche copie private di opere audiovisive tutelate dal diritto d’autore, specie attraverso smartphone e tablet. L’inutile ricerca, su pressioni dell’opinione pubblica in cerca di trasparenza, venne pubblicata sul sito-minestrone del MiBACT (Ministero dei Beni delle Attività Culturali e del Turismo) poi venne rimossa dall’indice di ricerca dei documenti consultati per determinare le tariffe, poi a seguito delle proteste per la sua rimozione venne daccapo pubblicata. In seguito il ministro Franceschini-che-cosa-combini ha interpretato la ricerca di mercato voluta da Bray come una necessità di intervenire, esortato anche dalle “tante sollecitazioni del mondo della cultura” (Gigi D’Alessio, Maria De Filippi, Kim Rossi Stuart sono cultura?) che subito ha emesso un appello.

Segue un lungo elenco di autori e artisti (purtroppo inficiato dalla presenza di Gigi D’Alessio, Maria De Filippi e altri mediocri esseri umani che nulla c’entrano con tali categorie), le cui firme evidentemente valgono più delle petizioni che sono sorte in seguito al succitato aumento della tassa (no, non siamo tutti uguali davanti alla Legge, le loro 4.000 firme valgono di più delle nostre 60.000… le avessero messe sull’avvallo dei nostri mutui!).

I comunicato si chiude con una striminzita tabella di comparazione con gli altri paesi europei che è l’apoteosi dello spurio! Eccola qui (fare clic sull’immagine per ingrandirla).

comparativa

A titolo di esempio, quindi, si citano soltanto citano Francia e Germania. E gli altri venticinque paesi della Unione Europea (anzi, sono ventitre perché Spagna e Regno Unito non prelevano dei compensi per copia privata)? Non dico che dovevano metterli tutti, ma quando si fanno delle comparazioni le si fanno su dati omogenei e soprattutto non ristretti. Francia e Germania sono stati inclusi in perfetta malafede perché sono i paesi in cui vigono le tariffe più alte d’Europa e quindi ovviamente il prelievo sarebbe decisamente più ingente, ma questo comunque questo non influisce sui loro prezzi finali e vendite.

Inoltre quando si redigono delle tabelle di comparazione, per una migliore comprensione si crea una media percentuale (pari a 100, appunto) e si riportano i valori degli altri Paesi in percentuale.

Che cosa significa poi il dato “non disponibile” nella colonna di CD e DVD in Germania? Stiamo parlando di un’informazione economica reperibile nell’anno di grazia 2014 dopo Cristo in uno stato dell’Unione Europea dove esiste e funziona Internet oppure stiamo parlando di una temperatura non pervenuta del Zugspitze in un paesino sperduto nell’anno 1914? Qui la presa per i fondelli è lapalissiana: non conveniva pubblicare i dati perché questi erano più bassi dell’Italia!

Concludo riportando le affermazioni del direttore generale della SIAE, Gaetano Blandini.

” senza le opere dell’ingegno e i contributi dei nostri creativi i loro device sarebbero solo vuoti e scintillanti pezzi di latta”

Su Internet uno così lo chiamiamo troll. Vuoto pezzo di latta sarà il suo device ma soprattutto la sua testa. C’è una maggioranza bulgara di utenti italiani che usa i propri device per inviare e ricevere email, per socializzare sui social network (poveri loro, ma questo è un altro discorso…), per navigare in siti interessanti, per giocare online, per fare in piena libertà fotografie e filmati condividendoli magari poi su spazi di storage online. Il tutto senza minimamente violare le opere e i contributi dei creativi iscritti alla S.I.A.E.

Sia ben chiaro, tutti quanti saremmo ben felici di spendere quei 5,20 euro in più per un PC se realmente servissero a eliminare il “digital divide” in Italia, se le linee Internet diventassero finalmente ultraveloci e cioè moderne, se nelle nostre città ci fosse il wi-fi libero senza tanti vincoli per tutti, se realmente i piccoli autori e artisti che fanno la fame partecipassero alla divisione dei proventi. Ma chi è felice di regalare i suoi 5,20 euro a mercenari quali Gino Paoli, Gigi D’Alessio, Maria De Filippi o al carrozzone statale parassita S.I.A.E. o al già ricchissimo Michele Guardi? Alzate le mani, su.

………………………………………..

Tutti monchi?

Brendan, addio e grazie per tutto il pesce

In questi giorni la nomina di Brendan Eich ad amministratore delegato (CEO) di Mozilla Corporation e le successive dimissioni hanno generato molte discussioni in rete e sui media tradizionali. In questo breve articolo vorrei riassumere come si sono svolti i fatti e, soprattutto, ricordare quanto importante sia stato il contributo di Brendan per il progetto Mozilla e per tutto l’open Web in generale, tanto importante da non poter essere dimenticato o cancellato da una, sciocca e pretestuosa, polemica. Sciocca e pretestuosa è la polemica, non la questione sul matrimonio fra persone dello stesso sesso che invece è un tema molto importante e molto delicato che proprio per questo non voglio assolutamente affrontare su questo blog che non ha mai trattato simili argomenti. Ci sono luoghi più adatti a farlo.

Qui sono disponibili, in italiano, le FAQ sui principali eventi che hanno riguardato la vicenda.

Foto di Brendan Eich
Il 24 marzo 2014, dopo un anno in cui la poltrona era vacante, Brendan Eich, già direttore tecnico (CTO) in Mozilla, viene nominato nuovo amministratore delegato di Mozilla Corporation, la società commerciale controllata da Mozilla Foundation e responsabile dello sviluppo di Firefox. Nella stessa seduta viene ufficializzato l’addio al consiglio Mozilla di Gary Kovacs e Ellen Siminoff, che da tempo avevano reso pubblica la propria volontà di lasciare il consiglio non appena fosse stato nominato un nuovo amministratore delegato. Un terzo membro, John Lily, in disaccordo con la scelta di nominare Brendan CEO, per motivi legati alla gestione commerciale e finanziaria della società e che nulla hanno a che vedere con le opinioni personali di Eich, decide egli stesso di abbandonare il consiglio.

La reazione nella community Mozilla alla nomina di Eich come CEO è stata molto positiva: un fondatore – che ha sempre sostenuto l’open Web e la privacy – e un programmatore software – inventore fra l’altro di JavaScript – al comando e non un Marchionne a 32 o 64 bit.

Ben diversa è stata la reazione nella comunità LGBT americana che non ha gradito tale nomina a causa di una vecchia vicenda balzata alle cronache nel marzo 2012 quando sono stati resi pubblici i nomi dei donatori che avevano sostenuto la Proposition 8, un referendum per abrogare la legge californiana che permetteva il matrimonio fra persone dello stesso sesso e alla quale Eich aveva contribuito con una donazione di 1000 $. Molti siti a sostegno della causa omosessuale hanno quindi iniziato a esporre banner per boicottare Firefox, alcuni dipendenti di Mozilla Foundation hanno iniziato una protesta su Twitter e alcuni sviluppatori indipendenti hanno fatto sapere che non avrebbero più sviluppato codice per Firefox o app per il Marketplace Mozilla.

Brendan Eich con un post sul suo blog ha tenuto a sottolineare che le sue idee personali non avrebbero in nessun modo inciso nelle sue valutazioni come dirigente. Nessuno infatti aveva mai avuto nulla da ridire sul rispetto e il trattamento riservato da Eich ai dipendenti LGBT di Mozilla, prima o dopo il diffondersi della notizia nel 2012, anzi questo è stato motivo di sorpresa perché nessuno poteva immaginare che Eich sostenesse una tale causa. In molte interviste ha ribadito di voler proseguire come CEO e anche persone che biasimavano – avendo tutto il diritto di farlo – la sua presa di posizione del 2008 erano concordi nell’affermare che doveva essere giudicato sui fatti.

La polemica è continuata per una decina di giorni finché Brendan Eich, resosi conto di essere diventato un peso per Mozilla, ha deciso di dimettersi dalla carica di amministratore e abbandonare Mozilla:

I may get to it, but not working at Mozilla. Ive resigned as CEO and Im leaving Mozilla to take a rest, take some trips with my family, look at problems from other angles
I encourage all Mozillians to keep going. Firefox OS is even more daunting, and more important. Thanks indeed to all who have supported me, and to all my colleagues over the years, at Mozilla, in standards bodies, and at conferences around the world. I will be less visible online, but still around.

Credo che lavorerò per questo obiettivo, ma non in Mozilla. Ho dato le dimissioni da CEO e lascerò Mozilla per prendermi una pausa, viaggiare assieme alla mia famiglia e guardare le cose da una prospettiva diversa.
Incorraggio tutti i mozilliani a andare avanti. Firefox OS è una sfida ancora più difficile e più importante. Ringrazio tutti coloro che mi sono stati vicini e tutti i colleghi che hanno lavorato con me in questi anni in Mozilla, all’interno delle commissioni per gli standard web e nelle conferenze in giro per il mondo. Sarò meno visibile online ma sempre in circolazione.

La presidente della fondazione Mozilla (che controlla la società commerciale) Mitchell Baker ha ufficializzato l’abbandono di Brendan Eich come CEO con delle scuse alla comunità e l’impegno a “fare meglio” in futuro:

We didn’t act like you’d expect Mozilla to act. We didn’t move fast enough to engage with people once the controversy started. We’re sorry. We must do better.

Non ci siamo comportati come ci si sarebbe aspettati da Mozilla. Non ci siamo mossi abbastanza velocemente per comprendere e entrare in contatto con le persone appena la polemica è iniziata. Siamo dispiaciuti. Dobbiamo fare meglio.

Personalmente non mi interessa molto la questione sul matrimonio fra persone dello stesso sesso, almeno non mi interessa parlarne qui sul blog, sono molto più interessato al fatto che una delle figure storiche e più importanti abbia abbandonato per sempre Mozilla, lasciando un grande vuoto (non solo affettivo ma anche effettivo: ora Mozilla è senza CEO e senza CTO).

Di seguito un breve riassunto di cosa ha fatto Brendan Eich per Mozilla e più in generale per l’open Web. Ringrazio @prometeo per tutte le informazioni tecniche riportate qui di seguito.

Dopo aver lavorato per Silicon Graphics e MicroUnity Systems Engineering, nell’aprile del 1995 Brendan Eich entra in Netscape communication per lavorare all’omonimo browser.
In dieci giorni, per rispettare le scadenze di uscita della versione 2.0 di Netscape, ha sviluppato, col nome iniziale di Mocha, il linguaggio ora noto come JavaScript, nome che venne scelto per scimmiottare quello che ai tempi era il linguaggio a oggetti più diffuso, Java, con cui però non ha nulla in comune, anzi questa scelta è troppo spesso motivo di confusione tra gli utenti.

Ogni volta che fai clic su un Mi piace, ogni volta che vedi la pagina modificarsi, ogni volta che dei contenuti dinamici si caricano, ogni volta che usi un’app e in generale ogni volta che usi un browser questo è possibile grazie a JavaScript.

Quando nel 1998 il team responsabile dello sviluppo del browser Netscape, che nel frattempo era stato assorbito da Aol, decideva di staccarsi da Aol per proseguire in modo indipendente abbracciando la filosofia dell’open source e dell’open Web, Brendan fu uno dei leader della scissione e lavorò gratuitamente assieme a Mitchell Baker per rendere tutto ciò possibile.

Quel team si chiamava Mozilla, nome che deriva dalla storpiatura dell’inglese “Mosaic Killer”. Mosaic era infatti, a quei tempi, il principale rivale di Netscape come browser web.
Di seguito ha migliorato il linguaggio JavaScript e, come membro del W3C, lavorato alla standardizzazione di JavaScript con il nome di ECMAScript (pessimo nome poco noto e che difatti nessuno utilizza).
Ha riscritto più volte il motore JS di Mozilla e ha supervisionato la nascita e l’evoluzione dei vari compilatori JIT1 per JS (SpiderMonkey, TraceMonkey, JägerMonkey, ecc.). Insieme a Ben Goodger ha orchestrato la nascita di Phoenix, diventato poi Firefox.

Più di recente è stato la mente dietro Rust, il linguaggio sviluppato da Mozilla in collaborazione con Samsung, che dovrebbe essere usato per scrivere un nuovo motore di rendering per il mobile molto più sicuro di quelli odierni.

Quindi, da mozilliano, da geek, da sostenitore dell’open Web e dell’open source:<script type="text/javascript">document.write("Addio e grazie per tutto il pesce, Brendan");</script>


  1. l’engine JavaScript è quel programma interno del browser che analizza il codice Javascript e produce il risultato desiderato. I compilatori JIT sono dei compilatori a runtime, cioè dei programmi che convertono il codice in linguaggio macchina o altro linguaggio di basso livello durante l’esecuzione e non, come i normali compilatori, in una sessione separata effettuata appositamente per produrre l’eseguibile. SpiderMonkey è il nome in codice del motore (engine) JavaScript di Firefox e TraceMonkey e JägerMonkey sono i nomi in codice dei compilatori JIT di SpiderMonkey. 

Heartbleed: il peggior bug di sempre

AGGIORNAMENTO: l’articolo è stato aggiornato aggiungendo i link alle possibili minacce lato client di Heartbleed.

Questa settimana si è parlato molto di questa falla che affligge l’implementazzione di Heartbeat in OpenSS. La falla è talmente grave che si è guadagnata un bel nome tutto suo – e non l’anonimo CVE-2014-0160 – e persino un sito web dedicato. Ecco cosa ne pensa uno dei maggiori esperti di criptografia e sicurezza a livello mondiale, Bruce Schneier:

“Catastrophic” is the right word. On the scale of 1 to 10, this is an 11. L’aggettivo giusto è: catastrofico. In una scala da 1 a 10, questo vale 11.

Ma vediamo di cosa si tratta di preciso.

Che cos’è Heartbleed?

Prima vediamo di capire che cosa sono OpenSSL e heartbeat. OpenSSL è una libreria opensource che implementa un insieme di tecnologie criptografiche ed è molto utilizzata dai server web per gestire le connessioni https. Il protocollo https è quello che permette uno scambio sicuro dei dati fra il client [leggi browser, programma di posta, app, eccetera). Quando ci si collega via https il server fornisce una chiave pubblica al programma che la utilizza per cifrare tutti i dati inviati. Anche in caso che un terzo malintenzionato (di solito il povero Eve) riesca a venire in possesso di quei dati (password, cookie di sessione, eccetera) esso non potrà mai decifrarli. Solo il sito che ha la chiave privata è in grado di decifrare i dati. Inoltre, il protocollo https garantisce in modo inequivocabile che il sito sia veramente chi dica di essere, se il programma non valida la connessione (non mostra il lucchetto), significa che è in corso una frode web.

OpenSSL è il software opensource (lato server) che rende tutto ciò possibile. Può ovviamente essere scaricato e utilizzato per effettuare diverse operazioni come la cifratura di file, calcolarne l’impronta digitale (hash), effettuare operazioni sulle chiavi, visualizzare informazioni sui certificati e effettuare conversioni fra vari formati di certificati e dati criptografici. Non è comunque un software a portata di tutti.

heartbeat (battito cardiaco) è una specifica illustrata nella RFC 6520 e serve per mantenere attiva una connessione fra client e server anche se non ci sono dati da scambiare. Essa serve a entrambi per confermare che la controparte sia ancora connessa e funzionante, insomma per vedere se il loro cuore batte ancora o no.

heartbeat funziona nelle due direzioni, però per capire come funziona l’attacco possiamo limitarci al caso in cui sia il client (leggi bot maligno) a fare la richiesta e il server con la versione vulnerabile di OpenSSL a rispondere. Nella specifica è indicato che il client debba fornire al server questi due dati:

  1. un payload (dati che vengono inviati)
  2. la dimensione del payload

e il server deve restituire, fondamentalmente, il payload. Se ciò avviene il client sa che la connessione è ancora attiva.

Heartbleed (emorragia cardiaca) è un bug nell’implementazione di OpenSSL di questa caratteristica. In pratica OpenSSL invece di rimandare indietro il payload ricevuto dal client rimanda indietro dei dati a caso presi dalla memoria. Questo avviene quando un client “mente” inviando un payload di, ad esempio, 1 byte e dicendo al server “ti ho inviato 64kb” (che è la massima dimensione possibile per il messaggio). A questo punto il server, invece di rimandare al mittente il byte dicendogli “sei un bugiardo”, riempie il messaggio di ritorno con 64kb presi a caso in memoria. In altre parole è possibile interrogare il server e farsi dare 64kb di dati immagazzinati in memoria. Questi dati possono essere le password (in chiaro) degli utenti, i cookie di sessione, dati riservati dei pagamenti in-app e le chiavi private con cui il server decifra il traffico, “sicuro”, in entrata.

Ma se questo non bastasse, questo tipo di connessioni non vengono registrate dal server. Non è quindi possibile né conoscere chi ha rubato i dati e nemmeno conoscere se dei dati sono stati rubati! Il furto perfetto. Nessun indizio viene lasciato. Credo che questo basti per spiegare perché si tratti di una minaccia di livello 11. Una backdoor perfetta: difficile da scoprire, infatti, a meno di analizzare il codice riga per riga, questo tipo di attacco non risulta nei log dei server che non possono nemmeno rendersi conto di essere stati violati. e per fortuna che OpenSSL è opensource :-).

Il dubbio, dopo le notizie fatte trapelare da Edward Snowden nell’ultimo anno, che sia una backdoor messa lì da qualcuno (leggi, un nome a caso, NSA) è forte. Però probabilmente si tratta di un semplice errore di programmazione di cui si conoscono gli autori. A proposito invito a leggere [questo interessante articolo su Lega Nerd.

È sviluppato da 15 sviluppatori “volontari”, che non hanno budget ne le risorse adeguate per manutenere e gestire una cosa di questo livello. Inoltre, non è assolutamente nato per fare quello che fa oggi. E dall’industria di settore, sopratutto quelle 3 o 4 aziende che emettono il 90% dei certificati al mondo (e che si stanno strofinando le mani per il business della riemissione, altri soldi per loro) non scuciono un soldo per lo sviluppo dello stesso.

Se volete sapere se un sito che state visitando è vulnerabile sfruttando hearbleed, questa estensione per Firefox permette di visualizzare un bel avviso nella pagina.

Oltre alla vulnerabilità dei server Trend Micro riporta che la versione 4.1.1 di Android è stata distribuita con il modulo Heartbeat attivo di default ed è possibile sfruttare Heartbleed per carpire le informazioni personali degli smartphone con questo sistema operativo.

XKCD

Chiudo traducendo la, [bellissima, vignetta][5] di XKCD di martedì.

Vignetta XKCD

Al passaggio del mouse: [Ne ho viste cose che voi umani non potete immaginare] Ho guardato alcuni dei dati dei siti vulnerabili e erano, mostruosi. Ho visto, senza che nessuno se ne accorgesse, email, password, i suggerimenti per recuperarle, chiavi SSL e cookie di sessione, server famosi pieni di indirizzi IP dei visitatori. Navi da combattimento in fiamme al largo dei bastioni di Orione,raggi C balenare nel buio vicino alle porte di Tannhäuser. [E tutti quei momenti andranno perduti nel tempo come lacrime nella pioggia.] Probabilmente è ora di sistemare OpenSSL.

Megan: heartbleed deve essere il peggior bug di sicurezza web di sempre Cueball: Peggiore finora. Dacci tempo. Megan: Intendo dire: questo bug non è solo un problema di vulnerabilità della criptografia. Megan: Permette ai visitatori dei siti di farsi dare una raccolta di dati a caso dalla memoria. Megan: Non riguarda solo le chiavi. Riguarda il traffico dati. Riguarda le mail, le password e le nostre fiction erotiche. Cueball: È tutto compromesso? Megan: Beh, l’attacco è limitato ai dati salvati nelle memorie dei computer. Cueball: Quindi la carta è sicura. E anche le tavolette d’argilla. Megan: Anche la nostra immaginazione. Cueball: Capisco, noi staremo bene.

AGGIORNAMENTO: Come segnalato da @Emanuele nei commenti questa vignetta di XKCD spiega in modo molto semplice di cosa si tratta.

Vignetta XKCD

Link utili

[

Tra i mari e fiumi navigando su gelide acque con pesci colorati

Qualcuno si starà chiedendo se l’autore del post, cioè il sottoscritto, faccia uso di sostanze stupefacenti durante la scrittura dei post. Tranquilli, non è questo il motivo per il titolo di questo post. Che cosa significa il titolo, allora?

Risposta: nulla è un esperimento di pigreliano (vedi sotto).

Il pigreliano è una parola che ho appena inventato per tradurre l’inglese pilish. E che cos’è il pilishπ

Da questo articolo di Alex Bellos sul Guuardian, il pilish è una forma stilistica di scrittura che impone di utilizzare delle parole la cui lunghezza sia esattamente quella delle cifre del π. Come tutti sanno, π è quel, fantastico, numero irrazionale trascendente che (che lo sia non è semplicissimo da dimostrare, però credeteci sulla fiducia) misura la semicirconferenza di raggio unitario.

3.1415926535897932384626433832795028841971693993751058209749445923

quindi, in pigreliano la prima parola dovrà essere lunga 3 caratteri, la seconda un carattere, la terza 4 caratteri e così via. Solo per gioco ho provato a creare una frase in italiano di senso compiuto usando le prime 11 cifre decimali (che sono le uniche che riesco a ricordare a memoria :-P) e il risultato è il titolo di questo post.

Tra = 3
i = 1
mari = 4
e = 1
fiumi = 5
navigando = 9
su = 2
gelide = 6
acque = 5
con = 3
pesci = 5
colorati = 8 (la prima versione su twitter era con cangianti ed è sbagliata perché io ricordo a memoria la versione arrotondata per eccesso con il 9 al posto dell'8)

Se qualcuno riesce a fare meglio del sottoscritto, i commenti sono i benvenuti :-D. Se poi riuscite addirittura a scrivere un vero racconto, come ha fatto Mike Keith (fare riferimento all’articolo del Guardian), beh, siete dei geni!

Altri esempi notevoli di frasi in pilish si possono trovare nella pagina di Wikipedia in inglese.

Un altro link simpatico (via @verascienza), se come me amate il π, questo sito vi permette di ricercare un qualunque numero (ad esempio la data di nascita) nelle prime 200 milioni di cifre del π, dicendovi esattamente la posizione e il numero di occorenze della stessa. Nel mio caso, la mia data di nascita è contenuta 4 volte, prima occorrenza alla posizione 10671962

purtroppo questo post è in ritardo di tre giorni, infatti il 14 marzo, nei paesi anglosassoni che scrivono la data in formato Middle Endian, sarebbe stato il π day (3/14). Quindi, anche se in ritardo, buon π day a tutti 😀

Il prossimo anno sarà il 3/14/15, quindi un super π day. Speriamo per quel giorno di aver trovato una frase che utilizzi almeno una ventina di cifre 😀

Che cos’è il codec HDvid per Firefox, Chrome o IE? Risposta: un malware

La scorsa settimana un amico mi ha chiesto se installare o meno un fantomatico HDvid codec per guardare in streaming una serie tv online. Risposta veloce: NO!.

In pratica, da una settimana, in tutti i siti che propongono i link per guardare gli streaming delle serie TV o di alcuni film, viene chiesto di installare questo codec per poter accedere al video. Visitando una di quelle pagine ho notato che tutti i link proposti rimandano a siti in cui si chiede di installare codesto codec, in passato invece c’erano anche dei collegamenti a siti in cui il solo plugin Flash era sufficiente, senza dover installare ulteriori, inutili, codec. La giustificazione per installare il codec HDvid è che con questo codec ogni filmato sarà visibile in alta qualità. Già questo dovrebbe far riflettere: nessun codec può riprodurre un file in HD se non è stato codificato a monte in HD.

Questo è il tipico messaggio che appare quando si visita uno di quei siti:

Aggiorna il tuo HDvid Codec per Firefox per poter guardare questo video online.

Al posto di Firefox apparirà il nome del browser in uso: i malware non fanno alcuna distinzione di sesso, razza, religione, convinzioni politiche o browser usato, per loro tutto va bene. Di solito cliccando sul link si viene rimandati alla pagina di download. In alcuni siti può pure aprirsi direttamente la pagina di download quando si schiaccia il pulsante Play nel riproduttore in Flash.

Cercando un po’ con Google appaiono vari risultati, in tutti più o meno si dice che si tratta di malware (cosa che uno può intuire anche senza cercare con Google :-) ). Questo è il risultato della query a WhoIS per il dominio da cui viene scaricato il codec:

Risultato della query a WhoIS per il dominio hdvid-codec.com

ora è noto a tutti i marinai di diffidare da chi batte bandiera panamense, direi che possa valere lo stesso per un navigatore del Web.

Se ciò non fosse sufficiente a convincersi della natura maliziosa di quel file eseguibile, questo è il risultato di VirusTotal del file che ho scaricato e che sarebbe il codec per Firefox:

HDvid-codec-FF.exe
SHA1: de9a8dc706f63c36441db3406e82a93650587d93
SHA256: 87082e5a663a00dd8b4d51dd261d0660173c18649dd7ce82e1ab2c2145f19005
Rilevato come malware da:
GData   NSIS.Adware.OneClickDownloader.B    20140317
Kingsoft    Win32.Troj.Generic.a.(kcloud)   20140317
Malwarebytes    PUP.Optional.OneClickDownloader.A   20140317`

Rapporto VirusTotal “`

Quindi, concludendo, quel file è un malware e non va assolutamente installato. Più in generale: mai installare codec proposti da siti che propongono materiale illegale.

Se per sbaglio avete già installato quella schifezza, consiglio di provare a rimuoverlo utilizzando uno dei tre software che riescono a identificarlo come minaccia. Personalmente non conosco GDATA e Kingsoft e consiglio Malwarebytes che può essere scaricato gratuitamente.

diff.py un piccolo script in Python che esporta il diff in formato HTML

Ieri mentre stavo leggendo la documentazione di Python per capire come funziona il nuovo sistema di formattazione delle stringhe e cercare di passare un po’ alla volta tutti i miei, piccoli, script alla 3.0 mi sono imbattuto per caso in uno script molto interessante che se ne sta tranquillo in tools/scripts/. Lo script si chiama diff.py e fa quello che ci si aspetta dal nome, analogamente al comando diff con una utile funzione aggiuntiva e cioé l’esportazione del diff in formato HTML.

Leggere un diff in formato HTML fa una grossa differenza, nel senso che è molto più leggibile e consultabile.

Il comando da dare per ottenere il file diff in formato HTML è il seguente:

f.py file1 file2 -m > diff.html

Spiegazione

  • file1 – È il file con le ultime modifiche.
  • file2 – È il vecchio file.
  • -m – È l’opzione che indica allo script di produrre un output in formato HTML.
  • > diff.html – Di default lo script scrive il codice HTML a schermo, per salvarlo in un vero file html serve specificare il dispositivo di output (un file in questo caso).

Una utile opzione che l’altro diff (io uso quello incluso in Cygwin) non ha (anche se ha altre opzioni in più che mancano a questo semplice script, mai usate peraltro). Ovviamente si può usare su tutti sistemi operativi con Python installato (su Linux dovrebbe essere installato di default, credo). Essendo basato su librerie standard non dovrebbe essere difficile “compilarlo” usando py2exe o simili.

Qui metto un esempio dell’output prodotto.

Probabilmente ci sono altri tool che fanno lo stesso lavoro, però visto che è incluso di default come interfaccia alle librerie difflibs di Python tanto vale farne uso.

Riporto di seguito l’help del comando (diff.py --help):

`\ Usage: diff.py [options] fromfile tofile

Options: -h, –help show this help message and exit -c Produce a context format diff (default) -u Produce a unified format diff -m Produce HTML side by side diff (can use -c and -l in conjunction) -n Produce a ndiff format diff -l LINES, –lines=LINES Set number of context lines (default 3)“