Qualche giorno fa ti ho parlato di Duo, plugin di sicurezza per WordPress che ho scelto come erede e sostituto di Authy, a seguito della cessazione dello sviluppo di quest’ultimo. Oggi ti propongo qualche nuova riga di testo per raccontarti come modificare il comportamento di Duo affinché non permetta null’altro se non la notifica push e il codice generato randomicamente (offline) per darti la possibilità di superare la fase di autenticazione 2-Step.

Duo Security: modificare i metodi di autenticazione concessi 3

Se la tua password è corretta e approdi alla schermata successiva, Duo permette –tra l’altro– di far partire una chiamata verso il numero di telefono da te associato all’account, dettando il codice di autenticazione a voce. Questo però necessita di crediti telefonici che, volendo usufruire delle funzioni gratuite di Duo, vanno contro il principio stesso di gratuità.

Per aggirare l’ostacolo, accedi alla Dashbord di Duo, quindi naviga in ApplicationsWordPress (dove WordPress in realtà potrebbe corrispondere al nome che tu hai voluto dare alla tua installazione da proteggere) → Policy. Qui, in linea con la voce Application policy, potrai specificare una nuova policy che conterrà una modifica ai metodi di autenticazione, come suggerito nella documentazione ufficiale del prodotto all’indirizzo duo.com/docs/administration-settings#authentication-methods.

Puoi ignorare tutto e andare direttamente alla voce Authentication Methods (paragrafo Authentication), togliendo il segno di spunta dall’opzione Phone callback, come nell’immagine qui di seguito:

Duo Security: modificare i metodi di autenticazione concessi 1

Salvando la nuova policy (alla quale dovrai dare un nome, e io ti consiglio di fare in modo che tu possa capire immediatamente di cosa si tratta!), questa verrà applicata all’applicazione protetta, confermato subito a video se non è stato commesso errore alcuno:

Duo Security: modificare i metodi di autenticazione concessi

La modifica è quindi già operativa e potrai tu stesso verificarla provando a collegarti alla tua installazione WordPress (magari da una sessione anonima del browser, se sei già connesso e autenticato). Noterai che gli unici metodi di conferma dell’identità disponibili saranno la notifica push (Duo Push) e un Passcode generato dall’applicazione di Duo randomicamente, come sempre accaduto con Google Authenticator o Authy:

Duo Security: modificare i metodi di autenticazione concessi 2

A questo punto potrai dimenticarti dei crediti telefonici e goderti l’autenticazione a due fattori gratuita, con la tranquillità del bivio doppio disponibile e che -in qualche maniera- ti permetterà sempre di accedere al tuo blog (o qualsivoglia altra applicazione protetta da Duo).

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!

Cerco di macinare, quando posso, feed e newsletter che sono fonti preziose di nuovi spunti, idee, giocattoli e servizi da mettere alla prova. Talvolta in questi si nascondono vere e proprie perle che meritano di essere ulteriormente condivise. Magari riproporrò questa modalità di pubblicazione in futuro, un solo collegamento per un solo tool, come faccio questa volta.

Si chiama CEEV ed è un componente aggiuntivo (sfortunatamente solo per Google Chrome) che ti permette di trasformare il tuo profilo LinkedIn in un CV che puoi stampare o salvare in formato PDF, modificandolo in ogni sua parte.

Da LinkedIn a CV con CEEV

Parte tutto da ceev.io, sito web ufficiale. Puoi scaricare l’estensione dal Chrome Store, oppure usare il badge qui di seguito:

Ceev - Linkedin Resume Creator
Ceev - Linkedin Resume Creator
Developer: ceev.io
Price: Free

Collegati con il tuo account su LinkedIn e lascia lavorare l’estensione, come mostrato in questo video:

Io ci ho provato, e funziona molto bene (e comunque è tutto modificabile prima del salvataggio, quindi puoi mettere le mani ovunque tu voglia) :-)

Da LinkedIN a CV con CEEV 1

Unica pecca: impostando il foglio in A4 e chiedendo di salvare il PDF, ho notato che il risultato occuperà due pagine anziché una come “promesso” dall’anteprima live dell’estensione, dettaglio poco simpatico se ci si tiene al fatto di stare dentro un solo foglio / facciata.

Condividi l'articolo con i tuoi contatti:

Ogni file ha una sua estensione, e ognuna di queste ha la relativa (o più) applicazione dedicata in grado di aprirla, questo è un dato di fatto su ambienti Windows tanto quanto Linux e macOS, giusto? Bene. Nel caso però su un sistema tu dovessi far convivere più applicazioni in grado di lavorare lo stesso tipo di file e volessi modificare l’applicazione predefinita, come ti muoveresti?

macOS: modificare l'associazione predefinita di estensioni e app

Se su Windows la cosa è talmente facile da poter essere agilmente riprodotta anche da tuo nonno, su macOS potrebbe diventare un attimo più complicato per coloro che non sono abituati a utilizzare il Terminale, soluzione sempre immediata e preferibile solo nel caso in cui tu abbia particolare confidenza e capacità di movimento al suo interno.

Fermo immediatamente quella persona in fondo al corridoio che sta urlando che sono un pirla: pur confermando quanto pensa di me (sono anni che mi alleno per migliorarmi sempre più, nda), non è sempre detto che un tasto destroApri conAltroApri sempre con questa applicazione risolva la situazione, ho visto con i miei occhi alcuni casi (che anche io ho faticato a credere nel momento della descrizione del problema a voce) di associazione estensione-applicazione tornati al precedente stato dopo un riavvio o una più semplice chiusura del nuovo programma appena associato in maniera predefinita.

Per questo motivo ho cercato una soluzione a portata di tutti, scoprendo RCDefaultApp. Si tratta di un’estensione delle Preferenze di Sistema di macOS che raccoglie in maniera ordinata e molto pulita le associazione tra estensioni e applicazioni, proponendo un look & feel per certi versi simile a quello che Windows ha utilizzato per anni (e che in parte è stato mantenuto in Windows 10, anche se ormai avviato al pensionamento definitivo). Ti mostro qui qualche screenshot per farti capire di cosa sto parlando:

Se questo miglioramento ti piace, ti posso dire che RCDefaultApp è gratuito e che è possibile scaricare l’ultima versione dalla pagina ufficiale (rubicode.com/Software/RCDefaultApp *). Fai clic qui per scaricare direttamente il file Zip (richiede macOS 10.2 o superiore), dovrai scompattarlo e fare doppio clic su RCDefaultApp.prefPane. Ti verrà richiesto a video se installare il nuovo pannello preferenza solo sul tuo account o su tutti gli account presenti nello stesso macOS, a te la scelta (io l’ho installato solo per il mio utente, anche perché non ce ne sono altri su questo MacBook!).

macOS: modificare l'associazione predefinita di estensioni e app 9

La modifica è immediatamente operativa e non serve riavviare il tuo Mac. Puoi così andare a modificare un’associazione che non ti ha dato retta in maniera definita e più convenzionale.

Buon lavoro! :-)


Immagine di copertina: Jaromír Kavan on Unsplash

(*): nella malaugurata ipotesi il sito web ufficiale non dovesse essere raggiungibile, ho caricato sul mio spazio box una copia del DMG: app.box.com/s/zxtopbs2o25v3utgzbau4ijx220h0gcb

Condividi l'articolo con i tuoi contatti:

Non è la prima volta che mi viene chiesto, scrivo e pubblico un pezzo rapido così che sia più semplice per tutti capire se è arrivato il momento di cambiare la batteria del proprio iPhone, così da uscire (almeno nella teoria) dal tunnel della depotenziazione confermata da Apple qualche tempo fa (lo sanno anche i muri, credo sappia anche tu di cosa sto parlando). Ciò che ti serve è un Mac (iMac o Macbook, non ha importanza) o, nel caso in cui tu non lo abbia, un’applicazione da scaricare e installare su iPhone direttamente da AppStore.

iPhone: come posso capire se devo cambiare la mia batteria?

In generale, uno stato di usura batteria che porta la carica massima sfruttabile al pari (o al di sotto) dell’80% è da considerarsi già papabile per la riparazione (sostituzione della batteria).

Detto ciò, ecco le due alternative che ti suggerisco.

Mac e coconutBattery

coconutBattery è uno di quei tool che esistono da sempre, e che devono essere sempre tenuti a portata di clic, perché tanto piccoli quanto fantastici quando ce n’è bisogno. Si scarica gratuitamente dal sito web ufficiale coconut-flavour.com/coconutbattery, e ne esiste una versione Plus che è nata per sostenere il progetto in futuro, introducendo alcune ulteriori funzionalità davvero niente male.

In origine è stato sviluppato per tenere d’occhio l’usura della batteria del MacBook (e l’ho scaricato qualche anno fa proprio per questo motivo), per poi introdurre in seguito il controllo della batteria di iPhone e iPad (oltre che iPod, se ne possiedi ancora uno). Una volta collegato il tuo iPhone via cavo al Macbook (o iMac), autorizza il PC a connettersi allo smartphone (ti comparirà la solita richiesta di conferma a video su iPhone), quindi apri coconutBattery e spostati nella scheda relativa al tuo iPhone per verificarne la capacità di batteria e l’usura attuale:

iPhone: come posso capire se devo cambiare la mia batteria? 1

iPhone e Battery Life

Altra accoppiata scoperta per caso un paio di anni fa circa, poi suggerita più e più volte, costituisce la concreta e unica alternativa al collegamento tra iPhone (o iPod / iPad) e Mac, senza neanche inserire in equazione la visita presso l’Apple Store più vicino (perché ti ricordo che, prendendo appuntamento, puoi far controllare lo stato di usura della tua batteria anche in Apple Store o centro autorizzato).

Battery Life è un’applicazione gratuita (guadagna sulla pubblicità che ti mostra all’interno di ogni sua schermata, nda) che puoi scaricare direttamente da AppStore, oppure utilizzando il badge qui di seguito:

Battery Life
Battery Life
Developer: RBT Digital LLC
Price: Free+

Estremamente chiara e semplice da utilizzare, una volta installata e avviata ti mostrerà immediatamente le informazioni relative alla batteria e alla sua usura, fornendo inoltre grafici, cronologia e calcoli che ti permetteranno di capire quante ore di vita ha a disposizione lo smartphone se continuerai a utilizzarlo. Ti mostro qualche screenshot catturato dall’applicazione (il telefono è il mio iPhone 6 aziendale):

Condizioni imposte da Apple

Te le riporto qui di seguito, così che possano tornarti immediatamente comode. In linea di massima, se dovesse servirti qualche altra informazione, ti rimando al documento ufficiale di Apple che trovi all’indirizzo support.apple.com/it-it/iphone/repair/battery-power:

Fino al 31 dicembre 2018, il prezzo dell’intervento di assistenza per le batterie fuori garanzia è di € 29 per tutti i modelli idonei iPhone 6 o successivi. L’intervento di assistenza per la batteria al prezzo di € 29 è limitato a una riparazione per iPhone.

I problemi causati da danni accidentali non sono coperti dalla garanzia limitata Apple. I prezzi si applicano solo alle riparazioni della batteria eseguite da Apple. Altri service provider potrebbero stabilire prezzi diversi. Aggiungeremo un costo di spedizione di € 12,20 se la riparazione richiede la spedizione e non è coperta da garanzia o da AppleCare+. Tutti i costi sono espressi in euro e sono comprensivi di IVA.

In conclusione

Ora dovresti avere tutte le informazioni necessarie per poterti muovere e capire se è arrivato il momento di approfittare del cambio batteria a 29€ presso l’Apple Store più vicino a te! In caso di dubbi, come al solito, puoi utilizzare l’area commenti che trovi qui di seguito.

Cheers.


Immagine di copertina di Radovan on Unsplash
Condividi l'articolo con i tuoi contatti:

Da qualche tempo ormai, un paio di referer vengono utilizzati per tentare di verificare se esistono vulnerabilità all’interno dei WordPress in giro per il web (questo che leggi compreso), il che comincia a diventare abbastanza fastidioso. Si tratta ovviamente di movimenti eseguiti da bot che non fanno altro durante l’arco della giornata, ma che continuano a generare righe di log che ovviamente si notano lato server, cose che tu stesso in teoria potresti notare (se hai accesso ai log del tuo hosting), oppure utilizzando plugin come Redirection.

WordPress: bloccare site.ru e baidu.com (spam referer)

Non ho scoperto l’acqua calda certamente, c’è chi se n’è accorto da tempo (dai un’occhiata qui, oppure qui) e chi ha già fatto qualcosa in merito per impedire ulteriori accessi da quel tipo di referer HTTP. Ah già, a tal proposito, dovesse sfuggirti di che diamine sto parlando, propongo:

Il referer (o HTTP referer) è semplicemente l’URL di un elemento che conduce all’elemento corrente: ad esempio, il referer di una pagina HTML può essere un’altra pagina HTML. In sostanza, esso rappresenta la fonte dalla quale un utente è venuto a conoscenza di una pagina. Il referer è parte integrante di una request HTTP inviata dal browser al webserver.

continua qui: it.wikipedia.org/wiki/Referer

Detto ciò, quello che puoi fare –nel caso in cui tu sia protagonista della stessa scocciatura– è mettere mano al tuo file .htaccess e prevedere l’esclusione dei referer di cui puoi fare tranquillamente a meno. Io in lista ti propongo anche baidu.com,

Baidu (百度=Bǎidù) è il principale motore di ricerca in lingua cinese in grado di ricercare siti web, file audio e immagini e secondo il sito Netmarketshare.com a novembre 2016 è il 3° motore di ricerca al mondo con un 7,54% di share dopo Bing che deteneva nello stesso periodo l’8,28%.

continua qui: it.wikipedia.org/wiki/Baidu

il quale compare in diverse righe di errore 404 perché tenta strani accessi o inclusioni di file non propriamente standard, motivo per il quale c’è quella ragionevole certezza che si tratti di un ulteriore attacco bot (spero mi perdoneranno gli amici cinesi che intendono utilizzare realmente il loro motore di ricerca preferito per arrivare a qualche mio articolo, ammesso che quegli amici esistano realmente, e che –soprattutto– vogliano leggere un mio articolo!).

Modifica del file .htaccess

Come già saprai, il file .htaccess si trova nella cartella principale del tuo WordPress e viene generalmente gestito da quest’ultimo o dai plugin installati (per esempio, quelli di sicurezza), occhio quindi a dove metti le mani. Apri il file in modifica e individua un “posto tranquillo” in cui depositare il nuovo codice, puoi copiare quanto di seguito e incollarlo subito prima della riga di commento “# END WordPress” che dovresti trovare intorno alla fine del file:

<IfModule mod_rewrite.c>
 RewriteEngine On
 RewriteCond %{HTTP_REFERER} site\.ru [NC,OR]
 RewriteCond %{HTTP_REFERER} www\.baidu\.com [NC]
 RewriteRule ^.* - [F]
</IfModule>

Salvando il file, dopo poco tempo dovresti già notare molta più pulizia all’interno dei tuoi log (e degli errori 404), con buona pace del tuo WordPress e delle molteplici volte che non sarà più costretto a rispondere negativamente ai tentativi di attacco, dai quali sta bene anche a debita distanza.

In alternativa

Beh, in alternativa si potrebbe passare da un diverso metodo, basato su IP o su regole di Redirection (il plugin di cui ti parlavo a inizio articolo, nda). Per la prima alternativa citata, qualcuno sta già facendo un buon lavoro di raccolta IP dai quali generalmente partono gli attacchi di site.ru, la trovi su GitHub all’indirizzo github.com/rogercomply/siteru-blocklist/blob/master/ipblocklist, e viene continuamente aggiornata (considera che -a ora che sto scrivendo l’articolo- l’ultimo aggiornamento riporta la data di due giorni fa).

Potresti pensare di copiare quegli IP e includerli all’interno della ban list di iThemes Security (altro plugin di cui ti ho parlato in passato), ricordando di tanto in tanto di passare a copiare e incollare la lista aggiornata.

La seconda alternativa passa invece da redirect di tipo 301, consegnando i bot su pagine alle quali chiedere perdono. Ho pensato quindi di rispolverare la vecchia storia del rilancio “stile proxy” verso siti web che possono dare la redenzione, come radiomaria.it.

Inaugurando un nuovo gruppo di filtri di Redirection chiamato “Strunz Interceptor” (poetico, lo so!), ho pensato di prevedere alcuni degli attacchi più classici e ripetitivi, rimbalzandoli verso la home page di Radio Maria. Ho raccolto quei filtri in un file CSV che puoi tranquillamente salvare e importare all’interno del tuo WordPress con Redirection installato. Ho salvato il tutto su Gist, così da poterlo aggiornare agilmente in futuro nel caso ce ne fosse bisogno:

Sentiti assolutamente libero di segnalarne di nuovi all’interno dei commenti di questo articolo o direttamente sotto al file Gist.

Condividi l'articolo con i tuoi contatti: