Archives For API

Stamattina mi trovavo in giro per Milano per un paio di appuntamenti. Ho ingannato l’attesa dando un’occhiata a Twitter, e ho fatto caso ad alcuni strani movimenti decisamente poco avvezzi all’essere autorizzati dai relativi proprietari, si trattava di stati clonati tra di loro, tutti più o meno pubblicati in una stessa fascia oraria, un evidente attacco a tappeto. Si è trattato di un vero e proprio sfacelo, di quelli che da qualche tempo non se ne vedevano più, pare che colpa sia stata di un’applicazione di terza parte con autorizzazioni di lettura e scrittura sugli account Twitter dei suoi utilizzatori.

Di Twitter, Turchia e accessi indesiderati

Ho visto per primi i tweet di Paolo Attivissimo, che è solito ricevere, verificare e rilanciare materiale solo se non si tratta di bufale (che in realtà combatte da sempre e stronca sul nascere). Uno, poi un altro, poi altri ancora e così via, sembra che account non collegati tra di loro abbiano pubblicato stati pro-Erdoğan (il presidente turco):

Il tweet contiene una svastica, alcuni hashtag che si riferiscono al nazismo, un video celebrativo del presidente turco Recep Tayyip Erdoğan e varie scritte fra cui “ci vediamo il 16 aprile”. È la data del referendum costituzionale in Turchia che deciderà se rafforzare i poteri del presidente, una riforma promossa e sponsorizzata dallo stesso Erdoğan. I riferimenti al nazismo e ai Paesi Bassi si legano probabilmente ai diversi litigi diplomatici che Erdoğan ha avuto con alcuni leader europei la scorsa settimana, dopo che in diversi paesi ai membri del governo turco è stato impedito di tenere comizi politici in vista del referendum (probabilmente perché non vogliono legittimare un governo autoritario e ultra-nazionalista come quello di Erdoğan).

vedi: ilpost.it/2017/03/15/attacco-hacker-twitter-turchia

I tweet si susseguono, l’attacco dilaga e gli account violati aumentano, basta dare un’occhiata a questo piccolo elenco di tweet, che in realtà sono poi diventati ancora di più, ma non posso certo star lì a recuperarli tutti ;-) (ci vuole ben poco in realtà):

Impossibile fare diversamente, Paolo cala l’asso e consiglia caldamente l’utilizzo della 2FA (l’autenticazione a due fattori, per la quale combatto e scrivo da sempre):

Twitter aveva attivato l’autenticazione a due fattori tramite SMS già nella prima metà del 2013, evolutasi e passata ad autenticazione (sempre a due fattori) tramite la sua stessa applicazione pochi mesi dopo. Dal 2013 le cose sono ulteriormente cambiate e ci sono stati altri miglioramenti. Ora è possibile anche generare codici temporanei utilizzando applicazioni di terze parti come Google Authenticator o Authy. Non hai quindi più scuse per perdere tempo, attivala subito.

È solo dopo un’ora circa dai primi attacchi (orario italiano) che si scopre che il problema non è Twitter, né tanto meno una password troppo debole degli utilizzatori colpiti. Il cavallo di Troia si chiama TwitterCounter, un servizio (a ora che sto scrivendo l’articolo è down per manutenzione) che permette di rilevare diverse statistiche riguardo il proprio utente Twitter. Per utilizzarlo è necessario autenticarsi tramite il proprio user Twitter (sfruttando le API) e dargli accesso in lettura e scrittura. La seconda ACL è quella che ha causato il danno più visibile, evidentemente.

Paolo ha raccolto diverse informazioni e le ha messe a disposizione di tutti nell’articolo che potrai leggere all’indirizzo attivissimo.blogspot.it/2017/03/violazioni-di-massa-di-account-twitter.html.

Da lì a poco anche Matteo è entrato in gioco e ha fornito dettagliate statistiche che mostrano l’evoluzione dell’attacco e gli account colpiti, con relativi rimbalzi, visualizzazioni e chi più ne ha più ne metta. Trovi tutto il materiale all’indirizzo matteoflora.com/a-social-media-analysis-of-the-turkish-%E5%8D%90-nazialmanya-attack-294ff653085c#.mxnysyvy7.

Nel frattempo, anche Gizmodo ha raccolto ulteriori informazioni e le ha inserite all’interno del loro articolo riepilogativo (gizmodo.com/twitter-accounts-hacked-with-swastikas-through-third-pa-1793286451). I passaggi più importanti sono quelli relativi alle affermazioni di Twitter e del servizio di terza parte TwitterCounter, che riporto:

Update, 5:36am: Twitter just sent us this statement:

We are aware of an issue affecting a number of account holders this morning. Our teams are working at pace and taking direct action on this issue. We quickly located the source which was limited to a third party app. We removed its permissions immediately. No additional accounts are impacted. Advice on keeping your account secure can be found here.

vedi: support.twitter.com/articles/76036 (consigli di sicurezza che tutto sommato riportano quanto già detto da me, da Paolo e da molti altri, mille volte)

Da lì a poco, inevitabile il tweet di TwitterCounter:

Ciò vuol dire che, almeno per il momento, nulla si può muovere tramite TwitterCounter, il quale ha anche modificato la sua chiave privata per sfruttare le API di Twitter, così da evitare (si spera) ulteriori attacchi. Se e quando verrà scoperta la falla beh, questo non è ancora dato saperlo (ma salterà sicuramente fuori nelle prossime ore, o almeno tutti ce lo auguriamo).

Occhio a chi hai autorizzato

Il mio consiglio, oltre a quello di andare ad attivare l’autenticazione a due fattori e rimuovere immediatamente l’accesso all’applicazione TwitterCounter (ammesso tu l’abbia mai autorizzata) da twitter.com/settings/applications, è quello di verificare quante altre applicazioni possono accedere al tuo account Twitter, e fare una pulizia di primavera in leggero anticipo, per evitare che chiunque possa sfruttare falle che esulano da Twitter o dalla tua capacità di proteggere l’account con una robusta password e un corretto metodo di verifica.

Se non utilizzi più un’applicazione, se non ne riconosci il nome, se pensi di non averci nulla a che fare, rimuovi il suo accesso. Ricorda che potrai sempre ridarglielo in un secondo momento, senza conseguenze (dovrai semplicemente riautenticarti a Twitter). Fai distinzione tra lettura e scrittura, e prediligi l’eliminazione immediata di chi ha accesso in scrittura al tuo account, guarda la differenza in questa immagine catturata dal mio account:

Di Twitter, Turchia e accessi indesiderati 1

Ricorda solo che, nel caso tu utilizzi iOS o macOS abitualmente (sistemi operativi di casa Apple), revocare i diritti di accesso non è immediatamente banale, devi pensare più in grande e toglierli all’intero sistema, come spiegato nella documentazione ufficiale di Twitter.

Non perdere altro tempo, dai un’occhiata alle tue impostazioni di sicurezza e fai in modo da proteggerti il più possibile da accessi (e utilizzi) indesiderati.

Cheers.

G

L’esigenza dalla quale è poi nato questo articolo è molto semplice. Per pubblicare tutte le ultime notizie (e non solo) di Fuorigio.co, utilizziamo un account Twitter comune. Buona abitudine (se ci si tiene, non obbligatorio in nessun caso) è quella di rilanciare i tweet dell’account comune utilizzando quello personale, di ciascun membro di redazione.

Twitter: replicare velocemente i cinguettii :-) 1

Le alternative sono due: si utilizza uno strumento (quello di cui ti parlerò è gratuito entro certi limiti) che possa fare questo mestiere al posto tuo, “non presidiato“, fidandoti ciecamente delle pubblicazioni dell’account comune, il secondo invece è parzialmente manuale, lasciandoti tutto il margine di scelta riguardo il rilancio, basterà avere a portata di mano l’applicazione ufficiale di Twitter per Android o iOS:

Twitter
Twitter
Developer: Twitter, Inc.
Price: Free
Twitter
Twitter
Developer: Twitter, Inc.
Price: Free

Ora ti spiego come procedere, in maniera automatica con RoundTeam o manuale con il client di Twitter.

Automatico: RoundTeam

Si tratta di roundteam.co, è un sito web che sfrutta le API di Twitter e l’accesso al tuo utente per effettuare il retweet delle fonti che vuoi dargli in pasto. Nel mio caso ho scelto di creare una lista utenti popolata (oggi) dal solo account di @fuorigiocoit, il quale verrà rilanciato in maniera del tutto trasparente a intervalli di tempo regolari (ammesso che nel frattempo quell’account abbia pubblicato qualcosa, ovvio no?). Si procede in maniera molto semplice. Una volta registrati al sito web (ci si autentica con il proprio utente Twitter, nda) si potrà selezionare il metodo di RT, proprio come nell’immagine di seguito (dove, come anticipato, ho scelto la modalità di lettura da lista utenti pubblica):

Twitter: replicare velocemente i cinguettii :-)

Le impostazioni applicate sul metodo lista sono semplici: massimo 3 hashtag o menzioni all’interno del tweet e nessun rilancio di Retweet che vengono eseguiti dall’utente @fuorigiocoit, il tutto per un massimo di 10 rilanci all’ora (e mai RT doppi), il tutto come da immagine di seguito.

Twitter: replicare velocemente i cinguettii :-) 2

Da questo momento in poi potete anche dimenticarvi dell’automatismo, penserà a tutto lui, il vostro utente Twitter rilancerà i contenuti pubblicati dalla lista seguita, voi dovrete solo ricordarvi di averlo fatto nel caso in cui dobbiate disattivare il ponte ;-)

Manuale: Twitter App

Ormai da molto tempo, l’applicazione di Twitter offre la possibilità di monitorare determinati account, affinché si possa venir avvisati di nuove pubblicazioni in Timeline. Dalle Impostazioni dell’applicazione si potrà accedere a quelle del proprio account, quindi selezionare Notifiche → Notifiche su cellulare (iOS) o Notifiche push (Android) → Tweet, qui occorrerà inserire o togliere dalla lista gli utenti interessati.

Su Android e iOS i menu sono molti simili, cambiano giusto le voci come appena riportato. Per inserire o togliere qualcuno dalla lista delle notifiche ti basterà fare clic sull’icona ingranaggio dell’utente da seguire (da cui ricevere le notifiche di nuova pubblicazione) su iOS, altrimenti selezionare l’icona a forma di stella su Android. Inserisco qui alcune schermate catturate da iOS per renderti la vita un pelo più semplice e farti notare che, una volta selezionato l’utente da tenere d’occhio, dovrai andare in Impostazioni (di Twitter) AccountNotifiche sul cellulareTweet e abilitare qui le Push Notifications, facendo attenzione che sia abilitato l’utente precedentemente selezionato :-)

Così facendo, ogni volta che quell’utente in evidenza pubblicherà un nuovo contenuto, riceverai una notifica. Potrai rapidamente aprire il contenuto pubblicato e scegliere di rilanciarlo, citarlo o semplicemente “preferirlo” con l’icona a cuore del Social Network cinguettante. Una soluzione che ha costo zero, se non quello relativo alla fatica di aprire l’ennesima notifica a monitor dello smartphone o del tablet :-)

E tu lì fuori che leggi, hai altri suggerimenti per raggiungere lo stesso scopo? Si? Allora perché non ne parliamo insieme nell’area commenti? ;-)

Siete copywriter, traduttori, correttori di bozze? Come freelance arrotondate le vostre entrate oppure siete dei professionisti nel settore della comunicazione? TextMaster è la community dove si vendono e comprano servizi di scrittura, traduzione e revisione di testi, e non essere presenti è una mancanza imperdonabile. Ora con questo plugin, gratuito e già online, sarà semplice collegare il vostro sito in WordPress al vostro account di TextMaster.

Wordpress: Multi-language

Grosso modo comincia così la presentazione aziendale di TextMaster, ciò che fa immagino sia abbastanza intuibile. In realtà ciò che più mi ha interessato tra le varie scelte è la possibilità di consegnare a loro un testo in italiano e lasciarselo tradurre in altre lingue senza la necessità di conoscerle così bene (parlo in principale modo dell’inglese, spesso conosciuto in maniera superficiale), per i testi in outsourcing a meno di aver perso per strada l’ispirazione non vedo invece una reale utilità, non almeno per i blog personali come questo.

Prezzi, condizioni e tutti i dettagli dei prodotti sono disponibili sul sito web ufficiale: it.app.textmaster.com/clienti/prezzi, c’è tutto ciò di cui potreste aver bisogno, grosso modo a fasce di prezzo accessibili più per piccole e medie aziende che per privati (anche se uno strappo alla regola di tanto in tanto si potrebbe anche fare!).

Andiamo quindi al sodo e vediamo la parte tecnica e l’offerta che hanno riservato per i lettori di questo blog e no, giusto per essere chiari sin da subito: non ho preso soldi per la pubblicazione di questo articolo e non ho avuto benefit da sfruttare, a dirla tutta sono diventato autore della piattaforma nel caso in cui qualcuno abbia bisogno di un lavoro di copywriting in lingua locale nei campi da me conosciuti.

Dato però che spesso mi viene chiesto come è possibile mettere in piedi blog multilingua senza l’utilizzo di plugin semi-automatici basati su traduttori spesso erranti ho pensato che questa potrebbe essere una valida soluzione al giusto prezzo.

Il plugin per WordPress

Potete trovare il plugin qui, scaricarlo e quindi copiarlo nella cartella apposita sul vostro spazio, vale anche  la solita ricerca e installazione di TextMaster dalla sezione plugin della dashboard del vostro WordPress. Allo stato attuale non è possibile installarlo nel caso abbiate un blog gratuito su wordpress.com.

Fatto questo, attivate il plugin. La casella “TextMaster” apparirà, se avete il blog in lingua italiana, nel menù “Impostazioni”. Da qui potrete attivare le API per collegare il vostro account a quello di WordPress. È semplice e immediato, basta cliccare sul link presente e seguire le istruzioni per avere le key. Una volta fatto tutto ciò potete inserire il codice API nella sezione Generale, per avere accesso diretto al vostro account TextMaster. Ecco la sezione di redazione, traduzione e proofreading direttamente sul vostro WordPress.

Gestirete ogni cosa dal vostro sito, a cominciare dai progetti. Infatti si attiverà poco più in alto (proprio sotto la sezione Articoli) la nuova opzione “TextMaster”, la potete riconoscere dall’icona rossa.

Da qui potete facilmente aggiungere i vostri progetti e semplificare enormemente il vostro lavoro, connettendo il vostro sito con la piattaforma di TextMaster. Vi sfugge come? Sarà sufficiente cliccare su “Add new”, il classico “Aggiungi”.

Il plugin TextMaster è certamente uno strumento che permetterà sia a voi che alla community di crescere. Certo, ci sono ancora alcune cose da sistemare: prima di tutto, la lingua. Per chi è nel mondo delle traduzioni, chi ha installato la piattaforma WordPress e ha un minimo di dimestichezza non avrà difficoltà ad utilizzare questo plugin in inglese o francese, ma una versione localizzata potrebbe rendere più immediato l’utilizzo di questo strumento sicuramente utile per evitare qualche passaggio di troppo.

In ogni caso si tratta di una piccola barriera linguistica che di certo non sarà un ostacolo nell’utilizzo del plugin. Una volta avute le chiavi API, è alla portata di tutti, neofiti compresi.

L’offerta

TextMaster offre ai visitatori un codice di sconto “gioxxswall” che dà diritto al 10% di bonus sul primo acquisto. Utilizzate questo codice di affiliazione: it.textmaster.com/?pid=520342664ec13c0002000531 e una volta seguita la procedura di registrazione e inizio dell’acquisto otterrete lo sconto promesso (basterà indicarlo nella casella apposita dedicata ai codici promozionali), che male non penso faccia :-)

p.s. bentornati dalle vacanze, nel caso in cui le aveste fatte e stamattina sia ricominciata la vita da ufficio!

Su segnalazione del buon Tambu vi propongo test, passaggi e localizzazione dell’articolo originale comparso su WPMU ieri. Scopriamo insieme come effettuare un backup automatico del vostro WordPress utilizzando direttamente Google Drive :-)

Per effettuare i test ho utilizzato un’installazione “dev” (dedicata ai miei esperimenti, ndr) di WordPress 3.4.1 completamente aggiornata, in inglese.

Tutte le immagini contenute in questo articolo sono più grandi, potete fare clic su ciascuna per aprirla a dimensione reale.

Installazione del plugin

Dalla vostra schermata Plugin, cercate ed installate “Google Drive for WordPress” (attualmente alla versione 1.0):

WordPress: Installazione “Google Drive for WordPress”

Attivazione e accesso OAuth di Google

All’attivazione vi verranno richiesti due valori (ID e Secret Key) relativi alle API di Google da utilizzare per interfacciare i due ambienti. Potete registrare un accesso API dedicato al backup gratuitamente, basterà visitare il sito web code.google.com/apis/console.

Partite quindi creando un nuovo progetto:

Google API Console: Creazione nuovo progetto

e selezionate la voce “API Access” dalla colonna di sinistra per iniziare a creare un accesso OAuth, io ho volutamente impostato il mio ambiente Google in inglese, le voci in italiano non dovrebbero poi differire di molto:

Google API Console: Creazione accesso OAuth 2.0

A questo punto basterà compilare i campi relativi al nome del prodotto (va bene un semplice “Backup Blog” o simile) e –se voleteun logo personalizzato:

OAuth: Create Client ID

Facendo clic su Next arriverete alla seconda schermata, dove inizialmente basterà specificare l’URL del blog che farà accesso al servizio nel campo “Your site or hostname“:

OAuth: Client ID Settings

per poi fare clic su “more options” e specificare nel campo “Authorized Redirect URIs” la stringa completa dichiarata nel plugin, che sarà sempre “http://URLBLOG/wp-admin/admin.php?page=configure_google&action=auth” (inutile dire che dovete andare a ritoccare URLBLOG con il vostro indirizzo, vero?):

OAuth: More Settings su Client ID Settings

Con “Create Client ID” confermerete il tutto e la parte relativa all’accesso OAuth di Google sarà così terminata.

Ready to Start

A questo punto vi basterà andare a copiare Client ID e Client secret dalla schermata di Google ottenuta:

Google API Console: dati di connessione

all’interno dei rispettivi campi WordPress:

WordPress: compilazione campi ID e chiave segreta

e confermare con “Allow Access” per visualizzare la richiesta di autenticazione a Google, alla quale ovviamente risponderete confermandola.

Google Auth: richiesta accesso applicazione

Avete appena collegato il vostro WordPress al Google Drive personale!

Configurazione del Backup

Ora che i due sistemi sono collegati tra di loro potete procedere con la personalizzazione e schedulazione del backup. Dalla voce “Backup Settings” è possibile modificare le impostazioni di salvataggio escludendo file, scegliendo di tenere sotto backup anche il database SQL e schedulando il backup automatico ad intervalli di tempi da voi stabiliti:

WordPress: impostazione backup su Google Drive

Con un clic su Save terminerete anche questo passaggio, non dovete fare altro che godervi il risultato facendo clic sulla voce “Backup” della colonna sinistra quindi un ulteriore clic sul pulsante dalla stessa voce nel pannello di destra:

WordPress: forzare un backup dei dati su Google Drive

Cosa vedrete su Google Drive? Presto detto:

Google Drive: file ZIP di backup

Il file ZIP è direttamente “esplorabile” da Drive, nel caso in cui aveste necessità di estrarre solo parte del contenuto ;-)

Google Drive: navigazione nel file ZIP di backup

Se qualcosa non vi è chiaro l’area commenti è –come sempre– a vostra totale disposizione.

Buon lavoro!