Archives For Apple Safari

Installata circa un mese fa (in occasione della pubblicazione di un articolo ad-hoc sul blog ufficiale), DuckDuckGo Privacy Essentials è la nuova estensione del noto motore di ricerca, realizzata per cercare di arginare la sempre crescente quota di tracciatori della propria navigazione. Si tratta di quei simpatici (si fa per dire) script e cookie che tengono d’occhio i tuoi spostamenti, le tue preferenze, le tue scelte, per cercare di proporti contenuti che possano stuzzicare la tua curiosità, prodotti di cui potresti aver bisogno prima di sapere di averne reale necessità.

Un'occhiata a DuckDuckGo Privacy Essentials

Un componente aggiuntivo che porterà con sé una sua icona (che all’occhio ti fornirà un dato importante riguardo il grado di privacy offerto dal sito web visitato, nda), molte informazioni importanti e la modifica del motore di ricerca predefinito, anche se questa potrebbe essere considerata una mossa sleale e poco simpatica, perché non è detto che io non voglia continuare a usare il mio preferito da un giorno all’altro.

Per poter approdare sul mobile, al posto del componente aggiuntivo, viene suggerito l’uso del browser alternativo sviluppato da DuckDuckGo e che integra già le sue soluzioni di privacy.

Lascia che te ne parli un po’, tirando fuori pro e contro di una soluzione che costa poca fatica all’utente (in termini di configurazione) e permette di dormire sonni un po’ più tranquilli rispetto alla semplice navigazione anonima (vedi spreadprivacy.com/is-private-browsing-really-private).

Grado di privacy

È l’icona che DuckDuckGo Privacy Essentials ti mostra nella barra principale del tuo browser, il colpo d’occhio per capire da che lato gioca il sito web che stai visitando, se dal tuo (cercando di tutelare la tua privacy) oppure dall’opposto (svendendola un tanto al chilogrammo). Più è alto il grado, più sarai tutelato durante la tua visita.

Un'occhiata a DuckDuckGo Privacy Essentials 1

Viene da sé che visitare un sito web legato a DuckDuckGo ti porterà a vedere un grado A, mentre questo blog (a causa dei pulsanti social e le statistiche legate a Google Analytics) scende alla lettera C (ed è un attimo che tornano in mente i bei -?- tempi della scuola e del “signora, il ragazzo è bravo ma non si applica”), per poi essere portato a B grazie ai blocchi imposti dal componente aggiuntivo stesso:

DuckDuckGo Privacy Essentials forzerà qualsiasi sito web a mostrare i suoi contenuti in HTTPS (se disponibile), così da rimediare alla possibile svista (voluta o non) di chi quel sito web l’ha sviluppato e preferisce ancora tenerti su HTTP (per qualsivoglia motivo). Nella tendina dei dettagli dell’estensione potrai inoltre trovare riferimenti ai tracker utilizzati (Twitter / Facebook / Google+ e soci), e potrai decidere se attivare o meno l’aiuto che il componente aggiuntivo può darti bloccando la raccolta dati che quei tracker portano, è ciò che puoi attivare o disattivare con lo switch su Site Privacy Protection.

Un'occhiata a DuckDuckGo Privacy Essentials 7

Disattivando lo switch, il sito web che stai visitando finirà direttamente nella Whitelist del componente aggiuntivo. La Whitelist può essere popolata anche manualmente (se lo preferisci), puoi farlo semplicemente facendo clic sulla voce “Manage Whitelist” della tendina del grado privacy.

Tutto funzionante?

Affatto. Molto probabilmente noterai dei siti web lenti nel caricamento o che non si aprono affatto. Ciò è causato dalla quantità di tracciatori e script al loro interno, roba che per quel povero grado di privacy non esiste una scala negativa sufficientemente capiente, e ti toccherà quindi fare un paio di mosse:

  • spegnere temporaneamente la Site Privacy Protection (così il sito web verrà incluso in Whitelist).
  • Segnalare l’anomalia al supporto di DuckDuckGo per un’analisi più approfondita e relativa modifica al comportamento del componente aggiuntivo. Puoi farlo facendo clic sulla voce “Report Broken Site” nella tendina del grado privacy. Per il momento sembra non esistere un modulo già preconfigurato nel componente aggiuntivo, ti toccherà quindi mandare una mail pre-compilata nella quale inserire i tuoi dettagli.

Ho un esempio da farti? Assolutamente sì, e non credo ce ne sia da vantarsene. Si tratta di una incompatibilità con il sito di Fastweb (fastweb.it), a oggi contenente una quota di tracker imbarazzante (46) e un grado di privacy D.

Motore di ricerca predefinito

DuckDuckGo Privacy Essentials imposta l’omonimo motore di ricerca come predefinito. Puoi facilmente correggere il tiro andando nelle preferenze del tuo browser e rimettendo a posto la relativa voce, il componente aggiuntivo eviterà di andare a modificare nuovamente quella voce (a meno che tu non vada a disattivare e riattivare il componente stesso, simulando una reinstallazione). Su Firefox, per esempio, troverai questa situazione:

Un'occhiata a DuckDuckGo Privacy Essentials 8

Un clic sul menu a tendina e potrai tornare a quello che sei sempre stato abituato a utilizzare.

Questo non ti impedisce di intraprendere comunque un paio di strade per mantenere la possibilità di ricercare ciò che ti interessa su DuckDuckGo (parlo sempre di Firefox, ma con Chrome in parte le cose restano le stesse):

  • dovresti trovare DuckDuckGo tra i “Motori di ricerca in un clic“, assegnagli una parola chiave così da poterlo facilmente richiamare dalla barra dell’URL (come ti ho già ben spiegato in un articolo di qualche tempo fa). Io ho scelto per lui un poco fantasioso ddgo che funziona perfettamente.

Un'occhiata a DuckDuckGo Privacy Essentials 9

  • Il componente aggiuntivo porta con sé una casella di ricerca che genererà risultati su DuckDuckGo.com, aperti in una nuova scheda. Ti basta fare clic sull’icona del grado di privacy nella barra del tuo browser, posizionarti e chiedere.

Download

Se intendi dare un’occhiata a DuckDuckGo Privacy Essentials passando dal tuo PC e dal browser che sei solito utilizzare, puoi installare il componente aggiuntivo per Mozilla Firefox e Google Chrome, ma anche per Safari (se preferisci il browser nativo di macOS):

DuckDuckGo Privacy Essentials
DuckDuckGo Privacy Essentials
Developer: DuckDuckGo
Price: Free

Qui per Safari: safari-extensions.apple.com/details/?id=com.duckduckgo.safari-HKE973VLUW

In alternativa, come già anticipato, potrai scaricare il browser completo su Android e iOS:

DuckDuckGo Privacy Browser
DuckDuckGo Privacy Browser
Developer: DuckDuckGo
Price: Free
DuckDuckGo Privacy Browser
DuckDuckGo Privacy Browser

Fammi sapere cosa ne pensi e se trovi delle difficoltà nella navigazione come successo a me. Sono certo che il progetto possa crescere e migliorare molto, aiutandoti a tenere più riservati i tuoi dati, senza troppa fatica.

Condividi l'articolo con i tuoi contatti:

Di tempo dal lancio di NoCoin e di molte altre alternative (sotto varie forme, siano esse estensioni, liste filtri o prodotti eseguibili di terze parti) ne è passato davvero poco, eppure l’argomento più in generale è trattato e documentato oggi più che mai, perché al centro dell’attenzione di molte testate, blog indipendenti, comunità di discussione. CoinHive è solo il giocatore forse più conosciuto in campo, ma le fonti di mining aumentano così come i siti web che ne fanno uso, senza la benché minima considerazione della sopravvivenza dell’hardware di coloro che non scelgono volontariamente di far parte del vortice criptomonete.

NoCoin: il cryptojacking è ormai argomento comune

Ciò che oggi puoi fare è proteggerti. Esistono molti prodotti che sono in grado di tutelare le risorse del tuo PC, gratuiti o a pagamento (nel caso di alcuni antivirus premium, nda), alcuni li utilizzi già. Io –come già sai– mantengo la lista NoCoin per Adblock Plus (e compatibili), della quale ti ho parlato in maniera approfondita in questo articolo:

Ti presento NoCoin, l’ultimo arrivato nella famiglia ABP X Files

Se vuoi utilizzare un metodo di protezione alternativo sei assolutamente il benvenuto (e ti dirò di più, sei caldamente invitato a lasciare un tuo commento al post per suggerirne anche a me e agli altri lettori, potrei parlarne in futuro o integrarli in questo articolo), puoi poi decidere di verificare la bontà del metodo passando da un sito web che Opera (sì, il noto browser) ha realizzato e messo online per verificare se la tua postazione è protetta da questo tipo di attacchi. Lo trovi all’indirizzo (con molta fantasia) cryptojackingtest.com. Io ho già eseguito più verifiche con NoCoin nel corso del tempo, superandole ogni volta:

NoCoin: il cryptojacking è ormai argomento comune 1

La nota genericamente positiva è che lo screenshot qui sopra l’ho catturato qualche tempo fa (in occasione del primo test eseguito con NoCoin a bordo, quando ne aveva parlato anche lifehacker), e oggi la percentuale di postazioni protette è aumentata arrivando a quota 77% circa (un 3% in più nel giro di un mese circa, affatto male direi), contro un restante 26% di non protetti a causa –probabilmente– della poca informazione o della sfiducia nei confronti dei metodi e tool difensivi a disposizione. La trappola è sempre dietro l’angolo, non ignorarla pensando che a te non possa capitare di finirci dentro, è giusto di qualche giorno fa un articolo molto interessante su ilSoftware.it e un attacco verso 4000 siti web ignari di veicolare un attacco.

Poi, perché chiaramente c’è anche l’eccezione che conferma la regola, esiste comunque una porzione di fruitori del web che permette agli script di mining di lavorare sfruttando la potenza di calcolo “in standby” dei propri processori, ma lo fa consapevolmente, ed è giusto quindi che continui a poterlo fare, operazione generalmente consentita dai componenti aggiuntivi come No Coin di Keraf, oppure con una disabilitazione della lista sottoscritta (NoCoin compresa) o whitelisting del singolo filtro / sito web interessato (maggiormente prioritario rispetto a quanto dettato dalla lista sottoscritta). Di questo ne ha parlato per esempio DDay, in merito al caso Salon e sostentamento delle spese di quest’ultimo.

Per saperne di più

Dato che, nonostante se ne parli quanto più possibile, non tutti possono / devono conoscere di cosa sto blaterando, ti rimando a un interessante quanto semplice articolo riepilogativo di hackerbits.com (in lingua inglese, nda), che ti descrive in maniera semplice –seppur approfondita– l’argomento cryptojacking e i relativi metodi di mining, facendo ulteriore riferimento alle criptovalute attualmente disponibili: hackerbits.com/programming/what-is-cryptojacking.

Condividi l'articolo con i tuoi contatti:

Non è una novità, se ne parla già da tempo e credo che lo “scandalo” (se così lo si può definire) legato alla baia dei pirati (ne parlava Diletta su Wired il 20 settembre scorso) sia stato solo la punta dell’iceberg, che abbia in qualche maniera sdoganato una pratica sempre più crescente, adottata ogni giorno da siti web che tendenzialmente potrebbero essere raccolti sotto il tetto unico della pirateria informatica e la violazione dei diritti d’autore. Ne parla Hardware Upgrade in maniera più approfondita ma comunque accessibile per tutti. Io oggi voglio parlarti di NoCoin, ma parto da “un po’ più lontano“, dal perché dovresti difenderti dal mining delle criptovalute via browser.

ABP X Files: ti presento NoCoin, l'ultimo arrivato in famiglia!

Cosa sta succedendo

Se ti parlo di Coinhive probabilmente non capirai di cosa sto blaterando, ma in realtà te l’ho già parzialmente introdotto nel cappello di questo articolo, è lui il protagonista dell’esperimento e relativa “sommossa popolare” legata a Pirate Bay, poiché propone un diverso modo di recuperare le spese di sostentamento di un sito web (ma non solo), inserendo javascript che possono minare criptovalute sfruttando il browser (ma non solo, ribadisco). Il tutto ha avuto inizio nel settembre del 2017 (intorno alla metà del mese), come riportato in un ottimo articolo di BleepingComputer (bleepingcomputer.com/news/security/coinhive-is-rapidly-becoming-a-favorite-tool-among-malware-devs):

Coinhive is quickly becoming the talk of the Internet, going from an innovative tool that lets you mine Monero with your browser, to a technology abused by hoards of malware authors.
Coinhive, as a tool, is a JavaScript library that website owners can load on their site. When users access the site, the Coinhive JavaScript code library executes and mines for Monero for the site owner, but using the user’s CPU resources.
Original idea! We’ll give it that. Coinhive launched on September 14, and its authors advertise it as an alternative to classic advertising.
Coinhive claims that webmasters can remove ads from their sites, and load the Coinhive library and mine for Monero using a small portion of the user’s CPU while the user is navigating the site. Site owners can make money and support their business, but without peppering their visitors with annoying ads.

Dato che di notizie riguardanti malware e falle enormi ne abbiamo già ricevute abbastanza nel corso dell’anno passato e anche in concomitanza con l’inizio di questo 2018 (Meltdown e Spectre ormai sono due nomi sulla bocca di tutti, o quasi), direi che forse possiamo fare un pelo più di attenzione a questi siti web che ormai proliferano incontrollati (anche se alimentati grosso modo dagli stessi player), prendendo contromisure che possano tutelare i browser utilizzati e le CPU dei nostri PC.

In attesa che Mozilla, Google e soci lavorino proponendo una soluzione possibilmente definitiva (dai un’occhiata a questo ormai chilometrico thread riguardante Chrome), tu puoi già fare qualcosa.

Come proteggersi

In alcuni casi, prodotti di sicurezza di terze parti (un caso abbastanza importante è quello di Malwarebytes) sono già pronti a reagire alla novità, proponendosi come scudo tra il browser e quei siti web che provano a fare ciò che non è stato preventivamente approvato dall’utente, ma non tutti possono dirsi alla pari e allo stesso livello.

Ancora una volta Adblock Plus e soci possono darci una grande mano, e di questo te ne parlo nello specifico nel successivo paragrafo dedicato a liste ben specifiche. Se vuoi utilizzare qualcosa di creato ad-hoc e disponibile su più browser, posso suggerirti “No Coin“. Si tratta di un progetto open source pubblicato su GitHub, lo trovi all’indirizzo github.com/keraf/NoCoin, il quale ha dato origine all’estensione attualmente disponibile per Firefox (WebExtension, perfettamente compatibile con Quantum), Chrome e Opera:

No Coin
No Coin
Price: Free
No Coin - Block miners on the web!
No Coin - Block miners on the web!
Developer: Keraf
Price: Free
No Coin
No Coin
Developer:
Price: Free

Il funzionamento è parecchio banale ma efficace. Come per un adblocker, No Coin sfrutta una blacklist (aggiornata) che permette al componente aggiuntivo di avvisarti nel caso in cui il sito web visitato stia facendo uso di un miner di criptovaluta, così che tu possa bloccare l’esecuzione del codice arbitrario o decidere di tenerlo in una whitelist (magari ti fa piacere partecipare al mining, ognuno fa ciò che vuole con il proprio hardware).

Allo stato attuale No Coin non è disponibile per i browser di casa Microsoft (Internet Explorer / Edge) e neanche per Safari (Apple). Per questo motivo, ho pensato di riutilizzare quanto fatto da Keraf per dare origine a “NoCoin“.

Hello, I’m NoCoin!

ABP X Files: NoCoinAdblock Plus (ma anche gli equivalenti) sono disponibili ormai per ogni browser, per questo motivo ho verificato i limiti di licenza dettati per il progetto “No Coin e ho lavorato a una modifica dello script VBS che genera la lista HWS (te ne parlavo qui), per catturare la blacklist di Keraf e trasformarla in un modulo di X Files, un’ulteriore sottoscrizione che puoi utilizzare gratuitamente sul tuo PC, la “NoCoin List“.

NoCoin si basa su una logica simile a quella HWS, per questo motivo impedisce il caricamento di qualsiasi file facente parte dei domini che vengono utilizzati per distribuire javascript (e affini) di mining di criptovaluta, quando caricati come “terza parte” (cioè utilizzati da altri siti web puliti). Ho volutamente scelto di non integrare quei domini in HWS perché si tratta di due scopi ben differenti, e chiunque può aggiungere un’ulteriore sottoscrizione al proprio Adblock Plus (o altro componente aggiuntivo), poiché costa poca fatica.

Con l’occasione, ho dato una svecchiata ai contenuti della home page di progetto, includendo il nuovo blocco per la lista attualmente in fase Beta:

Ti presento NoCoin, l'ultimo arrivato nella famiglia ABP X Files

Ora tocca a te. Scegli come proteggere ulteriormente la tua navigazione, ma fallo quanto prima, per evitare spiacevoli inconvenienti. Nel caso in cui tu non voglia utilizzare il nuovo modulo NoCoin, tu suggerisco di dare un’occhiata a un progetto alternativo anch’esso presente su GitHub e già ben nutrito, curato da Hosh.

L’area commenti qui di seguito è –come sempre– a disposizione per ulteriori informazioni o chiarimenti in merito all’argomento trattato e alle novità introdotte. Per aprire una richiesta di supporto riguardante NoCoin ti rimando invece a uno dei possibili metodi riportati nel sito web ufficiale (ti consiglio comunque GitHub).


Immagine di copertina: techporn.ph

Condividi l'articolo con i tuoi contatti:

Tra un WannaCry e l’ulteriore novità dello scorso 13 giugno (di cui non ho parlato in maniera più approfondita, ma sappi che si tratta dell’ulteriore giro di fix che coinvolge anche tutte le macchine con OS non più supportato), con il contorno di ulteriori impegni privati e il rientro in palestra, di tempo da investire per curare le pubblicazioni del blog inizio ad averne sempre meno, nonostante ci tenga tantissimo.

ABP X Files, noads.it e “cosa vi siete persi negli ultimi tempi” 2

Quindi, giusto per recuperare un attimo ciò che ho lasciato indietro, ti riepilogo brevemente cos’è successo circa un mese fa, in merito al nuovo trasferimento di NoAds.it e la definitiva (spero) sistemazione delle liste, ospitate da GitHub.

Ho scelto di migrare NoAds.it portandolo su ServerPlan, casa di questo blog, che venerdì scorso è stato a sua volta spostato su un nuovo server che permette di avere le versioni più aggiornate di PHP, guadagnandone in velocità e stabilità (si spera a lungo). NoAds.it è diventato un ulteriore alias di questo spazio web, e riporta in maniera del tutto automatica al sottodominio xfiles.noads.it.

Da qui riuscirai a sottoscrivere le liste (puntando direttamente a GitHub) e fare esattamente ciò che facevi prima. I vecchi URL sono stati disattivati (e rimandati ai nuovi), non ti permetteranno però di riallacciarti in maniera trasparente a GitHub, dovrai quindi eliminare le vecchie sottoscrizioni e abbonarti nuovamente tramite NoAds.it (oppure farlo manualmente, se lo preferisci, ma ritengo sia più scomodo). Come già detto, puoi scoprire i passaggi da eseguire facendo riferimento a quanto già scritto nel vecchio articolo (il primo della serie):

ABP X Files migra su GitHub

Se vuoi dare un’occhiata alle liste, qui di seguito ti elenco gli URL diretti (è tutto pubblico, trovi ogni dettaglio nel progetto su GitHub, dove ho spostato anche la documentazione e le FAQ):

Se ti dovesse capitare di notare delle anomalie o qualche malfunzionamento, dimmelo quanto prima così che io possa correggerlo, l’area commenti qui di seguito è a tua totale disposizione, vale anche il sistema di assistenza sempre utilizzabile tramite NoAds.it, o il forum di Mozilla Italia.

Bentornati a bordo :-)

Condividi l'articolo con i tuoi contatti:

Te lo ricordi l’articolo pubblicato all’inizio di quest’anno? Parlava della migrazione prossima di X Files su GitHub, dovuta al termine del supporto della cartella Public di Dropbox. La scadenza ultima dei collegamenti Dropbox pubblici è fissata per settembre di quest’anno (per gli utenti Pro), ma come già specificato nel precedente articolo, vorrei che tutti gli utilizzatori di X Files migrassero prima al nuovo spazio dedicato. Nel caso tu te lo fossi dimenticato, qui trovi l’articolo pubblicato due mesi fa:

ABP X Files migra su GitHub

Quale lista sto utilizzando?

Seguendo un giusto suggerimento arrivato dal forum di Mozilla Italia, ho inserito una piccola nota che ti permetterà di capire se hai già aggiornato (o no) le tue sottoscrizioni. Questa piccola galleria immagine disponibile di seguito ti dovrebbe chiarire le idee (fai clic sulla prima immagine per partire):

Se ancora non hai aggiornato la tua sottoscrizione, sappi che già da gennaio scorso non stai ricevendo nuovi filtri di blocco pubblicitario, e che a settembre di quest’anno non esisteranno più i file a cui puntare nella cartella Public dell’account Dropbox che per anni ha ospitato i filtri del modulo principale e di quelli secondari.

Ti consiglio caldamente di seguire le istruzioni contenute nell’articolo dedicato alla migrazione, così che tu possa avere filtri costantemente aggiornati, supporto e nessun’altra preoccupazione per il futuro prossimo ;-)

Condividi l'articolo con i tuoi contatti: