Archives For Edge

Durante la stesura dell’articolo dedicato a Iliad (pubblicato ormai circa un mese fa), ho avuto la necessità di controllare da dove passasse il mio traffico dati per poter confermare quanto scritto in giro (ovvero che nel primo periodo di vita di Iliad si passasse tutti dai suoi IP francesi anziché da quelli italiani). Ci sono tanti siti web che offrono la possibilità di controllare questi dati catturandoli direttamente da browser, ma tra pubblicità, controlli di sicurezza e altre menate varie diventa davvero seccante navigarli, è per questo motivo che ho creato “My Information“, una semplice pagina riepilogativa che potesse mostrarti le informazioni che cerchi e nulla più.

Iliad è arrivata in Italia, non senza problemi 17

My Information

No, non è ottimizzato al 100% per i dispositivi mobili (anche se si mostra correttamente ai tuoi occhi) e no, non è perfetto neanche nello stile presentato (perché si potrebbe fare molto di meglio), probabilmente ha anche un nome banale e poco attraente, eppure è esattamente ciò di cui forse necessiti anche tu. Il tuo browser trasmette dei dati a ogni sito web che visiti, per questo motivo ho potuto approfittare di qualche funzione PHP nativa e delle API messe a disposizione dal sito IPStack.com per elaborare quanto catturato, in diretta, senza salvare alcunché sul server (in pratica i tuoi dati li vedi solo tu), così siamo tutti più contenti e la Privacy ringrazia.

My Information è disponibile per tutti all’indirizzo public.gfsolone.com/tools/ip, e puoi raggiungerlo anche tramite l’alias go.gioxx.org/ip. Va ad aggiungersi agli altri tool pubblici che ho messo a disposizione tramite il mio sito web personale (li trovi tutti raccolti sul Wiki).

Un’occhiata dietro le quinte

È tutto molto semplice. Di suo PHP permette già di catturare alcune informazioni provenienti dal tuo browser, per questo motivo è necessario esclusivamente fargliele scrivere in pagina per potertele mostrare, questo vale certamente per il tuo IP ($_SERVER['REMOTE_ADDR']) o lo User-Agent del browser che stai utilizzando nel momento in cui visiti My Information ($_SERVER['HTTP_USER_AGENT']). Il resto, seppur in qualche maniera anch’esso recuperabile (non tutto), ho deciso di darlo in pasto a IPStack; questo mi restituisce una serie di dettagli interessanti che posso ulteriormente lavorare (o mostrare direttamente) per arricchire ancor più quanto messo a tua disposizione, come per esempio una mappa (libera, di OpenStreeMap, ma richiamata tramite Leaflet), l’hostname assegnato al tuo IP (se pubblico), il CAP, latitudine e longitudine rilevate, ecc.

Ti lascio dare un’occhiata al codice (semplicissimo) che racchiude buona parte delle informazioni mostrate poi a video:

Il puntatore su mappa è assolutamente migliorabile, non sempre latitudine e longitudine producono il risultato sperato, potrei certamente impostarlo sul CAP rilevato, ma si tratta di finezze che in fin dei conti poco servono probabilmente a te che hai bisogno di catturare un altro tipo di dati.

Il tool è online ormai dallo scorso giugno, ed è stato già visitato un buon numero di volte (strano, non l’ho neanche sponsorizzato), non ti resta che metterlo alla prova (nei limiti del concesso, sfrutto le API gratuite di IPStack che offrono un massimo di 10.000 richieste / mese, dovrebbero bastare, giusto? :-)).

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

Di tempo dal lancio di NoCoin e di molte altre alternative (sotto varie forme, siano esse estensioni, liste filtri o prodotti eseguibili di terze parti) ne è passato davvero poco, eppure l’argomento più in generale è trattato e documentato oggi più che mai, perché al centro dell’attenzione di molte testate, blog indipendenti, comunità di discussione. CoinHive è solo il giocatore forse più conosciuto in campo, ma le fonti di mining aumentano così come i siti web che ne fanno uso, senza la benché minima considerazione della sopravvivenza dell’hardware di coloro che non scelgono volontariamente di far parte del vortice criptomonete.

NoCoin: il cryptojacking è ormai argomento comune

Ciò che oggi puoi fare è proteggerti. Esistono molti prodotti che sono in grado di tutelare le risorse del tuo PC, gratuiti o a pagamento (nel caso di alcuni antivirus premium, nda), alcuni li utilizzi già. Io –come già sai– mantengo la lista NoCoin per Adblock Plus (e compatibili), della quale ti ho parlato in maniera approfondita in questo articolo:

Ti presento NoCoin, l’ultimo arrivato nella famiglia ABP X Files

Se vuoi utilizzare un metodo di protezione alternativo sei assolutamente il benvenuto (e ti dirò di più, sei caldamente invitato a lasciare un tuo commento al post per suggerirne anche a me e agli altri lettori, potrei parlarne in futuro o integrarli in questo articolo), puoi poi decidere di verificare la bontà del metodo passando da un sito web che Opera (sì, il noto browser) ha realizzato e messo online per verificare se la tua postazione è protetta da questo tipo di attacchi. Lo trovi all’indirizzo (con molta fantasia) cryptojackingtest.com. Io ho già eseguito più verifiche con NoCoin nel corso del tempo, superandole ogni volta:

NoCoin: il cryptojacking è ormai argomento comune 1

La nota genericamente positiva è che lo screenshot qui sopra l’ho catturato qualche tempo fa (in occasione del primo test eseguito con NoCoin a bordo, quando ne aveva parlato anche lifehacker), e oggi la percentuale di postazioni protette è aumentata arrivando a quota 77% circa (un 3% in più nel giro di un mese circa, affatto male direi), contro un restante 26% di non protetti a causa –probabilmente– della poca informazione o della sfiducia nei confronti dei metodi e tool difensivi a disposizione. La trappola è sempre dietro l’angolo, non ignorarla pensando che a te non possa capitare di finirci dentro, è giusto di qualche giorno fa un articolo molto interessante su ilSoftware.it e un attacco verso 4000 siti web ignari di veicolare un attacco.

Poi, perché chiaramente c’è anche l’eccezione che conferma la regola, esiste comunque una porzione di fruitori del web che permette agli script di mining di lavorare sfruttando la potenza di calcolo “in standby” dei propri processori, ma lo fa consapevolmente, ed è giusto quindi che continui a poterlo fare, operazione generalmente consentita dai componenti aggiuntivi come No Coin di Keraf, oppure con una disabilitazione della lista sottoscritta (NoCoin compresa) o whitelisting del singolo filtro / sito web interessato (maggiormente prioritario rispetto a quanto dettato dalla lista sottoscritta). Di questo ne ha parlato per esempio DDay, in merito al caso Salon e sostentamento delle spese di quest’ultimo.

Per saperne di più

Dato che, nonostante se ne parli quanto più possibile, non tutti possono / devono conoscere di cosa sto blaterando, ti rimando a un interessante quanto semplice articolo riepilogativo di hackerbits.com (in lingua inglese, nda), che ti descrive in maniera semplice –seppur approfondita– l’argomento cryptojacking e i relativi metodi di mining, facendo ulteriore riferimento alle criptovalute attualmente disponibili: hackerbits.com/programming/what-is-cryptojacking.

Condividi l'articolo con i tuoi contatti:

Non è una novità, se ne parla già da tempo e credo che lo “scandalo” (se così lo si può definire) legato alla baia dei pirati (ne parlava Diletta su Wired il 20 settembre scorso) sia stato solo la punta dell’iceberg, che abbia in qualche maniera sdoganato una pratica sempre più crescente, adottata ogni giorno da siti web che tendenzialmente potrebbero essere raccolti sotto il tetto unico della pirateria informatica e la violazione dei diritti d’autore. Ne parla Hardware Upgrade in maniera più approfondita ma comunque accessibile per tutti. Io oggi voglio parlarti di NoCoin, ma parto da “un po’ più lontano“, dal perché dovresti difenderti dal mining delle criptovalute via browser.

ABP X Files: ti presento NoCoin, l'ultimo arrivato in famiglia!

Cosa sta succedendo

Se ti parlo di Coinhive probabilmente non capirai di cosa sto blaterando, ma in realtà te l’ho già parzialmente introdotto nel cappello di questo articolo, è lui il protagonista dell’esperimento e relativa “sommossa popolare” legata a Pirate Bay, poiché propone un diverso modo di recuperare le spese di sostentamento di un sito web (ma non solo), inserendo javascript che possono minare criptovalute sfruttando il browser (ma non solo, ribadisco). Il tutto ha avuto inizio nel settembre del 2017 (intorno alla metà del mese), come riportato in un ottimo articolo di BleepingComputer (bleepingcomputer.com/news/security/coinhive-is-rapidly-becoming-a-favorite-tool-among-malware-devs):

Coinhive is quickly becoming the talk of the Internet, going from an innovative tool that lets you mine Monero with your browser, to a technology abused by hoards of malware authors.
Coinhive, as a tool, is a JavaScript library that website owners can load on their site. When users access the site, the Coinhive JavaScript code library executes and mines for Monero for the site owner, but using the user’s CPU resources.
Original idea! We’ll give it that. Coinhive launched on September 14, and its authors advertise it as an alternative to classic advertising.
Coinhive claims that webmasters can remove ads from their sites, and load the Coinhive library and mine for Monero using a small portion of the user’s CPU while the user is navigating the site. Site owners can make money and support their business, but without peppering their visitors with annoying ads.

Dato che di notizie riguardanti malware e falle enormi ne abbiamo già ricevute abbastanza nel corso dell’anno passato e anche in concomitanza con l’inizio di questo 2018 (Meltdown e Spectre ormai sono due nomi sulla bocca di tutti, o quasi), direi che forse possiamo fare un pelo più di attenzione a questi siti web che ormai proliferano incontrollati (anche se alimentati grosso modo dagli stessi player), prendendo contromisure che possano tutelare i browser utilizzati e le CPU dei nostri PC.

In attesa che Mozilla, Google e soci lavorino proponendo una soluzione possibilmente definitiva (dai un’occhiata a questo ormai chilometrico thread riguardante Chrome), tu puoi già fare qualcosa.

Come proteggersi

In alcuni casi, prodotti di sicurezza di terze parti (un caso abbastanza importante è quello di Malwarebytes) sono già pronti a reagire alla novità, proponendosi come scudo tra il browser e quei siti web che provano a fare ciò che non è stato preventivamente approvato dall’utente, ma non tutti possono dirsi alla pari e allo stesso livello.

Ancora una volta Adblock Plus e soci possono darci una grande mano, e di questo te ne parlo nello specifico nel successivo paragrafo dedicato a liste ben specifiche. Se vuoi utilizzare qualcosa di creato ad-hoc e disponibile su più browser, posso suggerirti “No Coin“. Si tratta di un progetto open source pubblicato su GitHub, lo trovi all’indirizzo github.com/keraf/NoCoin, il quale ha dato origine all’estensione attualmente disponibile per Firefox (WebExtension, perfettamente compatibile con Quantum), Chrome e Opera:

No Coin
No Coin
Price: Free
No Coin - Block miners on the web!
No Coin - Block miners on the web!
Developer: Keraf
Price: Free
No Coin
No Coin
Developer:
Price: Free

Il funzionamento è parecchio banale ma efficace. Come per un adblocker, No Coin sfrutta una blacklist (aggiornata) che permette al componente aggiuntivo di avvisarti nel caso in cui il sito web visitato stia facendo uso di un miner di criptovaluta, così che tu possa bloccare l’esecuzione del codice arbitrario o decidere di tenerlo in una whitelist (magari ti fa piacere partecipare al mining, ognuno fa ciò che vuole con il proprio hardware).

Allo stato attuale No Coin non è disponibile per i browser di casa Microsoft (Internet Explorer / Edge) e neanche per Safari (Apple). Per questo motivo, ho pensato di riutilizzare quanto fatto da Keraf per dare origine a “NoCoin“.

Hello, I’m NoCoin!

ABP X Files: NoCoinAdblock Plus (ma anche gli equivalenti) sono disponibili ormai per ogni browser, per questo motivo ho verificato i limiti di licenza dettati per il progetto “No Coin e ho lavorato a una modifica dello script VBS che genera la lista HWS (te ne parlavo qui), per catturare la blacklist di Keraf e trasformarla in un modulo di X Files, un’ulteriore sottoscrizione che puoi utilizzare gratuitamente sul tuo PC, la “NoCoin List“.

NoCoin si basa su una logica simile a quella HWS, per questo motivo impedisce il caricamento di qualsiasi file facente parte dei domini che vengono utilizzati per distribuire javascript (e affini) di mining di criptovaluta, quando caricati come “terza parte” (cioè utilizzati da altri siti web puliti). Ho volutamente scelto di non integrare quei domini in HWS perché si tratta di due scopi ben differenti, e chiunque può aggiungere un’ulteriore sottoscrizione al proprio Adblock Plus (o altro componente aggiuntivo), poiché costa poca fatica.

Con l’occasione, ho dato una svecchiata ai contenuti della home page di progetto, includendo il nuovo blocco per la lista attualmente in fase Beta:

Ti presento NoCoin, l'ultimo arrivato nella famiglia ABP X Files

Ora tocca a te. Scegli come proteggere ulteriormente la tua navigazione, ma fallo quanto prima, per evitare spiacevoli inconvenienti. Nel caso in cui tu non voglia utilizzare il nuovo modulo NoCoin, tu suggerisco di dare un’occhiata a un progetto alternativo anch’esso presente su GitHub e già ben nutrito, curato da Hosh.

L’area commenti qui di seguito è –come sempre– a disposizione per ulteriori informazioni o chiarimenti in merito all’argomento trattato e alle novità introdotte. Per aprire una richiesta di supporto riguardante NoCoin ti rimando invece a uno dei possibili metodi riportati nel sito web ufficiale (ti consiglio comunque GitHub).


Immagine di copertina: techporn.ph

Condividi l'articolo con i tuoi contatti:

Non è una novità ed è ancora valida, per questo ve ne parlo, perché potrebbe essere sfuggita a chi possiede un cellulare Android ed è cliente TIM. Trial CEA (Custom Experience App) è un’applicazione nata per il sistema di Google che allo stato attuale non è presente nel Play Store, essa è in grado di monitorare lo stato della rete basandosi su una continua analisi delle abitudini dei suoi clienti naviganti che decideranno di installarla e lasciarla attiva sul proprio smartphone o tablet.

20110513125634!TIM_logo

Il termine per l’installazione e l’uso di Trial CEA (almeno il primo avvio, nda) è fissato a oggi, 30 novembre 2015. Tutti coloro che decideranno di installare l’applicazione dalla pagina servercea.telecomitalia.it/install/stable, lasciando poi attiva la valutazione della rete di TIM, potranno usufruire di 2 GB di traffico dati offerti dal carrier italiano, da utilizzare 24h su 24, senza scadenza, anche in LTE, per 6 mesi!

Non preoccupatevi se i frutti non saranno immediatamente visibili, dopo qualche giorno dall’attivazione dell’applicazione, vi verrà notificato a mezzo SMS il bundle dati offerto gratuitamente da TIM, che comparirà così nell’applicazione di controllo consumi oltre che nel widget.

Tutti i dettagli sull’iniziativa sono disponibili all’indirizzo servercea.telecomitalia.it/install/stable/cu.htm, chi terrà l’applicazione installata e in funzione anche oltre i 6 mesi del primo periodo di test, potrà usufruire di un 20% della ricarica fatta, ulteriormente offerto da TIM:

Inoltre, solo per coloro che manterranno attiva l’App per 6 mesi, verrà offerta gratuitamente, nei 3 mesi successivi, l’offerta Bonus x Te 20 Special X3.
L’offerta offre un bonus corrispondente al 20% delle ricariche effettuate (l’importo è accreditato ad ogni ricarica su bonus 1). Ogni bonus non potrà essere trasferito verso AOM in caso di MNP, nè sarà restituibile in caso di cessazione della linea. Il bonus potrà essere utilizzato sia per traffico nazionale (per effettuare telefonate, mandare sms e navigare su internet) sia per il pagamento dei rinnovi delle offerte già attive ma non per l’acquisto di nuove offerte.

Occhio però ai consumi della batteria in tutto questo, ovviamente saranno un po’ più alti per permettere un costante tracciamento della rete, che verrà poi spedito e analizzato da TIM.

Android's Corner è il nome di una raccolta di articoli pubblicati su questi lidi che raccontano l'esperienza Android, consigli, applicazioni, novità e qualsiasi altra cosa possa ruotare intorno al mondo del sistema operativo mobile di Google e sulla quale ho avuto possibilità di mettere mano, di ritoccare, di far funzionare, una scusa come un'altra per darvi una mano e scambiare opinioni insieme :-)
Condividi l'articolo con i tuoi contatti:
×

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!

Nata dall’esigenza di un utente del forum di Mozilla Italia, la domanda riguardo la possibilità di esportare i Preferiti da Microsoft Edge sotto Windows 10 trova una risposta effettivamente più ostica rispetto al passato.

Esportare i preferiti da Microsoft Edge

Non basta più entrare nella cartella del profilo utente e quindi in Preferiti, occorrerà lanciare la finestra esecuzione comando (Win+R oppure Win+Q e poi “Esegui”), quindi riportare (con un copia-incolla):

%LOCALAPPDATA%\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\AC\MicrosoftEdge\User\Default\Favorites

Questo aprirà una finestra di Esplora Risorse permettendovi di vedere i collegamenti ai siti web che avete scelto di salvare tra i Preferiti di Edge.

Esportare i preferiti da Microsoft Edge 1

Da qui decidete il da farsi: apertura con un diverso browser, esportazione verso una diversa cartella o altro ancora. Il vero problema è che questo metodo può avere una sola direzione: da dentro verso fuori. Nel caso in cui copiaste all’interno di questa cartella un vostro link (o ne creaste uno nuovo), Microsoft Edge non sarà in grado di mostrarvelo all’interno del browser.

Condividi l'articolo con i tuoi contatti: