Archives For Eventi

ThinkingQuella che ti racconto oggi è una storia che si è già svolta e conclusa. Ho già sperimentato il “metodo” in passato e torna abbastanza comodo per tracciare avvenimenti passati e spiegarli contestualmente al lettore, per permettergli di scoprire cose forse nuove e aiutarlo ad affrontare lo stesso problema nel caso in cui dovesse accadere anche a lui. Se necessario, continuerò ad aggiornare l’articolo segnalandolo opportunamente.

Dopo diversi anni di pacifica convivenza con TIM, io e Ilaria abbiamo ricevuto un messaggio poco simpatico che ci ha portato a ragionare sulla possibilità (e convenienza, nda) di passare a un diverso operatore:

Cronache di una MNP: passaggio a Fastweb (da TIM)

L’offerta di TIM che abbiamo sfruttato per anni ha sempre previsto (al mese) 400 minuti di telefonate verso tutti (fissi e cellulari del territorio nazionale), 1000 SMS e 2 GB di dati in mobilità (inizialmente in 3G, passati a 4G aggiungendo un euro al mese, poi gratuitamente). Oltre al pacchetto “base” avevamo a disposizione il servizio TIM Music (mai sfruttato, siamo abbonati a Spotify) e la possibilità di chiamarci gratuitamente a vicenda (con un limite di 10000 minuti al mese di conversazione tra di noi, mai neanche sfiorati alla lontana, e vorrei vedere il contrario). Il tutto ha avuto da subito un costo di 10€/mese (11 considerando i mesi di pagamento del 4G come obolo ulteriore, poi tornati però a 10).

Conosciamo diverse persone che, rientrate in TIM da diverso operatore, hanno ottenuto piani molto più ricchi del nostro, a un prezzo più vantaggioso, il vero tallone d’Achille dell’essere già clienti. Nonostante non ci facesse piacere, consideravamo ragionevole la cifra richiesta, e abbiamo continuato a pagarla senza (più o meno) lamentarci, almeno fino a ora. Con la novità annunciata via SMS, saremmo passati a 12€/mese 12€/28gg, ottenendo 2 GB di dati in mobilità in più, ma rimanendo fermi a 400 minuti di telefonate e 1000 SMS (che non servono a nessuno). Per questo motivo abbiamo voluto approfittare dell’offerta di Fastweb dedicata ai già clienti (abbonamento fibra di casa), Fastweb Mobile 500 (esiste anche la versione 250, che però noi abbiamo scartato): ogni mese 500 minuti di telefonate verso tutti (fissi e cellulari del territorio nazionale), chiamate tra SIM Fastweb gratuite, chiamate gratuite verso un fisso Fastweb a scelta, 500 SMS (che continuano a non servire) e 3 GB di dati in mobilità alla velocità del 4G, il tutto a un costo di 6€/mese 6€/28gg.

Update

Lorenzo mi fa giustamente notare che ho inserito (forza dell’abitudine, mea culpa) la cifra da pagare riportandola per mese, quando in realtà si tratta di fatturazione a 28 giorni, come ormai sdoganato da tutti i provider telefonici (o quasi), con quella fantomatica scusa che ciò migliori la gestione dei pagamenti o chissà cos’altro (la motivazione può variare in base a chi risponde al quesito), quando in realtà si tratta di una tredicesima per il provider, che così porta a casa un mese di pagamento in più alle stesse condizioni di prima (in pratica si tratta di un aumento e nulla più).

Ti racconto cosa è andato per le lunghe e cosa si può fare per mettere in riga le cose (solo a completamento delle operazioni).

Richiesta MNP del 1/3/17

Grazie alla cortesia delle ragazze dello store di Corso Vercelli a Milano, abbiamo aperto la richiesta di MNP per entrambe le SIM, che ora dovranno risultare intestate a mio nome (perché è a mio nome il contratto internet di casa nostra). Chiaramente, nel documento di richiesta della SIM di Ilaria, compaiono entrambe le nostre firme, la SIM di Fastweb sarà intestata direttamente a me, per l’altra invece non cambia nulla (ero già io l’intestatario).

Tutto è in ordine, firmato e pagato (20€/SIM, con traffico quindi incluso per i 3 mesi successivi all’attivazione). Dopo circa un’ora (tra attesa e servizio) possiamo tornare a casa con le nuove SIM che verranno presto attivate.

Primi movimenti (2/3/17)

Tutto tace fino a sera. Sono finalmente arrivati dei segni di vita via SMS sul mio attuale numero TIM, su quello di Ilaria c’è qualcosa in più, e non è affatto piacevole:

Contrariamente alla condizione del trasferimento di Ilaria, sul mio non arriva alcunché riguardo fallimenti di MNP o date di migrazione. Attendo e intanto mi informo riguardo i tempi di passaggio da un operatore all’altro, trovando alcune informazioni particolarmente interessanti a riguardo:

[…]

A novembre 2011, sempre l’AGCOM, ha imposto nuove regole (in vigore da marzo 2012) per le tempistiche della portabilità che dovrà avvenire entro 24 ore altrimenti il cliente potrà chiedere, in maniera non onerosa, un indennizzo non inferiore a 2,5 € per ogni giorno di ritardo (delibera n. 147/11/CIR).[4] In ogni caso l’Autorità ha esonerato l’operatore ricevente dall’obbligo di corrispondere l’indennizzo quando il ritardo è limitato a 48 ore lavorative. L’indennizzo, tuttavia, è dovuto dal terzo giorno di ritardo ed in tal caso vengono calcolati nel risarcimento anche i primi due giorni lavorativi.

fonti utilizzate:
it.wikipedia.org/wiki/Mobile_number_portability#Tempistiche_.28in_Italia.29
cellularitalia.com/comu/comu011211.php

Il problema è che 48 ore lavorative equivalgono a ben 6 giorni composti dalle classiche 24 ore, entro i quali l’operatore dovrà quindi mettersi in pari con il lavoro.

La prima data utile (3/4/17)

Nel caso di Ilaria, non ho informazione alcuna (a oggi). Nel mio caso invece qualcosa si è mosso, è arrivato un nuovo SMS da parte di Fastweb:

Cronache di una MNP: passaggio a Fastweb (da TIM) 2

Considerando che la richiesta è stata fatta la sera del primo marzo, migrare la mia SIM il giorno 7 dovrebbe far rientrare nei limiti massimi concessi la MNP richiesta, sforando di poco e nulla. Nel caso di Ilaria, teoricamente siamo già oltre il limite, a meno di un ulteriore motivo riguardo il fallimento della migrazione (“noi ci abbiamo provato, TIM ce lo ha impedito“) o qualcosa di simile. Nel frattempo, nulla si muove nella mia area clienti, apparentemente ho solo il contratto della linea fissa con i suoi dettagli, i costi e le bollette già pagate.

Le nuove SIM nell’area personale e il primo pagamento (4/3/17)

Sono comparse entrambe le SIM nell’area personale del mio contratto Fastweb, hanno ancora i numeri temporanei, quelli che ovviamente non utilizzeremo fino a MNP completata, che però hanno già scalato il primo pagamento, la prima mensilità di servizio:

Se pensi anche tu che “qualquadra non cosa” (cit.), allora siamo in due, perché credo che fatturare un servizio prima di iniziare a usarlo sia probabilmente stupido.

Prima MNP terminata (7/3/17)

La mia SIM TIM ha smesso di funzionare, me ne sono accorto al risveglio. Ho quindi inserito la nuova card all’interno del telefono, riavviato il sistema e verificato di avere rete Fastweb. Ho chiamato il mio numero da un diverso cellulare, e il mio smartphone ha cominciato a squillare, la portabilità è certamente andata a buon fine. Poco dopo sono arrivati i messaggi di configurazione automatica per rete internet e MMS, che ho installato utilizzando il codice 1234 quando richiesto a video.

Nel caso in cui tu non riceva i messaggi di configurazione automatica, puoi sempre richiederli tramite sito web di Fastweb, si fa tutto da questa pagina (ed è molto comodo): fastweb.it/myfastpage/assistenza/guide-configurazioni/smartphone/configura-internet-mobile-sim4g/?from=home-cb.

Nell’applicazione Android dedicata ai clienti Fastweb, il mio numero non compare ancora (c’è ancora quello temporaneo) e non riesco a verificare le soglie di traffico perché il riepilogo va in errore, forse devo attendere che tutto sia a regime e che il mio vero numero sia visibile, ricontrollerò domani. Nel frattempo, in serata e dopo una chiamata con l’ufficio portabilità di Fastweb, sembra che la SIM di Ilaria sia pronta alla migrazione:

Cronache di una MNP: passaggio a Fastweb (da TIM) 11

Ci siamo? (9/3/17-13/3/17)

9/3/17: Sembra che la SIM di Ilaria sia finalmente passata a Fastweb, nel frattempo ieri il mio credito (poco meno rispetto a quello che in realtà avevo su TIM) è stato migrato alla nuova SIM, non resta che attendere che lo faccia anche quello di Ilaria (anche questo entro i 3 giorni lavorativi post-migrazione della SIM, probabilmente).

13/3/17: Anche il credito di Ilaria è stato migrato, anche lui non completo (aveva circa 40€ sulla SIM TIM).

Abbiamo quindi contattato il call center di Fastweb, atteso (molto) e parlato con un’operatrice che rispondeva dall’Albania, alla quale abbiamo rivolto ogni nostra domanda. Riepilogo brevemente:

  • Avendo richiesto la portabilità in un negozio Fastweb, questo ha dato il via al primo pagamento della mensilità per entrambe le SIM, poiché i numeri provvisori sono stati prontamente attivati e potevano già effettuare del traffico. Trovo che sia stupido non essendo stata completata la MNP, ma posso capirlo. Probabilmente sarebbe il caso di informare il personale di negozio e fare in modo che possa a sua volta allineare i clienti quando si prepara la richiesta di portabilità.
  • Il credito residuo inferiore a quello che si aveva è dovuto al precedente operatore (nel nostro caso TIM) che sembra aver trattenuto una cifra calcolata sul numero di giorni che vanno dall’ultimo rinnovo al giorno in cui viene effettuata la portabilità (se nell’arco delle quattro settimane devi pagare 10€, per una settimana ti scaleranno 2,50€).
  • Il barring (cosa della quale non ho parlato fino a ora, ma che ho preteso venisse attivata) è in pratica inutile con Fastweb, poiché l’operatore non permette di abbonarsi ad alcun servizio a pagamento scalando credito dalla SIM, e questa ritengo che sia un’ottima cosa.

Un po’ di esperienza

Da quando abbiamo ottenuto indietro i nostri numeri di telefono, abbiamo messo alla prova le due nuove SIM. Quello che ho personalmente notato è una sommaria difficoltà nell’allacciarsi alla rete voce, ogni tanto anche a quella dati. Non avevo mai avuto bisogno di riavviare il mio Galaxy S6 per fargli riprendere connettività all’uscita da un cinema con la sala sotterranea, è successo per la prima volta giusto una manciata di sere fa in Duomo.

Sia chiaro, nulla di apocalittico, è solo una curiosità, una sciocchezza. Più è difficile allacciarsi in tempi rapidi alla rete TIM, più batteria si consuma. Ho notato dei piccoli surriscaldamenti dello smartphone in particolari condizioni, ovviamente a risentirne è proprio la sua durata da vivo e vegeto:

Cronache di una MNP: passaggio a Fastweb (da TIM) 14

Sono abbastanza certo che, vista la recente evoluzione del rapporto Fastweb-TIM, con la conseguente apertura su rete LTE (e non solo), ci siano ancora i presupposti per aspettarsi un buon tuning sulle caratteristiche di connessione verso la rete del monopolista per eccellenza, che rimane comunque una giusta scelta per la qualità di copertura territoriale (siamo seri, TIM prende praticamente ovunque).

Diamo quindi fiducia a Fastweb e alle sue offerte Mobile. Io e Ilaria ci abbiamo creduto e non siamo i soli due in famiglia ad aver effettuato una number portability. Non ci resta che aspettare :-)

Stamattina mi trovavo in giro per Milano per un paio di appuntamenti. Ho ingannato l’attesa dando un’occhiata a Twitter, e ho fatto caso ad alcuni strani movimenti decisamente poco avvezzi all’essere autorizzati dai relativi proprietari, si trattava di stati clonati tra di loro, tutti più o meno pubblicati in una stessa fascia oraria, un evidente attacco a tappeto. Si è trattato di un vero e proprio sfacelo, di quelli che da qualche tempo non se ne vedevano più, pare che colpa sia stata di un’applicazione di terza parte con autorizzazioni di lettura e scrittura sugli account Twitter dei suoi utilizzatori.

Di Twitter, Turchia e accessi indesiderati

Ho visto per primi i tweet di Paolo Attivissimo, che è solito ricevere, verificare e rilanciare materiale solo se non si tratta di bufale (che in realtà combatte da sempre e stronca sul nascere). Uno, poi un altro, poi altri ancora e così via, sembra che account non collegati tra di loro abbiano pubblicato stati pro-Erdoğan (il presidente turco):

Il tweet contiene una svastica, alcuni hashtag che si riferiscono al nazismo, un video celebrativo del presidente turco Recep Tayyip Erdoğan e varie scritte fra cui “ci vediamo il 16 aprile”. È la data del referendum costituzionale in Turchia che deciderà se rafforzare i poteri del presidente, una riforma promossa e sponsorizzata dallo stesso Erdoğan. I riferimenti al nazismo e ai Paesi Bassi si legano probabilmente ai diversi litigi diplomatici che Erdoğan ha avuto con alcuni leader europei la scorsa settimana, dopo che in diversi paesi ai membri del governo turco è stato impedito di tenere comizi politici in vista del referendum (probabilmente perché non vogliono legittimare un governo autoritario e ultra-nazionalista come quello di Erdoğan).

vedi: ilpost.it/2017/03/15/attacco-hacker-twitter-turchia

I tweet si susseguono, l’attacco dilaga e gli account violati aumentano, basta dare un’occhiata a questo piccolo elenco di tweet, che in realtà sono poi diventati ancora di più, ma non posso certo star lì a recuperarli tutti ;-) (ci vuole ben poco in realtà):

Impossibile fare diversamente, Paolo cala l’asso e consiglia caldamente l’utilizzo della 2FA (l’autenticazione a due fattori, per la quale combatto e scrivo da sempre):

Twitter aveva attivato l’autenticazione a due fattori tramite SMS già nella prima metà del 2013, evolutasi e passata ad autenticazione (sempre a due fattori) tramite la sua stessa applicazione pochi mesi dopo. Dal 2013 le cose sono ulteriormente cambiate e ci sono stati altri miglioramenti. Ora è possibile anche generare codici temporanei utilizzando applicazioni di terze parti come Google Authenticator o Authy. Non hai quindi più scuse per perdere tempo, attivala subito.

È solo dopo un’ora circa dai primi attacchi (orario italiano) che si scopre che il problema non è Twitter, né tanto meno una password troppo debole degli utilizzatori colpiti. Il cavallo di Troia si chiama TwitterCounter, un servizio (a ora che sto scrivendo l’articolo è down per manutenzione) che permette di rilevare diverse statistiche riguardo il proprio utente Twitter. Per utilizzarlo è necessario autenticarsi tramite il proprio user Twitter (sfruttando le API) e dargli accesso in lettura e scrittura. La seconda ACL è quella che ha causato il danno più visibile, evidentemente.

Paolo ha raccolto diverse informazioni e le ha messe a disposizione di tutti nell’articolo che potrai leggere all’indirizzo attivissimo.blogspot.it/2017/03/violazioni-di-massa-di-account-twitter.html.

Da lì a poco anche Matteo è entrato in gioco e ha fornito dettagliate statistiche che mostrano l’evoluzione dell’attacco e gli account colpiti, con relativi rimbalzi, visualizzazioni e chi più ne ha più ne metta. Trovi tutto il materiale all’indirizzo matteoflora.com/a-social-media-analysis-of-the-turkish-%E5%8D%90-nazialmanya-attack-294ff653085c#.mxnysyvy7.

Nel frattempo, anche Gizmodo ha raccolto ulteriori informazioni e le ha inserite all’interno del loro articolo riepilogativo (gizmodo.com/twitter-accounts-hacked-with-swastikas-through-third-pa-1793286451). I passaggi più importanti sono quelli relativi alle affermazioni di Twitter e del servizio di terza parte TwitterCounter, che riporto:

Update, 5:36am: Twitter just sent us this statement:

We are aware of an issue affecting a number of account holders this morning. Our teams are working at pace and taking direct action on this issue. We quickly located the source which was limited to a third party app. We removed its permissions immediately. No additional accounts are impacted. Advice on keeping your account secure can be found here.

vedi: support.twitter.com/articles/76036 (consigli di sicurezza che tutto sommato riportano quanto già detto da me, da Paolo e da molti altri, mille volte)

Da lì a poco, inevitabile il tweet di TwitterCounter:

Ciò vuol dire che, almeno per il momento, nulla si può muovere tramite TwitterCounter, il quale ha anche modificato la sua chiave privata per sfruttare le API di Twitter, così da evitare (si spera) ulteriori attacchi. Se e quando verrà scoperta la falla beh, questo non è ancora dato saperlo (ma salterà sicuramente fuori nelle prossime ore, o almeno tutti ce lo auguriamo).

Occhio a chi hai autorizzato

Il mio consiglio, oltre a quello di andare ad attivare l’autenticazione a due fattori e rimuovere immediatamente l’accesso all’applicazione TwitterCounter (ammesso tu l’abbia mai autorizzata) da twitter.com/settings/applications, è quello di verificare quante altre applicazioni possono accedere al tuo account Twitter, e fare una pulizia di primavera in leggero anticipo, per evitare che chiunque possa sfruttare falle che esulano da Twitter o dalla tua capacità di proteggere l’account con una robusta password e un corretto metodo di verifica.

Se non utilizzi più un’applicazione, se non ne riconosci il nome, se pensi di non averci nulla a che fare, rimuovi il suo accesso. Ricorda che potrai sempre ridarglielo in un secondo momento, senza conseguenze (dovrai semplicemente riautenticarti a Twitter). Fai distinzione tra lettura e scrittura, e prediligi l’eliminazione immediata di chi ha accesso in scrittura al tuo account, guarda la differenza in questa immagine catturata dal mio account:

Di Twitter, Turchia e accessi indesiderati 1

Ricorda solo che, nel caso tu utilizzi iOS o macOS abitualmente (sistemi operativi di casa Apple), revocare i diritti di accesso non è immediatamente banale, devi pensare più in grande e toglierli all’intero sistema, come spiegato nella documentazione ufficiale di Twitter.

Non perdere altro tempo, dai un’occhiata alle tue impostazioni di sicurezza e fai in modo da proteggerti il più possibile da accessi (e utilizzi) indesiderati.

Cheers.

G

Te lo ricordi l’articolo pubblicato all’inizio di quest’anno? Parlava della migrazione prossima di X Files su GitHub, dovuta al termine del supporto della cartella Public di Dropbox. La scadenza ultima dei collegamenti Dropbox pubblici è fissata per settembre di quest’anno (per gli utenti Pro), ma come già specificato nel precedente articolo, vorrei che tutti gli utilizzatori di X Files migrassero prima al nuovo spazio dedicato. Nel caso tu te lo fossi dimenticato, qui trovi l’articolo pubblicato due mesi fa:

ABP X Files migra su GitHub

Quale lista sto utilizzando?

Seguendo un giusto suggerimento arrivato dal forum di Mozilla Italia, ho inserito una piccola nota che ti permetterà di capire se hai già aggiornato (o no) le tue sottoscrizioni. Questa piccola galleria immagine disponibile di seguito ti dovrebbe chiarire le idee (fai clic sulla prima immagine per partire):

Se ancora non hai aggiornato la tua sottoscrizione, sappi che già da gennaio scorso non stai ricevendo nuovi filtri di blocco pubblicitario, e che a settembre di quest’anno non esisteranno più i file a cui puntare nella cartella Public dell’account Dropbox che per anni ha ospitato i filtri del modulo principale e di quelli secondari.

Ti consiglio caldamente di seguire le istruzioni contenute nell’articolo dedicato alla migrazione, così che tu possa avere filtri costantemente aggiornati, supporto e nessun’altra preoccupazione per il futuro prossimo ;-)

Qualcuno lo avrà certamente notato. Da qualche giorno questa installazione di WordPress è raggiungibile al suo “nuovo” URL in HTTPS. Dico “nuovo” perché da circa un anno avevo già forzato la Dashboard in HTTPS, lasciando ancora in HTTP il blog visibile pubblicamente a tutti i lettori. Il tutto ha potuto funzionare generando un certificato con Let’s Encrypt e chiedendo al supporto di Serverplan (l’hosting che ospita questo blog) di caricarlo.

WordPress: passaggio da HTTP a HTTPS 8

Qualche giorno fa, tutti i clienti del provider hanno però ricevuto una comunicazione decisamente più ufficiale:

[…]

Dopo un periodo di test, necessario per la tranquillità dei clienti, Serverplan ha attivato il certificato TLS gratuito Let’s Encrypt su tutti i piani Hosting. Cosa devi fare per attivare questo servizio? Niente, è già attivo. Devi solo goderti la tranquillità di una connessione sicura.

[…]

Ho quindi pensato fosse arrivato il momento giusto per portare tutto su HTTPS, anche perché Google sembrerebbe avere tutte le intenzioni di cominciare a penalizzare chi non passa alla connessione più sicura e che permette maggiore sicurezza nel caso in cui si debbano utilizzare delle credenziali di autenticazione (cosa che però qui sul blog non accade, poiché i commenti –unico login che potresti voler effettuare– vengono gestiti da Disqus, anch’esso passato a HTTPS).

Molti hosting provider oggi propongono un certificato di Let’s Encrypt in maniera semplice, attivabile direttamente dal proprio pannello di controllo oppure pre-attivato sul proprio spazio (quello che ha scelto di fare Serverplan, nda). Se nel tuo caso questo non è ancora possibile, sappi che puoi procedere in autonomia, creando il tuo certificato personale e chiedendo al supporto tecnico del tuo provider di attivarlo sul tuo sito web.

Creare un certificato Let’s Encrypt

Le linee guida per la richiesta e creazione di un certificato sono disponibili sul sito web ufficiale del progetto, all’indirizzo letsencrypt.org/getting-started. Per fartela più semplice, puoi passare dal sito web sslforfree.com, ti propongo la solita galleria esplicativa ma ti indico istruzioni più dettagliate subito di seguito, per evitare possibili errori:

  • Inserisci il sito web che vuoi certificare. Puoi specificare il dominio di secondo livello (tuodominio.tld), il sito web inserirà in maniera automatica il www davanti, per certificare anche il terzo livello.
  • Scegli di effettuare una verifica manuale tramite upload di file sul tuo spazio FTP (questo è quello che ti consiglio). Scarica i due file necessari alla verifica da sslforfree (fai clic su Download File #1 e Download File #2, scarica entrambi i file sul Desktop o equivalente, servono per poco tempo).
  • Vai sul tuo spazio FTP, crea una cartella chiamata .well-known, entra al suo interno e crea una nuova cartella chiamata acme-challenge. Carica entrambi i file che hai precedentemente scaricato all’interno di quest’ultima cartella.
  • Torna su sslforfree e procedi con la verifica, ti basterà fare clic su Download SSL Certificate e, salvo errori, potrai avere accesso al tuo set di chiavi. Fai clic su Download All SSL Certificate Files e metti a disposizione il pacchetto che scaricherai ora al tuo hosting provider, aprendo un ticket di richiesta supporto per caricare il tuo nuovo certificato SSL Let’s Encrypt.

Passiamo a WordPress, adesso

Se il tuo Hosting Provider ti confermerà il caricamento del certificato, potrai finalmente procedere con la migrazione del tuo blog. Provo a fartela semplice anche in questo caso, ti consiglio l’utilizzo di un paio di plugin che possono fare tutto il lavoro al posto tuo, cercando così di abbattere i rischi di possibili errori.

Easy HTTPS Redirection
SSL Insecure Content Fixer
Developer: webaware
Price: Free

Entrambi ti aiuteranno a redirigere il traffico facilmente e correggere tutto quello che punta al vecchio indirizzo HTTP, salvo modifiche manuali (per esempio nel tema o in un file functions.php modificato, facilmente individuabili se sei stato tu a farlo). C’è ben poco di complesso da impostare, è tutto dannatamente semplice:

  • Vai in SettingsHTTPS Redirection, seleziona Enable automatic redirection to the “HTTPS” e Force resources to use HTTPS URL. Salva la tua scelta e, quando la pagina sarà aggiornata, seleziona la voce The whole domain in corrispondenza di You can apply a force HTTPS redirection on your entire domain or just a few pages. Salva ancora una volta. Hai appena terminato qui.
  • Spostati ora in SettingsSSL Insecure Content. Il plugin seleziona una papabile configurazione basata su un’analisi della tua installazione. Nel mio caso le opzioni selezionate sono:
    • Fix insecure content → Simple;
    • Fixes for specific plugins and themes → WooCommerce + Google Chrome HTTP_HTTPS bug (fixed in WooCommerce v2.3.13);
    • HTTPS detection → standard WordPress function.

Puoi –in qualsiasi momento– verificare che venga individuato correttamente il funzionamento HTTPS da Tools → SSL Tests.

Salvo errori, la tua configurazione ti permetterà ora di vedere il sito in HTTPS. Ricordati però che, a meno che il tuo Hosting Provider non lo preveda, dovrai ricordarti di rinnovare il tuo certificato SSL di Let’s Encrypt ogni 90 giorni. Puoi farlo facilmente tramite sslforfree, dovrai poi ricontattare il tuo provider per far caricare le nuove chiavi.

WordPress: passaggio da HTTP a HTTPS 16

Se utilizzi il sistema di commenti integrato in WordPress, il tuo lavoro finisce qui. In caso contrario potresti aver scelto di utilizzare Disqus (il sistema in uso su questo blog), e dovrai quindi seguire ancora qualche passaggio prima di poterti congedare ;-)

Migrare i commenti di Disqus

Cerco di riepilogare rapidamente anche questa: Disqus carica i commenti nei tuoi articoli grazie a un banale (si fa per dire, da gestire lato server) sistema di mappature URL. Il sistema capisce che commenti caricare in base all’indirizzo visitato in quel momento. Avendo tu migrato tutto sotto HTTPS, occorrerà allineare anche Disqus.

Tale funzione è ovviamente prevista, e viene spiegato all’indirizzo help.disqus.com/customer/portal/articles/286778-using-the-migration-tools, nasce più probabilmente per cambiare completamente URL (primodominio.tld verso secondodominio.tld per esempio), ma torna comodo anche per questo caso.

Accedi alla tua area di amministrazione Disqus, quindi spostati in Migration Tools (dalla colonna di sinistra), dovresti arrivare all’URL TUOUTENTE.disqus.com/admin/discussions/migrate/?p=migrate. A questo punto dovrai scaricare una lista completa delle tue mappature commenti, modificarla e darla nuovamente in pasto a Disqus, così che possa aggiornarsi. Dai un’occhiata alla galleria qui di seguito (sotto includo istruzioni più dettagliate):

  • Cominciata la migrazione, Disqus invierà all’indirizzo di posta elettronica (che hai fornito durante l’iscrizione al servizio) la lista degli URL indicizzati.
  • Apri la lista con Excel (o equivalente), clona la prima colonna, seleziona solo la seconda colonna e sostituisci tutti gli http:// con https:// (utilizza la funzione Cerca e sostituisci di Excel).
  • Salva il file, esci da Excel, riapri il file con Notepad++ (o qualsiasi altro editor di testo) e sostituisci tutti i punti e virgola con semplici virgole (anche in questo caso utilizza il Cerca e sostituisci), è richiesto da Disqus (che evidentemente non digerisce poi tanto bene i ;).
  • Carica il file su Disqus, verifica che la mappatura sia corretta, quindi lascia partire il lavoro in batch, a quel punto dovrai solo attendere che termini.

Entro le successive 24 ore, Disqus metterà a posto le cose, e tu finalmente potrai tornare a vedere i tuoi commenti :-)

Google Search Console

Update

In base al giusto suggerimento di Emanuele (nei commenti), mi sono
accorto di non averti parlato di Google Search Console, nonostante sia andato ad aggiornare la proprietà del sito inserendo l’URL con HTTPS. Trovi qui un suo articolo dedicato alla migrazione di WordPress da HTTP a HTTPS pubblicato al termine dello scorso anno, davvero molto interessante e completo.

In realtà è molto semplice anche questa cosa e va fatta se hai già configurato il tuo sito web nella console di big G. Secondo la documentazione ufficiale (support.google.com/webmasters/answer/6073543?hl=it), in caso di migrazione, si adotta questo metodo:

Se esegui la migrazione del sito da HTTP a HTTPS, Google considera l’operazione uno spostamento del sito con modifiche agli URL. Ciò può influire temporaneamente sulle cifre relative al traffico. Per ulteriori informazioni, consulta la pagina recante una panoramica sullo spostamento di un sito.
Aggiungi la proprietà HTTPS a Search Console. Search Console gestisce HTTP e HTTPS separatamente, non condividendo i dati relativi a tali proprietà. Pertanto, se hai pagine che adottano entrambi i protocolli, devi indicare una proprietà Search Console distinta per ciascuno di essi.

Quindi ti basterà entrare in Search Console, aggiungere “una proprietà” e specificare il tuo solito dominio, con l’unica differenza che ora avrà https:// davanti. Al resto, salve tue specifiche necessità di diversa configurazione, ci penserà Google, secondo un intervallo variabile che servirà ad analizzare nuovamente i contenuti del sito disponibili, indicizzandoli quanto prima e rendendoli disponibili nelle sue ricerche. Continueranno -contestualmente- a rimanere disponibili anche tutti i dati in HTTP semplice.

WordPress: passaggio da HTTP a HTTPS 17

Troubleshooting

Questione di Cookie

Paragrafo che spero non ti serva, ma ti lascio un consiglio spassionato: avvia quanto prima una sessione anonima con il tuo browser preferito, quindi visita il tuo sito web ora sotto HTTPS. Tutto si vede correttamente? Noti problemi o strani caricamenti che non vanno a buon fine? Io l’ho scoperto dopo un un po’ di tempo (stupidamente non ci avevo pensato, sono un po’ un pirla) e grazie anche alla segnalazione di alcuni lettori (che ancora ringrazio). Il plugin che caricava il famoso blocco di accettazione cookie (per quella stupida legge europea), impediva al CSS di fare il suo lavoro, rendendo di fatto inutilizzabile il blog.

Ho sostituito il plugin di (eu-cookie-law-widget) con Cookie Notice di dFactory:

Cookie Notice by dFactory
Developer: dFactory
Price: Free

Un .htaccess per intercettare ogni cosa

Update

Anche questo nasce dal commento di Emanuele (vedi commento),
ed entra in gioco perché è riuscito a collegarsi a uno dei contenuti del blog forzando manualmente il protocollo HTTP dalla barra dell’URL. Per questo motivo, ho messo in produzione una modifica del file .htaccess, che ognuno di noi ha nella root della propria installazione WordPress (cos’è un file .htaccess?), pari a quella da lui utilizzata.

ATTENZIONE: Prima di partire, il solito consiglio: occhio sempre a quello che tocchi e che rimuovi, effettua il backup del tuo file .htaccess per sicurezza, così potrai agilmente tornare indietro in caso di problemi.

Apri il tuo file .htaccess con un editor di testo e scorrilo fino a trovare qualcosa che assomigli a questo:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

A questo punto, inserisci ciò che ti permetterà di intercettare i tentativi di connessione via HTTP, che verranno automaticamente portati verso HTTPS:

RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Entrambe le righe possono essere inserite prima della RewriteBase /, ottenendo quindi questo risultato:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Se aggiornando il tuo blog (sia come utente autenticato, sia come visitatore ospite, mi raccomando!) qualcosa non dovesse funzionare, ripristina immediatamente il backup che avevi precedentemente effettuato. Probabilmente hai toppato qualcosa, o magari il codice riportato qui sopra non è adatto alla tua configurazione e occorrerà approfondire con il tuo fornitore di servizi (il provider sul quale hai acquistato il tuo piano di hosting).

Ora mi sembra che ci sia davvero tutto, spero di non aver dimenticato nulla.

Enjoy.

Milano Real Life (MRL) è il nome di una raccolta di articoli pubblicati sul mio blog, raccontano la vita di un "perfetto nessuno" che ha deciso di spostare abitudini e quotidianità in una differente città rispetto a quella di origine. Alla scoperta della caotica capitale lombarda mai tanto amata e odiata allo stesso tempo, per chi è nato qui e ancora oggi continua a viverci per volere o necessità, per le centinaia di persone che invece vengono da fuori e vedono Milano come una piacevole alternativa o una costrizione imposta dalla propria vita lavorativa. La rubrica "leggera" di approfondimento alla quale però non fare l'abitudine, non siamo mica così affidabili da queste parti!

Questo è uno di quegli articoli che avrei dovuto terminare e pubblicare nel corso del 2016, sappiamo tutti com’è andata ed è sufficientemente evidente (senza troppa fatica) dato che lo stai leggendo adesso. Ci riprovo. L’argomento non mi riguarda nello specifico, ma è pur sempre vero che si parla di uno degli alimenti forse più apprezzati in tutto il mondo e di ciò che riguarda la più classica delle modalità di fruizione: la consegna a domicilio.

Di pizze e riflessioni sui servizi di asporto 5

Io ci ho lavorato in una pizzeria d’asporto, ai tempi delle scuole superiori (quando gli anni erano giusti per cavalcare un due ruote 50cc e cercare di non fare troppo il pirla per le strade), probabilmente ci hai lavorato anche tu per pagarti il pacchetto di sigarette o qualche piccolo gadget (non è che la paga potesse permetterti di fare chissà cosa). Ancora i problemi me li ricordo piuttosto bene: ho chiamato ma la linea era occupata, hai fatto ritardo di un minuto e ventisette secondi, la pizza è poco pizza, lo scooter ha scooterato troppo e mi hai consegnato la bufala spostata di 20 gradi a destra, e chi più ne ha più ne metta.

Da PizzaBo a JustEat, ma non solo

Le cose nel frattempo sono molto cambiate, il servizio si è evoluto nonostante l’alimento sia rimasto tale (e meno male, non lo cambierei per nessuna facilitazione al mondo) e la tecnologia è corsa in soccorso di ogni cliente. Se il nonno preferisce sempre alzare la cornetta e contattare la pizzeria più vicina a casa (sopportando la linea occupata, il baccano di sottofondo e la mancata comprensione di chi solitamente prepara i cartoni della pizza e che in quel caso scriverà la metà degli ingredienti richiesti), il giovanotto con lo smartphone integrato in una mano preferisce l’applicazione, a qualcun altro basterà la via di mezzo, il sito web. Se da soli però non si va molto lontano, insieme si mette in piedi una forza, è su questa base che PizzaBo era cresciuto e aveva potuto abbandonare la splendida Bologna (soprattutto dopo l’acquisizione di Rocket), sappiamo poi tutti (forse) com’è andata a finire, e non è stata affatto una storia a lieto fine, non per chi quel progetto l’aveva messo in piedi (su StartupItalia trovi un’evoluzione dell’intera questione, tutta ben scritta).

La strada è stata tracciata, il destino è quello, e non credo si possa tornare indietro (a meno di voler rimanere una piccola e classica pizzeria di quartiere, non necessariamente una brutta cosa). Tutto diventa più freddo ma estremamente più preciso, ci si distacca da quel povero ragazzetto che deve smettere di preparare i cartoni, cercare le vie e accorpare le consegne più vicine, insieme a tutto il resto delle cose che c’è da fare (e qualcuno dovrà pur farle). Certo ogni tanto mancano ingredienti sul divino disco di pasta lievitata, ma è qualcosa che si sopporta (al massimo un paio di volte, ti avviso in entrambi i casi, dalla terza in poi cambio pizzeria), si saltano fasi seccanti (come quella del pagamento in contanti alla consegna, con scene al limite del ridicolo per resti mai sufficienti e mancanza di appoggi validi per terminare la transazione).

Survive

Poi arriva Domino, in Italia intendo, perché in America è presente da sempre, e se la gioca con Pizza Hut per il monopolio della pizza da fast food. Nasce la prima sede della Martinella e a seguire il sito web, attraverso il quale ordinare la pizza consegnata a domicilio, chiedere di pagare immediatamente e attendere il giusto tempo per affrontare le varie fasi di preparazione e consegna, in pratica è l’arma definitiva, quella messa bene in mostra e in attesa di brevetto, il Tracker:

Di pizze e riflessioni sui servizi di asporto

Il non plus ultra dello stalking applicato all’alimento per eccellenza, un falco che guarda e pressa il pizzaiolo che riceve l’ordine e che dovrà gestirlo cercando di rispettare i termini, una garanzia che non perdona e che veleggia in bella vista sul cartone e sul sito web: una pizza che arriva a casa sempre calda (stampato sul cartone che la contiene) e addirittura una tempistica al limite di Transporter (hai presente il film? Quello in cui se non si spacca il minuto preciso si infrangono almeno 35 regole o giù di lì?), come riportato dai monitor all’interno della pizzeria (ogni tanto la si va anche a prendere direttamente) e che mostrano fieri quei 20 minuti circa dall’ordine alla consegna (oltre oceano questa tempistica ha un costo aggiuntivo).

L’evoluzione non perdona

In tutto questo, nonostante non ci siano garanzie scritte, si innesca un meccanismo al quale il cliente fa l’abitudine, e che alla lunga pretenderà, dandolo (in maniera errata, non lo metto in dubbio) come scontato. Spesso un servizio (un prodotto o un fornitore) viene scelto rispetto a un altro proprio per piccole differenze, come il tempo richiesto per ottenere il bene (e credo che in questo specifico ambito il tempo non sia un fattore così banale). Ciò non va assolutamente d’accordo con le promozioni che mettono sotto stress uno staff che però rimane sempre lo stesso (per numero di componenti) e che già affronta il normale carico di lavoro al quale è sottoposto quotidianamente. Ne è stato l’esempio proprio la Martinella (chiamo così la filiale Domino di quella via di Milano), che si è ritrovata un po’ tanto in ginocchio in quasi ogni “occasione particolare“, dagli Europei di calcio (2016) al periodo festivo di S.Ambrogio, a quello a cavallo tra vecchio e nuovo anno.

Lo ricordo ancora quell’ordine. Partito durante lo scorso ponte di S.Ambrogio (7-10 dicembre), mi aveva insospettito perché solitamente il tracker impiega molto poco a passare dalla fase 2 alla 3 (quando le pizze vanno in forno), cosa che non è successa. Nel commento sulla pagina Facebook c’è scritto tutto, l’ho pubblicato qualche tempo dopo l’accaduto, perché quella sera ho solo pensato a risolvere il problema, e quando la filiale non è riuscita a procedere per il mio rimborso (avevo pagato con carta di credito immediatamente, come sempre) ha scambiato l’ordine della mia consegna sacrificando quello di un altro cliente, una cosa che mi ha infastidito due volte, perché quel cliente (che non conosco) si è beccato ulteriore ritardo a causa mia, che però non c’entravo nulla. Sono arrivate le scuse (con molta calma) e anche il classico buono sconto su un ordine successivo, per farsi perdonare.

Da lì a una settimana ho fatto un nuovo ordine, io e Ilaria avevamo ospiti in casa, c’era la “CyberWeek“, tutto si stava ripresentando alla stessa maniera, ho chiamato a neanche 10 minuti di distanza dalla ricezione dell’ordine e indovina un po’, l’antifona era la stessa, c’erano troppi ordini. Mi è bastato dire che facevo parte della serie di errori della settimana precedente per far nuovamente scalare il mio ordine, portando così un ritardo di soli 20 minuti rispetto al previsto. Ovviamente, come per ogni cosa fatta di fretta, le pizze erano deludenti e una in particolare, nonostante una richiesta ben specifica per intolleranza ai latticini, è arrivata con la mozzarella a bordo (l’adesivo tipico di Domino attaccato al cartone della pizza riportava correttamente la mia richiesta dell’evitare i formaggi).

La gatta frettolosa …

Google conosce il resto del proverbio, nel caso in cui tu non lo conosca. Da qualche giorno è disponibile la nuova applicazione di Domino’s Pizza Italia, per iOS e Android, la quale però non condivide il database utenti con il sito web. Io, in maniera assolutamente stupida e sbadata, ho provato a entrare con la mia coppia di credenziali, ottenendo l’errore a video.

Di pizze e riflessioni sui servizi di asporto 3

Vuoi che ti dica che sono stordito perché avevo davanti agli occhi la risposta? Si, lo sono, è come se lo sguardo avesse ignorato completamente quelle prime righe in cui si spiega molto chiaramente che occorrerà registrare un nuovo utente per poter collegarsi con l’applicazione, mi sono fatto prendere per i fondelli anche dallo staff della pagina Facebook, che solitamente impiega diverso tempo a rispondere, e che invece ha rimpinguato il team dedicato, che ora risponde molto rapidamente.

Di pizze e riflessioni sui servizi di asporto 4

Perché tutto questo? Non ne ho idea, davvero, non ha alcun senso. Registri due volte la stessa identica casella di posta associata al tuo profilo Domino (la password è già diversa, tanto per dire), qualcuno provvede a verificare (in maniera automatica o manuale, chi lo sa) gli ordini arrivati da sito web e da applicazione per poter far risultare i giusti “punti” sul profilo.

Domino’s Pizza Italia
Developer: Timeware srl
Price: Free
Domino’s Pizza Italia
Developer: TIMEWARE SRL
Price: Free

Occorrerà inserire da zero i propri dettagli, l’indirizzo di consegna, la carta di credito da utilizzare per i pagamenti. Non c’è condivisione degli ordini precedenti, non c’è nulla di nulla, non c’è persino il dettaglio del citofono, così il fattorino è costretto a chiamarti sul cellulare (come accaduto sabato sera scorso), perdendo ulteriore tempo, il tutto condito da un primo periodo di blackout totale a causa dei troppi accessi da mobile, evidentemente sottovalutati.

Di pizze e riflessioni sui servizi di asporto 6

In conclusione

Ho scritto e mi sono lamentato fin troppo, ma è chiaro che nulla (neanche la gentilezza dei fattorini, la bravura di un pizzaiolo o la bontà di una materia prima) può nulla (o quasi) contro un’arretratezza tecnologica o una serie di errori ai quali è difficile porre rimedio (a meno di non tornare indietro nel tempo).

Vola basso Domino (da non leggere con presunzione o voglia di polemica facile), sei davvero una valida alternativa a JustEat e alle pizzerie (e non solo quelle) che è in grado di raggruppare e proporre, puoi fare strada, ma devi stare al passo con i tempi (quelli di consegna previsti) e con le richieste dei tuoi clienti, non serve a nulla fare l’applicazione se poi quando la lanci sul mercato non è ancora completa. La aspettavamo da tanto tempo, è vero, ma prendersi un mese in più non vuol dire tradire la fiducia del mercato, vuol dire pubblicare qualcosa di fatto e finito, non beta (anche se non specificato), e già che ci sei sarebbe bello capire quanto carica è una tua filiale, così da evitare che possano accadere episodi come i due citati qualche riga più sopra, che poi è il problema che da sempre contraddistingue chi si associa a JustEat (zero regole realmente rispettate, indipendenza totale e ritardi all’ordine del giorno).

Ora torno nella gabbia, con permesso, e grazie a te se sei riuscito a leggere fino a qua il mio delirio colato :-)