Archives For GitHub

È colpa di Nicola e del suo articolo di qualche giorno fa, ho provato l’esperimento GitHub di Fang-Pen Lin e Pablo Stanley disponibile all’indirizzo getavataaars.com. Si tratta di un generatore di avatar molto dinamico che può essere utilizzato anche tramite URL e che sfrutta la libreria sviluppata dallo stesso team (dai un’occhiata qui: avataaars.com).

Simpatici esperimenti: avataaars generator

La costruzione avviene direttamente tramite menu a tendina disponibili sul sito web, tu devi solo trovare la migliore combinazione per rappresentare te stesso. Puoi salvare il risultato in qualsiasi momento usando il formato PNG, quello SVG ha qualche problema (non viene aperto correttamente né da Gimp, né da Inkscape; il primo vede uno sfondo completamente trasparente, il secondo solo una piccola parte degli elementi che hai utilizzato per costruire la tua immagine cartoon). Puoi inoltre includere in maniera diretta la tua immagine tramite codice HTML (questo ti permette di non rimetterci tuo spazio web e banda).

L’esempio pratico di quanto appena detto sopra è questo:

<img src='https://avataaars.io/?avatarStyle=Transparent&topType=ShortHairShortRound&accessoriesType=Prescription02&hairColor=Black&facialHairType=BeardLight&facialHairColor=Black&clotheType=Hoodie&clotheColor=Gray02&eyeType=Side&eyebrowType=RaisedExcited&mouthType=Twinkle&skinColor=Light'
/>

Buon divertimento! 😉

Condividi l'articolo con i tuoi contatti:

YOURLS in installazione self-hosted propone un proprio logo in alto a destra con relativo titolo (H1) bene in evidenza e, contrariamente per esempio a DokuWiki, non permette nativamente di modificarlo o eliminarlo (né il logo, né il titolo); avevo per questo motivo modificato manualmente il file PHP che inserisce il titolo e richiama l’immagine / logo, inserendo la mia icona e nulla più, “una roba un pelo più pulita“, inutile dire che questa soluzione è sconsigliata e da non percorrere (per svariati motivi che ti spiego tra un attimo), ecco perché alla fine ho deciso di scrivere un plugin per YOURLS che ti permette di fare tutto questo senza sporcarti le mani.

YOURLS: cambiare il logo con un plugin (GWallChangeLogo) YOURLS: cambiare il logo con un plugin (GWallChangeLogo) 1

GWallChangeLogo

Perché non modificare manualmente la pagina PHP?

Per svariati motivi, te ne cito un paio fondamentali (il secondo più del primo):

  • se non hai ben presente cosa stai facendo e dove stai mettendo le mani, potresti fare danni anche solo modificando una virgola;
  • ogni modifica operata manualmente verrà certamente sovrascritta al prossimo aggiornamento del software che installerai per questioni di sicurezza (vero che lo farai?), vuoi davvero andare a modificare ogni volta quel richiamo logo e titolo? Suggerimento: No.

È per questo che ho scritto un plugin: gratuito, codice pubblicamente disponibile (puoi lavorarci anche tu, che schifo non mi farebbe), facile da installare e configurare, puoi disattivarlo quando ti pare e decidere di tornare al logo originale di YOURLS, come nulla fosse mai accaduto, pillola azzurra.

Scarica il file PHP del plugin dallo spazio GitHub che gli ho dedicato (questo: github.com/gioxx/YOURLS-GWallChangeLogo), quindi caricalo nella cartella user/plugins del tuo YOURLS così ritrovarlo nella console amministrativa (contoso.com/admin/plugins.php dove contoso.com dovrà essere sostituito con l’URL della tua installazione YOURLS, ovviamente) e attivalo.

A questo punto spostati nella voce di menu GWall Change Logo Plugin Config e specifica i 3 parametri richiesti: URL dell’immagine da utilizzare al posto del logo originale, tag Alt e Title:

YOURLS: cambiare il logo con un plugin (GWallChangeLogo) 2

Non c’è limitazione sull’Image URL, il plugin proverà in ogni caso a fare l’img src dell’indirizzo che gli darai in pasto, occhio quindi a cosa gli riporti all’interno. I tag Alt e Title possono non essere specificati, ma per una questione di standard ti consiglio di farlo inserendo un testo alternativo all’immagine nel caso in cui questa non venisse trovata all’indirizzo specificato. Quando hai terminato, fai clic su Update values per confermare e permettere al plugin di terminare il suo lavoro.

Questo è quanto. Per qualsiasi dubbio l’area commenti è a tua disposizione così come l’area supporto / Issue di GitHub dove potrai segnalare malfunzionamenti o richiedere modifiche al plugin. Crediti e fonti utilizzate sono riportate all’interno del file PHP del plugin, grazie a chi mi ha permesso di imparare qualcosa in più su questo aspetto di YOURLS.


immagine di copertina: rawpixel.com from Pexels
Condividi l'articolo con i tuoi contatti:

Se non conosci YOURLS, è perché evidentemente non ti è mai servito e forse mai ti servirà, questo è il classico post tecnico dedicato a coloro che invece hanno già avuto a che fare con questo software e la sua necessità di aggiornamento old-school: “Scarica, scompatta, carica su FTP e sovrascrivi“. Un po’ sulla falsa riga di quanto fatto in passato con DokuWiki (DokuWiki: upgrade dell’installazione, poi non più necessario grazie all’implementazione nativa e alla disponibilità del file diff sul sito web dello sviluppatore), oggi torno sull’argomento e ti parlo del file diff di YOURLS.

YOURLS: upgrade dell’installazione (file diff) 1

YOURLS stands for Your Own URL Shortener. It is a small set of PHP scripts that will allow you to run your own URL shortening service (a la TinyURL or Bitly).

Running your own URL shortener is fun, geeky and useful: you own your data and don’t depend on third-party services. It’s also a great way to add branding to your short URLs, instead of using the same public URL shortener everyone uses.

Due file ZIP (quello contenente la vecchia versione, quello con all’interno la nuova) che si scaricano direttamente dallo spazio GitHub del progetto, un terminale di Linux (qualsiasi). Si scompattano entrambi i file ZIP (ex.: unzip 1.7.3.zip) nella stessa cartella, quindi il comando per il confronto tra le due directory rimane quasi lo stesso di quello usato per l’articolo del DokuWiki (non fosse che stavolta il mio Terminale è in lingua italiana):

diff -rs $1 $2 | awk '/sono identici/{print $5}' | xargs rm -v

Uso $1 e $2 perché sono variabili che posso dare in pasto a uno script di bash molto semplice, questo:

Il risultato è già pronto, si trova infatti all’interno del repository SomePublicStuff che tengo su GitHub, trovi la release più aggiornata all’indirizzo github.com/gioxx/SomePublicStuff/releases/tag/YOURLS-diff. Scarica il file ZIP, scompattalo e caricane il contenuto all’interno del tuo spazio FTP, dove tieni l’installazione di YOURLS.

Buon lavoro.


immagine di copertina: unsplash.com / author: Thomas Jensen
Condividi l'articolo con i tuoi contatti:

Devo ammettere che negli ultimi tempi il team di sviluppo di Firefox sta davvero correndo come non mai, cercando costantemente di introdurre delle (a mio parere ottime) novità pur mantenendo un alto livello di attenzione ai buchi di sicurezza corretti dalle numerose patch riportate nel codice sorgente. In arrivo ci sono quindi due ulteriori integrazioni che promettono di tenere lontani gli utenti dalle numerose insicurezze nascoste dietro alcuni siti web: una maggiore integrazione con Firefox Monitor e un blocco per tutto ciò che tenta di utilizzare il browser per minare valute elettroniche o tracciare con precisione la tua impronta su Internet (fingerprint).

Firefox Nightly: nuova integrazione Firefox Monitor, blocco CryptoMining e Fingerprint 6

Due aggiornamenti secondo me importanti, che mirano a migliorare la consapevolezza dell’utilizzatore di Firefox nei confronti della sicurezza dei suoi dati (accessi ai servizi online in primis) e all’importanza del limitare la voracità di quei siti web che tentano di collezionarne il più possibile, per un proprio tornaconto evidentemente non sempre chiaro ai nostri occhi. Lascia che ti dia una panoramica un pelo più completa su ambo gli aspetti in arrivo per tutti nel futuro prossimo del browser di casa Mozilla.

Integrazione con Firefox Monitor

Firefox Nightly: nuova integrazione con Firefox Monitor, blocco CryptoMining e Fingerprint

Se questo è il primo articolo che leggi in merito a Firefox Monitor, permettimi di rimandarti a un precedente pubblicato qualche tempo fa, che ti spiega nel dettaglio di cosa si tratta e perché Firefox Monitor può tornare utile nell’utilizzo quotidiano di Internet e dei numerosi siti web e servizi che certamente in parte utilizzerai: Firefox Monitor ti avvisa in caso di furto credenziali. Ora, chiarito lo scopo e l’utilizzo dello strumento brandizzato Mozilla (pur non nascendo nella fucina degli sviluppatori sparsi su tutto il territorio internazionale), ti spiego come ha luogo l’integrazione promessa e che in questo momento (mentre sto scrivendo il mio articolo) è ancora sotto ai ferri per poter essere all’altezza delle aspettative e fondersi diventando tutt’uno con l’interfaccia del browser.

Dall’about:config cerca la chiave extensions.fxmonitor.enabled e attivala (è una variabile booleana, ti basterà portarla su True). Se questa non dovesse esistere tra le chiavi disponibili nella tua configurazione, creala in tutta tranquillità:

A questo punto la modifica è immediata. Visitando un sito web compromesso almeno una volta negli ultimi 12 mesi, ti verrà notificato direttamente da Firefox. Ti segnalo inoltre un paio di ulteriori note da tenere da conto:

  • extensions.fxmonitor.firstAlertShown : questo parametro determina se la prima notifica di allerta ti è già stata mostrata. Puoi impostarlo su False per ripristinarlo e ricevere notifiche per i siti violati negli ultimi 12 mesi.
  • extensions.fxmonitor.warnedHosts : il parametro tiene traccia dell’elenco di siti web per cui ti sono stati mostrati gli avvisi. Se intendi in qualche modo fare un reset, ti basta pulirlo (lasciare la stringa vuota) per riportarlo allo stadio iniziale.

Se non dovesse funzionare sulla tua installazione, è perché probabilmente c’è ancora qualcosa da mettere a posto, come segnalato da un ingegnere Mozilla in un thread su Reddit, ti basterà solo portare un attimo di pazienza, sono certo che nei fix che stanno uscendo in questi giorni ci sarà anche quello che colmerà l’attuale lacuna e permetterà all’integrazione con Firefox Monitor di funzionare correttamente.

Blocco CryptoMining e Fingerprint

Firefox Nightly: nuova integrazione con Firefox Monitor, blocco CryptoMining e Fingerprint 1

Anche di CryptoMining te ne ho già parlato, e l’ho fatto in occasione della presentazione della lista NoCoin per Adblock Plus (ed estensioni compatibili), più precisamente in questo articolo: Ti presento NoCoin, l’ultimo arrivato nella famiglia ABP X Files, riprendendo poi l’argomento in NoCoin: il cryptojacking è ormai argomento comune. A quanto pare l’argomento è diventato fulcro di questa ulteriore novità al momento funzionante in Nightly, ma che presto raggiungerà con ogni probabilità tutti gli altri rami di rilascio di Mozilla Firefox.

A esso si associa l’ulteriore argomento riguardante il Fingerprint del browser, l’impronta digitale lasciata dal software che noi tutti utilizziamo per navigare su Internet, che permette spesso di lasciare al sito web anche altre informazioni, senza però aver mai chiesto il permesso in maniera esplicita all’utente finale. Descrive bene il tutto la Electronic Frontier Foundation (EFF):

“Browser fingerprinting” is a method of tracking web browsers by the configuration and settings information they make visible to websites, rather than traditional tracking methods such as IP addresses and unique cookies.

Browser fingerprinting is both difficult to detect and and extremely difficult to thwart.

When you load a web page, you will automatically broadcast certain information about your browser to the website you are visiting — as well as to any trackers embedded within the site (such as those that serve advertisements). The site you are visiting may choose to analyze your browser using JavaScript, Flash and other methods (just like Panopticlick does). It may look for what types of fonts you have installed, the language you’ve set, the add-ons you’ve installed, and other factors. The site may then create a type of profile of you, tied to this pattern of characteristics associated with your browser, rather than tied to a specific tracking cookie.

If your browser is unique, then it’s possible that an online tracker can identify you even without setting tracking cookies. While the tracker won’t know your name, they could collect a deeply personal dossier of websites you visit.

vedi: panopticlick.eff.org/about#browser-fingerprinting.

È qui che interviene Mozilla, proponendo due impostazioni appositamente dedicate al blocco del Cryptomining e all’evitare che chiunque possa tracciare un’impronta precisa del browser e delle diverse informazioni che tramite questo arrivano a chi sta dietro il sito web o servizio di turno, si va quindi ad aggiungere un nuovo strato di sicurezza al già in produzione blocco degli elementi traccianti.

Accedi a about:preferences#privacy, noterai tu stesso ciò di cui ti sto parlando. È qui che puoi intervenire mettendo in moto le due nuove configurazioni dall’about:config, rispettivamente privacy.trackingprotection.fingerprinting.enabled e privacy.trackingprotection.cryptomining.enabled, variabili booleane che tu potrai attivare in Nightly da subito, nel ramo stabile tra qualche tempo:

La modifica è immediata, è ancora in fase di miglioramento continuo e contribuirà così ad arricchire ancora più ciò che Mozilla mette a disposizione per proteggere quanto più possibile la propria identità digitale e i dati riservati che molti prendono senza il tuo permesso.

Questo significherà abbandonare NoCoin?

Non al momento, ma va da sé che se Mozilla deciderà di integrare la protezione contro il Cryptomining all’interno del browser, liste filtri come NoCoin (e vale anche per le estensioni nate ad-hoc) non avranno forse più senso di esistere, e non c’è migliore notizia per gli utilizzatori, perché si andranno a proteggere anche quelli che non conoscono ancora oggi le possibilità offerte da Adblock Plus (e “soci”), le liste, le configurazioni in grado di tenerli lontani dai pericoli del web.

NoCoin è nata per andarsi a integrare con liste che vengono costantemente aggiornate e tenute vive sul web ormai da molti anni (2007, ed è subito attacco di nostalgia per gli anni passati), ma non è necessario che questa resista se c’è chi può fare di meglio e più diffusamente, credo tu possa comprenderlo benissimo.


immagine di copertina: Tails by giantspeck
fonti:
bleepingcomputer.com/news/security/mozilla-adding-cryptomining-and-fingerprint-blocking-to-firefox
ghacks.net/2019/02/18/firefox-67-to-display-breach-alerts
reddit.com/r/firefox/comments/as4txo/firefox_67_to_display_breach_alerts_ghacks_tech
reddit.com/r/firefox/comments/ap3np6/mozilla_adding_cryptomining_and_fingerprint
Condividi l'articolo con i tuoi contatti:

Non è una “novità dell’ultima ora” e per questo ti chiedo scusa, ma credo che l’importante sia l’intervento e non “la pubblicità“, ora capirai certamente a cosa faccio riferimento. Lo scorso 21 gennaio il CERT-PA ha pubblicato un comunicato riguardante un nuovo tipo di attacco phishing che sfrutta pagine web ospitate su Cloud Microsoft, le quali cercano di carpire tue informazioni personali per ottenere accesso non autorizzato a risorse che non dovrebbero poter essere viste da occhi diversi dai tuoi. Se ne parla in maniera più approfondita qui: cert-pa.it/notizie/pagine-di-phishing-ospitate-su-cloud-microsoft

Sicurezza e Phishing (Password, Privacy, Web)

Il CERT-PA è recentemente venuto a conoscenza di un servizio di phishing che sfrutta il cloud di Microsoft per ospitare finte pagine di login.

Dalle analisi svolte dal CERT-PA, si ha evidenza che tale servizio è offerto da Spam-egy, con tanto di pagina Facebook e video promozionale, al momento al costo di 300USD ed ha come bersaglio le utenze Microsoft. La prima evidenza pubblica in Italia risulta datata 4 gennaio 2019 via twitter, mentre da Phishtank emerge una evidenza risalente al 5 ottobre 2018.

La sostanza dell’attacco risiede nel fatto che la pagina che si occupa di rubare le credenziali (comunque digitate dall’utente finale, evidentemente ignaro dell’attacco) si trova sullo spazio Cloud di proprietà Microsoft (Azure). A oggi questa pagina non è più raggiungibile (https://up2.blob.core.windows.net/a520s5ecfe5dced56/update2.html) e già dal giorno uno di divulgazione del problema ho provveduto a inserire un nuovo filtro all’interno di X Files, così da evitare che possa essere caricato / incluso qualsivoglia file proveniente da s4egy.com, sito web che si occupa di fornire gli strumenti utili per portare a termine l’attacco, tra cui alcuni file javascript come quello mostrato nello screenshot di seguito:

CERT-PA: submission 5806509 e blocco via X Files

I dettagli sulla commit sono disponibili su github.com/gioxx/xfiles/commit/60fd3259d0f16aeda0a68312be334321cee67143, tu non devi fare altro che verificare che la tua sottoscrizione a X Files sia aggiornata. Ti ricordo che chiunque può effettuare nuove segnalazioni per richiedere verifiche su un particolare sito web / comportamento anomalo della lista, il tutto passando dagli strumenti a tua disposizione: aprire una Issue su GitHub (metodo preferito), aprire un ticket tramite UserVoice o utilizzare il modulo feedback su NoAds.

Buon lavoro.

Condividi l'articolo con i tuoi contatti: