Archives For HTTPS

Comunicazione di servizio: il riepilogo dei collegamenti più interessanti della settimana, appuntamento più o meno fisso del weekend, si prende un periodo di pausa e tornerà disponibile su questi lidi intorno alla fine di agosto. Riposa, goditi un po’ di relax, il caldo e l’acqua del mare non possono che farti (e farmi bene), buon tuffo anche a te (a meno che tu non preferisca la montagna!). In generale la pubblicazione degli articoli sul blog rallenta per permettermi di staccare un po’ la spina (non sparisco se è quello che ti stai augurando o temendo ??). A presto!

Letture per il weekend: 7

Ultime novità

  • L’app per i cittadini progettata con i cittadini: (ITA) un articolo che racconta l’evoluzione di IO, l’app dei servizi pubblici. Leggi, curiosa in tutto quello che può già fare, io faccio parte della fase beta che aiuta il team Digitale a identificare possibili bug e miglioramenti. Se sei residente in una delle città che sono già servite da IO puoi certamente iscriverti anche tu.
  • 5G: Tim e Vodafone, accordo per condividere la rete mobile: (ITA) ampiamente preannunciato, l’accordo tra TIM e Vodafone per lo sviluppo della rete 5G italiana diventa realtà. Una joint-venture che permetterà di condividere le torri radio e dare così maggiore copertura ai clienti di entrambi gli operatori. Un articolo che cerca di riassumere tutto quello che c’è da sapere.
  • Apple acquisisce i modem per smartphone di Intel: (ITA) si rimane nell’ambito della connettività mobile e del 5G. La divisione modem per smartphone del grande marchio americano confluisce nella scuderia Apple, la quale sta sempre più andando a ritagliarsi una completa autonomia che le permetterà in futuro di non dipendere da nessuna terza parte per la produzione dell’hardware utilizzato all’interno dei propri dispositivi.
  • Firefox 70: tutte le pagine HTTP diventano non sicure. Novità per la gestione delle credenziali: (ITA) alla scoperta delle ultime novità di Firefox 70 e Firefox Lockwise, il nuovo gestore di credenziali più intelligente sviluppato e integrato all’interno del browser Mozilla. Insieme a questa novità arriva anche l’alert che ti segnala quando navighi su pagine HTTP anziché HTTPS, segnalandoti che si tratta di siti web non sicuri.
  • L’hacker che ha fermato WannaCry non andrà in carcere: (ITA) la storia di Marcus Hutchins è assai curiosa. Chi ha “salvato il mondo” dall’infezione di WannaCry grazie a quel Kill Switch nascosto in un dominio internet brillantemente individuato e acquistato per fermare la pestilenza è stato arrestato per suoi trascorsi non esattamente puliti e lindi. La corte ha però deciso che le capacità tecniche del ragazzo e la sua crescita mentale meritano fiducia, riducendo (e tanto) la sua pena, senza passare dal via e ritirare le duemila lire.

Privacy e Sicurezza

  • As Authoritarian Governments Surveil the Internet, Open Source Projects Decide How to Respond: (ENG) a dirla tutta forse un po’ me lo aspettavo e in realtà speravo che sul carrozzone a difesa del popolo kazako ci salissero anche gli altri player che giocano nel mercato dei browser. Allo stato attuale c’è una discussione in corso su quello che Mozilla (con Firefox) può fare per scavalcare quanto imposto riguardo il certificato di inspection HTTPS che il governo pretende che venga installato da ogni cittadino, la notizia è stata ripresa anche da Wired Italia (qui: wired.it/internet/web/2019/07/25/kazakhstan-internet-mozilla).
  • Sky worries users with phishy-looking password reset email: (ENG) una campagna email di Sky invita alcuni dei suoi clienti UK a cambiare la password di accesso al proprio account per mantenere un “alto standard di sicurezza“. Se inizialmente questo puzzava di data breach neanche tanto ben mascherato, si è scoperto essere in seguito uno strascico di un precedente attacco alle caselle di posta Yahoo! di qualche tempo fa. Davvero utilizzi ancora quella casella di posta elettronica? È la variante straniera delle nostrane libero.it, peggio di una gruviera.
  • Viral App FaceApp Now Owns Access To More Than 150 Million People’s Faces And Names: (ENG) inutile girarci ancora attorno, si è detto tanto (forse troppo) riguardo FaceApp. Tra policy e protezione dei tuoi dati il dato (scusa il gioco di parole) salta immediatamente all’occhio. L’aver fatto parlare così tanto di sé ha portato l’applicazione a raccogliere più di 150 milioni di volti e nomi. Ti stai preoccupando?
  • Why you should switch to Signal or Telegram from WhatsApp, Today: (ENG) un punto di vista, un’analisi, perché abbandonare WhatsApp e scegliere un’applicazione alternativa, pur mantenendo lo scopo principe e principale di questo tipo di applicazioni, la possibilità di inviare rapidamente messaggi di testo, voce, video e allegati tra contatti. Allego cattura completa dell’articolo per chi non la potesse leggere integralmente.
  • Diritto all’oblio, il Garante privacy estende il campo di applicazione: (ITA) il Garante della Privacy ha creato un precedente per ciò che riguarda il diritto all’oblio e alla sua applicazione anche in assenza di nome e cognome esplicito della persona. Ciò che determina il diritto all’oblio può essere qualsiasi tipo di dato che può identificare univocamente la persona che sta facendo richiesta di “sparire dai radar“.
  • Dietro le false pec dell’Inps c’è una lunga campagna di attacchi hacker: (ITA) c’è un attacco di phishing in corso che sembra fare uso di indirizzi di posta elettronica certificata del tutto leciti, si fa riferimento a “dettaglio degli addebiti e degli importi dovuti”, nota falsa alla quale non credere, che porta con sé un file zip contenente un virus facente parte (a oggi) dei 4 più diffusi in Italia. Occhi sempre ben aperti.
  • How to Dump 1Password, KeePassX & LastPass Passwords in Plaintext: (ENG) quando le tue password transitano dall’area appunti di macOS sono potenzialmente vulnerabili, è il motivo per il quale è sempre consigliato affidarsi ai componenti aggiuntivi ufficiali che gli stessi sviluppatori delle applicazioni di conservazione password realizzano e mettono a disposizione. Questi fanno dialogare browser e applicazione senza che venga lasciato scoperto un nervo molto sensibile. Una bella e completa analisi con esempi di attacco.
  • Il bug Bluekeep rischia di scatenare un’altra Wannacry: (ITA) quello che fino a oggi era solo stato discusso e tenuto “su carta” è disponibile invece all’uso da parte di chiunque sia disposto a pagare. C’è un nuovo exploit in grado di colpire Windows, basato su un veicolo d’infezione già scoperto in passato.

Dai un’occhiata anche a …

  • How to Obtain Valuable Data from Images Using Exif Extractors: (ENG) le fotografie che carichi online portano con sé una miriade di dati utilizzabili per scoprire maggiori dettagli su chi l’ha scattata, con quale prodotto, in che posizione nel mondo. Si chiamano EXIF, possono essere letti facilmente, questo è un articolo che ti spiega bene di cosa si tratta e come gli EXIF possono essere sfruttati facendo uso di strumenti liberamente accessibili su web.
  • Avengers: Endgame è il film con il maggior incasso di sempre!: (ITA) alla fine ce l’ha fatta, Avengers: Endgame batte Avatar ai botteghini e diventa l’opera cinematografica con il maggiore incasso mai realizzato. Inutile nasconderlo: proporre una “nuova visione” con scene tagliate e ringraziamento finale ha aiutato (e parecchio), pur non includendo nulla di imperdibile (nulla che manchi all’appello del disco BluRay che verrà messo entro breve in commercio).
  • Dal Signore degli Anelli a Jack Ryan, le novità delle serie tv Amazon: (ITA) ci sono alcune serie televisive Amazon che mi piacciono particolarmente, Wired ha pubblicato una lista di quello che arriverà su Prime Video nella prossima stagione autunnale.

immagine di copertina: unsplash.com / author: Sai Kiran Anagani
Condividi l'articolo con i tuoi contatti:

Lasciato il giusto spazio ai suggerimenti e risorse utili per il tuo Raspberry casalingo (o d’ufficio, chi lo sa) ecco che arriva il riepilogo di una lunga settimana fatta di alcune notizie davvero interessanti, in alcuni casi anche un pelo preoccupanti. Si parla di limitazioni alla privacy (argomento a me molto caro), Netflix, Twitter e anche BlaBlaCar e un suo nuovo modo di vedere il trasporto pubblico su ruota (nuovo rispetto alla mission principale del brand, nda). Passa un weekend rilassante se puoi e resisti, ormai le ferie sono vicine per tutti (soprattutto per quelli che sono costretti ad allontanarsi solo ad agosto!).

Letture per il weekend: 6

Ultime novità

  • I disclaimer legali dentro le email non servono a niente: (ITA) non c’è nessuna legge che imponga di inserirli e nessuna utilità dal punto di vista legale, ma lo fanno comunque in molti (troppi). Il blocco di righe che chiudono tipicamente un’email inviata dall’indirizzo aziendale è uno storico “must-have” insopportabile che spesso supera la quantità di testo utile, quello che si trova nel corpo dell’email. Un’analisi e spiegazione più che completa fornita da ilPost spiega l’inutilità assoluta di questa pratica.
  • Ecco a voi… BlaBlaBus!: (ITA) zitta zitta, quatta quatta, BlaBlaCar salta fuori con una bella novità riguardante il trasporto pubblico su strade italiane ed europee introducendo il servizio BlaBlaBus, risultato dell’acquisizione di Ouibus. Al carpooling si affianca quindi un diretto competitor di FlixBus, con destinazioni importanti e tariffe evidentemente vantaggiose così come dettato dalla missione principale di BlaBlaCar.
  • Twitter cancella i post di odio contro le religioni: (ITA) una nuova policy con relativa stretta sul linguaggio utilizzato è in arrivo sul Social Network caratterizzato dall’azzurro cinguettatore. Arriva lo stop ufficiale a tutto ciò che verrà considerato disumanizzante, odio ingiustificato verso religioni e culture di ogni popolo, risultato di un’indagine condotta che ha portato a ottomila feedback da trenta diversi Paesi.
  • Netflix frena nella crescita di abbonati: competizione e rincari si fanno sentire: (ITA) la crescita della clientela pagante di Netflix è minata non solo dall’aumento di prezzi che ha preso piede in ogni mercato, ma anche da una (sana, nda) concorrenza messa in campo dai suoi diretti competitor. Lo diresti mai che YouTube fa parte di questi? E non sto parlando certo della neonata offerta a pagamento.
  • Vodafone, ecco il modulo per il rimborso della fatturazione a 28 giorni: (ITA) Vodafone mette a disposizione dei clienti al momento privati con contratto casalingo il modulo di richiesta rimborso per la fatturazione errata a 28gg, dedicato a coloro che non hanno accettato (e non vorranno farlo neanche in un futuro prossimo) bonus e scontistiche che vanno in qualche maniera a sostituire la forma di rimborso classica per quanto pagato più del dovuto. Arriveranno anche gli altri operatori?
  • Migliaia di clienti truffati da tre siti e-commerce: sgominata la banda di Cremona: (ITA) lo spot di MaraShopping mi aveva personalmente triturato le scatole per quante volte veniva fatto passare in radio, segno di una pressante campagna marketing che aveva tutta l’intenzione di scolpirti nella testa quel dominio e quel nome, creatura finita nel mirino delle indagini e già oscurata dalla Polizia Postale insieme ad altri siti web che possono essere facilmente reperiti online nei vari approfondimenti. Occhi sempre ben aperti quando si tratta di sconti assurdi e richieste di pagamento “fuori dal normale“.

Privacy e Sicurezza

  • A New Ransomware Is Targeting Network Attached Storage (NAS) Devices: (ENG) un nuovo attacco di tipo Ransomware prende di mira i NAS QNap che – se non correttamente protetti e aggiornati – rischiano di vedersi criptare tutto il contenuto che tale rimarrà fino al pagamento di un riscatto in Bitcoin. Il codice è stato già studiato e sembrano esserci buoni spiragli per ciò che riguarda la decriptazione senza pagare riscatto alcuno, tu puoi però metterti preventivamente al riparo verificando di aver preso ogni precauzione a riguardo.
  • FaceApp: due parole sull’opportunità di inviare dati personali all’applicazione: (ITA) e ci aggiungo anche un pensiero di Andrea (qui: andrea.co/blog/2019/7/18/faceapp-divertente-ma). Entrambi gli articoli riprendono quello che è il mio pensiero, “vittima” impotente di amici che hanno deciso di utilizzare questo “simpatico tool” mettendoci di mezzo fotografie del sottoscritto (e non solo). Non mi piace la loro Privacy Policy, non mi piace che non si faccia mai riferimento al GDPR (nonostante questo sia sempre tanto sottovalutato), non mi fido di chi mi dice che dopo 48 ore tutto è andato a farsi benedire su server dove non ho visibilità alcuna di ciò che accade dietro le quinte. Facebook fa schifo in quanto a privacy degli utenti, ma devo dire che anche FaceApp non se la cava affatto male.
  • Kazakhstan Begins Intercepting HTTPS Internet Traffic Of All Citizens Forcefully: (ENG) la Cina fa scuola, non è certamente una cosa positiva. Citerò le parole di un utente del gruppo di Pillole di Bit su Telegram (una manica di nerd e non che parlano di cose brutte legate a informatica e sicurezza): Chi lo fa, si fa autogol.. Chi non lo fa… Non naviga più dato che lo stato ha il controllo degli ISP. La sostanza è che è stato reso legale e obbligatorio consegnare tutti i dati della propria navigazione a un controllore che nessuno ha mai deciso di eleggere.

Dai un’occhiata anche a …

  • Calcolo proporzioni e riduzione in scala: (ITA) un piccolo tool online che ti permette di calcolare proporzioni e riduzioni in scala nel caso in cui tu stia lavorando con delle immagini (per esempio) e necessiti di fare un ridimensionamento quanto più corretto possibile.
  • Film Marvel, i migliori 10 al 2019: (ITA) una classifica dei 10 migliori film dell’universo cinematografico di Marvel corredati di voti comparsi su Metacritic e Rotten Tomatoes. Su qualcuno di questi probabilmente avrei operato delle modifiche ma poco importa, è bello confrontarsi con altri appassionati del MCU. Ormai gli anni iniziano a diventare tanti così come i piccoli grandi capolavori realizzati dalla grande famiglia capitanata da Kevin Feige, stilare delle classifiche di gradimento è cosa assai normale.

immagine di copertina: unsplash.com / author: Nathan Dumlao
Condividi l'articolo con i tuoi contatti:

Dell’importanza della protezione della comunicazione tra i tuoi utenti e il tuo sito web, di HTTPS ed evoluzione della tua installazione WordPress ne abbiamo già parlato in passato (WordPress: passaggio da HTTP a HTTPS (aggiornato)), quello di cui parliamo oggi è un’alternativa al certificato Let’s Encrypt che tutti noi possiamo ottenere gratuitamente grazie all’alleanza composta da tanti piccoli e grandi protagonisti del panorama web internazionale, perché per le realtà commerciali e alcune private particolari quel tipo di sicurezza mostrata potrebbe non essere sufficiente.

Di HTTPS, GoDaddy e l'importanza di un certificato

No, non c’è un problema relativo alla sicurezza del certificato emesso da Let’s Encrypt, più che altro si parla di maggiore fiducia e di volersi mostrare in diversa maniera rispetto a quella classica da semplice lucchetto verde che ormai Firefox o Chrome mostrano quando si trovano davanti a un sito web che ha fatto correttamente il compito a casa. È qui che entra in gioco GoDaddy e la sua offerta relativa ai prodotti SSL, quella riassunta in questa pagina: it.godaddy.com/offers/ssl-certificate/?isc=emeassl.

Il certificato SSL

SSL è l’acronimo di Secure Sockets Layer, tutto ciò che serve affinché l’utente finale sappia che la comunicazione tra il suo browser e il tuo sito web è sicura e che non potrà essere intercettata o contraffatta da una terza parte (il discorso è un po’ più complicato di così, ma credo di avertela messa giù in maniera semplice e – spero – chiara). Se un sito web statico che propone contenuti da leggere e nessuna possibilità di interagire con essi (niente area commenti, niente condivisione Social, nessun sistema di tracciamento delle statistiche o cose così) può anche pensare di fare a meno di questo importante tassello di costruzione e pubblicazione di un’opera web, una realtà commerciale di qualsiasi grandezza (o anche un blog come il mio, che ti lascia interagire con me e che mi permette di dare un’occhiata alle statistiche sulle visite, ecc.) non può più farne a meno, non fosse anche per quella – ormai non più – novità riguardante la dicitura “Non sicuro” riportata da Chrome dalla sua versione 68 in avanti, subito prima dell’indirizzo del sito web visitato.

Dai un’occhiata un pelo più approfondita all’articolo qui disponibile: it.godaddy.com/blog/a-cosa-serve-ssl.

Perché GoDaddy?

Perché come qualsiasi altra grande azienda del settore, GoDaddy mette a disposizione una serie di servizi che includono la vendita di certificati SSL che possono attestare e certificare la sicurezza del tuo sito web (della comunicazione tra client e server) nel corso del tempo, con offerte che possono essere rinnovate annualmente in maniera semplice e – in questo momento in cui sto stendendo l’articolo – anche economica, considerando gli sconti applicati e l’esigenza di coprire un dominio unico (perché in caso di sottodomini multipli la storia cambia eccome, e il prezzo inizia a diventare qualcosa che solo una realtà commerciale può permettersi annualmente):

Di HTTPS, GoDaddy e l'importanza di un certificato 1

Io GoDaddy l’ho già utilizzato in passato (ci tenevo in piedi i domini e il pannello DNS di questo blog e di tanti altri miei siti web, nda), mi sono sempre trovato bene con loro anche quando in Italia non c’era supporto alcuno (passavo direttamente dal supporto americano e dal loro tempestivo servizio di trouble ticketing), cosa che oggi è invece cambiata grazie a una ricca documentazione e un supporto che parla l’italiano e che ti può aiutare dal lunedì al venerdì in fascia oraria tipica d’ufficio 9:00-18:00 (it.godaddy.com/help?isc=emeassl), presente anche sui diversi Social Network come Twitter o Facebook, evidentemente al passo con le richieste visti i tanti commenti positivi espressi su TrustPilot (trustpilot.com/review/it.godaddy.com).


immagine di copertina: unsplash.com / author: Rubén Bagüés
×

Sponsored

La regia si prende un piccolo break e ti lascia ai consigli per gli acquisti, articoli scritti sempre e comunque dal proprietario della baracca (o da ospiti di vecchia data) ma - contrariamente al solito - sponsorizzati.
Il giudizio è e sarà sempre imparziale come il resto delle pubblicazioni. D'accordo pagare le spese di questo blog, ma mai vendere giudizi positivi se non meritati. Nel caso in cui venga richiesta esplicita modifica dell'articolo e/o del giudizio sarà mia cura rimanere quanto più neutro possibile.

Condividi l'articolo con i tuoi contatti:

Non è certo argomento nuovo quello del DNS hijacking, pratica quanto più perpetrata da coloro che scrivono software malevolo in grado di attaccare i router casalinghi, o magari quelli ben più complessi alla base di una rete aziendale che può diventare inconsapevole vittima di un redirect non voluto e non certo giusto ai fini di una navigazione pulita e fatta di siti web leciti. Il funzionamento di tale tecnica è tanto semplice quanto pericoloso: l’ignaro utente effettua una normale richiesta a un DNS che non si aspetta, il quale redirige quella richiesta verso un sito web infetto e potenzialmente molto pericoloso.

Firefox: DNS over HTTPS (di Cloudflare ma non solo)

La tecnica ha maggiore effetto con coloro che sono poco informati, o comunque poco (o per nulla) in grado di accorgersi di questo tipo di redirezione (pensa ai tuoi genitori in età avanzata, i nonni, ma anche parenti ben più giovani ma completamente a digiuno di questo tipo di argomenti), sfociando così in furti di credenziali o –ben peggio– di codici di protezione per conti correnti bancari e carte di credito. I maggiori produttori di browser lavorano da tempo a tecnologie che vadano oltre la configurazione DNS del proprio Sistema Operativo, e sono mesi che nelle versioni Nightly di Firefox mi trovo dietro una configurazione di DNS over HTTPS per proteggere le mie richieste verso i DNS utilizzati, così da ottenere risposte corrette e che tengano al sicuro la navigazione quotidiana.

Firefox: DNS over HTTPS (di Cloudflare ma non solo) 1

Di Cloudflare e dei suoi nuovi DNS ti avevo già parlato in passato, in questo articolo.

Gli “studi” di cui parla Nightly sono quelli che –ammesso tu stia usando questa versione del browser Mozilla– puoi trovare digitando about:studies nella barra dell’URL. Questa è una (ormai non più) novità di Nightly introdotta lo scorso marzo, così come la stessa cosa è accaduta per Google e il suo Chrome arrivato a introdurre anch’esso uno studio nel rilascio dello stesso mese (e -sempre Google- ne parlava già nel 2016: developers.google.com/speed/public-dns/docs/dns-over-https).

Firefox: DNS over HTTPS (di Cloudflare, ma non solo)

Effettuare richieste DNS passando per HTTPS ha anche un duplice scopo, ed è quello relativo alla privacy dei dati scambiati tra il client (da te utilizzato) e il server che sta portandoti verso il sito web richiesto. Chi si trova in mezzo, passando per una connessione cifrata (HTTPS, appunto), non potrà ottenere statistiche dettagliate e abitudini del client che fino a oggi sono state più trasparenti dell’aria.

Sperimentazione dei DNS over HTTPS

Forzare il browser di casa Mozilla a utilizzare dei DNS over HTTPS è oggi possibile con qualsivoglia versione pari o superiore alla 60, a prescindere dal ramo di aggiornamento scelto per le proprie postazioni. Un articolo di Ghacks lo spiegava lo scorso aprile, io te lo riepilogo in breve.

  • Portati nell’about:config del browser (e conferma che vuoi procedere garantendo che non combinerai danni, perché tu non lo farai, giusto?)
  • Cerca la voce network.trr.mode e portala a valore 2, questo ti consentirà di scegliere DNS over HTTPS come principale metodo di risoluzione nomi, ma di passare in fallback sui DNS di sistema nel caso il metodo principale fallisse (così da non rimanere senza meta durante la navigazione). Il valore 1 permetterebbe a Firefox di scegliere il più veloce tra i due metodi, il 3 di usare esclusivamente DNS over HTTPS e 0 -che poi è il default- di usare solo i DNS di sistema, come hai sempre fatto.

Firefox: DNS over HTTPS (di Cloudflare ma non solo) 2

  • Cerca ora la voce network.trr.uri e valorizza il contenuto scegliendo (e riportando la stringa adatta) uno dei due servizi sperimentali attualmente già pubblicamente accessibili, Mozilla / Cloudflare (https://mozilla.cloudflare-dns.com/dns-query) o Google (https://dns.google.com/experimental).

Firefox: DNS over HTTPS (di Cloudflare ma non solo) 3

  • Se -contrariamente a me- hai precedentemente scelto di usare il servizio di Mozilla / Cloudflare, devi ora cercare la voce network.trr.bootstrapAddress e valorizzarla con il DNS primario del servizio (1.1.1.1). Se hai scelto Google, quel valore dovrà corrispondere invece al più che conosciuto 8.8.8.8.

Firefox: DNS over HTTPS (di Cloudflare ma non solo) 4

La modifica è immediata, e tu navigherai sin da subito passando per una risoluzione nomi basata ora su DNS over HTTPS.

Ulteriori riferimenti

Ho trovato su GitHub una lista di altri servizi di DoH (DNS over HTTPS) alla quale puoi fare riferimento, puoi consultarla anche tu puntando il browser all’indirizzo github.com/curl/curl/wiki/DNS-over-HTTPS (con la speranza che venga aggiornata in futuro).

Ghacks aveva inoltre pubblicato, precedentemente all’articolo dedicato alla configurazione DoH di Firefox, un approfondimento su tutte le voci di about:config dedicate a questo metodo di risoluzione nomi, lo trovi all’indirizzo ghacks.net/2018/03/20/firefox-dns-over-https-and-a-worrying-shield-study.

Se a te sorge qualche dubbio in merito a quanto spiegato nell’articolo beh, sai già cosa fare: l’area commenti è a tua totale disposizione :-)

Buona giornata!


immagine di copertina: unsplash.com / author: Liam Tucker

Condividi l'articolo con i tuoi contatti:

In realtà la prima parte del lavoro l’ha fatta tutta Plesk e l’hosting su cui faccio girare il mio DokuWiki, lo ammetto. La seconda è invece pilotabile tramite estensione da installare, configurare e cominciare a utilizzare, modificando il metodo di login predefinito del software.

DokuWiki: HTTPS e autenticazione in due fattori

Plesk permette (se il modulo è installato e configurato) di utilizzare Let’s Encrypt per generare (e in seguito rinnovare automaticamente) un certificato per uno o più domini gestiti. Inoltre, per completare l’opera, può automaticamente forzare il redirect 301 verso ogni pagina in HTTPS così da evitare che qualche visitatore finisca ancora sotto HTTP (dalle impostazioni hosting di ciascun dominio / vhost). Spiegato in una sola immagine, il risultato è questo:

DokuWiki: HTTPS e autenticazione in due fattori 1

2FA (Autenticazione in due fattori)

Che poi è il succo dell’articolo promemoria nel caso in cui mi serva rifarlo successivamente a questa prima installazione. Il plugin si chiama authg2fa ed è disponibile nel repository ufficiale di DokuWiki all’indirizzo dokuwiki.org/plugin:authg2fa.

Lo puoi installare direttamente dal tuo Extension Manager, basta cercarlo con il nome che ti ho appena indicato. Lo troverai poi in dashboard (sotto gli Additional Plugins), per poter amministrare i token di ciascun utente registrato nel Wiki. Per poter ottenere il QR code da catturare con Authy (o qualsiasi altra applicazione compatibile) dovrai prima generare il Secret (pulsante Create new Secret, nda), quindi potrai selezionare “Show Secret/QR Code“:

DokuWiki: HTTPS e autenticazione in due fattori 2

Effettua la solita procedura per la registrazione di un nuovo accesso 2FA sulla tua applicazione preferita, quindi abbandona questa pagina e torna in dashboard, spostandoti in Configuration SettingsAuthentication, dove ti basterà modificare il metodo di autenticazione da quello attualmente utilizzato a authg2fa:

DokuWiki: HTTPS e autenticazione in due fattori 3

Scorri la pagina delle impostazioni fino in fondo, quindi salva la modifica appena operata, dovresti perdere la tua sessione e venire costretto a un nuovo login, stavolta specificando anche il codice di autenticazione doppia:

DokuWiki: HTTPS e autenticazione in due fattori 4

Inserisci i dati richiesti ed entra nuovamente in possesso del tuo utente e del tuo Wiki :-)

Ricorda: in caso di problemi, consulta la documentazione ufficiale del plugin disponibile su dokuwiki.org/plugin:authg2fa, ciò che puoi fare nell’immediato (nel caso in cui tu abbia rogne con l’autenticazione a due fattori) è tornare in “plain auth” modificando il file di configurazione di DokuWiki via FTP (/conf/local.php), modificando la stringa da $conf['authtype'] = 'authg2fa'; a $conf['authtype'] = 'authplain';.

Buon lavoro :-)

Condividi l'articolo con i tuoi contatti: