Archives For In Evidenza

Uno di quegli articoli “bibbia” per il quale potrei andare avanti a scrivere per ore, ma che mi rendo conto di non poter stendere per evitare di stendere il lettore (sembra una frase scritta da Fedez, ti chiedo scusa, non lo faccio più). Te lo avevo anticipato facendolo trasparire nell’articolo di partenza dedicato a Raspberry Pi (Raspberry Pi: la base di partenza), ora è arrivato il momento di parlarne e di capire come tu puoi creare un server DNS casalingo in grado di proteggerti da siti web pericolosi (prima di tutto) e dalla pubblicità invasiva, con particolare attenzione al filtro che puoi ulteriormente applicare per la protezione della navigazione dei minori.

Pi-hole: installazione e prima configurazione

Pi-hole

Un gran bel progetto che richiede da parte tua il minimo sforzo (dipende molto da quello che cerchi e da quanto in “profondità” vuoi andare per sfruttarne le potenzialità), open source e di libero accesso, sostenuto dalle donazioni volontarie degli utilizzatori (che ti invito a valutare). Pi-hole si definisce come “A black hole for Internet advertisements“, un buco nero per tutta la pubblicità invasiva di Internet, un concetto certamente ben identificativo del progetto, ma che a mio parere risulta un po’ restrittivo rispetto a quello che un prodotto simile può davvero fare per l’utilizzatore finale.

Secondo una definizione certamente più tecnica disponibile sulla Wiki di archlinux, Pi-hole è un:

DNS sinkhole che redige una lista di blocco di domini conosciuti per offrire pubblicità e malware da sorgenti multiple di terze parti. Pi-hole, attraverso l’uso di dnsmasq, elimina semplicemente tutte le richieste di domini nella sua lista di blocco. Questa configurazione implementa efficacemente il blocco della pubblicità a livello di rete senza dover configurare ogni singolo client. Il pacchetto offre una interfaccia web e una a riga di comando.

Se sei abituato a utilizzare Adblock Plus o un qualsivoglia prodotto che svolge lo stesso compito sul tuo browser preferito hai certamente chiaro il concetto alla base: evito alla sorgente che le risorse vengano caricate in un solo colpo e per tutti i dispositivi connessi alla rete, perché Pi-hole mi permette di intercettarle e redirigerle in maniera differente rispetto ai DNS pubblici, ovvero troncando la comunicazione con quei domini che vengono utilizzati per veicolare pubblicità invasiva (e non solo). Il grande vantaggio del prodotto sta certamente nella centralizzazione delle tue operazioni e nella possibilità di scaricare un po’ di lavoro dalle spalle del browser che potrà così rinunciare a un componente aggiuntivo spesso esoso di risorse (dipende da quello che stai utilizzando, nda).

Installazione

Tutto chiaro? D’accordo. A questo punto passiamo al succo vero dell’articolo, installiamo Pi-hole sul tuo RPi (la soluzione certamente più comoda) o su un NAS ammesso che questo ti permetta di far girare Docker, o ancora su una macchina Linux che utilizzi già per fare altro all’interno della tua rete, trovi la lista di compatibilità del prodotto all’indirizzo docs.pi-hole.net/main/prerequesites/#supported-operating-systems.

Io baso il mio articolo su Raspberry Pi (RPi), ho creato una macchina virtuale sul mio Mac con Raspbian a bordo appositamente per catturare qualche screenshot per questo articolo (l’installazione di produzione l’ho fatta ormai circa un mese fa e ho semplicemente dimenticato di crearmi delle prove fotografiche 😅). Cominciamo.

Collegati in SSH al tuo RPi e lancia la stringa di installazione curl -sSL https://install.pi-hole.net | bash esattamente come riportato in home page del sito web di Pi-hole. Dopo un rapido check di sistema (serve capire se hai già tutto a bordo o se sarà necessario installare qualcosa) ti troverai davanti alle schermate di configurazione di Pi-hole:

Ti riporto qui la lista dei passaggi inseriti nella galleria di immagini sopra disponibile, integrando il tutto con ciò che nella galleria non c’è:

  • L’installazione comincia. Premi invio per continuare.
  • Arriverai alla schermata informativa riguardante l’IP da assegnare alla tua installazione Pi-hole: fai in modo che questo sia sempre lo stesso (statico o tramite reservation sul DHCP).
  • Comunica a Pi-Hole che DNS pubblici utilizzare per la risoluzione dei nomi a dominio (nel mio caso ho scelto Google, 8.8.8.8 e 8.8.4.4).
  • Specifica ora che liste di blocco vuoi cominciare a utilizzare. La barra spaziatrice serve per selezionare o deselezionare una voce. Spostati con le freccette nella schermata. Quando terminato, premi invio per confermare. Non preoccuparti di questa scelta, sarà sempre modificabile in un secondo momento.
  • Seleziona entrambi i protocolli di comunicazione (IPv4 e IPv6).
  • Conferma l’indirizzo IP della macchina (RPi) e del tuo router quando richiesto.
  • Quando richiesto, conferma di voler installare l’interfaccia web amministrativa. Servirà un’ulteriore conferma successiva alla richiesta di installazione di lighttpd. Lascia che le richieste (query) vengano loggate (0 – Show everything).
  • A questo punto ti basterà attendere che l’installazione proceda autonomamente fino al termine. Ti verrà mostrata una pagina riepilogativa contenente – tra le altre cose – la password di amministrazione del tuo nuovo Pi-hole.

Puoi ora collegarti alla console di Pi-hole utilizzando l’indirizzo che ti è stato riportato nella schermata riepilogativa, esempio http://192.168.1.10/admin. Salvo errori, ti troverai davanti alla console del software, dovrai quindi fare clic sulla voce Login (nella colonna di sinistra) e inserire la password che ti è stata precedentemente fornita, solo così potrai accedere alla gestione completa del tuo nuovo giocattolo.

Pi-hole: installazione e prima configurazione 11

Utilizzo

Ci siamo, fino a qui sei stato capace di installare Pi-hole sul tuo RPi, non ti resta che utilizzarlo e metterlo in pista per tutti i client della tua rete, prima però credo sia necessario un po’ di tuning e personalizzazione.

Cosa c’è da sapere? Beh, di certo fossi in te darei un’occhiata alle Impostazioni (Settings), all’interno delle quali troverai le informazioni sull’installazione (con possibilità di lanciare alcuni comandi rapidi, come il riavvio o lo spegnimento di sistema, o il blocco dell’attività di logging), le blacklist sottoscritte, i DNS pubblici utilizzati per la risoluzione dei nomi a dominio. Pi-hole può inoltre fare da server DHCP se lo preferisci, sostituendo così una delle funzioni che un router svolge in maniera predefinita. Seppur correttamente funzionante, preferisco che questo compito continui a svolgerlo il mio Fritz!Box e che lui faccia passare le richieste DNS dal mio RPi (così da sottostare al comando di Pi-hole).

Per concludere, troverai una schermata dedicata alla modifica della console e alle API che puoi utilizzare per integrare un differente softwae con Pi-hole, ma anche la sezione Privacy (per il livello / profondità di log da utilizzare) e il Teleporter, ovvero il modulo di Pi-hole che ti permette di esportare la tua configurazione e importarla su una differente installazione (che è grosso modo ciò che fai per portare a termine le operazioni di backup e restore di qualsivoglia tuo dato).

Cosa ho modificato?

Tralasciando le blacklist delle quali ti parlo tra poco, ho certamente ritoccato la parte relativa ai DNS, obbligando Pi-hole a interrogare Google utilizzando DNSSEC (ti ho parlato di questa tecnologia in un articolo relativo a Firefox: Firefox: DNS over HTTPS (di Cloudflare, ma non solo)):

Pi-hole: installazione e prima configurazione 1

In seguito ho ritoccato la parte relativa alla console, chiedendole di non mostrarmi alcuni domini bloccati nella totalità dei casi (indirizzi utilizzati per le pubblicità invasive delle applicazioni Android, quei banner che ti portano spesso ad abbonamenti mai richiesti, nda), ma questo è certamente un comportamento che farà comodo anche a te quando inizierai ad avere dello storico di navigazione tramite Pi-hole.

Le blocklist

È così che le chiama Pi-hole (SettingsBlocklists). Si tratta di blacklist composte da domini dei quali puoi quasi certamente fare a meno, sono quelli che generalmente propongono banner pubblicitari invasivi ma anche pericolosi script che possono danneggiare il tuo browser (Malware Domains). Dopo aver fatto piazza pulita di alcune liste che ho inizialmente utilizzato e studiato, sono arrivato ad avere una situazione della quale sono molto soddisfatto, che “limito” in qualche maniera grazie all’utilizzo della Whitelist di Pi-hole (e di questo ne parliamo presto perché c’è una novità in pentola, promesso).

L’attuale mia situazione vede in uso queste liste:

URL listaScopo
https://raw.githubusercontent.com/lightswitch05/hosts/master/ads-and-tracking.txtUna ricca lista in grado di bloccare domini che tracciano le attività di navigazione quotidiane, valida anche per tutto ciò che riguarda le applicazioni che caricano banner su Android e iOS. Un conto sono le pubblicità (che possiamo anche sopportare), un altro sono quei contenuti che portano ad abbonamenti non graditi e mai richiesti consapevolmente.
https://www.squidblacklist.org/downloads/dg-ads.aclStesso scopo della lista poco sopra, questa viene costantemente aggiornata da squidblacklist.org (non conosci Squid? Dai un'occhiata qui).
https://raw.githubusercontent.com/StevenBlack/hosts/master/hostsSteven Black raggruppa diverse Block List (Awdware, Malware, Fraud, Scam, Spam, Tracking e Cryptomining) cercando di eliminare tutti i falsi positivi e tenendo il suo lavoro costantemente aggiornato. Se dai un'occhiata al suo spazio GitHub troverai liste per filtrare anche altri tipi di siti web.
https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/hosts.txtSulla falsa riga di quanto faccio già con la NoCoin per Adblock Plus, questa lista è già pronta (e costantemente aggiornata) per essere digerita da Pi-Hole, permette di bloccare tutti i siti web che utilizzano script di mining che mettono in difficoltà le risorse del tuo PC.
https://mirror1.malwaredomains.com/files/justdomainsCome per la NoCoin di cui ti parlavo giusto qui sopra, anche la Harmful WebSites trova una sua versione di tipo host da poter dare in pasto a Pi-Hole. Blocca quindi i domini che sono veicolo di malware. Curata da malwaredomains.com.
https://www.squidblacklist.org/downloads/dg-malicious.aclBlocca i domini che sono veicolo di malware. Curata da squidblacklist.org.
https://zeustracker.abuse.ch/blocklist.php?download=domainblocklistLista di domini potenzialmente dannosi, che possono essere bloccati in tranquillità, nasce da un progetto molto ambizioso che fornisce diversi dati in merito ai tanti abusi presenti sulla rete. Curata da abuse.ch.
http://theantisocialengineer.com/AntiSocial_Blacklist_Community_V1.txtBlocca tutti quei domini che tentano di truffare il visitatore facendogli credere di essere in tutto e per tutto su siti reali, istituzionali, di una certa rilevanza, come per esempio quelli delle banche, di Microsoft, Google, ecc.
https://phishing.army/download/phishing_army_blocklist_extended.txtUna creatura di Andrea 'Drego' Draghetti data alla luce relativamente poco tempo fa. Il sito web ufficiale lo trovi all'indirizzo phishing.army, la lista viene aggiornata spesso e sempre verificata per evitare quanto più possibile errori e falsi positivi. Ti protegge da siti web che tentano di frodarti durante la navigazione. Ti consiglio personalmente la versione estesa, contenente anche i sottodomini.

(Se vuoi copiare e incollare facilmente tutti gli URL, fai riferimento a questa pagina: github.com/gioxx/ph-whitelist/blob/master/domains/blocklists.md).

Pi-hole: installazione e prima configurazione 12

Si va così a creare un recinto di protezione più per i siti web potenzialmente pericolosi che per la pubblicità in sé. Per quel mestiere sai bene che allo stato attuale continuo a utilizzare Adblock Plus e i moduli X Files, in un futuro chissà, potrei virare verso qualcosa “Pi-hole oriented“.

Liste predefinite e altri progetti

Se ti interessa verificare o recuperare in qualche maniera le liste proposte di default in fase di installazione di Pi-hole, trovi qui un riferimento ufficiale su GitHub: github.com/pi-hole/pi-hole/wiki/Customising-sources-for-ad-lists.

Noterai che oltre queste, su Internet esistono una quantità non meglio definita di progetti che vogliono in qualche maniera alimentare il già ricchissimo database di domini dai quali stare bene alla larga. Io cerco sempre di dare un’occhiata a liste e curatori per capire quante e quali di loro si può meglio occupare dell’aggiornamento delle regole del mio Pi-hole, per evitare spiacevoli inconvenienti durante la quotidiana navigazione dei client di casa e dei dispositivi accesi e connessi h24. C’è a tal proposito un progetto molto corposo al quale ho dato un’occhiata ma che allo stato attuale ho abbandonato a causa di liste non ben controllate: blocklist.site/app, una vera e propria vetrina che mette a disposizione liste per ogni necessità. Magari tu ne conosci altri che vuoi condividere (mi farebbe piacere), l’area commenti è a tua disposizione.

Aggiornamenti giornalieri

Alcune liste che ti ho suggerito nella tabella qui sopra vengono aggiornate quotidianamente. Per questo motivo ho personalmente deciso di modificare il comportamento di Pi-Hole chiedendogli di fare un aggiornamento completo delle sottoscrizioni ogni 24h. Il comportamento predefinito del software indica che questa azione viene compiuta una volta ogni settimana (vedi: discourse.pi-hole.net/t/updating-blocklist-every-day/16853).

Lo puoi vedere tu stesso da Terminale: more /etc/cron.d/pihole. Una riga simile a questa dovrebbe indicarti quando viene eseguito l’aggiornamento del modulo Gravity:

7 3 * * 7 root PATH="$PATH:/usr/local/bin/" pihole updateGravity >/var/log/pihole_updateGravity.log || cat /var/log/pihole_updateGravity.log

Se non sai interpretare la prima parte della stringa non preoccuparti, si tratta di una sequenza che riporta minuto-ora-arco del mese-mesi-giorno leggibile da Crontab. Vuoi capire meglio per cosa sta? Eccoti servito: crontab.guru/#7_3_*_*_7. Per eseguire un aggiornamento quotidiano ho modificato il file tramite comando sudo nano /etc/cron.d/pihole, commentando la riga sopra riportata (basta inserire il simbolo del cancelletto # a inizio riga) e riportando subito sotto questo:

7 3 * * 0-6 root PATH="$PATH:/usr/local/bin/" pihole updateGravity >/var/log/pihole_updateGravity.log || cat /var/log/pihole_updateGravity.log

Noti nulla di diverso? Esatto. L’ultima parte indica al Crontab di eseguire il lavoro dal giorno 0 al giorno 6, ovvero dalla domenica al sabato (crontab.guru/#7_3_*_*_0-6).

Salva la modifica con la combinazione CTRL + X da tastiera, seguita da S per indicare sì quando Nano chiederà se scrivere le modifiche sul file.

In conclusione

Difficile concludere quando in realtà c’è altro da dire, ma l’articolo è davvero diventato troppo lungo e pesante. Nella “prossima puntata” ti parlerò di Whitelist e della possibilità di automatizzare l’aggiornamento di quest’ultima anche se nativamente non previsto. La novità esiste già e sono certo che ti piacerà (se l’argomento Pi-hole ti ha interessato, chiaramente), dovrai solo pazientare una manciata di giorni ancora.

In generale c’è ancora molto da approfondire riguardo l’argomento RPi 🙂

Nel frattempo se hai qualsiasi dubbio o domanda in merito a quanto scritto, l’area commenti è a tua totale disposizione (anche senza registrazione a Disqus). Spero di aver stuzzicato la tua curiosità e che tu possa suggerirmi ulteriori fonti da consultare in merito al progetto.


Crediti:
Condividi l'articolo con i tuoi contatti:

In seguito all’aggiornamento del pacchetto PHP 7 su Synology, mi sono accorto che il bot di Telegram non mi informava più riguardo il cambiamento di stato dell’Home Mode di casa. Ho dato un’occhiata al problema e scoperto che i moduli .so non erano più al loro posto. Ho quindi rimesso in ordine e tutto è tornato a funzionare come riportato nel mio vecchio articolo, questo di seguito:

Synology Surveillance Station: Home Mode automatico tramite WiFi

Per questo motivo ho deciso di scrivere qualche riga di codice che rendesse l’operazione più semplice nel caso in cui mi ricapiti lo stesso scenario. Ho poi condiviso con tutti lo script, caricandolo nel mio spazio GitHub all’interno del progetto (github.com/gioxx/AVM-FRITZ-Box-Synology-Surveillance-Home-Mode-Automation). Lo script si chiama molto banalmente php7ModEnabler.sh e ti posso rapidamente dire che:

  • Verifica l’esistenza del pacchetto PHP 7 sul NAS Synology, quindi:
    • Se non esiste il file /usr/local/lib/php70/modules/openssl.so lo recupera dal pacchetto PHP 7 (/volume1/@appstore/PHP7.0/usr/local/lib/php70/modules).
    • Fa la stessa cosa con /usr/local/lib/php70/modules/curl.so e /usr/local/lib/php70/modules/soap.so (che utilizzo anche per altro, e male non fa).
    • Modifica il php.ini di PHP 7 (/usr/local/etc/php70/php.ini) e “inietta” l’uso dei 3 moduli se questo non è stato precedentemente fatto (baso il mio controllo sull’esistenza della riga extension=openssl.so generalmente sotto extension_dir = "/usr/local/lib/php70/modules".
    • Riavvio PHP 7 (synoservicecfg -restart pkgctl-PHP7.0) per poter caricare correttamente il file php.ini modificato.

Ti basterà copiare lo script all’interno della tua home sul NAS, quindi renderlo eseguibile (chmod +x php7ModEnabler.sh) e lanciarlo con privilegi elevati (sudo ./php7ModEnabler.sh).

È una logica molto banale ma funzionante e utile per accelerare i tempi di configurazione del PHP 7 e relativi moduli su Synology. Ho modificato l’articolo originale per poter includere anche questa nuova possibilità. Ringrazio tutte le fonti utilizzate (quindi i relativi utenti che hanno fornito l’aiuto), tutte riportate all’interno dello script bash. Sentiti libero di suggerire delle alternative nei commenti o – se preferisci – di forkare direttamente il mio codice GitHub e proporre così possibili miglioramenti, correzioni o ulteriori controlli.

Buon lavoro.

Condividi l'articolo con i tuoi contatti:

Devo ammettere che negli ultimi tempi il team di sviluppo di Firefox sta davvero correndo come non mai, cercando costantemente di introdurre delle (a mio parere ottime) novità pur mantenendo un alto livello di attenzione ai buchi di sicurezza corretti dalle numerose patch riportate nel codice sorgente. In arrivo ci sono quindi due ulteriori integrazioni che promettono di tenere lontani gli utenti dalle numerose insicurezze nascoste dietro alcuni siti web: una maggiore integrazione con Firefox Monitor e un blocco per tutto ciò che tenta di utilizzare il browser per minare valute elettroniche o tracciare con precisione la tua impronta su Internet (fingerprint).

Firefox Nightly: nuova integrazione Firefox Monitor, blocco CryptoMining e Fingerprint 6

Due aggiornamenti secondo me importanti, che mirano a migliorare la consapevolezza dell’utilizzatore di Firefox nei confronti della sicurezza dei suoi dati (accessi ai servizi online in primis) e all’importanza del limitare la voracità di quei siti web che tentano di collezionarne il più possibile, per un proprio tornaconto evidentemente non sempre chiaro ai nostri occhi. Lascia che ti dia una panoramica un pelo più completa su ambo gli aspetti in arrivo per tutti nel futuro prossimo del browser di casa Mozilla.

Integrazione con Firefox Monitor

Firefox Nightly: nuova integrazione con Firefox Monitor, blocco CryptoMining e Fingerprint

Se questo è il primo articolo che leggi in merito a Firefox Monitor, permettimi di rimandarti a un precedente pubblicato qualche tempo fa, che ti spiega nel dettaglio di cosa si tratta e perché Firefox Monitor può tornare utile nell’utilizzo quotidiano di Internet e dei numerosi siti web e servizi che certamente in parte utilizzerai: Firefox Monitor ti avvisa in caso di furto credenziali. Ora, chiarito lo scopo e l’utilizzo dello strumento brandizzato Mozilla (pur non nascendo nella fucina degli sviluppatori sparsi su tutto il territorio internazionale), ti spiego come ha luogo l’integrazione promessa e che in questo momento (mentre sto scrivendo il mio articolo) è ancora sotto ai ferri per poter essere all’altezza delle aspettative e fondersi diventando tutt’uno con l’interfaccia del browser.

Dall’about:config cerca la chiave extensions.fxmonitor.enabled e attivala (è una variabile booleana, ti basterà portarla su True). Se questa non dovesse esistere tra le chiavi disponibili nella tua configurazione, creala in tutta tranquillità:

A questo punto la modifica è immediata. Visitando un sito web compromesso almeno una volta negli ultimi 12 mesi, ti verrà notificato direttamente da Firefox. Ti segnalo inoltre un paio di ulteriori note da tenere da conto:

  • extensions.fxmonitor.firstAlertShown : questo parametro determina se la prima notifica di allerta ti è già stata mostrata. Puoi impostarlo su False per ripristinarlo e ricevere notifiche per i siti violati negli ultimi 12 mesi.
  • extensions.fxmonitor.warnedHosts : il parametro tiene traccia dell’elenco di siti web per cui ti sono stati mostrati gli avvisi. Se intendi in qualche modo fare un reset, ti basta pulirlo (lasciare la stringa vuota) per riportarlo allo stadio iniziale.

Se non dovesse funzionare sulla tua installazione, è perché probabilmente c’è ancora qualcosa da mettere a posto, come segnalato da un ingegnere Mozilla in un thread su Reddit, ti basterà solo portare un attimo di pazienza, sono certo che nei fix che stanno uscendo in questi giorni ci sarà anche quello che colmerà l’attuale lacuna e permetterà all’integrazione con Firefox Monitor di funzionare correttamente.

Blocco CryptoMining e Fingerprint

Firefox Nightly: nuova integrazione con Firefox Monitor, blocco CryptoMining e Fingerprint 1

Anche di CryptoMining te ne ho già parlato, e l’ho fatto in occasione della presentazione della lista NoCoin per Adblock Plus (ed estensioni compatibili), più precisamente in questo articolo: Ti presento NoCoin, l’ultimo arrivato nella famiglia ABP X Files, riprendendo poi l’argomento in NoCoin: il cryptojacking è ormai argomento comune. A quanto pare l’argomento è diventato fulcro di questa ulteriore novità al momento funzionante in Nightly, ma che presto raggiungerà con ogni probabilità tutti gli altri rami di rilascio di Mozilla Firefox.

A esso si associa l’ulteriore argomento riguardante il Fingerprint del browser, l’impronta digitale lasciata dal software che noi tutti utilizziamo per navigare su Internet, che permette spesso di lasciare al sito web anche altre informazioni, senza però aver mai chiesto il permesso in maniera esplicita all’utente finale. Descrive bene il tutto la Electronic Frontier Foundation (EFF):

“Browser fingerprinting” is a method of tracking web browsers by the configuration and settings information they make visible to websites, rather than traditional tracking methods such as IP addresses and unique cookies.

Browser fingerprinting is both difficult to detect and and extremely difficult to thwart.

When you load a web page, you will automatically broadcast certain information about your browser to the website you are visiting — as well as to any trackers embedded within the site (such as those that serve advertisements). The site you are visiting may choose to analyze your browser using JavaScript, Flash and other methods (just like Panopticlick does). It may look for what types of fonts you have installed, the language you’ve set, the add-ons you’ve installed, and other factors. The site may then create a type of profile of you, tied to this pattern of characteristics associated with your browser, rather than tied to a specific tracking cookie.

If your browser is unique, then it’s possible that an online tracker can identify you even without setting tracking cookies. While the tracker won’t know your name, they could collect a deeply personal dossier of websites you visit.

vedi: panopticlick.eff.org/about#browser-fingerprinting.

È qui che interviene Mozilla, proponendo due impostazioni appositamente dedicate al blocco del Cryptomining e all’evitare che chiunque possa tracciare un’impronta precisa del browser e delle diverse informazioni che tramite questo arrivano a chi sta dietro il sito web o servizio di turno, si va quindi ad aggiungere un nuovo strato di sicurezza al già in produzione blocco degli elementi traccianti.

Accedi a about:preferences#privacy, noterai tu stesso ciò di cui ti sto parlando. È qui che puoi intervenire mettendo in moto le due nuove configurazioni dall’about:config, rispettivamente privacy.trackingprotection.fingerprinting.enabled e privacy.trackingprotection.cryptomining.enabled, variabili booleane che tu potrai attivare in Nightly da subito, nel ramo stabile tra qualche tempo:

La modifica è immediata, è ancora in fase di miglioramento continuo e contribuirà così ad arricchire ancora più ciò che Mozilla mette a disposizione per proteggere quanto più possibile la propria identità digitale e i dati riservati che molti prendono senza il tuo permesso.

Questo significherà abbandonare NoCoin?

Non al momento, ma va da sé che se Mozilla deciderà di integrare la protezione contro il Cryptomining all’interno del browser, liste filtri come NoCoin (e vale anche per le estensioni nate ad-hoc) non avranno forse più senso di esistere, e non c’è migliore notizia per gli utilizzatori, perché si andranno a proteggere anche quelli che non conoscono ancora oggi le possibilità offerte da Adblock Plus (e “soci”), le liste, le configurazioni in grado di tenerli lontani dai pericoli del web.

NoCoin è nata per andarsi a integrare con liste che vengono costantemente aggiornate e tenute vive sul web ormai da molti anni (2007, ed è subito attacco di nostalgia per gli anni passati), ma non è necessario che questa resista se c’è chi può fare di meglio e più diffusamente, credo tu possa comprenderlo benissimo.


immagine di copertina: Tails by giantspeck
fonti:
bleepingcomputer.com/news/security/mozilla-adding-cryptomining-and-fingerprint-blocking-to-firefox
ghacks.net/2019/02/18/firefox-67-to-display-breach-alerts
reddit.com/r/firefox/comments/as4txo/firefox_67_to_display_breach_alerts_ghacks_tech
reddit.com/r/firefox/comments/ap3np6/mozilla_adding_cryptomining_and_fingerprint
Condividi l'articolo con i tuoi contatti:

L’ho già detto che Flash sarebbe da abolire dalla faccia della Terra? Hai ragione, almeno un migliaio o forse più di volte. Dopo anni di vita “flash-free” (fatta salva qualche rarissima eccezione che ho dovuto sbloccare manualmente), pare che la parola fine attenda dietro l’angolo il sempre mai troppo maledetto plugin di Adobe, anche per ciò che riguarda Firefox.

Firefox e PunyCode: occhio ai tentativi di phishing

Ciao Flash, e grazie (?) per tutto il pesce

A partire dalla versione 69 di Nightly (ci troviamo attualmente sulla 66) anche quest’ultimo tassello andrà al suo posto, esattamente come fatto già per Java e Silverlight:

[…]

Mozilla previously disabled other NPAPI (Netscape Plugin Application Programming Interface) plugins like Microsoft’s Silverlight and Java in earlier versions of the Firefox browser. Google did much the same with Chrome in 2015.

vedi: digitaltrends.com/computing/mozilla-disable-flash-firefox-2019

Adobe ha dichiarato che il supporto a Flash terminerà ufficialmente nel 2020 (digitaltrends.com/computing/adobe-flash-software-end-nears), ma tu puoi già modificare il comportamento del tuo Firefox come da me suggerito nell’ormai lontano (?) 2015 (ripreso poi anche nel 2016) in due articoli che ti spiegano come intervenire sull’esecuzione del plugin: Firefox: Passare al Click to Play per Adobe Flash e Firefox: modificare il comportamento di Flash per singolo sito. In ogni caso, anche se tu decidessi di non fare nulla, nel corso di quest’anno Flash verrà disattivato in maniera predefinita sull’installazione Firefox che stai utilizzando (per fortuna, aggiungerei), c’è solo da portare quel pelo di pazienza affinché la versione 69 diventi stabile e passi quindi in distribuzione sulla rete.

Se vuoi, su Reddit trovi la discussione in merito a questa novità: reddit.com/r/firefox/comments/ag0al4/mozilla_to_disable_flash_by_default_in_firefox.

Nuovo profilo dedicato

A partire dalla versione 67 (un pelo prima rispetto all’esclusione predefinita di Flash), Firefox Nightly utilizzerà un profilo dedicato per evitare di sporcare quello “di produzione“, tutto questo va un po’ a riprendere ciò che è stato già fatto in passato per la Developer Edition e più in generale quanto saltato fuori già a ottobre dello scorso anno (vedi: ghacks.net/2018/10/27/firefox-65-dedicated-profiles-per-install). Ti stai chiedendo il perché? Beh, abbastanza semplice. Così facendo potrai installare sulla stessa macchina più versioni di Firefox, e ciascuna di queste utilizzerà un profilo tutto suo senza disturbare quelli delle altre, senza rendere obbligato il passaggio dal Profile Manager e quel minimo di conoscenze in più che non tutti possiedono.

Previously, all Firefox installations shared a single profile by default. On January 28, Firefox will begin creating dedicated profiles for each installation, starting with Firefox 67. On that date, Firefox will begin using a dedicated profile for Firefox Nightly, and this Nightly installation will no longer share a profile with other Firefox installations on your computer. Other versions of Firefox (Beta, ESR and Firefox) will have a dedicated profile once they reach release 67.

This will make Firefox more stable when switching between installations on the same computer and will also allow you to run different installations of Firefox at the same time.

Users who have already manually created separate profiles for different installations will not notice the change (this has been the advised procedure on Nightly for a while).

La pagina di riferimento sul sito web di Mozilla a oggi è questa: mozilla.org/en-US/firefox/dedicated-profiles, per evitare che vada persa ti riporto qui di seguito uno screenshot:

Ciò che si impara dalle informazioni fornite è che il profilo di default non verrà toccato se Nightly è il tuo attuale browser predefinito e sarà lui ad aprirlo per la prima volta nel corso della giornata del 28 gennaio prossimo. Se così fosse, i due si assoceranno e null’altro verrà modificato. Diversamente, verrà creato un nuovo profilo pulito da dare in pasto alla Nightly, e sarai poi tu a decidere il da farsi (medesima cosa accaduto, forse banale ribadirlo, con la Developer); nel caso tu voglia sincronizzare i dati tra i vari profili (a prescindere dalla versione utilizzata di Firefox) potrai sempre ricorrere a Firefox Account.

If you do nothing and are currently running different installations of Firefox that share the same profile, your Nightly installation will start running a dedicated profile on January 28th. If Nightly is the first installation of Firefox you open on or after January 28, it will use your existing profile. If Nightly is not the first installation you open, Nightly will get a new profile. Your existing profile will remain associated with the first installation you open on or after January 28.

Se ne parla anche su Reddit, qui: reddit.com/r/firefox/comments/afzdl9/starting_with_firefox_67_firefox_nightly_will_run.

Condividi l'articolo con i tuoi contatti:

Ho voluto sperimentare un metodo alternativo di pubblicazione automatica su Twitter passando dal mio NAS anziché da IFTTT (che a dirla tutta non mi dava la possibilità di controllare una delle condizioni da me desiderate) o alternative già presenti sul mercato. Ho messo mano a PHP e Bash ancora una volta, lasciando che sia il NAS a fare il lavoro sporco programmato quotidianamente tramite utilità di pianificazione. Io ti racconto la mia esigenza e relativa esperienza, sta a te vederci un possibile utilizzo per qualcosa che ti riguarda.

Pubblicare su Twitter: farlo da Synology (e non solo)

L’esigenza

Dato un numero di giorni mancanti a una certa data (quindi in aggiornamento almeno una volta ogni 24h), ho bisogno di pubblicare un tweet quotidiano, come si trattasse di un conto alla rovescia. Scopro il servizio gratuito offerto da timercheck.io di Eric Hammond e decido di richiamarlo tramite PHP e l’aiuto della libreria twitteroauth di Abraham Williams, perché a vedere ciò che offre IFTTT e i trigger data/ora, Twitter e Webhooks non riesco a fare esattamente ciò che cerco.

Di cosa c’è bisogno

In realtà qualcosa è stato già dichiarato, ma ecco l’elenco della spesa:

  • Un NAS Synology o una qualsiasi macchina Linux-based (penso a un Raspberry, per dire), io comunque farò riferimento al primo citato.
  • PHP 7 (disponibile nel Synology Package Manager) con estensione openssl.
  • Te la ricordi l’utenza limitata che ho creato nell’articolo dedicato alla Surveillance Station? Ecco, ho riutilizzato la cartella del suo profilo (nell’esempio: /var/services/homes/api_user). Qui ho creato una cartella chiamata twitter-php-master all’interno della quale ho inserito gli script di cui ti parlerò dopo.
  • La libreria twitteroauth di Abraham Williams disponibile su GitHub.
  • Un account Twitter e relativa autorizzazione alla creazione / uso di applicazioni tramite apps.twitter.com (devi essere riconosciuto come sviluppatore).

Provo a dare per assodato che tu sappia ciò di cui stiamo parlando e salto a piè pari la creazione di un account Twitter e del profilo da sviluppatore, così come il modulo PHP 7 (ma ti parlerò dell’estensione relativa all’OpenSSL, tranquillo). Se qualcosa non ti è chiara o se non conosci un particolare passaggio non esitare a lasciare un commento in fondo all’articolo, proverò a darti una mano per quanto mi è possibile :-)

Detto ciò, partiamo.

Abilita il modulo OpenSSL su PHP 7

Collegati via SSH al tuo NAS (non sai come fare? Guarda qui), quindi passa all’utenza di root tramite un sudo -i seguito da invio, inserisci la password della tua utenza amministrativa e premi invio (non sai di cosa sto parlando? Guarda qui). Spostati ora in /usr/local/etc/php70 e modifica il file php.ini (esempio: vi php.ini). Ora:

  • cerca la stringa extension_dir = "/usr/local/lib/php70/modules"
  • Aggiungi subito sotto l’abilitazione di openssl:
    extension=openssl.so
  • Salva il file e chiudilo (tasto ESC, poi :wq seguito da invio).
  • Crea una copia del modulo openssl.so tramite un
cp /volume1/@appstore/PHP7.0/usr/local/lib/php70/modules/openssl.so /usr/local/lib/php70/modules/
  • Torna ora nel Gestore Pacchetti di Synology e riavvia PHP 7.

Tutto questo ti permetterà di evitare di incorrere nell’errore che qui di seguito ti mostro (da me ottenuto quando ho lanciato lo script di bash per la prima volta, dopo essermi dimenticato di abilitare SSL sul PHP del mio NAS):

Pubblicare su Twitter: farlo da Synology (e non solo) 1

Crea il conto alla rovescia tramite timercheck.io

Il funzionamento di questo semplicissimo servizio web è spiegato abbondantemente nell’articolo del suo stesso autore. Io sarò più breve: una giornata da 24 ore è composta da 86400 secondi (Google semplifica le cose), qui trovi un tool per il calcolo dei giorni tra due date, il gioco è praticamente fatto.

Trasforma il numero di giorni in secondi, quindi crea un URL univoco tramite timercheck.io che possa restituirti un output json contenente ciò che a te serve (il tempo che rimane) ogni volta che intendi visitare quell’URL tramite browser e non solo (nel mio caso lo richiamo proprio dallo script PHP di cui ti parlerò tra breve). Un esempio? timercheck.io/Test-Gioxx.org/60 crea un conto alla rovescia che dura un minuto, visitando semplicemente timercheck.io/Test-Gioxx.org e aggiornando la pagina noterai che il conto alla rovescia avanzerà portandosi sempre più verso lo zero (nel campo seconds_remaining), tutti i dati in json resteranno disponibili fino allo scadere di quel timer, e questo è proprio ciò che ti serve.

È caldamente consigliato creare un URL quanto più difficile da indovinare o replicare, questo perché in caso contrario chiunque potrà modificarlo o resettarlo al posto tuo, è un servizio totalmente aperto a tutti, senza gerarchie o complicati sistemi di autorizzazione. Accetti un’idea che credo possa tornarti utile? Genera un contatore nuovo con un nome qualsiasi e una durata di 10 secondi, copia il suo request_id e crea un nuovo contatore con il nome che ti interessa al quale farai seguire l’ID copiato (esempio: timercheck.io/Test-Gioxx.org-dc8a395c-10d7-11e9-b585-175833651ae5/60), questo è certamente un URL molto più univoco di quello da te precedentemente pensato.

Il tuo contatore è pronto, puoi procedere verso lo script PHP che si occuperà di lanciare il tuo tweet in rete.

post-tweets.php

Uno script PHP che troverà posto all’interno della cartella /var/services/homes/api_user/twitter-php-master e che conterrà le istruzioni necessarie per inviare il cinguettio sulla piattaforma. Prima però di dedicare la giusta attenzione a questo specifico script, devi scaricare una copia aggiornata della libreria twitteroauth di Abraham Williams, puoi farlo con un semplice clic qui. Scompatta il contenuto del file ZIP all’interno della cartella twitter-php-master (non ripeto la solita posizione completa, dai!), non toccare null’altro, non serve.

Torniamo a quello che per comodità chiamerò post-tweets.php, lo script che si occuperà di pubblicare il tweet. Ti mostro il contenuto del mio, rimuovendo i dettagli personali ma mantenendo l’esempio testuale:

Ciò che dovrai ritoccare riguarderà ovviamente i parametri personali e il testo da inviare online. Dovrai specificare CONSUMER_KEY, CONSUMER_SECRET, ACCESS_TOKEN e ACCESS_TOKEN_SECRET dell’applicazione che potrà scrivere impersonando il tuo utente, aggiungere il timer da tenere d’occhio (nell’esempio ho mantenuto https://timercheck.io/Test-Gioxx.org/60, a te toccherà specificare qui il tuo timer) e modificare il testo da pubblicare in base alla condizione del countdown: se questo è attivo o se è terminato (lo posso fare monitorando uno dei valori output del json, in questo caso lo status).

Piccola nota di finezza è il round() applicato al calcolo dei giorni (numero dei secondi residui diviso 86400), così da evitare di far comparire dei decimali nel tweet.

Il risultato dovrebbe assomigliare a questo:

Programmare l’operazione

Hai terminato tutta la preparazione, non ti resta che automatizzare il processo tramite Utilità di pianificazione e un banalissimo script bash per rendere tutto più immediato:

Salva il file bash nella solita cartella (twitter-php-master), avvia l’utilità di pianificazione Synology e crea una nuova operazione programmata da far girare ogni giorno all’ora che preferisci (io ho scelto le 8:00):

Pubblicare su Twitter: farlo da NAS Synology (e non solo)

Ce l’hai fatta, salvo errori sei appena riuscito a programmare la pubblicazione di un tweet tramite il tuo account. Il mio è un esperimento per imparare qualcosa di nuovo, utile per arrivare a una data per me molto importante, e nel tuo caso qual è la giustificazione per aver avviato un nuovo contatore con pubblicazione su Twitter automatizzata? :-)

Buona giornata!


Credits: artisansweb.net/tweet-twitter-php

Condividi l'articolo con i tuoi contatti: