Archives For Linux

Non è un errore, è voluto. Io alla storia di TrueCrypt che tutto a un tratto è diventato insicuro non ci ho mai veramente creduto, non fino in fondo almeno, ed è un po’ il motivo per il quale qualche tempo dopo è nato il progetto VeraCrypt (perché evidentemente non ero il solo a pensarla in quella maniera), per il quale ho nutrito immediato affetto e sul quale mi sono poggiato per poter continuare ad aprire “in sicurezza” i volumi precedentemente creati da TrueCrypt. All’epoca non esistevano alternative più dinamiche od orientate verso il Cloud, si parla degli anni di Windows Xp, giusto per capirci. Poi però qualcosa è cambiato, e tra le varie novità è saltato fuori anche Cryptomator.

Cryptomator come possibile erede di TrueCrypt

Ciò che è sempre mancato a questo tipo di software è il saper creare un oggetto “thin“, in grado quindi di crescere con l’aumento costante dei file contenuti nei box protetti (generalmente grandi quanto specificato in fase di creazione, quindi di tipo thick), cosa che viene a meno quando si discute dell’intero volume / disco (in quel caso lo spazio è tutto quello che hai tu a disposizione). Per questo motivo in passato creavo più container protetti, cercando nel frattempo una possibile soluzione che colmasse quella lacuna. È per questo motivo che qualche tempo fa ho scaricato a sto provando a usare Cryptomator, software open source disponibile per ogni piattaforma (anche in versione Jar, tanto per dire!).

Cryptomator

Progetto tedesco (la società alle spalle è la startup Skymatic), nasce e vince il CeBIT Innovation Award 2016 grazie al suo essere multipiattaforma e all’aver pensato al futuro della protezione dati su Cloud. Cryptomator infatti permette di creare container di file inaccessibili senza la giusta chiave, scelta dall’utente e impostata esclusivamente Client Side, senza quindi che avvenga comunicazione alcuna con server della società o terze entità ulteriori. Cryptomator si installa e si utilizza da subito, con possibilità di arrivare a proteggere anche dati che si trovano sui propri smartphone e tablet (iOS / Android), sempre più centro nevralgico dell’attività online del singolo individuo.

Cryptomator
Cryptomator
Price: 2,99 €
Cryptomator
Cryptomator
Price: 3,09 €

Plug and Play

È ciò che mi viene in mente pensando a Cryptomator e a ciò che ho fatto io dopo aver scaricato il DMG sul mio MacBook. Allo stato attuale delle cose, il software è disponibile in versione 1.3.2 stabile (da sito web ufficiale), la quale poggia ancora su WebDAV per montare il disco contenente i file protetti. Questa cosa, contrariamente a Windows, funziona male sul sistema operativo di Cupertino e –da quanto ho capito– anche su Linux. File di grosse dimensioni o spostamenti importanti (quelli che ho evidentemente dovuto fare per migrare i dati da TrueCrypt / VeraCrypt a Cryptomator) mettono in difficoltà seria il software, il quale smonta in maniera forzata il volume criptato e non ne permette un nuovo mount. Per aggirare l’ostacolo, ho dovuto più volte bloccare il volume e riaccederlo tramite la schermata principale di Cryptomator, un’azione che -se ripetuta per più di due volte- fa immediatamente decadere ogni interesse provato per il programma in test.

Per questo motivo ho fatto qualche ricerca e sono approdato su svariate issue aperte su GitHub (qui ne trovi una, tanto per fare un esempio), le quali hanno generato grandi discussioni e un’accelerata inaspettata per l’integrazione di FUSE, alternativa ideale per aggirare questo grande ostacolo. Per questo motivo il team ha pubblicato lo scorso 6 aprile una versione beta (occhio quindi a ciò che fai, perché si tratta pur sempre di software potenzialmente instabile!) disponibile all’indirizzo github.com/cryptomator/cryptomator/releases/tag/1.4.0-beta1 che -come VeraCrypt- si appoggia a FUSE per macOS (il quale dovrà essere quindi installato sulla tua macchina).

Spartano quanto basta

Non c’è evidentemente bisogno di molti abbellimenti estetici quando si tratta di proteggere i propri dati. Cryptomator propone infatti una finestra principale del programma con molte poche informazioni e impostazioni, dalla quale potrai montare / smontare volumi di dati protetti e dare un’occhiata al grafico aggiornato in tempo reale che ti mostra quanto di quel traffico dati è criptato e quanto decriptato (rispettivamente scrittura e lettura, nda).

Cryptomator come possibile erede di TrueCrypt 1

L’interfaccia non servirà ad altro, perché in realtà ciò che a te interessa di più è certamente il contenuto di quel disco (o ciò che andrai ad aggiungere in futuro), e lo gestirai dal Finder (se si parla di macOS) o dall’Esplora Risorse su Windows, come se avessi attaccato al PC una qualsiasi chiavetta USB o un disco fisso esterno, o ancora un’unità di rete montata da NAS, nulla –insomma– di così tanto diverso rispetto a ciò che sei abituato a vedere quotidianamente e, se vogliamo tornare a parlare di TrueCrypt / VeraCrypt, per certi versi più immediato e semplice, senza quella preoccupazione di stare sotto il tetto massimo di disponibilità spazio disco che ti sei imposto all’atto della creazione (qui lo spazio su disco viene occupato man mano che i dati aumentano all’interno del container protetto con Cryptomator).

La lettura e la scrittura di dati sfrutta la velocità (quasi) massima che hai a disposizione. Ciò vuol dire che un volume di dati protetto e salvato sul disco locale del tuo PC (magari con SSD) sarà nettamente più veloce rispetto a quello lavorato da NAS (via LAN), e la stessa cosa vale per i Cloud Storage (i quali salvano copia locale dei dati che conservi sui loro server). Cryptomator ha dalla sua la piena compatibilità (ulteriore punto a vantaggio, nda) per le tecnologie On Demand dei provider di storage in Cloud. Per capirci: Dropbox Smart Sync oppure OneDrive Files On-Demand, andando ovviamente a scrivere o leggere solo ciò che è necessario, senza portare su disco locale l’intero volume criptato (e facendo la medesima cosa verso i server di Dropbox o Microsoft in fase di scrittura, volendo fare riferimento agli esempi riportati poco fa).

Trattandosi di procedure assolutamente trasparenti per te che sei l’utente finale, potrai continuare a lavorare sui tuoi file come nulla fosse, sarà compito di Cryptomator fornirti ciò che desideri senza lasciare che tu ti accorga di qualche rallentamento o simili.

Uno sguardo all’azienda

Cryptomator nasce per l’utente finale casalingo, ma basta una rapida visita alla sezione Enterprise del sito web ufficiale per scoprire che le tecnologie utilizzate per dare vita a questa utility, permettono di proteggere potenzialmente anche un team di lavoro o un’azienda ben più strutturata, offrendo un layer contro malware e sicurezza nella sincronizzazione tra NAS e client, ma anche verso una terza parte in Cloud. Sorvolerò su questo aspetto perché richiederebbe di mettere in gioco un diverso strumento (Defendor), da provare e valutare in un ambiente reale, mi sembrava però giusto dargli visibilità.

In conclusione

Un software non senza difetti e con qualche rallentamento in alcune occasioni, ma che dalla sua ha quel grande vantaggio dato dalla possibilità di far crescere progressivamente l’archivio dei file che conservi sotto la sua campana di vetro, proteggendola il più possibile da occhi indiscreti e tentativi di accesso non autorizzati.

L’accoppiata con FUSE su macOS è praticamente fondamentale, e per questo spero che esca quanto prima dalla fase Beta (così da poterlo dichiarare un pelo più affidabile, almeno in via ufficiale). La stessa Beta, nonostante mi sembri che fili abbastanza liscia, ha ancora qualcosa che non gira proprio nel verso giusto, ma gli sviluppatori ci stanno ancora lavorando e voglio essere fiducioso a riguardo (incontro puntualmente un errore molto stupido che non riesco a risolvere perché non accedo ai log del programma, tanto per dire, anche se ho trovato come aggirarlo facilmente).

Cryptomator merita certamente una prova, magari con dati non esattamente critici per evitare brutti scherzi, ma in prospettiva può sicuramente sostituire l’affidabile VeraCrypt.

Condividi l'articolo con i tuoi contatti:

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!

Che in pratica è già la risposta conclusiva di un articolo che vuole essere estremamente leggero per tutti coloro che –forse– si sono potuti permettere il lusso di godersi un ponte molto lungo (qualcuno era in ferie dal 23 aprile, e non sono io, maledizione!), le trasmissioni vere e proprie (quelle più pallose perché più lunghe da leggere, me ne rendo conto) ricominceranno da domani. Bando alle ciance: cos’è ATOM? L’editor di testo avanzato che può davvero colmare la grave lacuna lasciata da Notepad++ sui sistemi macOS.

L'alternativa a Notepad++ su macOS è ATOM

Completo, personalizzabile, con una vasta documentazione a supporto dell’utilizzatore. ATOM è quel progetto che mancava quando anni fa cercavo una reale alternativa al mio amato Notepad++ rifugiandomi in progetti come TextWrangler (poi BBEdit) con la stessa felicità di un bambino che deve mangiare i broccoli. No dico, i broccoli, hai capito di che sto parlando? Del non-plus-ultra dello “no, grazie“.

ATOM è la risposta che cercavo su macOS, ma è in grado di accontentare ogni palato essendo stato pensato e progettato per ogni Sistema Operativo. Nato in casa GitHub ascoltando gli sviluppatori (e non solo) nell’ormai quasi lontano 2014, è arrivato oggi a quella condizione di robustezza e affidabilità che può permettersi di avere a che fare un po’ con tutti, esperti e non. Il fatto di essere realizzato su base Chromium (insieme poi a CoffeeScript, JavaScript, CSS, C++ e TypeScript) ne permette l’estrema flessibilità e personalizzazione (anche sotto al cofano motore), i pacchetti disponibili sono ormai abbondanti (così come i temi, anche se a quelli non do peso) e possono fare quasi qualsiasi cosa.

ATOM è parte di una lista che ho usato diversi mesi fa ormai per cambiare editor di testo (mi ero ridotto a virtualizzare Notepad++ passando da VMware Fusion, giusto per rendere l’idea) e che trovi qui: webeeky.com/alternatives-of-notepad-mac-os (una lettura in più non può fare mai male). Altra lettura che ti consiglio (una delle prime portate a casa dal sottoscritto) è anche quella relativa agli shortcut da tastiera, arma per me fondamentale per evitare di usare quanto più possibile il mouse: blog.bugsnag.com/atom-editor-cheat-sheet.

La mia scelta l’ho ormai fatta, ora tocca a te dirmi se sei diventato anche tu utilizzatore ATOM oppure se vuoi dire la tua in merito e segnalare un diverso programma per chi sviluppa (a livello amatoriale e non) o comunque chi necessita di un editor più avanzato del semplice TextEdit sul Sistema Operativo di Cupertino.

Condividi l'articolo con i tuoi contatti:

In ufficio stiamo lentamente adottando la versione Business di Dropbox, migrando (tra le altre cose) dati (movimentazione medio-bassa) in cartelle di Team che possono ospitare grandi moli di file. In particolare, alcuni di questi file, consistono nelle immagini master utilizzate per preparare le nostre macchine da lavoro. Si tratta di bomboloni che far muovere al client Dropbox installato su un qualsivoglia client, mettono in difficoltà il processo e rendono più duro il lavoro di CPU e RAM (da sempre talloni d’Achille del programma della società californiana), ed è per questo motivo che ho voluto cercare un’alternativa, trovandola in Dropbox Uploader.

Dropbox: upload dati da bash con Windows (WSL)

Sviluppato nel 2016, Dropbox Uploader altro non è che uno script bash, il quale ti permette di sfruttare lo spazio in Cloud muovendoti da riga di comando, perché questo parla direttamente con le API del servizio di storage. Nonostante il diffuso utilizzo, sembra però che Dropbox Uploader non venga più aggiornato, e le segnalazioni di problemi aperti su GitHub non ottiene grande riscontro, per questo motivo lo considero utile ma morto, un po’ uno zombie che è in grado di nutrirsi fino a quando la sua vittima glielo permetterà (nonostante gli ultimi aggiornamenti dei file fondamentali ospitati nella cartella di progetto siano stati aggiornati circa due mesi fa).

Attenzione: proprio a causa di questi mancati aggiornamenti dello script, ti anticipo che tale lavoro si appoggerà a un account Dropbox Pro personale, e che solo a upload completato (seppur parzialmente, un po’ alla volta, ti spiegherò meglio nei prossimi paragrafi) passerà a occupare lo spazio messo a disposizione dall’account Business. Se non hai un account Dropbox a pagamento e devi spostare grandi quantità di dati via riga di comando, puoi già rinunciare alla lettura dell’articolo (o puoi continuare per toglierti la curiosità in merito a una possibile alternativa al client ufficiale).

Ubuntu su Windows 10

Trattandosi di script bash, avrai bisogno di una mano per farlo girare su macchine Windows. Per poter raggiungere l’obiettivo, potrai sfruttare il WSL, Windows Subsystem for Linux, caratteristica nota ormai a chi possiede Windows 10 e non disprezza il mondo del pinguino, una fusione che Microsoft ha cominciato a rendere disponibile in beta ormai diverso tempo fa, e che con l’arrivo di Windows 10 1709 si è consolidata diventando stabile. Se vuoi approfondire, ti rimando a un articolo su un blog Microsoft datato ottobre 2017: blogs.msdn.microsoft.com/commandline/2017/10/11/whats-new-in-wsl-in-windows-10-fall-creators-update.

Una volta attivata la caratteristica tramite Pannello di Controllo, ho riavviato la macchina e poi scelto di installare il WSL Ubuntu che puoi trovare anche tu gratuitamente, sullo Store di Microsoft:

Ubuntu
Ubuntu
Developer: Canonical Group Limited
Price: Free

Dropbox: upload dati da bash con Windows (WSL) 2

Avviando per la prima volta il prompt di Ubuntu, ti verrà richiesto di scegliere uno username e una password, slegate da quelle che stai attualmente utilizzando sulla tua macchina Windows (con la quale però condividerai i permessi di accesso ai file in rete, tanto per fare un esempio):

Da ora in poi, potrai muoverti come se avessi a che fare con la bash di Linux, quasi a tutti gli effetti.

Dropbox Uploader: prima configurazione

Sei ora pronto per portare a bordo del tuo PC locale il necessario per il collegamento all’account di Dropbox e il primo utilizzo. Inizia clonando il repository GitHub tramite il comando git clone https://github.com/andreafabrizi/Dropbox-Uploader.git, quindi (appena terminato) spostati nella cartella di Dropbox Uploader e rendi eseguibile lo script dropbox_uploader.sh, ti basta lanciare un chmod +x dropbox_uploader.sh. A quel punto, eseguendo lo script per la prima volta, ti verrà richiesto di specificare i token necessari per comunicare con Dropbox:

Dropbox: upload dati da bash con Windows (WSL) 5

Dropbox: creazione del token per il collegamento

Per poter collegare Dropbox Uploader al tuo account di Dropbox, dovrai navigare verso l’indirizzo dropbox.com/developers/apps e creare una nuova applicazione personalizzata (Dropbox API app). Come anticipato in apertura articolo, lo script bash non sembra lavorare correttamente con l’account Business e i token che puntano alle cartelle di Team, per questo motivo ho fatto appoggio al mio account personale (Pro, 1 TB). Specifica un qualsiasi nome per l’applicazione e genera –quando possibile– un Access Token che darai in pasto a Dropbox Uploader:

Dropbox: upload dati da bash con Windows (WSL) 6

Copia il token appena generato e incollalo nella finestra di bash. La configurazione di Dropbox Uploader è completata.

Dropbox Uploader: muoversi da riga di comando

I comandi disponibili da riga di comando sono tutti descritti nella pagina GitHub del progetto, all’indirizzo github.com/andreafabrizi/Dropbox-Uploader. Tra i vari posso citarti certamente ./dropbox_uploader.sh list, l’equivalente del dir all’interno di DOS, oppure mkdir (stesso discorso sempre relativo a MS-DOS). Per muovere i file puoi usare i comandi di copy o move.

In base alla mia personale esperienza, ho copiato dei dati da una share di rete (NAS, nda) verso una cartella di Dropbox, creando dapprima il mountpoint in /mnt. Per capirci:

sudo mkdir /mnt/pcmaster

A quel punto ho potuto sfruttare la possibilità di montare un’unità di rete in WSL tramite DrvFs, come spiegato in questo articolo sui blog MSDN: blogs.msdn.microsoft.com/wsl/2017/04/18/file-system-improvements-to-the-windows-subsystem-for-linux. I permessi verso la cartella di rete sono parte del mio account di dominio Windows (ammesso che io ne usi uno):

sudo mount -t drvfs '\\NAS\PCMASTER' /mnt/pcmaster/

Fatto ciò, si parte con la vera e propria copia dei dati da NAS a Dropbox:

./dropbox_uploader.sh -s upload /mnt/pcmaster/Lenovo/ /Temp/Lenovo/

Questo comando inizierà a caricare i file dalla sorgente (/mnt/pcmaster/Lenovo) alla destinazione (/Temp/Lenovo), non sovrascrivendo file eventualmente già esistenti (il parametro -s) e ricreando strutture cartelle ad albero trovate durante la verifica della sorgente (per capirci, se sotto la cartella Lenovo dovesse esistere una sottocartella chiamata pippo, quest’ultima verrebbe creata anche sulla destinazione). La cartella di destinazione usata nell’esempio (la /Temp) dovrà esistere e trovarsi nella root dell’account Dropbox (nel caso tu avessi scelto di creare invece delle API senza accesso Full Dropbox, la cartella non si troverà nella root, bensì nelle cartelle App di Dropbox, nda).

A questo punto, una volta partito l’upload e solo se superiore a 150MB per file, questo mostrerà a video un punto (.) per ogni blocco di dati spostato correttamente sui server Dropbox (quindi ogni 150MB, nda), diversamente mostrerà un asterisco (*) e proverà nuovamente l’upload dell’ultimo blocco dati fallito (per un massimo di tre tentativi), così fino al termine dell’upload del file. Se vuoi, puoi aggiungere il parametro -p alla stringa per l’upload dati per modificare la visualizzazione dell’avanzamento a video.

Con questo metodo e una macchina virtuale lasciata accesa, in qualche giorno abbiamo potuto terminare il caricamento di alcuni TB di dati (l’ultima leggera impennata in ordine cronologico qui di seguito), senza sovraccaricare troppo le risorse della macchina:

Dropbox: upload dati da bash con Windows (WSL) 7

E al contrario?

Puoi usare Dropbox Uploader anche per scaricare dati dal servizio di storage in Cloud. Inutile dire che al posto del parametro upload userai il download, invertendo poi le cartelle sorgente e destinazione (la sorgente è ora lo spazio in Cloud, per capirci). Il resto rimane completamente invariato e potrai utilizzare i medesimi parametri spiegati nel paragrafo precedente dell’articolo.

Varie, eventuali e conclusioni

Oltre a Dropbox Uploader, nello stesso pacchetto precedentemente clonato da GitHub troverai anche dropShell, un diverso modo di esplorare e utilizzare Dropbox da riga di comando, il quale ho volutamente utilizzato poco e nulla visto ciò di cui avevo necessità. È comunque richiamabile (se vuoi giocarci un po’) da bash e –una volta dentro– simile a ciò che scriveresti in una qualsiasi finestra di terminale Linux. Trovi maggiori informazioni all’indirizzo github.com/andreafabrizi/Dropbox-Uploader/blob/master/README.md#dropshell

Dropbox: upload dati da bash con Windows (WSL) 8

Il mio esperimento (trasformatosi poi in soluzione) termina qui, se hai dubbi in merito puoi usare l’area commenti a tua disposizione. Io cercherò di aiutarti per quanto mi è possibile.

Buon lavoro!


fonti utilizzate:
blogs.msdn.microsoft.com/commandline/2017/10/11/whats-new-in-wsl-in-windows-10-fall-creators-update
blogs.msdn.microsoft.com/commandline/2017/07/28/windows-subsystem-for-linux-out-of-beta
blogs.msdn.microsoft.com/wsl/2017/04/18/file-system-improvements-to-the-windows-subsystem-for-linux
howtogeek.com/249966/how-to-install-and-use-the-linux-bash-shell-on-windows-10

Condividi l'articolo con i tuoi contatti:

Mi sono preso del tempo, come faccio sempre quando ci sono novità importanti in questo campo, anche se all’apparenza questa non possa sembrarlo a primo impatto (d’altronde, cambiano solo dei DNS, giusto? :-) ). La notizia è del primo aprile, abbiamo un po’ tutti pensato al più classico dei pesci, e invece no, la cosa era sera e lo è ancora tutt’oggi: Cloudflare ha lanciato i suoi nuovi DNS pubblici, in collaborazione con APNIC, mettendo a disposizione del mondo gli IP 1.1.1.1 e 1.0.0.1 (rispettivamente DNS primario e secondario).

1.1.1.1 è la vera risposta a 8.8.8.8?

I DNS sicuri di Cloudflare

We will never log your IP address (the way other companies identify you). And we’re not just saying that. We’ve retained KPMG to audit our systems annually to ensure that we’re doing what we say.

Frankly, we don’t want to know what you do on the Internet—it’s none of our business—and we’ve taken the technical steps to ensure we can’t.

[…] 1.1.1.1/#explanation

L’obiettivo della coppia (Cloudflare e APNIC, nda) è chiaro da subito, ed è quello di fornire un servizio alternativo a quelli già presenti sul mercato, mettendoci del proprio, cercando di assicurare all’utente finale una privacy che altri probabilmente non possono / vogliono offrire per questione di business o per mancanza di interesse verso la “beneficenza” (questo tipo di struttura ha un costo, e generalmente non è quello equivalente alla paghetta settimanale che la nonna ti dava all’epoca della gioventù pre-adolescenziale). Cosa si ottiene in cambio è pubblicamente riportato dal blog di APNIC, più precisamente in questo estratto:

In setting up this joint research program, APNIC is acutely aware of the sensitivity of DNS query data. We are committed to treat all data with due care and attention to personal privacy and wish to minimise the potential problems of data leaks. We will be destroying all “raw” DNS data as soon as we have performed statistical analysis on the data flow. We will not be compiling any form of profiles of activity that could be used to identify individuals, and we will ensure that any retained processed data is sufficiently generic that it will not be susceptible to efforts to reconstruct individual profiles. Furthermore, the access to the primary data feed will be strictly limited to the researchers in APNIC Labs, and we will naturally abide by APNIC’s non-disclosure policies.

[…] labs.apnic.net/?p=1127

La posizione dominante della struttura CDN di Cloudflare è certo garanzia di qualità e stabilità, perché estremamente capillare e facile da raggiungere da qualsivoglia posizione nel globo, questi due nuovi DNS includono tra l’altro la sicurezza del “nuovo” (si fa per dire) trasporto dati DNS-over-TLS, permettendo alle informazioni di transitare in maniera criptata, che completa il quadro sicurezza grazie al DNS-over-HTTPS (già compatibile con Chrome, nda), il quale supporta diverse tecnologie di crittografia come QUIC o HTTP/2 Server Push, ed è quindi già pronto per un futuro che dovrebbe progressivamente abbandonare la risoluzione dei nomi a dominio per come noi tutti la conosciamo e per come l’abbiamo “vissuta” fino a oggi (stiamo parlando di una tecnologia che è vecchia quanto l’internet o quasi, e che nella realtà può essere comparata alla rubrica telefonica che le persone anziane tengono di fianco al telefono analogico messo in bella vista nel salotto buono).

La prova sul campo

I fatti raccontano ciò che sei, la teoria è bella ma rimane spesso a far compagnia all’aria fritta. Dopo anni di utilizzo del (da tanti considerato) nemico Google (8.8.8.8/8.8.4.4), ho scelto di modificare la configurazione di una macchina Windows (questa) forzandola a risolvere i nomi a dominio tramite il nuovo servizio. Velocità e stabilità assolutamente corrette, risoluzione pressoché immediata anche partendo da una sessione browser completamente pulita, senza cache, senza dati precedentemente memorizzati, confermando quei tempi anche tramite un prompt dei comandi aperto contemporaneamente.

1.1.1.1 è la vera risposta a 8.8.8.8? 1

In pratica la nuova coppia di DNS sembrano mantenere le promesse tanto decantate da Cloudflare in primis, confermate ufficialmente anche da DNSPerf.com, progetto (quest’ultimo) di terza parte, che da anni mette alla prova –tra le altre cose– i resolver DNS disponibili in tutto il mondo, lo stesso che misura anche le performance del servizio offerto da Google, il quale arriva a occupare la quarta casella sul tracciato, dietro Cloudflare (al primo posto), OpenDNS (che appartiene a Cisco ormai dal 2015) e Quad9 (free, open e private anche lui, in collaborazione con IBM, Global Cyber Alliance e Packet Clearing House).

Ma poi …

Se si va a filtrare la qualità del DNS anziché la velocità di risoluzione, Cloudflare occupa l’ultimo posto (97,22% in Europa, 94,81% globalmente), risultato tutt’altro che valido, di cui certo non vantarsi troppo ad alta voce. In Europa sembra che la qualità massima appartenga ai DNS di Comodo, Google si posiziona in questo caso al sesto posto (oltre la metà della classifica). Giusto per dare il metro di giudizio, la qualità è definita così da DNSPerf:

“Quality” shows the uptime of nameservers. For example if a provider has 4 NS and 1 fails then quality is 75% for that location and benchmark. This means even though the provider is marked as down a real user could still get an answer thanks to the round robin algorithm used by DNS. “Quality” does not represent the real uptime of a provider

Ciò non vuol quindi dire che il servizio DNS in sé non risponda, ma più semplicemente che la tua richiesta viene consegnata a una macchina in quel momento accesa e pronta a lavorare, facendoti perdere un attimo più di tempo per arrivare a destinazione, ed è quello che è già capitato al servizio di Cloudflare che –solo a dirlo– fa un po’ sorridere considerando il principale business dell’azienda (la lotta al downtime, servendo e mostrando qualcosa di sempre reperibile anche se così non è nella realtà specifica del sito web e del relativo database in uso). Ho volutamente analizzato questo dato perché quello relativo all’uptime (parlando sempre di DNSPerf) è pressoché inutile al giorno d’oggi:

“Uptime” shows the real uptime of DNS provider. A provider is marked as down only if all nameservers go down at the same time. (in the select location)

È davvero difficile (se non quasi impossibile) che un servizio di questo tipo vada completamente offline, soprattutto considerando che dietro ci sono importantissime aziende che possono vantare infrastrutture complesse, ridondate, che hanno dato il giusto peso al Disaster Recovery e che possono quindi deviare il traffico verso strutture di backup pronte a rispondere quando la situazione si fa calda.

Gli altri parametri utilizzati dal servizio di misurazione sono molto chiari ed equi per tutti i giocatori sul campo:

  • All DNS providers are tested every minute from 200+ locations around the world.
  • Only IPv4 is used.
  • A 1 second timeout is set. If a query takes longer, its marked as timeout.
  • “Raw Performance” is the speed when quering each nameserver directly.
  • The data is updated once per hour.

Difetti di gioventù? Possibile, eppure è proprio in quel momento che devi cercare di avere la maggiore potenza di fuoco possibile, perché la curiosità attira le persone, e queste proveranno il tuo servizio mettendoti in seria difficoltà se non hai fatto i giusti conti con l’oste. È una cosa del tutto naturale, che può sfuggire di mano e che può portare a ottenere l’effetto contrario, quello tipico da vanto al bar, presto però fatto tacere da qualcuno che dimostra tutto il contrario.

Ho modificato la configurazione del mio Fritz!Box 7590 variando DNS primario e secondario, da Google a Cloudflare, ottenendo –una sera di qualche giorno dopo– un blackout parziale di rete durato (in realtà sopportato) circa 30 minuti, durante i quali caricavo a singhiozzo risorse internet. Ed è proprio in quel momento che ho riportato la situazione alla precedente configurazione, rimettendo al loro posto i DNS di big G., riprendendo così a navigare correttamente con ogni dispositivo connesso alla rete di casa. Ti metto a tacere se in questo momento stai pensando potesse trattarsi di un problema relativo al router o alla fibra di Fastweb, perché tutto funzionava perfettamente se la risorsa esterna era stata già precedentemente agganciata (senza necessità di ulteriore risoluzione DNS), dandomi rogne esclusivamente con le nuove, senza considerare che alla variazione dei resolver tutto è tornato immediatamente a funzionare come nulla fosse mai successo.

Il dettaglio del comportamento misurato di 1.1.1.1 lo trovi all’indirizzo dnsperf.com/dns-resolver/1-1-1-1, noterai tu stesso delle altalene comprensibili e ovviamente nella norma nel corso del tempo. C’è una costanza quasi incredibile invece per il servizio di Google (tenendo ben presente che non si può brillare ovunque, e che bisognerebbe scegliere dei DNS in grado di avere e dimostrare buone performance in base a dove ci si trova fisicamente per più tempo).

In conclusione

Darò certamente una seconda possibilità a Cloudflare, per me è molto importante che tutto funzioni egregiamente in casa, ci tengo, tanti servizi girano e servono me e la mia famiglia anche fuori da qui (su smartphone e non solo), poter vedere contenuti multimediali, navigare, usare la posta elettronica è ormai considerato uno standard quasi al pari di trovare una bottiglia d’acqua in dispensa (lo so, non è proprio la stessa cosa, ma è per farti capire il metro di giudizio secondo il mio malato neurone). Litigare ancora oggi con una risoluzione nomi che quasi ti fa pentire i tempi delle modifiche al proprio file hosts non è cosa normale.

Lascio fare questo servizio a chi sa come farlo (ancora scende la lacrimuccia pensando al servizio FoolDNS lanciato da Matteo così tanti anni fa), ma pretendo che funzioni bene e senza tutte quelle barriere imposte da chi può permettersi il lusso di dire cosa posso o non posso visitare (DNS dei provider di connettività italiana, cosa che accade anche all’estero con gli oscuramenti assai discutibili), rispondendo in tempi ragionevoli e portando il mio browser (ma non solo) dove volevo atterrare, non un centimetro più in là. Sui termini della privacy e raccolta dati di Cloudflare e APNIC posso limitarmi a raccontarti quanto apprendo da loro, sperando che non ci siano secondi fini a noi sconosciuti.

Ti ricordo che, da qualche tempo ormai, sul forum di Mozilla Italia viene mantenuta aggiornata una discussione in cui si parla proprio di DNS e dei loro comportamenti, con ogni riferimento che può tornarti utile. Trovi la discussione all’indirizzo forum.mozillaitalia.org/index.php?topic=59932.msg406060#msg406060.

Se ci si vuole affidare alla storia, dare alla luce un servizio il primo di aprile sembra aver portato bene a Google e al suo (mai troppo adorato) GMail, che possa Cloudflare sperare di replicare quel successo?

E tu, hai cambiato i tuoi DNS per navigare tramite 1.1.1.1/1.0.0.1 oppure hai tenuto quelli che avevi prima? Cosa hai scelto? Ti va di raccontarmelo nei commenti e dirmi il perché della tua scelta? :-)


fonti:
blog.cloudflare.com/announcing-1111
dnsperf.com/#!dns-resolvers

immagine di copertina: unsplash.com / author: Himesh Kumar Behera

Condividi l'articolo con i tuoi contatti:

Impossibile non notarlo, è l’inevitabilità di quel web fatto di continui collegamenti, richiami, login facili. Amazon ti propone sempre il prodotto più giusto per quello specifico periodo in cui ti serve qualcosa “della quale non potrai più fare a meno“, te lo ricorda anche Facebook, così come molti altri siti web che utilizzano in qualche maniera banner o API di questi due grandi player, e la storia non finisce certo con loro, è un po’ come il vaso di Pandora. Sei un numero, tracciarti è relativamente semplice, può essere utile qualcosa che contrasti tutto questo senza però intralciare la tua navigazione e le tue comodità, Facebook Container fa un po’ questo mestiere.

Wordpress: niente immagine di anteprima su Facebook? Risolvere il problema

Facebook Container

Un accenno di storia

Facciamo insieme un passo indietro e parliamo genericamente di Containers. Un tempo Panorama e integrata nel browser stabile, poi abbandonata definitivamente per scarso utilizzo circa 2 anni fa (io l’adoravo), forse alcuni potrebbero ricordarla come Tab Groups. Non so tu, ma questo desiderio di avere una sola finestra del browser aperta e più “ambienti di lavoro” da richiamare all’occorrenza a me è sempre piaciuta, un po’ per separare la vita privata da quella lavorativa, un po’ per lavorare su ordini di idee e necessità senza star lì a impazzire per trovare una determinata scheda aperta qualche tempo prima.

Quella funzione oggi si chiama Containers, è un’estensione, un componente aggiuntivo figlio della nuova epoca Quantum, che ti permette grosso modo di fare la stessa cosa che facevi due anni fa sul Firefox di vecchia generazione, e puoi installarla in qualsiasi momento da AMO.

Vite separate, un solo browser, nessun impedimento tecnico nell’apertura di più finestre dello stesso servizio con diverse coppie di credenziali (GMail, tanto per fare un esempio facile da capire), visitate come tu stessi arrivando da differenti sessioni (o profili aperti) ma che in realtà così non è, grazie all’isolamento dello spazio riservato da Firefox (website storage, nda), dei cookie e di tutto ciò che serve a quel sito web per fare il suo lavoro lato tuo PC, puoi provare a vederla come una rivisitazione avanzata della modalità di navigazione in incognito, senza però la limitazione dovuta alla singola finestra anonima per profilo di Firefox aperto.

Under the hood, it separates website storage into tab-specific Containers. Cookies downloaded by one Container are not available to other Containers ()

Il tutto è stato sperimentato, monitorato e costantemente migliorato nel corso di questi ultimi due anni, da chi -come me- ha scelto di affidarsi alle versioni Nightly di Firefox (quelle più instabili, nda), che integravano già nel 2016 questo esperimento poi approdato anche in Test Pilot (se ne parlava qui), con possibilità di gestione dei contenitori tramite pannello delle Preferenze del browser (about:preferences#containers).

Perché allora Facebook Container?

Perché Containers presa così di petto può confondere e in alcuni casi spaventare i meno esperti, che potrebbero non capire più come gestire i loro ambienti di lavoro.

Firefox: Facebook Container impedisce il tracciamento sul web

Facebook Container non necessita di configurazione, è già pronta per funzionare come nel più classico degli scenari Plug&Play, annunciata in un momento storico che migliore non si sarebbe potuto aspettare per fare da cassa di risonanza, Cambridge Analytica può solo insegnare (ammesso che là fuori altri come me e te abbiano capito più o meno bene cosa sia realmente successo e che conseguenze ci sono state nel momento zero, così come oggi e ancora in futuro). Facebook Container è stata presentata al grande pubblico del web lo scorso 27 marzo, descritta all’interno di un articolo comparso nel blog ufficiale di Mozilla (blog.mozilla.org/firefox/facebook-container-extension), il quale non manca di dettagliare di cosa si tratta pur non dovendo approfondire più di tanto (vista la facilità di fruizione di questa misura di sicurezza sviluppata da Mozilla).

Facebook Container
Facebook Container
Developer: Mozilla
Price: Free

Scopo del gioco messo in chiaro da subito: fermare il tracciamento che Facebook opera in giro per il web, lasciando che il Social Network possa funzionare esclusivamente nel suo orticello, che non vada a fare danni altrove e che ci lasci in pace quando non utilizzato. Per fare ciò è stata usata la base e il concetto fatto proprio da Containers, riadattato per l’occasione all’auto-riconoscimento del sito web creatura di Mark Zuckerberg, caricato in un’apposita sandbox oltre la quale non può ficcare il naso. In un solo colpo vivrai (e navigherai) qualsiasi altro sito web come se tu non fossi collegato a Facebook, come riportato da Mozilla stessa, la quale specifica quindi possibili malfunzionamenti legati all’isolamento:

If you use your Facebook credentials to create an account or log in using your Facebook credentials, it may not work properly and you may not be able to login. Also, because you’re logged into Facebook in the container tab, embedded Facebook comments and Like buttons in tabs outside the Facebook container tab will not work. This prevents Facebook from associating information about your activity on websites outside of Facebook to your Facebook identity. So it may look different than what you are used to seeing.

Una seccatura apparentemente molto pesante da sopportare, ma che protegge la tua privacy più di quanto tu possa pensare. Considera che, nel caso tu faccia clic su pulsanti di Like o Share via Facebook, questi funzioneranno aprendo nuovamente il container (quindi nessun problema di funzionamento, ma solo una scheda in più aperta quando necessario, immediatamente richiudibile al termine dell’operazione).

Sotto al cofano

When you install this extension it will delete your Facebook cookies and log you out of Facebook. The next time you visit Facebook it will open in a new blue-colored browser tab (aka “container tab”). In that tab you can login to Facebook and use it like you normally would. If you click on a non-Facebook link or navigate to a non-Facebook website in the URL bar, these pages will load outside of the container.

Una volta installata, Facebook Container cancellerà ogni cookie legato al Social Network, costringendoti a effettuare un nuovo login. Noterai che –visitando Facebook– ti si caricherà una scheda diversa rispetto alle altre, sottolineata di blu e con il logo da “Container” nella barra dell’URL (te li ho messi in rilievo nell’immagine di seguito):

Firefox: Facebook Container impedisce il tracciamento sul web 1

Ogni volta che farai clic su un collegamento che ti porterà fuori da Facebook, la scheda tornerà a comportarsi normalmente, vedrai sparire sottolineatura e richiamo nella barra dell’URL. Lo stesso succederà anche se riutilizzerai la scheda per navigare su un diverso sito, specificandolo manualmente nella barra dell’URL.

E dallo scorso 5 aprile …

… sono state annunciate alcune novità riguardanti il componente aggiuntivo, che ora mantiene attivo il container di isolamento anche nel caso in cui tu vada a visitare Instagram o Facebook Messenger, legati allo stesso cordone ombelicale del Social Network statunitense.

Firefox: Facebook Container impedisce il tracciamento sul web 2

Se come me stai ora pensando a WhatsApp, probabilmente la risposta è che questo non sembra raccogliere (allo stato attuale) informazioni che vengono poi utilizzate dal sito web principale di Facebook, ma potrebbe certamente entrare a far parte degli URL intercettati automaticamente di un futuro aggiornamento di Facebook Container: blog.mozilla.org/firefox/facebook-container-extension-now-includes-instagram-and-facebook-messenger.

In conclusione

Un compromesso che, una volta installato, dovrai in qualche maniera digerire. Questo potrebbe essere il giudizio finale per un componente aggiuntivo che per me finisce di diritto nei Must Have, perché non sempre ci si può nascondere dietro la frase fatta che “non si ha niente da nascondere“, la privacy è un diritto che devi poter esercitare e un dovere per chi ha quel grande potere e privilegio di poter maneggiare i nostri gusti, orientamenti, dati che possono essere facilmente rivenduti e sui quali costruire il proprio business, che non sempre combacia con i reali desideri dell’utente finale.

Io l’ho installato su ogni mia postazione e quasi ogni profilo (ne tengo alcuni esclusivamente per sperimentare, dove neanche mi collego a Facebook), i login sono stati separati dall’account Facebook già tempo fa (dovresti farlo anche tu, prima o poi ci scrivo un pezzo in merito), e dove i commenti sono veicolati in maniera forzata verso il Social Network, evito di dire la mia, che male non può certo fare :-)

Condividi l'articolo con i tuoi contatti: