Archives For Mozilla Firefox

Il tweet è vecchio così come l’argomento, eppure ogni tanto torna in auge e non è mai per un buon motivo, perché si parla di tentativi di phishing che vanno a buon fine e mettono così in pericolo i tuoi dati e la tua privacy. Oggi torno quindi a parlarti (per la prima volta però sul blog) di Punycode e dei domini che non corrispondono esattamente al vero.

Firefox e Punycode: occhio ai tentativi di phishing

Punycode

Se hai letto Punycode così come un ateo leggerebbe un passo della Bibbia (che poi non è detto), non preoccuparti, può anche starci che tu non conosca l’argomento e non sappia di cosa stiamo parlando. Viene in aiuto un articolo di qualche mese fa, pubblicato all’indirizzo dev.to/loganmeetsworld/homographs-attack–5a1p, all’interno del quale viene minuziosamente spiegato come è possibile “attaccare” un ignaro utente di Firefox (ma anche Chrome e altri browser) sfruttando l’interpretazione dei caratteri Unicode (come le emoji che siamo tutti abituati a usare nelle applicazioni di messaggistica istantanea).

Volendola riportare in breve, ti cito qualche riga della voce specifica su Wikipedia:

Punycode è un sistema di codifica definito nella RFC 3492 che serve a rappresentare univocamente una sequenza di caratteri unicode tramite una sequenza di caratteri ASCII, per rendere possibile l’uso di tali sequenze nei nomi di dominio, senza dover modificare infrastrutture e standard esistenti.

Continua su: it.wikipedia.org/wiki/Punycode

Ciò vuol dire che potresti tranquillamente utilizzare una emoji al posto del testo o, se preferisci (e come viene generalmente fatto per questo tipo di attacchi), una serie di caratteri ASCII che vengono poi letti e mostrati in maniera più chiara dal browser. Che significa di preciso? Presto detto: il tweet a cui facevo riferimento in apertura articolo è questo di seguito …

Firefox & Chrome

Ciò che a te sembra assolutamente identico tra lo screenshot superiore e quello subito sotto, nella realtà corrisponde a profonda differenza tramite Punycode: www.xn--twili-nye.com (e questo è solo un esempio con caratteri russi) riporta apparentemente a un sito web lecito, che di lecito però nella realtà non ha nulla. La medesima storia è già stata documentata ampiamente in passato, successe anche con il domino di Apple (quello che per tutti è Apple.com e che ancora oggi esiste ancora come PoC Punycode se dai un’occhiata all’articolo al quale ti porto tramite il collegamento inserito qualche parola fa), funzionante su qualsiasi browser aggiornato (vedi il mio, qui di seguito):

Il “Prima” e “Dopo” che leggi come descrizione delle immagini è dovuto alla modifica che su Firefox ho apportato ormai diverso tempo fa, proprio per combattere questo tipo di attacco e poter immediatamente avere massima visibilità di domini che utilizzano il Punycode. La modifica alla quale faccio riferimento riguarda ovviamente l’about:config del browser, più precisamente la voce network.IDN_show_punycode, descritta già nel 2006 nella Knowledge Base di MozillaZine (kb.mozillazine.org/Network.IDN_show_punycode), che contrariamente al predefinito booleano “false” può (e secondo me deve) essere impostata a true per mostrare i caratteri estesi che compongono il nome del dominio in maniera altrimenti più leggibile, proprio come nell’immagine di seguito (presa sempre dal mio Nightly):

Firefox e Punycode: occhio ai tentativi di phishing 3

Ed è così che è semplice arrivare alla situazione riportata dall’immagine qualche riga più su con la descrizione “Dopo“, è evidente che un attacco di questo tipo non potrebbe mai andare a buon fine. Se però preferisci agire in maniera diversa, puoi sempre pensare di fare uso di un componente aggiuntivo come PunyCode Domain Detection, italiano sin dalla nascita (realizzato da Francesco De Stefano) e disponibile chiaramente su AMO:

Che potrebbe avere un corrispettivo anche nel Chrome Store (no, non se ne è occupato sempre lui anche dall’altro lato) in Punycode Alert:

Punycode Alert
Punycode Alert
Developer: i3visio
Price: Free

In conclusione

Argomento di discussione da anni e motivo di critica verso chi ancora non ha portato sul tavolo regole ufficiali e valide per tutti, Punycode e possibilità di registrazione domini alquanto discutibili basati su caratteri estesi continuano a mietere vittime poco attente (o poco preparate, a volerla dire tutta), per questo motivo è bene prendere precauzioni in totale autonomia e muoversi sin da subito (in realtà bisognava averlo già fatto anni fa).

Quanto riportato sopra è frutto della mia personale esperienza e si tratta ovviamente di suggerimenti che sei libero o meno di applicare. Se nel tuo caso hai preferito intraprendere una differente strada e vuoi parlarne, sei assolutamente libero di farlo in area commenti, è sempre bello potersi confrontare e arricchire le pubblicazioni del blog (ormai dovresti conoscermi e saperlo bene).

Spero di non aver dimenticato nulla. In caso contrario, bussa e segnalalo, sarà mia premura metterci quanto prima una pezza ;-)

Buona navigazione!


Ulteriori fonti:

Condividi l'articolo con i tuoi contatti:

Da quando esiste, l’account Firefox (che permette il sync di Segnalibri, Password, ecc., ma anche il collegamento diretto al sito degli Addons e quello di Pocket) non ha mai potuto usufruire dell’autenticazione in due passaggi così come la conosciamo oggigiorno, è sempre bastato (si fa per dire) accedere alla casella di posta elettronica associata all’account Firefox per confermare l’accesso. Da oggi, finalmente, l’account Firefox può essere protetto con autenticazione 2-Step.

Sicurezza: la 2-step verification di Firefox

In attesa che il nostro fantastico team localizzi il documento ufficiale, accedi a accounts.firefox.com/settings/two_step_authentication?showTwoStepAuthentication=true, quindi approfitta del nuovo interruttore disponibile a video per attivare la funzionalità. Dovrai semplicemente catturare il QR Code, inserire il codice generato per conferma, quindi prendere nota dei codici di backup che verranno mostrati (solo questa volta e poi mai più, per sicurezza, mal che vada potrai sempre generarne di nuovi).

Ti mostro -come al solito- la rapida sequenza dei passaggi con immagini catturate durante l’attivazione della 2-Step per il mio account Firefox:

Da questo momento dovrai fornire un secondo codice di autenticazione nel momento in cui proverai a collegarti al tuo account Firefox da un altro dispositivo (PC / telefono / ecc.).


immagine di copertina: unsplash.com / author: Natã Figueiredo
Condividi l'articolo con i tuoi contatti:
Android's Corner è il nome di una raccolta di articoli pubblicati su questi lidi che raccontano l'esperienza Android, consigli, applicazioni, novità e qualsiasi altra cosa possa ruotare intorno al mondo del sistema operativo mobile di Google e sulla quale ho avuto possibilità di mettere mano, di ritoccare, di far funzionare, una scusa come un'altra per darvi una mano e scambiare opinioni insieme :-)

Ci ho provato spesso e volentieri, mettendomici anche di buona lena e tanta volontà, ma i Password Manager online non riescono a conquistarmi nonostante la loro comprovata compatibilità con qualsivoglia sistema (fisso, portatile, mobile) e “sicurezza” nell’evitare inconvenienti legati a un mancato backup (e mi fermo qui). La mia configurazione “tipo” riguardo la custodia delle password prevede l’uso di database KeePass (più di uno, in base allo scopo), uno spazio in Cloud messo al sicuro (criptato sì, ma pur sempre ospitato su Dropbox) e la possibilità di accedervi da più programmi e configurazioni.

L'ecosistema "KeePass based": gestire password tra più sistemi

Quell’antipatia a pelle

Chi si interessa di questo mondo sa quasi certamente a cosa mi sto riferendo: attacchi che in passato hanno messo a segno accessi indesiderati su sistemi che avrebbero dovuto garantire la massima sicurezza per i dati degli utenti, papabili portoni spalancati verso un mondo fatto di account che a loro volta avrebbero potuto dare accesso a servizi più o meno importanti (nei più, manco a dirlo, trovano spazio i sempiterni conti correnti bancari, giusto per fare un esempio delicato che ti fa salire quel brivido lungo la schiena).

E come se non bastasse, in caso di problemi di connettività, ritrovarsi improvvisamente appiedati da una memoria corta nei confronti di quegli accessi utilizzati forse troppo poco, oppure resi pressoché inattaccabili dalla complessità della password precedentemente generata (direttamente dal Password Manager online) volutamente complessa, impossibile da memorizzare (a meno di avere capacità non comuni a tutte le persone che ti circondano), e tutto questo perché il metodo da sempre funzionante (cerca di personalizzare la password in base al servizio utilizzato, che sia di facile ricostruzione per un tuo ragionamento ma di difficile previsione da parte di una terza parte non autorizzata, il tutto facendo uso di parole comuni apparentemente banali, ecc.) sta diventando sempre meno utilizzato (e giuro che fatico a comprenderne il motivo).

L'ecosistema "KeePass based": gestire password tra più sistemi 1

https://xkcd.com/936

Le cose fortunatamente si sono molto evolute nel tempo, alcuni di quei servizi storici sono nettamente migliorati, altri sono morti (mancanza di fondi, di utenti, di voglia di portare avanti qualcosa che evidentemente costava più di quanto rendeva in termini non solo economici) o sono stati assorbiti da quelli più robusti e con spalle ben più coperte, c’è chi quindi li utilizza testimoniando molto positivamente a loro favore; eppure io no, continuo a preferire la vecchia scuola che può sostituirsi al servizio web ben congegnato con un pelo di fatica e componenti in più, non sempre uguali sui diversi sistemi operativi (quasi mai, a dirla tutta).

Evoluzione del mondo macOS

Se su Windows la coppia ufficiale composta da KeePass e KeePassRPC non è quasi mai stata messa in dubbio (salvo qualche test che ho eseguito per dare continuità al passaggio tra il MacBook di casa e il Lenovo d’ufficio), su macOS ho scelto di testare diversi programmi e modi di intendere l’interfaccia dedicata al custode degli accessi. Insieme a loro, considera sempre che ho a che fare con un Galaxy S8 (Android Oreo, a oggi) e un iPhone 6 (iOS 11, a oggi).

Sul Sistema Operativo di casa Apple, contrariamente a quello nato a Redmond, ho scelto (dopo parecchi test) una coppia differente alla quale assegnare la gestione dei file kdbx, ed è quella composta da KeePassXC e relativo componente aggiuntivo sviluppato per Firefox.

Dando per scontato che tu abbia già avuto a che fare con un database di password KeePass e che questo sia già a tua disposizione (su Dropbox, sul tuo disco fisso, sul NAS di casa o qualsiasi altro luogo dove possa essere conservato un agglomerato di dati), io procederei con il raccontarti cosa e come configurare sul tuo Mac.

KeePassXC

Si tratta di un vero e proprio reboot di KeePass, diversamente non disponibile per macOS, e ne ripropone un’interfaccia tutto sommato simile e ben sviluppata, capace di leggere i database generati da KeePass sotto Windows a prescindere dalla versione del programma nativo, aggiungendo come ciliegina sulla torta la sua compatibilità con i sistemi Linux e Windows, concentrandosi quindi sulla forte presenza su più territori. Il progetto è completamente Open Source, puoi dargli un’occhiata passando per il sito web ufficiale keepassxc.org.

L'ecosistema "KeePass based": gestire password tra più sistemi 2

Sono approdato a KeePassXC dopo attimi di panico vissuti con KeePassX, uno dei primi porting che ho usato sul sistema Apple, il quale –una volta cominciato a modificare il database tra Windows e macOS, integrando Kee per l’utilizzo con Firefox– non riusciva più a leggere correttamente proprio il campo password di ogni accesso salvato, facendomi pensare a una corruzione del mio archivio e costringendomi a recuperare uno dei tanti backup salvati (ne salvo diversi su Windows e altri con Mac, senza considerare le numerose copie salvate da Dropbox grazie al Versioning, nda), il quale risultava nuovamente leggibile da KeePassX, ma che ho poi scoperto (aprendo una versione “corrotta” su Windows) che era rimasto troppo indietro per stare al passo con i tempi.

KeePassXC ha gli stessi richiami da tastiera di KeePass (per esempio CTRL+B o l’equivalente ⌘+B su macOS per copiare lo username, oppure CTRL+C / ⌘+B per copiare la password), propone nativamente il salvataggio della favicon del sito web per il quale si sta salvando un accesso (cosa che su KeePass faccio tramite plugin), e può essere integrato con il browser che preferisci grazie all’utilizzo di componenti aggiuntivi appositamente sviluppati e rilasciati gratuitamente. Per Firefox (ma tranquillo, funziona alla stessa maniera per Chrome) ti basterà installare KeePassXC-Browser:

KeePassXC-Browser
KeePassXC-Browser
Developer: KeePassXC Team
Price: Free

Una volta installata l’estensione, fai clic sull’icona (rappresentata dal logo del programma, nda) che ti si caricherà nella barra dell’URL e connettiti al database di KeePassXC (il programma dovrà essere aperto), ti verrà richiesto di dare un nome a questa nuova connessione (che rimarrà perennemente autorizzata fino a tua volontaria modifica) e potrai così allacciare il collegamento tra browser e archivio dei tuoi accessi:

L'ecosistema "KeePass based": gestire password tra più sistemi 3

Maledizione, non funziona, non capisco!

Apri KeePassXC e verifica di aver abilitato la funzione di integrazione con i browser tramite KeePassXC-Browser. Vai nelle Impostazioni (o Preferenze su macOS) del programma, spostati su Integrazione con i browser e abilita la funzione, scegliendo poi il browser che preferisci (anche più di uno), quindi attivando o disattivando le opzioni che più ti interessano:

L'ecosistema "KeePass based": gestire password tra più sistemi 4

Riprova ora a collegare Firefox con KeePassXC, dovresti finalmente riuscirci :-)

“sa, sa, sa, prova, prova, prova”

Al primo tentativo di accesso da far compilare automaticamente (inteso come prima volta che stai usando la coppia KeePassXC e relativa estensione per Firefox) ti verrà richiesto di consentire a Firefox di catturare la coppia di credenziali necessaria dal tuo database:

L'ecosistema "KeePass based": gestire password tra più sistemi 5

Fai clic su “Ricorda questa scelta” per evitare che venga nuovamente richiesto in futuro, poi un clic su Consenti per completare l’operazione. Questa operazione dovrà essere eseguita giusto la prima volta (ammesso che tu abbia selezionato il Ricorda questa scelta).

Su Windows

Mi ripeto nel dirti che su Windows è tutto più semplice ma comunque somigliante a quanto visto per macOS (se hai letto il paragrafo precedente). La coppia scelta è quella composta dal programma KeePass originale (l’attuale 2.38 a oggi che scrivo l’articolo), seguito dal plugin KeePassRPC (in sostituzione dell’ormai prossimo fuori dai giochi KeePassHTTP) scaricato, copiato e compilato partendo dalla cartella di programma (quella Plugins che -se non esiste già- dovrai creare e popolare sotto C:\Program Files\KeePass Password Safe 2\ o C:\Program Files (x86)\KeePass Password Safe 2\ su sistemi a 64 bit). Su Firefox ho installato Kee, che poi è alla base anche del progetto KeePassRPC su GitHub:

Kee
Kee
Developer: Luckyrat
Price: Free

Kee propone la sua icona nella barra URL di Firefox e –così come già visto per KeePassXC-Browser– dovrà stabilire un collegamento con il tuo database di KeePass.

Una volta stabilito, potrai lasciare che l’estensione compili autonomamente i campi username e password dei siti web che visiti, chiedendo autorizzazione alla comunicazione tra estensione e database solo la prima volta (esattamente come KeePassXC, nda); potrai inoltre chiedere di salvare l’ultimo accesso utilizzato durante la navigazione (funzione utile nel caso in cui tu abbia creato un nuovo utente e non lo abbia ancora memorizzato in KeePass) o creare password complesse che verranno immediatamente salvate nel tuo database in attesa che tu vada a compilare il resto (username e nome da assegnare all’accesso, per poi spostarlo sotto la cartella che meglio calza a quest’ultimo).

Android & iOS

Il capitolo più importante di questi tempi, perché moltissimi accessi vengono effettuati direttamente da mobile, in applicazioni dedicate (native), web ottimizzate o direttamente da browser (e non coadiuvate dal sempre comodissimo Google Smart Lock su Android, per dire). Avere a portata di mano il proprio database diventa pressoché fondamentale, e lo è ancora di più servirsi quindi di un partner che permetta questa facilità di trasporto, è il principale motivo per il quale ho scelto di appoggiarmi a una cartella Dropbox, poiché accessibile da qualsiasi mia postazione fissa e mobile.

L'ecosistema "KeePass based": gestire password tra più sistemi 6

Dato il minimo comune denominatore, l’applicazione per poterlo gestire cambia, e lo fa in base al Sistema Operativo su cui mi trovo. Le mie due scelte rispettivamente per Android e iOS sono ricadute sull’imbattibile KeePass2Android per Android (lo avresti mai detto dal nome?!?) e MiniKeePass per iOS. La prima delle due gestisce direttamente il file degli accessi prendendolo da Dropbox, la seconda invece necessita che il file gli venga passato tramite la funzione di “Apri con” nativa del sistema di casa Apple, e me la sto portando dietro da diversi anni (magari nel frattempo il panorama si è evoluto e migliorato, ben vengano qui i tuoi consigli per un’alternativa sempre gratuita dopo l’acquisto perso di KyPass di qualche anno fa).

Android: KeePass2Android

Completa e ben strutturata, KeePass2Android è in grado di sincronizzarsi costantemente con Dropbox per poter aprire e modificare sempre l’ultima versione del database contenente i tuoi accessi. Si scarica gratuitamente dal Play Store e la si configura davvero in pochi passaggi, con un minimo di accortezza puoi anche usare l’autofill previsto da Oreo così da compilare automaticamente i campi username e password quando richiesto:

ProContro

  • costantemente sincronizzato ma puoi scegliere di lavorare anche offline;

  • icone (favicon) e cartelle proprio come le hai lasciate l'ultima volta sul client Desktop;

  • hai accesso a ogni campo del database, allegati compresi (sì, puoi scaricarli liberamente);

  • la funzione di ricerca è immediata e molto rapida;

  • una volta aperto, potrai bloccare e sbloccare rapidamente il database grazie alla funzione nativa che ti richiederà solo le ultime lettere della tua master password;

  • gratuito (non fa mai male se non hai enormi pretese);


  • è in costante miglioramento, ma nonostante tutto ci sono alcuni problemi nell'Autofill di Oreo se il programma non viene prima aperto;

  • manca la cronologia delle modifiche accessi (non puoi dare un'occhiata alle password precedentemente utilizzate come faresti dal client Desktop);

Come tu stesso avrai notato, l’autofill si trova nei Contro, e un motivo c’è; dovrai infatti aprire KeePass2Android prima di tentare un autofill, altrimenti l’applicazione andrà in crash e lo farà continuamente, fino a quando continuerai a tentare l’auto-completamento senza prima aprire l’applicazione e autenticarti, a quel punto tutto funzionerà correttamente. È un bug già segnalato e sul quale sono certo che lo sviluppatore stia già lavorando, ma bisogna avere pazienza e per il momento aggirare l’ostacolo così come descritto e più volte testato con successo.

iOS: MiniKeePass

Per iPhone la storia cambia, e come riportato qualche riga più sopra io utilizzo un’applicazione che è un po’ la storia del database KeePass aperto e gestito da iOS. Nel tempo le cose potrebbero essere cambiate ma la mia abitudine non mi ha ancora convinto a testare più a fondo questa parte, perché in fondo la maggiorparte delle azioni le compio dal mio Galaxy S8 personale più che dal telefono aziendale. MiniKeePass è una pietra miliare di AppStore e ti permette di accedere ai tuoi account conservati nell’archivio KeePass:

MiniKeePass
MiniKeePass
Price: Free
ProContro

  • la funzione di ricerca è immediata e molto rapida;

  • gratuito, le limitazioni sono molto forti, il progetto però è Open Source e tutti possono collaborare per farlo crescere;


  • non puoi pensare di aprire l'applicazione ed essere già a posto, dovrai prima lanciargli la copia del database più aggiornato passando dall'applicazione (nel mio caso) di Dropbox;

  • icone (favicon) e cartelle NON esattamente come le hai lasciate l'ultima volta sul client Desktop (sì, alcune non le digerisce proprio);

  • manca la cronologia delle modifiche accessi (non puoi dare un'occhiata alle password precedentemente utilizzate come faresti dal client Desktop);

  • non hai accesso a ogni campo del database, scordati gli allegati (solo una delle cose alle quali non avrai accesso);

Posso solo immaginare cosa stai pensando dopo aver dato un’occhiata alla tabella qui sopra, eppure ti assicuro che questa applicazione ha fatto scuola e (ti basta dare un’occhiata alla sezione altri link della pagina Download di KeePass per notarlo tu stesso) i plagi sono all’ordine del giorno e senza neanche sapere cosa davvero ci gira dietro, cambia al massimo solo il nome (e l’icona, certo) ma non la sostanza.

L’unico progetto che sembra aver apportato dei miglioramenti si chiama SyncPass, si basa sempre sul core originale di MiniKeePass ma introduce la funzionalità di sincronizzazione Dropbox che va quindi a mettere al sicuro il tallone d’Achille forse più importante di questo progetto. Non ho comunque sufficienti statistiche riguardanti l’applicazione per potertela consigliare (si tratta pur sempre di dati molto delicati e con cui non giocare).

In conclusione

Spero di averti dato qualche spunto valido per aiutarti a mettere ordine nel mondo dei tuoi accessi e di come cercare di gestirli al meglio (fermo restando che “il meglio” è sempre ampiamente discutibile). Esistono certamente altre alternative a quelle da me suggerite, probabilmente le usi già e vuoi condividerle con me e con gli altri lettori, per questo motivo ti invito a lasciare il tuo commento nell’area a tua disposizione dopo le informazioni di chiusura articolo (anche in modalità anonima!).

Per qualsiasi dubbio o ulteriore informazione inerente questo pezzo, il metodo è quello appena citato (una riga fa), lascia un commento e cercherò di darti una mano nei limiti della mia conoscenza :-)

Buona giornata!


immagine di copertina NeONBRAND on Unsplash
Condividi l'articolo con i tuoi contatti:

Impossibile non notarlo, è l’inevitabilità di quel web fatto di continui collegamenti, richiami, login facili. Amazon ti propone sempre il prodotto più giusto per quello specifico periodo in cui ti serve qualcosa “della quale non potrai più fare a meno“, te lo ricorda anche Facebook, così come molti altri siti web che utilizzano in qualche maniera banner o API di questi due grandi player, e la storia non finisce certo con loro, è un po’ come il vaso di Pandora. Sei un numero, tracciarti è relativamente semplice, può essere utile qualcosa che contrasti tutto questo senza però intralciare la tua navigazione e le tue comodità, Facebook Container fa un po’ questo mestiere.

Wordpress: niente immagine di anteprima su Facebook? Risolvere il problema

Facebook Container

Un accenno di storia

Facciamo insieme un passo indietro e parliamo genericamente di Containers. Un tempo Panorama e integrata nel browser stabile, poi abbandonata definitivamente per scarso utilizzo circa 2 anni fa (io l’adoravo), forse alcuni potrebbero ricordarla come Tab Groups. Non so tu, ma questo desiderio di avere una sola finestra del browser aperta e più “ambienti di lavoro” da richiamare all’occorrenza a me è sempre piaciuta, un po’ per separare la vita privata da quella lavorativa, un po’ per lavorare su ordini di idee e necessità senza star lì a impazzire per trovare una determinata scheda aperta qualche tempo prima.

Quella funzione oggi si chiama Containers, è un’estensione, un componente aggiuntivo figlio della nuova epoca Quantum, che ti permette grosso modo di fare la stessa cosa che facevi due anni fa sul Firefox di vecchia generazione, e puoi installarla in qualsiasi momento da AMO.

Vite separate, un solo browser, nessun impedimento tecnico nell’apertura di più finestre dello stesso servizio con diverse coppie di credenziali (GMail, tanto per fare un esempio facile da capire), visitate come tu stessi arrivando da differenti sessioni (o profili aperti) ma che in realtà così non è, grazie all’isolamento dello spazio riservato da Firefox (website storage, nda), dei cookie e di tutto ciò che serve a quel sito web per fare il suo lavoro lato tuo PC, puoi provare a vederla come una rivisitazione avanzata della modalità di navigazione in incognito, senza però la limitazione dovuta alla singola finestra anonima per profilo di Firefox aperto.

Under the hood, it separates website storage into tab-specific Containers. Cookies downloaded by one Container are not available to other Containers ()

Il tutto è stato sperimentato, monitorato e costantemente migliorato nel corso di questi ultimi due anni, da chi -come me- ha scelto di affidarsi alle versioni Nightly di Firefox (quelle più instabili, nda), che integravano già nel 2016 questo esperimento poi approdato anche in Test Pilot (se ne parlava qui), con possibilità di gestione dei contenitori tramite pannello delle Preferenze del browser (about:preferences#containers).

Perché allora Facebook Container?

Perché Containers presa così di petto può confondere e in alcuni casi spaventare i meno esperti, che potrebbero non capire più come gestire i loro ambienti di lavoro.

Firefox: Facebook Container impedisce il tracciamento sul web

Facebook Container non necessita di configurazione, è già pronta per funzionare come nel più classico degli scenari Plug&Play, annunciata in un momento storico che migliore non si sarebbe potuto aspettare per fare da cassa di risonanza, Cambridge Analytica può solo insegnare (ammesso che là fuori altri come me e te abbiano capito più o meno bene cosa sia realmente successo e che conseguenze ci sono state nel momento zero, così come oggi e ancora in futuro). Facebook Container è stata presentata al grande pubblico del web lo scorso 27 marzo, descritta all’interno di un articolo comparso nel blog ufficiale di Mozilla (blog.mozilla.org/firefox/facebook-container-extension), il quale non manca di dettagliare di cosa si tratta pur non dovendo approfondire più di tanto (vista la facilità di fruizione di questa misura di sicurezza sviluppata da Mozilla).

Facebook Container
Facebook Container
Developer: Mozilla
Price: Free

Scopo del gioco messo in chiaro da subito: fermare il tracciamento che Facebook opera in giro per il web, lasciando che il Social Network possa funzionare esclusivamente nel suo orticello, che non vada a fare danni altrove e che ci lasci in pace quando non utilizzato. Per fare ciò è stata usata la base e il concetto fatto proprio da Containers, riadattato per l’occasione all’auto-riconoscimento del sito web creatura di Mark Zuckerberg, caricato in un’apposita sandbox oltre la quale non può ficcare il naso. In un solo colpo vivrai (e navigherai) qualsiasi altro sito web come se tu non fossi collegato a Facebook, come riportato da Mozilla stessa, la quale specifica quindi possibili malfunzionamenti legati all’isolamento:

If you use your Facebook credentials to create an account or log in using your Facebook credentials, it may not work properly and you may not be able to login. Also, because you’re logged into Facebook in the container tab, embedded Facebook comments and Like buttons in tabs outside the Facebook container tab will not work. This prevents Facebook from associating information about your activity on websites outside of Facebook to your Facebook identity. So it may look different than what you are used to seeing.

Una seccatura apparentemente molto pesante da sopportare, ma che protegge la tua privacy più di quanto tu possa pensare. Considera che, nel caso tu faccia clic su pulsanti di Like o Share via Facebook, questi funzioneranno aprendo nuovamente il container (quindi nessun problema di funzionamento, ma solo una scheda in più aperta quando necessario, immediatamente richiudibile al termine dell’operazione).

Sotto al cofano

When you install this extension it will delete your Facebook cookies and log you out of Facebook. The next time you visit Facebook it will open in a new blue-colored browser tab (aka “container tab”). In that tab you can login to Facebook and use it like you normally would. If you click on a non-Facebook link or navigate to a non-Facebook website in the URL bar, these pages will load outside of the container.

Una volta installata, Facebook Container cancellerà ogni cookie legato al Social Network, costringendoti a effettuare un nuovo login. Noterai che –visitando Facebook– ti si caricherà una scheda diversa rispetto alle altre, sottolineata di blu e con il logo da “Container” nella barra dell’URL (te li ho messi in rilievo nell’immagine di seguito):

Firefox: Facebook Container impedisce il tracciamento sul web 1

Ogni volta che farai clic su un collegamento che ti porterà fuori da Facebook, la scheda tornerà a comportarsi normalmente, vedrai sparire sottolineatura e richiamo nella barra dell’URL. Lo stesso succederà anche se riutilizzerai la scheda per navigare su un diverso sito, specificandolo manualmente nella barra dell’URL.

E dallo scorso 5 aprile …

… sono state annunciate alcune novità riguardanti il componente aggiuntivo, che ora mantiene attivo il container di isolamento anche nel caso in cui tu vada a visitare Instagram o Facebook Messenger, legati allo stesso cordone ombelicale del Social Network statunitense.

Firefox: Facebook Container impedisce il tracciamento sul web 2

Se come me stai ora pensando a WhatsApp, probabilmente la risposta è che questo non sembra raccogliere (allo stato attuale) informazioni che vengono poi utilizzate dal sito web principale di Facebook, ma potrebbe certamente entrare a far parte degli URL intercettati automaticamente di un futuro aggiornamento di Facebook Container: blog.mozilla.org/firefox/facebook-container-extension-now-includes-instagram-and-facebook-messenger.

In conclusione

Un compromesso che, una volta installato, dovrai in qualche maniera digerire. Questo potrebbe essere il giudizio finale per un componente aggiuntivo che per me finisce di diritto nei Must Have, perché non sempre ci si può nascondere dietro la frase fatta che “non si ha niente da nascondere“, la privacy è un diritto che devi poter esercitare e un dovere per chi ha quel grande potere e privilegio di poter maneggiare i nostri gusti, orientamenti, dati che possono essere facilmente rivenduti e sui quali costruire il proprio business, che non sempre combacia con i reali desideri dell’utente finale.

Io l’ho installato su ogni mia postazione e quasi ogni profilo (ne tengo alcuni esclusivamente per sperimentare, dove neanche mi collego a Facebook), i login sono stati separati dall’account Facebook già tempo fa (dovresti farlo anche tu, prima o poi ci scrivo un pezzo in merito), e dove i commenti sono veicolati in maniera forzata verso il Social Network, evito di dire la mia, che male non può certo fare :-)

Condividi l'articolo con i tuoi contatti:

Uno dei componenti aggiuntivi consigliati direttamente da AMO, che ho installato per puro caso perché avevo la necessità di trovare qualcosa che mi permettesse di avere a portata di clic un rimando al whois del sito web visitato. Country Flags & IP Whois è più di un semplice whois visivo e immediato, è una serie di collegamenti rapidi a più strumenti utili per chi necessita di verificare l’identità di un sito web che visita (non sai cos’è un whois?), su che server sta girando, da che IP di uscita e molto altro ancora.

Addons: Country Flags & IP Whois

Country Flags & IP Whois si mostra nella barra dell’URL di Firefox, prendendo le sembianze di una bandiera che corrisponde alla nazione che (in teoria) ospita il server all’interno del quale si trova il sito web visitato (quindi la bandiera cambierà –chiaramente– per ogni tab). Posizionando il puntatore del mouse sulla bandiera (senza fare clic), potrai immediatamente leggere le informazioni di base che riguardano il sito web. Facendo invece clic una volta con il tasto sinistro, verrai portato su dnslytics.com, che ti proporrà molte più informazioni.

Addons: Country Flags & IP Whois 1

Se però questo non corrisponde a ciò che cerchi, prova a fare clic con il tasto destro sulla bandiera corrispondente al sito web che vuoi analizzare meglio, ti si aprirà un mondo. Potrai, tra le decine di possibilità, accorciare l’URL utilizzando TinyURL, analizzare il dominio alla ricerca di minacce con VirusTotal, tradurlo tramite Google Translate, dare un’occhiata alle vecchie versioni dello stesso sito tramite Internet Archive, verificare la validità del certificato SSL, validarlo tramite strumenti del W3C e molto (ma molto) altro ancora.

Addons: Country Flags & IP Whois 2

È un fantastico coltellino svizzero da adottare con la formula “mai più senza” se nei tuoi interessi c’è quello di tenere d’occhio questo tipo di dati, anche se è più probabile che finisca nel “non per tutti” considerando che tanti potrebbero non essere assolutamente interessati a conoscere questo tipo di informazioni, soprattutto se poco avvezzi all’argomento. Se come me fai parte del primo gruppo di persone, puoi installare il componente aggiuntivo direttamente sul tuo Firefox partendo da questo badge:

Country Flags & IP Whois
Country Flags & IP Whois
Developer: Andy Portmen
Price: Free

Se la bandiera non dovesse mostrarsi subito dopo l’installazione, lancia un refresh di pagina con F5 o CTRL + R.

Buona navigazione! :-)


immagine di copertina: unsplash.com / author: Lee Campbell

Condividi l'articolo con i tuoi contatti: