Archives For Open Source

Non è una novità, se ne parla già da tempo e credo che lo “scandalo” (se così lo si può definire) legato alla baia dei pirati (ne parlava Diletta su Wired il 20 settembre scorso) sia stato solo la punta dell’iceberg, che abbia in qualche maniera sdoganato una pratica sempre più crescente, adottata ogni giorno da siti web che tendenzialmente potrebbero essere raccolti sotto il tetto unico della pirateria informatica e la violazione dei diritti d’autore. Ne parla Hardware Upgrade in maniera più approfondita ma comunque accessibile per tutti. Io oggi voglio parlarti di NoCoin, ma parto da “un po’ più lontano“, dal perché dovresti difenderti dal mining delle criptovalute via browser.

ABP X Files: ti presento NoCoin, l'ultimo arrivato in famiglia!

Cosa sta succedendo

Se ti parlo di Coinhive probabilmente non capirai di cosa sto blaterando, ma in realtà te l’ho già parzialmente introdotto nel cappello di questo articolo, è lui il protagonista dell’esperimento e relativa “sommossa popolare” legata a Pirate Bay, poiché propone un diverso modo di recuperare le spese di sostentamento di un sito web (ma non solo), inserendo javascript che possono minare criptovalute sfruttando il browser (ma non solo, ribadisco). Il tutto ha avuto inizio nel settembre del 2017 (intorno alla metà del mese), come riportato in un ottimo articolo di BleepingComputer (bleepingcomputer.com/news/security/coinhive-is-rapidly-becoming-a-favorite-tool-among-malware-devs):

Coinhive is quickly becoming the talk of the Internet, going from an innovative tool that lets you mine Monero with your browser, to a technology abused by hoards of malware authors.
Coinhive, as a tool, is a JavaScript library that website owners can load on their site. When users access the site, the Coinhive JavaScript code library executes and mines for Monero for the site owner, but using the user’s CPU resources.
Original idea! We’ll give it that. Coinhive launched on September 14, and its authors advertise it as an alternative to classic advertising.
Coinhive claims that webmasters can remove ads from their sites, and load the Coinhive library and mine for Monero using a small portion of the user’s CPU while the user is navigating the site. Site owners can make money and support their business, but without peppering their visitors with annoying ads.

Dato che di notizie riguardanti malware e falle enormi ne abbiamo già ricevute abbastanza nel corso dell’anno passato e anche in concomitanza con l’inizio di questo 2018 (Meltdown e Spectre ormai sono due nomi sulla bocca di tutti, o quasi), direi che forse possiamo fare un pelo più di attenzione a questi siti web che ormai proliferano incontrollati (anche se alimentati grosso modo dagli stessi player), prendendo contromisure che possano tutelare i browser utilizzati e le CPU dei nostri PC.

In attesa che Mozilla, Google e soci lavorino proponendo una soluzione possibilmente definitiva (dai un’occhiata a questo ormai chilometrico thread riguardante Chrome), tu puoi già fare qualcosa.

Come proteggersi

In alcuni casi, prodotti di sicurezza di terze parti (un caso abbastanza importante è quello di Malwarebytes) sono già pronti a reagire alla novità, proponendosi come scudo tra il browser e quei siti web che provano a fare ciò che non è stato preventivamente approvato dall’utente, ma non tutti possono dirsi alla pari e allo stesso livello.

Ancora una volta Adblock Plus e soci possono darci una grande mano, e di questo te ne parlo nello specifico nel successivo paragrafo dedicato a liste ben specifiche. Se vuoi utilizzare qualcosa di creato ad-hoc e disponibile su più browser, posso suggerirti “No Coin“. Si tratta di un progetto open source pubblicato su GitHub, lo trovi all’indirizzo github.com/keraf/NoCoin, il quale ha dato origine all’estensione attualmente disponibile per Firefox (WebExtension, perfettamente compatibile con Quantum), Chrome e Opera:

No Coin
No Coin
Price: Free
No Coin - Block miners on the web!
No Coin - Block miners on the web!
Developer: Keraf
Price: Free
No Coin
No Coin
Developer: keraf
Price: Free

Il funzionamento è parecchio banale ma efficace. Come per un adblocker, No Coin sfrutta una blacklist (aggiornata) che permette al componente aggiuntivo di avvisarti nel caso in cui il sito web visitato stia facendo uso di un miner di criptovaluta, così che tu possa bloccare l’esecuzione del codice arbitrario o decidere di tenerlo in una whitelist (magari ti fa piacere partecipare al mining, ognuno fa ciò che vuole con il proprio hardware).

Allo stato attuale No Coin non è disponibile per i browser di casa Microsoft (Internet Explorer / Edge) e neanche per Safari (Apple). Per questo motivo, ho pensato di riutilizzare quanto fatto da Keraf per dare origine a “NoCoin“.

Hello, I’m NoCoin!

ABP X Files: NoCoinAdblock Plus (ma anche gli equivalenti) sono disponibili ormai per ogni browser, per questo motivo ho verificato i limiti di licenza dettati per il progetto “No Coin e ho lavorato a una modifica dello script VBS che genera la lista HWS (te ne parlavo qui), per catturare la blacklist di Keraf e trasformarla in un modulo di X Files, un’ulteriore sottoscrizione che puoi utilizzare gratuitamente sul tuo PC, la “NoCoin List“.

NoCoin si basa su una logica simile a quella HWS, per questo motivo impedisce il caricamento di qualsiasi file facente parte dei domini che vengono utilizzati per distribuire javascript (e affini) di mining di criptovaluta, quando caricati come “terza parte” (cioè utilizzati da altri siti web puliti). Ho volutamente scelto di non integrare quei domini in HWS perché si tratta di due scopi ben differenti, e chiunque può aggiungere un’ulteriore sottoscrizione al proprio Adblock Plus (o altro componente aggiuntivo), poiché costa poca fatica.

Con l’occasione, ho dato una svecchiata ai contenuti della home page di progetto, includendo il nuovo blocco per la lista attualmente in fase Beta:

Ti presento NoCoin, l'ultimo arrivato nella famiglia ABP X Files

Ora tocca a te. Scegli come proteggere ulteriormente la tua navigazione, ma fallo quanto prima, per evitare spiacevoli inconvenienti. Nel caso in cui tu non voglia utilizzare il nuovo modulo NoCoin, tu suggerisco di dare un’occhiata a un progetto alternativo anch’esso presente su GitHub e già ben nutrito, curato da Hosh.

L’area commenti qui di seguito è –come sempre– a disposizione per ulteriori informazioni o chiarimenti in merito all’argomento trattato e alle novità introdotte. Per aprire una richiesta di supporto riguardante NoCoin ti rimando invece a uno dei possibili metodi riportati nel sito web ufficiale (ti consiglio comunque GitHub).


Immagine di copertina: techporn.ph

Condividi l'articolo con i tuoi contatti:

Abbiamo già trattato l’argomento, ci torno sopra perché –dopo gli ultimi aggiornamenti del software di Manage Engine– l’aspetto di ServiceDesk è decisamente cambiato (in meglio) e mi ha fatto nascere una nuova esigenza, in realtà nell’aria già da tempo. Si tratta della possibilità di fare un refresh manuale della pagina.

Nulla di particolare sotto al sole, sia chiaro, giusto un’aggiunta che può tornare utile avere a portata di clic oltre che di tastiera (in quel caso basta un F5). Ho scelto di inserire il nuovo pulsante subito prima del “Close“.

ServiceDesk: una toolbar personalizzata sempre in vista 1

Per lanciare un aggiornamento della pagina ho utilizzato un semplice window.location.reload(), che si integra quindi nel codice di un nuovo pulsante. Per poter far stare tutto su una sola riga, ho aumentato le dimensioni (larghezza) della toolbar, portando il valore a 310 pixel. Nello specifico, questo è il codice del nuovo pulsante:

// REFRESH
'<input type="button" title="Refresh" class="formStylebutton" style="width:auto;height:18" onclick="window.location.reload()" value="Refresh" name="refreshButton"> ' +

Ho rilasciato perciò una nuova versione del CustomScripts.js, disponibile come sempre su Gist, te la propongo qui di seguito per comodità:

Ne approfitto per ricordarti che lo script dovrà essere inserito in [TUOSERVERSDP]\ServiceDesk\custom\scripts, e che forzando un aggiornamento della pagina (del tuo HelpDesk) dovresti notare subito la novità, senza la necessità di riavviare il software.

Per commenti, nuove idee o suggerimenti riguardo possibili miglioramenti del codice attualmente proposto, l’area commenti è a tua totale disposizione!

G

Condividi l'articolo con i tuoi contatti:

Oggi si torna a parlare di ServiceDesk e di un piccolo particolare che non apprezzo particolarmente nelle sue ultime versioni: la toolbar bassa che propone i comandi rapidi per lavorare sui ticket compare esclusivamente se gli stessi superano un certo numero, costringendo il tecnico a uno scroll verso il basso, parlo di questa:

ServiceDesk: una toolbar personalizzata sempre in vista

Ho provato a chiedere lumi al forum della Community, per capire se ci fosse la possibilità di ritoccare qualcosa nella configurazione del software, e permettermi di tenere quella toolbar sempre visibile. Ho ricevuto un due di picche e nello stesso momento un suggerimento davvero ottimo: forums.manageengine.com/topic/show-bottom-toolbar, cito di seguito

Create your own toolbar.
Check:  http://sdpadmins.pl/49/dodajemy-cos-od-siebie-do-sdp-customscripts/#more-49

Te la facilito (il sito web è in polacco e ho usato un Google Translate per fare il lavoro sporco): qualcuno in ManageEngine ha ben pensato di includere la possibilità di richiamare uno script personalizzato (JS) per iniettare live alcune modifiche all’interfaccia principale, secondo necessità degli utilizzatori del prodotto. Cosa vuol dire? Vuol dire che con qualche riga di codice è stato possibile ottenere comunque il risultato sperato, nonostante non sia quello previsto da fabbrica. Ho creato una toolbar personalizzata e con posizione fixed in base alle indicazioni dell’utente che mi ha indicato la retta via.

Un piccolo telecomando di collegamenti rapidi posto in basso a destra nella schermata di ServiceDesk Plus ti permetterà di richiamare le funzioni più utili dello stesso, senza la necessità di avere 50 ticket nella stessa schermata, evitando così i molteplici movimenti e clic di mouse per arrivare allo stesso risultato tramite i pulsanti originali del software. Ho caricato il risultato funzionante su Gist:

Lo script è in grado di riconoscere l’URL attuale e far comparire la barra esclusivamente durante la visualizzazione dei ticket (quella tabellare, WOListView.do), la ricerca (SeachN.do) e la vista tabellare in seguito a chiusura di un ticket (CompleteRequest.do), il tutto sfruttando un semplice array che dietro un ciclo for verificherà ogni volta il contenuto dell’URL visitato nel momento dell’esecuzione dello script.

Un tocco di abbellimento (si fa quel che si può) via CSS, poi una serie di funzioni secondo me fondamentali, riproducendo esattamente ciò che fanno i pulsanti della toolbar proposta da fabbrica: Pick Up del ticket, Merge, Delete e Close. Ho incluso anche l’Edit ma l’ho tenuto commentato, non è il tipo di edit che mi interessa (richiama quello multiplo, non quello del ticket specifico) e probabilmente lo modificherò in futuro, non necessario esclusivamente perché viene già proposto un pulsante di Edit in corrispondenza di ogni singolo ticket riportato in visualizzazione tabellare.

Per poter funzionare, questo codice andrà salvato in un file nominato CustomScripts.js, che dovrà trovarsi nella cartella [TUOSERVERSDP]\ServiceDesk\custom\scripts. Non è necessario riavviare il servizio relativo a ServiceDesk Plus, ti basterà fare un aggiornamento forzato della pagina web visitata in quel momento (CTRL+R o Shift + F5, in base al browser utilizzato).

Come ogni cosa da me realizzata o ritoccata, non è certo priva di errori e può essere sicuramente migliorata. Se hai proposte o critiche, l’area commenti è a tua totale disposizione.

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

Lo scorso 27 luglio Mozilla ha pubblicato una notizia sul blog “IT & Operations” riguardo il trasferimento di tutti i dati pubblici da FTP (ftp.mozilla.org) al cloud AWS di Amazon:

As promised, the FTP Migration team is following up from the 7/20 Monday Project Meeting where Sean Rich talked about a project that is underway to make our Product Delivery System better.

As a part of this project, we are migrating content out of our data centers to AWS. In addition to storage locations changing, namespaces will change and the FTP protocol for this system will be deprecated.

blog.mozilla.org/it/2015/07/27/product-delivery-migration-what-is-changing-when-its-changing-and-the-impacts (il post è stato poi aggiornato nel tempo).

MozillaBanner

Per questo motivo tutti i vecchi segnalibri o altri riferimenti che puntavano al protocollo FTP (ftp://ftp.mozilla.org) hanno smesso di funzionare, così come il software scritto ormai anni fa da me e Sandro che permette a chiunque di pacchettizzare la versione desiderata di Firefox, Thunderbird e Seamonkey, Release2Zip. Ho provveduto così a correggere alcuni errori nei batch (e nei file di configurazione dei singoli prodotti) e modificare i puntamenti per permettere a tutti di continuare a utilizzare il software passando dall’URL che continua (e continuerà in futuro) invece a funzionare benissimo (http://ftp.mozilla.org).

Il resto è rimasto identico ed invariato. Ci sono ancora problemi nel riconoscimento di alcuni canali e vi toccherà specificare la versione del prodotto Mozilla da scaricare (via riga di comando) ma i batch fanno il loro mestiere consegnandovi il file ZIP pronto per essere spostato e utilizzato su qualsiasi chiave USB (o SD o altro tipo di memoria, dove potrete ovviamente salvare anche il profilo), togliendo di mezzo ciò che non è necessario per il funzionamento di Firefox, Thunderbird o Seamonkey. Anche l’URL per il download non è cambiato, trovate Release2Zip-20150817 su noads.it/r2z/latest.

Chiaramente tutti i file coinvolti sono stati aggiornati anche su GitHub, così da permettervi di visualizzarli se siete curiosi: github.com/gioxx/r2z.

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

Sia chiaro, di software che promettono di re-inventare la gestione e la fruizione della posta elettronica portandola a “livelli mai visti prima” ce ne sono decine, che poi mantengano le promesse è tutt’altra cosa. Siamo abituati a conoscere le tante soluzioni libere già pronte all’uso sul web, primo tra tanti GMail o quell’Outlook.com che è andato a prendere il trono precedentemente occupato da Hotmail / Live per tanti anni. E se vi dicessi che gestire la posta elettronica per piccole organizzazioni o per il proprio uso privato (magari per il dominio “di famiglia”) può essere fatto “in casa” ed un prodotto open-source con alle spalle un player enorme come VMWare?

Si chiama Zimbra, è pensato per le aziende ma anche per gli utenti finali che non vogliono o non possono investire denaro in soluzioni complesse per usufruire dei servizi più comuni ai quali si è ormai abituati (posta elettronica, calendario, messaggistica istantanea, ecc.). Nella sua versione “Collaboration Suite” completamente open-source e liberamente scaricabile troverete i pacchetti necessari all’installazione lato server e client, quest’ultimo è una serie di file che creeranno un ambiente accessibile via browser molto ben realizzato, intuitivo e completo, come mostrato nel video ufficiale:

Oltre a questa è disponibile la versione “Community” completamente gratuita e costantemente supportata dall’ampio bacino d’utenza (sistemistica e non) che quotidianamente ha a che fare con questo progetto e il prodotto finale. Sia chiaro: spiegarvi l’installazione e l’utilizzo di Zimbra in un solo articolo è pressoché impossibile, anche perché i dettagli da non farsi sfuggire sono ovviamente molti ma tutti affrontabili grazie alla ricca documentazione messa a disposizione in via ufficiale. Ciò che voglio fare è mettervi curiosità, magari potreste approfondire, informarvi, chiedere maggiori informazioni ad utilizzatori che già si appoggiano a questo ottimo prodotto o provarlo voi stessi tramite la demo pubblicamente accessibile (con qualche dato richiesto) all’indirizzo zimbra.com/products/hosted_demo.php.

Ho scelto di parlarvene perché sarebbe potuta essere una delle soluzioni scelte in ufficio per tenere in piedi alcune caselle di posta elettronica per un limitato bacino di utenza (in coppia con IBM Domino), è stata scartata solo in favore del progetto Office 365 del quale vi sto parlando in questo periodo e che sta praticamente monopolizzando le ore lavorative (e oltre). E’ davvero uno di quei prodotti che non ci si aspetta e che può dare parecchie soddisfazioni con un po’ di sudore durante il setup ma ben poca manutenzione in seguito, senza considerare che tutti coloro che lo utilizzano già e mettono a disposizione della community la propria esperienza costituiscono un tassello fondamentale del successo di questo software.

E voi, a cosa vi siete affidati per gestire al meglio le vostre comunicazioni? :-)

Condividi l'articolo con i tuoi contatti: