Archives For Proxy

Uno di quegli articoli “bibbia” per il quale potrei andare avanti a scrivere per ore, ma che mi rendo conto di non poter stendere per evitare di stendere il lettore (sembra una frase scritta da Fedez, ti chiedo scusa, non lo faccio più). Te lo avevo anticipato facendolo trasparire nell’articolo di partenza dedicato a Raspberry Pi (Raspberry Pi: la base di partenza), ora è arrivato il momento di parlarne e di capire come tu puoi creare un server DNS casalingo in grado di proteggerti da siti web pericolosi (prima di tutto) e dalla pubblicità invasiva, con particolare attenzione al filtro che puoi ulteriormente applicare per la protezione della navigazione dei minori.

Pi-hole: installazione e prima configurazione

Pi-hole

Un gran bel progetto che richiede da parte tua il minimo sforzo (dipende molto da quello che cerchi e da quanto in “profondità” vuoi andare per sfruttarne le potenzialità), open source e di libero accesso, sostenuto dalle donazioni volontarie degli utilizzatori (che ti invito a valutare). Pi-hole si definisce come “A black hole for Internet advertisements“, un buco nero per tutta la pubblicità invasiva di Internet, un concetto certamente ben identificativo del progetto, ma che a mio parere risulta un po’ restrittivo rispetto a quello che un prodotto simile può davvero fare per l’utilizzatore finale.

Secondo una definizione certamente più tecnica disponibile sulla Wiki di archlinux, Pi-hole è un:

DNS sinkhole che redige una lista di blocco di domini conosciuti per offrire pubblicità e malware da sorgenti multiple di terze parti. Pi-hole, attraverso l’uso di dnsmasq, elimina semplicemente tutte le richieste di domini nella sua lista di blocco. Questa configurazione implementa efficacemente il blocco della pubblicità a livello di rete senza dover configurare ogni singolo client. Il pacchetto offre una interfaccia web e una a riga di comando.

Se sei abituato a utilizzare Adblock Plus o un qualsivoglia prodotto che svolge lo stesso compito sul tuo browser preferito hai certamente chiaro il concetto alla base: evito alla sorgente che le risorse vengano caricate in un solo colpo e per tutti i dispositivi connessi alla rete, perché Pi-hole mi permette di intercettarle e redirigerle in maniera differente rispetto ai DNS pubblici, ovvero troncando la comunicazione con quei domini che vengono utilizzati per veicolare pubblicità invasiva (e non solo). Il grande vantaggio del prodotto sta certamente nella centralizzazione delle tue operazioni e nella possibilità di scaricare un po’ di lavoro dalle spalle del browser che potrà così rinunciare a un componente aggiuntivo spesso esoso di risorse (dipende da quello che stai utilizzando, nda).

Installazione

Tutto chiaro? D’accordo. A questo punto passiamo al succo vero dell’articolo, installiamo Pi-hole sul tuo RPi (la soluzione certamente più comoda) o su un NAS ammesso che questo ti permetta di far girare Docker, o ancora su una macchina Linux che utilizzi già per fare altro all’interno della tua rete, trovi la lista di compatibilità del prodotto all’indirizzo docs.pi-hole.net/main/prerequesites/#supported-operating-systems.

Io baso il mio articolo su Raspberry Pi (RPi), ho creato una macchina virtuale sul mio Mac con Raspbian a bordo appositamente per catturare qualche screenshot per questo articolo (l’installazione di produzione l’ho fatta ormai circa un mese fa e ho semplicemente dimenticato di crearmi delle prove fotografiche 😅). Cominciamo.

Collegati in SSH al tuo RPi e lancia la stringa di installazione curl -sSL https://install.pi-hole.net | bash esattamente come riportato in home page del sito web di Pi-hole. Dopo un rapido check di sistema (serve capire se hai già tutto a bordo o se sarà necessario installare qualcosa) ti troverai davanti alle schermate di configurazione di Pi-hole:

Ti riporto qui la lista dei passaggi inseriti nella galleria di immagini sopra disponibile, integrando il tutto con ciò che nella galleria non c’è:

  • L’installazione comincia. Premi invio per continuare.
  • Arriverai alla schermata informativa riguardante l’IP da assegnare alla tua installazione Pi-hole: fai in modo che questo sia sempre lo stesso (statico o tramite reservation sul DHCP).
  • Comunica a Pi-Hole che DNS pubblici utilizzare per la risoluzione dei nomi a dominio (nel mio caso ho scelto Google, 8.8.8.8 e 8.8.4.4).
  • Specifica ora che liste di blocco vuoi cominciare a utilizzare. La barra spaziatrice serve per selezionare o deselezionare una voce. Spostati con le freccette nella schermata. Quando terminato, premi invio per confermare. Non preoccuparti di questa scelta, sarà sempre modificabile in un secondo momento.
  • Seleziona entrambi i protocolli di comunicazione (IPv4 e IPv6).
  • Conferma l’indirizzo IP della macchina (RPi) e del tuo router quando richiesto.
  • Quando richiesto, conferma di voler installare l’interfaccia web amministrativa. Servirà un’ulteriore conferma successiva alla richiesta di installazione di lighttpd. Lascia che le richieste (query) vengano loggate (0 – Show everything).
  • A questo punto ti basterà attendere che l’installazione proceda autonomamente fino al termine. Ti verrà mostrata una pagina riepilogativa contenente – tra le altre cose – la password di amministrazione del tuo nuovo Pi-hole.

Puoi ora collegarti alla console di Pi-hole utilizzando l’indirizzo che ti è stato riportato nella schermata riepilogativa, esempio http://192.168.1.10/admin. Salvo errori, ti troverai davanti alla console del software, dovrai quindi fare clic sulla voce Login (nella colonna di sinistra) e inserire la password che ti è stata precedentemente fornita, solo così potrai accedere alla gestione completa del tuo nuovo giocattolo.

Pi-hole: installazione e prima configurazione 11

Utilizzo

Ci siamo, fino a qui sei stato capace di installare Pi-hole sul tuo RPi, non ti resta che utilizzarlo e metterlo in pista per tutti i client della tua rete, prima però credo sia necessario un po’ di tuning e personalizzazione.

Cosa c’è da sapere? Beh, di certo fossi in te darei un’occhiata alle Impostazioni (Settings), all’interno delle quali troverai le informazioni sull’installazione (con possibilità di lanciare alcuni comandi rapidi, come il riavvio o lo spegnimento di sistema, o il blocco dell’attività di logging), le blacklist sottoscritte, i DNS pubblici utilizzati per la risoluzione dei nomi a dominio. Pi-hole può inoltre fare da server DHCP se lo preferisci, sostituendo così una delle funzioni che un router svolge in maniera predefinita. Seppur correttamente funzionante, preferisco che questo compito continui a svolgerlo il mio Fritz!Box e che lui faccia passare le richieste DNS dal mio RPi (così da sottostare al comando di Pi-hole).

Per concludere, troverai una schermata dedicata alla modifica della console e alle API che puoi utilizzare per integrare un differente softwae con Pi-hole, ma anche la sezione Privacy (per il livello / profondità di log da utilizzare) e il Teleporter, ovvero il modulo di Pi-hole che ti permette di esportare la tua configurazione e importarla su una differente installazione (che è grosso modo ciò che fai per portare a termine le operazioni di backup e restore di qualsivoglia tuo dato).

Cosa ho modificato?

Tralasciando le blacklist delle quali ti parlo tra poco, ho certamente ritoccato la parte relativa ai DNS, obbligando Pi-hole a interrogare Google utilizzando DNSSEC (ti ho parlato di questa tecnologia in un articolo relativo a Firefox: Firefox: DNS over HTTPS (di Cloudflare, ma non solo)):

Pi-hole: installazione e prima configurazione 1

In seguito ho ritoccato la parte relativa alla console, chiedendole di non mostrarmi alcuni domini bloccati nella totalità dei casi (indirizzi utilizzati per le pubblicità invasive delle applicazioni Android, quei banner che ti portano spesso ad abbonamenti mai richiesti, nda), ma questo è certamente un comportamento che farà comodo anche a te quando inizierai ad avere dello storico di navigazione tramite Pi-hole.

Le blocklist

È così che le chiama Pi-hole (SettingsBlocklists). Si tratta di blacklist composte da domini dei quali puoi quasi certamente fare a meno, sono quelli che generalmente propongono banner pubblicitari invasivi ma anche pericolosi script che possono danneggiare il tuo browser (Malware Domains). Dopo aver fatto piazza pulita di alcune liste che ho inizialmente utilizzato e studiato, sono arrivato ad avere una situazione della quale sono molto soddisfatto, che “limito” in qualche maniera grazie all’utilizzo della Whitelist di Pi-hole (e di questo ne parliamo presto perché c’è una novità in pentola, promesso).

L’attuale mia situazione vede in uso queste liste:

URL listaScopo
https://raw.githubusercontent.com/lightswitch05/hosts/master/ads-and-tracking.txtUna ricca lista in grado di bloccare domini che tracciano le attività di navigazione quotidiane, valida anche per tutto ciò che riguarda le applicazioni che caricano banner su Android e iOS. Un conto sono le pubblicità (che possiamo anche sopportare), un altro sono quei contenuti che portano ad abbonamenti non graditi e mai richiesti consapevolmente.
https://www.squidblacklist.org/downloads/dg-ads.aclStesso scopo della lista poco sopra, questa viene costantemente aggiornata da squidblacklist.org (non conosci Squid? Dai un'occhiata qui).
https://raw.githubusercontent.com/StevenBlack/hosts/master/hostsSteven Black raggruppa diverse Block List (Awdware, Malware, Fraud, Scam, Spam, Tracking e Cryptomining) cercando di eliminare tutti i falsi positivi e tenendo il suo lavoro costantemente aggiornato. Se dai un'occhiata al suo spazio GitHub troverai liste per filtrare anche altri tipi di siti web.
https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/hosts.txtSulla falsa riga di quanto faccio già con la NoCoin per Adblock Plus, questa lista è già pronta (e costantemente aggiornata) per essere digerita da Pi-Hole, permette di bloccare tutti i siti web che utilizzano script di mining che mettono in difficoltà le risorse del tuo PC.
https://mirror1.malwaredomains.com/files/justdomainsCome per la NoCoin di cui ti parlavo giusto qui sopra, anche la Harmful WebSites trova una sua versione di tipo host da poter dare in pasto a Pi-Hole. Blocca quindi i domini che sono veicolo di malware. Curata da malwaredomains.com.
https://www.squidblacklist.org/downloads/dg-malicious.aclBlocca i domini che sono veicolo di malware. Curata da squidblacklist.org.
https://zeustracker.abuse.ch/blocklist.php?download=domainblocklistLista di domini potenzialmente dannosi, che possono essere bloccati in tranquillità, nasce da un progetto molto ambizioso che fornisce diversi dati in merito ai tanti abusi presenti sulla rete. Curata da abuse.ch.
http://theantisocialengineer.com/AntiSocial_Blacklist_Community_V1.txtBlocca tutti quei domini che tentano di truffare il visitatore facendogli credere di essere in tutto e per tutto su siti reali, istituzionali, di una certa rilevanza, come per esempio quelli delle banche, di Microsoft, Google, ecc.
https://phishing.army/download/phishing_army_blocklist_extended.txtUna creatura di Andrea 'Drego' Draghetti data alla luce relativamente poco tempo fa. Il sito web ufficiale lo trovi all'indirizzo phishing.army, la lista viene aggiornata spesso e sempre verificata per evitare quanto più possibile errori e falsi positivi. Ti protegge da siti web che tentano di frodarti durante la navigazione. Ti consiglio personalmente la versione estesa, contenente anche i sottodomini.

(Se vuoi copiare e incollare facilmente tutti gli URL, fai riferimento a questa pagina: github.com/gioxx/ph-whitelist/blob/master/domains/blocklists.md).

Pi-hole: installazione e prima configurazione 12

Si va così a creare un recinto di protezione più per i siti web potenzialmente pericolosi che per la pubblicità in sé. Per quel mestiere sai bene che allo stato attuale continuo a utilizzare Adblock Plus e i moduli X Files, in un futuro chissà, potrei virare verso qualcosa “Pi-hole oriented“.

Liste predefinite e altri progetti

Se ti interessa verificare o recuperare in qualche maniera le liste proposte di default in fase di installazione di Pi-hole, trovi qui un riferimento ufficiale su GitHub: github.com/pi-hole/pi-hole/wiki/Customising-sources-for-ad-lists.

Noterai che oltre queste, su Internet esistono una quantità non meglio definita di progetti che vogliono in qualche maniera alimentare il già ricchissimo database di domini dai quali stare bene alla larga. Io cerco sempre di dare un’occhiata a liste e curatori per capire quante e quali di loro si può meglio occupare dell’aggiornamento delle regole del mio Pi-hole, per evitare spiacevoli inconvenienti durante la quotidiana navigazione dei client di casa e dei dispositivi accesi e connessi h24. C’è a tal proposito un progetto molto corposo al quale ho dato un’occhiata ma che allo stato attuale ho abbandonato a causa di liste non ben controllate: blocklist.site/app, una vera e propria vetrina che mette a disposizione liste per ogni necessità. Magari tu ne conosci altri che vuoi condividere (mi farebbe piacere), l’area commenti è a tua disposizione.

Aggiornamenti giornalieri

Alcune liste che ti ho suggerito nella tabella qui sopra vengono aggiornate quotidianamente. Per questo motivo ho personalmente deciso di modificare il comportamento di Pi-Hole chiedendogli di fare un aggiornamento completo delle sottoscrizioni ogni 24h. Il comportamento predefinito del software indica che questa azione viene compiuta una volta ogni settimana (vedi: discourse.pi-hole.net/t/updating-blocklist-every-day/16853).

Lo puoi vedere tu stesso da Terminale: more /etc/cron.d/pihole. Una riga simile a questa dovrebbe indicarti quando viene eseguito l’aggiornamento del modulo Gravity:

7 3 * * 7 root PATH="$PATH:/usr/local/bin/" pihole updateGravity >/var/log/pihole_updateGravity.log || cat /var/log/pihole_updateGravity.log

Se non sai interpretare la prima parte della stringa non preoccuparti, si tratta di una sequenza che riporta minuto-ora-arco del mese-mesi-giorno leggibile da Crontab. Vuoi capire meglio per cosa sta? Eccoti servito: crontab.guru/#7_3_*_*_7. Per eseguire un aggiornamento quotidiano ho modificato il file tramite comando sudo nano /etc/cron.d/pihole, commentando la riga sopra riportata (basta inserire il simbolo del cancelletto # a inizio riga) e riportando subito sotto questo:

7 3 * * 0-6 root PATH="$PATH:/usr/local/bin/" pihole updateGravity >/var/log/pihole_updateGravity.log || cat /var/log/pihole_updateGravity.log

Noti nulla di diverso? Esatto. L’ultima parte indica al Crontab di eseguire il lavoro dal giorno 0 al giorno 6, ovvero dalla domenica al sabato (crontab.guru/#7_3_*_*_0-6).

Salva la modifica con la combinazione CTRL + X da tastiera, seguita da S per indicare sì quando Nano chiederà se scrivere le modifiche sul file.

In conclusione

Difficile concludere quando in realtà c’è altro da dire, ma l’articolo è davvero diventato troppo lungo e pesante. Nella “prossima puntata” ti parlerò di Whitelist e della possibilità di automatizzare l’aggiornamento di quest’ultima anche se nativamente non previsto. La novità esiste già e sono certo che ti piacerà (se l’argomento Pi-hole ti ha interessato, chiaramente), dovrai solo pazientare una manciata di giorni ancora.

In generale c’è ancora molto da approfondire riguardo l’argomento RPi 🙂

Nel frattempo se hai qualsiasi dubbio o domanda in merito a quanto scritto, l’area commenti è a tua totale disposizione (anche senza registrazione a Disqus). Spero di aver stuzzicato la tua curiosità e che tu possa suggerirmi ulteriori fonti da consultare in merito al progetto.


Crediti:
Condividi l'articolo con i tuoi contatti:

E’ una di quelle cose che se non hai perdi più tempo di quello che dovrebbe servire per portare a termine una banale operazione. Parlo di tutte quelle volte che navigando su internet in una rete aziendale piuttosto che a casa (o in un diverso ufficio, nda) serve attivare o disattivare il proxy.

La condizione è semplice: se mi trovo nel mio ufficio collegato alla rete locale tramite cavo ho una reservation con NAT del mio indirizzo IP, non mi servirà quindi un proxy per navigare in internet, contrariamente invece all’essere in WiFi dove il proxy serve. Per questo volevo qualcosa di comodo e veloce che mi evitasse ogni volta di andare nelle impostazioni di rete di Firefox (senza mille altre impostazioni / profili / varie), l’ho trovato e si chiama Toggle Proxy: https://addons.mozilla.org/en-US/firefox/addon/toggle-proxy-51740/

Due possibilità “on/off” da poter impostare su un pulsante da posizionare dove si preferisce all’interno della finestra del browser (nel mio caso sulla barra dell’URL): per la prima ho scelto di utilizzare le impostazioni proxy del sistema operativo, per la seconda ovviamente di non usare alcun proxy.

Vi basterà fare clic sul pulsante per variare lo stato o ancora più semplicemente la combinazione da tastiera “ALT+X” per saltare da una all’altra.

Rapido e indolore ;-)

Condividi l'articolo con i tuoi contatti:

Un post tecnico a metà tra il promemoria e la divulgazione di un workaround, dedicato a chi utilizza Dropbox e lavora nelle reti che usano proxy con autenticazione NTLM. La risoluzione di un problema dovuto ad una momentanea mancanza del noto applicativo di sincronizzazione / backup dei propri dati personali tra le postazioni possedute e il server centrale che conserva le copie per il versioning.

In sintesi, di cosa si tratta:

Windows Challenge/Response (NTLM) is the authentication protocol used on networks that include systems running the Windows operating system and on stand-alone systems.

The Microsoft Kerberos security package adds greater security than NTLM to systems on a network. Although Microsoft Kerberos is the protocol of choice, NTLM is still supported. NTLM must also be used for logon authentication on stand-alone systems. For more information about Kerberos, see Microsoft Kerberos.

NTLM credentials are based on data obtained during the interactive logon process and consist of a domain name, a user name, and a one-way hash of the user’s password. NTLM uses an encrypted challenge/response protocol to authenticate a user without sending the user’s password over the wire. Instead, the system requesting authentication must perform a calculation that proves it has access to the secured NTLM credentials.

Interactive NTLM authentication over a network typically involves two systems: a client system, where the user is requesting authentication, and a domain controller, where information related to the user’s password is kept. Noninteractive authentication, which may be required to permit an already logged-on user to access a resource such as a server application, typically involves three systems: a client, a server, and a domain controller that does the authentication calculations on behalf of the server.

msdn.microsoft.com/en-us/library/aa378749%28VS.85%29.aspx

Per capirci: l’autenticazione NTLM è alla base degli appliance Sophos (serie WS), evidentemente non troppo permissiva per coloro che vogliono utilizzare Dropbox e possono accedere alla rete internet solo attraverso le proprie credenziali di dominio.

Oltre ad attendere che il team di sviluppo faccia lo sporco lavoro di rendere compatibile il protocollo con il passaggio delle credenziali impostate manualmente nelle preferenze (tanto per azzardare un’ipotesi) esiste un workaround dichiarato anche nelle FAQ pubblicate nel sito ufficiale del prodotto:

dropbox.com/help/22

La parola magica è “Cntlm” e permette di far combaciare le richieste dell’applicativo e dell’autenticazione NTLM mettendosi in mezzo tra i due (come a creare un nuovo proxy da far sfruttare a Dropbox). Configurarlo e utilizzarlo è semplicissimo, scaricarlo è completamente gratuito, il progetto risiede su SourceForge:

cntlm.sourceforge.net

Potete scaricare l’applicativo per Windows, Linux o MacOS. Io baserò il mio documento sul primo sistema (quello che uso sul portatile aziendale). Basterà scaricare CNTLM cliccando qui (qui per tutti gli altri sistemi), scompattarlo in una qualsiasi cartella del vostro HD e avviare il file “setup.bat“. Questo copierà alcuni file nel sistema e creerà il servizio “Cntlm Authentication Proxy“, che sarà visibile semplicemente aprendo la finestra dei servizi della macchina (Start / Esegui / services.msc), come in figura:

Cntlm Authentication Proxy - Services.msc

Prima di poter avviare il servizio sarà però necessario configurare le proprie credenziali in un file INI contenuto nella cartella del programma. Lo trovate in C:\Programmi\Cntlm, file cntlm.ini. Basterà inserire lo username, la password ed il dominio, specificare l’indirizzo IP (o il nome) del proxy aziendale, scegliere una porta del sistema locale dove far puntare poi Dropbox e salvare. Uscire quindi dal file per concludere l’operazione:

CNTLM - Configurazione parametri utenza sul proxy

Fatto ciò si potrà avviare CNTLM per poter lavorare con Dropbox. Basterà aprire un prompt di MS-DOS e lanciare la stringa “net start cntlm“, come in figura:

CNTLM - Avviare il servizio - net start cntlm

Fatto questo basterà far passare la comunicazione Dropbox (client / server) dal PC locale che sarà utilizzato come proxy. Andare nelle impostazioni del client (tasto destro sull’icona nella tray, Preferences) ed inserire manualmente le informazioni, come in figura (occhio alla porta se l’avete modificata nel file di configurazione di CNTLM):

Dropbox - Configurazione tramite CNTLM

Così facendo spunterà fuori l’icona attività di Dropbox e i vostri documenti ricominceranno a sincronizzarsi con il server e con le altre postazioni che sfruttano lo stesso account! Va da se che per poter bloccare il servizio basterà lanciare la stringa “net stop cntlm“, sempre utilizzando il prompt dei comandi:

CNTLM - Fermare il servizio - net stop cntlm

Mi pare non manchi proprio nulla a questo punto. Per dubbi e perplessità –come sempre– c’è l’area commenti.

Buon lavoro! :-)

Condividi l'articolo con i tuoi contatti:

Ufficio, il vostro PC portatile costantemente sballottato tra svariate reti differenti (clienti, casa, amici) smette di aggiornarsi tramite Microsoft Update in modo automatico (proprio come avete impostato da Pannello di Controllo), tutto però funziona se si punta Internet Explorer verso il sito web degli aggiornamenti (update.microsoft.com). Volete una spiegazione razionale di tutto questo?

Con buona probabilità c’è un server proxy di mezzo che –se non correttamente riconosciuto dal sistema– può creare scompigli e bloccare gli aggiornamenti automatici di Windows. Lo stesso vale in forma contraria ovviamente: se avete precedentemente avuto la necessità di lavorare dietro proxy e tornare per poi tornare a casa vostra dove sfruttate una connessione diretta alla rete, il risultato potrebbe essere il medesimo.

Generalmente l’errore viene riportato nel Visualizzatore Eventi di sistema, il messaggio potrebbe essere simile al seguente:

Tipo evento:    Errore
Origine evento:    Windows Update Agent
Categoria evento:    Sincronizzazione software
ID evento:    16
Data:        10/03/2010
Ora:        10.14.39
Utente:        N/D
Computer:    URANUS
Descrizione:
Impossibile stabilire la connessione. Impossibile connettersi al servizio Aggiornamenti automatici e quindi scaricare e installare gli aggiornamenti in base alla pianificazione impostata. Verranno effettuati altri tentativi di stabilire una connessione.

Risolvere questo problema richiede due semplici passaggi.

Prima di procedere bisogna capire se allo stato attuale il sistema operativo pensa (o meno) e cerca di sfruttare un server proxy. Si può effettuare un primo controllo da Pannello di Controllo, Opzioni Internet, scheda Connessioni, pulsante Impostazioni LAN, come in figura:

Connessione ad internet tramite server proxy

Se ciò che compare nel box è valido, occorrerà fare un ulteriore passaggio per essere sicuri che il sistema si stia basando su ciò che gli abbiamo indicato in quel box. Da Start, Esegui, digitare cmd e premere invio, quindi lanciare la stringa proxycfg, come in figura:

CMD-proxycfg: nessun proxy riconosciuto dal sistema

# far riconoscere il proxy

Ciò che vedete era la condizione del mio sistema fino a qualche minuto fa. Nonostante l’indicazione (corretta) di un server proxy nell’apposito box in Opzioni Internet, Windows non ha salvato quei dati all’interno del registro, motivo per il quale Windows Update non funzionava correttamente. Talvolta (molto più raramente) capita che anche altri software (Skype, Last.fm, per citarne un paio) si basino sullo stesso dato per potersi connettere all’esterno.

A questo punto basterà indicare un semplice parametro dopo il comando proxycfg per far ereditare le giuste informazioni al registro: proxycfg -u (come in figura):

CMD-proxycfg: impostare il proxy corretto anche nel registro di sistema

Dopo qualche minuto noterete lo scudo del Windows Update comparire nella tray di sistema, basterà cliccarci sopra per poter procedere con l’installazione degli aggiornamenti :-)

# eliminare il proxy

Come detto due paragrafi fa, il tutto potrebbe capitare anche in maniera inversa. Tornati a casa probabilmente sfrutterete una connessione diretta ad internet, motivo per il quale non c’è bisogno di mantenere le informazioni del proxy all’interno del registro di sistema. Per poterle rimuovere basterà semplicemente lanciare dalla finestra di dos il comando proxycfg -d (come in figura):

CMD-proxycfg: rimuovere le informazioni relative al proxy dal registro di sistema

A questo punto il risultato dovrebbe essere sempre lo stesso: la capacità di tornare a fare aggiornamenti automatici senza muovere un dito :-)

Nel caso in cui riscontrare problemi potete lasciare un commento.

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

Lavoro quotidianamente dietro un server Proxy. La mia azienda utilizza Squid su una macchina Linux che tutto sommato svolge egregiamente il suo lavoro.

Non ho mai avuto alcun problema navigando con Firefox (o qualsiasi altro browser) ma –poco tempo fa– ho dato una occhiata a delle lamentele sul forum di Mozilla Italia riguardo una richiesta di credenziali parecchio insistente per coloro che utilizzano il software Mozilla dietro server proxy:

forum.mozillaitalia.org/index.php?topic=43294

Apparentemente un bug (come confermato da Mak), fastidioso aggiungerei, soprattutto calcolando che l’ho potuto riscontrare anche io presso gli uffici di un mio cliente che non utilizza la stessa accoppiata per concedere la navigazione ai suoi utenti.

C’è però un metodo semplice per bloccarlo fino alla sua risoluzione, basta andare a ritoccare due valori nella configurazione di Firefox. Come al solito, includo il disclaimer, male non fa:

ATTENZIONE: Prima di eseguire qualsiasi modifica ai vostri file e/o dispositivi siete pregati di effettuare un backup di questi. Solo così sarete capaci di tornare indietro riparando ad eventuali errori di distrazione. L’articolo e l’autore non possono essere ritenuti responsabili di alcun danno subito dalla vostra strumentazione. Buon lavoro.
  • Nella barra dell’URL richiamare about:config
  • Nel campo filtro inserire NTLM e attendere che venga effettuata la ricerca
  • Impostare su false la variabile network.automatic-ntlm-auth.allow-proxies
  • Nel campo filtro inserire ora NEGOTIATE per cominciare una nuova ricerca
  • Impostare su false la variabile network.negotiate-auth.allow-proxies
  • Riavviare il browser, specificare giusto stavolta le credenziali che vengono richieste a video

Così facendo non dovrebbe più comparire alcuna richiesta di credenziali per tutta la durata della sessione. Chiaro che alla successiva riapertura del browser comparirà la richiesta, anch’essa dovrebbe essere unica per tutta la navigazione :)

Specifico che questo bug dovrebbe essere risolto con l’arrivo di Firefox 3.6.1. Ricordate quindi di andare a resettare il valore delle chiavi modificate (riportando il tutto a true) quando aggiornerete il vostro browser.

Buon lavoro.

Aggiornamento 21/05/2012
Grazie ad una nuova discussione nata sul forum qualche giorno fa (forum.mozillaitalia.org/index.php?topic=55055.0) abbiamo scoperto una estensione ancora sperimentale che permette di rimuovere completamente la richiesta di accesso auto-compilando username e password a video. Date un’occhiata alla pagina del componente su AMO e installatela se desiderate saltare il passaggio di autenticazione iniziale come l’utente che ha lamentato il problema:  https://addons.mozilla.org/it/firefox/addon/proxy-authentication
Condividi l'articolo con i tuoi contatti: