Archives For Security

Una domanda apparentemente complessa che merita una risposta semplice, per cercare di incontrare quanto più pubblico alle prime armi possibile. Ho risposto in separata sede, mi piace però condividere pubblicamente quella che secondo me può essere una buona scaletta per far muovere i primi passi al tuo nuovo sito web basato su WordPress (a prescindere che si tratti di blog personale o altro tipo di idea). Ti invito a dire la tua nell’area commenti, inserendo nuovi punti esclusi dalla mia personale lista, ma evidentemente non per questo non meritevoli di menzione. Cominciamo?

WordPress: ShortPixel Image Optimizer 8

#1: Creare un account amministrativo diverso

In realtà di questo argomento ne abbiamo già parlato, forse lo ricorderai. Mi cito copiando e incollando un passaggio fondamentale di questo diverso articolo:

Ciò che intendo è, per esempio, non utilizzare l’account amministrativo di default (che va quanto prima degradato a semplice utente, se non addirittura eliminato), in favore di un nuovo account da te appositamente realizzato, amministrativo, con username non facilmente indovinabile e con una password complessa (parleremo anche di password robuste quanto prima, ma ti porto a questa vignetta, che tanto spiega in merito). Non utilizzare la stessa password che hai già usato in passato per altri servizi. Fatti aiutare da un buon password manager se ti serve.

Il consiglio rimane lo stesso identico: elimina quanto prima l’account “admin” creato automaticamente da WordPress, non prima di averne creato uno diverso con gli stessi poteri, il quale dovrà avere username differente, più complesso, così come la password, che dovrà inoltre essere dedicata e non condivisa con altri servizi che sfrutti su internet. Posso comprendere che questa sia per te una scocciatura, ma ringrazierai quel giorno in cui qualcuno scoprirà (per errore altrui) qualche tua coppia di credenziali (ne parlo nell’articolo Firefox Monitor ti avvisa in caso di furto credenziali) e le userà anche per appropriarsi del tuo sito web.

Fondamentale e oggi ormai dato per scontato è il doppio passaggio di autenticazione. In passato ti ho parlato di Authy, ho poi virato verso un diverso metodo di verifica autenticazione, te ne ho parlato nell’articolo WordPress: migrazione da Authy OneTouch a Duo.

#2: Creare gli account aggiuntivi per editor e collaboratori

Che, a voler essere puntigliosi, potrebbero bastare anche alla tua quotidianità. Le operazioni da eseguire tramite l’account amministrativo sono relativamente poche se hai ormai configurato al meglio il tuo sito WordPress, per questo motivo potresti pensare di creare per te un account “Editor” in grado di scrivere, modificare o cancellare qualsivoglia contenuto pubblicato (o in attesa di pubblicazione), lasciando all’amministratore il compito della manutenzione del software, l’installazione di qualche plugin e poco più. Occhio a ciò che permetti ai tuoi collaboratori, i ruoli di WordPress sono pochi e ben spiegati nel documento Roles and Capabilities sul Codex.

Per aggiungerne di nuovi, io ho utilizzato (e utilizzo tutt’oggi) il plugin Members, fantastico per poter creare nuovi ruoli e modificarne i permessi scendendo molto nel dettaglio (puoi permettere o negare singole azioni, la granularità è davvero ottima):

Members
Members
Developer: Justin Tadlock
Price: Free

#3: Occhio al fuso orario

Sembra una banalità ma non lo è, il fuso orario di WordPress (Timezone nelle installazioni in inglese, come la mia) è fondamentale quando programmi la pubblicazione di un articolo, non vorrai mica rischiare di tirare fuori dei pezzi a orari tutt’altro che in accordo con la tua linea editoriale, vero? :-)

SettingsGeneral (Impostazioni → Generali in italiano) nella tua dashboard amministrativa, quindi seleziona Roma (immagino) nel menu a tendina in corrispondenza del fuso orario:

WordPress: muovere i primi passi post-installazione 1

#4: Permetti la Visibilità ai motori di ricerca

Altro parametro che può passare inosservato ma che è fondamentale se vuoi iniziare a macinare qualche visita oltre quelle che sei solito fare tu per amministrare il sito web o scrivere e pubblicare contenuti. All’interno delle Impostazioni di lettura troverai un’opzione relativa alla Visibilità ai motori di ricerca, ciò che permette a Google e soci di indicizzare i tuoi contenuti e renderli fruibili da chi lancia query tramite i siti web più utilizzati al mondo (i motori di ricerca, per l’appunto).

WordPress: muovere i primi passi post-installazione 2

Assicurati che questa non sia impostata per scoraggiare tale comportamento, configurazione che solitamente si usa durante la preparazione del sito web, che va assolutamente modificata quando questo andrà in produzione e farà il suo debutto sul web.

#5: Configura una corretta struttura Permalink

In breve: Un permalink o collegamento permanente è un tipo di URL che si riferisce ad una specifica informazione, implementato in modo da non cambiare o almeno da rimanere lo stesso per lunghi periodi di tempo. Il termine è spesso impiegato nell’ambito dei blog per indicare il link ad un determinato post.

Continua su it.wikipedia.org/wiki/Permalink

È ciò che condurrà il lettore al tuo articolo negli anni, a prescindere da ciò che succederà, dando stabilità ai risultati di un motore di ricerca, rendendolo ben felice di continuare a servirti e portare al tuo porto nuove visite. È una struttura molto importante, critica per certi versi, è giusto deciderla all’avvio di un tuo nuovo progetto, la puoi configurare da ImpostazioniPermalink. Per questo blog ho scelto ormai tanti anni fa quella basata su anno/mese/giorno e nome dell’articolo, se potessi tornare indietro (cosa che comunque puoi pilotare abbastanza agilmente, con tanta pazienza e qualche giusto aiuto) sceglierei quella basata solo sul nome dell’articolo.

WordPress: muovere i primi passi post-installazione 3

#6: I soli Permalink non risolvono tutto, genera una Sitemap

La Sitemap permette a Google di venire a conoscenza di tutti i collegamenti che un lettore può fruire all’interno del tuo nuovo sito web, generarla e darla in pasto al motore di ricerca toglie carico di lavoro a quest’ultimo, il quale -salvo errori- digerirà immediatamente quanto dato in pasto, generando immediatamente visite a tuo favore (ammesso che l’utente stia cercando ciò che tu metti a disposizione). Per farlo puoi farti dare una mano da uno dei tantissimi (pure troppi) plugin disponibili sul repository ufficiale di WordPress. Io, come tanti altri, utilizzo la funzione integrata all’interno di Yoast, quella che trovi all’interno di SEOFeatures → XML Sitemaps:

Yoast SEO
Yoast SEO
Developer: Team Yoast
Price: Free

WordPress: muovere i primi passi post-installazione 4

#7: Hai attivato Google Analytics?

Restiamo sull’argomento statistiche e corretta gestione da parte dei motori di ricerca. Analytics è lo strumento realizzato da Google per tenere d’occhio le proprie “performance” (che detta così suona un po’ come un film di Rocco, ma non è ciò su cui si fonda il pezzo!), per cercare di costruire una strada di costante miglioramento, seguire i gusti dei lettori (senza dimenticarsi però che l’opera è prima di tutto tua, deve piacere a te), sfoderare l’asso quando serve tirarlo fuori dalla manica.

A tal proposito, ThemeTrust aveva pubblicato un articolo molto ricco e ben realizzato (in inglese) che puoi trovare all’indirizzo themetrust.com/google-analytics-in-wordpress (se vuoi proporre un’alternativa altrettanto valida in italiano sei il benvenuto, lascia un commento a fondo articolo!).

#8: Il backup ragazzo, il backup.

Ripeti con me: creerò e manterrò un backup aggiornato del mio sito web, di ogni suo contenuto e del database. Ora continua a ripeterlo, ma nel frattempo metti in piedi una soluzione di backup del tuo WordPress. Ci sono mille metodi validi, io continuo a operare su due piani diversi, facendo più backup al giorno del database MySQL e un backup quotidiano dei file. Te ne ho già parlato qui, ma ti ripropongo lo specifico passaggio:

Avere una copia di backup aggiornata è fondamentale per evitare di incorrere in possibili disastri (causati da te, dal tuo provider o da qualcuno di completamente estraneo).
Per portare a termine questa operazione esistono decine di plugin, sia gratuiti che a pagamento. Io ho scelto di affidarmi a BackUpWordPress della Human Made.

BackUpWordPress

In conclusione

Di punti ce ne potrebbero essere molti altri, ci si ferma qui per convenienza e per non mettere ulteriore carne sul fuoco, ma sei libero di suggerirne di nuovi, per poterli integrare all’interno di questa lista o per giustificare una nuova pubblicazione dedicata, libero sfogo ai tuoi consigli quindi. Resto a disposizione anche per correggere qualche svista o migliorare qualche punto sopra riportato, un po’ come sempre capita :-)

Buon divertimento!


liberamente ispirato a themetrust.com/do-after-launching-a-wordpress-site

Condividi l'articolo con i tuoi contatti:

No, non è un nuovo servizio inventato da Mozilla, è semplicemente un’ulteriore freccia all’arco di quell’azienda che sta progressivamente (sempre più) muovendosi in una direzione ben precisa, più dedicata alla libertà, educazione e sicurezza della navigazione, lasciando un po’ da parte quello che era il core business fatto di corsa alle statistiche di utilizzo del proprio browser e ulteriori applicativi disponibili nel bouquet. Oggi si parla quindi di Firefox Monitor, strumento che può tornarti utile per sapere se i tuoi dati e –ancora peggio– le tue credenziali sono finite in mani sbagliate, per cercare di correre ai ripari nel più breve tempo possibile.

Firefox Monitor ti avvisa in caso di furto credenziali

Firefox Monitor

Tutto parte da HIBP

Si chiama “have i been pwned?” (HIBP, per l’appunto), ed è il sito web che ha dato inizio a tutto, pensato, voluto, sviluppato e mantenuto da Troy Hunt, il quale permette un’operazione molto complicata se non si conosce dove mettere le mani: partendo da un indirizzo di posta elettronica (dato fondamentale per la registrazione a qualsivoglia servizio nel 99% dei casi), il sito è in grado di interrogare un database contenente una mole di dati enorme, generalmente sottratti ad aziende che non li hanno protetti a dovere, esposti in seguito sul web, messi a disposizione di un mercato nero che con questo tipo di materiale ci va a nozze (materiale che può servire diversi scopi, così come diversi sono i modi di venderlo e reperirlo anche in un secondo momento, quando le acque si calmano), facendoci sapere se siamo vittime impotenti e spesso inconsapevoli di quegli attacchi.

A spiegare il perché e il come di HIBP è proprio Troy Hunt nella pagina About del sito web ufficiale: haveibeenpwned.com/About. Io ho interrogato diversi indirizzi di posta elettronica appartenenti al sottoscritto, l’ho fatto ormai qualche anno fa, e ho approfittato della possibilità di iscriversi al servizio di alert per ricevere successive comunicazioni in caso di nuovi attacchi contenenti i miei dati personali. In quei dati possono esserci riferimenti alla persona e alla sua posizione (indirizzo di residenza, ufficio, ecc.) ma non solo (password, IBAN, potenzialmente anche riferimenti alle carte di pagamento, seppur privi di date di scadenza e CVV2). Nel tempo si sono susseguiti miglioramenti della piattaforma e ricerca anche per dominio colpito, ma il cuore pulsante è e rimane il servizio basato sull’interrogazione dell’indirizzo di posta elettronica e alert impostabile per futuri attacchi.

Cos’è quindi Firefox Monitor?

Firefox Monitor è un po’ la personalizzazione di un servizio che forse non tutti conoscono, ma che continua a svolgere il suo prezioso lavoro ogni giorno. In collaborazione con HIBP, un apposito nuovo sito web (monitor.firefox.com, manco a volerlo rendere troppo complicato) si occuperà di lanciare l’interrogazione e mostrare i risultati a video (oltre che notificarli a mezzo posta elettronica, se lo vorrai), tutto minuziosamente spiegato nell’articolo pubblicato lo scorso 25 settembre sul blog della società:

Introducing Firefox Monitor, Helping People Take Control After a Data Breach

Io ho ovviamente fatto qualche test con alcuni dei miei account, ottenendo i medesimi risultati che conoscevo già (in seguito ai quali ho chiaramente cambiato password dove e quando necessario):

Anche in questo caso potrai iscriverti per futuri aggiornamenti automatici (Firefox Monitor Protection), che ti verranno consegnati a mezzo posta elettronica dai server di Mozilla, rendendo il tutto un po’ più ufficiale e forse fidato rispetto al progetto autonomo di Troy (che comunque, continuo a ribadire, è il primo ed è in fin dei conti quello che ci mette le ricerche, le API e tutto ciò che serve per analizzare i dati recuperati dopo gli attacchi e individuare al loro interno il tuo account di posta elettronica). Ciò che tu dovrai fare in seguito alla consultazione dei risultati è seguire quanto suggerito dal sito web e, per non saper né leggere né scrivere, andare a cambiare la password degli account colpiti. Mozilla usa il nuovo sito web per riepilogare le mosse da intraprendere, tutte abbastanza comprensibili nonostante non siano ancora localizzate in italiano:

Firefox Monitor ti avvisa in caso di furto credenziali 3

Ciò che posso consigliarti è dare un’occhiata al mio vecchio –seppur ancora valido– articolo dedicato alla scelta di una password robusta e sempre diversa per ogni tuo servizio, pubblicato in occasione dell’ultimo attacco a Twitter e a molti dei suoi account:

Tanto va la gatta al lardo, che ci lascia la password di Twitter

Al solito, per qualsiasi dubbio o informazione riguardante l’argomento discusso in questo articolo, l’area commenti è a tua totale disposizione, così come il forum di Mozilla Italia dove –se ti va– possiamo approfondire l’argomento relativo a Firefox Monitor.

Buon proseguimento :-)

Condividi l'articolo con i tuoi contatti:

Che poi tanto nuova non è, ma questo dipende esclusivamente dal mio tempo libero e dalla possibilità di scrivere qui sul blog. Instagram ha finalmente abbandonato (anche se non in via esclusiva, bensì solo a richiesta dell’utente finale) la verifica in due fattori con il messaggio (SMS) post-autenticazione. Dalla notte dei tempi (in realtà da sempre), il messaggio di testo recapitato sullo smartphone non garantisce affatto la sicurezza che questo venga letto esclusivamente dal proprietario del dispositivo (e quindi proprietario anche dell’account Instagram), progressivamente questa forma di verifica sta andando –meglio tardi che mai– in pensione, lasciando spazio a soluzioni alternative più robuste.

Sicurezza: la nuova 2-step verification di Instagram

Bando alle ciance, è ora di togliere di mezzo il vecchio SMS, procediamo insieme all’abilitazione dell’autenticazione a due fattori tramite codice generato randomicamente o autorizzazione tramite diversa applicazione (nel mio caso ho usato Duo, della quale ti ho parlato in questo articolo).

  • Apri Instagram e spostati nelle Impostazioni del tuo account.
  • Sotto alla voce Privacy e sicurezza seleziona Autenticazione a due fattori.
  • Abilita la voce “App di autenticazione” quindi segui le istruzioni a video. Io, senza doverlo specificare, ho potuto procedere con “Duo Security“, in quanto l’applicazione è già installata sul mio Android per fare da tramite verso l’area amministrativa di WordPress, mi è quindi bastato confermare il tutto (e farmi riconoscere da Duo) per completare l’operazione. Tu, in alternativa, puoi selezionare la voce “Configura manualmente” (in basso nella schermata), accederai così alla configurazione che già certamente conosci per la verifica a due fattori, quella composta dal solito QR code da dare in pasto a Google Authenticator o Authy per ottenere il codice generato randomicamente.
  • Non dimenticare, in fase di termine attivazione, di accedere ai tuoi codici di backup, prendendone nota (o catturando uno screenshot), ti serviranno per eludere il controllo via 2FA nel caso in cui il tuo telefono (o applicazione di creazione codici) non sia disponibile.

Un consiglio in chiusura articolo: se vuoi, disattiva la verifica in due passaggi tramite SMS, così facendo l’unico metodo utilizzabile sarà quello basato sull’applicazione che genera i codici random, quello che generalmente bisognerebbe adottare nella totalità dei casi.

Condividi l'articolo con i tuoi contatti:

Xiaomi è fatta così: la ami, la odi, puoi scegliere di appartenere a un gruppo che preferisce la via di mezzo e che si diverte a modificare quanto realizzato da questa splendida squadra cinese che ha deciso di scendere in campo per fare la differenza rispetto ai grandi giocatori. La Mi Home Security Camera 360° è un altro degli esempi disponibili sul mercato, piccolo occhio vigile con la capacità di tenere d’occhio un intero ambiente casalingo.

Mi Home Security Camera 360°

Mi Home Security Camera 360°

Un prodotto dalle giuste pretese, a un prezzo contenuto (stiamo pur sempre parlando di circa 50€ considerando l’altalenarsi di prezzi che Keepa ha osservato tenendo d’occhio Amazon), che si spaccia per IPCam ma che poi nella realtà dei fatti si propone come soluzione chiusa e apparentemente accessibile solo tramite programma e servizio di Xiaomi / Miija, rendendo di fatto difficile (attualmente pressoché impossibile) un interfacciamento con soluzioni di controllo centralizzate come possono essere DSCam o IP Cam Viewer su Android.

Mi Home Security Camera 360° 3

La Mi Home Security Camera 360° ti viene consegnata nella sua scatola completa di cavo microUSB, alimentatore da muro e l’attacco necessario se vuoi montarla su una parete anziché tenerla appoggiata su un piano differente (tipo il mobile del televisore in sala, per fare un esempio). È poco pesante (si parla di circa 250 grammi), essenziale nell’aspetto e tutto sommato bella da vedere, con quel suo led che ti permette di capire quando è in funzione (ma che puoi scegliere di spegnere nelle opzioni dell’applicazione di controllo) e con l’alloggiamento della microSD (non inclusa nella confezione, nda) che si trova sotto all’obiettivo principale del prodotto, per arrivarci ti toccherà far sollevare l’inquadratura quanto più possibile e infine inserire la scheda di memoria. Occhio a ciò che acquisti, la Mi Home Security Camera 360° supporta al massimo una scheda da 32 GB.

Mi Home Security Camera 360° 1

Risoluzione di ripresa che puoi spingere fino al full HD da 1920×1080px, con apertura focale f1.8 e uno zoom digitale 4x (che può sgranare progressivamente e che ti consiglio quindi di non mettere troppo alla prova). Il suo corpo a forma di palla che può spaziare nei 360° di osservazione dell’ambiente è dotato anche di Night Vision, Sound e Motion Detection, con microfono e altoparlante che puoi usare sia per ascoltare cosa accade nell’ambiente, sia per far arrivare la tua voce dall’altro lato ed essere ascoltato. Connettività esclusivamente WiFi 802.11 b/g/n a 2,4GHz, scordati la banda 5, che ancora sembra costituire uno dei più grandi tallone d’Achille di queste soluzioni che ci arrivano dal paese della bandiera rossa a cinque stelle. Questa tecnologia è certamente più affidabile sulla lunga distanza, ma soffre ormai troppo la saturazione dei canali dovuta alla molteplicità di segnali e SSID trasmessi dai vicini di casa (e forse anche da te, che se mi faccio un esame di coscienza mi rendo conto che solo io spingo 3 SSID diversi dai router di casa!).

Un’occhiata alla configurazione e all’utilizzo

Di facile configurazione, la Mi Home Security Camera 360° ti costringerà a scaricare e utilizzare l’applicazione Mi Home, disponibile sia per iOS che Android:

Mi Home
Mi Home
Developer: Xiaomi Inc.
Price: Free

Si tratta dell’applicazione che il produttore cinese sviluppa per tenere sotto controllo tutti i dispositivi Xiaomi che possono trovarsi all’interno di casa tua, un minimo comune denominatore attraverso il quale tu puoi pilotare la “domotica” che scegli di installare tra le mura che ospitano le tue ore di meritato riposo e condivisione del tempo con la famiglia. Ti verrà chiesto di creare un account (nel caso tu non lo avessi) e di avvicinare all’obiettivo della telecamera di sicurezza un codice QR che questa potrà leggere, per far partire poi una configurazione automatica durante la quale non ti verrà richiesto di fare assolutamente nulla (le informazioni sulla WiFi da usare, la relativa password e altro ancora verranno passate proprio da quel QR code). Non sempre infallibile e veloce, è comunque ben sviluppata e pensata per dare un senso agli ambienti, alle possibili configurazioni, alle tue esigenze, può inoltre gestire una serie di comandi d’automazione che puoi imporre con la formula dell’If, Then (un po’ come sei forse già abituato a fare con il servizio di terza parte IFTTT, giocatore che però non si interfaccia con il prodotto in questo caso).

Nello specifico caso della Mi Home Security Camera 360°, hai a disposizione tutti quei controlli che servono chiaramente a muovere l’obiettivo, ma anche a modificare la risoluzione del video in streaming (che non necessita di configurazione alcuna sul tuo router, poggiando completamente sulla struttura Cloud di Xiaomi), a catturare una singola fotografia o registrare un video (solo se hai una microSD montata al suo interno), a parlare con chi c’è dall’altro lato della telecamera e molto altro ancora.

Mi Home Security Camera 360° 2

Tra le opzioni disponibili nell’applicazione, troverai anche la possibilità di verificare l’indirizzo IP (rete locale) del prodotto, l’impostazione della modalità Sleep (una sorta di modalità Privacy durante la quale la Mi Home Security Camera 360° non terrà conto dei movimenti o rumori rilevati, girandosi dall’altro lato rispetto al puntamento dell’obiettivo, “non vedo, non sento“), quella della Night Vision (visione notturna) e del relativo comportamento (se entrare in funzione automaticamente o forzatamente, o magari non entrarci affatto), la sensibilità dell’allarme (riguardo movimenti e rumori rilevati), attivare una password (ma anche l’impronta, se lo smartphone lo permette) per accedere al flusso video che sta catturando Mi Home Security Camera 360°.

Di Storage e NAS

E a proposito di flusso video, ecco che una delle funzioni comprese nell’applicazione (e quindi compatibili con Mi Home Security Camera 360°) si presenta e rende disponibile solo nel caso in cui tu scelga di inserire una microSD nel dispositivo: la registrazione h24 su NAS, la quale sposta dalla scheda di memoria a quelli del tuo NAS, permettendo così di salvare più dati e magari andare indietro nel tempo molto più di quanto non sia possibile fare con soli 32 GB di memoria massima (quelli della microSD). Nonostante sia tutto stato configurato ad-hoc e l’account del NAS venga accettato, non viene vista alcuna cartella SMB da poter utilizzare per effettuare la copia dati, un problema che rilevo esclusivamente con l’applicazione Mi Home e che non sono riuscito a superare, bocciato (e non intendo me medesimo).

Appunti sparsi su DSCam e Xiaomi / Miija

È per questo motivo che ho voluto quindi provare a cambiare direzione e approfondire l’argomento flusso video e DSCam / Video Surveillance di Synology, che utilizzo già quotidianamente con altri tipi di prodotti (D-Link, per la cronaca), sbattendo però ancora una volta contro un muro difficile da sorpassare, perché pieno di dubbi e soluzioni che non trovano reale risposta alle mie esigenze. Ti lascio più che volentieri il materiale reperito e le fonti consultate, dalle quali però non sono riuscito a estrarre una chiave di volta realmente funzionante e ideale per i miei scopi (ben vengano quindi i consigli nell’area commenti, se sei a conoscenza di work-around e metodi per far dialogare le due soluzioni tra di loro):

In conclusione

Come avrai forse capito, non è la qualità video o audio a preoccuparmi, quella è accettabile e posso lasciarla passare indenne da giudizio se rapportata al prezzo di una soluzione chiaramente casalinga e realizzata per chi non ha grosse pretese. Ciò che più mi delude è questa chiusura mentale che non appartiene solitamente a Xiaomi, questo mancato dialogo con altre soluzioni, piattaforme, protocolli più che rodati e stabili, al limite della stupidità e dell’incapacità di guardare oltre il proprio naso, forse il primo prodotto che realmente delude le aspettative.

Mi Home Security Camera 360° va bene per essere acquistata, configurata e posizionata dove più ti interessa, poi controllata esclusivamente dalla sua applicazione che tra l’altro non offre (almeno su Android) neanche un widget per poter avere un flusso streaming continuo (o fotografie a intervalli precedentemente stabiliti, come accade per esempio con IP Cam Viewer Pro) e buttare un occhio su cosa accade tra le proprie mura. Quella che altri come me definirebbero una “black-box” che potrà funzionare fino a quando Xiaomi manterrà in vita la propria struttura Cloud. È davvero questo il compromesso a cui si vuole scendere con il cliente finale?

A te la parola per dubbi, domande o semplici chiacchierate a proposito del sempre più ampio argomento della sicurezza in casa, sorveglianza e prodotti “intelligenti“.

Update

Magari può tornarti utile, ho trovato e scaricato il manuale PDF del prodotto. Ne ho caricato una copia sul mio spazio Box, ti lascio qui il collegamento diretto per il download.

× Disclaimer

Disclaimer (per un mondo più pulito)

Gli articoli che appartengono al tag "Banco Prova" o "Banco Prova Console" raccontano la mia personale esperienza con prodotti generalmente forniti da chi li realizza. In alcuni casi il prodotto descritto rimane a me, in altri viene restituito. In altri casi ancora sono io ad acquistarlo e decidere di pubblicare un articolo in seguito, solo per il piacere di farlo e di condividere con te le mie opinioni.
Ogni articolo rispetta -come sempre- i miei standard: nessuna marchetta, solo il mio parere, riporto i fatti, a prescindere dal giudizio finale.

Prodotto: acquistato di tasca mia all'inaugurazione del primo Mi Store milanese, più per sfizio che reale necessità, a dirla tutta.
Condividi l'articolo con i tuoi contatti:

Non è certo argomento nuovo quello del DNS hijacking, pratica quanto più perpetrata da coloro che scrivono software malevolo in grado di attaccare i router casalinghi, o magari quelli ben più complessi alla base di una rete aziendale che può diventare inconsapevole vittima di un redirect non voluto e non certo giusto ai fini di una navigazione pulita e fatta di siti web leciti. Il funzionamento di tale tecnica è tanto semplice quanto pericoloso: l’ignaro utente effettua una normale richiesta a un DNS che non si aspetta, il quale redirige quella richiesta verso un sito web infetto e potenzialmente molto pericoloso.

Firefox: DNS over HTTPS (di Cloudflare ma non solo)

La tecnica ha maggiore effetto con coloro che sono poco informati, o comunque poco (o per nulla) in grado di accorgersi di questo tipo di redirezione (pensa ai tuoi genitori in età avanzata, i nonni, ma anche parenti ben più giovani ma completamente a digiuno di questo tipo di argomenti), sfociando così in furti di credenziali o –ben peggio– di codici di protezione per conti correnti bancari e carte di credito. I maggiori produttori di browser lavorano da tempo a tecnologie che vadano oltre la configurazione DNS del proprio Sistema Operativo, e sono mesi che nelle versioni Nightly di Firefox mi trovo dietro una configurazione di DNS over HTTPS per proteggere le mie richieste verso i DNS utilizzati, così da ottenere risposte corrette e che tengano al sicuro la navigazione quotidiana.

Firefox: DNS over HTTPS (di Cloudflare ma non solo) 1

Di Cloudflare e dei suoi nuovi DNS ti avevo già parlato in passato, in questo articolo.

Gli “studi” di cui parla Nightly sono quelli che –ammesso tu stia usando questa versione del browser Mozilla– puoi trovare digitando about:studies nella barra dell’URL. Questa è una (ormai non più) novità di Nightly introdotta lo scorso marzo, così come la stessa cosa è accaduta per Google e il suo Chrome arrivato a introdurre anch’esso uno studio nel rilascio dello stesso mese (e -sempre Google- ne parlava già nel 2016: developers.google.com/speed/public-dns/docs/dns-over-https).

Firefox: DNS over HTTPS (di Cloudflare, ma non solo)

Effettuare richieste DNS passando per HTTPS ha anche un duplice scopo, ed è quello relativo alla privacy dei dati scambiati tra il client (da te utilizzato) e il server che sta portandoti verso il sito web richiesto. Chi si trova in mezzo, passando per una connessione cifrata (HTTPS, appunto), non potrà ottenere statistiche dettagliate e abitudini del client che fino a oggi sono state più trasparenti dell’aria.

Sperimentazione dei DNS over HTTPS

Forzare il browser di casa Mozilla a utilizzare dei DNS over HTTPS è oggi possibile con qualsivoglia versione pari o superiore alla 60, a prescindere dal ramo di aggiornamento scelto per le proprie postazioni. Un articolo di Ghacks lo spiegava lo scorso aprile, io te lo riepilogo in breve.

  • Portati nell’about:config del browser (e conferma che vuoi procedere garantendo che non combinerai danni, perché tu non lo farai, giusto?)
  • Cerca la voce network.trr.mode e portala a valore 2, questo ti consentirà di scegliere DNS over HTTPS come principale metodo di risoluzione nomi, ma di passare in fallback sui DNS di sistema nel caso il metodo principale fallisse (così da non rimanere senza meta durante la navigazione). Il valore 1 permetterebbe a Firefox di scegliere il più veloce tra i due metodi, il 3 di usare esclusivamente DNS over HTTPS e 0 -che poi è il default- di usare solo i DNS di sistema, come hai sempre fatto.

Firefox: DNS over HTTPS (di Cloudflare ma non solo) 2

  • Cerca ora la voce network.trr.uri e valorizza il contenuto scegliendo (e riportando la stringa adatta) uno dei due servizi sperimentali attualmente già pubblicamente accessibili, Mozilla / Cloudflare (https://mozilla.cloudflare-dns.com/dns-query) o Google (https://dns.google.com/experimental).

Firefox: DNS over HTTPS (di Cloudflare ma non solo) 3

  • Se -contrariamente a me- hai precedentemente scelto di usare il servizio di Mozilla / Cloudflare, devi ora cercare la voce network.trr.bootstrapAddress e valorizzarla con il DNS primario del servizio (1.1.1.1). Se hai scelto Google, quel valore dovrà corrispondere invece al più che conosciuto 8.8.8.8.

Firefox: DNS over HTTPS (di Cloudflare ma non solo) 4

La modifica è immediata, e tu navigherai sin da subito passando per una risoluzione nomi basata ora su DNS over HTTPS.

Ulteriori riferimenti

Ho trovato su GitHub una lista di altri servizi di DoH (DNS over HTTPS) alla quale puoi fare riferimento, puoi consultarla anche tu puntando il browser all’indirizzo github.com/curl/curl/wiki/DNS-over-HTTPS (con la speranza che venga aggiornata in futuro).

Ghacks aveva inoltre pubblicato, precedentemente all’articolo dedicato alla configurazione DoH di Firefox, un approfondimento su tutte le voci di about:config dedicate a questo metodo di risoluzione nomi, lo trovi all’indirizzo ghacks.net/2018/03/20/firefox-dns-over-https-and-a-worrying-shield-study.

Se a te sorge qualche dubbio in merito a quanto spiegato nell’articolo beh, sai già cosa fare: l’area commenti è a tua totale disposizione :-)

Buona giornata!


immagine di copertina: unsplash.com / author: Liam Tucker

Condividi l'articolo con i tuoi contatti: