Jetpack, IL plugin per WordPress

Nicola il 21/11/2019

Jetpack è IL plugin che non deve mancare nelle mie installazioni di WordPress. Sarà perché sono un utente della prima ora, sarà perché il suo sviluppo segue molto – molto – da vicino quello della piattaforma… non c’è un mio sito che non lo usi.

Nasce dallo spin-off della piattaforma commerciale WordPress.com, ponendosi come primo tassello per la vendita di servizi software associati alla piattaforma di blogging pubblicazione online più diffusa al mondo. Permette infatti l’attivazione di un impressionante numero di funzionalità (sharing su altri social, utilizzo di CDN, back-up, generazione sitemap, generazione statistiche dei visitatori, scrittura MarkDown e LaTeX e molto altro) in maniera semplice ed integrata, e allo stesso tempo fornisce un punto d’accesso verso servizi premium offerti da Automattic quali CDN evoluto, sistemi antispam e ‘di sicurezza’, back-up, supporto tecnico e tanto altro.

Per molti il plugin offre troppe funzionalità e addirittura il suo (ab)uso rallenta le performance dei siti web che lo utilizzano. Nella mia esperienza, invece, tutto questo non si è mai rivelato un problema… forse perché non ho mai scelto hosting economici e anzi sino ad oggi ho premiato quelli che fornivano un supporto ‘preferenziale’ al nostro CMS.

Certo è che è l’aspetto filosofico che ogni tanto mi fa nascere una smorfia sulla faccia. Jetpack come un cavallo di Troia per vendere un servizio commerciale. Poi però mi riprendo e penso che da 15 anni non ho mai avuto un’email o un pop-up nella dashboard che mi inviti insistentemente a pagare qualcosa, ne che pubblicizzasse con estrema enfasi i benefici possibili.

Quando poi leggo changelog come quello dell’ultimo aggiornamento di due giorni fa, allora il sorriso mi torna ad illuminare il volto:

In addition to Jetpack 7.9.1, we worked with the WordPress.org Security Team to release patched versions of every version of Jetpack since 5.1. Most websites have been or will soon be automatically updated to a secured version. Versions released today include 5.1.1, 5.2.2, 5.3.1, 5.4.1, 5.5.2, 5.6.2, 5.7.2, 5.8.1, 5.9.1, 6.0.1, 6.1.2, 6.2.2, 6.3.4, 6.4.3, 6.5.1, 6.6.2, 6.7.1, 6.8.2, 6.9.1, 7.0.2, 7.1.2, 7.2.2, 7.3.2, 7.4.2, 7.5.4, 7.6.1, 7.7.3, 7.8.1, 7.9.1. If you are running any of these versions, your website is not vulnerable to this issue. But, if you’re not running the latest and greatest—7.9.1—your site is missing other security enhancements!

Quante software house si preoccupano di patchare tutte quelle versioni di un proprio software?

Proteggere i dati genomici dei pazienti

Nicola il 08/10/2018

Mi ha molto colpito la notizia della pubblicazione del lavoro scientifico “Deriving genomic diagnoses without revealing patient genomes” sulle pagine di Science – riportata poi dal magazine generalista Engadget – dove un gruppo di ricercatori di Stanford (USA) si è posto il problema di tutelare la riservatezza del dato genomico dei pazienti relativi ad uno specifico studio medico / scientifico.

Uno dei problemi principali della bioinformatica, oggi, è la gestione dell’enorme quantità di dati disponibili in termini di volume, assieme alla difficoltà di approvvigionamento di dati clinici nei casi in cui si vada a studiare qualcosa afferente la sfera umana. Pazienti e volontari (tipicamente persone sane che sono usate come ‘controllo’ nell’esperimento) donano infatti il proprio materiale genetico, e hanno diritto alla riservatezza di questo patrimonio informativo e alla sua tutela.

Leggi tutto

Come Creare Una Password Efficace

Nicola il 09/03/2017

Le password sono tra le gioie ed i dolori dell’informatica moderna. Ogni sito, servizio on-line, dispositivo hardware in questo mondo iperconnesso va protetto… e la combinazione nome-utente e password è il minimo che si può fare per tenere una parvenza di sicurezza dei propri affari.

Una buona norma è quella di avere una password diversa per ognuno dei servizi che usiamo.

Un’altra sarebbe(*) quella di utilizzare il meno possibile le funzioni di autenticazione mediante ‘token’ erogati da servizi di terze parti. Per fare un esempio immaginiamo di utilizzare le nostre credenziali di accesso a Facebook per registrarci su Pinterest  o in un qualunque altro social network. Evidenziando il fatto che Facebook ed i gestori di questo tipo di autenticazione possono legalmente cancellare il nostro account a loro insindacabile giudizio o scomparire … in caso di compromissione dell’account  ‘principale’ avremo poi a cascata la compromissione degli accessi a tutti i servizi abbinati a queste credenziali.

Insomma l’uso di un password manager (come il mai troppo lodato – e da me adorato – 1password o il giovane Enpass o l’open source KeePass) è più che consigliato. Queste applicazioni ci permettono la memorizzazione di un altissimo numero di elementi e offrono funzionalità di generazione di password secondo diversi algoritmi.

Mi rendo però conto che per alcune persone o situazioni la spesa economica e di tempo per la configurazione del tutto possa non valere l’impresa… Magari abbiamo pochi servizi da proteggere, o non ci fidiamo di un software sviluppato da ignoti (nel mio caso non ho consigliato LastPass proprio per questa ragione). In queste situazioni possiamo utilizzare un piccolo ma validissimo espediente mnemonico per la generazione di password efficaci.

La vignetta riportata, dell’ottimo XKCD, spiega in maniera visiva e super-efficace il meccanismo (l’algoritmo) alla base di questo metodo.

Date le potenze di calcolo oggi disponibili, la nostra password diventa progressivamente più sicura man mano che i caratteri che la compongono crescono. Secondo le mie ultime letture oggi 12/13 caratteri costituiscono il minimo sindacale per una password ‘sicura’…  Quindi è meglio cominciare ad utilizzare password con 16 o più caratteri.
Ma come fare per ricordare sequenze di oltre 16 caratteri ? Semplice, dovremo ricordare delle frasi… Ma non citazioni di libri, film o poesie,… opere note e sicuramente nei dizionari dei malintenzionati. Dovremo usare frasi generate in maniera casuale ed estremamente personale.

Sulla tecnica ci sono diversi ottimi articoli ed approfondimenti on-line… ad esempio su il Post si parla di generatori di poesie, o possiamo arrivare a meravigliarci dell’idea di Mira Modi teenager statunitense che ha stupito il mondo con il suo Diceware che ha reso una valida fonte di reddito.

Senza arrivare a questo livello di sofisticazione ti sintetizzo in parole povere il tutto: per generare una password efficace andremo a generare la nostra ‘frase’ – o meglio una sequenza di parole – partendo da un ricordo o un’esperienza strettamente personali…

cozze-sandalo_Pescara!

Ecco una password di 22 caratteri facile da ricordare!
Il trigger mnemonico è la vacanza a Pescara dove abbiamo mangiato un buon piatto di spaghetti alle cozze e comprato quel sandalo estivo che adoriamo indossare. La punteggiatura (lo spazio è un carattere che evito perché non so mai se il sistema che memorizzerà la password sarà in grado di gestirlo correttamente) è lasciata alla tua immaginazione o preferenza.

Come vedi non è una scienza oscura, ma un banale esercizio di memoria la cui imprevedibilità sfugge alle risorse di calcolo attualmente disponibili (e immaginabili).

Spero che quest’articolo ti sia stato utile! Buon lavoro…


(*) dico sarebbe perché pur essendo studiati per la massima sicurezza nello scambio di dati questi meccanismi hanno un singolo anello debole messo in bella evidenza, la credenziale di accesso centrale – come la password di Facebook nell’esempio da me fatto – che rimane sempre troppo esposto agli attacchi e costituisce un bottino altamente desiderato e remunerativo per i criminali.

Rilasciato WordPress 4.7.3

Nicola il 06/03/2017

Meno di un’ora fa è stata rilasciata la versione 4.7.3 di WordPress che risolve 6 problemi di sicurezza e 39 miglioramenti di manutenzione. Qui la lista completa delle modifiche fatte.
Come sempre verificate che i backup siano a posto e aggiornate… Io ho già aggiornato una dozzina di siti senza il minimo problema!

La prima frontiera della sicurezza in un mondo connesso: il tuo modem / router

Nicola il 03/02/2017

netgear_password_bypass

Viviamo oggi in un mondo sempre connesso, e questo equivale a vivere in una casa affacciata sulla strada, esposti al bello ma anche al brutto del mondo. I rischi per la nostra sicurezza sono maggiori che vivendo al 70° piano di un condominio di un mega-grattacielo.

La ‘porta di casa’ della nostra vita on-line è il modem-router … quell’oggetto misterioso che il nostro fornitore di telefonia/internet ci fitta a 2€ al mese (a meno che non ti sei fatto due conti e hai preferito comprartelo da solo) e che ci permette di accedere “ad Internet” rimanendo sempre acceso, e mai più configurato né controllato dopo la prima connessione del nostro pc.

Purtroppo questo è un lusso che non possiamo più concederci: l’uso massivo di credenziali di accesso standard (‘admin’ e ‘password’ se non ‘12345’), l’uso in grande serie di chip provenienti dallo stesso produttore, tool di amministrazione semplificata [Genie di Netgear, per fare un esempio] e poi insicurezze varie a livello del software di sistema (il famigerato firmware), sono tutti atteggiamenti analoghi a lasciare la porta di casa aperta, o a dare una copia delle chiavi a chiunque.
È questo che fai per casa tua ?

Io credo di no! Per questo consiglio sempre a familiari, amici o clienti di aggiungere al proprio flusso informativo qualcosa che li avverta dei cambiamenti a cui i propri dispositivi vengono sottoposti dal produttore, e ad applicare tutti gli aggiornamenti di sicurezza non appena se ne ha notizia.

Negli scorsi giorni ho appreso, ad esempio, che centinaia di migliaia di modem/router NETGEAR sono vulnerabili e permettono la scoperta della password impostata sul dispositivo sia se connessi alla rete LAN casalinga.

Negli scorsi giorni ho appreso, ad esempio, che centinaia di migliaia di modem/router Netgear sono vulnerabili e permettono la scoperta della password impostata sul dispositivo sia se connessi alla rete LAN casalinga (pensiamo ad un figlio che vuole bypassare le limitazioni sui contenuti o ad un collega/dipendente che vuol fare lo stesso), sia ad un attaccante esterno… Un vero e proprio Password Bypass.

Dopo varie segnalazioni Netgear pare essersi decisa a correre ai ripari, e ha dedicato una pagina del suo supporto tecnico alla pubblicazione di un aggiornamento del firmware per alcuni dei modelli interessati e ad una spiegazione e di come mitigare il problema un restante gruppo di dispositivi.
La pagina in oggetto è la seguente: Web GUI Password Recovery and Exposure Security Vulnerability, mentre i modelli coinvolti – al momento in cui scrivo – sono i seguenti:

  • R8500
  • R8300
  • R7000
  • R6400
  • R7300DST
  • R7100LG
  • R6300v2
  • WNDR3400v3
  • WNR3500Lv2
  • R6250
  • R6700
  • R6900
  • R8000
  • R7900
  • WNDR4500v2
  • R6200v2
  • WNDR3400v2
  • D6220
  • D6400

Se possiedi uno di questi dispositivi, il mio consiglio è quello di aggiornare al più presto!

Attenzione alla funzione di autocompletamento del browser

Nicola il 21/04/2016

Oggi mi è capitato di fare una lettura interessante su Medium. In quello che viene definito una ‘proof of concept’ lo sviluppatore Harmen Stoppels ha mostrato quali e quante informazioni il browser concede a delle form da compilare, anche quando queste chiedono solo pochi campi. Un sito web maliziosamente può ottenere un gran numero di informazioni, anche se apparentemente ti può chiedere solo la classica triade nome, cognome, indirizzo e-mail. Il tutto è spiegato in questo video

Se vuoi approfondire l’argomento, ecco il post originale: Why you should disable autofill →