Benvenuto @Shamar!
Ah ah grande… sei dei miei! La sapevi quella del safe browsing che sorveglia la gente dal 2006? Vedi l’appendice di https://youbroketheinternet.org/trackedanyway
Non sono i lunghi elenchi di regole da osservare che fanno funzionare la società. È il sistema di giustizia interno, che se è veramente giusto, motiva le persone a comportarsi bene… ed in tal caso non hanno bisogno di regole… lo capiscono da se come comportarsi per non avere grane.
No non la sapevo. In effetti non poteva funzionare diversamente. Ho comunque sempre disabilitato il Safe Browsing per antipatia a pelle (mica sono un bambino!).
Io però facevo riferimento ad una vasta classe di attacchi resa possibile dall’interazione fra l’esecuzione automatica di JavaScript e/o WebAssembly e mascherabili attraverso gli header di Cache Control.
Li ho segnalati a Mozilla e Chromium mesi fa, ma sebbene sarebbe stato possibile mitigarli rapidamente (nel bug report ho proposto, su richiesta, alcuni suggerimenti) a tutt’oggi gli utenti di tutto il mondo sono vulnerabili. E quel che è peggio, Mozilla, il campione della privacy, non sta informando i propri utenti.
Sai quando scrivi
Expect to be tracked anyway, in ways you never conceived of. Don’t let this carry on. Speak up. Do something.
Ecco, io l’ho fatto. Per il momento non è andata bene. D’altro canto, come programmatore, questa cosa mi manda in berserk.
Giusto per chiarire la gravità del problema: ho pubblicato un Proof of Concept exploit in cui mostro come penetrare in una rete privata nonostante firewall e proxy configurati professionalmente (e fidati, l’attacco è stato verificato con successo su reti MOLTO protette, tipo… sai quel tipo di multinazionali che non possono fallire? ).
Come indicato negli ultimi post del bug report, tale attacco è attualmente in uso dal Governo Russo per creare un database delle persone che usano alcuni tool di sicurezza (proxy, packet filter etc…). E’ stato possibile beccarli solo perché devono pescare nel mucchio, ma una Google, una Amazon, una Microsoft o una Cloudflare potrebbero attaccare una specifica persona o una minoranza (identificabile attraverso le stesse tecniche usate per distribuire annunci personalizzati) e cancellare le tracce. Questo database può essere usato per varie ragioni. In patria indica quali persone usano un inusuale livello di sicurezza: cosa hanno da nascondere? Fuori indica quali IP non attaccare attraverso questi attacchi perché potrebbero essere rilevati.
La vulnerabilità peggiore però non è il bug architetturale del Web come progettato dal WHATWG.
La vulnerabilità peggiore è che questi sviluppatori rifiutano di informare gli utenti, le aziende, gli ospedali, le banche, i governi dei rischi cui li stanno sottoponendo.
La peggiore falla di sicurezza è la fiducia che la gente ripone in Mozilla.
E quando questa cosa emergerà (e prima o poi emergerà), la gente non perderà solo fiducia in Mozilla ma si sentirà tradita dal FLOSS tutto, e quindi anche dal Software Libero (che viene impropriamente mescolato nella sigla) che non ne può proprio niente!
Se ci penso…
PS: se visiti il bug report, attento dove clicchi: se vai su https:// rkn.gov.ru/ profilano anche te.
PPS: sebbene l’interfaccia di questo forum sia molto gradevole ed abbia apprezzato che non richiede risorse esterne, è un peccato che richieda JavaScript abilitato. Sarebbe bello se l’interfaccia fornisse un progressive enhancement, in cui la funzionalità di base (leggere i post e commentare pur manualmente) fosse da qualunque browser e senza JavaScript.
Cosa ne pensi della attuale licenza GPL?
P.S. Se ti interessa la piattaforma del foro, si chiama Discourse e trovi il codice sorgente qui!
P.P.S. Sul tuo sito le pagine “cv” e “quotes” non risultano disponibili, nel caso non ne fossi al corrente.
Ho spostato un messaggio in un nuovo argomento: Se le licenze GNU non sono più eticamente sufficienti, cosa servirebbe?
Oh però 'sti siti senza certificato non si possono vedere, urtano proprio la corteccia eh. Suvvia, poni rimedio…
Sei proprio sicuro di sapere come (non) funziona il sistema dei certificati TLS?
Per esempio che una sola CA compromessa permette di impersonare qualsiasi sito web senza che l’utente sospetti niente? O per esempio che il tanto osannato Let’s Encrypt è stato fondamentale per tutta una serie di attacchi governativi di massa anche solo pochi mesi fa?
E non si tratta solo di siti web! Né solo di browser sviluppati da gente incompetente! I certificati TLS vengono usati per autenticare nodi e cifrare comunicazioni per una vasta varietà di applicazioni (persino quelle che insistono a non usare l’HTTP come protocollo!).
Senza considerare i complessi problemi geopolitici che le CA determinano. Hai mai considerato quale concorrenza ponga Let’s Encrypt alle società che vendono certificati in Italia o in Europa? O alle conseguenze che minori introiti hanno sulla sicurezza informatica di tali società?
Senza considerare MitM istituzionalizzati e normalizzati come Cloudflare!
Io non uso HTTPS sul mio sito per protesta contro l’ipocrisia e contro l’ignoranza.
L’ipocrisia di definire ingannevolmente
- “Not Secure” un sito web che non contiene JavaScript, non propone alcun form e non pubblica materiale in alcun modo sensibile
- “Secure” un sito che viene servito via HTTPS ma esegue JavaScript di terze parti sul computer del visitatore.
L’ignoranza di non conoscere gli svantaggi
Come dico spesso, chi non è in grado di spiegare quando NON usare una tecnologia, non ha la competenza necessaria per decidere sulla sua adozione.
PS: scusami per il tono indignato. Non è mia intenzione offenderti, ma non sopporto il conformismo in generale, figurati quello informatico, dettato dalla propaganda/marketing. Tutti biasimano l’hype in informatica, ma l’hype è la punta dell’iceberg.
Sì, sono sicuro, A volte a fare l’elicottero ci si trova in mezzo a elicotteristi nati. E non ti rispondo male perché mi sono offeso eh, sia ben chiaro, ma perché i Pirati sono anche gente rude, perlomeno a tratti, come me.
Quindi fammi capire: ce l’hai con Letsencrypt perché fa concorrenza sleale alla mafia mondiale della CA? E quindi preferisci che il tuo sito a prova di bomba possa essere oggetto di attacchi MitM?
E infine: se il tuo sito è in HTTP per protesta, scrivicelo a chiare lettere, prima di saltare addosso ai tuoi compagni di lotta, definendoli ignoranti e ipocriti.
OT: sei antiabortista?
Ehm… ti offendi se ti dico che non sei stato rude affatto?
No ce l’ho con Letsencrypt perché è un enorme single point of failure… totalmente in mano USA. In pratica ha aumentato enormemente il potere militare degli stati uniti in caso di guerra. Senza aumentare la sicurezza del Web, come dimostrano gli attacchi che vi si basano.
E con il sistema delle Certification Authority che è un castello di carte nelle mani di aziende e governi.
E ce l’ho con i browser ipocriti che diffondono un falso senso di sicurezza.
Buona obbiezione. In effetti da mesi voglio scrivere una pagina sull’argomento. Una breve spiegazione del perché ritengo importante NON usare TLS quando non vi sono condizioni tali da giustificarlo ed una lista di siti che NON lo utilizzano con cognizione (e sono moltissimi!).
Purtroppo il tempo scarseggia (ancora di più oggi in cui ho deciso di dedicare un po’ di energie a questo partito).
Mi scuso per il tono aggressivo. Purtroppo non sei il primo “elicottero” con cui mi scontro su questo tema.
Nota però il tono del tuo messaggio a cui rispondevo:
Non mi hai chiesto “Perché non usi HTTPS?”, mi hai detto “Metti HTTPS!” come se fosse mio dovere.
Comunque se vuoi del tema possiamo discutere (magari in un altro thread?). Io non sono contrario all’utilizzo appropriato della TLS (che anzi uso ampiamente in ambito professionale). Sono contrario al suo utilizzo “everywhere”, perché la cieca adozione di uno strumento è sempre:
- evidenza e veicolo di egemonia culturale
- evidenza e veicolo di incompetenza
Sì.
Sono contrario a qualsiasi interruzione di gravidanza che non sia decisa liberamente dalla madre alla luce di accertati rischi medici per la sua sopravvivenza.
L’aborto non è un metodo contraccettivo: la contraccezione è un diritto di ogni essere umano, ma i metodi contraccettivi sono quelli che impediscono il concepimento, non quelli che uccidono il concepito.
Se però mi stai chiedendo se intendo proporre l’abolizione della legge sull’aborto, la mia risposta è “non ancora”. Non si tratta di opportunismo, ma di opportunità Politica. Le madri oppresse mi stanno a cuore quanto il bambino.
Come ho scritto altrove, l’aborto è un meccanismo di oppressione interiorizzato dall’oppresso.
Per poterlo superare bisogna prima affrontare i problemi politici, sociali, culturali ed economici che alimentano l’oppressione a vantaggio esclusivo dell’oppressore e che costringono la donna non solo ad abortire ma a razionalizzare tale violenza come un proprio diritto, come una espressione della propria autodeterminazione.
Io tento di mettere i miei siti tutti sotto .onion (e per fortuna lo fanno anche i pirati, con questo forum che risponde al piratanibanankoc.onion) non solo perché ci piace la metadata protection, ma anche perché l’indirizzo una volta acquisito non è falsabile. Molto meglio di X.509.
Per sopportare meglio HTTPS ho sviluppato un addon apposito… http://patrol.psyced.org — ma comunque resta un bel punto nel catalogo del https://secushare.org/broken-internet (scusa, intendevo dire http://secushare.cheettyiapsyciew.onion/broken-internet). GNUnet di questi problemi non ne ha: ogni indirizzo è self-authenticating.
Lo raccomandano anche varie regole comportamentali di domandare invece di imperare, ma @solibo è fatto così.
Neanche io sono forte per le “regole comportamentali” (aka convenzioni) mainstream!
Fortunatamente non mi offendo quasi mai.
Se @solibo vuole discutere ulteriormente della questione a me va benissimo e spero anzi che non abbia preso sul personale la mia risposta.
Però hai ragione, riconosci facilmente un hacker dalla sua curiosità: dalle domande che pone e da come risponde.
Sai che non sono ancora riuscto a provarlo dall’uscita della 0.11? E saranno passati 10 anni dall’ultima volta che ho fatto qualche esperimento.
Ricordo che all’epoca non mi convinceva molto, mentre oggi mi sembra avere un’ottima architettura. E se ricordo bene all’epoca non c’erano né Taler né Secushare.
Ecco, non avevo letto. Cristo che fatica, toccherà dissotterrare l’ascia di guerra. La cosa più preoccupante è che manco ti vergogni, cioè sembri veramente convinto di quello che scrivi.
Non credo che ti serva un ascia. Questa visione di una Politica inevitabilmente conflittuale e competitiva non mi appartiene.
Per discutere con me è sufficiente curiosità e onestà intellettuale.
Se cerchi di vincere, sprecherai un sacco di energie. Perché sono io a scegliere il terreno e l’arma.
Invece se vuoi riagionare con me ed osservi errori nei miei ragionamenti io sono felicissimo di riconoscerli e correggerli. Ma sappi che mi aspetto tu faccia lo stesso.
In un dialogo, io assumo sempre che i miei interlocutori possano avere ragione. In fondo condividono prospettive che mi saranno precluse fino all’invenzione della telepatia. Di conseguenza, ogni obiezione è la benvenuta e verrà presa in seria considerazione. Perché penso che potrei sbagliarmi e voglio imparare.
Se fai lo stesso, il confronto risulterà arricchente per entrambi, quale che sia l’esito.
Ma nel momento in cui un interlocutore smette di dialogare e cerca di prevalere, nel momento in cui non assumi più che io potrei avere ragione e tu sbagliarti, il tuo contributo al confronto non è più costruttivo: alla curiosità sostituisci la propaganda, un altra cosa cui sono piuttosto allergico.
Ma c’è qualcuno che sa cos’è un hacker qui dentro?
Se anche mi sbagliassi dove sarebbe il problema? L’ignoranza è precondizione fondamentale della Curiosità: non puoi imparare nulla se presumi di sapere già tutto!
Un’associazione in cui le persone si devono vergognare di esprimere un qualsivoglia concetto non ha nulla a che fare con gli hacker che il nome di questo partito evoca.
Non solo: non è nemmeno democratica, perché la democrazia si realizza prima nel dialogo e solo dopo nel voto. E il dialogo, piaccia o no, esiste solo fra entità distinte e diverse.
Per fortuna caschi male. Non sono uno che si spaventa facilmente.
Sì sì grazie per essere ecumenico. Se tu leggessi anche tra le righe sarebbe meglio, ma mi accontento. Per ora meglio spendere il mio tempo in discussioni più interessanti (parlare con gli antiabortisti è in fondo come parlare coi terrapiattisti, non molto eccitante…): peccato, mi eri sembrato uno in gamba.
Sei tu ad aver chiesto. Se mi fai una domanda di cui non ti interessa la risposta, sei tu a farmi perdere tempo.
Io ad una domanda in buona fede, rispondo come meglio posso. E’ parte della mia Etica e della mia Cultura.
Ma se esageri con i bongus packets, prima o poi il fitro anti-DoS inizierà a scartarli!
Opinione legittima ma, lasciami dire con un po’ di malizia, molto comoda in questo caso.
Se per te “in gamba” vuol dire identico a te, non troverai molta gente in gamba in giro.
Io so per certo che ci sono persone in gamba molto diverse da me e questa profonda diversità è per me oggetto di grande interesse. Visto che io ho solo due occhi, poter discutere con persone che vedono le cose da un altro punto di vista è sempre arricchente, seppur talvolta faticoso.
Come scriveva quasi 3 mila anni fa Akṣapāda Gautama, per poter raggiungere una sintesi è necessaria un epistemologia comune.
Con @lynX per esempio, ho osservato che riusciamo a comunicare benissimo (e siamo persino d’accordo!) nelle materie in cui è molto preparato. Laddove è persino più preparato di me (e.g. GNUnet) discutere con lui è estremamente gratificante. Ma (forse) se parlassimo di Robotica o Intelligenza Artificiale, magari lui direbbe lo stesso di me. Conosciamo entrambi abbastanza l’Informatica da poterci allontanare dalle posizioni mainstream senza perdere di vista i fondamentali. E poi, come forse sai, “you can’t argue with a root shell”. Quando parliamo di Economia, Sociologia o Diritto Costituzionale invece, manca un’epistemologia comune.
Purtroppo LinX su questi temi passa dal vāda al jalpa, ma consapevolmente o meno, non sembra disposto ad aggiornare la propria visione per renderla più solida, non discute le mie considerazioni come io faccio con le sue… semplicemente ripete le proprie convinzioni in modo provocatorio rispondendo ad affermazioni mai fatte. E nonostante ciò, non ho elementi per squalificare la sua intelligenza. Semplicemente confonde le credenze su cui ha fondato la propria identità con verità auto evidenti. Il mio dialogo con lui non è espressione di ecumenismo, ma di curiosità.
Dunque non sono d’accordo con te: anche se non sei d’accordo con me, non voglio ancora scartare l’ipotesi che tu sia in gamba comunque.
Le nostre regole sono ridotte al minimo indispensabile e non si basano so convenzioni ma sulle esigenze minime per riuscire a convivere in modo costruttivo in un’associazione politica.
Aggiungo che attualmente non siamo molto seri a rispettarle, infatti nei vari post degli ultimi giorni le abbiamo infrante un po’ tutti un pochino.
Fortunatamente non mi offendo quasi mai.
I partiti spesso fanno collezione di persone pluriresistenti, ma poi gli manca tutta una fetta di popolazione “normale” la quale non si sente più rappresentata da un partito tale. Le persone che hanno qualche svantaggio nella società spesso non hanno il privilegio di essere immuni alle offese. Si tratta di un tipico vantaggio degli old white men.
all’epoca non c’erano né Taler né Secushare.
Nel 2009 non ancora. GNUnet era solo una piattaforma per file sharing non censurabile, simile a Freenet.
Mi scuso per le mie violazioni. Mi sono attenuto alla Netiquette standard e a quanto ho capito delle regole di convivenza, ma se mi volessi indicare le mie involontarie violazioni e le regole in questione te ne sarei grato.
Disse un old white man.
Cosa ti fa presumere che io non appartenga ad una popolazione in condizione di svantaggio?
Come hacker, sottocultura che viene continuamente marginalizzata, derisa ma anche svuotata dei propri valori fondamentali e rivenduta come strumento produttivo. Come terrone (“Napuli”, mi chiamavano da bambino) nelle campagne Leghiste del Piemonte. Come polentone (“falso e cortese”) in Calabria.
Come orfano di padre a 10 anni, in una famiglia poverissima.
Davvero, non sai praticamente nulla di me.
Se stessimo parlando di Informatica, riconosceresti semplicemente la tua ignoranza in un determinato ambito e faresti domande. Ma parliamo di persone quindi fai automaticamente assunzioni basate sulla tua esperienza personale e i tuoi bias.
Lo sai perché? Egemonia Culturale. Riproponi due assi tipici del dividi et impera americano: uomini vs donne, e bianchi vs non bianchi.
Io invece distinguo sfruttati da sfruttatori, oppressi da oppressori.
Secondo te, quale dei due approcci produce sterile contrapposizione, lotta fra poveri? E quale può produrre risultati politici concreti?
Fingere che in Italia abbiamo avuto il KKK? O il Far West? Massì dai… ormai si festeggia pure Halloween! Da domani, tutti Calvinisti!
O forse è meglio essere coscienti della nostra cultura per identificare quali sono veramente i nostri problemi?
Io non ho detto di descrivere te.