Quella della sicurezza al giorno d’oggi è una guerr e mmerda. Anche gli ultimi sfizi, quelli di prendere per i fondelli i phisher, sono diventati mode pericolose (colpevole!).
Per questo appena avevo letto questo post che spiega come usare la Paypal Key come token per VeriSign ed associarla ad un OpenID, mi sono affrettato ad ordinarla anche io nonostante OpenID sia moribondo: per 5$ il gioco vale la candela.
Provare il giochino dei numeri pseudo-casuali è divertente.
Ed a proposito di Two-Factor authentication, non posso fare a meno che consigliare questo post di Omar Shahine. Omar accenna anche all’uso di smartcard per me un po’ antipatico in quanto:
richiede la presenza di uno smartcard reader. Su un Mac l’unica opzione è l’odiosa versione USB.
ha la tendenza ad essere dimenticata nel lettore. Se la smartcard serve anche da badge (come appunto nel mio caso) la cosa diventa estremamente fastidiosa.
La soluzione più figa risulta essere la VeriSign VIP Credential ID, grande quanto una carta di credito ed adatta a finire nel posto più naturale del mondo, il portafogli:
Ora se solo Paypal decidesse di supportarle (magari a prezzo scontato come avviene per la security key) sarei un tantino più felice di adesso .
Ed Bott ha scritto un interessante articolo intitolato «Why do you want WinFS?». Ne consiglio caldamente la lettura. Io invece prendo la palla al balzo per raccontare la (tanto attesa?) mia.
Innanzitutto su cos’era WinFS.
Uno dei “motti” passati di Microsoft è stato quello di “information at your fingertips”. Era stato partorito da BillG in persona, probabilmente in un momento di difficoltà mentre cercava qualche documento elettronico sparsi per i mega-giga del suo hard-disk. La visione si è poi concretizzata meglio in quella di un OS search centrico. WinFS voleva essere l’implementazione di quella visione, ma non solo. L’idea dietro WinFS era di esporre un Framework estensibile di oggetti (anch’essi estensibili) persistenti verso un contenitore opaco ottimizzato per lo storage di tali oggetti. Il contenitore opaco altro non era che una versione ‘speciale’ di SQL server. Anche se il contenitore a tutti gli effetti può somigliare ad un file system, non lo è. WinFS è l’acronimo di Windows Future Storage e non di Windows File System come qualcuno può credere. WinFS quindi si può pensare come l’insieme di tre cose:
lo storage (SQL Server su NTFS)
un Framework di oggetti desktop built-in (Document, Mail, Contact, etc.)
un set di API per manipolare e fare ricerche su tali oggetti (WinFS API)
[Parentesi storica. Le API del punto 3. hanno una somiglianza formidabile con le più tradizionali API per fare ORM (Object to Relational Mapping). In Microsoft c’era già un team a cui era stata assegnata la missione di costruire il layer ORM per .Net e si trattava di ObjectSpaces. Per motivi ovvii quindi WinFS ha preso molto in prestito da ObjectSpaces fino al punto che le due codebase sono confluite in WinFS + Relational Provider, essendo quest’ultimo un “plugin” per le WinFS API che permettesse di mappare gli oggetti a mo’ di un ORM verso un DB SQL “tradizionale”. Durante la coinfluizione (?) confluenza il team di ObjectSpaces ha cercato un altro posto al sole infelice e perplesso per il merge e proprio qualche settimana prima dell’addio definitivo ai monti si racconta che un manager abbia chiesto ad un suo sottoposto di rilasciare una versione “ridotta” di ObjectSpaces; il sottoposto non l’ha presa bene e visto che l’abbandono ormai era già dichiarato, un membro storico del team ha deciso di giocare una burla lanciando la seguente affermazione alquanto provocante sul tavolo: “questo team può riscrivere un ORM in 6 mesi mentre si è appesi in ufficio a testa in giù, bendati e con le mani legate dietro la schiena”. Il manager-sottoposto non l’ha presa bene ed ha cominciato ad urlare ed inveire. Chiusa parentesi storica]
Per una serie di motivi poco interessanti il progetto WinFS è stato dapprima rimosso da Longhorn e poi definitivamente cancellato nella definizione data sopra, non senza aver rilasciato qualche beta.
La parte API-esca è diventata LINQ + EntityFramework; le funzionalità interessanti di storage sono state rilasciate con SQL 2005/2008, il Framework definitivamente abbandonato: in parole povere dal punto di vista del search (information at your fingertps) è risultato molto più “semplice” usare tecnologie di indicizzazione tradizionali basate su filtri pluginabbili che cercare di “normalizzare” formati come quelli di Office in continua evoluzione.
Dal punto di vista degli utenti WinFS non ha lasciato nessun vuoto in Vista. Dal punto di vista dei developer neanche, anche se il rilascio di LINQ non è coinciso con quello di Vista. Ciononostante molti – senza neanche sapere cos’è – lo vorrebbero in Windows 7. Forse solo per validare la teoria che Vista è stato un fiasco anche per colpa di WinFS.
The Fedora Infrastructure team is currently investigating an issue in the infrastructure systems. That process may result in service outages, for which we apologize in advance. We’re still assessing the end-user impact of the situation, but as a precaution, we recommend you not download or update any additional packages on your Fedora systems.
[…]
Efforts to contact Red Hat Fedora maintainers have so far been unsuccessful.
Tra l’altro proprio poche settimane fa l’università dell’Arizona aveva pubblicato un paper sulla sicurezza di alcuni packet manager. Correlazione? Non ho letto il paper, è nel mio backlog. Interessante Watson, interessante.
Ho passato il ferragosto al fresco… nella gattabuia “virtuale” del mio ufficio a rifinire alcuni bachi… con il fresco garantito dell’aria condizionata a tutto spiano. Come regalo di buon fine settimana il tester ha aperto un baco alle 5:10PM di Venerdì sulla stessa feature a cui ho lavorato per tre giorni filati per garantire la massima accuratezza: mi tocca mettere mano agli stessi 20 file modificati e checked-in 2 ore prima. Il mio commento laconico via email è stato:
good timing
Non perché non voglio che lui faccia il suo lavoro, ma semplicemente perché 2 giorni prima in un meeting di fuoco avevamo chiesto che tutto quello che non andava nella feature a cui stavamo lavorando zonzolosamente fosse tirato fuori in quel giorno: si parli ora o si taccia per sempre la nostra richiesta da dev. Certe volte ho l’impressione che il compito segreto di un tester sia quello di fare imbestialire i dev all’estremo. Almeno nel mio team
Oggi è weekend. Il weather bug segnala che da ieri mezzogiorno fino a sera inoltrata una cappa di calore afoso investirà questo sperduto angolo di Nordwest, evento più unico che raro. Qui sono le 9 e mezza AM. Il mio piano è di sparapanzarmi con un buon libro nella piscina condominiale; fino a quando non ne posso più:
Ieri sulla mia seggiola ho trovato un presente (quasi)inaspettato ma molto gradito:
Una confezione sigillata di Adobe Premiere Elements 4, regalo di un collega “connesso” con qualcuno che lavora in Adobe. Le nuove feature sembrano da leccarsi i baffi:
Adobe Premiere Elements 4.0 - released September 2007. Adobe added a Sharing Center, an image stabilization filter and the ability to upload video files directly to YouTube. It also includes more video effects and transitions, a slightly-modified user interface allowing beginners to easily get started with the program (although it still retains unlimited video and audio tracks), the ability to burn Blu-ray DVD discs, an audio mixer (like the version on Premiere Pro) and movie themes similar to the ones from iMovie HD 6.
E per una voce depennata dalla wish list un’altra prende il suo posto. Questo barebone sembra interessantissimo per via dei consumi ridotti all’osso e il raffreddamento passivo. Forse è il caso di rimpiazzare il fastidioso Pentium D del Windows Home Server con un processore più summer-friendly. More later…
Questo aneddoto di Jeff Jones mi ha ricordato una “tattica” molto usata nelle discussioni con i fanboiz, ovvero la “riduzione al silenzio”.
La riduzione al silenzio avviene quando l’interlocutore cade in contraddizione e rimane senza parole di fronte ad una affermazione puntuale e precisa.
L’esempio che segue è tratto da una discussione su una mailing list. Si parlava del fatto che Mobile-me avesse, seppur in una sparuta minoranza di casi, cancellato in maniera tombale le mail ed i file personali di alcuni subscriber.
Fanboi: Even Amazon goes down once in a while. Nothing has 100% uptime.
Sottoscritto: Wow. I wonder if my team can lower the priority of data loss bugs with the justification that “even Amazon goes down once in a while” Sorry if couldn’t hold my sarcasm here.
Fanboi: (silenzio)
UPDATE: Altro esempio.
Fanboi: Non si tratta di una blacklist per applicazioni. La url scoperta da Zdziarski non è un kill-switch
Stiv Giobs: effettivamente si tratta di un kill-switch
In questo periodo ho veramente pochissimo tempo per dedicarmi a letture rilassanti; ma grazie alla disponibilità della biblioteca aziendale e ad un avanzo di budget per Amazon che annulla le spese di spedizione per ordini superiori a 25$, mi son ritrovato con due libri sul divano.
Zero Day Threat: The Shocking Truth of How Banks and Credit Bureaus Help Cyber Crooks Steal Your Money and Identity (link su amazon)
È un libro sulla sicurezza informatica – o meglio sulla “storia” recente – che si legge come un romanzo. Ogni capitolo è diviso in tre parti: la storia di una gang di scammers, la storia dei pagamenti elettronici e l’evoluzione del malware. Ho l’impressione che le tre storie ad un certo punto si intrecceranno e l’autore ha fatto un lavoro di documentazione molto accurato. Nientre di “estremamente tecnico” ma abbastanza divulgativo nello spiegare le ragioni tecnico-economiche dietro l’evoluzione del software rouge. Sono arrivato al sesto capitolo e finora si è rivelato abbastanza intrippante da tenermi lontano dai soliti feed RSS.
Il secondo libro si intitola Never Check E-Mail In the Morning: And Other Unexpected Strategies for Making Your Work Life Work (link amazon). L’avevo preso in prestito dalla biblioteca in tempi non sospetti ma ho avuto solo tempo di dargli una sfogliata velocissima. Così ho deciso di comprarlo invitato dal fatto che se dimezzassi il tempo speso “attaccato” all’email aziendale le mie coronarie ringiovanirebbero di qualche lustro. Purtroppo non avendone letto neanche una riga questa citazione vale meno del solito. Sicuro è che se smettessi di leggere la mail la mattina, troverei sicuramente il tempo di leggere il libro. Ops, ricorsione paradossale.
OpenID is an untrusted protocol. Sun has no liability for what happens to any information you ive to a third-party web site using this service. Most OpenID-enabled sites are genuine but some may be phishers or other rogues. Sun currently has no way of distinguishing the good sites from the bad. Do not use the OpenID@Work service for any high-value, critical, or Sun proprietary information.
Pare che la combinazione DNS+DebianSSL sia stata davvero esplosiva, unita al fatto che OpenID non obbligherebbe l’uso di CRL (Certificate Revocation Lists). R.I.P?
- Page rendering time: 93.6036 millisecs