Giorni fa, poco dopo essere presentata le versione 1.5 del noto browser open source Firefox, circolavano voci circa una vulnerabilità riscontrata nel file history.dat, il database della cronologia di Firefox, che non riesce a gestire pagine con contenuti lunghi provocando un crash del sitema ad ogni avvio.

Appurato che il problema esiste, da Mozilla Foundation insistono che comunque non è da considerarsi una minacciosa vulnerabilità. D’accordo anche Secunia che lo lo ha classificato come bug “non critico”.

Per cui Mozilla smentisce ciò che è stato recentemente pubblicato dal portale dedicato alla sicurezza Packetstormsecurity.org, che evidenzia il problema definendolo di tipo denial of service.

Mozilla rassicura così i propri utenti garantendo che Firefox non metterà i loro sistemi a rischio attacco.

Lasciando da parte il tema dei gestori telefonici, diamo un occhio alle novita per quanto riguarda i software. Qualche post fa ho scritto qualcosa su ineen che ha il grande pregio di non essere solo “gratuito” ma bensì puro software libero. Sinceramente ancora non ho avuto occasione di provarlo. Altra novità che si presenta sul mercato è SKYPHO, un software molto simile all’ormai famoso SKYPE che però offre, oltre al numero italiano per le chiamate in ingresso, anche una tabella di tariffe molto vantaggiose. Il risparmio nel telefonare ai telefoni fissi o di rete cellulare sono decisamente buoni rispetto al concorrente skype (dal 10 al 35%).
Trovo a questo punto odiosa l’idea di avere 3 differenti account. Significa che gli altri, per le telefonate gratuite pc->pc, debbano avere lo stesso client. Significano i dati personali sparpagliati su tre differenti server… per questo rimango ancora fedele a Skype: è stato il primo, lo uso egregiamente e ormai gli amici e i colleghi già lo hanno. Come si può cambiare senza perdere rubrca contatti ecc? Il multiaccount come fa GAIM per il istema di Istant Messaging sarà un’ottima implementazione per gli sviluppatori di questi software.

Ma veniamo alla novità: FESTOON ha creato un plugin per Skype per poter fare videoconferenza durante una chiamata VoIP. La versione è ancora Beta ma le critiche sono buone. Ho installato senza problemi il plugin; putroppo attualmente funziona solo su piattaforme windows 2K e XP ma gli sviluppatori dicono che sono previste versioni multipiattaforma. Il plugin funzioan anche per il nuovo GoogleTalk

Roma – Capita raramente che un grande giornale americano pubblichi articoli del genere. Perché con tutta la benevolenza possibile e fatti salvi alcuni concetti esposti, l’articolo di Daniel Lyons L’attacco dei blog, che si è guadagnato la copertina di Forbes, è davvero un pessimo articolo.

La tesi di tutto il pezzo è che i blog siano diventati uno strumento pericoloso di interferenza economica per le grandi aziende. È sufficiente che qualcuno prenda di mira questo o quel prodotto per le ragioni più svariate, magari utilizzando informazioni false e non controllate, perché la blogosfera scateni una sorta di reazione a catena non più controllabile che danneggia irrimediabilmente prodotti e persone.

Le aziende (spesso grandi aziende editoriali e dei contenuti) ed i loro marchi si trasformano, secondo Lyons, in fragili fuscelli esposti alle intemperie: i blogger, a dar retta a Forbes, fanno la figura di crudeli angeli sterminatori ben ritti sui loro castelli di falsità. Un punto di vista parziale, improbabile e certamente controcorrente.

Prendiamo un caso concreto che l’articolista (sciaguratamente per lui) cita: quello da noi forse poco noto dei lucchetti per bicicletta Kryptonite. Un caso che circa un anno fa ha avuto vasta eco nella blogosfera. Kryptonite, che in America è una azienda di primo piano nel suo campo, vende alla bella cifra di oltre 100 dollari un lucchetto, il modello Evolution 2000, non esattamente sicurissimo. Un signore che risponde al nome di Chris Brennan nel 2004 pubblica su un forum la notizia, poi ripresa e documentata da Engadget e da molti altri con un video dimostrativo molto eloquente. L’evolution 2000 può essere facilmente aperto senza chiavi, usando, non una sega elettrica, non una carica di tritolo e nemmeno un tecnologico acido alla 007. Per aprilo è sufficiente una penna bic. Date una occhiata se non ci credete.

Il video ovviamente fa il giro del mondo, l’immagine della Kryptonite a dispetto delle reminescenze legate a Superman, ne esce – come dire – leggermente offuscata e l’azienda si affretta a proporre agli acquirenti del prodotto una rapida sostituzione dell’articolo difettoso. Oggi nel pezzo su Forbes si sostiene che Kryptonite è una delle tante vittime dell’odio dei blogger e che, nella furia denigratoria, tutti i lucchetti prodotti sono stati considerati insicuri mentre solo uno di questi lo era. Si tratta di una bugia ad uso e consumo del lettore credulone. In realtà i modelli interessati dal difetto sono almeno 15, tutti quelli che usano un particolare tipo di meccanismo a tubo cilindrico: il giornalista impegnato a sostenere le sue tesi se ne dimentica o fa finta di nulla. Volendo dirla tutta, Wired aveva a suo tempo scoperto che il difetto era probabilmente noto già nel 1992.

È solo un esempio. Sorvoliamo sulle tesi complottarde di Forbes secondo le quali Google e il suo servizio di hosting-blog blogger.com farebbero da amplificatori alla maldicenza-blog con una audience ormai superiore a quella del New York Times (come se i lettori di un quotidiano ed i sottoscrittori di un servizio internet fossero in qualche misura paragonabili) e lasciamo perdere anche le comiche prese di posizione sui blogger che calano mazzate (“to hammer” nell’originale) su soggetti indifesi come Microsoft, CBS, CNN e compagnia.

Insomma lasciamo stare la spazzatura e tentiamo qualche conclusione utile a comprendere cosa sta accadendo e perché mai una rivista autorevole e conservatrice come Forbes dia voce a simili punti di vista.

Accade che fino a ieri c’è stata la dittatura del marchio. E oggi non c’è più (o c’è molto meno). La rete di informazioni raccolte direttamente dai consumatori sui blog, ma anche in mille altri luoghi della rete Internet, costruisce un patrimonio condiviso disponibile per tutti. Chiunque usi Internet oggi, se lo vuole, può recarsi ad acquistare un qualsiasi prodotto con un bagaglio di conoscenze e informazioni che spesso non solo il venditore finale non ha, ma che nemmeno l’azienda produttrice, nel caso ne avesse necessità, riesce più a tenere nascoste. Il rovescio della medaglia, quello citato nell’articolo in questione, è che certamente non sempre è facile districarsi dentro una massa di dati così ampia da contenere spesso anche tesi assurde false e fuorvianti. Quello che però tutti sappiamo, perché ne abbiamo esperienza diretta, è che oggi orientarsi liberamente ed in maniera proficua è comunque possibile: le bugie in rete hanno per fortuna gambe cortissime.

Le implicazioni economiche di questo cambio di prospettiva sono molto significative, talvolta problematiche. Le aziende da qualche tempo sanno che non potranno bluffare troppo col cliente perché i difetti dei loro prodotti (se ne esistono, e ne esistono spessissimo) rispetto a pochi anni fa diverranno notori molto più in fretta. Dall’altro lato, benché gli strumenti a tutela del consumatore siano in alcuni paesi molto potenti (pensate alle class-action americane contro le batterie degli Ipod) ciò che l’acquirente può fare oggi è iniziare a privilegiare le aziende in grado di ascoltarlo. Un mondo che fino a ieri era popolato solo da sordi sta iniziando lentamente a cambiare. Meno denari urlati in pubblicità e più risorse per la cura del cliente: un cambio di investimenti, per chi ha l’intelligenza di comprenderne la portata, certamente significativo.

Il secondo aspetto importante mi pare essere questo. Salta agli occhi ogni giorno di più il legame perverso che ormai unisce indissolubilmente i media e le aziende. Da questo matrimonio di interessi i lettori dei giornali ed i consumatori dei prodotti risultano invariabilmente esclusi. I giornali vivono dei soldi degli inserzionisti, dalle loro prebende dipendono ormai in buona parte. La stampa mainstream autorevole e libera, a queste condizioni, è una chimera. Ed infatti nessuno ormai fra i consumatori si fida dei pareri che legge sui quotidiani o che ascolta in Tv, dove i prodotti sono tutti belli, i dischi tutti fantastici, le automobili sono tutte “al top della categoria”.

Si tratta di una retorica economica destinata a contrarsi man mano che le persone si trasferiscono in rete.

Non è vero, come scrive Daniel Lyons, che oggi tutte le aziende temono i blog. Sono semmai le cattive aziende che devono temere i blog e più in generale Internet: quelle aziende che fino a ieri avrebbero continuato a produrre lucchetti scassinabili con una bic perché, invece del passaparola di Internet, avrebbero al massimo dovuto sopportare il passaparola segreto e silenzioso del ladri di biciclette. Un prezzo, almeno in un caso del genere, sopportabile. Che aveva il vantaggio di non incidere né sul brand né sul fatturato. Finché è durata.

La falla è stata scoperta all’interno della versione 7.0.19.0 del tool Macromedia e confermata anche per versioni precedenti del player. La versione 8 risulta invece immune al problema, e l’upgrade alla nuova versione è dunque caldamente consigliato da Macromedia al fine di evitare la possibile diffusione di exploit virali.

Le soluzioni possibili sono dunque due: per le versioni del player precedenti alla numero 7 è possibile l’update alla versione 7.0.61.0 (qui il download, riservato specificatamente agli utenti Mac, Win95 e WinNT); la seconda via consigliata è il download della nuova versione 8.0.22.0 del player. Chi fosse già stato in possesso della versione 8 del player prima della scoperta eEye segnalata da Secunia (SA17430) non incorre ora in alcun rischio.

Secunia segnala falle multiple in Skype per Windows, Linux, Mac e Pocket PC e consiglia vivamente di scaricare le versioni aggiornate che le correggono, se disponibili. Attenzione: come notano i commenti, nella versione Mac non ci si può fidare del controllo automatico degli aggiornamenti di Skype, se l’avete attivato. La versione Windows, invece, sembra avvisare correttamente della presenza di un aggiornamento.

Le falle consentono a un aggressore di bloccare il servizio o di penetrare nel computer della vittima. La prima falla è che Skype sbaglia nel gestire i link di tipo ‘callto://’ e ‘skype://’ che servono per esempio per lanciare una chiamata Skype da una pagina Web, e l’errore può essere sfruttato per produrre un buffer overflow, che a sua volta permette di eseguire comandi a piacimento sul computer della vittima. Per far scattare la trappola basta indurre la vittima a cliccare su un link appositamente confezionato.

Una seconda falla, invece, riguarda la gestione dell’importazione dei file Vcard. Per fare vittime è sufficiente indurre l’utente a importare un file di questo genere appositamente confezionato.

Una terza falla è insita nella gestione del traffico di rete da parte di Skype e può essere usata per generare un buffer overflow, con le solite conseguenze.

Secunia dice che l’uso ostile di queste falle fa crashare Skype.

Le falle sono presenti in Skype fino alle seguenti versioni incluse:

* Skype per Windows 1.4.*.83
* Skype per Mac 1.3.*.16
* Skype per Linux 1.2.*.17
* Skype per Pocket PC 1.1.*.6

Al momento sono disponibili versioni aggiornate di Skype che risolvono queste falle per Windows (la 1.4.*.84 e successive), Mac OS X (la 1.3.*.17 e successive) e Linux (la 1.2.*.18 e successive). Non è ancora disponibile la correzione per la versione Pocket PC.

Link articolo originale
Pubblicato da Paolo Attivissimo : 10/26/2005 07:52:00 AM

Sicuramente la correzione sarà apportata nelle succesive release ufficiali.

“I blog sono un importante mezzo di autoespressione, ed e’ nostra intenzione fornire gli strumenti migliori per accedere a questa risorsa unica di notizie, opinioni e commenti. La possibilita’ di ricercare attraverso il contenuto dei blog e’ stata una delle caratteristiche maggiormente richieste dai nostri utenti, per cui siamo molto contenti di poter offrire anche le seguenti funzionalita’:

Gli utenti possono raffinare le loro ricerche in base ai nomi dei blog, nomi degli autori o a uno specifico lasso di tempo. Ricerca Blog utilizza la tecnologia SafeSearch di Google, consentendo agli utenti di gestire il contenuto dei risultati di ricerca.”

Google Ricerca Blog e’ disponibile in italiano, inglese, francese, tedesco, spagnolo, olandese, russo, portoghese brasiliano e coreano, e altre lingue seguiranno.

Maggiori informazioni sono disponibili su http://www.google.it/help/about_blogsearch.html