Deliciously dangerous bookmarks

Pubblicato il: 15/12/2008 — Tematiche: bookmarking,,english,informazioni,sicurezza

[digg-me]Did you know that some bookmarks on Delicious get a dangerous icon, are kept private (“not shared”) and a warning pops up when you try to visit them?

Here’s one instance, a bookmark on of a PNG file* stored locally on my hard disk:
delicious warning closeup

And this is what happens if I click on the “restricted” link: Leggi il resto »

Gli aspetti che mi invogliano a passare a Mac OX 10.5

Pubblicato il: 19/10/2007 — Tematiche: Apple,appunti,informatica,informazioni,sicurezza

Per la serie “a domanda rispondo” su it.comp.macintosh si chiede: “A una settimana da Leopard, quale è la tecnologia che più vi ingolosisce del nuovo OS e che vi convincerà all’upgrade?

Ecco la mia lista ragionata, tratta dall’ elenco ufficiale di Apple delle 300 novità di Mac OS X 10, seguite da una breve nota di commento del sottoscritto:

UI Recording and Playback
“Add even more capabilities to your workflows. Use a new action called Watch Me Do that lets you record a user action (like pressing a button or controlling an application without built-in Automator support) and replay as an action in a workflow.”
Ergo: torna (finalmente) il registratore di azioni?

Dashboard (…) :
Web Clip
“Clip out any portion of a web page and turn it into a Dashboard widget. Just click the new Web Clip icon in Safari and select the portion of the page you want, then click Add to see your Dashboard spring to life with a brand-new widget. The widget is “live” and will update as its page of origin does. You can even customize your widget’s frame.”
Ergo: Si riduce (forse) il gap tra le webapps e il desktop.

Instant Screen Sharing from the Finder
“Start an interactive screen sharing session with other Macs on your network. Just select the Mac from your sidebar and (if authorized) you can see and control the Mac as if you were right in front of it. Change a system preference, publish an iPhoto library, or add a new playlist to iTunes.”
Ergo: formazione a distanza

Screen Sharing
“Collaborate with a buddy via iChat. Work on a Keynote presentation together, surf the web as a team, or help each other with an iMovie project. iChat initiates the connection (asking permission first) with an audio chat so you can talk things through as you work or play. Trade views of each other’s desktops. Even drag files from one computer to the other.”
Ergo: formazione a distanza

Movable Tabs
“Rearrange your tabs with just a drag and drop. Change the order in which they appear or separate them out by pulling them into a separate window.”
Ergo: riorganizzazione in sessioni e ambiti a posteriori.


“Enjoy a higher level of protection. Sandboxing prevents hackers from hijacking applications to run their own code by making sure applications only do what they’re intended to do. It restricts an application’s file access, network access, and ability to launch other applications. Many Leopard applications — such as Bonjour, Quick Look, and the Spotlight indexer — are sandboxed so hackers can’t exploit them.”

Library Randomization
“Defend against attackers with no effort at all. One of the most common security breaches occurs when a hacker’s code calls a known memory address to have a system function execute malicious code. Leopard frustrates this plan by relocating system libraries to one of several thousand possible randomly assigned addresses.”

Ergo: un po’ più sicurezza “out of the box” (e meno corsa all’hardening?)

Guest Log-In Accounts
“Allow anyone to surf the web and check email as a guest on your Mac. When they log out of the guest account, Mac OS X purges the account, removing any trace of their activity. So each time someone logs in as a guest, he or she gets a fresh, unused account.”
Ergo: più facile adottare ed usare il Mac in ambiti educationale e demo.

Wide Area Bonjour
“Access your Macs, at home or on the road, with a single consistent host name. Use this host name whether you’re behind a NAT gateway or hopping across DHCP servers.”
Ergo: vita più facile (spero) per più Mac dietro un router.

E per voi invece?


Pubblicato il: 15/05/2007 — Tematiche: informazioni,segnalazioni,sicurezza

Quello segnalato in “” era purtroppo solo l’inizio.
I messaggi spazzatura arrivati negli ultimi giorni confermano il nuovo “trend” dei puntini nell’oggetto.

Eccone alcuni:

From: "Hester"  Subject: Re: for frie.nd.?
From: "Sally"   Subject: Re:. .T.alking to you
From: "Ali"   Subject: W.ould like to chat with you

Pubblicato il: 10/05/2007 — Tematiche: informazioni,segnalazioni,sicurezza,Web 2.0

Ieri, sul blog di MyTech, ho parlato della preoccupante tendenza degli spammer ad usare oggetti con con pun.ti e sul conseguente rischio di ritorsione degli antispam sulle comunicazioni di servizi leciti con nomi puntati.

Poco dopo aver pubblicato il testo mi arriva in mailbox una comunicazione di me.dium e il rischio di cui parlavo su Mytech diviene palese se si confronta il messaggio arrivato

From: "Me.dium, Inc." Subject: Me.dium Update

con quello di spam giunto qualche giorno prima

From: "Erika"   Subject: Re: Possi.ble

Ogni tuo desiderio…

Pubblicato il: 20/02/2007 — Tematiche:,segnalazioni,sicurezza,Web 2.0

…sarà una funzione futura di! O quasi. ;-)

icona di cocoaliciousAlla fine di ottobre avevo stilato una mia “wishlist deliziosa” in cui scrivevo che sarebbe stato bello ma sopratutto utile se

  • avvertisse dell’aggiunta di qualcuno al network
  • avvertisse dei “links for you”
  • inviasse ping o trackback

Ancora nulla per l’ultima (e niente inserimento codice o script nel campo “Notes”, pare per i possibili e prevedibili rischi di sicurezza) ma ho ottime notizie per le prime due, direttamente dalla mailing list degli sviluppatori di su Yahoo! Groups di cui esiste anche un archivio consultabile via web anche senza iscriversi

Uno degli addetti del servizio di bookmarking, Nick Nguyen, ha risposto alla mia richiesta dicendo che gli avvisi per segnalazioni di link e aggiunte al network sono nella loro lista di cose da fare e prima o poi appariranno tra le funzioni di :)

Quanto sono privati i bookmark su (per il BarCampTurin)

Pubblicato il: 29/11/2006 — Tematiche: appunti,,sicurezza,soluzioni,Web 2.0

Che differenza c’è tra il “do not share” e il “for:” su
E se segnalo qualcosa e poi elimino il bookmark cosa succede?
E se rimuovo l’utente dal network dopo avergli segnalato qualcosa?

Vediamo di rispondere a queste domande che vertono sulla privacy e discrezione degli url sul noto servizio di bookmarking sociale:

  1. i tag “do not share” sono visibili solo se si fa login ma sono invisibili agli altri che consultano i nostri bookmark.
  2. lo stesso criterio di discrezione vale per i tag “for:” ma si aggiunge un altro avente diritto: l’utente di che li ha ricevuti (sperando che non sia incappato nel bug sulle maiuscole/minuscole ancora irrisolto)
  3. il bookmark segnalato con il “for:” sopravvive sia alla rimozione dell’url da parte di chi segnala e anche dell’utente ricevente dal network.
  4. Una volta passato attraverso il meccanismo della segnalazione e comparso nel “links for you” è a tutti gli effetti di proprietà di chi l’ha ricevuto con tutto ciò che ne deriva, ad esempio che quest’ultimo (e solo quest’ultimo) veda il proprietario e tag originari.

Check the Installer

Pubblicato il: 17/09/2006 — Tematiche: Apple,english,informatica,networking culturale,segnalazioni,sicurezza

Nota: Di questo testo esiste una versione in italiano

A malformed Installer package (.pkg) on Mac OS X could be used to insert user accounts with administrator rights and change root-owned system configuration or binary files without prompting the vast majority of Mac OS X users for a password of any kind.
This is what claims a piece called “How a Malformed Installer Package Can Crack Mac OS X” on the MacGeekery web site. Looks like it is a known issue, first discovered in July of this year on the Apple discussion forums and officially acknowledged but not yet patched.

The insecurity works with an Admin user and exploits the AdminAuthorization key in Installers: according to the documentation this is not a expected behavour and could be used to modify root-owned files such as /etc/sudoers. Nonetheless it is used by software installers such as Parallels that adds new kernel extensions and flushes the cache, as stated in the piece and confirmed -among others- by a comment following my submission at Slashdot.

For a solution another comment suggests that using a non-Admin account an Admin password is asked by the Installer (so as it should be, ie using Terminal you need to prefix sudo), behaviour which could also minimize other security issues.

Materiale più stagionato »