SIAMO GEEK

Autore: Luigi Rosa

  • Non è così che si assemblano i rack

    Montaggio rack: FAIL!

    I rack informatici da 19 pollici hanno poche regole precise e, spesso, disattese.

    L’unità di misura verticale è la unit (abbreviata U), che corrisponde a tre buchi, ma non tre buchi presi a caso!

    I buchi nelle staffe verticali sono separati alternativamente da due distanze maggiori e una minore, è la distanza minore che separa le unit. Alcuni rack hanno anche un piccolo foro aggiuntivo all’esterno del terzo foro di una unit (quello più in alto, le unit si contano sempre dal basso). Alcuni rack hanno anche le unit stampate sulle quattro staffe verticali, per fare in modo che quasi tutti riescano a capire.

    Quasi tutti, appunto, perché c’è qualcuno che, evidentemente, non ha ancora capito, come mostra la foto a fianco.

    Il mancato rispetto delle unit ha come effetto immediato una maggiore fatica nell’installazione del dispositivo: no, caro maniscalco riconvertito, non stai facendo fatica perché il rack è fatto male! L’effetto più a lungo periodo è ovviamente quello di uno spreco di spazio perché un dispositivo che non rispetta le unit finirà per occupare una U in più.

    (altro…)

  • Tracciare gli utenti tramite la cache del browser

    Ci sono vari modi con i quali è possibile tracciare gli utenti anche senza l’utilizzo dei cookies, di seguito elenco quelli citati da Mike Cardwell.

    • Entity tag
      Il server web  invia un header HTTP di questo tipo:
      ETag: "un_id_univoco"
      Quando il browser ricarica la medesima risorsa in un momento successivo invia un header HTTP di questo tipo:
      If-None-Match: "un_id_univoco"
    • Dati creati ad arte nel header Last-Modified
      Il server può inviare un header di questo tipo:
      Last-Modified: data_univoca_creata_ad_arte
      Quando il browser ricarica la medesima risorsa in un momento successivo invia un header HTTP di questo tipo:
      If-Modified-Since: "data_univoca_creata_ad_arte"
    • ID univoco mascherato in un CSS
      Il server invia al client un CSS generato dinamicamente come questo con una data di scadenza della cache molto lunga:
      #elemento { background-image:url('/tracker.php?un_id_univoco') }
      Quando il browser (ri)carica ricarica l’URL specificato, il server traccia l’ID univoco e invia un elemento con un header HTTP che ne inibisce la conservazione nella cache.
    • Nascondere un ID univoco in un’immagine e leggerela con JavaScript e canvas.
      Il server invia un’immagine con un ID univoco al client specificando un tempo di permanenza in cache molto lungo. In seguito, l’ID può essere recuperato con la funzione canvas di JavaScript.

    (altro…)

  • Un astronauta dell’Apollo XIV sulla politica

    Via Boing Boing.

  • T-shirt cyberpunk

    I due capisaldi della corrente cyberpunk sono stati senza dubbio la trilogia dello sprawl di Gibson e Blade Runner, uno per aver aver dato forma a questo sottogenere l’altro per averlo visualizzato.

    Negli anni ’80 molti degli appassionati che possedevano un computer avevano sul case o da qualche parte un riferimento alla trilogia di Gibson. Per quanto mi riguarda, il mio primo portatile, uno Zenith SupersPORT 80386, aveva all’esterno un’etichetta ONO-SENDAI.

    Per tutti i cowboy che non riescono a vedere una TV sintonizzata su un canale morto senza pensare al cielo sopra al porto, questo è il posto dove comperare delle magliette.

  • ISS tracker

    Ci sono molti programmi che tracciano la posizione della IIS in tempo reale, sia via web sia per smartphone.

    Questo tracker dell’Ente Spaziale Europeo merita di essere segnalato.

    A schermo normale mostra la posizione della ISS sul planisfero e il dettaglio su Google Maps dell’area che sta sorvolando la ISS.

    Le indicazioni AOS e LOS indicano rispettivamente la presenza o l’assenza di collegamento con la ISS.

    Se si seleziona la modalità a schermo intero, si vede solamente il planisfero e la pagina può essere lasciata attiva su un computer, magari in uno schermo della computer room… (via Matthijs R. Koot)

     

  • La giusta scelta della password

    La forza di una password è inversamente proporzionale alla facilità con cui un sistema automatico riesce ad indovinarla.

    Posto che non vengano utilizzate parole incluse nei dizionari di password (123456, password, password123) e nei dizionari propriamente detti, ad un attaccante restano o un attacco probabilistico o la forza bruta.

    Bisogna chiarire subito che i sistemi attuali di attacco non si fanno più fregare dalle permutazioni simil-1337, quindi p@55w0rd ha la stessa forza di password.

    L’attacco basato sulla forza bruta deve fare i conti con una progressione geometrica del numero di tentativi. Consideriamo l’insieme delle lettere dell’alfabeto internazionale minuscole e maiuscole (52), le cifre dei numeri arabi (10), e, per puro esercizio, 15 tra segni di interpunzione e simboli matematici: abbiamo un set di 77 caratteri.

    Con una password di 8 caratteri (il minimo richiesto dalla legge per i dati personali) le combinazioni son 77^8, ovvero 1.235.736.291.547.681, circa 1,23 * 10^15

    Ma se si incrementa del 50% il numero di caratteri e si va a 12, con lo stesso set le combinazioni sono 77^12, ovvero 43.439.888.521.963.583.647.921, circa 4,34 * 10^22, sette ordini di grandezza più del precedente. Con 1.000 tentativi al secondo, un computer impiegherebbe 4,34 * 10^19 secondi per beccare la password, ma se voi la cambiate ogni 6 mesi (pari a 1,57 * 10^7 secondi)…

    Quindi una password tipo 87:kH=1a è molto meno sicura di vivvallapapppa ed è molto meno facile da memorizzare, come illustrato anche dalla strip di oggi di xkcd:

     

  • Blackbuntu

    Blackbuntu è una distribuzione Linux basata su Ubuntu 10.10 dedicata ai test di penetrazione dei sistemi e dintorni.

    La distribuzione può essere scaricata in vari formati: ISO live, VMware e Virtual Box; tutte le versioni sono disponibili in versione 32 bit o 64 bit e si scaricano via Bit Torrent. La versione per VMware è in formato 6.5/7 e si apre senza bisogno di modifiche direttamente da VMware Workstation 7.

    Tutte le utility incluse nel kit sono organizzate per categoria nei menu di gnome; ovviamente per le utility command line il menu richiama una shell bash.

    Da segnalare il fatto che tra le utility sono incluse quelle di analisi VoIP e di informatica forense.

    Completa il quadro la suite completa di LibreOffice, utile per documentare l’attività.

  • Newton al comando

    Ieri ho assistito alla conferenza che Paolo ha tenuto al Brallo (PV) e alla successiva serata di osservazione organizzata da Astrobrallo: guardare le stelle è sempre un’emozione, se poi lo si fa in amicizia e con persone simpatiche l’emozione viene elevata al quadrato.

    Sia durante la conferenza che durante la grigliata che ha accompagnato l’osservazione astronomica ho notato che qualcuno spesso non tiene conto dell’ineluttabilità delle leggi fisiche del moto. Probabilmente ciò è anche colpa del fatto che utilizziamo lo stesso termine per spiegare un fenomeno fisico e per definire un insieme di regole stabilite da un organo dello Stato. Ma purtroppo non c’è nessun TAR del Lazio che può annullare una legge fisica in uno spazio newtoniano: quella è, che vi piaccia o no.

    Benché la meccanica newtoniana sia un pochino più complessa di quella classica per via del calcolo infinitesimale, è pur sempre una disciplina deterministica, che ha dato, per qualche secolo, agli uomini l’illusione di vivere in un mondo assolutamente deterministico.

    Nello spazio, sempre a velocità e sulle scale dei mezzi di trasporto umani, in cui non c’è la variabile dell’atmosfera planetaria a complicare la vita, le leggi fisiche sono assolutamente deterministiche e prevedibili, ed è proprio questo che ha portato il LEM dell’Apollo XII ad allunare esattamente (con un trascurabile margine di errore) dove era stato stabilito che allunasse. È anche per questo che gli americani nelle missioni Gemini sono riusciti a compiere nel 1966 in rendezvous con un veicolo in orbita lanciato in precedenza. Alla fine è solamente una questione di fare dei rilievi e dei calcoli.

    Certamente, negli anni ’60 del secolo scorso la possibilità di macinare i numeri nelle quantità e nei ritmi richiesti da una missione spaziale non era da tutti. Secondo alcuni (Gene Kranz o Chris Kraft nei loro libri, non ricordo esattamente chi dei due) uno dei fattori determinanti che ha fatto vincere agli USA la corsa verso la luna è stato proprio il fatto di avere a disposizione computer molto potenti in grado di eseguire i calcoli necessari per risolvere le equazioni newtoniane.

    Per ora, nei voli spaziali umani Newton è e rimane al comando e i piloti devono per forza parlare con lui per scegliere dove andare.

  • Un anno di Siamo geek

    Siamo geek compie un anno.

    Un anno da quando ho deciso, con il supporto di alcuni amici, di creare questo blog.

    In un anno sono stati pubblicati circa tre articoli ogni due giorni e i commenti approvati sono poco più del doppio degli articoli.

    Grazie a tutti. A tutti quelli che hanno collaborato, a tutti i lettori e a tutti quelli che hanno sostenuto in vari modi, tutti apprezzati, questo blog.

  • Bravo VMware!

    In una mail indirizzata ai partner commerciali VMware ha annunciato di aver corretto lo schema delle licenze del nuovo vSphere 5.

    La correzione fa seguito ad un mese di… burrasca delle comunità online che non hanno reagito proprio bene al nuovo schema di licensing.

    In VMware 5 le licenze sono basate sulla quantità di memoria assegnata alle macchine virtuali accese (vRAM). Rimando alla documentazione appropriata la spiegazione del concetto di vRAM e dei metodi di calcolo.

    La notizia degna di nota è che VMware ha ascoltato le lamentele degli utilizzatori, che hanno spiegato in dettaglio come e perché le quote di vRAM stabilite inizialmente e i metodi per calcolarle facevano perdere parte dei vantaggi della virtualizzazione.

    Benché in una posizione dominante, VMware ha ascoltato le lamentele e ha deciso di correggere al rialzo le quote di vRAM (+100% per le licenze Enterprise+ ed Enterprise e +33% per Standard, Essentials+ ed Essentials). Inoltre il metodo di calcolo della vRAM si basa su una media annuale e non viene più calcolata in modo continuo, favorendo chi appronta ambienti temporanei di sviluppo, dove la virtualizzazione è fondamentale, o ha brevi periodi di migrazione con sovrapposizione di due ambienti.

    Dove altre società di software in posizione dominante di mercato impongono unilateralmente le licenze, VMware si distingue per stabilire un dialogo con chi, dopotutto, paga le fatture.

  • Zero day in un’utility di visualizzazione immagini di WordPress

    È stata scoperta una vulnerabilità nell’utility TimThumb utilizzata da molti temi di WordPress per visualizzare le immagini.

    TimThumb è ampiamente utilizzato da numerosi temi, sia gratuiti sia commerciali.

    La vulnerabilità può essere sfruttata per caricare ed eseguire del codice PHP direttamente dalla directory di cache di TimThumb.

    Per risolvere il problema bisogna cercare il file timthumb.php all’interno dell’installazione di PHP e modificarlo, se necessario. Se viene utilizzato da un tema, il file si trova in wp-content/themes/[nome del tema]/ o in una delle sue sottodirectory.

    Il metodo per trovare il file, se esiste, e di editarlo dipende dall’installazione di WordPress e dalla modalità con cui si accede ad essa.

    Una volta identificato il file, bisogna cercare nelle prime righe se esiste questo pezzo di codice:

    // external domains that are allowed to be displayed on your website
$allowedSites = array (
        'flickr.com',
        'picasa.com',
        'blogger.com',
        'wordpress.com',
        'img.youtube.com',
        'amazonaws.com',
);

    che deve essere sostituito con un array vuoto:

    // external domains that are allowed to be displayed on your website
$allowedSites = array ();

    Se il codice non esiste, si sta utilizzando una versione più vecchia dell’utility, che non dovrebbe essere interessata dal baco.

    Per la cronaca, la skin di Siamo Geek non contiene TimThumb. (via The Hacker News)

  • VMUG IT – 5 ottobre 2011

    Il VMware User Group italiano ha annunciato la data del prossimo meeting, libero a tutti.

    L’incontro si terrà il prossimo 5 ottobre all’hotel NH Milanofiori, Strada 2a, Milanofiori, Assago (MI).

    La mattinata trascorrerà con i panel dedicati a vari argomenti tra cui  vSphere 5, Splunk e il nuovo sistema di licensing, che tanto ha fatto discutere la community di VMware.

    Dopo il break (offerto dagli sposnor!) ci sarà una tavola rotonda dedicata al backup in cui veri utenti (non i commerciali, ma gli utenti) illustreranno la loro esperienza con diversi prodotti di backup di VMware e risponderanno alle domande e alle curiosità del pubblico.

    Come la scorsa edizione, che ha visto un centinaio di partecipanti, lo scopo di questo evento è di mettere in contatto le persone che utilizzano VMware perché condividano le loro esperienze.

    Segnatevi la data del 5 ottobre e iscrivetevi gratuitanente qui.