A Human Fail

Per le strade di Milano è abbastanza comune vedere in questi giorni un manifesto su cui campeggia un astronauta in tuta EVA e sullo sfondo il pianeta Terra visto dallo spazio.
Una simile immagine non poteva naturalmente sfuggire al geek sense e quindi mi sono avvicinato subito a uno di questi cartelloni dopo averlo visto con la coda dell’occhio.

Pare che si tratti della edizione italiana della mostra NASA. A Human Adventure.
Apparentemente si fa molta fatica a trovare informazioni su questa mostra online. Google come primo risultato riporta una notizia sul sito dell’Unione Astrofili Italiani che però sembra stata rimossa. Le ho dato una occhiata dalla cache di Google.

Mi sono accorto solo il giorno dopo dell’esistenza anche di un sito con dominio .it che ho prontamente visitato.
www.ahumanadventure.it: una pagina bianca. Leggi tutto “A Human Fail”

La bella idea del localStorage

Frutta secca / Dried fruitIn principio erano i cookie: qualcuno aveva avuto l’idea di permettere al server di salvare dei dati in locale sul browser.

A parte qualche correzione di rotta per evitare problemi di sicurezza, i cookie sono sempre rimasti relativamente innocui dal punto di vista dello spazio occupato, in quanto sono limitati a 4096 byte: hai voglia a riempire una partizione utente a botte di file di 4k…

Con HTML5 qualcuno ha pensato di aggiungere il Web Storage a JavaScript per la gestione di una serie di coppie chiave-valore da registrare lato client. Anche le analisi delle possibili implicazioni di sicurezza fatte dal W3C non prendono in considerazione la possibilità che venga riempito lo spazio libero di una partizione.

Questo perché i browser applicano dei limiti allo spazio allocabile da ciascun dominio: 2,5 Mb per Chrome, 5 Mb per Firefox e Opera e 10 Mb per Internet Explorer.

Leggi tutto “La bella idea del localStorage”

HTML5: raccolta di vulnerabilità

Nato dopo una serie di frizioni e malintesi, HTML 5 sta diventando il nuovo standard delle pagine web.

Come successo fin dagli inizi della diffusione del web, il nuovo livello del linguaggio HTML diventa uno standard nel momento in cui i browser più diffusi lo supportano.

Allo stesso modo, ciascun motore di rendering alla base dei vari browser supporta un set di markup del linguaggio e ogni tanto lo fa a proprio modo oppure ha delle estensioni che funzionano solamente con quel motore. Qui e qui ci sono delle tabelle comparative relative a HTML5.

Ovviamente nuovi markup significano nuove vulnerabilità, rese più insidiose dall’integrazione di JavaScript, il quale si porta dietro il rischio di attacchi XSS.

HTML5 Security Cheatsheet è un sito che raccoglie le vulnerabilità dell’implementazione di HTML5.

Leggi tutto “HTML5: raccolta di vulnerabilità”

Settimo: non rubare

La copiatura di codice HTML, CSS o JavaScript da altri siti è una pratica vecchia come il web ed è una delle attività, se praticate con moderazione, che serve a migliorare il web stesso.

Alcune volte qualcuno oltrepassa la misura e, vuoi per pigrizia, vuoi per fare le cose rapidamente, sfrutta le potenzialità del linguaggio HTML e referenzia degli script direttamente dalla fonte, senza nemmeno copiarli sul proprio server, in questo modo:

<script src="http://www.alfredapp.com/js/jquery-1.4.1.min.js" type="text/javascript" charset="utf-8"></script>
<script src="http://www.alfredapp.com/js/facebox.js" type="text/javascript" charset="utf-8"></script>
<script src="http://www.alfredapp.com/js/jquery.validate.pack.js" type="text/javascript" charset="utf-8"></script>
<script src="http://www.alfredapp.com/js/jquery.cycle.all.min.js" type="text/javascript" charset="utf-8"></script>

Ed ecco la punizione che si abbatte sul sito che ha rubato il codice:

(via Mikko Hypponen)