Rebate

Dec 18, 2008 - 0 comments - Archiviato in: #Cazzate

Devo per forza dedicare un post al fenomeno prettamente americano dei rebate (noto anche come MIR). Chi ha pazienza di leggere un articolo lunghetto in inglese può trovare tutte le spiegazioni in questa pagina.

Rebates

Un rebate è uno sconto postumo che viene inviato a casa, previa registrazione presso chi lo offre (può essere il produttore ma anche il rivenditore) compilando un modulo cartaceo ed includendo il codice a barre del prodotto acquistato. Dopo un certo lasso di tempo di processing viene recapitato un assegno pari all’importo del rebate al registrante. Il problema è che il meccanismo dei rebate è piuttosto eterogeneo e non tutti i venditori offrono lo stesso tipo di garanzie. In generale gli sconti dei produttori sono piuttosto affidabili in quanto mirano a passare il ribasso direttamente al cliente evitando che il ribasso del prezzo venga cannibalizzato dal rivenditore. La stessa cosa non è valida per i rebate offerti direttamente dai rivenditori che il più delle volte utilizzano meccanismi di registrazione volutamente convoluti per fare in modo che il rebate non sia applicabile; questo accade molto raramente con i rebate dei produttori, ma accade lo stesso.

A complicare le cose c’è il fatto che purtroppo le tasse (l’equivalente dell’IVA) si pagano sul prezzo pieno per cui calcolare il prezzo reale diventa un gioco matemagico. Alcuni rivenditori molto affidabili utilizzano un sistema completamente on-line generando un codice unico per il tipo di prodotto direttamente sullo scontrino, ma per chi fosse sprovvisto di qualsiasi forma di connessione a internet può sempre far riferimento al processo cartaceo.

Ci sono casi rari in cui il rebate è superiore al prezzo totale incluso di tasse: se non fosse per il fattore rischio mai nullo sarebbe comunque una pacchia, ma così non è.

Wikipedia dedica un’intera sezione ai vantaggi che un rebate promozionale può avere dal lato sia del venditore che del compratore. Giusto per la cronaca, l’ultimo rebate produttore per un banco di memoria da 2GB comprato da Fry’s ha richiesto i seguenti passi:

  • scaricare un PDF online con le istruzioni per il rebate. Il link era stampato in maniera semi-sbiadita sullo scontrino
  • le istruzioni a loro volta riportavano un codice numerico da inserire nel sito del produttore per accedere alla pre-registrazione online
  • una volta immessi i dati per la pre-registrazione è comparso un altro codice insieme ad un link contenente il modulo rebate compilato completamente e corredato di istruzioni; il codice sarebbe dovuto servire per eventuali problemi nella stampa del modulo
  • ritagliare il codice a barre e appiccicarlo sul modulo, nello spazio designato, con del nastro adesivo. Le istruzioni indicano chiaramente che usare la spillatrice porterà (nel senso di ‘con certezza’) ad inevitabili ritardi, come pure spedire il codice a barre in maniera “sfusa” (?); nessuna penalità è indicata per l’uso della colla ma non me la son sentita di rischiare
  • allegare (non è spiegato come, ma immagino in maniera sfusa) la copia apposita dello scontrino
  • infine fotocopiare e spedire il tutto all’indirizzo di destinazione

Tale processo è un po’ fuori dal comune ma dà correttamente l’idea di come funziona la gara ad ostacoli.

Infine è interessante notare che qualsiasi tentativo di approfittare del meccanismo dei rebate è considerata frode postale che è un reato federale. Caveat emptor.

-quack

Hardware Upgrade ++

Dec 17, 2008 - 0 comments - Archiviato in: #Cazzate

Questo post non centra un fico secco con i computer (o quasi; i PC sono impossibili da evitare). Ieri mi è arrivata la nuova Canon VIXIA HF 100, primo camcorder HD tapeless.

Vixia

La notizia che ha fatto scattare la molla è quanto mi ha detto un collega: su una SD da 16GB c’è abbastanza spazio per 2 ore di filmato a qualità massima compresso in AVCHD. Non che mi importi molto dell’alta definizione, ma è meglio avere molti pixel in più quando la compressione si fa spinta per arrivare a destinazione con una qualità decente. I costi già bassi ma in prospettiva ancora più bassi delle schede SDHC mi hanno convinto che questa è la scelta giusta anche rispetto al modello leggermente più costoso HF 10 con 16GB già inclusi. Passare contenuti dal camcorder al PC via firewire è obsoleto: è il principale motivo per cui non ho mai avuto abbastanza pazienza per testare PE4; per fortuna sono riuscito a corrompere lo stesso collega a farmi comprare la versione 7 di Premiere Elements che include, guarda caso, il supporto nativo per AVCHD. Nota stonata la mancanza di un carica batterie separato: l’unico modo per caricare la batteria è alimentare direttamente il camcorder. Forse mi rivolgo al mercato della componentistica “compatibile” prima del compimento della visita parenti che comincia domenica prossima: due cognati e tre nipoti spassosissimi. Roba da ispirare anche Spielberg!

-quack

Digital Cable Conversion

Dec 16, 2008 - 0 comments - Archiviato in: #Cazzate #Video

Tra poco più di due mesi il passaggio al “digitale terrestre” in America sarà totalmente irreversibile. La maggior parte delle persone ha già provveduto a dotarsi di decoder gratuito (dopo rebate), ma qualche anziano che di digitale non ne sa proprio niente finirà sistematicamente per avere problemi. Questo spot racconta fedelmente quello che succederà quando qualche simpatico nonnino cercherà di connettere l’accrocchio alla TV:

nonnina digitale

-quack

10.5.6

Dec 16, 2008 - 0 comments - Archiviato in: #Apple #Security

È disponibile il nuovo aggiornamento per OSX. Tra le “novità:”, scusassero il sarcasmo, il 10.5.6 Improves Time Machine reliability with Time Capsule. Un po’ come è successo per quasi tutti gli altri aggiornamenti fino ad ora e mi fa chiedere qual’era la qualità di Time Machine/Capsule. Giusto per ricapitolare:

10.5.1:

Time Machine
Addresses formatting issues with certain drives used with Time Machine (specifically, single-partition MBR drives greater than 512 GB in size as well as NTFS drives of any size and partition scheme).
Resolves an issue in which files restored in Time Machine may be restored to the backup hierarchy rather than the folders to which they belong.

10.5.2:

Time Machine
[…]
Improves backup reliability when computer name contains slash or non-ASCII characters.

10.5.3:

Time Machine
[…]
Updates Time Machine to reliably restore attachments and messages in Mail.

10.5.5:

Time Machine
[…]
Improves Time Machine reliability with Time Capsule.

Nota positiva, la 10.5.6 sistema una ben nota vulnerabilità:

CVE-2008-4224: An input validation issue exists in the handling of malformed UDF volumes. Opening a maliciously crafted ISO file may lead to an unexpected system shutdown. This update addresses the issue through improved input validation.

Dopo sei aggiornamenti finalmente “qualcuno in Italia” se ne è accorto. Un ringraziamento a Mauro Notarianni per aver dimenticato di citare la fonte.
-quack

Fiji de p*ta

Dec 15, 2008 - 0 comments - Archiviato in: #Security

Chiedo scusa per l’espressione colorita riferita ai soliti str*nzi cinesi alla ricerca di password per World of Warcraft et similari.

Due parole sull’ultima vulnerabilità di IE7. È seria, per tanti motivi, ne elenco almeno un paio:

  1. questa gente è alla ricerca di password e cookie; il protected mode purtroppo non serve a proteggere dalla lettura, ma solo dalla scrittura.
  2. gli str*nzi di cui sopra stanno sfruttando vulnerabilità da SQL injection per infettare a gogo tramite IFrame. Questo significa che molti siti “tranquilli” potrebbero diventare portatori sani della vulnerabilità.

Il consiglio migliore è quello di navigare al largo usando una virtual machine continuando ad usare il browser preferito (IE7, Chrome, Firefox, ecc.) FUORI dalla virtual machine per siti “protetti” (banche serie et. similia).

Firofox non è una soluzione. Safari/Chrome neanche (thanks Rocco). È immaginabile che presto gli attacchi diventeranno sempre più elaborati.

L’evoluzione della vicenda può essere seguita sul sito ufficiale o in alternativa sui soliti siti molto informati.

-quack

Automobilisti del Nord West

Dec 14, 2008 - 0 comments - Archiviato in: #Cazzate #Seattle e dintorni

Guidare a Seattle non è come guidare in nessun’altra parte del mondo per quanto riguarda la fauna automobilistica e questo è dovuto essenzialmente a quattro fattori:

  1. il cambio automatico, molto popolare in America. Chi guida il cambio manuale è considerato esemplare da museo (vedasi sottoscritto)
  2. il livello di melting pot: si dice che Seattle sia una delle città più eterogenee di tutti gli Stati Uniti a livello di provenienza geografica dei suoi abitanti; probabilmente quindi anche di tutto il mondo
  3. il livello di geekness: la concentrazione di geek “puri” a Seattle, ovvero di gente incapace di sostituire una ruota di scorta, è una delle più alte del mondo
  4. l’aria generalmente rilassata e cool se confrontata con la frenesia di altre metropoli (Los Angeles, Seattle).

Il risultato è un campionario di manovre e situazioni automobilistiche altrove impensabili. Questi alcuni stereotipi che ho individuato:

Gli accodati: quasi tutte le strade “normali” hanno due corsie per ogni senso di marcia, quelle a più alta percorrenza hanno tratti a tre corsie soprattutto nelle vicinanze dei semafori. In queste condizioni ad un semaforo rosso ci si aspetterebbe che le macchine si distribuiscano equamente tra le due corsie senza svolta obbligatoria. Invece molto spesso capita di vedere una delle due corsie avere code di 10-15 veicoli in più rispetto all’altra per nessun motivo apparente.

I sorpassatori da manuale: per lo stesso motivo di cui sopra relativo al numero di corsie “sorpassare” è una operazione teoricamente molto semplice: si cambia corsia e si prosegue. I sorpassatori da manuale, sempre senza nessun motivo apparente, una volta superato il veicolo “lento” ritornano sulla corsia di prima certe volte senza neanche lasciare molto spazio dietro di loro e tagliando di fatto la strada a coloro che hanno appena superato.

Gli indecisi: gli indecisi cambiano corsia inutilmente e più volte.

Gli indaffarati: guidano ma al tempo stesso mangiano un biscotto inzuppato nel caffelatte alle tre del pomeriggio e tra un biscotto e l’altro leggono l’ultimo romanzo di Danielle Steel. Ne ho beccato una che in un momento di traffico intenso tra una frenata e l’altra spuntava le unghie dei piedi.

Gli imbranati: di solito provengono da piccoli paesini extra continentali molto rurali e sono abituati al traffico di un motoveicolo per kilometro quadro e a dare spesso la precedenza ad animali quadrupedi. Guidano come se fossero indaffarati-indecisi-accodanti ma senza averne nessun’altra peculiarità.

I corollari: sono quelli che guidano una Toyota Corolla. Sarà placebo ma da quando ho cominciato ad ipotizzare la correlazione tra Corolla e modo di guidare vado sempre più convincendomi che siano i più pericolosi automobilisti in circolazione. Può darsi che in altre parti del mondo i corollari siano ottimi automobilisti, ma non a Seattle e Dintorni.

-quack

Miti Microsoft: James Hamilton

Dec 13, 2008 - 0 comments - Archiviato in: #Microsoft

Non dimenticherò mai il giorno e il modo in cui ho conosciuto James Hamilton. Erano gli ultimi giorni precedenti il rilascio di .Net 1.1 e c’era un baco James Hamiltonnel DataSet improvvisamente venuto fuori a causa di alcune modifiche alla temporizzazione dei thread che gestiscono la garbage collection nella CLR. Il baco era in un pezzo di codice che nessuno aveva toccato da mesi ma che appunto era stato esposto da cambiamenti esterni. Schivata la pallottola della regression, che può risultare molto velenosa se il prodotto è in dirittura di arrivo, è cominciata l’analisi del baco e la proposta della fix. Ero pronto per affrontare la war-room, quando all’improvviso si presenta nel mio ufficio il capo del mio capo (Dev Manager) presentandomi James: blue jeans, chiodo e la stessa capigliatura da rock star come da foto, sono rimasto esterrefatto quando il Dev Manager ha detto che James era il suo capo. Era da pochi giorni diventato GM del mio team e pensavo che fosse una strana visita di cortesia ma James mi spara a bruciapelo domande molto tecniche riguardo la fix. Wow, sono rimasto molto sorpreso dalle sue competenze e lui felice di essere in buone mani per quello che stava per accadere nella war room. Da allora si è creato un rapporto più amichevole del solito rapporto tra GM e dev. Lui poi è finito ad architettare data-center in roulotte, io nei meandri di Windows e non ci siamo più potuti beccare. Anyway…

Era da tanto che avrei voluto scrivere due righe su di lui, mi è sembrato appropriato farlo prima che rendesse definitiva la sua dipartita dal Campus per la volta di Amazon nel ruolo di VP per i Web Services. Sono contento che, in fin dei conti, lascia per inseguire ancora una volta la sua passione. Che sagoma!

-quack

P.S. il baco nel DataSet poi non fu accettato: il cliente, anche se importante, stava usando alcune API in maniera non supportata. Rischiare di destabilizzare tutto il DataSet per i capricci di un baco fu considerata a giusta ragione mossa molto azzardata. Ma mai 10 righe di codice furono analizzate con più meticolosità

Appello

Dec 11, 2008 - 0 comments - Archiviato in: #Cazzate #Video

Premessa: non mi interessa parlare di politica su questo blog. Ho rispetto per quello che io chiamo”il mio Presidente”, un po’ meno per le sue gaffe internazionali. Però siccome mi è sembrato che nessuno abbia colto la genialità di questa perla, perdonate l’abbondante off-topo.

Senza parole.

-quack

P.S. l’episodio è andato in onda al TG delle venti del 6 dicembre 2008.

CUDA, OpenCL e Windows 7

Dec 11, 2008 - 0 comments - Archiviato in: #Apple #Windows

Segnalo questo post interessante e provocatorio di Adrian: Could Snow Leopard leave Windows 7 eating its dust?

Interessante perché Adrian si sofferma sull’unica informazione reale disponibile oggi su Snow Leopard, ovvero le specifiche OpenCL. Provocatoria perché la questione di fondo su OpenCL, ovvero il fatto che siano multi-piattaforma - mi ha fatto riflettere parecchio e portato alla mente il confronto OpenGL vs. DirectX proposto in questo thread. Concordo con NonZealot, in certi settori molto verticali la compatibilità multi piattaforma è una qualità poco ricercata.

E poi a proposito di multi piattaforma mi è venuto in mente un aneddoto: c’era un gioco online ed open source che mi piaceva molto ma il cui sviluppo languiva e progrediva a passi di bradipo. Il gioco era scritto in C++ ma usava librerie multi piattaforma (WxWidget/OpenGL) anche se era rilasciato solo per Windows. Alla mia domanda se avesse senso continuare col C++ o passare a C# che offre un framework molto più completo e robusto, mi è stato risposto che fosse imperativo supportare più piattaforme. Sono passati 3 anni, la versione ‘2.0’ langue e se mai verrà rilasciata entro il 2010 funzionerà solo su Windows. Se fosse stato un prodotto commerciale, una politica del genere sarebbe stata sicuramente suicida. Morale della favola, anche se con CUDA/OpenCL questo inciso non centra un fico secco, molto spesso ad uccidere non è cattivo codice ma l’over-engineering.

-quack

P.S. credo che questi aggiornamenti Apple volti a “migliorare” la stabilità del sistema possano essere considerati indizi sufficienti a dimostrare che i problemi menzionati nel post precedente siano tutto fuorché FUD. Se tre indizi fanno una prova…

P.S.2: dimenticavo due bachi importanti Zero Day descritti in questo post. Uno molto grave riguarda IE7 su Vista SP1, anche se è descritto molto peggio di quello che è in realtà (rimane molto grave). Il fatto che l’exploit sia apparso il giorno dopo il patch Tuesday significa che qualcuno punta a farci lauti guadagni anche se mi meraviglia il fatto che in Cina gli account dei giochi online si vendano come le caldarroste. La Cina per me rimane un mistero.

ZuneGate, AppleGate e GoogleGate

Dec 9, 2008 - 0 comments - Archiviato in: #Cazzate

Mentre le uniche “notizie” con qualche fondamento dal mondo Apple sembrano essere solo guai con i nuovi MacBook (a quanto pare su alcuni modelli fare l’upgrade della costosissima RAM porta a freeze improvvisi e casuali; su altri sembrano esserci problemi con la scheda grafica che porta invece a freeze improvvisi e causali) è fresca di qualche giorno la simpatica protesta degli Apple fan nei confronti del neo-eletto presidente Obama definita ZuneGate: simpatica come un brufolo sul posto più inappropriato perché – aldilà se il presidente in pectore usi o meno uno Zune – il motto “think different” mal si applica agli iPod che sul mercato hanno quote da maggioranza bulgara, oltre ad essere nelle versioni base dei player molto scadenti se confrontati con uno Zune. A proposito di sensibilità: il mondo dei Zune fan da poco annovera anche Manuel De Icaza, affascinato dal modello di jukebox in the cloud offerto dalle subscription mensili. Sensibilità totalmente contrapposta allo stile neo-zoticon di certi personaggi pseudo-biblici.

Notizia altrettanto fresca ed interessante il rilascio della piattaforma CMS che è alla base di siti come Mix dal nome di Oxite. Completamente riscritta da 0 sotto ASP.Net MVC presenta spunti alquanto interessanti nonostante sia ancora una Alpha (MVC stesso è una beta).

Sul fronte Google notizia altrettanto interessante il rilascio di NativeClient, che a me suona tanto di resa sul fronte JavaScript. Sono molto scettico a riguardo vista già la serrata battaglia tra Adobe Flash (ubiquo) e SilverLight (tecnicamente superiore e DRM friendly) però il progetto sembra tecnicamente interessante. La domanda che mi chiedo è: ce la faranno i nostri eroi a tirare fuori l’ennesima VM che possa soppiantare un intero OS? Da cui tutto il mio scetticismo…

-quack


[1] Non ne possiedo uno, ma ammetto che l’effetto subscription + 10 download mi ha messo l’acquolina in bocca…

Senza

Dec 9, 2008 - 0 comments - Archiviato in: #Cazzate

Bottino del weekend: 3 dei miei problemi con il DELL Studio sono – forse – definitivamente risolti: parlo del problema numero 1. (insonnia), numero 3. (coma) e numero 8. (crappy video).

La soluzione del primo, che a questo punto sospetto sia dovuta alla installazione da zero che resetta alcuni parametri vitali, è descritta in questo post. Per il coma, ovvero tempi di risveglio esageratamente lunghi, problema che avevo già segnalato come scomparso ma che è misteriosamente riapparso come il primo, pare che sia stato benefico l’aggiornamento del driver del fingerprint reader. In questo caso la nota di rilascio recita: Added the Vista 64-bit OSes support (in realtà Vista-64 era già supportato, ma la nota mi fa capire che qualcosa evidentemente non andava al 100%).

Infine il terzo problema mi ha dato l’occasione di sperimentare DD-WRT: è un firmware alternativo Linux based per router basati su chipset Atheros o BroadCom. In confronto a quello standard ha un sacco di feature aggiuntive di tutto rispetto; quelle a me più gradite sono il DHCP statico ovvero la possibilità di assegnare lo stesso IP allo stesso mac-address che facilita di molto la configurazione del firewall; la possibilità di settare il QoS per alcuni protocolli; il supporto funzionante per i siti di DNS dinamico; la possibilità di configurare dettagli inimmaginabili del funzionamento del router. DD-WRT è rilasciato in diverse versioni: micro, mini, standard e mega in dipendenza della Flash RAM a disposizione sul router. Siccome per installare la standard sul mio c’era bisogno di passare dalla mini, ho deciso di evitare un ulteriore upgrade e tenere la mini in quanto la differenza tra le feature non è per niente appealing. Per l’installazione di DD-WRT è fortemente consigliabile avere un router di scorta, il bricking potrebbe essere a portata di upgrade.

-quack

P.S. necessario per chi mi legge e pensa che io sia anti-apple: non sono “anti”, sono semplicemente “senza” (riciclando una battuta del vecchio settimanale satirico Cuore).

Defaillance

Dec 8, 2008 - 0 comments - Archiviato in: #Cazzate

Un motivo ulteriore per odiare gli antivirus e cercare di viverne senza è dovuto ad alcune defaillance che possono risultare molto, molto, pure troppo antipatiche. Purtroppo, nel bene e nel male, sui miei PC in ufficio l’antivirus è obbligatorio in tutti i sensi pena l’impossibilità di collegarsi al dominio e poter anche solo pensare di lavorare. La scelta è più che giusta visto che in azienda non lavorano solo programmatori scaltri ma un fitto campionario di utenti di ogni genere e grado.

L’ultima clamorosa defaillance è stata quella di AVG che ha reso inoperabili i PC di mezzo mondo cancellando senza appelli alcuni file di sistema. Di un paio di giorni fa invece è la defaillance di InocuLAN: niente di grave ma i preparativi tecnici di youtube per supportare l’alta definizione hanno fatto scattare un falso allarme alquanto antipatico:

The Actns/Swif.T was detected in C:\USERS\…\L[1].SWF.
[omissis]
File Status: File was cured; system cure performed.

L’allarme scattava anche per i video di youtube hostati su questo blog. Dopo qualche millisecondo di pre-panico mi sono reso conto che la URL in youtube era diversa dal solito. Facendo 2+2 sono arrivato alla conclusione che tutto rientrasse nella semi-normalità.

In questi minuti il week-end volge al termine il week-end, molto positivo in quanto ho risolto (spero) un paio di glitch con il mio DELL. I dettagli in un prossimo post ma la colpa stavolta era del router. Prima del congedo notturno la risposta al quizzillo: è il codice di sblocco operatore del mio G1 gentilmente offertomi da T-Mobile per “anzianità” di servizio. Complimenti a tutti per le risposte molto originali

-quack

P.S. pensando al post sul malware mi è venuto in mente il seguente corollario. Visto che iTunes per Windows si ostina ad installare Apple Update anche contro la volontà dell’utente, la definizione di malware ci sta tutta. Non è il fine che fa il malware ma il mezzo.

10775870

Dec 6, 2008 - 0 comments - Archiviato in: #Cazzate

Quizzillo del weekend come da semi-consolidata tradizione: niente aiutini, niente domande e vediamo che esce fuori.

La risposta lunedì.

-quack

Malware e architettura

Dec 5, 2008 - 0 comments - Archiviato in: #Apple #Security #Windows

Da tempo speravo di dedicare un post alla questione malware, la cui definizione è più fumosa di quanto si possa immaginare. Si è trovato in difficoltà persino il grande Mark Russinovich quando ha dovuto decidere se la protezione usata da Sony fosse un rootkit o meno. L’approccio generale su cui una buona maggioranza di persone sembra essere d’accordo è una questione praticamente tecnica.

Ad esempio se una applicazione nasconde dei file al sistema è di fatto un rootkit, indipendentemente dal fatto che l’applicazione lo faccia per il bene dell’ubatteriofagotente o meno. Notare la sottile differenza tra “nascondere dei file al sistema” e “nascondere dei file all’utente”.

La stessa cosa si potrebbe fare per definire malware: tutto ciò che gira di “nascosto” rispetto all’utente. Wikipedia è molto chiara:

Malware, a portmanteau from the words malicious and software, is software designed to infiltrate or damage a computer system without the owner's informed consent.

Una volta definito cos’è il malware possiamo cominciare a fare una distinzione tra due tipi fondamentali di malware:

  • malware che richiede l’interazione dell’utente con un inganno (clicca qui per vedere il porno)
  • malware che non richiede nessuna interazione dell’utente

Questo va combinato con un’altra distinzione:

  • malware che si replica
  • malware “statico”

Ed infine un’altra ancora, molto artificiale ma valida:

  • malware che richiede permessi amministrativi per portare a compimento la sua opera
  • malware che non richiede nessun permesso speciale
  • malware in grado di fare escalation di privilegi

Combinando tutte le possibili permutazioni si ottengono 12 tipi diversi di malware. Però con l’espediente della suddivisione si tratterà di capire cosa si può fare discutendo un numero inferiore di casi.

Nel caso della prima distinzione, un OS può fare ben poco. Di fronte all’intenzione dell’utente di eseguire un “free porn” il sistema non ha nessun’altra scelta che eseguire. Questo indipendentemente dal sistema. Quindi qualsiasi affermazione che *nix sia sotto questo aspetto migliore di Windows è palesemente falsa. Per il malware che non richiede nessuna interazione dell’utente (worm) si può fare qualcosa (ad esempio usando un processo di scrittura del software che riduca la possibilità di bachi wormable) ma l’utente ha ancora un grosso peso nell’ecosistema. Se non installa tutte le patch disponibili in maniera tempestiva la battaglia è persa. TUTTE le più grandi pandemie informatiche degli ultimi anni sono state causate da bachi già sistemati diverse settimane prima delle prime avvisaglie di problemi.

Anche nel secondo caso un OS può fare molto poco. L’unica strategia è quella di contenere in qualche modo l’infezione riducendo in qualche modo la superficie di attacco. In questo senso Vista/*nix è molto meglio di XP nella configurazione “standard”. Vale la pena notare che “configurazione standard” non ha niente a che vedere con le “capacità del sistema” (le tanto fomentate fondamenta). Ovvero loggarsi sotto Linux come root ha gli stessi effetti di loggarsi sotto XP come amministratore, ma con una fondamentale differenza: per XP loggarsi come amministratore è l’impostazione di default per motivi totalmente irrilevanti al contenuto di questo post. Un esempio lampante dell’impossibilità dell’OS nel limitare i danni è tutto quel malware che sfrutta le macro di Office/OpenOffice per diffondersi ad altri documenti.

Nel terzo caso però un OS ed i setting di default possono fare tutta la differenza del caso. Perché nel caso in cui il malware arrivi sul PC con l’inganno o quasi (bachi nel browser) il sistema può limitare i danni di parecchio. L’idea va all’uso di UAC (Vista/OSX/Linux) e di sandbox (IE7 su Vista, Chrome) quando si opera con applicazioni che si interfacciano con Internet, browser in primis.

Pertanto la seguente affermazione è palesemente falsa:

The Mac is designed with built-in technologies that provide protection against malicious software and security threats right out of the box.

Non solo il design di MacOS non ha niente di speciale rispetto a qualsiasi Windows/Unix/OS moderno. Ma alcuni setting di default sono molto spostati verso il massimo dell’usabilità rispetto alla sicurezza e il pensiero va a Safari in primis per svariati motivi:

  • decisione di scaricare automaticamente i file sul desktop; basta scaricare una applicazione con l’icona di “My Computer” per gabbare alcuni utOnti
  • decisione di scompattare automaticamente i file compressi scaricati. Basta un file .zip malizioso ed un baco nel codice di scompattamento e la remote execute è servita
  • decisione di montare automaticamente i file immagine (ISO, DMG, ecc.) per lo stesso motivo di cui sopra

Questo atteggiamento ricorda tanto la funzionalità AUTORUN introdotta con Windows95: basta inserire un CD appositamente preparato per far partire l’applicazione designata. Molto comodo per gli utOnti (inserisci il CD e segui le istruzioni) ma molto molto comodo per gli scrittori di malware. Nel frattempo sono passati 13 anni e dal rilascio di Windows XP SP2 l’applicazione non parte più automaticamente senza l’intervento dell’utente. Apple con i setting di default di Safari fa quasi[1] la stessa cosa di Windows 95.

Un’ultima nota storica: il malware è cambiato tantissimo negli ultimi 25 anni. Parlare di 160 milioni di miliardi di virus oltre ad essere storicamente irrilevante è perlomeno inaccurato. Però vorrei spezzare una lancia in favore della piattaforma Apple: qualcuno dice che scrivere malware per MacOS è tecnicamente più difficile. Tale affermazione – per le mie impressioni personali – pecca per difetto. In generale scrivere software per Mac è tecnicamente più difficile e quindi lo è anche scrivere malware. Ho provato a cercare informazioni su come scrivere un Keyboard hook per Mac ed i risultati sono desolanti: non un singolo pezzo di codice che si possa copia/incollare, ma forse sono solo incapace di cercare nella maniera giusta

Rimango dell’idea che un antivirus sia inutile sia su Mac che su Windows se e solo se si usa la testa. Se si passa a Mac per smettere di usarla è un altro paio di maniche.

-quack


[1] Non ho ancora esplorato le possibilità di AutoRun di MacOS però questo sembra promettente: MacOSX does allow you to set a background image (you can even use a pdf) so you could create a nice welcome screen at least. (fonte)

Marketing 101

Dec 3, 2008 - 0 comments - Archiviato in: #Apple #Cazzate #Video

La storia dell’antivirus per Mac sta suscitando così tanto clamore che sta facendo passare in secondo piano una dichiarazione ancora più stupefacente made in Cupertino:

Plaintiff's claims, and those of the purported class, are barred by the fact that the alleged deceptive statements were such that no reasonable person in Plaintiff's position could have reasonably relied on or misunderstood Apple's statements as claims of fact.

Traduco in Italiano: nessuna persona ragionevole (leggasi: solo uno stupido) può scambiare gli spot Apple per realtà. Bingo! (via)

-quack

Intruso

Dec 2, 2008 - 0 comments - Archiviato in: #Cazzate

Ca**ata del martedì: chi è l’intruso in questa classifica Wikio dei top 10 blog per Linux?

image Risposte anticipate ad eventuali FAQ:

  1. non so come ci sia finito, a giudicare dagli indizi sarei nella top ten addirittura da un paio di mesi
  2. l’ho scoperto grazie ad un referral molto strano proveniente appunto dalla classifica
  3. sono perplesso dalla categorizzazione e mi sento “circondato” Forse bisognerebbe proporre la categoria “Windows” (o per lo meno Microsoft), dove incidentalmente potrei anche primeggiare.

-quack

3 Blue screen e un coccolone

Dec 1, 2008 - 0 comments - Archiviato in: #Cazzate #Hardware

Aaaaargh! Sono incazzato, furioso e arrabbiato. Dopo essermi convinto che sì Vista64 vale la pena, fatto analisi e contro-analisi per scoprire l’origine dei miei guai con il Dell, aver formattato per l’ultima volta e cominciato a pensare al piano di backup come quello definitivo, 3 BSOD[a] in meno di una settimana mi hanno lasciato per lo meno perplesso. Indossati i panni scomodi da Sherlock Holmes ho cominciato a pensare al peggio (guasto hardware): uno dei tre, che poi era quello che si è manifestato due volte, era chiaramente amputabile imputabile ad un driver specifico. Gli altri due puzzavano di casualità così tanto che ho cominciato a pensare di dovermi staccare dal laptop per un paio di settimane mentre tornava al deposito per eventuali ispezioni.

Ovviamente ho invocato l’aiuto di qualche collega-comare, di quelli che pur di farsi quattro risate alle spalle di qualcuno, si farebbero in quattro per analizzare i peli del naso del BSOD. La prima domanda che mi hanno fatto è stata: hai aggiornato il driver all’ultima versione? Certo, of course, ma per scrupolo vado volentieri a ricontrollare. E così scopro che un driver datato Ottobre è disponibile dal 21 Novembre sul sito della Dell. Nella sezione fixes and enhancements recita: Improved compatibility with blah blah blah and Vista 64 stability.

BSOD

Poi è venuto il momento del verdetto sugli altri due BSOD: morale della favola, troppo, decisamente troppo strani ed in qualche modo probabilmente correlati al driver bacato. Anche perché dopo 5 giorni d’uso “normale” di un BSOD neanche l’ombra. La novità del giorno è stato un coccolone: l’icona nella tray-area di Windows Home Server mi segnala un problema grave, uno dei dischi potrebbe essere difettoso. Mi collego al Server e mi viene proposta la “riparazione” del File System, ma vengo avvertito che qualche file potrebbe risultarne danneggiato. Poco importa mi son detto, ho ancora il backup del Server sparpagliato su più hard-disk che saggiamente avevo preparato prima dell’ultimo upgrade. Anche stavolta, paranoia a palla e già pensavo alla restituzione del mio primo Tera e come “sopravvivere” nel frattempo. Alla fine scopro l’arcano: avevo temporaneamente collegato via USB il vecchio HD primario e siccome poco mi importava del suo contenuto invece che “smontarlo” secondo le cautele del caso, l’ho spento a crudo. Windows se ne è accorto, ha pensato che il drive giustamente fosse morto e ha deciso di avvisarmi con un messaggio coccolone.

Come al solito, tutto è bene ciò che finisce (quasi) bene.

-quack


[a] In realtà le occorrenze sono state 4, ma due dei blue-screen erano gemelli separati alla nascita causati da un singolo byte di codice malevolo

Citazione Citabile #2

Dec 1, 2008 - 0 comments - Archiviato in: #Cazzate #Video

Tratta da Il ciclone:

¡El paraíso no es un lugar donde ir,
si no una sensacion para vivir!
Ecco!

Col mio Spagnolo maccheronico non so se ci sono andato giusto col taglia e cuci.

 

-quack

P.S.: è finito un weekend extra-lungo e lavorativo. Domani scopriremo se i due lati del ponte convergono o se toccherà smartellare ancora a lungo. Me ne torno a casa notando una certa contro-tendenza tra quello che scrivo e gli articoli del supporto tecnico Apple. Vabbè…

Caching

Nov 29, 2008 - 0 comments - Archiviato in: #Blog-Tech

Come promesso in precedenza eccomi a parlare di codice e di come ho implementato il sistema di cache in blogoo. È diventato necessario quando il numero di commenti per post ha cominciato a superare una certa soglia: il mio ISP è molto generoso ma prevenire resta sempre meglio che curare. Senza la cache la pagina viene renderizzata ad-hoc ogni volta che viene invocata. Questo è un peccato perché buona parte dell’output restituito al browser è ‘facilmente’ sistemabile in una cache. Facilmente è tra virgolette perché gli elementi della sfida sono tanti:

  1. è interessante fare tenere nella cache sia le pagine che puntano ad un singolo post, sia le pagine che contengono più di un post (la home-page, gli archivi, le pagine per tag, ecc.), sia dei “pezzi di pagina” (gli ultimi commenti, tag-cloud, archivio, ecc.) 
  2. la cache deve gestire correttamente sia le pagine visibili solo dall’editor del blog, sia quelle visibili dagli utenti cercando di non fare confusione
  3. la cache deve essere invalidata solo quando necessario; nel dubbio se sia necessario o meno è meglio invalidare che servire contenuto “scaduto”.
  4. Se possibile è meglio invalidare solo lo stretto necessario: ad esempio la tag-cloud dovrebbe essere invalidata solo in caso di modifica/aggiunta di post o di categorie
  5. la cache deve essere invalidata quando del contenuto “post-datato” diventa automaticamente visibile

Analizzando la questione a tavolino sono emerse un paio di cose. Gli eventi invalidanti sono in generale 2: l’aggiunta/modifica di un commento, l’aggiunta/modifica di un post. Tutto il resto, ad esempio il punto 5., può essere ricondotto ad uno dei due casi. L’aggiunta/modifica di un post poi può a sua volta generare due tipi diversi di eventi: un evento che invalida la “collezione dei post” ed un evento che invalida il singolo post. Ad esempio un commento sul post X invaliderà la collezione dei post (in quanto tale collezione potrebbe mostrare il numero di commenti per quel post), invaliderà il post X ma non il post Y. Per cui se un utente clicca sul post Y dopo che è stato scritto un commento su un altro post, si ritroverà il post servito dalla cache.

L’invalidazione poi tiene conto di diversi fattori. Ad esempio cancellare un commento moderato non deve avere effetti sulla cache in quanto non visibile a priori. Stessa cosa per la pubblicazione di un draft e così via.

Fatto questo, il resto diventa un gioco da ragazzi: ogni elemento inserito nella cache porta in dote la sua lista di dipendenze. Un componente separato da me battezzato CacheManager si mette in ascolto dei vari eventi (creazione/modifica/cancellazione dei post/commenti) e in base allo stato della cache, al tipo di evento e le condizioni a contorno (era un draft? è diventato un draft? c’è qualche articolo postdatato in coda?) invalida zero, una o più dipendenze causando la rimozione a cascata di tutti gli elementi da esso dipendenti. L’unica accortezza è gestire correttamente la “scadenza” della cache: nel momento in cui del contenuto viene prelevato dalla cache va confrontata la data di “prelievo” con la data di "scadenza" e se la cache è scaduta la data di scadenza viene ricalcolata, ciò che va invalidato viene invalidato, e tutto il resto prosegue come prima.

Infine un’ultima nota: avrei potuto tenere una cache separata per gli editor, però mi è sembrato più saggio fare in modo che il contenuto fosse manipolato a posteriori.

I risultati sono sorprendenti: il post da quattro mucche caroline e 428 (!) commenti viene renderizzato in 5 secondi senza cache, appena 192 millisecondi se il post è già presente in cache. Considerato il tempo sprecato (mezza giornata circa) ed i risultati ottenuti, direi che ne è valsa davvero la pena.

Nota aneddotica: il baco più antipatico, l’Heisenbug che faceva sparire i commenti di Daniele B. dalla cache, era dovuto al fatto che il mio ISP usa un sistema arcano di load-balancing per cui le richieste al sito www finivano solo alcune volte per essere eseguite dallo stesso server che gestisce il sito senza www. Che poi non ho ancora capito perché a livello di hosting, visto che i due siti puntano allo stessissimo contenuto, sono configurati come due siti separati: individuato il problema, la soluzione è stata semplice e immediata. Redirect 301 di tutte le richieste www al sito principale. La cache è sempre sincronizzata e tutti i paperi (?) vissero felici e contenti.

-quack

Il paese dei cachi

Nov 28, 2008 - 0 comments - Archiviato in: #Cazzate

Certe volte essere italiani è davvero umiliante. Un esempio eclatante è andare alle poste e trovare il commesso simpatico che ti dice: «Lo manda in Italia? Sa che l’Italia è il paese con il più alto numero di pacchi mai arrivati a destinazione?». Verissimo anche se devo ritenermi fortunato con 2 pacchi “scomparsi” ed uno semplicemente “manomesso” in dieci anni. Senza poi contare il servizio doganale che applica dazi e tasse in maniera totalmente casuale.

Oggi stavo cercando un carica-batterie da tavolo per il mio G1: la batteria si scarica molto velocemente e leggevo in vari forum che alcuni telefonini sono stati venduti con batterie difettose e T-Mobile prontamente mi ha mandato una batteria di rimpiazzo. Il mio fornitore preferito per accessori per cellulare rimane ebay, con prezzi assurdamente bassi e consegna a domicilio per pochi soldi davvero. Nella mia ricerca oggi mi sono imbattuto in un venditore in Hong Kong che spedisce in tutto il mondo, Italia compresa. Ma con un avvertimento molto chiaro per chi acquista da e solo dal Belpaese:

ATTENTION! To all Italian Buyers

THIS IS A SERIOUS MATTER AND IT IS FOR MUTUAL BENEFIT. PLEASE READ IT CAREFULLY.
We DO NOT ship to Italy UNLESS all buyers from Italy agree to receive their ordered items LATE. As far as we are selling, it takes over one month to Italy. Please kindly do not bid any items from us unless you are patience enough. If you are not and open a dispute for complaining non-receipt, I have no other ways to do except leaving negative feedback to you. PLEASE THINK TWICE BEFORE YOU ARE GOING TO BUY. Thank you very much for your attention.

Il venditore ha una reputazione con il 99.2% di feedback positivi. Sono pronto a scommettere che buona parte del 0.8% dei compratori che ha avuto da ridire provenga dal natìo suolo.

Perché il paese dei cachi è il paese dei cachi.

-quack