Metriche di sicurezza

Jul 25, 2008 - 0 comments - Archiviato in: #Security

Ogni volta che si parla di sicurezza, materia alquanto delicata soprattutto in virtù degli avvenimenti dell’ultimo periodo, qualche animo “sensibile” tende a tirare fuori i migliori scarponi da alpinista per tentare la più impossibile delle rampicate: specchi ultralisci cosparsi di olio sintetico.

In un commento al post di punto informatico già sommariamente analizzato su questo canale che fa riferimento alla vulnerabilità OpenSSL di debian e derivate, l’autore dell’articolo[1] risponde che:

Lo dice l'articolo che tu stesso citi: la segnalazione della vulnerabilità è delle 16:48 del 13 maggio. La disponibilità della patch nei repository (per gli aggiornamenti automatici) è delel 19:12 dello stesso giorno. Circa tre ore per risolvere una vulnerabilità.

Visto che l’autore nell’articolo parlava di Nimda e CodeRed la mia domanda è: qual’è la risposta se applichiamo la stessa metrica (disponibilità della patch) ai due nefasti episodi? La risposta sorprendente la si ritrova su wikipedia:

Both Code Red, and Nimda were hugely successful exploiting well known and long solved vulnerabilities in the Microsoft IIS server

Cioé la patch esisteva già da diversi mesi prima dell’attacco. L’exploit infatti è stato ottenuto – come spesso accade – facendo il reverse engineering della pezza. Evidentemente sistemare i bachi più velocemente possibile, può non servire ad una emerita cippa. È molto meglio cercare di mantenere la qualità del codice molto alta ed introdurre misure difensive a tappeto (ASLR, protected mode).

La qualità del codice (leggasi numero di bachi di sicurezza) quindi, almeno secondo la mia modestissima opionione, rimane la metrica più affidabile in attesa di qualche illuminazione.

C’è un altro aspetto che mi infastidisce però della risposta sopra menzionata e che mi costringe ad aprire una parentesi retroattiva[2]: il tentativo di minimizzare a tutti costi il pasticcio colossale che è stato il baco in OpenSSL. Grazie ad un plugin per wireshark di Luciano Bello (lo scopritore del baco) è possibile decriptare il contenuto di una conversazione SSL; questo significa che anche se nel browser compare il simbolo del lucchetto (image) la certezza matematica che la comunicazione sia sicura non si può più avere (almeno senza trafficare a bassi livelli). Chi mi dice infatti che durante una transazione bancaria dall’altra parte del filo non ci sia un server Debian/derivato non patchato? In parole povere anche se non sono direttamente utente Debian, la mia sicurezza è stata comunque messa a repentaglio nei secoli dei secoli grazie ad un certo Kurt Roeckx: che si badi bene non è developer esperto di crittografia pasticcione, ma semplicemente un tabaccaio che, non capendo una cippa di numeri casuali ed entropia, ha ritenuto opportuno sistemare tutto da solo:

What I currently see as best option is to actually comment out those 2 lines of code. But I have no idea what effect this really has on the RNG. The only effect I see is that the pool might receive less entropy. But on the other hand, I'm not even sure how much entropy some unitialised data has.

Però per risolvere la vulnerabilità ci sono volute solo 3 ore! (e ci credo è bastato rimettere a posto del codice che ha sempre funzionato). Complimenti!

-quack 


[1] La stessa opinione è stata spesso manifestata dal management di Mozilla. Per fortuna però almeno loro hanno capito che c’era qualcosa che non va e che bisogna individuare un’altra metrica più oggettiva e soprattutto funzionante.
[2] Lo so, non vuol dire niente ma mi piace lo stesso.
[3] C’è da aggiungere che patchare un server Debian senza rigenerare tutte le chiavi è altrettanto inutile

Ouch ouch ouch

Jul 24, 2008 - 0 comments - Archiviato in: #Security

Non c’è più tempo da perdere. Le opzioni sono due:

  1. ci si assicura che il DNS del proprio ISP sia già stato patchato
  2. ci si affida a OpenDNS per un bel po’

ouch ouch ouch

Non sempre gli h4ck3r “buoni” sono persone responsabili.

UPDATE: la situazione peggiora di ora in ora. Un nuovo exploit permette di compromettere un intero dominio anziché un singolo host.

-quack

Technorati Tags:

I am the Joker

Jul 23, 2008 - 0 comments - Archiviato in: #Security

joker-che-ride

Quando batman parla, il joker se la ride.

Brani degni di nota per uno spettacolo di cabaret:

Perché "non ci si arrivava in fondo". Noi facevamo il giro ad installare i service pack ed a configurare correttamente il software e, dopo due minuti, la situazione era già cambiata a causa degli aggiornamenti di Microsoft e dei suoi partner (che a volte modificano anche alcuni aspetti della configurazione) e, soprattutto, a causa del comportamento irresponsabile degli utenti e dei loro capi.

Qui non capisco cosa abbia a che fare la questione numero di aggiornamenti con il fatto che Windows sia proprietario. Sappiamo quali sono i prodotti più bacati, per lo meno in “numero”.

Teoricamente, infatti, è possibile cercare e correggere gli errori all'interno dei sorgenti, senza aspettare l'intervento di altre persone.

Infatti la prima cosa che un utente fa dopo aver installato OpenOffice è cercare gli errori. Come no!

Tuttavia, non abbiamo ancora sperimentato situazioni veramente critiche come quelle prodotte da Code Red, Nimda ed altri virus.

Che strana memoria. Ci si ricorda di Nimda e Code Red (2001) e non ci si ricorda del tapiro d’oro Maggio 2008.

"Far sì che i Web server IIS (Internet Information Server) esposti ad Internet IIS siano sicuri, comporta per le aziende un costo di manutenzione molto alto", si legge in un'analisi pubblicata dal Gartner pochi giorni dopo la rapida diffusione di Nimda. "Le aziende che stanno usando il server Web Microsoft IIS devono aggiornare ogni server IIS con ogni patch di sicurezza rilasciata da Microsoft su base quasi settimanale. Tuttavia Nimda (ed in minor misura Code Red) ha nuovamente dimostrato l'alto rischio insito nell'utilizzo di IIS ed il grande sforzo necessario per stare al passo con le frequenti patch di sicurezza di Microsoft."
[…]
Nell'analisi del Gartner, firmata da John Pescatore, si arriva addirittura a consigliare alle aziende colpite da entrambi i worm, Code Red e Nimda, di "prendere immediatamente in considerazione alternative a IIS (...) come iPlanet e Apache. Sebbene questi server Web abbiano richiesto alcune patch di sicurezza, essi offrono maggiore affidamento di IIS e non sono sotto l'attacco attivo di un vasto numero di creatori di virus e worm". (Da Nimda non molla. IIS sotto processo)


È bello fare considerazioni quando si guarda a dati del 2001. Il mondo da allora ha fatto passi avanti. Secondo secunia:

Apache 2.2.x

apache bugs

IIS 6.x

IIS bugs

Se la storia deve insegnarci qualcosa, allora la storia ci insegna a fidarci del software Open Source ed a diffidare di quello Closed Source. Non è una questione di opinioni ma il semplice risultato della conta dei cadaveri sul campo di battaglia: per ogni Apache "schiantato" ci sono 100, o forse 1000, MS IIS.

A parte che se ci si diverte a tirar fuori storie del 2001, non si tratta più di storia ma di archeologia. Fortify è stata abbastanza chiara nel notare che ormai gli attacchi si stanno “alzando di livello”. Cercare e sfruttare una vulnerabilità per IIS o Apache è tempo mal speso per un hacker quando basta fare una ricerca su google ed avere una lista di 500 mila applicazioni web infettabili via SQL Injection o SQL Execution. Magari tutte open source.

-just joking

Technorati Tags:

L’arte di recensire

Jul 19, 2008 - 0 comments - Archiviato in: #Apple #Cazzate

90 gradi

Una legge di Murphy recita che chi sa fare, fa; chi non sa fare, insegna; chi non sa insegnare, critica. Paul Thurrot, dopo aver analizzato una circolare di Apple inviata a tutti rivenditori che invita a ritirare con effetto immediato lo slogan “Exchange for the rest of us” in quanto chiaramente falso, fa le pulci alla recensione di David Pogue del servizio MobileMe; tale recensione sembra studiata a tavolino con molto impegno in quanto alcuni aspetti di certo non secondari sono accuratamente nascosti sotto uno zerbino virtuale.

David Pogue non ha mai nascosto di essere un fan sfegatato della mela mozzicata. L’ha dimostrato in questo video ormai famoso. Che poi un osservatore attento si spinge a chiedere perché mai Pogue si sia mai sforzato di scrivere un libro intitolato Windows Vista the missing manual (buon libro per carità). Decisamente sorprendente, come la piattaforma usata per gestire i pagamenti nella totalità degli Apple Store americani.

-quack

Trincee

Jul 17, 2008 - 0 comments - Archiviato in: #Cazzate

Durante le ultime due settimane sono stato coinvolto in vere e proprie battaglie di trincea lavorativa. Con il sottoscritto contemporanteamente nei ruoli di soldato, caporale e colonnello. Team a sé stante con licenza di buttare dentro codice brutto ma che fosse più piccolo possibile per non disturbare la stabilità di un sistema “superprotetto” che per sapere in che stato è un database devi mandare una mail con la query ad una terza persona… e se la query fallisce l’eccezione te la può recuperare solo una quarta. Guerre lampo che in dieci giorni devi capire dov’è il nemico, preparare un piano e sperare in una botta di didietro; che se non capita e ritardi di 11 ore e non gliene frega niente a NESSUNO (dei clienti) devi spiegare in un post mortem perché non sapevi che Ops ha cominciato a dare spiegazioni alle 5pm ma ha tagliato il deployment sui server live un’ora prima.

E che finita una battaglia ne riprendi tempestivamente un’altra lasciata in sospeso mentre qualche soldato come te è in licenza premio.

E meno male che domani TGIF

trincea

-quack

Talebanesimo

Jul 15, 2008 - 0 comments - Archiviato in: #Cazzate

Un mio post precedente, per rubare le parole a Filippo, ha scatenato l’inferno. A provocarlo pare che sia stata la mia affermazione che Stallman – inneggiando alla pirateria – abbia detto qualcosa di stupido. Che non vuol dire che io penso che il personaggio sia stupido, anzi lungi da me. Più volte durante la conversazione è apparsa la parola talebano. In questo post, politically correct, proverò a sostituirla con ultrafanatico.

Un ultrafanatico si distingue da alcuni tratti peculiari: l’ultrafanatico ha una fede religiosa nel “santone” di turno. Qualsiasi critica al santone viene presa con forte risentimento personale: quasi peggio della peggiore offesa alla sorella di Zidane. L’ultrafanatico bolla qualsiasi enunciato come “cazzata” senza portare motivazioni plausibili. Quando viene confrontato con domande disarmanti l’ultrafanatico nega l’evidenza della realtà: come avviene per il maniaco pluriomicida nel film “Tutti pazzi per Mary”:

Qualsiasi forma di ragionamento logico salta; l’interlocutore ultrafanatico preso da crisi isterico-convulsive zompa di palo in frasca.

Si riconosce subito in quanto si erge a difesa di valori senza che nessuno glielo abbia chiesto, valori che poi si scopre sono semplicemente fraintesi. L’ultrafanatico non crede assolutamente nella neutralità: chi non è con lui è semplicemente contro di lui. Tanto meno crede nella moderazione: anche chi non è altrettanto ultrafanatico è contro di lui. Molto spesso l’ultrafanatico è semplicemente contro e basta.

Di solito, discutere con un ultrafanatico, è fatica totalmente inutile: ignorerà le domande a cui si può rispondere solo con fatti puntuali spostando l’attenzione su questioni filosofiche “superiori”. Tuttavia può risultare un piacevole passatempo purché non ci si faccia prendere la mano.

-quack

Technorati Tags:

Downgrading to Mac #3: printing o quasi

Jul 14, 2008 - 0 comments - Archiviato in: #Apple

Terzo appuntamento della serie “le mie esperienze con un Mac”. Le puntate precedenti sono qui.

Ho una stampante Canon ip1500, una delle prime inkjet capaci di stampare fronte retro, condivisa in rete via server, il famigerato Windows Home Server di avventure precedenti. Tutti gli altri PC Windows non hanno mai avuto problemi a riconoscerla. Infatti installare una stampante condivisa su Windows è un gioco da ragazzi tramite il wizard che si può lanciare direttamente tramite la finestra di dialogo di stampa.

Printer wizard 1

Printer wizard 2

printer wizard 3

Picture 14

Su Mac l’esperienza è diversa. Mi sarei aspettato qualche difficoltà nell’individuare la stampante, ma non c’è stato nessun problema nell’individuarla tramite browsing via Finder, grazie all’opzione Windows:

 Picture 17b

Il problema è stato quello di selezionare il driver:

 Picture 19

Ho pensato che i driver installati di default non sono così numerosi e allora mi sono premurato di scaricare la versione Mac del driver della stampante dal sito di supporto Canon, ma senza ottenere nessun miglioramento. Mi son fiondato sul sito di supporto Mac ed ho avuto la prima amara sorpresa: i driver Canon non supportano la stampa di rete o non sono compatibili con Cups; una casa privata distribuisce driver più generici che funzionano anche in rete. Per fortuna c’è la possibilità di testare prima di comprare. Installato PrintFab la scelta dei driver migliora di parecchio:

Picture 17

Stavolta la mia stampante è in elenco e mi accingo immediatamente testare la stampa da Mac OS: purtroppo il driver è fin troppo generico (nessuna opzione avanzata di stampa: fronte/retro, selezione del cassetto della carta, ecc.): ma purché stampi…

Picture 18

…ma questo è stato il risultato:

foglio

Un foglio bianco Dash che più bianco non si può. C’è da dire che non si può non apprezzare il supporto nativo della stampa in PDF. Ma è tecnologia disponibile ormai gratuitamente su tutti gli altri OS.

UPDATE: Ho provato i driver GimpPrint (alias GutenPrint) e perlomeno sono riuscito a stampare. Non senza aver dovuto riavviare in quanto non riusciva più a connettersi al server.

-quack

Technorati Tags: ,

Teoria delle code

Jul 11, 2008 - 0 comments - Archiviato in: #Cazzate

Durante gli ultimi anni universitari[1], per la scelta dei corsi complementari, mi sono più volte affidato al caso confidando di poter cambiare il piano di studi l’anno successivo. Una volta il caso mi ha fatto scegliere “Teoria delle simulazioni”, un corso dal titolo interessante: immaginavo infatti che si parlasse di simulazioni interessanti come Sim City et similia. In realtà il docente ha chiarito subito le cose alla prima lezione: si sarebbe trattato di approfondire la teoria delle code utilizzando un tool (la prof diceva “costosissimo” ma era in vendita a circa 200 mila lire, doh!) per simularne alcuni aspetti. Il corso ha perso immediatamente tutto il suo appeal in favore di quello di Cibernetica: sognavo di diventare Goldrake divorando testi sacri da mattina a sera, ma poi è andata diversamente.

Morale della favola: di code non ci capisco davvero niente!

Una coda dell'anno scorso
(fonte)

La conferma l’ho avuta questi giorni leggendo la notizia di code inumane fuori dai negozi Apple (ma non è una scusa per parlare male della concorrenza; d’ora in poi si assuma che stia parlando di code per comprare una XBOX 360).

Fino a quando ho cominciato a rimurginarci ero convinto che una coda in simili condizioni si verificasse solo in presenza di uno dei tre fattori, non mutuamente esclusivi:

  1. La coda serve ad accaparrarsi una risorsa limitata: es. libro a tiratura limitata o similare
  2. La coda serve ad accaparrarsi una risorsa che soddisfa un bisogno quasi-primario non soddisfatto: es. un nuovo medicinale per curare la crescita dei peli sotto pelle; esempio autobiografico
  3. La coda serve per uno scherzo

L’iPhone 3G come pure XBOX 360, PSP, ecc. non presenta nessuna delle caratteristiche sopra citate. Anzi (e qui torno ad essere punzecchiante nei confronti della concorrenza) dato il precedente dello scorso anno la coda in questo caso sembrerebbe una pessima idea. Resta l’amara conclusione che il 99% delle code sono pressoché inutili se non per soddisfare il bisogno di ostentare: oppure qualcosa ancora sfugge alla mia osservazione o capacità di induzione.

Scappo, pare che al negozio di Bellevue Square ci sia ancora qualche telefono disponibile! [2]

-quack

Technorati Tags: ,

[1] Checché se ne dica mi sono pure laurato, neh!
[2] Ovviamente scherzo; sono in attesa di procurarmi un modello vecchio a prezzi di svendita.

In da cleb

Jul 10, 2008 - 0 comments - Archiviato in: #Cazzate

Ce l’ho fatta! Sono entrato finalmente nel prestigiosissimo club!

Dopo un mese di attesa (la mia admin è un po’ strana devo ammetterlo) ieri è arrivato lo scatolotto. Dire che sono felice è poco. Basta citare il fatto che il progetto a cui sto lavorando ha rischiato di slittare per la mia impazienza nel cercare di configurare i monitor come zio comanda. Il risultato, in 3840 x 1024 è SPET-TA-CO-LA-RE:

newdesktop

Devo dire che nella sventura sono stato molto fortunato: i driver x64 sono stati rilasciati (in versione beta, machissenefrega se funzionano benissimo) solamente ieri!! Se avessi ricevuto lo scatolotto solo avant’ieri starei a disperarmi per non aver installato Vista32. Ma audaces fortuna juvat!

Ora però mi tocca dimostrare che la produttività aumenta… un po’ dura visto che negli ultimi giorni sono stato vicino all’auto-schiavizzazione (?).

Concludo il post con una nota off topic di lavoro. Il mio team ha pubblicato da pochi giorni la versione beta del “Vista compatibility Web site”: qualcosa è andato storto; può succedere se si pubblica una applicazione web su un sito “complicato” come microsoft.com. Ne sa qualcosa anche Apple a giudicare dai glitch avuti nelle ultime ore per il rilascio di MobileMe. Stranamente come fa notare Thurrott i glitch di Microsoft per un sito beta e di importanza marginale se confrontato con MobileMe fanno molto rumore (Rumore1, rumore2 e rumore3); quelli di Apple solo un assordante silenzio. Not a big deal after all.

-quack

P.S. un ringraziamento di cuore ad Edward che mi ha procurato i driver sopra menzionati in un momento di crisi nera del proxy aziendale.

Chi cerca trova

Jul 9, 2008 - 0 comments - Archiviato in: #Blog-Tech

A grande richiesta, dopo il feed dei commenti, la box per il search del contenuto di questo blog, qui immediatamente sulla sinistra. Codificata tra una build e l’altra di uno dei progetti a cui sto lavorando, tra i più folli a cui abbia mai partecipato.

search 
Ne ho approfittato per far scomparire un vecchio sticker visto che la verità su Vista sta venendo a galla da sola…

Occhio alla bufala. 
In realtà c’è ancora qualche baco da sistemare (il link alle pagine non è corretto e la ricerca non avviene ancora nei titoli) ma per lo meno è funzionale. Un ringraziamento a Luca e Blackstorm per il feedback. Nota di rilievo la soluzione elegante ad un problema che mi assillava: l’indicizzazione dei post postumi. Risolto filtrando i risultati anziché creare un complesso schema di schedulazione delle indicizzazioni. cool.

Non faccio uno screenshot della pagina dei risultati per stimolare la curiosità: l’intenzione è quella di fare un piccolo omaggio all’azienda del PageRank.

Enjoy

Technorati Tags:

Domande retoriche

Jul 6, 2008 - 0 comments - Archiviato in: #Cazzate

Jeff Atwood si chiede perché Microsoft è incapace di rilasciare prodotti Open Source in bundle con altri prodotti. Fa l’esempio di Visual Studio che pur di non includere l’ottimo NUnit preferisce fornire un clone di qualità decisamente inferiore.

Risponde per Microsoft Richard Stallman, in una delle sue uscite zeppe di non-sense:

Gates is personally identified with it (NdP: it = FUD), due to his infamous open letter which rebuked microcomputer users for sharing copies of his software.

It said, in effect, "If you don't let me keep you divided and helpless, I won't write the software and you won't have any. Surrender to me, or you're lost!"

La lettera infamous di cui parla Stallman è la lettera di Bill Gates agli hacker in cui chiedeva di smettere di distribuire piratescamente il Basic Altair: la pirateria, diceva Bill a capo allora di una minuscola Microsoft, uccide le piccole aziende.

Si può essere d’accordo o meno se sia morale chiedere soldi per il software; credere che distribuire il software in maniera libera sia l’unico modo morale di farlo al punto di suggerire che qualsiasi messaggio antipirateria sia criminale è plain stupid. Significherebbe suggerire che la pirateria di software proprietario è cosa etica nonostante abbia per anni predicato che la scelta migliore è usare software alternativo libero.

Essendo Stallman il genio dietro l’idea dei contratti ad effetto retroattivo (vedi GPL3), la paranoia di Microsoft – secondo la mia modesta opinione – è totalmente comprensibile. Anche se sorrido al pensiero che al concessionario che mi ha venduto il bolide possa saltare in mente qualche modifica retroattiva al contratto di vendita.

Come ciliegina sulla torta, quasi a convincermi ulteriormente delle qualità morali del personaggio, le insinuazioni basate su rumor sulla Bill & Melinda Gates foundation:

Gates' philanthropy for health care for poor countries has won some people's good opinion. The LA Times reported that his foundation spends five to 10% of its money annually and invests the rest, sometimes in companies it suggests cause environmental degradation and illness in the same poor countries.

Non ho assolutamente niente contro il modello Open Source di sviluppo del software anche se penso che come modello di business sia decisamente inferiore a quello del software proprietario per motivi di conflitto di interesse (bancario!). Il fatto che però l’associazione Open Source/Richard Stallman sia molto forte mi lascia totalmente perplesso.

Quasi mi dispiace, ma devo bollare la domanda di Jeff come retorica.

-quack

Technorati Tags: ,

Ballmer peak, project mess e coding panic

Jul 3, 2008 - 0 comments - Archiviato in: #Cazzate #Codice

In questi giorni solo al centro di un vortice estremamente burrascoso. Mentre sto lavorando ad un progetto, su cui già sono in ritardo rispetto alle scadenze di ben più di qualche giorno, arriva il mio capo per dirmi che un altro progetto è in una situazione super critica e ha bisogno di un seasoned developer per tentare una missione impossibile: mettere mani a del codice altrui ASP.Net cercando di capire come funziona e cosa modificare, il tutto senza avere neanche il lusso di poter sbagliare neanche una volta (aka Project Mess).

La pressione è aumentata in maniera esponenziale come pure il via vai di vari manager verso il mio ufficio nonostante tutto sempre pronti a coccolarmi. Ho promesso di fare del mio meglio e mi son concesso una punta di ottimismo: ASP.Net non è un pianeta sconosciuto. Ottimismo durato solo fino al momento in cui mi è toccato capire come funziona la pagina Web ed il panico ha cominciato a montare (coding panic). Al punto che mi hanno letteralmente e bonariamente segregato in ufficio anche durante il pranzo mentre un PM si è offerto di fare la staffetta caffetteria-ufficio per alimentarmi. Dopo di che ho cominciato a infarcirmi di zuccheri e ho sperimentato la versione sugar based del Ballmer Peak:

SugarPeak

Sono già diverse ore che macino codice che sembra funzionare al primo colpo. Con un po’ di fortuna potrei non dover rientrare in ufficio questo prossimo weekend che comincia già domani sera (giovedì) per via del 4 Luglio. Intanto scrivo questo post in attesa di un collega paziente con tanta voglia di fare gli straordinari (in sottofondo il temporale più impetuoso degli ultimi anni: coincidenza?)

-quack

Technorati Tags:

Criticism

Jul 1, 2008 - 0 comments - Archiviato in: #Cazzate

L’ultima critica “autorevole” a Windows proviene dalle pagine del New York Times, a firma di Randall Stross professore di business per la San Jose State University. L’autore fa un bella macedonia di concetti e si spinge a suggerire che Microsoft dovrebbe intraprendere la strada intrapresa da Apple con OS X: rompere tutti gli schemi e cominciare da capo.

Dico: ma siamo impazziti? Ma su che pianeta vive Randall Stross per non rendersi conto che la lamentela numero di Vista è stata la compatibilità?

  • Non mi funziona Emule per colpa del DRM
  • Mia suocera ha problemi a stampare con una stampante di 10 anni fa

e via di questo passo. Ed Bott ha raccolto in un post dal titolo autoesplicativo “Apparently, the NY Times fact-checkers took the weekend off” le reazioni all’articolo tendente a rappresentare OS X come l’unico sistema operativo moderno (basato su Unix??!? Jeez).

Come al solito le critiche verso il monopolista sono sempre più acerbe di quelle verso la concorrenza: a scambiare per realtà certe legittime opinioni – su quanto facciano schifo Win32, .Net, ecc. – ci si potrebbe meravigliare che la piattaforma più “florida” e “innovativa” (LINQ on my mind) sia la schifosa piattaforma che detiene il monopolio delle applicazioni[1]. Mi consolo pensando che è la psicologia dello switcher.

Apparentemente invece Apple qualsiasi cosa faccia ha sempre gli utenti dalla sua. Apple fa pagare il 200% in più per la RAM? È perché usa RAM migliore con tecnologia magic dust! Lo schermo diventa nero dopo il reboot? Colpa mia che ci voglio far girare Windows ma sicuramente sarà sistemato nel prossimo aggiornamento! Netbios non funziona in Leopard? Ma è un protocollo antiquato, sostituisci il tuo homeserver con Time Capsule, il tuo mediacenter con AppleTV e il tuo desktop con un Mac Pro!

Toni polemici a parte ho installato la 10.5.4 ma i due problemi più antipatici (lo schermo nero e il protocollo NetBios) non hanno visto nessun segno di miglioramento!

-quack


[1] Oppure qualcuno mi dica come faccio a comprimere un DVD su Mac senza svenarmi con un prodotto che costa la metà del costo dell’OS.

Craigslist zoo

Jun 27, 2008 - 0 comments - Archiviato in: #Cazzate

Giorni fa mentre il portatile era in vendita su craigslist, in un annuncio in cui a malapena specificavo il modello per via del fatto che qualche dispettoso lo ha flaggato come improprio o duplicato, il solito truffatore mi ha mandato dopo 10 minuti la seguente email esca:

I wasn't expecting a reply so soon but all the same thanks.i will not be
able to pay cash,reason being that i am not a united states
citizen,However am buying thisfor a freind who is in need of this item
as as a matter of urgency, i would
appreciate if you allow me to pay through paypal and i will add 100usd as
shipping cost..However if you dont have paypal account you can just log on
to paypal.com and set up an account it is free easy and secure to pay and
receive money through paypal.or if you would also like me to pay
through money order.if i pay through money order same shipment fee applies too
so you can get back to me with your full name and your full contact
address so i can send payment
.so get back to me asap

Ora io mi chiedo: ma chi è quel genio che pensa che un venditore si possa fidare di uno sconosciuto che comprerebbe un laptop per un amico senza avere un minimo interesse per quello che sta comprando? Un truffatore della domenica stile banda degli onesti?

BandaOnesti

-quack

Technorati Tags:

Passa codice

Jun 26, 2008 - 0 comments - Archiviato in: #Cazzate #Codice

Leggendo il blog di Coding Horror, ho avuto occasione di riflettere sulla seguente frase:

Always code as if the person who ends up maintaining your code is a violent psychopath who knows where you live.

È un paio di giorni che mi sento un po’ shining:

the_shining

L’aggiunta di una piccola feature nel prodotto a cui sto lavorando, così piccola che si può descrivere con pochissime pagine fin nei minimi dettagli, mi ha costretto a riscrivere quasi ex-novo del codice non mio. Ho pensato che se mi avessero dato una mazza da baseball ne avrei combinata qualcuna delle mie: poi mi sono decisamente calmato quando ho preso in considerazione la scarsa esperienza iniziale di chi ha scritto quel codice. Non che il codice sia terribile, ma diciamo che il refactoring è diventato un pretesto per fare di necessità virtù e tirare fuori un paio di query micidiali fuori da un loop ammazza prestazioni.

E a proposito di codice, lascio un quesito per i volenterosi ricavato dall’esperienza con blogoo: la classe SyncLRUMap in questo pezzo di codice “autosufficiente” di C# ha qualche problema di multi-threading che si verifica abbastanza sporadicamente. Quando si verifica un eccezione di tipo Null Reference viene generata ed il call stack è il seguente:

System.NullReferenceException:
Object reference not set to an instance of an object.
at Commons.Collections.LRUMap.IndexOf(Object key)
at Commons.Collections.LRUMap.MoveToMRU(Object key)
at Commons.Collections.LRUMap.get_Item(Object key)
at Commons.Collections.LRUMap.SyncLRUMap.get_Item(Object key)

Una volta che si verifica il guaio la collezione risulta permanentemente corrotta, ovvero l’oggetto membro ObjectList finisce per contenere un null. Un indizio per la soluzione (che io spero di aver individuato) è indicato in questo thread. Un ulteriore indizio lo si può individuare riflettendo sull’implementazione di ArrayList. Spero di aver stuzzicato abbastanza curiosità.

-quack

Technorati Tags:

Wasting time

Jun 25, 2008 - 0 comments - Archiviato in: #Cazzate

Il seguente resoconto è basato su fatti realmente accaduti.

Ero in un target qualsiasi a fare il classico shopping casalingo e incontro un collega che mi sembra di conoscere e accenno un saluto. Mi risaluta calorosamente e mi chiede se lavorassi per la stessa azienda, “ma sì come no” “ci saremo conosciuti in qualche meeting” ecc. Mi dice che è entrato in un gruppo extra-lavorativo di consulenze dove per 8-10 ore alla settimana si possono fare circa 3-4000$ extra al mese, che si tratta di consulenze nel settore dell’e-commerce dove l’esperienza tecnica è sempre gradita, che si lavora con grandi aziende online tra cui anche Microsoft.com, ecc. Mi dice che se mi interessa sono sempre alla ricerca di talenti, che le possibilità di arrotondare non sono niente male e così via. Ci scambiamo i numeri di cellulare e con molto scetticismo da parte mia finisce là. Rifletto però sul fatto che durante la conversazione ha pronunciato più volte la frase help them to strategize ma la cosa non mi era sembrata molto bizarra: ho pensato a strategie “tecnologiche”, tipo scegliere ASP.Net classico vs. ASP.Net MVC.

Mi chiama dopo un paio di giorni per chiedermi di incontrarmi cercandosi di auto-invitarsi a casa mia per farmi conoscere sua moglie e sciorinare qualche dettaglio. Gli rispondo che ho molto da fare per via di una schiavizzazione contemporanea su due progetti diversi e che tocca rimandare magari nel week-end. Mi chiede il mio indirizzo email e mi spiega che uno dei team-manager sarà in città domenica e che prenoterà due posti per il meeting in cui codesta persona entrerà nei dettagli. Ricevo i dettagli per i mail, un reminder giornaliero per ogni giorno prima dell’evento ed un paio di telefonate di cortesia.

flying_money

A quel punto l’algoritmo di “pattern matching probabilistico” ha cominciato a definire quella che era una ipotesi plausibile: MLM.

Poi ho finalmente partecipato alla presentazione, alquanto interessante non per i contenuti, quanto per la forma. Gli ultimi dubbi sono diventati certezze sia per quanto detto, che per un certo tipo di atteggiamento. La prova del nove l’ho fatta a casa cercando su Wikipedia il nome dell’azienda: Quixtar. La mia estrema politeness mi ha portato a mostrare un interesse minimo per la faccenda che è stato tramutato immediatamente in un appuntamento a casa mia con il team-manager, non senza avermi fornito qualche materiale esplicativo (DVD, audio-CD e brochure).

Da una parte sono tentato di fingermi interessato per approfondire ulteriormente e direttamente le tecniche di marketing che sono quasi al limite di un vero e proprio lavaggio del cervello; considerando che sono stato attirato con l’inganno, insieme ad una mia superficialità, mi sentirei anche eticamente a posto. Dall’altra il tempo è prezioso per essere speso in strategie d’evasione. Resta il fatto che penso che una certa percentuale di adepti sia davvero convinta che il MLM possa rappresentare una fonte di guadagno sostenibile.

-quack

Technorati Tags:

Fingiti occupato…

Jun 24, 2008 - 0 comments - Archiviato in: #Cazzate

leggi un libro mentre “lavori”.

Chissá se presto saranno disponibili titoli anche in italiano.

Read at work 

La cosa buffa è che l’applicazione Flash è mascherata come un desktop Windows XP. Se il desktop di lavoro è Vista però, occhio a non farsi sgamare.

image

-quack


[1] Con un desktop così vuoto sarei sgamabile in un millisecondo.

via I Started Something.

Technorati Tags:

Struzzi

Jun 23, 2008 - 0 comments - Archiviato in: #Apple #Security

A leggere la notizia di un trojan per Mac che sfrutta l’EoP di cui si parlava pochissimi giorni fa, mi accorgo che l’atteggiamento di taluni utenti della mela – facendo finta  che i commentatori su P.I. possano rappresentare un campione significativo - è raffigurabile con un’immagine che vale più di un milione di parole:

ostrich

Nonostante ci sia qualcuno che spiega che il trojan, grazie appunto al fatto che l’elevation of priviledges è molto banale, è capace delle peggiori porcherie come fare l’upload di screenshot o installare keylogger, la maggior parte degli utenti è convinta che la piattaforma Mac sia comunque magicamente inattaccabile.

Certe parole sembrano davvero cariche di sabbia.

-quack

Technorati Tags:

Comment Feed

Jun 20, 2008 - 0 comments - Archiviato in: #Blog-Tech

A grande richiesta, a giudicare dal numero di 404 nei log, ho implementato (che parolone per 10 righe modificate e qualche cut & paste) un feed RSS per i commenti per questa piattaforma.

CommentFeed

Cliccare sull’icona a destra di “Ultimi commenti” per il link.

Sperando di fare cosa buona e giusta, distintamente saluto.

-quack

Technorati Tags:

Diavoli pentole e coperchi

Jun 19, 2008 - 0 comments - Archiviato in: #Security

Code execution vulnerability found in Firefox 3.0

Se fosse vera la seguente affermazione di Window Snyder sarebbe ancora più ridicola:

In setting out to elevate Firefox's basic security, Snyder is also compelling Microsoft and Apple, maker of the Safari browser, to follow her lead — or get out of the way." (fonte)

Scritto nel caso qualcuno avesse dubbi sul perché non userò Firefox come browser di default su un PC con Vista; perché diciamolo su OS X non c’è molta scelta . Per i più scettici, qualche altro dato interessante.

In ogni caso mi unisco sinceramente al coro di congratulazioni per la nuova versione – decisamente innovativa – e per i 9 milioni e passa di download.

firefoxcake30

Oggi proprio non è giornata, eh?

-quack

Technorati Tags: ,