A Ovest Di Paperino

Welcome to the dark side.

  • The machine is us

    Video molto interessante ed acchiappante sul concetto di Web 2.0 (anche se penso che fondamentalmente sia una buzzword).

    Enjoy!

    -quack

    Technorati Tags:

  • Unpacking but slowly

    Dopo il cambio di ufficio mi ritrovo ancora parecchia roba «inscatolata» e nei momenti di pausa, tra una guerra di lavoro e l'altra, lentamente spacchetto cose a caso. Ravanando in un crate che a tratti pare vivere una vita propria, ho beccato un posterino d'annata:

    einstein

    La frase è di quelle che colpiscono:

    Do not worry about your difficulties in mathematics;
    I can assure you that mine are still greater

    e ben si abbina al cartello fuori della mia porta che indica la "SALA SOLUZIONI" tra due emblemi della Repubblica Italiana, ricordi di un tempo molto busy nelle vesti di tutor.

    -quack

    Technorati Tags: ,

  • Do you sudowin?

    Uno dei commenti al mio post che spiegava come funziona UAC «dietro le quinte» mi segnalava l'esistenza di Sudowin un port per Windows del comando sudo disponibile su tutte le piattaforme *nix. Il tool l'avevo notato in precedenza, ma il commento è stata una buona scusa per approfondire: alla fine si è rivelato un utile esercizio e credo di aver capito qualcosa di più di come funziona sudo ad esempio su Ubuntu.

     doyousudo

    La prima sostanziale differenza tra il mondo Windows e il mondo *nix è la figura dell'amministratore. In Windows è amministratore qualsiasi utente appartenga al gruppo Administrators: in *nix c'è un unico amministratore - qualcuno mi corregga se sbaglio - che è root. Discutere sui pro ed i contro di ciascuna delle due soluzioni porterebbe ad una [in]utile guerra di religione, per cui non ci provo neanche. La seconda soluzione però ha qualche implicazione di tipo pratico su sistemi "condivisi": come dare la possibilità ad un utente di svolgere compiti amministrativi senza condividere la password di root (un'idea molto malvagia!)? Sudo colma appunto tale «lacuna» dando la possibilità ad altri utenti (i sudoers) di lanciare processi con permessi di root; il tutto è ampiamente configurabile tramite file di configurazione.

    L'implementazione per Windows, per me più immediatamente comprensibile, esegue il «gioco di prestigio» in questo modo: durante l'installazione del tool viene installato un servizio che gira con le credenziali di LocalSystem e che si pone in ascolto di «richieste» sudo. In presenza di una richiesta legittima il servizio aggiunge l'utente al gruppo degli amministratori, lancia il processo richiesto usando il nuovo token, e subito dopo rimuove l'utente dal gruppo.

    La differenza con l'approccio UAC è evidente: con sudowin un qualsiasi utente potrebbe essere messo in grado di lanciare alcuni processi senza necessariamente essere parte del gruppo degli amministratori.

    Sudowin può essere usato per due scopi:

    1. dare la possibilità ad un amministratore di girare normalmente con credenziali non amministrative, esattamente come avviene con l'Admin Approval Mode (AAM) di Vista.
    2. dare la possibilità ad un utente "normale" di eseguire un numero limitato di applicazioni che potrebbe richiedere permessi amministrativi.

    Per quanto riguarda il primo uso, sudowin potrebbe essere perfetto per XP in quanto l'AAM di Vista è sotto molti aspetti più sicuro e conveniente (ad esempio le credenziali vengono richieste in un desktop separato a prova di spoofing): perció ne sconsiglio l'uso - a tale scopo - su Vista; tuttavia qualcuno che ha più dimistichezza con il mondo *nix potrebbe trovarlo più «familiare».

    Per quanto riguarda la seconda possibilità sudowin è perfetto: l'unico problema è che occorre estrema attenzione nel configurare quali applicazioni inserire in una eventuale white list. Dare ad un utente qualsiasi la possibilità di eseguire notepad con un token da amministratore non è molto diverso da aggiungere l'utente al gruppo degli amministratori (ovviamente se l'utente è scaltro ed ha cattive intenzioni): l'elevation of priviledges via notepad è una delle più banali da individuare.

    Un'ultima nota a commento di un'affermazione contenuta nella documentazione di sudowin:

    UAC also introduces Admin Approval Mode. This is what is confused for sudo. Essentially, administrators are prompted for their credentials or their consent whenever they need to perform a sensitive task. Because the administrators are being prompted for their own passphrase this may seem a lot like sudo, but there is one very important thing to remember – the administrator is not being granted any priviliges that she does not already have. There is no privilege escalation occurring.

    In realtà per via dello split token la privilege escalation avviene eccome!

    -quack

    Technorati tags: ,

  • Omaggio a Dylan Dog

    Complice una combinazione casuale di fattori, ieri mi sono ritrovato in ufficio con giacca nera, camicia rossa, jeans azzurri, stivaletti simil-Clarks e la mia buona dose di incubi:

    dylandog

    Peccato solo che da queste parti Dylan Dog non sia mai "atterrato"

    Sempre a proposito di misteri, quello riguardo la vulnerabilità di Adobe Flash sfruttata al CanSecWest comincia a dipanarsi, grazie all'aiuto attento di un collega:

    To claim a laptop as your own, you will need to read the contents of a designated file on each system through exploitation of a 0day code execution vulnerability (ie: no directory traversal style bugs).

    Fonte: le regole del CanSecWest

    A quanto pare non c'era neanche bisogno di bypassare il Protected Mode di IE in quanto, come già spiegato altrove, il Protected Mode non previene la lettura dei file ma ne limita semplicemente le operazioni di scrittura.

    -bau!

    Technorati Tags:

  • Abilitare la DEP in IE7

    Dopo le recenti defaillance di Adobe, e rincuorato dal fatto che su IE8 la DEP sarà abilitata di default, ho deciso di mettere insieme un post-ino su come abilitare la DEP su IE7.

    Avviare IE come amministratore (altrimenti la voce relativa alla DEP sarà "disabilitata") cliccando col tasto destro sull'icona di IE:

    IERunAsAdmin

    Infine cliccare sulla voce di menù Internet Options, selezionare il tab Advanced e spuntare la voce "Enable memory protection ...":

    ie7-dep-enable

    Perché la DEP non è abilitata di default? Per motivi di compatibilità con alcuni plugin abbastanza "popolari". Visto che le nuove versioni di tali plugin sembrerebbero essere compatibili con la DEP, vale la pena provare. Se qualcosa non funziona disabilitare è altrettanto semplice.

    Un'altra soluzione per evitare il pericolo di exploit basati su Flash, è fare uso di plugin che creano una white-list di siti considerati "affidabili" e disabilitano di default le maledette animazioni (usate spesso per bypassare il popup-blocker) per tutti gli altri siti. Per IE7 tale lavoro è svolto egregiamente da IE7Pro. YMMV

    -quack

    Technorati Tags: ,

  • GAME OVER

    Questa vulnerabilità di Flash (Adobe alla ribalta) sta facendo il giro della blogosfera. Il pdf è riassunto brillantemente in questo post di Thomas Ptacek intitolato Dowd's Inhuman Flash Exploit.

    Inumano perché non solo Dowd è riuscito a creare un exploit quasi impossibile oltre che cross-browser (e probabilmente anche cross-platform): ma l'exploit - che altro non è che una animazione Flash - è costruito in maniera tale da lanciare la remote execution senza neanche interrompere l'animazione vettore dell'exploit!! Un genio!

    gameover

    -quack

    Technorati Tags:

  • SQL Execution

    Wikipedia, a proposito di SQL Injection, recita:

    La SQL injection è una tecnica dell'hacking mirata a colpire le applicazioni web che si appoggiano su un database di tipo SQL. Questo exploit sfrutta l'inefficienza dei controlli sui dati ricevuti in input ed inserisce codice maligno all'interno di una query SQL. Le conseguenze prodotte sono imprevedibili per il programmatore: l'Sql Injection permette al malintezionato di autenticarsi con ampi privilegi in aree protette del sito (ovviamente, anche senza essere in possesso delle credenziali d'accesso) e di visualizzare e/o alterare dati sensibili.

    Insomma per ottenere un attacco basato su una SQL Injection, il sito vulnerabile deve prendere in input un parametro malformato e trasformarlo accidentalmente in una query SQL.

    Ma se il sito come parametro prende direttamente una query? Si ottiene la nuova frontiera delle SQL Injection: la SQL Execution!

    Enjoy!

    Technorati Tags:

  • Infinite loop

    Ieri, con un "pisolino" di qualche ora, ho interrotto il «ciclo continuo» che era cominciato il primo Aprile: 14 giorni ininterrotti di lavoro/weekend pieni fino a tarda ora. Mi son sentito come una di queste formiche:

    infinite loop

    Ma il peggio è arrivato oggi: il nuovo ufficio, seppur temporaneo, è di una rumorosità incredibile data la prossimità di uno dei LAB più grandi di Windows. Toccherà armarmi di cuffie super efficienti e piazzare un cartello davanti alla porta.

    inutile bussare quì...

    -quack

    Technorati Tags:

  • Brevi per il weekend

    -quack

  • Quelli che Windows Server

    Che qualcuno usi un OS server come desktop non è un mistero: ad esempio alcuni miei colleghi lo fanno perché preferiscono installare una versione FULL di Sql Server sulle loro dev box (mi chiedo sempre a che pro). Che la piattaforma server venga elogiata dagli stessi denigratori della piattaforma client organizzatori della campagna "Save XP", come EnricoG aveva notato, comincia a sembrarmi strano: si tratta degli stessi bit anche se branding e marketing hanno un'influenza a volte decisiva.

    Ma non è finita: la passione per Windows 2008 Workstation sta spopolando con delle vere e proprie guide su come trasformare il server in una workstation, inclusa l'installazione del pacchetto Live! La cosa più buffa è che spesso si consiglia di installare Windows Server perché:

    is remarkably faster and more stable (NdP: ????)! People say: “It’s Windows Vista without the bloat“!

    nelle stesse guide in cui si spiega come installare il «bloat» mancante.

    Buon weekend, oggi è uno short Friday in quanto spostano gli uffici del mio team altrove, ovvero dall'altra parte del parcheggio.

    -quack

    Technorati Tags:

  • Vincitori e vinti

    Il recente hacker contest al CanSecWest, a cui avevo accennato in questo post recente, ha lasciato winner qualche ulteriore strascico polemico.

    Sembra che la maggior parte della gente sia falsamente convinta che l'exploit che ha "tirato giù" Vista sia limitato alla piattaforma Windows (io intanto muoio dalla curiosità di sapere i dettagli più succosi). Qualcun altro osserva che se l'exploit in questione fosse quello di cui parla Adobe in questo bollettino di sicurezza il danno sarebbe nullo in quanto l'exploit girerebbe con gli stessi privilegi dell'utente locale: come se la possibilità di vedere andare in fumo l'home folder e tutti i propri dati personali sia molto meno peggio che vedere il proprio PC soccombere totalmente.

    Infine quelli di Ubuntu, che immagino davvero non hanno capito niente di quello che è successo, festeggiano con un post autocelebrativo:

    CanSecWest PWN2OWN 2008 - Ubuntu Wins!

    Nel frattempo il malware si evolve: meno software più psicologia, con exploit che sono multipiattaforma per definizione come il phishing; e qualche criminale fa affari d'oro con una vulnerabilità Cross Site Scripting vecchia di qualche anno o usando un'altra vecchia vulnerabilità per rubare dati personali a 60 mila studenti installare al tempo stesso un IRC bot sul server. Solaris.

    Non c'è dubbio: mala tempora currunt.

    -quack

    Technorati Tags:

  • Checksur mon-amur

    Il problema dell'update che non vuole installarsi, che avevo bollato come definitivamente scomparso con l'installazione del SP1, è riapparso sotto le mentite spoglie di un nuovo update ma sempre relativo al Junk Folder Filter di Windows Mail (non me ne vergogno: funziona alla grande per quello che mi serve ).

    Ma come diceva il mitico Belushi, quando il gioco si fa duro, i duri cominciano a giocare.

    Ravanando in giro ho scoperto che il malefico errore 80073712 è dovuto alla corruzione di qualche manifest di Windows Update (che sono dei file che contengono la descrizione degli update). Fino a qualche tempo fa, la soluzione proposta era lo standing upgrade, ovvero la reinstallazione dell'OS sulle ceneri del precedente. Deciso a conservare il record di durata di installazione di Vista (intatto sin dal 5 Novembre 2006!) ho continuato a ravanare e ho scoperto l'esistenza di CheckSUR, conosciuto anche come update 947821.

    Ma cos'è CheckSUR? Lo dice l'«update» stesso:

    System resources, such as file data, registry data, and even in-memory data, can develop inconsistencies during the lifetime of the operating system. These inconsistencies may be caused by various hardware failures or by software issues. In some cases, these inconsistencies can affect the Windows Servicing Store, and they can cause a Windows Vista update to fail. When the update fails, it blocks the user from installing updates and service packs. CheckSUR addresses this issue.

    CheckSUR, che sta per Check for System Update Readiness, fa la diagnosi dei manifest installati e nel frattempo ripara quelli che dovessero risultare corrotti. Nel mio caso:

    CheckSur

    CheckSUR si installa come un Windows Update normale in modalità "manuale" e genera un log nel file %WINDIR%\Logs\CBS\CheckSUR.log

    In seguito l'installazione dell'update che non si voleva installare è filata liscia come un olio sintetico. Occhio che l'«installazione» (in realtà si tratta di una scansione) di CheckSur richiede circa 10-15 minuti durante i quali la progress bar potrebbe "fermarsi" per un bel po', per cui è richiesta un po' di pazienza.

    Il consiglio, data la gratuità del tool, è il solito. Accattatavill'

    -quack

    Technorati tags:

  • Tax time

    Tra una settimana è il 15 Aprile, giorno in cui ogni famiglia fiscale regola i conti con l'Internal Revenue Service (IRS), l'equivalente italiano del ministero tasse e balzelli.

    Oggi ho finalmente completato, con l'aiuto di un accountant professionista, i miei adempimenti burocratici:

    Spennato 
    La cosa buffa è che, grazie ad una legge federale chiamata "economic stimulus package", oltre il 90% del conguaglio da versare verrà restituito entro un paio di mesi sotto forma di rebate fiscale (quanto odio i rebate, ma in questo caso a caval Donato... [cit.]). A volte la matematica è davvero un'opinione.

    -quack

    Technorati Tags:

  • Refuctoring in C# 3.0

    Con la nuova versione del linguaggio C# (3.0) rilasciata con Visual Studio sono state introdotte alcune nuove sintassi che, secondo la mia personale teoria che il codice "compatto" sia scarsamente leggibile, rendono il refuctoring un gioco da ragazzi. Ne elenco alcune:

    Variabili locali tipizzate implicitamente
    Un esempio vale più di mille parole:

    var i = 10; // i è un int
    var j = "hello" // j è una string

    Si ottengono molti punti refuctoring se la dichiarazione var è usata per definire il valore di ritorno di una funzione:

    var p = MyFunction(); // cos'è p???

    Proprietà automatiche
    Per guadagnare un po' di punti refuctoring basta dichiarare una proprietà automatica nelle vicinanze di una astratta:

    public string PetName { get; set; }
    public abstract int PetAge { get; set; }

    La differenza subdola ingannerà il lettore più attento

    Extension Methods
    È ora possibile aggiungere metodi a classi predefinite. La faccia del lettore che si trovi davanti al seguente pezzo di codice sarà impagabile:

    int i = 0;
    int j = i.DoSomeMagic(); //  

    Tipi anonimi
    È ora possibile definire, grazie alla keyword var, un tipo anonimo al volo:

    var myPerson = new { Name = "Foo" };

    Lambda
    La classica ciliegina sulla torta, soprattutto se accoppiata alla keyword var (ancora tu?):

    var evenNumbers = list.FindAll(i => (i % 2) == 0);

    Nel mio team è stato chiaramente stabilito che eventuali abusi da C# 3.0 verranno corporalmente puniti.

    -quack

    Technorati Tags:

  • Timeo Danaos

    Ieri mi è arrivata una e-mail in cui venivo notificato dell'assegnamento di un nuovo PC di lavoro da essere consegnato domani (Venerdì). Mi son preoccupato perché, sebbene mi era recentemente balenato il pallino di chiedere un upgrade a QuadCore, per motivi di incasinamento vario non l'ho mai fatto e quindi il "dono" è completamente inaspettato. Ed invece è arrivata la sorpresa sotto forma di questa configurazione:

    HP Compaq dc7800 Convertible Minitower P
    HP Core 2 Quad Q6600 (2.40/1066/8M) Proc
    4GB PC2-5300 (DDR2-667)4x1GB Memory
    dc7800 CMT 1.44MB Floppy Drive
    HP 250GB SATA NCQ SMART IV 1st HDD
    SATA 16X SuperMulti LightScribe1st No SW
    NV GF 8400GS (256MB DH) PCIex1 1st Card

    Il motivo? Avanzi di budget. I quattro giga mi hanno subito convinto che vorrò installare Vista x64; oltre a chiedere immediatamente un disco secondario per non dover più copiare i dati via rete.

    -quack

    Technorati Tags:

  • ISO approva OOXML

    Ci sono tanti buoni motivi per festeggiarla come una buona notizia, alcuni sono elencati in questo post di Raffaele Rialdi.

    Certo è che i sostenitori della "libertà" non l'hanno presa bene visto che han sperato fino all'ultimo in un pesce d'Aprile e che di standard ne fosse imposto solo uno; stesso stile polemico, con cui la notizia è stata anticipata anzi tempo da Michiel Leenaars, guarda caso membro della OpenDoc society e molto più preoccupato per l'impatto che questo avrà sull'adozione del formato concorrente ODF che di meriti tecnici. Mi chiedo come la prenderà Rob Weir per l'occasione ancora stranamente silenzioso.

    -quack

    Technorati Tags:

  • In mia assenza

    Siamo appena tornati a casa, dopo il lungo viaggio durato 25 ore, misurate dal momento di chiusura della porta di casa di partenza a quello di apertura della porta di casa dell'arrivo. È andato quasi tutto alla perfezione e New York si è dimostrata ancora una dogana molto meno "antipatica" da affrontare. Nel frattempo nel mondo dei bit e dei byte sono successe un bel po' di cose interessanti e a tratti divertenti:

    • Apple segnala che è disponibile un aggiornamento (di sicurezza?) per iTunes; in realtà l'aggiornamento è Safari 3.1, il browser disegnato with security in mind.
    • Quelli di Mozilla si inca**ano e senza misure etichettano Safari come malware e forse in fondo hanno ragione: Russinovich una volta disse, definendo il sistema di protezione di Sony come rootkit, che se sembra una papera, fa il verso di una papera e si comporta come una papera, molto probabilmente lo è. Come dargli torto?
    • Nel frattempo vengono scoperte due vulnerabilità critiche nella versione di Safari appena rilasciata: e per fortuna si trattava di un update (di sicurezza?) di iTunes
    • L'update infine, per ironia della sorte, viola la EULA di Safari che permetterebbe "the installation of Safari for Windows on Apple labeled hardware, thereby excluding most Windows PCs". La EULA viene prontamente corretta, i bachi non si sa: niente di anormale, visto che Apple è molto peggio di Microsoft
    • nel rilasciare patch tempestive.
    • Qualcuno prova a prendere le difese di Apple dicendo che anche Microsoft con alcuni prodotti lo fa. Per fortuna il solito Ed Bott spiega la sostanziale differenza di approccio dei due vendor e perché Apple debba prendere lezioni sulla questione da BigM
    • La vicenda sfiora il ridicolo (ed il patetico) quando si scopre che, ancora grazie a Safari, OSX è il primo sistema a cadere nelle mani degli hacker al PWN 2 OWN hacking contest; segue Vista grazie ad una vulnerabilità di Adobe Flash che a detta degli autori, con modifiche che richiedano in tutto un paio di ore, può essere adattata anche ad OSX e Linux: Ubuntu dal contest ne esce intanto indenne. Il mio commento sarcastico è che probabilmente gli hacker non sono neanche riusciti ad installare Flash su Ubuntu, visto che non si tratta certamente di una passeggiata
    • A questo punto anche i mac fan più accaniti cominciano a convergere sul fatto che la superiorità di MacOS non è mai esistita e che la mancanza di virus ed exploit per tale piattaforma è dovuta soprattutto a quote di mercato desktop, laddove appunto aprire un allegato può risultare pericoloso, finora marginali rispetto a Windows. Salvo poi concludere che *nix è "comunque superiore"

    Cambierà qualcosa? Dubito, la percezione dal punto di vista del mercato e del marketing, è da sempre molto più forte della realtà. Ad esempio qualche sedicente esperto di sicurezza va ancora affermando che "SQL Server è il Database per il quale lo scorso anno sono state trovate il maggior numero di vulnerabilità":

    He cited SQL Server as an example. "It had the most vulnerabilities last year of any commercial database, so scrutiny will do nothing but good for its security."(fonte).

    nonostante Jeff Jones dimostri, secunia alla mano, che il numero di vulnerabilità trovate da sempre per SQL 2005 sia stato 0 (e nonostante sia stato rilasciato 2.5 anni fa) e che l'ultima vera vulnerabilità di SQL server sia datata 2004. Dov'è la differenza tra l'approccio MS e quello della concorrenza? Sia Jeff che Feliciano concordano: merito dell'SDL, di cui ho abbondantemente disquisito in passato. E sull'SDL a questo punto vale la pena citare questa storia di Michael Howard:

    A few years ago I spoke to some senior technical people from a large financial organization about software security. After visiting Microsoft they were off to visit another operating system vendor. I won't name names. The financial company was very interested in our early results, and they were encouraged by what they saw because of the SDL. I asked the most senior guy in the room to ask the other company one very simple question, "What are they doing to improve the security of their product? And by that I mean, what are they doing to reduce the chance security vulnerabilities will creep into the product in the first place? And they cannot use the word ‘Microsoft' in the reply." Two weeks later, the guy phoned me and said his company would buy Microsoft products and nothing from the other company. I asked him why. He said because all they could do was make up excuses (see the list at the start for examples!) rather than admit to having numerous critical security vulnerabilities and no process to reduce their ingress.

    Morale della favola: se non sono bastati 4 anni di ottima condotta per convincere gli "esperti", sicuramente non basterà l'eternità per convincere i detrattori più accaniti.

    -quack

    Technorati tags: , , ,

     

      • Spring break 2008

        Dovrei essere molto più entusiasta, ma visto come girano le cose in ufficio, ancora non riesco davvero ad esserlo. Domani si parte per una micro-vacanza. Visto che la concentrazione di avvenimenti sarà elevatissima, perché anche se la durata è molto breve il numero di cose da voler fare rimane veramente elevato, dubito che il sottoscritto possa dedicare più di qualche minuto a monitorare quello che accade in questo luogo di perdizione, meno che mai a scrivere qualcosa. Vedremo cosa accade, io mio porto appresso l'ultraleggero, il mio Sony Vaio d'ufficio.

        pausaprimavera2

        Perció come disse il nonno «non fate niente che io non farei».

        -quack

        P.S. Gira voce (*) che domani c'è anche il rilascio ufficiale del SP1 di Vista. Coincidenza?

        (*) Non sono informato sui fatti. Neanche volendo non posso né confermare né smentire.

        Technorati Tags:

      • Contro verso

        Notavo recentemente che alcuni blog «controversi» non vengono aggiornati da un bel po', come ad esempio shipping seven o per andare ancora più indietro nel tempo makingtheswitch (sottotitolato: One Microsoft Employee Documents His Switch from Windows to Linux) o thelinuxconvert (sottotitolo: my journey from windows vista to linux). Controversi non perché parlano bene della concorrenza, ma perché - giudicando a posteriori - sembrano tirati sù con l'unico scopo di attirare un po' di attenzione. Il pattern che ho notato è questo:

        • qualcuno apre un blog in maniera anonima su uno dei soliti host (wordpress è popolare ma farlo su blogspot sembra quasi un dispetto) per raccontare qualche segreto (magari windows7 o qualche voglia informatica inconfessabile)
        • il blog riceve l'attenzione dei media: la quantità dei post si intensifica, come pure quella dei commenti pro e contro
        • l'autore smette di bloggare sul più bello; ad esempio quando ha chiuso makingtheswitch stava cominciando a parlare di Ruby e di videoediting su Linux

        La mia sensazione, soprattutto riguardo il primo, è che sia un fake. Basterebbe un piccolo dettaglio per dimostrare - magari anche indirettamente e senza essere tracciabili - che chi scrive non sta barando ed io non ne ho visto neanche uno neanche a livello subliminale: come quando si ascolta un cantante in TV e ci si accorge subconsciamente che sta cantando in playback pur senza averne la certezza (vabbé qualche esperto magari può vantare accuratezza molto maggiore della mia).

        E visto che ho citato ancora Ruby, ieri mi son imbattuto nella seguente riga di codice:

        %w{god normal banned spam}.map{|n| Role.create(:name=>n)}

        Follia pura di illegibilità!

        -quack

        Technorati tags:

      • Microsoft acquista U-Prove

        Mentre qualcuno propone di rendere illegale postare commenti anonimi su internet, Microsoft compra U-Prove, tecnologia molto interessante per quanto riguarda la privacy.

        Uprove

        Kim Cameron si spinge oltre e definisce U-Prove l'equivalente dell'RSA nel campo della privacy. Effetto collaterale di questa acquisizione è stata l'ennesima dimostrazione che Bruce Schneier può sbagliare:

        “I know Stefan; he’s good. The cryptography behind this system is almost certainly impeccable. I like systems like this, and I want them to succeed. I just don’t see a viable business model.

        “I’d like to be proven wrong.”

        (diciamo che ultimamente accade anche abbastanza spesso)

        Mi son ripromesso di dare un'occhiata al protocollo che sembra davvero interessante; ovviamente per apprezzare bisogna essere appassionati di "crittografia teorica"

        Nota maliziosa: in questa acquisizione la pressione di Google non si è sentita per niente. Chissà come mai...

        -quack

        Technorati Tags: