Archivio

Archivio per la categoria ‘bugreport’

La Bibbia di Internet e i vangeli apocrifi

20 febbraio 2017

Wired è un magazine di riferimento in ambito tecnologico per milioni di lettori da un quarto di secolo a questa parte, tanto da essere definito da alcuni – compresa Wikipedia – “La Bibbia di Internet”.

E proprio per la sua fama, è strano imbattersi in articoli che producono una reazione di sconforto. Ci era già capitato la scorsa estate con questo, che nel titolo voleva essere un analisi della migrazione a LibreOffice in atto presso il Ministero della Difesa, ma nei fatti si rivelava una inutile e improduttiva iniezione di luoghi comuni (Linux è più difficile di Windows e Mac OS), di disinformazione (le garanzie dei software commerciali offrono una certa protezione dell’utente e del suo investimento), e di FUD (“con hardware molto specifico l’utilizzo di software potrebbe dare qualche grattacapo”), con rimandi privi di senso ad altri software liberi che nulla c’entrano con LibreOffice e addirittura a presunti problemi legati all’hardware che non risultano a nessuno al di fuori di quell’articolo.

È capitato di nuovo con con questo, anch’esso a firma di Riccardo Meggiato.

Nel sommario si propone di commentare la classifica dei software con più vulnerabilità del 2016”, preannunciando sorprese peraltro parzialmente svelate già nel titolo. Di fatto si tratta di un tentativo di analisi dei dati relativi alle vulnerabilità dei software, forniti da CVE e riportati su CVE Details.

Il primo momento di sconforto ci viene dall’idea che si possa seriamente pensare di ridurre la questione a una classifica, come se i software fossero dei cantanti al Festival di Sanremo, col vezzo della suspense creata dal dare i risultati in ordine inverso, dal quinto al primo posto, come un Carlo Conti qualsiasi ma senza il televoto.

Il secondo momento di sconforto ci viene dall’osservare che la classifica mette insieme, in un’unica categoria, singoli programmi come Adobe Flash Player, sistemi operativi come Microsoft Windows e intere distribuzioni come Ubuntu, Debian e OpenSuse Leap, per non parlare di Android e della sua frammentazione in un universo di versioni che girano su un universo di dispositivi diversi; per confronto, iOS esiste in una sola versione che gira su un esiguo numero di dispositivi diversi. Non è la stessa cosa. Nel pugilato i pesi piuma e i pesi massimi non gareggiano tra loro, per ovvi motivi.

Qualcosa nell’articolo impedisce di spiegare, per esempio, che “Debian” (ma vale anche per Ubuntu, che da Debian deriva, e per Leap) significa un archivio di oltre 50mila pacchetti installabili, tra cui il kernel (Linux), decine di browser e migliaia di altri programmi, molti dei quali compaiono anche da soli nella classifica, ciascuno con i suoi possibili difetti, che quindi sono sommati in quel conto. Per fare un esempio a caso, la vulnerabilità CVE 216-7117, che riguardava proprio il kernel Linux (versione 4.5.1), è messa in conto a Linux Kernel, ma anche a Debian Linux e a Ubuntu Linux.

Per dire, anche le 95 vulnerabilità di un programma come Wireshark sono ascritte a Debian (provare per credere), nonostante esso non sia installato di default in Debian ma deve essere volontariamente installato dall’utente. Però Wireshark, che è software libero multipiattaforma, può essere ugualmente installato su Windows, eppure non compare affatto nel conto delle sue vulnerabilità. Potremmo allora osservare che sommando a Windows 10 le vulnerabilità di un browser internet – Chrome, Firefox, Edge, scegliete voi: ne abbiamo sempre almeno uno sul nostro pc, no? – superiamo facilmente le 300, che fanno balzare l’ultimo nato tra i sistemi operativi di Redmond direttamente sul podio di questa bizzarra competizione. Per non parlare del fatto che solo Windows è diviso nelle sue varie versioni (anche gli altri ne hanno, sapete?). Il calcolo del risultato della somma delle sue vulnerabilità (che è un numero a quattro cifre) è lasciato al lettore.

Nessun accenno, invece, nell’articolo citato, al concetto di numero di vulnerabilità per numero di righe di codice, che è universalmente considerato il dato più interessante per valutare la qualità del software in rapporto alla sua complessità. Incidentalmente osserviamo anche che il numero di linee di codice è un dato praticamente impossibile da conoscere direttamente per qualsiasi software proprietario, mentre è facilmente reperibile per qualsiasi software libero, tanto che spesso è fornito già pronto da chi non ha niente da nascondere, nemmeno i propri errori.

Il terzo momento di sconforto nasce da una domanda: i problemi di sono tutti uguali? Per dirla con parole di moda: “uno vale uno” oppure è possibile distinguerli per gravità? Se sì, vince chi ha 100 vulnerabilità di poco conto o chi ne ha 10 gravi?

La risposta, stavolta, non è dentro di te, ma è già scritta sul sito di CVE Details. Bastava guardare, ma forse l’ignoranza o forse la malafede hanno tenuto fuori questo aspetto dall’articolo. Infatti aprendo una qualsiasi pagina relativa a una qualsiasi vulnerabilità, chiunque avrà notato che ad ognuna viene attribuito un punteggio (CVSS Score) da 1 a 10, con l’aggiunta di uno sfondo colorato dal verde al rosso che lo evidenzia a colpo d’occhio. Il tutto è riassunto in questa interessante – almeno quanto la precedente – classifica, di cui riportiamo qui sotto le prime quindici posizioni, ordinate per voto medio.

Metà dei posti disponibili, tra cui i primi sei, è occupata da prodotti Adobe, con una preoccupante media superiore al nove. Ci sono anche due versioni di Windows. Android, primo nella precedente competizione, scende in questo caso all’undicesimo posto, cioè cinque posizioni dietro Microsoft Office, cinquantesimo nella classifica precedente, settimo con una media di 9.30 su 10. Poche vulnerabilità ma buone. Anzi, ottime.

E gli altri del podio precedente? Debian totalizza un “misero” 42° posto con 6.40, davanti a OpenSuse, Ubuntu e il kernel Linux, che non arriva alla “sufficienza”. L’analisi della “classifica costruttori”, per dirla con l’autore, la lasciamo per esercizio. Si può trovare qui.

Se proprio c’è bisogno di commentare, diciamo che, ad esempio, la rigorosa politica di rilascio seguita da Debian dimostra di produrre i suoi buoni risultati; mutatis mutandis lo stesso può dirsi per le altre distribuzioni basate su Linux, e per Linux stesso. In generale, salvo eccezioni, il software libero occupa la parte bassa della classifica. Pur non essendo perfetto per definizione (in realtà lo dicono solo i suoi detrattori, nessun software lo è), per sua natura tende a risolvere i suoi problemi di sicurezza mediamente più in fretta e meglio di altri, semplicemente perché è così che vanno le cose quando il codice sorgente è pubblico e condiviso: se quattro occhi vedono meglio di due, figuriamoci i milioni di occhi sparsi per il pianeta. Se il codice è lì, ci sarà sempre qualcuno che ha voglia di cimentarsi a risolvere un problema. Se invece è chiuso nelle stanze della “cattedrale”, dovrà attendere la disponibilità dei suoi “sacerdoti”.

Ultimo ma non ultimo: analisi di questo tipo non sono banali da fare, soprattutto quando si parla a un vasto pubblico e si ha l’onore di scrivere sui “testi sacri”. Ma di “vangeli apocrifi”, soprattutto in epoche come la nostra, non abbiamo bisogno.

Marco Alici

Fonte: http://www.techeconomy.it/2017/02/20/la-bibbia-internet-vangeli-apocrifi/

Share

bugreport, distribuzioni, grandefratello, linux, microsoft, multinazionali, news, riflessioni, software

(Non) liber liber?

22 ottobre 2015

tablet-300x189Egregio Editore di libri scolastici,

quando andavo a scuola io, ormai nel secolo scorso, i libri scolastici erano tutti di carta; avevano tutti una copertina e delle pagine da sfogliare; grandi o piccini, entravano tutti nella cartella di tutti, a prescindere dalla marca e dal modello di questa. Unica eccezione, il libro di inglese: era corredato da una audiocassetta che comunque poteva essere facilmente ascoltata con un riproduttore di cassette di qualunque marca e modello.

Oggi, come allora, i libri scolastici sono di carta; l’audiocassetta, invece, ha lasciato il posto ai più moderni e capienti supporti digitali (CD o DVD), che ospitano contenuti multimediali di tutti i tipi: testi, file audio e video, e contenuti interattivi che amplificano a dismisura, almeno in teoria, le possibilità di apprendimento dei ragazzi di oggi (che in più hanno il web, ma questa è un’altra storia).

Quasi sempre è necessario installare su un computer applicazioni (programmi) che, una volta avviate, permettono di accedere ai contenuti veri e propri, che però spesso si riducono alla versione in formato flash del libro cartaceo, con al più l’aggiunta di link che collegano, appunto, tra loro le varie parti del testo o aprono contenuti audio e/o video. La classica montagna che partorisce il topolino, ma tant’è.

Tuttavia nel secolo scorso la possibilità di ascoltare le audiocassette era indipendente da marca e modello del riproduttore, mentre oggi le applicazioni da installare dipendono dal sistema operativo del computer. Ciò impone agli editori di fornire una versione del programma per ognuno dei sistemi operativi esistenti, mentre la maggior parte (non tutti, per fortuna) si limita a fornire solo versioni per sistemi Windows (di Microsoft) e Mac OS X (di Apple).

E gli altri? Sul mio computer gira da sempre un sistema operativo Linux, per dire. Quindi in casi come questi non posso installare l’applicazione che mi permetterebbe di utilizzare i contenuti aggiuntivi.

Alla prima occasione ho chiesto informazioni via e-mail all’editore, che mi ha gentilmente e rapidamente risposto così:

la piattaforma con cui sono realizzati i nostri libri digitali è compatibile, nella sua versione offline, solo con sistemi Windows e Mac. Per chi utilizza sistemi Linux, ma anche tablet Android e iOS, è disponibile la versione online, alla quale può accedere tramite il codice di accesso presente sul libro di testo, registrandosi sul sito.

I contenuti in formato Office (solitamente file .doc, .ppt e .xls, ove presenti) sono tipicamente apribili e utilizzabili anche con software come OpenOffice su qualsiasi piattaforma.

Dunque in questo caso mi è andata bene: esiste una versione dei contenuti on-line per tutti, e una versione off-line… per pochi, o per molti, ma comunque non per tutti. Delle due l’una: o la versione off-line è inutile, perché identica a quella raggiungibile on-ine, e allora non capisco perché venga prodotta e distribuita (non certo gratuitamente); oppure la versione off-line è comunque migliore, e allora dovrebbe essere data la possibilità di utilizzarla a tutti (quelli che la pagano), e non a pochi, né a molti.

Io credo che esista una terza via: fornire la versione off-line in un formato indipendente dal sistema operativo, ad esempio accessibile da un qualunque browser web, che è poi, guarda caso, la modalità con cui si può accedere – indipendentemente dal sistema operativo – alla versione on-line. Il browser web è nel 21° secolo l’analogo del riproduttore di audiocassette del secolo scorso: ce l’hanno tutti, e il suo funzionamento è uno standard indipendente da marca e modell… ehm, dal sistema operativo.

Già che ci siamo, anche per i contenuti “in formato Office” usiamo, una buona volta un formato standard, possibilmente uno serio: ne esiste uno, il formato Open Document (ISO/IEC 26300:2006) da più di dieci anni, è robusto e più sicuro di altri (come detto qui), è utilizzato da molti programmi per l’ufficio, proprietari ma anche liberi. Questi ultimi si stanno ormai diffondendo anche nella maggior parte delle scuole italiane, e gli studenti possono installarli, indipendentemente (!) dal sistema operativo, nei loro computer.

Mica vorrete rimanere indietro? O ci siete già rimasti forse?

Marco Alici

Fonte: http://www.techeconomy.it/2015/10/22/non-liber-liber/

Share

bugreport, multimedia, software

Ubuntu equivale a Windows. Lo dice Microsoft

20 giugno 2007

Un utente Ubuntu racconta come sia riuscito ad aggirare il sistema di
sicurezza Windows Genuine Advantage facendo passare la propria copia di
Ubuntu come un Windows originale. E tutto senza particolari trucchi
Prosegui la lettura…

Share

artworks, bugreport, cms, distribuzioni, fermolug, filesystem, general, grandefratello, hardware, hotnews, meeting, microsoft, mozilla, multimedia, multinazionali, news, numeriuno, openofficeorg, riflessioni, software, tipstricks, videogames, xwindow

Un exploit per crashare Linux

16 giugno 2004

Un esperto di sicurezza ha scritto alcune righe di codice che, se eseguite da una qualunque shell di sistema, possono mandare in crash moltissimi sistemi operativi basati sul kernel di Linux
Prosegui la lettura…

Share

bugreport

Mandrake 9.2 e il problema dei lettori CDROM LG.

12 novembre 2003

ATTENZIONE!: Se avete tra le mani la versione di GNU/Linux Mandrake 9.2, (scaricabile dal sito www.mandrakelinux.com) dovete fare molta attenzione al tipo di lettore CDROM che state utilizzando, altrimenti avrete la sorpresa di non vederlo più funzionare!
Prosegui la lettura…

Share

bugreport

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi