Lo avevo preannunciato ed è arrivato anche il suo momento. Oggi parlerò di quella maledetta invenzione dei webmaster tristemente nota con il nome di "registrazione dell'utente".
Sarò breve, la registrazione di un utente, con la conseguente creazione di un account è senz'altro una invenzione utile, spesso è addirittura una necessità quando l'utente deve usufruire di un servizio specifico (un esempio per tutti, la propria email ) o vuole essere riconoscibile in modo specifico (Es su IRC dove è possibile registrare il nickname e quindi collegarsi alla chat mantenendo il proprio nick pseudoanonimo).
Purtroppo alcuni webmaster, sicuramente aizzati da improbabili/aspiranti imprenditore della new-economy, hanno esagerato con questo strumento e ne stanno tutt'ora abusando.
Spesso la registrazione dell'utente è obbligatoria anche per la semplice navigazione all'interno del sito !
Un po' come andare in edicola e poter leggere il giornale solo dopo aver comunicato il proprio codice fiscale.
L'infatile esempio di www.motonline.com fa da portabandiera per i siti italiani; la home page contiene un riassunto dei contenuti del sito, ma al primo click di mouse compare il testo:
OPS! Questo articolo è riservato agli utenti registrati! .
Ovviamente la registrazione chiede i soliti dati di rito quali user e pass più tutta una serie di informazioni cui solo un megalomane egocentrico potrebbe prendersi la briga di rispondere correttamente (addirittura chiedono il tipo di moto posseduta e l'anno di immatricolazione !).
Sarebbe bello credere che sia un caso isolato e invece... esistono numerosi siti italiani e non che praticano questo schedario inutile (poichè sicuramente zeppo di dati falsi e inventati di sana pianta) dei loro visitatori.
Poichè non vi è mai limite al peggio ricordo ai miei 4 lettori un paradosso esilarante di questi puerili tentativi di tracciare i visitatori.
Correva il giorno 26 luglio 2006 e il sito www.zeusnews.it decise di scrivere un articolo su quanto "fastidioso" fosse registrarsi su ogni sito web ( link ). L'articolo era ovviamente corredato di sondaggio per dare voce alle preferenze dei visitatori. Sono passati mesi eppure il ricordo di quell'articolo non finisce di tormentarmi.
L'ultimo paragrafo dell'articolo conclude con una affermazione chiarissima:
Quindi ogni volta che un sito necessita una registrazione nella quale si richiedano dati che non hanno alcuna plausibile giustificazione, ci si dovrebbe sempre chiedere: "A cosa gli servono?"
Il sondaggio sottostante invece recita:
Sempre più siti, per concedere i loro servizi, richiedono di fornire dati sensibili in fase di registrazione. Tu come ti regoli?
1) Li concedo senza problemi.
2) Piuttosto, rinuncio al sito.
3) Inserisco dati falsi.
4) Li concedo solo se ho vera necessità dei contenuti del sito e comunque solo se quest'ultimo mi sembra serio.
VOTA e partecipa al dibattito nei Forum dell'Olimpo informatico (nota: è necessaria l'iscrizione)
Quindi per partecipare al sondaggio o alla discussione è necessaria la registrazione. Un bell'esempio di coerenza e stile.
Personalmente riempio sempre di dati PALESEMENTE falsi i dati di questi siti web che vogliono schedare noi visitatori per il semplice motivo che quando andranno a rivendere questi dati a qualche pubblicitario senza scrupolo faranno una figura barbina :-)
Invito tutti ad usare i nomi più fantasiosi e a collaborare in questa crociata contro la schedatura della navigazione. Per usare nomi falsi pensate a qualche fumetto o a qualche film famoso, la risatina che vi accompagnerà nella pallosa fase di registrazione vi aiuterà a passarci sopra con più gusto ;-)
Se invece andate di fretta e non volete neanche perdere tempo nel validare il codice di conferma ottenuto in email potete sempre sperare che altri bravi e volenterosi navigatori abbiano reso pubbliche le loro registrazioni sul sito www.bugmenot.com (che da una traduzione libera potrebbe tradursi come " non mi rompere . com " ).
Il funzionamento è facile, si va su www.bugmenot.com e si inserisce il sito per il quale si vuole conoscere una user e pass già creata da altre persone. Nei miei tentativi ha funzionato per l'80% dei casi.
Anche comunicare il proprio disprezzo e fastidio verso quei webmaster che ci vogliono schedare potrebbe servire a rendere internet un posto migliore. Potreste semplicemente linkare al webmaster reo questo articolo se per la rabbia non trovate le parole adatte.
Con la speranza che almeno un visitatore inoltri questo articolo a chi di dovere, termino, sprezzante, il mio post.
Saluti
Max Disprezzo
lunedì 30 aprile 2007
sabato 28 aprile 2007
Linux e i privilegi di amministratore.
Oggi parlerò di un argomento un po' ostico per i non addetti ai lavori. Chi non sa cosa sia linux è pregato di tornare sul Blog fra 3 giorni. Per tutti gli altri vorrei porre degli interrogativi sul famigerato comando SUDO.
Questa volta io e i miei 3 lettori possediamo anche un sito di riferimento dove poter leggere e documentarci ( www.sudo.ws ).
Come tutti voi linuxisti sapete in principio c'era l'utente root. Loggandosi nel sistema come root era possibile fare di tutto. Poi un bel giorno due persone decisero che era troppo facile e inventarono il comando sudo.
Stando a quanto riportato nel sito la filosofia di base di sudo consiste nel "dare i minor privilegi possibili alle persone permettendo loro al tempo stesso di poter lavorare". Questo è in effetti un tentativo nobile, nelle aziende o negli uffici non c'è nulla di più odioso che trovare dei pc con Windows talmente limitati da non poter neanche aprire il calendario... (ci torneremo...).
Come la storia insegna però, molto spesso le buone idee vengono dapprima travisate, poi stravolte e infine sono trasformate in paradossali idiozie. Molte distribuzioni linux, tra cui la mia preferita, hanno adesso del tutto disabilitato l'utente root. Root non esiste più e ci mancherà molto in futuro.
Senza l'utente root diventa INDISPENSABILE usare "sudo" per ogni comando da eseguire che necessiti dei privilegi di root.
Già l'assurda pretesa di anteporre questo "prefisso" a dei comandi che brevi da ricordare non sono mi fa alzare il sopracciglio... ma il lato tristemente comico della faccenda si mostra in tutta la sua cattiveria quando si manifesta un problema nel sistema operativo che ci costringe a continui reboot/login.
Pochi giorni fa ho dovuto lottare con i driver NVIDIA per installare la nuova ubuntu 7.04 . E' stata una lotta epica tra xorg.conf, twinview, nv, xinerama e NVIDIA ma alla fine, aiutato da zio google sono riuscito ad abilitare correttamente la modalità twinview. (link di riferimento) .
Peccato che abbia dovuto riavviare il sistema almeno 30-40 volte nell'arco di una giornata e maledettamente ad ogni riavvio, ad ogni cambio di sessione, ad ogni riavvio di X ho dovuto non solo scrivere la mia password per il normale login, non solo anteporre sudo ad ogni comando per editare xorg.conf, ma anche riscrivere la password per confermare il mio utente in "sudo" !!
Se avessi avuto la possibilità di loggarmi direttamente come root avrei soltanto dovuto scrivere la mia password 30-40 volte (esattamente il numero di login che ho fatto).
Non avendo più il praticissimo e funzionale account root, ho dovuto non solo loggarmi 40 volte nel sistema ma anche, complessivamente, scrivere 80 volte la mia password ! (una volta per il login e una volta per sudo.. altrimenti fa il geloso !)
Se ne deduce che, come al solito, l'essere umano è bravissimo a complicarsi la vita.
Pensate sia il caso di avviare una petizione online per il ripristino dell'account root ?
Io un pensierino ce lo farei...
saluti
Max Disprezzo
Questa volta io e i miei 3 lettori possediamo anche un sito di riferimento dove poter leggere e documentarci ( www.sudo.ws ).
Come tutti voi linuxisti sapete in principio c'era l'utente root. Loggandosi nel sistema come root era possibile fare di tutto. Poi un bel giorno due persone decisero che era troppo facile e inventarono il comando sudo.
Stando a quanto riportato nel sito la filosofia di base di sudo consiste nel "dare i minor privilegi possibili alle persone permettendo loro al tempo stesso di poter lavorare". Questo è in effetti un tentativo nobile, nelle aziende o negli uffici non c'è nulla di più odioso che trovare dei pc con Windows talmente limitati da non poter neanche aprire il calendario... (ci torneremo...).
Come la storia insegna però, molto spesso le buone idee vengono dapprima travisate, poi stravolte e infine sono trasformate in paradossali idiozie. Molte distribuzioni linux, tra cui la mia preferita, hanno adesso del tutto disabilitato l'utente root. Root non esiste più e ci mancherà molto in futuro.
Senza l'utente root diventa INDISPENSABILE usare "sudo" per ogni comando da eseguire che necessiti dei privilegi di root.
Già l'assurda pretesa di anteporre questo "prefisso" a dei comandi che brevi da ricordare non sono mi fa alzare il sopracciglio... ma il lato tristemente comico della faccenda si mostra in tutta la sua cattiveria quando si manifesta un problema nel sistema operativo che ci costringe a continui reboot/login.
Pochi giorni fa ho dovuto lottare con i driver NVIDIA per installare la nuova ubuntu 7.04 . E' stata una lotta epica tra xorg.conf, twinview, nv, xinerama e NVIDIA ma alla fine, aiutato da zio google sono riuscito ad abilitare correttamente la modalità twinview. (link di riferimento) .
Peccato che abbia dovuto riavviare il sistema almeno 30-40 volte nell'arco di una giornata e maledettamente ad ogni riavvio, ad ogni cambio di sessione, ad ogni riavvio di X ho dovuto non solo scrivere la mia password per il normale login, non solo anteporre sudo ad ogni comando per editare xorg.conf, ma anche riscrivere la password per confermare il mio utente in "sudo" !!
Se avessi avuto la possibilità di loggarmi direttamente come root avrei soltanto dovuto scrivere la mia password 30-40 volte (esattamente il numero di login che ho fatto).
Non avendo più il praticissimo e funzionale account root, ho dovuto non solo loggarmi 40 volte nel sistema ma anche, complessivamente, scrivere 80 volte la mia password ! (una volta per il login e una volta per sudo.. altrimenti fa il geloso !)
Se ne deduce che, come al solito, l'essere umano è bravissimo a complicarsi la vita.
Pensate sia il caso di avviare una petizione online per il ripristino dell'account root ?
Io un pensierino ce lo farei...
saluti
Max Disprezzo
giovedì 26 aprile 2007
Le famigerate domande di sicurezza
Ogni giorno spero che il genere umano rinsavisca, ogni giorno mi sveglio ottimista a dispetto di quello che scrivo in questo blog, ogni giorno credo che lascerò il blog silente perchè non c'è nulla che non va e questo è il migliore dei mondi possibili. Ogni giorno perdo di gran misura la mia scommessa.
Oggi sono costretto a parlare della "domanda di sicurezza". Non si sa chi l'ha inventata, sarebbe bello scovare il colpevole ma non si sa. Sempre più spesso i siti web chiedono la registrazione dell'utente (e qui ci sarebbero intere enciclopedie di bestemmie da enunciare ma tralascio). In principio era sufficiente USERNAME e PASSWORD. Oggi no, abbiamo la domanda di sicurezza. Se Tizio oggi dimentica la password, il sito web provvede a controinterrogarlo con una domanda molto semplice per controllare che Tizio sia proprio Tizio.
L'idea sarebbe anche buona ma il tapino che ha introdotto questa brillante features non si è reso che se la domanda viene inoltrata nella casella email di Tizio, il fatto stesso che Tizio la possa leggere, sta automaticamente a significare che Tizio è proprio Tizio !!!
Posto che praticamente tutti salviamo la password della posta in Thunderbird può accadere però un fenomeno spiacevole ! Cioè che non sia Tizio a chiedere un cambio di pwd al sito in questione, ma sia una persona che ha accesso al computer di Tizio ! (una sorella, un nipote, un amico... )
Se a questa debolezza si aggiunge una domanda estremamente semplice come le seguenti prese dal sito di PayPal:
-Cognome da nubile di tua madre
-La tua città di nascita
-La città di nascita di tuo padre
-Nome della tua scuola elementare
-Ultime 4 lettere o cifre della tua patente
Mi sembra lampante che una persona che ti conosce così bene da poter usare il tuo computer (magari a casa tua) può tranquillamente rispondere a una qualsiasi di queste domande mentre ti distrai al telefono o ti rechi 2 minuti in bagno...
Ecco come una procedura nata per tutelare il proprietario di un account si trasforma in una procedura per permettere ad un conoscente di rubare un account.
Oltre a inondare di vivissimi complimenti l'inventore di queste domande idiote, vorrei, come nello stile di questo blog, fornire alcune critiche costruttive.
Caro ideatore della domanda di sicurezza, ti suggerirei di uscire allo scoperto con una intervista video autoripresa e inserita su Youtube. Potresti non solo avere i tuoi 15 secondi di fama, ma anche fare qualcosa di buono dichiarando che questo strumento è obsoleto, inutile e va contro l'interesse di chi lo usa. L'utilizzo di questa idiota domanda di sicurezza è degenerato e sempre più spesso le domande sono OBBLIGATORIE e l'utente è costretto a sceglierne di semplicissime !
Se non te la senti di apparire in video almeno lascia una lettera aperta su qualche newsgroup, potresti rendere internet un posto migliore !
saluti
Max Disprezzo
Oggi sono costretto a parlare della "domanda di sicurezza". Non si sa chi l'ha inventata, sarebbe bello scovare il colpevole ma non si sa. Sempre più spesso i siti web chiedono la registrazione dell'utente (e qui ci sarebbero intere enciclopedie di bestemmie da enunciare ma tralascio). In principio era sufficiente USERNAME e PASSWORD. Oggi no, abbiamo la domanda di sicurezza. Se Tizio oggi dimentica la password, il sito web provvede a controinterrogarlo con una domanda molto semplice per controllare che Tizio sia proprio Tizio.
L'idea sarebbe anche buona ma il tapino che ha introdotto questa brillante features non si è reso che se la domanda viene inoltrata nella casella email di Tizio, il fatto stesso che Tizio la possa leggere, sta automaticamente a significare che Tizio è proprio Tizio !!!
Posto che praticamente tutti salviamo la password della posta in Thunderbird può accadere però un fenomeno spiacevole ! Cioè che non sia Tizio a chiedere un cambio di pwd al sito in questione, ma sia una persona che ha accesso al computer di Tizio ! (una sorella, un nipote, un amico... )
Se a questa debolezza si aggiunge una domanda estremamente semplice come le seguenti prese dal sito di PayPal:
-Cognome da nubile di tua madre
-La tua città di nascita
-La città di nascita di tuo padre
-Nome della tua scuola elementare
-Ultime 4 lettere o cifre della tua patente
Mi sembra lampante che una persona che ti conosce così bene da poter usare il tuo computer (magari a casa tua) può tranquillamente rispondere a una qualsiasi di queste domande mentre ti distrai al telefono o ti rechi 2 minuti in bagno...
Ecco come una procedura nata per tutelare il proprietario di un account si trasforma in una procedura per permettere ad un conoscente di rubare un account.
Oltre a inondare di vivissimi complimenti l'inventore di queste domande idiote, vorrei, come nello stile di questo blog, fornire alcune critiche costruttive.
Caro ideatore della domanda di sicurezza, ti suggerirei di uscire allo scoperto con una intervista video autoripresa e inserita su Youtube. Potresti non solo avere i tuoi 15 secondi di fama, ma anche fare qualcosa di buono dichiarando che questo strumento è obsoleto, inutile e va contro l'interesse di chi lo usa. L'utilizzo di questa idiota domanda di sicurezza è degenerato e sempre più spesso le domande sono OBBLIGATORIE e l'utente è costretto a sceglierne di semplicissime !
Se non te la senti di apparire in video almeno lascia una lettera aperta su qualche newsgroup, potresti rendere internet un posto migliore !
saluti
Max Disprezzo
martedì 24 aprile 2007
Misure di sicurezza elettroniche
Avrei voluto rimanere silente, avrei voluto covare una silenziosa speranza di una futura vittoria del buon senso e invece no. Non riesco a trattenermi, ho sentito il bisogno di scrivere perchè la lotta contro la stupidità sta prendendo una brutta piega, serve uno stimolo, serve qualcuno che metta i puntini sulle i.
Con lo pseudonimo di Max Disprezzo firmerò in modo anonimo tutti i post su questo Blog che raccoglierà il massimo del pressapochismo e della superficialità umana. Mi propongo però di commentare costruttivamente ogni singolo post che pubblicherò.
Ecco il caso del giorno.
Ieri mi salta in testa l'idea di controllare online il conto della mia carta di credito "cartasi". Niente di strano, siamo nel 2007 ed è alla portata di tutti esaminare tramite internet il proprio conto di moneta elettronica.
Mi reco sul sito di cartasi e fatico per trovare il modulo dove inserire username e password. ( vuoi provare ? www.cartasi.it )
Una volta risolto il quiz gentilmente offerto dal webmaster di cartasi mi accorgo che "ovviamente" non ricordo username e password. La mia policy per le pwd è semplice, ne ho 4-5 e a seconda dell'importanza che do al sito uso la più semplice o la più difficile. Con i servizi bancari ovviamente non posso provarle tutte perchè dopo 3 tentativi chiamano il 113 e mi fanno trovare gli omini blu dietro la porta di casa che mi accusano di terrorismo (informatico) :-D
Mentre mi accingo a richiedere la user e la pass nella mia email (in chiaro quindi) leggo le nuove misure di sicurezza prese dal sito. Al momento credetti di morire soffocato dalle risate, in seguito ragionando pensai ad un pesce d'aprile rimasto oltre 23 giorni nel sito, invece no. Pare sia vero !
Riporto in corsivo:
IMPORTANTE - Abbiamo messo in linea un nuovo sistema per assicurare la massima protezione dei tuoi dati: leggi attentamente questo vademecum.
OK mi sta bene.
SCADENZA DELLA PASSWORD
Ogni Password dura 60 giorni: 15 giorni prima della scadenza - cioè dopo 45 giorni dalla creazione - ti verrà consigliato di cambiarla. La modifica della Password sarà obbligatoria alla scadenza dei 60 giorni: in caso contrario non potrai accedere al Portale.
Peccato che se decidessi di collegarmi il 61° giorno dovrei semplicemente richiedere una nuova user e pass in email (facendo quindi viaggiare queste informazioni IN CHIARO più spesso del necessario)
Dopo 3 errori nella digitazione della Password, o se non accedi al portale da oltre 180 giorni, il tuo accesso sarà bloccato: potrai riattivarlo digitando alcuni dati identificativi.
Qui non riesco proprio a capire PERCHE' se non entro nel sito per 6 mesi mi bloccano l'account. Ho provato a cercare una spiegazione logica ma non ci sono riuscito :-(
Sono rimasto semplicemente deluso per il disagio che questo sito crea a me e a tutti i suoi utenti.
Da oggi pertanto devo ricordare ogni due mesi non solo di pagare le bollette o di rinnovare il bollo, l'assicurazione, la palestra + varie ed eventuali.. devo anche ricordarmi di cambiare la password sul sito www.cartasi.it !!! altrimenti mi bloccano l'accesso e per avere user e pass vogliono sapere il mio numero di carta, il mio codice fiscale, data di nascita, numero di peli sotto le ascelle e per il momento basta. Che dire, un sito pratico ed efficiente.
Il Webmaster del sito ha forse pensato alle bestemmie che riceverà quando decine di migliaia di utenti dovranno sbloccare il loro account colpevoli unicamente di non essersi collegati per 6 mesi ? Il webmaster del sito ha mai pensato che se mi COSTRINGI a cambiare la password così spesso puoi ottenere un solo risultato ? (cioè che l'utente si scriva tutte le password su un foglio?)
Poi ovviamente se perdi quel foglio.....
Sarebbe meglio EDUCARE gli utenti ad avere password adeguate alla sicurezza richiesta ed evitare cambi obbligatori (proposti forse per legge?) o blocchi per non utilizzo dell'account.
Buona fortuna Webmaster !
Max Disprezzo
Con lo pseudonimo di Max Disprezzo firmerò in modo anonimo tutti i post su questo Blog che raccoglierà il massimo del pressapochismo e della superficialità umana. Mi propongo però di commentare costruttivamente ogni singolo post che pubblicherò.
Ecco il caso del giorno.
Ieri mi salta in testa l'idea di controllare online il conto della mia carta di credito "cartasi". Niente di strano, siamo nel 2007 ed è alla portata di tutti esaminare tramite internet il proprio conto di moneta elettronica.
Mi reco sul sito di cartasi e fatico per trovare il modulo dove inserire username e password. ( vuoi provare ? www.cartasi.it )
Una volta risolto il quiz gentilmente offerto dal webmaster di cartasi mi accorgo che "ovviamente" non ricordo username e password. La mia policy per le pwd è semplice, ne ho 4-5 e a seconda dell'importanza che do al sito uso la più semplice o la più difficile. Con i servizi bancari ovviamente non posso provarle tutte perchè dopo 3 tentativi chiamano il 113 e mi fanno trovare gli omini blu dietro la porta di casa che mi accusano di terrorismo (informatico) :-D
Mentre mi accingo a richiedere la user e la pass nella mia email (in chiaro quindi) leggo le nuove misure di sicurezza prese dal sito. Al momento credetti di morire soffocato dalle risate, in seguito ragionando pensai ad un pesce d'aprile rimasto oltre 23 giorni nel sito, invece no. Pare sia vero !
Riporto in corsivo:
IMPORTANTE - Abbiamo messo in linea un nuovo sistema per assicurare la massima protezione dei tuoi dati: leggi attentamente questo vademecum.
OK mi sta bene.
SCADENZA DELLA PASSWORD
Ogni Password dura 60 giorni: 15 giorni prima della scadenza - cioè dopo 45 giorni dalla creazione - ti verrà consigliato di cambiarla. La modifica della Password sarà obbligatoria alla scadenza dei 60 giorni: in caso contrario non potrai accedere al Portale.
Peccato che se decidessi di collegarmi il 61° giorno dovrei semplicemente richiedere una nuova user e pass in email (facendo quindi viaggiare queste informazioni IN CHIARO più spesso del necessario)
Dopo 3 errori nella digitazione della Password, o se non accedi al portale da oltre 180 giorni, il tuo accesso sarà bloccato: potrai riattivarlo digitando alcuni dati identificativi.
Qui non riesco proprio a capire PERCHE' se non entro nel sito per 6 mesi mi bloccano l'account. Ho provato a cercare una spiegazione logica ma non ci sono riuscito :-(
Sono rimasto semplicemente deluso per il disagio che questo sito crea a me e a tutti i suoi utenti.
Da oggi pertanto devo ricordare ogni due mesi non solo di pagare le bollette o di rinnovare il bollo, l'assicurazione, la palestra + varie ed eventuali.. devo anche ricordarmi di cambiare la password sul sito www.cartasi.it !!! altrimenti mi bloccano l'accesso e per avere user e pass vogliono sapere il mio numero di carta, il mio codice fiscale, data di nascita, numero di peli sotto le ascelle e per il momento basta. Che dire, un sito pratico ed efficiente.
Il Webmaster del sito ha forse pensato alle bestemmie che riceverà quando decine di migliaia di utenti dovranno sbloccare il loro account colpevoli unicamente di non essersi collegati per 6 mesi ? Il webmaster del sito ha mai pensato che se mi COSTRINGI a cambiare la password così spesso puoi ottenere un solo risultato ? (cioè che l'utente si scriva tutte le password su un foglio?)
Poi ovviamente se perdi quel foglio.....
Sarebbe meglio EDUCARE gli utenti ad avere password adeguate alla sicurezza richiesta ed evitare cambi obbligatori (proposti forse per legge?) o blocchi per non utilizzo dell'account.
Buona fortuna Webmaster !
Max Disprezzo
Iscriviti a:
Post (Atom)