cavallette

Siamo sicuri che ve ne eravate accorti, ma da un po’ di tempo (troppo) non funzionava la pubblicazione programmata dei posts. I recenti cambiamenti nell’architettura di noblogs ci hanno permesso di riattivare questa funzione che da troppo tempo non funzionava a dovere.

We’re sure you noticed it: scheduled publication on noblogs stopped working some time ago. The recent changes in the noblogs architecture allow us to finally re-enable scheduled publications.

Stiamo avendo problemi con un server, quindi stiamo spostando alcune email su altre macchine. Se non vedete i vostri messaggi, non vi preoccupate, riappariranno in qualche ora.

We’re having trouble with one of our servers. As a result, we’re moving a bunch of mailboxes elsewhere. If your INBOX is empty, don’t worry, the messages will be back in a few hours.

It seems that the latest update of wordpress broke the password hashing method that was used before. You will not be able to log in while we resolve the issue, so if you are not in an immediate need, please wait for the resolution of this issue.

Update due to a bug in the upgrade procedure, all user passwords were re-encrypted. We restored the latest backup and now it should be possible to log in again. The faulty upgrade procedure has caused a series of other bugs, we are working hard in order to minimize impact.

Sembra che l’ultimo aggiornamento di wordpress abbia rotto – tra le altre cose – il sistema con cui le password vengono salvate nel nostro database. Il risoltato di questo e’ che non sarete in grado di accedere con le vostre credenziali. Vi chiediamo di pazientare intanto che risolviamo il problema. Se aveste urgenza, il sistema di reset della password dovrebbe funzionare.

Update A causa di un bug della procedura di aggiornamento di wordpress, tutte le password utente erano state re-crittate, rendendole inservibili. Abbiamo recuperato l’ultimo backup e ora dovrebbe essere possibile effettuare di nuovo il login. La procedura fallita di upgrade ha causato un’altra serie di inconvenienti, stiamo facendo il possibile per minimizzarne l’impatto.

A partire dal 15 ottobre la Pro Loco del Bel Paese invita la cittadinanza a partecipare al

Grande “indovina chi” della Delazione di massa

Se conosci individui di sesso maschile/femminile/intersessuale di eta’ compresa tra gli 8 e 16 anni, tra i 16 e i 32,  i  32 e i  64, oltre i 64 che corrispondano agli identikit qui di seguito, per prima cosa inorridisci, sei di fronte a un mostro.

Superato lo shock e il vuoto cognitivo a seguire, invia una segnalazione alla magistratura, alle forze dell’ordine, alle principali testate giornalistiche nazionali, ma anche quelle un poco piu sfigate, alla segreteria di uno o piu’ partiti politici a tua scelta.

Tra le migliori segnalazioni verranno estratte a sorte migliaia di gratta e vinci, bottiglie di marsala a pioggia, confezioni da 12 di cremini Fiat e pacchi di fusilli barilla da un chilo.

Col patrocinio dell’Ente per la valorizzazione e lo sviluppo della guerra tra poveri.

Affrettati: il concorso e’ valido solo fino alla prossima emergenza.

Forse qualcuno è stato attento e ha notato che ultimamente sono diventate di dominio pubblico alcune notizie che hanno definitivamente svelato le pecche del protocollo usato dal vostro web browser per crittare la comunicazione con i server dei siti che visitate: SSL.

La responsabilità degli attacchi è stata addossata ad un famigerato “hacker iraniano”. La cortina di fumo mediatica non deve distrarre, la questione importante qui è la presa di coscienza di quanto sia incontrollata la struttura di verifica dei certificati SSL: l’impalcatura delle Certification Authority commerciali. Sono più di 600 le organizzazioni di cui si fida il vostro browser, come l’ottima analisi quantitativa dell’EFF SSL Observatory ha evidenziato già da tempo. Oltre ai loschi soggetti noti di questa industria quali Verisign e compari, possiamo contare in questo insieme anche organizzazioni sconosciute non soggette a nessuna revisione e addirittura enti governativi americani. Il fatto che ciascuna di queste organizzazioni sia autorizzata a firmare certificati a nome di chiunque è forse il segno più chiaro che il protocollo SSL, nato in quattro e quattr’otto per vendere Internet ai banchieri, ha raggiunto il limite della sua utilità storica.

Le corporation si dichiarano terrorizzate dalla possibilità che dei “criminali” si impossessino delle credenziali necessarie a creare certificati SSL fasulli, ma non è difficile immaginarsi che gli Stati e le loro forze repressive nutrano delle stessa possibilità. Le agenzie di sicurezza americane sanno da tempo come sfruttare i difetti del meccanismo di verifica delle Certification Authority: già nel 1998 un ricercatore della National Security Agency descrisse in un articolo accademico un metodo per sfruttare la debolezza di tale meccanismo per intercettare il traffico tra browser e server. Pare che oggi il governo iraniano, dopo aver dovuto rubare con destrezza i certificati ad alcune Certification Authority, usi gli stessi meccanismi per intercettare su scala nazionale il traffico internet crittato, al fine di rintracciare oppositori e dissidenti. Nel mondo occidentale, dove non sta bene dedicarsi a simili vistosi hijacking di massa, simili tecniche vengono molto probabilmente usate in contesti più specifici e individuali. Ci inquieta il confronto con il 2004 quando la Polizia italiana, evidentemente ancora povera di amicizie, si è dovuta impadronire fisicamente dei certificati SSL di autistici.org. Oggi probabilmente questo non rappresenterebbe più un problema.

Appare ormai evidente che attualmente il protocollo SSL non è più adatto a stabilire l’identità della controparte in una comunicazione sul web. Quali sono le alternative possibili? Una soluzione immediata e ovvia può essere la creazione di diversi profili nel proprio browser: ogni profilo viene dedicato alla navigazione di un particolare sito ed è quindi possibile rimuovere da ciascun profilo tutte le Certification Authority che non siano rilevanti al sito in questione. A parte l’incredibile scomodità, non tutti i browser permettono di gestire il database delle Certification Authority indipendentemente per i diversi profili.

La ricerca e l’utilizzo di alternative si scontrano con un ulteriore problema: in tutti i maggiori browser la gestione del protocollo SSL è parte integrante del resto del browser stesso ed è quindi difficile da sostituire con un’altra “cosa”, qualsiasi essa sia. Un palliativo è l’utilizzo di estensioni, che al momento sono però disponibili solo per Firefox:

• convergence, un sistema di verifica dei certificati SSL che valida i dati presso terze parti (per usare convergence con autistici.org non c’è da fare niente di speciale, A/I ha installato un proprio notary per contribuire alla rete, ma non verrà necessariamente usato); c’è un ottimo video che ne spiega i dettagli.

• monkeysphere, un sistema che invece si aggancia al network of trust di PGP (in questo caso vi servirà la chiave PGP per monkeysphere@autistici.org, ID 62BBEB9D, reperibile sui keyserver pubblici).

Queste estensioni offrono meccanismi di verifica dei certificati SSL che possono sostituire o affiancare l’attuale infrastruttura delle Certification Authority, ma sono entrambi progetti nuovi e ancora in fase di sviluppo. Speriamo che si evolvano e raggiungano la massa critica necessaria a spodestare il potere delle Certification Authority.

Il certificato SSL della Certification Authority di Autistici/Inventati è come sempre disponibile su http://ca.autistici.org/.

More than six months ago we opened a ticket for WordPress developers about an undocumented behaviour of the WordPress Version Check functionality:

Hi, we’ve noticed that wordpress will send how many users and blogs are in a given installation during the GET to api.wordpress.org together with the installation URL in the headers.

Is there any reason why this is done? It seems quite a leak of information. Can it be turned into an option defaulting to off and admins can opt-in if they want to report how many users/blogs are currently there?

We reckon our request was clear enough: Your software is sending back to you some informations without the users knowing. Please make it explicit adding one of those opt-in dialogues like “Send usage statistics to wordpress.org”.

The developers promptly replied within a few hours. What did they say? They closed the request and marked it as invalid. They basically said: Yes, we are collecting and keeping data about you all without telling you, so what?

We reopened the request together with other users trying to convince the developers to fix this privacy issue, but their replies were always far from being satisfying. This comment summarizes very well their line:

There are plugins available already which allow you to disable the [version] checks if you don’t want to send the data.

We are not going to add any UI option for this.

They basically suggested to completely disable the updates checks if a data leak is not desired. This idea looks particularly funny to us: How could an average user possibly know and decide to disable the checks if it is not clearly written anywhere that WordPress is leaking informations?

So, six months later WordPress is still leaking user/blog data while checking for newer versions. Noblogs obviously does not, but what about your WordPress installation?

Do yourself a favor: Carefully inspect every line of code you are putting on your servers.

UPDATE (1316100929)

These are the patches we applied to our WordPress installation:

• Do not leak how many users/blogs there are to api.wordpress.org
• Anonymize user-agent and don’t send some headers when checking for updates
• Don’t leak which blog has been logged into via get_bloginfo()

[english version below]

A causa dei ripetuti problemi hardware delle ultime settimane, abbiamo la necessità di svolgere un’attività di manutenzione straordinaria su noblogs. Di conseguenza potreste avere difficoltà a inserire nuovi contenuti per le prossime ore. Grazie per la vostra pazienza.

Due to the repeated hardware outages we experienced in the last few weeks, we have do perform some maintenance work on noblogs. Thus, you may experience problems in uploading contents for the next few hours. Thank you for your patience

UPDATE

maintenance is over, everything should work as expected now

One of our servers will be down for maintenance in the next 12 hours.
This means that some mailboxes or websites will be unavailable.
We apologize for any inconvenience.

UPDATE: maintenance finished

We’re going to disable new posts and comments on noblogs.
The whole platform will be in a read-only state for the next 24 hours.

Update: it’s back!