cavallette

It seems that the latest update of wordpress broke the password hashing method that was used before. You will not be able to log in while we resolve the issue, so if you are not in an immediate need, please wait for the resolution of this issue.

Update due to a bug in the upgrade procedure, all user passwords were re-encrypted. We restored the latest backup and now it should be possible to log in again. The faulty upgrade procedure has caused a series of other bugs, we are working hard in order to minimize impact.

Sembra che l’ultimo aggiornamento di wordpress abbia rotto – tra le altre cose – il sistema con cui le password vengono salvate nel nostro database. Il risoltato di questo e’ che non sarete in grado di accedere con le vostre credenziali. Vi chiediamo di pazientare intanto che risolviamo il problema. Se aveste urgenza, il sistema di reset della password dovrebbe funzionare.

Update A causa di un bug della procedura di aggiornamento di wordpress, tutte le password utente erano state re-crittate, rendendole inservibili. Abbiamo recuperato l’ultimo backup e ora dovrebbe essere possibile effettuare di nuovo il login. La procedura fallita di upgrade ha causato un’altra serie di inconvenienti, stiamo facendo il possibile per minimizzarne l’impatto.

[Italian version below]

6:43 UTC, Sun Oct 30 2011 – As we are performing some important maintenance work (in particular, we are re-distributing the noblogs topology across our world wide server network), posting and commenting on blogs is disabled and noblogs will be available in read-only mode for the duration of maintenance. We will update this post as soon as the work is finished.

UPDATE: 12:57 UTC The maintenance is over, if you still encounter problems or missing posts, please let us know in the comments.

30/10/2011, 7:43 – Stiamo facendo un po’ di manutenzione su noblogs – nello specifico stiamo redistribuendo la topologia di noblogs sui nostri server. In questa fase, al fine di non farvi perdere importanti dati, l’intero noblogs viene messo in modalità di sola lettura. Aggiorneremo questo post non appena il lavoro sarà finito.

UPDATE: 13:57 La manutenzione è conclusa. Fateci sapere nei commenti se riscontrate problemi, ad esempio post mancanti.

Se oggi avete notato problemi ad accedere uno dei nostri servizi, probabilmente li stavate cercando sul server che abbiamo in olanda e  che oggi ha avuto un problema legato al provider.
Tutto “sotto controllo”, nessuna azione poliziesca per intenderci, solo la proverbiale sfiga. :)
Di seguito troverete il comunicato del provider.

If you noticed any problem accessing our services today you may have hitten a server not reachable because of a provider issue, not any police raid for today, just murphy’s law.

Here the provider announce on the net we found:

Published: Thursday, October 20, 2011
Author: Jasper Baker

Xs4all-customers since Thursday morning suffering from a major failure. The cause is not in the DSL network itself, but a component in XS4ALL’s data center.

One of the main routers Xs4all partially smashed. “A number of cards in it are down. There are some people across the country had suffered from,” says Niels Huijbregts,spokesman Xs4All. At time of writing there are physical network cables omgeplugdto other routers, then the damaged cards are replaced. “We are now at the end of the fault.”

Main part piece Router
Xs4all itself puts the problem as a network failure or down, but Huijbregts indicates that it is not the DSL network themselves. This makes the services of the Intenetprovider “less accessible”, said the error page that states that the failure began at 05:00 tonight. 

A partire dal 15 ottobre la Pro Loco del Bel Paese invita la cittadinanza a partecipare al

Grande “indovina chi” della Delazione di massa

Se conosci individui di sesso maschile/femminile/intersessuale di eta’ compresa tra gli 8 e 16 anni, tra i 16 e i 32,  i  32 e i  64, oltre i 64 che corrispondano agli identikit qui di seguito, per prima cosa inorridisci, sei di fronte a un mostro.

Superato lo shock e il vuoto cognitivo a seguire, invia una segnalazione alla magistratura, alle forze dell’ordine, alle principali testate giornalistiche nazionali, ma anche quelle un poco piu sfigate, alla segreteria di uno o piu’ partiti politici a tua scelta.

Tra le migliori segnalazioni verranno estratte a sorte migliaia di gratta e vinci, bottiglie di marsala a pioggia, confezioni da 12 di cremini Fiat e pacchi di fusilli barilla da un chilo.

Col patrocinio dell’Ente per la valorizzazione e lo sviluppo della guerra tra poveri.

Affrettati: il concorso e’ valido solo fino alla prossima emergenza.

Forse qualcuno è stato attento e ha notato che ultimamente sono diventate di dominio pubblico alcune notizie che hanno definitivamente svelato le pecche del protocollo usato dal vostro web browser per crittare la comunicazione con i server dei siti che visitate: SSL.

La responsabilità degli attacchi è stata addossata ad un famigerato “hacker iraniano”. La cortina di fumo mediatica non deve distrarre, la questione importante qui è la presa di coscienza di quanto sia incontrollata la struttura di verifica dei certificati SSL: l’impalcatura delle Certification Authority commerciali. Sono più di 600 le organizzazioni di cui si fida il vostro browser, come l’ottima analisi quantitativa dell’EFF SSL Observatory ha evidenziato già da tempo. Oltre ai loschi soggetti noti di questa industria quali Verisign e compari, possiamo contare in questo insieme anche organizzazioni sconosciute non soggette a nessuna revisione e addirittura enti governativi americani. Il fatto che ciascuna di queste organizzazioni sia autorizzata a firmare certificati a nome di chiunque è forse il segno più chiaro che il protocollo SSL, nato in quattro e quattr’otto per vendere Internet ai banchieri, ha raggiunto il limite della sua utilità storica.

Le corporation si dichiarano terrorizzate dalla possibilità che dei “criminali” si impossessino delle credenziali necessarie a creare certificati SSL fasulli, ma non è difficile immaginarsi che gli Stati e le loro forze repressive nutrano delle stessa possibilità. Le agenzie di sicurezza americane sanno da tempo come sfruttare i difetti del meccanismo di verifica delle Certification Authority: già nel 1998 un ricercatore della National Security Agency descrisse in un articolo accademico un metodo per sfruttare la debolezza di tale meccanismo per intercettare il traffico tra browser e server. Pare che oggi il governo iraniano, dopo aver dovuto rubare con destrezza i certificati ad alcune Certification Authority, usi gli stessi meccanismi per intercettare su scala nazionale il traffico internet crittato, al fine di rintracciare oppositori e dissidenti. Nel mondo occidentale, dove non sta bene dedicarsi a simili vistosi hijacking di massa, simili tecniche vengono molto probabilmente usate in contesti più specifici e individuali. Ci inquieta il confronto con il 2004 quando la Polizia italiana, evidentemente ancora povera di amicizie, si è dovuta impadronire fisicamente dei certificati SSL di autistici.org. Oggi probabilmente questo non rappresenterebbe più un problema.

Appare ormai evidente che attualmente il protocollo SSL non è più adatto a stabilire l’identità della controparte in una comunicazione sul web. Quali sono le alternative possibili? Una soluzione immediata e ovvia può essere la creazione di diversi profili nel proprio browser: ogni profilo viene dedicato alla navigazione di un particolare sito ed è quindi possibile rimuovere da ciascun profilo tutte le Certification Authority che non siano rilevanti al sito in questione. A parte l’incredibile scomodità, non tutti i browser permettono di gestire il database delle Certification Authority indipendentemente per i diversi profili.

La ricerca e l’utilizzo di alternative si scontrano con un ulteriore problema: in tutti i maggiori browser la gestione del protocollo SSL è parte integrante del resto del browser stesso ed è quindi difficile da sostituire con un’altra “cosa”, qualsiasi essa sia. Un palliativo è l’utilizzo di estensioni, che al momento sono però disponibili solo per Firefox:

• convergence, un sistema di verifica dei certificati SSL che valida i dati presso terze parti (per usare convergence con autistici.org non c’è da fare niente di speciale, A/I ha installato un proprio notary per contribuire alla rete, ma non verrà necessariamente usato); c’è un ottimo video che ne spiega i dettagli.

• monkeysphere, un sistema che invece si aggancia al network of trust di PGP (in questo caso vi servirà la chiave PGP per monkeysphere@autistici.org, ID 62BBEB9D, reperibile sui keyserver pubblici).

Queste estensioni offrono meccanismi di verifica dei certificati SSL che possono sostituire o affiancare l’attuale infrastruttura delle Certification Authority, ma sono entrambi progetti nuovi e ancora in fase di sviluppo. Speriamo che si evolvano e raggiungano la massa critica necessaria a spodestare il potere delle Certification Authority.

Il certificato SSL della Certification Authority di Autistici/Inventati è come sempre disponibile su http://ca.autistici.org/.

More than six months ago we opened a ticket for WordPress developers about an undocumented behaviour of the WordPress Version Check functionality:

Hi, we’ve noticed that wordpress will send how many users and blogs are in a given installation during the GET to api.wordpress.org together with the installation URL in the headers.

Is there any reason why this is done? It seems quite a leak of information. Can it be turned into an option defaulting to off and admins can opt-in if they want to report how many users/blogs are currently there?

We reckon our request was clear enough: Your software is sending back to you some informations without the users knowing. Please make it explicit adding one of those opt-in dialogues like “Send usage statistics to wordpress.org”.

The developers promptly replied within a few hours. What did they say? They closed the request and marked it as invalid. They basically said: Yes, we are collecting and keeping data about you all without telling you, so what?

We reopened the request together with other users trying to convince the developers to fix this privacy issue, but their replies were always far from being satisfying. This comment summarizes very well their line:

There are plugins available already which allow you to disable the [version] checks if you don’t want to send the data.

We are not going to add any UI option for this.

They basically suggested to completely disable the updates checks if a data leak is not desired. This idea looks particularly funny to us: How could an average user possibly know and decide to disable the checks if it is not clearly written anywhere that WordPress is leaking informations?

So, six months later WordPress is still leaking user/blog data while checking for newer versions. Noblogs obviously does not, but what about your WordPress installation?

Do yourself a favor: Carefully inspect every line of code you are putting on your servers.

UPDATE (1316100929)

These are the patches we applied to our WordPress installation:

• Do not leak how many users/blogs there are to api.wordpress.org
• Anonymize user-agent and don’t send some headers when checking for updates
• Don’t leak which blog has been logged into via get_bloginfo()

Come sorprendersi, Apple come ogni Corporation non ha niente di democratico.
Percio’  dopo poche ore dal rilascio dell’App che denuncia il processo produttivo degli iPhone viene censurata e rimossa.

Qui le motivazioni e la risposta degli autori.

Phone Story was pulled from the iTunes App Store on Tuesday September 13 at 11.35am, only few hours after its official announcement.

Apple explained that the game is in violation of the following guidelines*:

15.2 Apps that depict violence or abuse of children will be rejected

16.1 Apps that present excessively objectionable or crude content will be rejected

21.1 Apps that include the ability to make donations to recognized charitable organizations must be free

21.2 The collection of donations must be done via a web site in Safari or an SMS

We contest the violation 21.1 and 21.2 since it’s not possible to make donationsthrough Phone Story. Molleindustria simply pledged to redirect the revenues to no-profit organizations, acting independently.

We are currently considering two steps:

. Produce a new version of Phone Story that depicts the violence and abuse of children involved in the electronic manufacturing supply chain in a non-crude and non-objectionable way.

. Release a version for the Android market and jailbroken ios devices.

The users who managed to buy the app before it went offline are now owners of a rare collector edition piece.

We’ll be posting further updates on our twitter

iPhone App About Apple’s Rotten Supply Chain Gets Past CensorsThis and upcoming Yes Lab projects no hoax
Contact: info@molleindustria.it, michael.pineschi@gmail.com

To the great surprise of its creators, a funny new iPhone gamecritical of Apple’s human rights record was accepted by the iTunesstore and is being released today. The app, called Phone Story,teaches players about abuses in the life-cycle of the iPhone byputting them in the manufacturers’ shoes. To win, players must enslavechildren in Congolese mines, catch suicidal workers jumping out ofChinese assembly plant windows, and conscript the poorest of theworld’s poor to dismantle toxic e-waste resulting from obsoletephones.
The seriously funny new game will sell for 99 cents on iTunes; allproceeds will go to organizations fighting to stop the horrors thatsmartphone production causes. Read more about Phone Story below. Butfirst, a word from Phone Story’s sponsors.
Yes Lab Fundraising Campaign a Shocking Success
Last week the Yes Lab sent you an appeal for support. We set asideforty days and forty nights to reach our goal on Kickstarter—but withyour help we’ve gotten there in just five! (Note: if you haven’t yetdonated, don’t let our success dissuade you! We’ll use the extra moneyto fund more projects, and to develop tools and resources to helpfolks carry them out. And by the way, if you’re a Drupal programmerand feel like helping to make those tools, please write to us!)
Since our fundraising appeal is doing so well, we’re launching ourvery own curated page on Kickstarter, to support other coolprojects—like Beautiful Trouble, an activism manual and websitewritten by over forty troublemakers from around the world, includingthe Yes Men. Beautiful Trouble’s goal is to put the best tactics forcreative action in the hands of the next generation of change-makers.Support Beautiful Trouble!
So back to those phones….
Would you like to force an African child to mine for precious metalsat gunpoint? “Phone Story,” a new iPhone app produced byMolleindustria, puts the player in the unsavory shoes of a smartphoneexecutive. Each level in the game explores a different real-lifeproblem in the consumer electronics life cycle: slavery and abuse inColtan mines, suicide-inducing manufacturing plants, andhealth-destroying e-waste processing are reduced to a cute, low-resaesthetic driven by simple, addictive game play. The game is availablein the iTunes store for 99 cents.

UPDATE: the game has been banned from the Apple app store. If you still had any doubt, now you have another reason to think that app stores are bad for you.

http://priv3.icsi.berkeley.edu/

About Priv3
Did you know that social networking sites like Facebook, Google+, and
Twitter can track your visits to any web page that uses the familiar
“Like”, “Follow”, or “+1” buttons, even if you do not actually click
these buttons?

The Priv3 Firefox extension lets you remain logged in to the social
networking sites you use and still browse the web, knowing that those
third-party sites only learn where you go on the web when you want them
to. All this happens transparently, without the need to maintain any
filters. Priv3 is free to use for anyone.
Read the rest of this entry »

Sulla lista hackmeeting si e’ sviluppato un breve thread su un argomento interessante che avevo rimosso dalla testa, la crittografia omomorfica. Si tratta in pratica di trovare un sistema matematico computazionalmente efficiente per fare in modo che una modifica su un certo dato cifrato si rifletta sul dato in chiaro in maniera coerente: cifro P per ottenere C, moltiplico C per 2, se decifro 2C devo ottenere 2P. Il che renderebbe possibile modificare il dato in chiaro in maniera coerente senza prima decifrarlo e ricifrarlo in seguito.

Questa e’ la tesi che un paio di anni fa ha riportato in auge questa concetto

http://crypto.stanford.edu/craig/craig-thesis.pdf

La crittografia omomorfica e’ citata come uno dei dieci punti dello sviluppo prossimo ventuto dalla technology review, ci stanno investendo un po’ tutte le realta’ con interessi nel cloud computing. Da ibm che si e’ comprata direttamente l’autore della tesi, dalla microsoft (https://www.technologyreview.com/computing/38239),  a google (https://code.google.com/p/thep)

Due anni fa il tema era stato trattato dal scheiner nel suo blog in maniera piuttosto critica, sostenendo sostanzialmente che l’argomento era interessantissimo, ma che farne dei lanci commerciali era piuttosto pretestuoso e prematuro.(http://www.schneier.com/blog/archives/2009/07/homomorphic_enc.html)