Con un po’ di ritardo, carico anche qui le slide che ho usato per la retrospettiva WebDeBS su Better Software, edizione 2011. Molte foto e poco testo (quello era nei miei appunti condivisi a voce, sorry :-O)
Con un po’ di ritardo, carico anche qui le slide che ho usato per la retrospettiva WebDeBS su Better Software, edizione 2011. Molte foto e poco testo (quello era nei miei appunti condivisi a voce, sorry :-O)
News decisamente interessante, via html.it: i ricercatori di Fortify hanno rilasciato un advisory in cui segnalano una nuova classe di vulnerabilita’, che hanno denominato JavaScript Hijacking.
Detto in breve – per gli addetti e gli interessati si rimanda all’analisi di Fortify, 10 pagine molto chiare e dettagliate (in inglese, in pdf) -: se abbiamo un applicazione Ajax che usa javascript per trasmettere dati, quei dati possono essere intercettati. Se i dati sono di tipo sensibile, l’applicazione è vulnerabile.
Una vulnerabilità di questo tipo (= ascrivibile a questa classe) era stata individuata (e fixata) a inizio Gennaio in GMail, dove a essere trasmessi via js erano i dati dei contatti (la rubrica) dell’utente di posta.
In precedenza, sempre attraverso una vulnerabilità js, ad avere problemi era stato il servizio mail di Yahoo – giugno 2006, worm chiamato Yamanner.
Fortify ha preso in analisi i 12 framework Ajax + diffusi – Direct Web Remoting (DWR), Microsoft ASP.NET Ajax (Atlas), xajax, Google Web Toolkit (GWT), Prototype, Script.aculo.us, Dojo, Moo.fx, jQuery, Yahoo! UI, Rico e MochiKit. Solo il primo sembra possedere delle protezioni efficaci contro eventuali attacchi di tipo javascript hijacking.
Il testo di Fortify spiega anche perchè le applicazioni web tradizionali non sono affette da questa vulnerabilità, mentre quelle del cosiddetto web 2.0, ovvero le “rich Web applications”, sì. Entra nei dettagli, illustrando come JSON – JasaScript Object Notation -, il formato più usato per gli scambi di dati via js, sia vulnerabile… Vengono forniti esempi su come sia possibile forgiare la richiesta di un client, … Per finire con le raccomandazioni sulle cose che si possono fare per mettersi al riparo da questo tipo di attacchi.
I possibili problemi di sicurezza legati alle applicazioni sviluppate in Ajax non sono una novità assoluta, si veda ad esempio questo articolo, sempre da html.it, dove quasi un anno fa si evidenziava il monito di Billy Hoffman, intervenuto alla Black Hat Security Conference con un intervento provocatoriamente intitolato “Ajax (in)security”, che insisteva sull’importanza di usare in modo consapevole Ajax, sfruttando le sue potenzialità ma conoscendone anche le possibili vulnerabilità.
Interessante, molto interessante.
Se ne parlerà, molto probabilmente, in Cialtroni nello Spazio, la trasmissione di approfondimento informatico che il Circolab di Brescia tiene su Radio Onda d’Urto – martedi’, ore 12:40, e poi sul sito, da scaricare.
Un paio di mesi fa ho deciso: ci sarà Ajax, nel mio futuro. (“There’ll be AJAX in my future”)
Nel mio presente c’era l’html (ma non l’xhtml), un po’ di css (ma non troppi), un po’ di php (le basi), poco altro. E voglia. E, un minimo di predisposizione.
Ho dato i primi morsi. XHTML. DOM. Una figata, il DOM. Javascript. Di cui avevo un’idea non molto dettagliata e sostanzialmente sbagliata (credevo che fosse da evitare, per il possibile, per il carico lato client, e che servisse per lo più a produrre effettini di contorno luccicanti e poco utili).
I primi esempi, semplici semplici, di implementazione di Ajax (tramite questo tutorial di html.it).
Una deriva, semilaterale, sull’XML. Qualche miglioramento con il PHP.
E Javascript. Esperimenti con gallerie di immagini. Confronti (thickbox, lightbox, smoothgallery). Fare girare le librerie. Metterci gli occhi su, in attesa di capire come metterci le mani. Le prime, minime, personalizzazioni (customization).
Mootools. Ieri era la quarta o quinta volta che ci finivo, sul sito.
Un ambiente di sviluppo (framework) object-oriented in/per javascript. Finivo sul sito perchè nelle mie mezze giornate dedicate al webdesign (complementari allo studio, alla teoria) capitavo su siti belli belli che scoprivo usavano mootools.
Puoi fare delle cose meravigliose con mootools. Non pesanti. Altamente compatibili. Largamente accessibili. Siii… (“this is what i want, this is what i need”)
Dalle prime visite al sito ho capito che ero un novellino a cui poteva dare/dire poco: solo inglese, documentazione non abbondante e molto tecnica. (Where do you want to go, my little Carl0z?)
E però non mi ero scoraggiato, anche perchè mi piaceva, e piace, molto, che a capo del team di sviluppo ci sia un italiano, Valerio Proietti. Che lavora per la web agency romana mad4milk. E… evviva!
Avevo scaricato le librerie. Hanno riposato qualche settimana sull’hard disk.
Ho fatto il mio primo sitarello usando ajax, nel frattempo. Per ora è su localhost, ma solo per un altro paio di giorni (content editing).
Quindi, ieri sono passato all’attacco (all’assaggio). Anche perchè ho scoperto che al tutorial, finalmente, è stata aggiunta una beginners guide. Con tanto di esempio base di utilizzo. Sufficientemente chiaro e alla portata di quelli come me.
Mootools… i’m coming!
Forse perchè era annunciato, e atteso da tempo (da molti mesi: vedi qui e qui cosa ne scriveva punto informatico l’autunno scorso). E perchè era trapelato, tra un rinvio e un ridimensionamento, il budget astronomico del progetto: 45 milioni di euro. Milioni.
Fatto sta che, la presentazione di italia.it, che ambisce a essere IL portale internazionale del turismo italiano (e/o, nelle parole di Rutelli, “una grandissima finestra dal mondo sull’Italia”) è stata accolta da scetticismo, critiche, e fischi.
Il logo è stato presentato mercoledì scorso, un giorno prima del portale web. Anche a me, come a molti, il logo è sembrata una bambinata di scarso livello e valore – certo non del valore di 100.000 euro.
Ma non sono un super-esperto di grafica e di design, io. Altri, sì. Per cui ecco qui un post, tratto da designerblog, che spiega, in modo chiaro e pacato, alcuni dei troppi difetti di quello che dovrebbe essere il logo del turismo italiano nel mondo.
Tricolore al contrario, stilizzazione dello stivale che non sembra uno stivale, accostamento di troppi font diversi…. Che pasticcio! Ecco un secondo post, da dimensioni blog, che analizza i limiti del logo, stavolta con un taglio più sociologico.
E la brillante e condivisibile conclusione – E’ l’Italia confusa e disorientata del 2007, e sta tutta in sei lettere che dicono sottovoce “Mi chiamo Italia, ma non mi ricordo chi sono”.
Veniamo al sito. Lento, lentissimo nei primi giorni (causa anche i moltissimi – ma prevedibili – accessi). Intro in flash. E va be’. Fatto con le tabelle, invece che con i css. Ehm…
Un tot di errori di programmazione… comprese robe estremamente semplici tipo la codifica di accenti e caratteri speciali nelle pagine interne…
La rete ribolle, e ovviamente molti sviluppatori si sentono in diritto di dire: se lo facevate fare a me, lo facevo meglio. E a molto ma molto ma molto meno.
Qualcuno propone un contro-portale, animato da bloggers e web-developers. Altri, si concentrano sui difetti, e motivano nel dettaglio le critiche – alla qualità dei contenuti, alla valutazione in termini di accessibilità (Legge Stanca), …
E italia.it cosa fa? Si nasconde. Dalla pagina del “chi siamo” spariscono i nomi di ideatori/realizzatori/manutentori, e compare un messaggio generico sul team di lavoro.
Che dire? Delusione, per chi si aspettava qualcosa – una conferma, invece, per altri. Uno spreco. Di soldi. Tanto non sono mica i loro – di Rutelli e soci. Sono i nostri.
Dimenticavo. Importante. E’ nato un blog, ti.ailati.www, aka “scandalo italiano”, monotematico. Che critica il portale, lo smonta pezzo a pezzo. Oggi, tratta del pay-off della campagna. “L’Italia lascia il segno”. Divertente (scoprire che almeno altre 28 campagne pubblicitarie hanno già utilizzato l’espressione “lasciare il segno” nel loro claim).
Esce finalmente Windows Vista. E io bloggo.
I Pacs si trasformano in Dico. E io bloggo.
I sostenitori del creazionismo litigano con i fan di Darwin. E io bloggo.
Continua la settima edizione de Il Grande Fratello. E io bloggo.
Bush fissa a 645 miliardi di dollari le spese militari per il 2008 (erano 304 nel 2000). E io… bloggo.
Riparte il calcio italiano dopo una settimana di stop. Nuove norme, e qualche tornello. (?!). Io bloggo.
Dai videofonini di studenti nuove scene di bullismo in internet… e la tv dà la colpa alle nuove tecnologie. Ma io bloggo.
Ottantamila (o duecentomila?) in piazza a Vicenza per dire no alla nuova base USA. E io bloggo.
64 morti sul treno dell’amicizia India Pakistan. E io bloggo.
Con uno scivolone sulla politica estera al Senato, cade il governo Prodi. E io bloggo.
[to be continued]
CoComment: tutti i commenti, un’unica interfaccia
giugno 14, 2007Ancora via Tangler, che se si sta rivelando fonte di scoperte/segnalazioni + che interessanti, ho scoperto CoComment
Per una volta localizzazione è da subito anche in italiano, per cui copincollo dalla presentazione:
“Entra nella conversazione -Seguite le vostre conversazioni su differenti piattaforme (blog, forum, comunità in linea…). Segui – coComment segue tutte le tue conversazioni online che stai seguendo in un solo spazio e ti informa quando delle nuove conversazioni sono state aggiunte. Condividi – Pubblica le tue conversazioni sul tuo blog in un click o inviale per email ad un amico. Esplora – Guarda i top commentatori, quali articoli o posts generano più traffico, chi commenta nelle stesse tue conversazioni.”
Insomma, una piattaforma web-based (con in + l’ormai quasi immancabile Firefox extension) per tenere traccia dei propri commenti. In modo molto comodo – e maneggevole.
WP ha qualcosa di (parzialmente) simile, ma limitato ai commenti fatti sui blog ospitati da WordPress stessa. Altri plugin di blog e forum consentono di essere informati via mail sullo stato di una conversazione / thread / commenti a un post.
CoComment è su questa stessa linea. Due passi avanti.
A me, che sono un commentatore medio/mediocre (10 commenti a settimana, forse meno) CoComment piace e risulta utile. Immagino possa esserlo molto di + x hard-bloggers & cia.
Leave a Comment » | Blogging, cocomment, tangler, web2.0 | Permalink
Pubblicato da carl0z