skip to main | skip to sidebar
100 commenti

Come leggere gratis i giornali italiani

E-giornali italiani a pagamento, sicurezza colabrodo: ennesimo fallimento del paywall


Questo è il link diretto all'editoriale di Giorgio Bocca sulla versione iPad a pagamento dell'Espresso del 26 maggio scorso.


È una pagina presa a caso: la regola per consultarle tutte, gratuitamente, è questa:

http://ws.ipad.espresso.repubblica.it/_deploy/pdf/[annomesegiorno]/p_[numeropagina].pdf

E questo è il link diretto alla pagina 5 del Sole 24 Ore del 29 maggio scorso. Non spiego neanche come funziona la regola per consultare le altre; non ce n'è bisogno.


Non ci vuole altro. Niente password da rubare, niente codici strani da digitare. Il paywall, l'invenzione salvifica che doveva consentire all'editoria di entrare nel mondo digitale controllando la distribuzione delle copie attraverso le App e i vari apparecchietti lucchettati come l'iPad e il Kindle, è una fregatura inutile, che danneggia e rende scomoda la vita solo agli utenti onesti, esattamente come gli informatici avevano avvisato. Naturalmente senza essere ascoltati.

La scoperta è stata pubblicata da Andrea Draghetti su Oversecurity.net, dove trovate le istruzioni per molti altri e-giornali italiani e stranieri. Alcune hanno smesso di funzionare, altre sono allegramente ancora aperte nonostante i responsabili siano stati avvisati. Seriamente, cari editori: un URL pubblico per contenuti a pagamento? Ma da chi vi siete fatti fregare?
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi.
Siate civili e verrete pubblicati, qualunque sia la vostra opinione: gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo sito. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti.
Commenti
Commenti (100)
E' una cosa scandalosa... Proteggere un contenuto a pagamento è una delle cose più semplici da fare (Almeno nel PHP, e credo proprio che usino questo linguaggio)
va precisato che nell'articolo che linki ci sono anche testate come La Provincia di Lecco o di Como che non hanno alcun paywall. Chiedono solo di registrarsi (gratuitamente).
Quindi il quel caso non c'è alcuno scandalo: l'URL è pubblico così come il PDF del giornale.
Ancora una volta questo dimostra che le cose tecniche sono state fatte da chi tecnico non e'.
Questo esempio e l'EpicFail di Sony sono li' a dimostrare che se un grafico fa un sito bello da vedere non necessariamente lo fa anche sicuro da navigare.
La butto lì: avete presente il proverbio "la roba rubata è più buona"? I giornali hanno trovato il modo di incrementare gli accessi alle notizie, pur senza aumentare gli introiti, lasciando credere agli internauti che il trucco per "rubare" articoli sia segreto, e lo conoscano solo loro.
Questo vale in generale, anche le famose App per iPhone seguono la stessa logica.

Ovviamente è una mia idea, non ho alcuna prova a supporto.
@Angelo Iasevoli
In realtà no, il php non te lo permette, una cosa del genere si ottiene solo impostando correttamente i permessi del server web.
Il problema è davvero molto comune, non solo in ambito editoriale. La maggior parte dei programmi delle Intranet funzionano così... questo succede quando uno sviluppatore che non conosce come funziona il Web si mette a sviluppare applicativi Web!

Chissà quanto sono stati pagati.....

Delle volte comunque, come fa notare mattia, un funzionamento di questo tipo magari non è pubblicizzato ma è previsto. Quando si tratta di articoli a pagamento, o di documenti protetti da privacy, allora si tratta di un grosso errore!
Angelo: in qualsiasi linguaggio, sapendolo usare, puoi proteggere i contenuti. Certo, ci son (quasi) sempre dei trick per aggirare le protezioni ma di solito sono molto più semplici che digitare l'URL del contenuto che dovrebbe essere protetto.

E pensa che, vista la logica, magari basta digitare /admin.php o qualcosa del genere alla fine dell'url per avere la pagina di amministrazione del sistema, le cui credenziali sono "admin" e "password"...

Mattia: beh scandalo no, ma sicuramente fastidio si... a cosa ti serve farmi registrare se tanto il contenuto è pubblico?
questo succede perché le grandi aziende continuano ad affidare progetti importanti e che implicano grosse responsabilità... al nipote dell'amico, che "ha fatto l'ITIS e smanetta con il PC"
Megadix: e invece no! Stando all'articolo son tutte mega-applicazioni commerciali di aziende piuttosto grandi.
Mattia: beh scandalo no, ma sicuramente fastidio si... a cosa ti serve farmi registrare se tanto il contenuto è pubblico?

Una volta l'accesso era senza registrazione.
Poi hanno messo la registrazione, ma sempre gratis è rimasto.
Il mio dubbio fosse quello che così raccolgono indirizzi email, che sono sempre preziosi.
Però da loro direttamente non ho mai ricevuto spam. Boh...
@Federico
>> Chissà quanto sono stati pagati....
Poco, fidati.
Ma che tristezza.

7
@ataru1976
Il PHP te lo permette eccome. Diverso è il discorso se i PDF si trovano in una cartella del web server (e quindi come dici tu andrebbe settata la sicurezza su Apache, per dire) oppure vengono generati dinamicamente perché gli articoli si trovano su un DB (in quel caso la sicurezza è di tipo applicativa e non sistemistica).
[quote-"megadix"-"http://attivissimo.blogspot.com/2011/05/come-leggere-gratis-i-giornali-italiani.html#c5582681085384719738"]
questo succede perché le grandi aziende continuano ad affidare progetti importanti e che implicano grosse responsabilità... al nipote dell'amico, che "ha fatto l'ITIS e smanetta con il PC"
[/quote]

Cos'hai contro chi "ha fatto l'ITIS e smanetta con il PC"???:-)))
SpeakerMuto ha detto: [i]Il PHP te lo permette eccome. Diverso è il discorso se i PDF si trovano in una cartella del web server (e quindi come dici tu andrebbe settata la sicurezza su Apache, per dire) oppure vengono generati dinamicamente perché gli articoli si trovano su un DB (in quel caso la sicurezza è di tipo applicativa e non sistemistica).[/i]

Scusa, ma ti stai contraddicendo: se, come nel caso in questione, il file pdf sono sul server web, in php non puoi fare nulla, mentre se li generi dinamicamente, lo fai direttamente in php (ma non è questo il caso).
"se, come nel caso in questione, il file pdf sono sul server web, in php non puoi fare nulla"

in realtà, anche se presenti in una cartella web pubblica, basta dare ai file pdf un lungo nome casuale e fare in modo che solo il php lo conosca
se un grafico fa un sito bello da vedere non necessariamente lo fa anche sicuro da navigare.

Questo è poco ma sicuro.

Ho appena visionato un sito di un cliente, di dimensioni (in Mb) abnormi in relazione al contenuto effettivo.

Ebbene il grafico che lo ha realizzato (carino, eh, davvero!) ha fatto un bel copia-incolla di tutto in cartelle divise per lingua, in cui ha solo cambiato i testi nelle varie lingue.

E quando dico: "di tutto", intendo di "tutto".
Persino le immagini e un paio di filmati sono presenti in 5 copie, una per lingua...

Comunque, senza scomodare cose complicatucce tipo gestione delle permission a livello sistemistico o generazione on the fly dei contenuti dei pdf, basta un po' di sano crittaggio degli url e una minima gestione dell'autenticazione dell'utente per gestire queste situazioni, magari non a prova di hacker ma di utOnto sì.
@b1144732: ma nemmeno questo risolve il problema definitivamente, perché la risorsa rimane comunque non protetta; in tutti i sistemi web, la protezione deve essere impostata prima di tutto sui server che contengono le informazioni.
@brain_use: basta che un solo hacker riesca a scardinare un sistema del genere perché poi ne possano usufruire tutti (come in questo caso).
Ovviamente non esiste un sistema di sicurezza sicuro al 100%, basta esserne consapevoli e usare il meglio che la tecnologia ha da offrire.
non ho capito bene cosa dovrei fare.

supponiamo di voler leggere la cronaca di viterbo de Il Messaggero. Nel sito che avete linkato c'è scritto:

"È possibile leggerlo direttamente dall’iPad senza alcuna modifica, se invece si desidera accedere alla risorsa attraverso un altro dispositivo (PC, Mac, Android, ecc ecc) è necessario variare l’User Agent del Browser con il seguente:

Mozilla/5.0 (iPad; U; CPU OS 4_3_3 like Mac OS X; it-it) AppleWebKit/533.17.9 (KHTML, like Gecko) Mobile/8J3

cioè in pratica cosa dovrei fare?
cosa è l'user agent?
"perché la risorsa rimane comunque non protetta"

La protezione invece consiste proprio nel lungo nome casuale. Senza conoscerlo, non è possibile accedere alla risorsa, anche se teoricamente essa è pubblica... e un attacco brute force impiegherebbe migliaia di anni per essere efficace.
ecco, queste sono le info utili che mi piace leggere da te, comincio a volerti bene...
@lucy: quando un browser richiede una pagina, si presenta col suo "user agent", un testo simile a quello che hai postato tu.
Se usi firefox, con questa estensione puoi dire al browser di presentarsi come se fosse un altro browser.

@b1144732: anche se forse non è immediatamente evidente, anche in questo caso la protezione è relegata a un server, in particolare al database che contiene le associazioni tra nome casuale e contenuto.
@ Lucy:

Vai qui e installa su Firefox "User Agent Switcher".

Dopodiché

Strumenti --> Default user agent --> Edit User Agents

New --> New user agent

Dagli un nome Es. Quotidiani a babbo

Come user agent metti quella stringa astrusa (dovrebbe essere preselezionata se l'avevi preventivamente copiata nella clipboard)

Poi

Strumenti --> Default user agent --> Quotidiani a babbo

et voila! Il tuo Firefox alla domanda "Chi sei?" risponderà: "Ma sono un iPad, naturalmente" e il contenuto pdf non sarà più bloccato. :D
D'oh! Battuto sul tempo!
Per Fry Simpson

Immagino che "a babbo" sia una licenza poetica per "a sbafo", "a scrocco", "facciamo i portoghesi". :-)
La classe dirigente è all'avanguardia, eh.
E non avete visto che succede su tantissimi siti se ci si presenta con lo useragent di google!
I fissati con il SEO rendono disponibile di tutto e di più al motore di ricerca...
@ataru

"Scusa, ma ti stai contraddicendo: se, come nel caso in questione, il file pdf sono sul server web, in php non puoi fare nulla, mentre se li generi dinamicamente, lo fai direttamente in php (ma non è questo il caso)."

Esatto, io parlavo in generale e infatti ho sepcificato i due casi differenti, di cui uno è quello in questione.
brain_use: vogliamo parlare di un grosso sito italiano dedicato alla "moda" dei vampiri fatto tutto in javascript e html statico ? :p
I fissati con il SEO rendono disponibile di tutto e di più al motore di ricerca...

e poi, al primo aggiornamento dell'algoritmo di Google, vengono severamente puniti.
Ma chi se ne frega? Queste cose sono interessanti quanto un tutorial su come scippare un edicolante.

All'estero lasciano i giornali incustoditi con accanto una cassetta per i soldi. Prendi il giornale e paghi.

Qui stiamo ancora a stupirci di quanto sia facile aggirare un sistema di pagamente (perche` certo, i sistemi di pagamento servono solo se non si possono aggirare!) e siccome e` effettivamente facile, ne deduciamo che sono dei coglioni. Va be'.
Ma che tristezza..! Giro subito la notizia qui in ufficio, si faranno tutti due risate!
Oscaruzzo,

Qui stiamo ancora a stupirci di quanto sia facile aggirare un sistema di pagamente (perche` certo, i sistemi di pagamento servono solo se non si possono aggirare!) e siccome e` effettivamente facile, ne deduciamo che sono dei coglioni. Va be'.

Grazie per aver letto con così tanta attenzione il mio articolo e averne colto esattamente il senso.
allora ho seguito le vostre istruzioni va quasi tutto bene ma quando vado a visualizzare la pagina locale mi compare scritto "forbidden".

Il resto del giornale è consultabile
Io ho creato uno script linux per scaricare in automatico la gazzetta, lo trovate qui: http://scognito.drunkencoders.com/projects/downloads/gazzetta.sh
L'ho riletto, e ho riletto anche i commenti, e davvero non lo trovo molto diverso da: "in Germania lasciano i giornali per strada con una cassetta per i soldi accanto, ma basta prendersi il giornale e andarsene. Chissa` quanto hanno pagato i produttori delle cassette pensando che fossero un sistema sicuro! Poveri ingenui, noi si` che siamo furbi, invece."
Mi chiarisco, visto che sembra che anche il mio commento di prima non sia stato colto: e` ovvio che un sistema sicuro non e` possibile ed e` ovvio che tanto piu` e` sicuro tanto piu` sara` complicato per chi lo deve usare.

Ma dovrebbe essere altrettanto ovvio che se qualcuno vuole che i suoi servizi siano ceduti a pagamento, allora non e` corretto usufruirne gratuitamente, e questo e` totalmente indipendente dai meccanismi di sicurezza che vi sono stati messi attorno. Semplicemente per civita`.
Sono stato abbonato all'Espresso nel 2004, e non potendo scaricare il pdf per leggerlo comodamente su linux, avevo fatto un semplice script in perl. Ha funzionato fino al 2008, e l'indirizzo delle singole pagine era:
wget "http://data.kataweb.it/storage/periodici/espresso/pdf/$num-$year/ESP_$p1"."_$p2.pdf"
dove
$num=sprintf("%2.2i",`date +%V`);
chomp ($year=qx{date +%G});
e $p2=$p1+1 le pagine da scaricare.

Probabilmente hanno ancora lo stesso webmaster :D
In tutta sincerità Oscaruzzo non ha tutti i torti. Se cliccando su un articolo esce l'avviso di pagare X euro per leggere l'articolo, si paga o si chiude la finestra, non si va a cercare il modo per aggirare l'ostacolo. Il fatto che il sistema di sicurezza sia "banale" o impegnativo non cambia il discorso: se si è onesti si paga, altrimenti, prima o poi, quel sistema verrà violato e staremo qui a deridere gli amministratori di quel sistema dall'alto della nostra disonestà . Naturalmente sto parlando di articoli di giornale, non dei missili nuculari. So benissimo come leggere "aggratis" gli articoli del WSJ.com, ma me li pago lo stesso e li leggo con molta soddisfazione.
Aggiungo qualche nota un pochino più tecnica visto che l'argomento sicurezza mi sta molto a cuore :)

La sicurezza, in questo caso, non può essere delegata solo al server Web come vedo scritto in qualche commento. Certamente Apache, o IIS, o altro web server a piacimento devono essere configurati il meglio possibile, ma questo vale a prescindere :)

Dare dei nomi casuali ai file da scaricare o alle pagine funziona per un po', ma se per caso o per errore google o altro bot riesce ad indicizzare qualche file... basta, questi diventano di pubblico dominio!
(mi sa che alcune parti di facebook funzionano più o meno con questo trucco, soltanto sono molto attenti a non far diventare di pubblico dominio gli url riservati... e delle volte ci riescono... comunque dovrei approfondire)

Generare dinamicamente i contenuti, soltanto dopo l'autenticazione, è la soluzione migliore, ma si consuma molta più CPU: il server web è molto più efficiente a servire le pagine rispetto ad uno script PHP, Python, o altro linguaggio a piacimento, e la CPU costa parecchio!
Inoltre tutta la sicurezza è affidata al programmatore che ha sviluppato l'applicativo, e... i programmatori web realmente esperti in sicurezza sono davvero pochi, ed i migliori si fanno pagare caro.

Bisognerebbe vedere quanto è stato speso dagli editori per questo ehm avanzato sistema di autenticazione: attualmente in termini di CPU spendono poco, in termini di sviluppo potrebbero aver speso ancora meno... e se la maggior parte degli utenti comunque paga, potrebbero avere lo stesso un ritorno positivo che con una soluzione sicura ma molto più costosa non avrebbero.

E' come la cassetta per i soldi dei giornali lasciati per strada: certo qualcuno che prende il giornale a sbafo ci sarà sempre, ma pagare lo stipendio ad un giornalaio costa molto di più!

(andando fuori tema, ho idea che in Italia la cassetta per i soldi non potrebbe mai funzionare...)
l'invenzione salvi-fica ?
Per Federico

(andando fuori tema, ho idea che in Italia la cassetta per i soldi non potrebbe mai funzionare...)

Per i giornali non ha mai funzionato: da sempre sono puntellati da sussidi che vanno di volta in volta sotto il nome di rimborso per la carta e provvidenze per l'editoria. Insomma, gli italiani i giornali non li acquistano nemmeno in edicola. :-)
Ehi, Acca, vai qua:
http://attivissimo.blogspot.com/2011/05/metti-una-sera-cena-25-giugno-milano.html#c8591911926151408368
Questo commento è stato eliminato da un amministratore del blog.
jackron.... che cosa sono i missili 'nuculari'???
Forse un improvviso attacco di digitodislessia? (ed ora accademia mi cazzia...).
Non capisco perchè qui si parli di rubare o di onestà/disonestà.

Cioè, se uno lascia il portafogli in giro, io lo raccolgo, butto via i documenti e mi tengo i soldi in effetti ho rubato, ma se in un sito web
raggiungo una pagina semplicemente aggiungendo qualcosa quasi a caso all'url, evidentemente al webmaster non interessava più di tanto celare tale pagina alla mia attenzione.
Oscaruzzo,

la differenza fra la cassetta dei giornali e un paywall è che la cassetta è un sistema che dice esplicitamente di basarsi sulla fiducia e l'onestà degli utenti. Il paywall, invece, si spaccia per un sistema nel quale l'utente è obbligato a pagare per accedere al contenuto. Non propone un rapporto fiduciario.

Il tuo paragone sarebbe corretto se al posto del paywall ci fosse una pagina che dice "questo è il link per scaricare gratis il giornale. Se sei onesto, clicca qui per contribuire a mantenerlo in vita".

Inoltre credo che un paywall come quelli descritti nell'articolo vada contro le misure minime di sicurezza previste dalla legge. Se metti un Rolex sul marciapiedi e gli metti accanto un cartello "Non rubare", non pretendere che la legge ti dia ragione quando te lo portano via.
Dai commenti di oversecurity sembra che alcuni (se non tutti) i gestori dei siti siano corsi ai ripari.
Per il Lupo della Luna

Dai commenti di oversecurity sembra che alcuni (se non tutti) i gestori dei siti siano corsi ai ripari.

E dagli stessi commenti non si desume se hanno anche licenziato in tronco i responsabili della sicurezza? :-)
Purtroppo no :D
Questo commento è stato eliminato dall'autore.
[quote-"Accademia dei pedanti ♂"-"http://attivissimo.blogspot.com/2011/05/come-leggere-gratis-i-giornali-italiani.html#c7140950824781506775"]
Per Fry Simpson

Immagino che "a babbo" sia una licenza poetica per "a sbafo", "a scrocco", "facciamo i portoghesi". :-)
[/quote]

Più che licenza poetica, gergo genovese (perlomeno delle generazioni '70-'80).

Sì, in questo contesto significa "a sbafo".

In altri contesti può significare "a vanvera".

:-)
Per riassumere quello detto in questi commenti:

Siamo tutti d'accordo che i fornitori di questi servizi fanno una figura misera.

Ci sono 3 tipi di approccio principale per fornire questi documenti pdf:

Generare istantaneamenete il pdf ma - come qualcuno ha gia fatto notare - non va bene, e' fuori luogo perche richiede troppe risorse ed e' lento.


***

1. Dare ai documenti un nome casuale, che non sia possibile indovinare e impostare il server in modo da bloccare chi fa troppe richieste in un tempo ridotto in modo da evitare chi prova a scaricar troppo. (come fa facebook per le foto, o google maps per le foto aeree e le mappe)

+ semplice da implementare; puoi avere un asset server indipendente dall'applicazione
- chiunque puo salvare l'indirizzo del documento e ridistribuirlo, questo sarà sempre valido.

***

2. Avere un asset server in cui sono i documenti ma raggiungibili solo con un url unico che viene generato (solo l'url unico) al momento della richiesta e ha una validità limitata nel tempo. (come Amazon S3)

+ puoi avere un asset server indipendente dall'applicazione
- piu' impegnativo da implementare (a meno che non si usi S3)

***

3. Streamare direttamente dall'appicazione al cliente i documenti che sono gia preparati ma in lupgo non pubblico quando questi e' autentificato. (come per esempio l'azione send_file in rails)

+ non è necessario avere un asset server
- l'applicazione deve occuparsi dello streaming del documento al cliente con il rischio di caricare eccessivamente l'applicazione stessa.

Saluti a tutti
gamba

PS anche Epaper della ditta Tecnavia (utilizzato dal corriere del ticino) e' facilmente aggirabile.
Tral'altro, ma penso sia già noto, gli articoli di molti siti che offrono pieno accesso solo con abbonamenti tipo Wall Street Journal o Il Sole 24 Ore sono facilmente accessibili cercando su google il titolo dell'articolo e quindi raggiungendo il sito tramite google.
Inoltre tutta la sicurezza è affidata al programmatore che ha sviluppato l'applicativo,

Mi concentro un momento solo sull'aspetto tecnico.
Questo e' l'errore di fondo (che nel mio lavoro trovo ripetuto all'infinito).

Lo strato applicativo (e chi lo scrive) non deve, se non in modo minimo, occuparsi della sicurezza.
Ci sono fior di prodotti commerciali e non che si occupano di web access control (Siteminder e OpenSSO/OpenAM per dirne due) e professionalita' molto precise per gestire la sicurezza di siti web e delle informazioni che espongono.

Fare gestire la sicurezza al programmatore di turno con sistemi tipo quelli indicati nei precedenti commenti e' comunque una ingenuita' madornale, solo poco meno grave di quella di esporre i pdf in una cartella pubblica.

Mettere in sicurezza un sito web significa affrontare il problema da molti punti di vista: applicativo (profilazione), infrastrutturale (networking, firewall, bilanciatori, protocolli), architetturale, ecc. ecc.

Tutto questo, naturalmente, costa. Parecchio.
@Terenzio il Troll Non metto in dubbio che la sicurezza dell'infrastruttura informatica non spetti allo svilupparore. Ma nei casi presentati nell'articolo l'applicazione sviluppata per distribuire i documenti a degli utenti autentificati NON FUNZIONA correttamente. La responsabilità e' unicamente di chi ha sviluppato l'applicazione.

(e se si usano dei framework moderni implementare la sicurezza di una webapp e' uno shallo estremo, sia la tua app semplice, o estremamente complessa/distribuita)

Ciao ciao
gamba
Da programmatore resto allibito e sconvolto
a proposito di giornalisti pecioni (e incompetenti), leggete questo articolo de L'Unita' e "scoprite" il macroscopico errore:

http://www.unita.it/italia/l-ira-di-silvio-ve-ne-pentirete-1.298892
"- chiunque puo salvare l'indirizzo del documento e ridistribuirlo, questo sarà sempre valido."

Svantaggio solo apparente. Perché chiunque (abbia legittimo accesso alla risorsa) può salvare direttamente il documento e ridistribuirlo, se proprio vuole. E non c'è modo di impedirlo.
@ pgc

ROTFLISSIMO!

Ahbbelli! Ma annateve a 'mparà l'inglese! Sono proprio curioso di vedere se riscrivono l'articolo in toto... LOL.
pgc: beh dai, hanno solo scambiato Milan (la squadra) con Milano (la città).
Peraltro vorrei ricordare ai redattori de L'Unità che il Milan ha vinto lo scudetto.
@ Lupo della luna

Solo? A leggere questo "Se ne accorge invece la stampa estera e, proprio il sito web del quotidiano inglese Guardian, titola “Berlusconi affronta l'umiliazione dei tifosi del Milan che votano il sindaco di centrosinistra”." sembra proprio che non sappiano l'inglese! Forse non sanno che Milano ha un nome inglese che è proprio Milan? E che il titolo del Guardian "Silvio Berlusconi faces humiliation as Milan voters support leftwiong mayor" non si riferisce certamente ai "tifosi del Milan" ma ai "votanti di Milano".

ROTFL!!
Errata corrige: leftwing
@Stupidocane: si, intendevo quello. Ho scritto un'altra cosa, ma intendevo quello che hai scritto tu :p
Sospetto che nell'articolo citato ci sia anche un errore fattuale, anche se non sono molto esperto di cerimoniali diplomatici:

[quote]Così Berlusconi risponde ai cronisti che, mentre lasciava l'albergo che lo ospita a Bucarest, gli chiedevano...[/quote]

Quando un uomo al vertice è in visita ufficiale in un altro Paese, anche per ragioni di sicurezza, pernotta nell'ambasciata. O comunque in dimore di Stato che non sono alberghi a pagamento. Nulla vieta di utilizzare suite o altri spazi di alberghi per incontri un po' meno formali, ma questo avviene di giorno.
Quindi, secondo me, il dettaglio è un ulteriore fraintendimento.
E se fosse una scelta voluta?
Tutti presi a criticare la "figuraccia" nessuno ha considerato che l'editore magari vuole favorire la segnalazione degli articoli, ad esempio su blog e social network, a prescindere dal paywall.
E' la scelta che hanno fatto ad esempio alcuni giornali americani, tra cui se non sbaglio il New York Times.
@Claudio Casonato
Mai visti i Simpsons? In italiano, naturalmente.
Vi dirò... il giornalismo italiano è ormai talmente scadente, che non mi interessa più leggerlo nemmeno a sbago :D
AHAHHAAHAHALUNITAHHAAHHAHHAHAAHH
@Terenzio il Troll
Tutto questo, naturalmente, costa. Parecchio.

Ricordo di aver valutato, anni fa, l'acquisto di una specie di firewall applicativo.

Era un prodotto meraviglioso ma... costo nell'ordine delle decine di migliaia di euro, costo di un consulente certificato qualche migliaio di euro al giorno, tempi di attesa per il consulente... qualche mese... (sto pensando di aver sbagliato specializzazione).

Fortunatamente sono riuscito a NON farlo acquistare, anche se mi sarebbe davvero piaciuto metterci le mani. Ma se l'applicativo da proteggere è scritto da cani, ed il programmatore non è in grado di supportarti perché non ha la minima percezione di che cosa sia la sicurezza, allora si tratta di soldi buttati. A molti non è chiaro che non esiste ancora l'apparato che risolve tutti i problemi di sicurezza senza intervento umano :)

Però, senza scomodare questi prodotti fantascientifici, bisogna ammettere che il sistema di protezione citato in questo articolo è fin troppo infantile :)

Ripeto, in alcuni casi potrebbe trattarsi di una scelta voluta. Es. se provate a scaricare Acrobat Reader in versione aziendale (più facilmente distribuibile rispetto alla versione domestica) vi chiedono di compilare un form dove sono richieste molte informazioni, e vi arriva una mail, con un URL pubblico dove scaricare il pacchetto, e con la preghiera di non distribuire questo URL a terzi :)
Ma in questo caso va bene così, il prodotto è gratuito comunque, loro vogliono solo avere un po' di informazioni e nella maggior parte dei casi le ottengono!

Leggo che sembra che qualche editore sia già corso ai ripari. Uhm. Spero non abbiano banalmente aggiunto qualche controllo ai referrer :)
@Stupidocane:

"Silvio Berlusconi faces humiliation as Milan voters support leftwing mayor"

... in effetti. In fondo potevano tradurlo come

"Alla faccia di Silvio Berlusconi umiliato dai tifosi del Milan che votano Sindaco l'ala sinistra.
che votano l'ala sinistra maggiore! :D
@Terenzio
Mettere in sicurezza un sito web significa affrontare il problema da molti punti di vista: applicativo (profilazione), infrastrutturale (networking, firewall, bilanciatori, protocolli), architetturale, ecc. ecc.

Certo.

Tutto questo, naturalmente, costa. Parecchio.

Io direi che deve essere tarato su misura.

Quando vidi questo articolo, il mio primo pensiero è andato ad un gestionale documentale, con vocazione a portale aziendale, che distribuiamo e manuteniamo.
Piattaforma Apache/Tomcat o WebSphere, documenti direttamente sul file system ma fuori dallo spazio applicativo della piattaforma web (se vuoi, fuori dall'eventuale dmz e dietro al firewall della lan).
La gestione degli accessi, single sign-on compreso, e delle policy, è gestita direttamente dallo strato applicativo, senza il ricorso a uno strato software aggiuntivo dedicato all'access/identity management.
La disponibilità del documento passa attraverso la chiamata (crittata) alle servlets java che verificano le permission dell'utente e la disponibilità o meno del documento effettivo e lo forniscono alla piattaforma web.

Aspetto costi ragionevolmente salvaguardato, aspetto sicurezza ragionevolmente salvaguardato.

Certo, se non hai un firewall di rete, il database risiede sul medesimo server web, i documenti pure, al Tomcat manager metti password "admin" e all'utente root dai password "root", presto o tardi qualcuno che si viene a leggere i tuoi file aziendali lo trovi...

Però, semplificando:

- Se sono la Lockheed-Martin mi doterò di adeguate strutture di protezione... :P

- Se sono una azienda che fornisce accesso a parte del mio sistema gestionale/documentale all'esterno, mi preoccuperò di aspetti di networking (segmentazione, firewall, ssl, magari ricorso alle vpn per gli accessi più significativi ecc...) e di access management, senza arrivare però a fasciarmi la testa.
Perché il "qualcuno" che citavo sopra non sarà comunque semplicemente uno dei tuoi utenti che cerca di leggere quello che non deve, ma uno che ha una "vaga" idea di come muoversi e ha adeguato tempo/voglia da dedicarti (e, soprattutto, non è in grado di sfruttare direttamente il buco principale di qualsiasi sistema di sicurezza: gli esseri umani).
Da un certo punto di vista, persino il trasporto su TLS/SSL invece che su protocolli in chiaro deve essere visto in un'ottica relativa alla qualità dei dati stessi: se sono una banca e i dati che viaggiano sulla rete sono quelli del conto di un mio utente non ci dormirò la notte. Ma se l'informazione che viaggia in chiaro è semplicemente un mio listino aziendale, se uno ha voglia di passare le giornate a sniffare in attesa del prezzo che non ha, faccia pure: probabilmente lo avrebbe ottenuto più facilmente con una telefonata "furba" a un mio rappresentante.

- Se infine sono un giornale, magari mia unica esigenza è annoiare il lettore occasionale che deve andare a scriversi a manina pagina per pagina l'indirizzo nella address bar, fino a quando non si stufa di dover digitare per delle mezz'ore prima di trovare l'articolo che gli interessa e decide che 20 euro all'anno valgono un bell'indice analitico e la possibilità di sfogliare la rivista in 5 minuti invece che in 3 ore.

Sto evidentemente semplificando (e molto) ma, in sintesi, alla fine l'aspetto sicurezza deve essere affrontato come qualsiasi altro aspetto dell'It: un occhio agli obiettivi, uno ai risultati e uno al portafogli.
ttp://www.paid2write.org/tecnologia_scienze/chi_restera_in_onda_15924.html
che votano l'ala sinistra maggiore! :D


ehm..

maYor = sindaco
maJor = principale (nel senso di più importante)
Per Alessandro


che votano l'ala sinistra maggiore! :D


ehm..

maYor = sindaco
maJor = principale (nel senso di più importante)


Ma dai, Alessandro, vieni qui a guastarci il divertimento?!? ;-)
Queste cose dovresti insegnarle ai giornalisti dell'Unità, vedi articolo citato al commento n° 59.
Eh, lo vedrei bene Serginho come sindaco...
@Alessandro

Mi permetta. La traduzione di PGC ""Alla faccia di Silvio Berlusconi umiliato dai tifosi del Milan che votano Sindaco l'ala sinistra" è errata.

La versione corretta è: "Alla faccia di Silvio Berlusconi umiliato dai tifosi del Milan che votano l'ala sinistra maggiore"

Mi indichi la data e l'ora del funerale del suo senso dell'umorismo :D :D :D
Questo commento è stato eliminato dall'autore.
@gamba [Commento #53 o #54 , non mi ricordo più xD]

Tecnavia è facilmente raggirabile, ma in una maniera assurda, come questo!

Vi passo il link del mio exploit che diedi a Paolo qualche mese fa quando venne a spiegarci i concetti della sicurezza informatica a scuola
(Ho 14 anni)

Ma che poi basterebbe un semplice .htaccess che limita le cartelle e restituisce il forbidden e poi uno scriptino in php che le legge solo se l'utente ha l'autorizzazione. Non ci vuole niente!

Ecco il mio script che ho caricato su altervista:
http://w1nh4ck.altervista.org/epaper/
I primi sono "rubati" da quei geni di www.tio.ch (epaper.tio.ch crea tutta la lista dei giornali, vi lascio indovinare come si chiama l'edizione giornaliera (che non è neppura divisa per pagine, un unico pdf con 70 pagine circa))

L'ultimo poi è quello del Corriere del Ticino ;)
Bravo, bell'idea. Ho visto la funzione Javascript che compone il link: come dire... questi sono scemi :)

Continua così :)
@theDRaKKaR the bloody homeopath

Cioè, più scemi di loro non penso esista qualcuno -.-"

Comunque quale funzione intendi? Quella gopdf()?
Yes
[quote-"WinHack"-"http://attivissimo.blogspot.com/2011/05/come-leggere-gratis-i-giornali-italiani.html#c1573482856990144299"]Ma che poi basterebbe un semplice .htaccess che limita le cartelle e restituisce il forbidden e poi uno scriptino in php che le legge solo se l'utente ha l'autorizzazione. Non ci vuole niente![/quote]
Ci sono almeno mezza dozzina di modi per mandare un autenticazione falsa anche così, ma sicuramente sono molto più complicati che digitare una lunga URL..
@il Lupo della Luna

Seriamente?

Se imposti un deny from all all'htaccess non mi pare che lo puoi aggirare in qualche modo se lo script php poi che prende i dati è fatto bene
Ci sono metodi (che conosco solo per sentito dire) per alterare l'indirizzo IP in modo arbitrario per far si che il webserver creda di ricevere connessioni locali e quindi dare lo stesso l'accesso (sempre che l'accesso da localhost sia consentito). Se non ricordo male il procedimento si chiama IP spoofing, ma non saprei come funziona nei dettagli..

Comunque un sistema che ho visto usare spesso è quello di usare una directory esterna a quella standard del webserver e fargli prendere i file da lì tramite php o asp altro script server side. Lo puoi comunque bucare, non c'è un sistema sicuro al 100% ma almeno non basta indovinare l'url.
Be' Lupo non è che sia una cosa trascendentale: il pacchetto IP, che contiene gli indirizzi IP mittente e destinatario, è creato dal software che implementa lo stack TCP/IP... Di solito questi software sono "seri", ma niente vieta di farne uno truffaldino che scrive indirizzi fittizi nel pacchetto IP...

Comunque quello che non mi spiego è perché non hanno implementato un semplice server FTP, anche non criptato.
@WinHack

mitico,
questi sistemi "epaper" son a dir poco pietosi.

ho amici che lavorano al cdt e mi son permesso di segnalare che il loro sistema faceva pietà.
dovrebbero aver sistemato, ma bon...

ciao ciao
gamba
[quote-"theDRaKKaR the bloody homeopath"-"http://attivissimo.blogspot.com/2011/05/come-leggere-gratis-i-giornali-italiani.html#c5872511191206415595"]Be' Lupo non è che sia una cosa trascendentale:[/quote]

Sai, essendo completamente autodidatta in 'ste cose ed essendo un semplice appassionato, già solo creare un pacchetto con un IP a piacere mi pare una roba trascendentale. Fai conto, non ho ancora capito come si usa la subnet mask per raggruppare gli indirizzi, mi limito ad impostare la rete come lessi su una vecchia guida :D
Un server FTP obbliga all'autenticazione, ma alcuni browser non ci vanno molto d'accordo e poi ti fanno apparire una dialog box non necessariamente standard quando chiedono le credenziali d'accesso. E poi "uno s'è già loggato nel portale, che vuoi che ridigiti le password? Non sia mai, l'utonto si confonde". Già a far capire all'utonto medio che la password dev'essere diversa dal nome utente, di almeno 8 caratteri e che deve contenere lettere e numeri ci vuole un santo.. Poi quando spieghi che no, il nome di battesimo o peggio il cognome del titolare per la mail di una ditta individuale sono troppo ovvie ti guardano come se fossi un marziano..
Quindi, se il sito l'ha pensato un utonto medio siamo a posto.... E tipicamente il markettaro che pensa a ste cose E' un utonto medio..
[quote-"il Lupo della Luna"-"http://attivissimo.blogspot.com/2011/05/come-leggere-gratis-i-giornali-italiani.html#c3148538629214235835"]Sai, essendo completamente autodidatta in 'ste cose ed essendo un semplice appassionato, già solo creare un pacchetto con un IP a piacere mi pare una roba trascendentale.[/quote]

Ehehehee. Volevo solo dire che un pacchetto ip non cade dal cielo, ma viene composto da un software. Tale software di solito gestisce tutti i livelli delle connessioni TCP/IP ed è fornito col sistema operativo. Ma ci sono anche software, commerciali o no, di questo tipo più avanzati che sostituiscono quelli di default del sistema operativo. E che ti consentono di fare IP spoofing per questioni di test ;-)

Non che io sia un esperto di programmazione di rete a basso livello, la mia programmazione di rete si limita al livello applicativo, tuttavia in teoria sarei in grado di usare le api fornite dai sistemi operativi per fare un software che fa IP spoofing, non è niente di particolare. Per es. usando questi header per il C hai già un sacco di strumenti pronti: http://support.sas.com/documentation/onlinedoc/sasc/doc700/html/lr2/zr2bsdhf.htm

[quote-"il Lupo della Luna"-"http://attivissimo.blogspot.com/2011/05/come-leggere-gratis-i-giornali-italiani.html#c3148538629214235835"]Fai conto, non ho ancora capito come si usa la subnet mask per raggruppare gli indirizzi, mi limito ad impostare la rete come lessi su una vecchia guida :D[/quote]

Vabbe è solo questione di aritmetica binaria, anche io mi impiccio sempre :D Tieni usa questa tabella :D http://en.wikipedia.org/wiki/IPv4_subnetting_reference

[quote-"il Lupo della Luna"-"http://attivissimo.blogspot.com/2011/05/come-leggere-gratis-i-giornali-italiani.html#c3148538629214235835"]Un server FTP obbliga all'autenticazione, ma alcuni browser non ci vanno molto d'accordo e poi ti fanno apparire una dialog box non necessariamente standard quando chiedono le credenziali d'accesso. E poi "uno s'è già loggato nel portale, che vuoi che ridigiti le password? Non sia mai, l'utonto si confonde".[/quote]

È possibile passare le credenziali da un server web a un server ftp in modo del tutto invisibile all'utente. Questo risolverebbe il "problema fra il monitor e la tastiera" e non farebbe fare 'ste figure da peracottari così gratuitamente. Certo, l'FTP è pessimo in quanto a sicurezza, ma sicuramente è molto meglio degli URL http che usano questi...
Da chi sono stati fregati? da grandi aziende che si fanno strapagare servizi mandando a pu...ne la professionalità di veri informatici assumendo sistemisti a 4 soldi quando la sicurezza e la stabilità dei loro sistemi dipende da loro. Se prendo un ragazzino che dice che se la cava con i computer per fare il sistemista o il programmatore e poi non ci lamentiamo di queste porcate. Ma sapete qual'e' il bello? che la societa committente strapaga il servizio comunque e la maggior parte degli introiti vanno a società che appaltano il lavoro ad altre società che appaltano ad altre. Risultato? la società committente paga comunque cifre a 5 zeri e a chi fà effettivamente viene pagato meno di una donna delle pulizie.
Esatto, son stati "fregati" proprio da loro.
Basti poi guardare il sony music store che, per via di una falla, con l'SQL Injection hanno fottuto a sony tutto il DB contenente i codici per la musica, username e password varie, indirizzi (e forse forse anche carte di credito) e le hanno pubblicate su internet.

Un mysql_real_escape_string($stringa) in php risolve tutto, ma ormai cosa ne vogliono sapere i programmatori di Sony? L'importante è che funzioni e che il numero delle carte di credito non sia visibile a tutti, no?

Grazie Sony
[quote-"gamba"]
@WinHack

mitico,
questi sistemi "epaper" son a dir poco pietosi.

ho amici che lavorano al cdt e mi son permesso di segnalare che il loro sistema faceva pietà.
dovrebbero aver sistemato, ma bon...

ciao ciao
gamba[/QUOTE]

Hai fatto bene ad avvisarli, ma comunque servirebbe contattare Tecnavia che risponderebbe come la Siemens che ho contattato per via di un loro router che permetteva di vedere le password della rete senza fili e per accederci SENZA AVERE L'ACCESSO:
"La preghiamo di contattare il servizio clienti..." e mi hanno messo un numero a pagamento...
Che si arrangino -.-"
Qualcosa per leggere Il Secolo XIX ??? O:-)
@WinHack: già che si parla di falle, parliamo delle password WPA dei router Fastweb, Alice e Vodafone (e non so bene quali altri), per default calcolate con un algoritmo basato sull'SSID e il MAC address, entrambi esposti all'esterno e leggibili.

Un programmatore pubblica l'exploit sotto forma di tool per Android, Telecom invece di cambiare algoritmo cosa fa? Chiede a Google di bannare lo sviluppatore dal Market. Son convinto che del "problema" in Telecom fossero PERFETTAMENTE consci e che sia probabilmente fatto apposta per praticità. Come delle password standard dei router, se no i tecnici fan fatica.

Io comunque due anni fa trovai una rete wifi aperta vicino casa: scrissi un bel file LEGGIMI.txt sul desktop del computer del proprietario (che non aveva password d'accesso) con le istruzioni dettagliate su come cambiare le credenziali di accesso. Non servì.
@Lupo

?!

La prima cosa che si fa è cambiare la password del router...

:D
Infatti mi sono comprato un MIO router, mica quella roba di Telecom, l'ho installato e come prima cosa ho cambiato la password della configurazione, piuttosto semplice. Poi ho messo una password WPA della lunghezza massima usabile generata casualmente: è talmente incasinata che l'ho scritta su un post-it attaccato al router..