Category: Italiano

Sterling e il design

Bruce Sterling parla del suo anno come Visionary in Residence all’ Art Center College of Design a Pasadena.

Selected quotes:

First: if people call you a visionary, you become one immediately. It’s like becoming a pope. The transition is swift and relatively painless. It’s an unlikely job, but it has to happen to somebody.

[…]

My duties were light: they consisted mostly of high-velocity preaching. Preaching is a vice. It’s worse for writers than drink. I dote on it anyway. Just now I’m in top design-preaching form. You could tap me like a beer barrel, and I’ll emit a fizzing, foaming sermon on digital interactivity and sustainable-design practice. I can go on for days.

Solo gli americani potevano inventare un titolo come “Visionary in Residence”. E` un po’ come Java Evangelist.

grazie a frank per la segnalazione. :)

Safari/Mail exploit

Ovvero “gli errori concettuali”.

*Update 15:00, mi sono reso conto che le informazioni non sono chiare per chi non ha chiaro come funziona il giochetto: ne ho aggiunte sperando di chiarire*

Heise.de nella persona di Michael Lehn ha trovato un efficace e divertente modo di mandare automaticamente in esecuzione uno shell script usando Safari (e anche Mail, pare).
Analisi del problema:

  • Safari trova un file .zip
  • Una volta scaricato, ha l’abitudine di scompattare automaticamente questo formato
  • Se e` spuntata l’opzione “Open Safe files after downloading”[1] Safari tenta di passare il file ad una applicazione adatta a gestire quel formato
  • Piu` nello specifico, se il file contiene la parte di metadata che specifica con quale applicazione gestire un file, Mac Os X la onora. (nello specifico, __MACOSX/._)

(Il workaround per ora e` togliere la spunta da quell’opzione).

Il problema e` che la decisione se il file sia “safe” e la scelta dell’applicazione con cui aprirlo evidentemente vengono prese secondo criteri diversi, con l’effetto che uno shell script (con l’estensione .jpg, ad esempio) che non contenga la shebang in testa

#!/bin/bash

viene considerato “safe” per via del .jpg e poi “aperto” con Terminal.app (come specificato nei metadati).

Le scelta giusta poteva essere una di queste:

  • una volta scompattato il file, guardare l’estensione e di conseguenza aprirlo con l’applicazione di default per quell’estensione. Brutto ma banale, e prono ad errori.
  • invece che basarsi sull’estensione, guardare il magic del file. Dopotutto siamo su un sistema Unix, quindi capire cosa c’e` veramente dentro un file non dovrebbe essere un grosso problema. Dopo di che, se il magic riporta un tipo di dato diverso dall’estensione, avvisare l’utente e chiedergli di prendere una decisione.
    Nel caso di un .jpg contenente uno shellscript a me piacerebbe una finestrella che dicesse:

    Attenzione:
    il formato di file (“ASCII Text”)[2] e` in conflitto con l’estensione (“.JPG”) per
    STRANOFILE.JPG.

    “Apri con Terminal”[3]/”Apri con Preview”/
    “Apri una finestra di Finder in quella directory”/”Annulla”

Sicuramente quello che non vorrei e` che qualcun altro decidesse con quale applicazione qualcosa viene aperto sulla mia macchina.
Ovviamente rimane il problema di avere degli utenti in grado di prendere delle decisioni, ma se l’highlight fosse su “Annulla” l’impatto sarebbe minimizzato.

Per ora l’analisi del problema migliore che ho visto e` quella del SANS:
http://www.incidents.org/diary.php?date=2006-02-21

note:
[1] abbiate pieta`, ho Os X in inglese
[2] Uno shellscript senza header viene visto cosi`, invece che come “xxx shell script executable”
[3] Ancora meglio, “Apri con un editor

Comunicazione di servizio: posta

Se nei giorni scorsi avete provato a mandarmi posta, e vi e` rimbalzato indietro un messaggio che diceva piu` o meno

554 5.7.1 This message has been blocked because the HELO/EHLO domain is invalid

non vi preoccupate: non avete fatto nulla di male. Si tratta del motore un po’ scemo di un IDS e la cosa verra` sistemata il prima possibile (ma non dipende da me).

*UPDATE*: Fixed @20060221.

Piccolo aggiornamento

Quasi ogni giorno leggo o scopro cose che vorrei condividere, ma confesso che non sempre quando ho la possibilita` di scrivere me ne resta la voglia e la forza. Tenere un blog “seriamente” prevede frequenti aggiornamenti, e sempre con contenuti di una certa qualita`: ma dato che questo non e` un blog “serio” mi pongo il problema fino ad un certo punto.

Abbiate pazienza, arrivera` la primavera e avro` piu` energie (e forse piu` tempo).

Negli ultimi giorni in occasione di Infosecurity (a cui non ho partecipato senza perdermi molto, a sentir molti) ho rivisto con grande piacere diverse persone persone che non vedevo da un sacco, e mi son convinto sempre piu` che la “contaminazione culturale” che puo` avere il parlare anche per poco con altri geek/hacker non puo` essere sostituita da nient’altro.

Oggi mi sono reso conto che per certe cose ho un setup forse un filo troppo complesso (ci ho messo un’oretta a capire perche` il server web si rifiutava di servire alcune pagine, ma non tutte) — ho aggiornato a WordPress 2.0.1, e buttato via un bel po’ di roba che stava sul disco a prendere polvere (datata 2002-2004, per intenderci). Cosi`, se sbattete contro un 404 che non vi aspettavate, si`, e` colpa mia — e quel che cercavate non valeva a mio parere la pena di essere visto: ho cercato di compensare integrando la grafica del 404 all’interno di WP, rendendolo un po’ piu` carino. :)

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close