LinkedIn e la lunghezza delle password

LinkedIn, come molti di voi sapranno, è un social network molto diffuso che consente di costruire la propria rete di contatti in ambito lavorativo (fondamentalmente).
Quello di cui voglio parlare oggi è un piccolo problema che ho riscontrato in mattinata mentre mi apprestavo a cambiare la password del mio account.
Dopo aver generato la nuova password di lunghezza 24 caratteri ho effettuato il logout e poi ho tentato il login che verificare tutto fosse avvenuto correttamente.

Stranamente ho notato l’errore:

The email address or password you provided does not match our records

Dopo i classici tentativi di reinserire la password e cancellazione di cache e cookie, ho pensato ci fosse qualcosa non andasse.

La prima supposizione è stata che per qualche motivo il sistema avesse accettato i caratteri speciali della password ma fosse andato storto qualcosa nella fase di salvataggio.
Ho proceduto quindi alla procedura di recupero password e inserito una nuova password di 24 caratteri senza caratteri speciali.

Tuttavia al tentativo di login ancora una volta lo stesso errore.
Dopo una rapida ricerca su Google ho trovato questo interessante post a riguardo: “LinkedIn Password Length Confusion“.
Il problema sembra sia che la password del proprio account deve avere una dimensione minima di 6 caratteri e massima di 16.
Il sistema ha infatti troncato la mia password di 24 (caratteri speciali o no non fa alcuna differenza), tant’è che provando a prendere i primi 16 si riesce ad effettuare correttamente il login.

La cosa alquanto strana è che da nessuna parte venga riportato che i caratteri non possono superare i 16, né tanto meno viene notificato che il campo sta superando la lunghezza consentita in fase di modifica.
Nella home page la maschera di registrazione, ad esempio, sotto il campo password riporta il messaggio:

6 or more characters

Lo stesso autore del post che ho trovato, è venuto a conoscenza del motivo solo dopo aver inviato una mail al supporto tecnico.
Occhio dunque alla lunghezza della password scelta 😉

Ubuntu 9.04 e stampante multifunzione Brother MFC-465CN

Quest’oggi mi è capitato per necessità di dover installare sul desktop di casa che monta una Ubuntu 9.04 (codename Jaunty Jackalope), la mia stampante multifunzione Brother MFC-465CN.
Questa volta a differenza di quanto successo con la Canon Pixma IP4200 che una volta collegata alla porta usb era stata riconosciuta al volo dopo la ricerca driver e pochi click, ho dovuto procedere con l’installazione a mano dei vari .deb necessari visto che non era inclusa nella lista di quelle proposte dal sistema.

Vedremo quindi quali sono i passaggi da effettuare per poter utilizzare le funzionalità di stampante e scanner della nostra multifunzione.

  1. colleghiamo la multifunzione via usb al PC e annulliamo l’eventuale ricerca driver, tanto dobbiamo installarli noi a mano;
  2. scarichiamo dal sito di Brother i relativi pacchetti .deb che ci interessano;
  3. sezione “Download->Printer Driver”: preleviamo i .deb per LPR driver e cupswrapper driver della nostra MFC-465CN;
  4. sezione “Download->Scanner Driver / Scan-Key-Tool”: preleviamo i .deb per brscan2 e scan-key-tool (32/64bit);
  5. installare prima il pacchetto mfc465cnlpr-1.0.1-1.i386.deb e poi il pacchetto mfc465cncupswrapper-1.0.1-1.i386.deb per la funzionalità stampante;
  6. installare prima il pacchetto brscan2-0.2.4-4.i386.deb e poi il pacchetto brscan-skey-0.2.1-3.i386.deb per la funzionalità scanner.

Una piccola nota per quanto riguarda il driver cupswrapper di stampa.
Quasi sicuramente, nonostante il sistema vi dica che il pacchetto è stato installato correttamente, potreste riscontrare un problema analogo a quello evidenziato nello screenshot sottostante.

Installazione driver cupswrapper stampante multifunzione Brother 465-CN

Per risolvere date semplicemente questo comando:
sudo mkdir /usr/share/cups/model
Fatto questo reinstallato il pacchetto e tutto dovrebbe filare liscio.

Futura premura sarà verificare il funzionamento della funzionalità PC-Fax visto che sul sito sono presenti i driver, oltre a testare la stampa via rete dato che la stampante la supporta essendo dotata di apposita interfaccia.

Pidgin + Facebook chat + Ubuntu 9.04 how-to

Sull’argomento “chat di facebook” si potrebbero scrivere post a bizzeffe, discutendo di quanto faccia schifo, di come si perda i messaggi e quant’altro.
Quello che mi interessa oggi è puntare l’attenzione sul come integrare nel noto cliente IM Pidgin (ex GAIM), la chat del noto social-network, evitando di tenere aperta la pagina web per l’eventuale chat con i nostri contatti.

Le considerazioni di questo post riguardano l’attuale versione di Ubuntu 9.04 (Jaunty Jackalope) installata sul mio pc desktop, ma penso possano essere applicate tranquillamente alla più recente 9.10.
In particolare quello che ci serve è prelevare direttamente dal sito del progetto pidgin-facebookchat l’ultima versione, nel mio caso la 1.63.
E’ necessario inoltre procurarsi il .deb della libreria libjson-glib-1.0-0: pidgin-facebookchat infatti richiede una versione >= 0.7.6.
Quest’ultimo è disponibile direttamente da qui:
http://mirrors.kernel.org/ubuntu/pool/main/j/json-glib/libjson-glib-1.0-0_0.7.6-0ubuntu1_i386.deb
http://mirrors.kernel.org/ubuntu/pool/main/j/json-glib/libjson-glib-1.0-0_0.7.6-0ubuntu1_amd64.deb

Una volta installati entrambi i .deb e creato l’apposito account da Pidgin sarà possibile sfruttare la chat dal nostro programma di instant messaging preferito.
Le versioni di pidgin-facebookchat e libjson-glib-1.0-0 disponibile sui repository ufficiali e accessibili ad esempio da “Sistema->Amministrazione->Gestore pacchetti” sono datati.
Personalmente tempo addietro ho avuto modo di provarli e ho notato parecchi problemi.
Buona chat dunque!

Rilasciato PHP 5.3.1

Dopo quasi 5 mesi dal rilascio della versione PHP 5.3.0 arriva dagli sviluppatori il primo aggiornamento per il branch 5.3 del popolare linguaggio di programmazione.
La nuova release PHP 5.3.1 è incentrata principalmente sulla stabilità apportando ben 100 bug fix, alcuni dei quali legati alla sicurezza.

L’ultima release vede anche l’aggiunta della direttiva INI “max_file_uploads“, che consente di limitare il numero di uploads di file per ogni richiesta: 20 è l’impostazione di default.
Questa soluzione consente di evitare potenziali tentativi di attacchi DoS (Denial of Service).
Aggiunti inoltre alcuni sanity check nella fase di processing di informazioni Exif (exchangeable image file format).

Ulteriori dettagli possono essere consultati leggendo le release notes e il change log.
Disponibile sul sito anche una migration guide per gli utenti che effettuano l’upgrade dalla versione PHP 5.2.
PHP è rilasciato attualmente sotto la licenza PHP Licence 3.01.

Vulnerabilità nella toolbar Wikipedia per Firefox

Il security provider Secunia ha individuato nei giorni scorsi una vulnerabilità piuttosto critica nell’estensione Wikipedia Toolbar per Firefox, che può essere usata da un potenziale attaccante per compromettere il sistema dell’utente vittima.

Il problema è stato individuato nella mancata validazione dell’input da parte dell’applicazione in una chiamata alla funzione eval(): ciò può consentire l’eventuale esecuzione di codice Javascript arbitrario.

Una volta lanciato il codice viene eseguito con i privilegi di sistema e questo consente l’accesso alle risorse della macchina bersaglio. Affinché l’attacco avvenga con successo è necessario che l’utente visiti una pagina web “contraffatta” e che sia “ingannato” e portato a cliccare su determinati pulsanti della toolbar.

Secunia ha individuato il bug nella versione 0.5.9, ma potenzialmente altre versioni potrebbero essere affette dal problema.
L’ultima versione rilasciata ovvero la 0.5.9.2 risolve il problema ma non è ancora stabile, ma taggata come “experimental“.

Mondiali WTKA 2009 – Free Fighting Academy Campione del mondo!

Si sono conclusi domenica 8 novembre i mondiali di kickboxing WTKA 2009 in quel di Marina di Carrara (MS).
Anche quest’anno la Free Fighting Academy è riuscita a portare a casa ben 5 ori e 2 argenti in differenti categorie di semi-contact, light-contact e point-fight.
Quest’anno il gruppetto rispetto agli anni scorsi era più ridotto: io, Stefano Bovo e Rango Marco a difendere i colori della palestra.
Direi che tutto sommato è andata più che bene 🙂
E anche questa volta nel mio piccolo ho dato il mio contributo portando a casa l’argento nella categoria +91kg light contact.

Mondiali WTKA 2009 Free Fighting Academy Campione del mondo
Una foto del team al completo: da sx verso dx Massimo Rabbi, Rango Marco, Alessandro Zuritti, Maestro Andrea Speciale, Stefano Bovo.

WordPress 2.8.5: obiettivo sicurezza

La nuova versione di WordPress, la 2.8.5, rilasciata nei giorni scorsi promette maggiore sicurezza.
Descritta dal team di sviluppo come una “hardening release“, include un buon numero di funzioni retro-portate dalla versione 2.9 beta che dovrebbero rendere la piattaforma di blogging più resistente agli attacchi.

Peter Westwood
, sviluppatore del progetto, ha evidenziato che tra questi fix sono presenti quello legato al problema di attacchi DoS al sistema di Trackback e la cancellazione di porzioni di codice che permettevano l’esecuzione di script PHP in variabili attraverso l’uso della funzione eval().

Gli amministratori inoltre non saranno più in grado di effettuare l’upload di files arbitrari nella media library: ricordiamo che la white list di estensioni consentite finora era applicata solo agli utenti normali.
Lo scopo è rendere più difficile ad un eventuale attaccante che abbia compromesso un account amministrativo, di effettuare l’upload e l’esecuzione di codice PHP.

Il team raccomanda altresì di installare il plugin “WordPress Exploit Scanner” che consente di rilevare potenziali tracce di intrusione sui propri siti/blog.
Il plugin infatti cerca nei file e nel database (post, commenti, tag etc.) la presenza di potenziale codice malevole, tenendo di fatto sotto controllo anche la lista dei plugin attivi.
Come lo stesso sviluppatore dell’estensione Donncha O Caoimh tiene a sottolineare, questo plugin non previene in alcun modo eventuali attacchi.

Asus pubblica i sorgenti di Linux per Eee PC Seashell

ASUS ha pubblicato nei giorni scorsi i sorgenti Linux per la propria linea di netbook Seashell.
Fino ad ora infatti i netbook Asus sono stati messi in vendita anche in versioni che montavano Linux come sistema operativo pre-installato: tipicamente il prezzo di vendita al pubblico era inferiore rispetto allo stesso modello con Windows XP Home.

Con il rilascio dei modelli 1008HA e 1005HA (linea Seashell appunto) le uniche versioni disponibili sul mercato prevedevano Windows XP come OS installato.
Non era infatti prevista una versione che montasse il sistema operativo open source, anche se dopo questa mossa di ASUS molti sono propensi a credere che presto arriveranno i modelli basati su sistema Moblin.
La versione finale di Moblin 2.0 è stata rilasciata a fine settembre e stando agli sviluppatori, è stata testata sia su 1008HA che 1005HA.
In ogni caso Asus non ha ancora fatto dichiarazioni ufficiali a riguardo.

Il codice sorgente Linux disponibile è disponibile per le versioni 1008HA e 1005HA e consiste di circa 2.2GB, divisi in 5 parti che possono essere scaricate direttamente dal sito “Support Asus“.
I sorgenti rilasciati sarebbero conformi ai requisiti della licenza GPL, visto che viene fornito anche il codice che include le patches applicate dal produttore.

Il problema più grosso è che nonostante il codice sorgente sia completo, mancano degli script o dei file di configurazione che aiutino l’utente nel processo di compilare un sistema operativo completamente funzionante.

DotNetRomacesta – Gladiatori Fest

Su segnalazione dell’amico Emanuele Mattei pubblico molto volentieri una news riguardante l’evento Gladiatori Fest che si terrà mercoledi’ 21 ottobre 2009 a Roma presso l’Auditorium Sap Italia.
Tutte le informazioni circa l’evento si possono trovare a questo indirizzo: http://www.dotnetromacesta.org/EventoGladiatori.aspx

Di seguito l’estratto della descrizione del meeting:

Il primo evento gratuito dell’User Group DotNetRomaCestà, sulla tecnologia .Net, in cui saranno illustrati alcune tecniche di programmazione. Le varie sessioni di questo evento, della durata di un giorno, sono di livelli diversi da sessione a sessione, permettendo a chiunque di partecipare in base alle proprie conoscenze. Nel corso dell’evento, si affronteranno argomenti avanzati come MVC ed utilizzo del database Sql Server 2008, altre sessioni riguarderanno il nuovo ambiente di Sviluppo Visual Studio 2010, come il nuovo controllo Chart della tecnologia Asp.Net 4.0 e l’utilizzo delle api di Bing.
L’evento è completamente gratuito, per tanto non è disponibile un servizio di catering. Nelle vicinanze della struttura sono presenti bar e tavole calde, dove si potranno gustare buoni pasti
Durante l’evento verranno estratti dei numeri assegnati ai partecipanti in fase di registrazione, che permetteranno di ricevere alcuni “premi”, in particolare alcune copie dei libri, e licenze di Kaspersky.

Mega Patch-Tuesday ad ottobre per Microsoft

Nel prossimo Patch Tuesday del 13 ottobre, Microsoft si appresta a pubblicare 13 bullettin che coprono ben 34 vulnerabilità di sicurezza riguardanti molti prodotti.
Ben otto dei tredici bullettin sono stati classificati come “critical”, il livello più alto di rischio attribuito da Microsoft.

L’importanza di questo Patch Tuesday sta nelle correzioni di due bug molto seri riguardanti un bug in SMBv2 e un altro nella funzionalità FTP di IIS.
I prodotti interessati dagli aggiornamenti sono Microsoft Windows, Internet Explorer, Microsoft Office, Silverlight, Microsoft Forefront, Developer Tools, e SQL Server.

Ancora nessuna novità riguardo il pericoloso bug nelle CryptoAPI che lascia il “fianco scoperto” ad attacchi al protocollo SSL, compromettendo la sicurezza di browser e altri software che su di esse si appoggiano.