Internet Explorer ha conquistato negli anni il monopolio nel mercato dei browser: Microsoft ha adottato una strategia di marketing geniale ed integrandolo nei propri sistemi operativi ha fatto sì che molti utenti iniziassero ad utilizzarlo preferendolo a browser alternativi più affidabili e sicuri. Non ancora paga di tale successo, una volta ottenuta la fetta di mercato più grossa ha poi ben pensato di assicurarsi il monopolio per il futuro cominciando ad imbottire il proprio browser di funzionalità assolutamente non richieste, non standard e soprattutto non sicure, spacciandole per rivoluzionarie ed indispensabili… ed è così che ora siamo giunti al punto che molti siti non sono visualizzabili con browser diversi da Internet Explorer e/o addirittura non permettono l’accesso se si utilizza un browser differente! Questo perché ovviamente utilizzano tecnologie non standard e proprietarie Microsoft. Proprio un bel risultato: il world wide web dovrebbe essere sinonimo di accessibilità ma a Microsoft non è mai interessato questo aspetto e anzi negli anni ha sempre e solo speculato e approfittato di questo fatto, sfruttandone le caratteristiche a proprio esclusivo vantaggio.

Ed e così che ha avuto inizio la sequela infinita di vulnerabilità e problemi di sicurezza… che potrà aver termine soltanto quando gli utenti ma ancora prima i webmasters capiranno l’importanza di rispettare gli standard di accessibilità definiti da istituzioni internazionali quali il World Wide Web Consortium e l’Internet Engineering Task Force. Mozilla Firefox sembra essere attualmente l’unica ancora di salvezza per tentare di riportare il web sulla giusta strada. Scaricatelo, è gratis e nonostante gli inevitabili piccoli problemi di gioventù ha dimostrato di essere già molto più maturo di Internet Explorer per il web del futuro, quello che molti ormai chiamano Web 2.0.

Dopo questa doverosa premessa vi do una piccola dimostrazione pratica su quanto appena detto. Internet Explorer integra una comoda funzionalità che permette ad una pagina web di accedere al contenuto degli appunti del sistema operativo tramite un banale script. Sicuramente vi sarà capitato di giungere in qualche sito che vi consente di effettuare operazioni di selezione automatica del testo con una successiva copia negli appunti… di primo acchito tale funzionalità vi sarà apparsa naturalmente utile e soprattutto innocua, ma non lo è assolutamente! Non si tratta di una vulnerabilità vera e propria, ma immaginate cosa potrebbe succedere se un webmaster poco onesto inserisse in una sua pagina web la copia automatica dei vostri appunti… magari ad intervalli regolari di 3 secondi… magari criptando la pagina (la criptazione lato client naturalmente può fermare soltanto l’utente medio, che arriva al massimo a dare un’occhiata al sorgente HTML della pagina e poi si ferma)…

Se non riuscite ad immaginarlo e/o volete testare il problema vi ho preparato una pagina di prova, la trovate a questo indirizzo:

http://freehost18.websamba.com/[…]/grabclipboarddata/grab.asp

La pagina in questione fa esattamente quanto appena descritto… provate ad aprirla con Internet Explorer e lasciatela in background per un po’ di tempo. Effettuate nel frattempo alcune operazioni di copia di testi (non immagini) e dopo qualche secondo visualizzate i risultati del “furto di appunti” tramite quest’altro indirizzo (che offre ovviamente anche un link per svuotare gli appunti catturati, non sia mai che per sbaglio copiate user e pass della vostra banca e poi non possiate cancellarli dal database!):

http://freehost18.websamba.com/[…]/grabclipboarddata/view.asp

A questo punto credo sia chiara a chiunque la pericolosità di questa funzionalità che potrebbe carpirvi dati personali preziosi a vostra insaputa. La pagina criptata potrebbe essere persino nascosta in un’altra pagina dall’aspetto normale all’interno di un frame nascosto e reso invisibile all’utente… e ciò renderebbe l’inganno ancora più difficile da individuare.

Le operazioni di copia tramite script sono abilitate di default nei livelli di protezione basso, medio-basso e medio delle opzioni internet di Internet Explorer… soltanto impostando il livello di protezione alto la funzionalità viene disattivata. La navigazione internet utilizza il livello predefinito medio e pertanto consente la copia senza avvisare l’utente! Potete verificare l’impostazione dal menu Strumenti → Opzioni Internet… → Scheda “Protezione” → Click sull’icona “Internet” → Click sul pulsante “Livello Personalizzato”. L’impostazione predefinita che appare è la seguente:

Durante la normale navigazione su internet non viene quindi chiesta nessuna conferma e chiunque può prelevare il contenuto dei vostri appunti senza che voi ve ne accorgiate… Considerando poi che la maggior parte degli applicativi Microsoft che integrano funzionalità HTML utilizzano il motore di rendering di Internet Explorer e ne ereditano quindi tutte le caratteristiche “potenzialità”… ne consegue che i vostri appunti potrebbero venir catturati anche da Outlook Express, Visual Studio, guide in linea etc… La scheda Opzioni Internet per l’impostazione del livello di protezione è infatti presente anche nel pannello di controllo di Windows, ad indicare la sua estensione a tutte le applicazioni che richiedono risorse http o https utilizzando come base le stesse librerie su cui si appoggia il browser.

La soluzione a questo inconveniente, oltre ovviamente a cambiare browser , consiste nel personalizzare il livello di protezione delle opzioni internet: impostare il livello su alto, ma in tal caso verrebbero disabilitate anche altre funzionalità indispensabili, oppure personalizzare il livello medio e spuntare l’opzione “Disattiva” nella finestra di dialogo che vi ho mostrato prima. Se disattivare la funzionalità vi sembra eccessivo potete optare per la soluzione intermedia “Chiedi conferma” e in tal caso quando una pagina tenterà di copiare gli appunti apparirà il seguente messaggio di avviso:

Potrete così decidere, a seconda della situazione, se consentire o meno la copia.

Tutto il codice dell’esempio è disponibile per il download . L’esempio è stato realizzato in ASP con database Microsoft Access in formato .mdb, per comodità di distribuzione.

Anche questa volta niente festeggiamenti per il carnevale… negli ultimi anni il mio interesse per questa storica ricorrenza s’è sopito come quello della maggior parte delle persone della zona… e ogni anno sorgono polemiche e si discute inevitabilmente sul perché di questa tendenza, molti parlano addirittura di estinzione dello spirito carnevalesco. Io credo più semplicemente che tale spirito si sia sopito e non potrà mai estinguersi completamente.

In particolare per il carnevale di Muggia lo spirito stesso del carnevale è stato completamente stravolto: la sfilata dei carri è divenuta più una sfilata di moda, dove l’unico obbiettivo è quello di sfoggiare abiti lussuosi e carri sfolgoranti da far ammirare a tutti anche a costo di ricadere nella noia più totale, con lunghi periodi di stallo in cui la sfilata sembra non andare né avanti né indietro e i partecipanti gironzolano con i volti assenti! Non più una sfilata veloce, magari 2 giri dell’intero paese come facevano una volta nel giro di poco più di un’ora… oggi dopo 3 ore gli spettatori - i pochi superstiti - sono infreddoliti e insofferenti e minacciano di non tornare più… e infatti di anno in anno continuano a diminuire.

Per di più, e qui si oltrepassa il limite del ridicolo, in caso di pioggia e/o vento la manifestazione viene tranquillamente rinviata alla domenica successiva oppure a quella dopo ancora in caso ci sia di nuovo il maltempo… senza minimamente rendersi conto di quanto sia deleterio questo atteggiamento! Chi veniva da fuori Trieste sicuramente non verrà più per non rischiare di rimanere “a bocca asciutta”, e anche gli stessi triestini, nel dubbio, non ci verranno. Io come tanti altri: “che si fa domenica, andiamo a Muggia?”, “le previsioni parlano di una possibile perturbazione, se non vogliamo sprecare la domenica è meglio che andiamo in gita fuori in Slovenia”.
I carri sono delicati e con la pioggia o col vento si rovinano… - replicherebbero i muggesani - ma allora perché invece di lavorarci un anno intero non li fate un po’ meno esagerati e sfilate lo stesso anche se si rovinano un po’?! Pochi anni fa si è raggiunto l’eccesso di rinviare la sfilata più volte, fino a portarla a dopo Pasqua, e ora la confusione sulle date del carnevale è arrivata a tal punto che ho visto bambini vestiti in maschera già 2 settimane prima dell’inizio…

Evito di scrivere dei temi presentati dalle varie compagnie, stendiamo un velo pietoso sulla par condicio (tipica cagata all’italiana!) e andiamo a mangiarci piuttosto un bel pan con radicio

Un messaggio a tutti i Mujesani: “no ste voler esser maniacali, el vero carneval xè quando se se diverti anca con poco, do straze, do luganighe, una fiasca de vin e un careto per ‘ndar in giro a far i mona! E sopratuto no stè rinviar la festa, fazè una bela sfilada rapida… 2 giri magari, che tuti se diverti de più! Imparè dala sfilada de Opicina, che noi la rinvia mai, nianca se saria el terremoto: e infati xè l’unica che tien duro e gha sempre pubblico!”

E speriamo che il prossimo anno inizi un rapida ripresa di questa bellissima festa!