Piero V.

Thunderbird 78+ and OpenPGP secrets

I have used OpenPGP for a while now, usually with GPG. I use it, especially with my password manager on my Debian box. The GNOME folks did a great job with password prompts for it and for the SSH agent.

Recently, I started using encryption and digital signatures also for emails.

I use Thunderbird as a client. With version 78, its authors deprecated the old plugin APIs. Enigmail, the addon that provided OpenPGP with a GPG integration, became incompatible. However, they also decided to support this feature natively.

While most of Thunderbird’s source code is released under MPL, GPG is released under the GNU GPL 3.0 or later. Therefore, they preferred using another library. And so, they also waived the great integrations that GPG already has.

Thunderbird's prompt for the key passphrase

So, what is different in this screenshot from the usual Thunderbird password prompts? … [Leggi il resto]

Sicurezza elettrica vs ...?

La mia solita pigrizia

Come ogni anno, quando i miei genitori vanno in vacanza, mi affidano le mansioni di accudire i gatti e di irrigare le piante.

In particolare, quest’ultimo richiede di usare una pompa da giardino per pescare acqua dalla canaletta e non usare la più preziosa acqua potabile.

Già l’anno scorso, se non anche prima, avevo notato che è davvero noioso andare ad accendere e spegnere l’elettrodomestico ogni volta che bisogna cambiare le gomme o, talvolta, anche per spostare l’irrigatore senza rischiare di bagnarsi con l’acqua sporca.

La soluzione a cui avevo pensato era allora di usare una presa comandabile da telefono, cosa che avevo già fatto con Telegram e la Raspberry per delle lampade, ma poi non avevo più fatto niente.

Però, quest’anno ho sfruttato uno sconto della Lidl per comprare una doccetta, che funziona abbastanza bene, per quei 4€ che costava, ma che ha un unico grande difetto, usata con il mio sistema d’irrigazione: tiene sempre il getto chiuso, il che magari andrebbe bene con un rubinetto, ma non è proprio il massimo con una pompa. Per evitare di lasciare diversi secondi il flusso stoppato, dovrei arrivare con la doccetta vicino a dove accendo e spengo la pompa, cioè farmi una quindicina di metri con le gomme. … [Leggi il resto]

Capire l’Internet: guida pratica per il surfista dilettante

Di recente, stavo chattando con un mio amico riguardo a certi temi come privacy, Tor e VPN e questo mio amico ad un certo punto mi ha anche fatto alcune domande più tecniche.

A quel punto, affinché le risposte fossero pienamente soddisfacenti, ho capito che era necessario che avesse un po’ più chiaro il funzionamento di Internet.

La spiegazione gli è piaciuta molto e mi ha suggerito di postarla qui, e siccome effettivamente mi ha richiesto diverso tempo per scriverla, mi sono detto «perché no?».

Quello che segue quindi sono i miei messaggi, un po’ sistemati per la pubblicazione. In ogni caso, certi concetti sono volutamente non precisi per chiarezza espositiva. Inoltre, in generale, il tutto è stato scritto tenenedo in mente le conoscenze del mio amico. Le note a piè di pagina indicano alcune precisazioni, che però non serve capire per comprendere il resto del contenuto.

Non escludo che ci potrebbero essere anche errori non voluti, d’altronde ho scritto tutto di sana pianta, basandomi sulle mie conoscenze acquisite col tempo, sia all’Università, che informandomi su diverse fonti.

Una pila di matriosche

Le telecomunicazioni sono regolate da protocolli, che sono degli insiemi di regole e possono definire tantissime cose, a partire da come devono essere i segnali elettrici, per arrivare a cosa contengono i messaggi che vengono scambiati tra i vari dispositivi: dipende da cosa regola quel determinato protocollo. … [Leggi il resto]

InfocertID e SPID: meglio di no

Dopo l’acquisto del dominio pierov.org, OVH mi ha mandato la fattura elettronica, nonostante io faccia acquisti come un privato per fini personali.

Casualmente, avevo fatto ieri il procedimento con mio padre, che invece è un libero professionista, quindi sapevo già più o meno come funziona il portale fatture e corrispettivi; inoltre, sono in possesso di due possibili modalità di autenticazione: sia la CNS (carta nazionale dei servizi), che dello SPID.

In particolare, visto che non avevo voglia di abilitare la prima, creare una password, che magari sarebbe stata vincolata all’uso della smart card, ho deciso di usare il secondo.

In realtà mi ero registrato a SPID senza un motivo ben preciso, un po’ perché era gratis, un po’ perché volevo usare la CNS con un lettore che avevo da un po’ e non avevo mai usato. Quando mi sono registrato i provider erano solo tre, e di questi solo InfoCert permetteva la registrazione tramite CNS, quindi ho scelto di registrarmi con loro. Dopo è passato più di un anno, mi hanno fatto il rinnovo sempre gratuito, ma in realtà non avevo mai usato queste credenziali.

La registrazione, da quanto mi ricordo, era andata abbastanza bene, mi avevano anche chiesto un codice PIN da usare per la generazione delle OTP e fin là tutto a posto. L’unico problema è che non mi ero segnato la password che avevo usato e oggi, a distanza di più di un anno, non me la ricordavo più. … [Leggi il resto]

Firejail

Una delle grandissime caratteristiche del software libero è che i rischi per sicurezza e privacy sono esposti agli occhi di tutti.

Quindi personalmente mi fido molto del software proveniente dal repo main di Debian, invece non mi fido di software proprietari di terze parti, per esempio di Spotify.

Avevo già cercato di mettergli una sandbox attraverso i container, però non è una soluzione pratica per questo genere di problema: si perde l’integrazione con l’ambiente desktop (notifiche, tasti multimediali…) e la soluzione è parecchio pesante, infatti serve che ci siano comunque tutte le dipendenze in un piccolo sistema operativo.

Recentemente invece ho sentito parlare di firejail, un programma che permette di isolare dei programmi mediante alcune funzionalità del kernel Linux, come i namespace.

Per ogni applicazione che si vuol far girare ha bisogno di un profilo, in cui si fa una whitelist e una blacklist di file e altre risorse cui essa può o non può accedere. È addirittura capace di bloccare le richieste a programmi come su e sudo.

È veramente rassicurante vedere che di default blocca subito l’accesso completo a file critici per la sicurezza come la cartella .ssh o ai file che permettono l’esecuzione arbitraria di codice, come lo .xinitrc o i profili delle shell. … [Leggi il resto]