Cloud Operating System. Not from Google.

Già dalla mia visita agli headquarter di Google, nello scorso Maggio, ricavai l’impressione, documentata da più parti, dell’approccio alla rete di quei genietti di Mountain View. La plausibile intenzione di trasformare il tessuto di cui è latta la rete nel futuro sistema operativo globale ci è stata in qualche modo confermata dalle caratteristiche di Chrome, il browser opensource che oggi rosicchia quote sia a Firefox che ad Internet Explorer. Della caratteristica di Chrome di essere fondamentalmente votato all’esecuzione di applicazioni Internet parlammo appunto a Settembre.

 

Il Cloud OS. In evidenza la Icond Dock dentro la finestra del browser.
Il Cloud OS. In evidenza la Icon Dock dentro la finestra del browser... o del Sistema Operativo?

Quindi da un lato non stupisce che venga fuori il tanto atteso Google Operating System!. Da un lato, però. Perchè dall’altro stupisce che non sia Google a farlo, ma Good OS, una società Californiana (ma va?) già famosa per il suo gOS, un piccolo sistema operativo caricato su dei portatili da 200$ venduti da Wal-Mart.

 

Il nuovo sistema operativo si chiama invece gOS Cloud, e viene definito dagli stessi creatori un Cloud Operating System. In pochi secondi (quanto pochi dipende anche dalle performance della machina, ovviamente) il sistema carica all’interno di un browser il suo framework applicativo proprietario, permettendo di eseguire applicazioni all’interno di un browser.

Ora resta solo da attendere una qualche versione scaricabile e testabile, per vedere quanto di vero e concreto c’è dietro gli annunci.

Google c’è!

Lo cito per la seconda volta in 12 ore, ma solo perchè ritengo il follow-up importante.

Mi riferisco al post sul presunto auto-spam di GMail. La conclusione a cui arrivammo era che si trattava di un tentativo di fare leva sulla feature di GMail che associa il me al proprio indirizzo.

Ebbene, a quanto pare non è più così, come potete vedere dall’immagine.

A suo tempo segnalai la cosa in questo gruppo di assistenza dedicato proprio a GMail.

Anche se banale come modifica, mi sembra una risposta corretta e veloce.

Vecchia Falla di Google Ancora Pericolosa!

Qualche giorno fa ho segnalato un anomalo comportamento di Google, erroneamente identificato come bug. Mi riferivo alla feature che associa l’etichetta me al propio indirizzo, feature che gli spammer usano per far comparire come mandate da voi stessi delle mail, anche se l’ottimo filtro di Google riesce comunque ad intercettare il contenuto come spam.

Oggi si tratta invece di una cosa più seria e decisamente più pericolosa, se rapportata al fatto che molti di noi utilizzano oggi l’indirizzo di GMail come email primario e di contatto per molti servizi. Prima di alzare i toni è comunque opportuno che dica che mi riferisco ad un bug di sicurezza patchato (corretto) già da almeno un anno.

Ma tocca fare un po’ di ricostruzione, almeno un anno, appunto, di tempo!

Verso fine Settembre 2007 GNUCitizen prima descrive sommariamente una pericolosa vulnerabilità nel meccanismo di autenticazione di GMail, e poi – dopo la comunicazione da parte di Google che affermava di aver fixato il bug – la documenta con il cosiddetto proof of concept. La tecnica usata prevede sostanzialmente che l’hacker riesca ad “impostare” dei filtri che possono forwardare la posta ricevuta presso un indirizzo di suo gradimento. Oltre a esporre messaggi privati, questa tecnica può essere resa arbitrariamente distruttiva in quegli scenari in cui l’utente abbia utilizzato la casella di GMail come – ad esempio – mail di contatto per la registrazione di domini.

Pochi giorni dopo – il primo Ottobre dello stesso Anno – ZDNet pubblica un post di Ryan Naraine, un security evangelist di Kaspersky Lab, che spiega l’opportunità per tutti gli utenti di andare a controllare i propri “filtri”. La patch infatti elimina la vulnerabilità che permette all’hacker di impostarli, ma non bonifica quelli già impostati.

Negli ultimi 12 mesi (secondo questo articolo su RWW) almeno due domini di una certa rilevanza sono stati rapiti con questa tecnica, ed il secondo molto di recente!

Suggerimenti (presi direttamente da chi ha vissuto questa brutta esperienza):

  • Verificate i vostri filtri e disabilitate l’IMAP;
  • Non utilizzate la posta di GMail come casella di contatto per registrazioni “sensibili”;
  • Come sempre, non aprite i link nelle email, a meno che non siate certi di conoscere il mittente o l’origine.

Spam dal Proprio Indirizzo nella Casella GMail

Ho l’abitudine di controllare periodicamente la casella spam di Gmail. Credo che l’unico valido motivo per fare ciò sia legato ad una fiducia non proprio totale nei confronti del filtro. Ho in sostanza paura che il filtro possa essere troppo severo e generare quindi dei falsi positivi.

Per questo motivo controllo periodicamente ciò che viene archiviato come spam e naturalmente svuoto tutto (per rendere meno oneroso il successivo controllo).

Bene, devo dire che il filtro funziona a dovere. Finora solo un messaggio etichettato spam per errore. E in questi giorni mi ha anche stupito positivamente, riuscendo ad intercettare dei messaggi di spam anche se l’indirizzo del mittente era…uh…il mio!!!

[Attenzione: in fondo al messaggio un update, la sicurezza del vostro account Gmail è con tutta probabilità salva.]

Gmail Spam Box
Gmail Spam Box

La prima volta che è successo, qualche giorno fa, ho archiviato la cosa come un baco in qualche mass-mailer che avesse, ahimè, anche il mio indirizzo. Poi sono andato a guardare gli header del messaggio. In Gmail potete vederli facendo click sulla freccina accanto a reply, e scegliendo fra le opzioni “Show original”. E negli header ho visto cose brutte:

Delivered-To: mioindirizzo@gmail.com
Received: by 10.142.104.12 with SMTP id b12cs7943wfc;
        Tue, 11 Nov 2008 12:15:52 -0800 (PST)
Received: by 10.210.66.13 with SMTP id o13mr9588525eba.74.1226434551118;
        Tue, 11 Nov 2008 12:15:51 -0800 (PST)
Return-Path: <mioindirizzo@gmail.com>
Received: from m85-94-175-97.andorpac.ad (m85-94-175-97.andorpac.ad [85.94.175.97])
        by mx.google.com with ESMTP id g9si9762451gvc.0.2008.11.11.12.15.46;
        Tue, 11 Nov 2008 12:15:51 -0800 (PST)
Received-SPF: neutral (google.com: 85.94.175.97 is neither permitted nor denied 
by domain of mioindirizzo@gmail.com) client-ip=85.94.175.97;
Authentication-Results: mx.google.com; spf=neutral (google.com: 85.94.175.97 is neither 
permitted nor denied by domain of mioindirizzo@gmail.com) smtp.mail=mioindirizzo@gmail.com
Date: Tue, 11 Nov 2008 12:15:51 -0800 (PST)
Message-Id: <4919e7f7.096c100a.3153.3259SMTPIN_ADDED@mx.google.com>
To: <mioindirizzo@gmail.com>
Subject: Barak and McCain's conssultants
From: <mioindirizzo@gmail.com>
MIME-Version: 1.0
Importance: High
Content-Type: text/html
Segue in testo del messaggio...

No ho particolare confidenza con in protocollo in questione, ma confrontando gli header con quelli di un messaggio legittimo la somiglianza è preoccupante. Purtroppo i pochi post(al momento) presenti nei relativi gruppi google non sono assolutamente d’aiuto.
I consigli che al momento posso dare sono abbastanza basilari:

[Attenzione: in fondo al messaggio un update, la sicurezza del vostro account Gmail è con tutta probabilità salva.]

  • cambiate password;
  • cambiate domanda segreta;
  • verificate o cancellate eventuali “account secondari” a cui avevate concesso l’accesso. Non mi riferisco agli account secondari di posta, me agli altri indirizzi che usate (se ne usate) per autenticarvi con i servizi di Google;
  • monitorate il fenomeno.

Conoscendo i personaggi in questione e l’attenzione verso questo prodotto, se la cosa dovesse diffondersi probabilmente ci metteranno una pezza.

Non mi fermo con le analisi. Spero di scoprire che si tratta di una banale configurazione di un client che si spaccia per un altro, nel qual caso (forse) c’è meno da preoccuparsi, ma vi invito comunque a verificare le vostre caselle spam. Chiaramente la preoccupazione più grande è che lo stesso messaggio possa essere mandato alla propria rubrica, ma al momento nessuno dei miei contatti ha riportato manifestazioni del genere. Uno di loro mi ha invece confermato di avere lo stesso problema dei messaggi auto-inviati.

Disclaimer: l’apertura di un messaggio di posta, specie dentro un browser con javascript abilitato, può causare l’esecuzione di codice maligno. Se non vi fidate dei messaggi che avete in spam e volete cancellarli senza correte rischi, eliminateli direttamente (“Delete all spam messages now”) senza aprirli.

UPDATE: Dopo pochi scambi di battute su FF (grazie a chi ha contributo alla discussione colmando la mia ignoranza), forse la cosa si può archiviare come un semplice tentativo di Socal Engineering tarato proprio su Gmail, e sulla sua funzionalità che associa l’etichetta “me” (come mittente) al proprio indirizzo di posta elettronica. Questo vuol dire che la sicurezza del vostro accont è con tutta probabilità inviolata (cioè la presenza di tali email non è un indice di effrazione).

Ho provatto a connettermi ad un smtp del provider (quindi non google) e inserendo a mano (tecnicamente spoofando) il campo “from” sono riuscito a riprodurre un messaggio per il 90% simile a quello che ho segnalato (ma mai identico negli header).

Il tentativo di autenticazione che Google cerca di fare tramite Sender Policy Framework non da un risultato significativo, ed è probabile che il filtro antispam tenga conto anche di questo.

Sul presunto key-logger di Chrome

Nei giorni scorsi ho sbirciato qualche post un po’ polemico che denunciava, in alcuni casi con grande enfasi, la funzionalità di “pre-emptive search” presente nella OmniBox (la barra dell’indirizzo/casella di ricerca del nuovo browser). Per fortuna alcune voci fuori dal coro hanno un approccio più “razionale”.

Tale funzionalità, già presente in Google Suggest e nella search box di Firefox, prevede necessariamente l’invio di quanto finora scritto ai server di Google, che in risposta forniscono un elenco di valori (le potenziali keyword di ricerca) che vanno a popolare la combo.

Premesso che è una funzionalità disattivabile (anche se in maniera non immediata) e che personalmente me ne frego che Google sappia quante volte scrivo male una url, effettivamente qualche preoccupazioe sulla privacy mi sembra legittima, anche se paragonare questa funzionalità a quella di un keylogger (usato tipicamente per scopi maligni) mi sembra decisamente esagerato.

La socetà di Mountain View continua comunque a piacermi: nella sua politica di grande trasparenza e comunicazione ha infatti pubblicato un articolo in cui spiega sostanzialmente che:

  • il 98% di tali ricerche non sono semplicemente loggate;
  • il restante 2% viene loggato (in maniera randomica) per migliorare il servizio;
  • hanno deciso di cancellare quel 2% il prima posibile (tipo 24 ore dopo la registrazione);
  • implementeranno questa modifica probabilmente entro la fine del mese.

Se non è Product Management questo…

Sto provando Google Chrome

E vi dirò….finora l’unica cosa che mi manca è la barra degli indirizzi dell’ultimo Firefox, alla quale mi stavo velocemente e felicemente abituando. A parte questo devo dire che sulla maggior parte dei siti che frequento abitualmente, o per lo meno di quella decina che ho potuto testare da quando ho installato il browser, la user experience mi sembra…beh…corretta! Nessun problema ma neanche grosse rivoluzioni (con qualche eccezione, vedi in fondo al post).

Ho verificato dai log che il browser viene individuato come “Safari”, il che mi impedirà di vedere nei prossimi giorni (per pura curiosità) quanti utenti accedano qui col nuovo browser.

chrome-task-manager
Il "Task Manager" di Chrome

Una delle feature che ero curioso di testare è il task manager. Diciamo che nelle condizioni normali (come quelle che vedete rappresentate in finestra) è poco utile. Lo diventerà certamente per individuare eventuali memory hog: siti o plug-in che cominciano a mangiare la memoria senza smetterla più.
Ho anche verificato che su qualche sito che si basa sullo “user agent” per l’identificazione del browser (e non sul test delle effettive capacità) javascript viene ignorato, ovvero il server agisce come se non fosse disponibile.

L’eccezione a cui facevo riferimento è costituita da Picasa, il Flickr di Google (di Google?!? Ma vuoi vedere che…). Si tratta di una delle poche applicazioni web che ho sempre disdegnato, principalmente per il fatto che l’utilizzo di quella mostruosa interfaccia, pesantemente basata su javascript, mi è sempre risultato poco gradevole, con il browser sempre apparentemente congelato nel passaggio fra una finestra e l’altra. Ecco, questa è l’unica applicazione che io abbia provato finora nella quale il miglioramento di performance (non velocità pura, attenzione, ma piuttosto l’interattività della finestra, l’assenza di freeze) è notevolissima. 

Altre webapp che beneficiano di un certo miglioramento (sempre limitandomi a quelle che ho provato stasera) comprendono il citato Flickr (specialmente l’interfaccia di amministrazione/organizzazione delle foto, geotagging compreso) e parzialmente anche Google Maps.

Se siete curiosi di provarlo, in pochi minuti dovreste riuscire a scaricare Chrome da qui. Il browser si installa praticamente da solo, e se avete l’accortezza di chiudere il vecchio browser durante l’installazione, quello nuovo importerà i vostri bookmark, le password salvate ed in generale le impostazioni.

Buona navigazione!

[tags]Google, Chrome, Beta[/tags]

Exploit the Browser Potential: Google Chrome

Fra le cose che mi colpirono di più in occasione del Google I/O dello scorso Maggio, vi fu senza dubbio la presentazione di una versione “0.9” (o giù di lì) di Google Gears, a quel punto già ribattezzato solo “Gears”.

Chris Prince, Project Manager e di fatto papà del progetto la spiegò sostanzialmente così: Gears implementa le funzionalità di HTML5 anche per quei browser che non la implementano nativamente. Cioè – oggi – tutti.

Fra queste funzionalità non c’è solo la possibilità di depositare in locale delle informazioni (un local database) ma anche un oggetto canvas per gestire elaborazioni grafiche un po’ più evolute, un set di funzioni per gestire procedure javascript in multithreading (worker pool) ed altre amenità.

Nella simpatica presentazione del nuovo browser di Google, battezzato Chrome, che ho sfogliato stamattina, ho trovato diversi richiami a quel tipo di approccio: empower the browser, o meglio ancora, exploit the browser potential!

Stefano Quintarelli si chiede se la mossa non sia un errore. No, non mi pare, e gli ho risposto sul blog. Certamente è una mossa piuttosto forte, e che potrebbe avere significativi impatti sul web.


[tags]Gears, Chrome, Google[/tags]

Android SDK beta. Ancora un passo verso l’anti-iPhone.

Mi pare superfluo replicare le migliaia di post (centinaia in italiano) che in queste ore/giorni segnalano l’uscita di una beta dell’atteso SDK. Piuttosto mi limito a segnalare una delle review meglo fatte (quella di Ars Tecnica) che entra un minimo nei dettagli della piattaforma.

Le cose (IMO) più significative:

  • C’è grande differenza, anche nelle API, fra questa versione e le precedenti, e benchè Google abbia pubblicato esaustiva documentazione sulle differenze, non è detto che il porting di un’applicazione sia semplice. D’altro canto non credo che qualcuno abbia investito massicciamente su un a piattaforma ancora dischiaratamente instabile.
  • L’interfaccia è decisamente migliorata e resa più uniforme.
  • E’ migliorato (parrebbe di molto) il set delle applicazioni fornite con lo stack [tag]Android[/tag].

Rimane la questione della disponibilità del sorgente, già discussa qui in passato.

Google has repeatedly touted the inclusiveness of an open platform as the primary quality that differentiates Android from competing mobile operating systems. Unfortunately, mismanagement and market pressures have largely undermined that advantage and disenfranchised some of the Linux enthusiasts in the third-party developer community.

Non credo ci siano mai stati dubbi sul fatto che il tema è di fondamentale importanza, soprattutto in un momento in cui il mercato rischia di essere invaso e monopolizzato dagli [tag]iPhone[/tag].

Qualcuno di voi si è cimentato con qualche sviluppo su questa piattaforma?

Android: Open Stack Not So Open?!?

Non bastano i ritardi nel rilascio del SDK a mettere in cattiva luce Google e nei guai il suo progetto di stack open source per dispositivi mobili.

Scrive oggi Ars Tecnica che parrebbe fondata la notizia secondo cui Google avrebbe distributo delle versioni private del SDK di Android ai partecipanti (o ad acluni fra questi) alla Android Developer Challenge.

Third-party Android application developers, who have grown increasingly frustrated with the lack of SDK updates, were shocked to discover that Google has been secretly making new versions of the Android SDK available to the Android Developer Challenge (ADC) finalists under non-disclosure agreements.

Un Non-Disclosure Agreement (NDA), ovvero un Accordo di Non-Divulgazione sarebbe stato fatto firmare agli sviluppatori interessati.

Come scrive Stefano Quintarelli, sulla scala della non-evilness, questo merita appena la sufficienza.

[tags]Android, ADC, Google[/tags]

I Segreti del Ranking di Google

Non proprio svelati, ma qualche passo verso l’apertura…

Oggi sul Blog Ufficiale di Google c’è un interessante articolo/post di Udi Manber, VP Engineering, Search Quality, che spiega perchè gli algoritmi di ranking siano tenuti così segreti, ma dichiara anche una certa …apertura.

E così si svela che il PageRank, tuttora in uso, è oggi solo una parte di un meccanismo ben più complesso, che tiene conto fra l’altro dei language models (la capacità di gestire frasi, sinonmi, errori…), query models (non solo il linguaggio, ma come le persone lo usano oggi), time models (interessante: ad alcune ricerche è megli rispondere con pagine fresche, ad altre con pagine che stanno lì da più tempo).

E poi la complessità del gestire le query in vari linguaggi, di combattere lo spam…

In definitiva, un articoletto che vale la pena di leggere, in attesa di qualche insight ancora più succulento!