Gli articoli premium de La Stampa li può leggere chiunque, senza pagare

Precedentemente vi avevo già parlato di come gli articoli premium di Repubblica siano in realtà a pagamento solo per finta. I testi completi degli articoli infatti sono ottenibili in modo abbastanza banale perché il sito li mette a disposizione di chiunque.

Il caso era abbastanza eclatante, perché il testo di ogni articolo veniva semplicemente reso invisibile all’utente, ma effettivamente era presente. La maggior parte dei siti di notizie, invece, effettuano un vero e proprio “taglio” del contenuto. Al browser dell’utente viene mandato il primo paragrafo del testo e poi si vede un banner che invita ad abbonarsi.

Recentemente una persona mi ha chiesto se fosse un fenomeno presente anche su un altro quotidiano, ovvero LaStampa TopNews. Però penso risulti chiaro: una mancanza del genere solitamente è l’eccezione, non la regola. Stavo quindi preparandomi istintivamente a scrivere una risposta negativa.

Poi mi sono detto “vabbè dai, sono in ferie… 5 minuti li spreco, ma non uno di più”. Ho aperto uno degli articoli marcati come TopNews sul sito, in particolare questo:

http://www.lastampa.it/2018/08/22/cultura/investimenti-un-patto-per-ripartire-4Irf6mm0cDpDXY7JvmjtHI/premium.html

Ho osservato l’indirizzo e mi sono chiesto se questo avesse anche una versione di stampa. La prima cosa che mi è venuta in mente di fare, in modo del tutto istintivo, è stata di rimpiazzare il nome premium.html con print.html. Certo, un tentativo un po’ sciocco, ma costava poco provare. Quindi ho tentato di visitare questo URL:

http://www.lastampa.it/2018/08/22/cultura/investimenti-un-patto-per-ripartire-4Irf6mm0cDpDXY7JvmjtHI/print.html

Con mia sorpresa, qualcosa si è aperto. 🙂 La figura mostra le due pagine in questione:

Il testo di un articolo, prima e dopo il cambio dell’URL

Lo so, state pensando che è una cosa veramente assurda e bizzarra. L’ho pensato anch’io. 😀 Il fatto che le versioni complete degli articoli siano disponibili online a chiunque, senza login, vanifica completamente il senso del paywall. Considerando poi che i testi degli articoli sono il prodotto offerto da un quotidiano, il business ne risente sicuramente.

La cosa buffa è che nessuna delle due pagine è una “versione stampabile”, se provate a generare delle anteprime in PDF vedrete che vengono entrambe molto male.

Anche in questo caso ho creato un microscopico user-script a scopo dimostrativo, il quale funziona con le estensioni Greasemonkey e Tampermonkey. Se vi trovate su una pagina di TopNews, carica in background il testo integrale dalla versione “intera” e lo mette al posto dell’anteprima. Lo potete installare da qui:

La Stampa TopNews Full Text Articles

Come sempre, lo script è solo un proof-of-concept e il sito può venire sistemato in qualsiasi momento.

Quando vedo errori del genere rimango piuttosto basito, perché per qualsiasi sviluppatore software si tratta di sbagli alquanto grossolani e gravi. Durante la progettazione di un sito web, specialmente se a pagamento, è importante operare in modo preciso e professionale e occuparsi anche di fare le relative valutazioni di sicurezza.

Annunci

Il mio talk su CAINE a ESC 2018 — Venerdì 31 agosto ore 15:30, Venezia

Proprio come nel 2016 e nel 2017, anche quest’anno sono stato invitato a partecupare ad ESC in qualità di relatore e non ho potuto dire di no, dato che l’evento ha un ottimo spirito ed è ricco di contenuti interessanti. ESC si ripete dal 2005 ed è un incontro non-profit di persone interessate al Software e Hardware Libero, all’Hacking e al DIY. La cosa più bella è che il contenuto viene creato dai suoi partecipanti, perciò è in continua evoluzione.

L’evento è organizzato dall’associazione Endsummercamp APS come “incontro informale della durata di più giorni con possibilità di campeggio, occasione di crescita personale e professionale, condivisione e scambio di conoscenze e di esperienze, gioco e networking tra i partecipanti, e inoltre come conferenza con talk e seminari tecnici su diversi argomenti e livelli” conformemente a quanto previsto dalle linee guida.

Abel, il sistema di build della nuova CAINE

CAINE è una delle distribuzioni Linux per l’informatica forense più usate al mondo. Analogamente ad altri progetti simili, l’attuale metodo di sviluppo comporta numerosi step non automatizzati. Molte delle personalizzazioni presenti nella distribuzione sono realizzate a mano, rendendo difficile tenerne traccia e valutare eventuali correzioni di bug o miglioramenti nella procedura. Abel (Automated Build Environment Lab) è un progetto che mira a produrre le nuove versioni di CAINE in modo totalmente automatizzato, tracciabile e peer-reviewed, con un ambiente di build omogeneo basato su Vagrant e numerosi script che applicano tutte le modifiche necessarie.

Come sempre l’evento si terrà a Venezia, precisamente presso Forte Bazzera e ci sono una marea di talk interessanti in programma, perciò vi consiglio calorosamente di venire! Vi ricordo che per partecipare è necessario registrarsi qui.

Ci vediamo all’ESC! 😀

Gli articoli premium di Repubblica li può leggere chiunque, senza pagare

Il progetto OWASP (Open Web Application Security Project) mantiene da diversi anni la OWASP Top 10, vale a dire la lista delle dieci vulnerabilità più critiche nell’ambito delle applicazioni web. È una lista conosciuta da tutte le persone che si occupano di sicurezza informatica e, vorrei sperare, anche da chi si occupa di sviluppo web.

Un tipo di vulnerabilità che compare in tutte le edizioni della lista, in un modo o nell’altro, riguarda la possibilità di accesso a risorse che dovrebbero essere protette ma non lo sono in modo adeguato.

Repubblica ha lanciato un servizio premium a Novembre dell’anno scorso, chiamandolo “Rep”. All’interno di esso compaiono articoli di cronaca, pezzi di opinione e molto altro. Chi non è abbonato, visitando un articolo di Rep vede alcune frasi dell’articolo, seguite da un messaggio che recita:

Abbonati a Rep per continuare a leggere

Fino a qui, sembrerebbe tutto normale. Il browser di un utente anonimo riceve un pezzo dell’articolo, ma non può leggere oltre fino a che non effettua il login: è il funzionamento base di un paywall.

Su alcuni siti vulnerabili ci potrebbe essere qualcuno che riesce a bypassare il pagamento e leggere integralmente gli articoli, magari alterando i parametri dell’URL, i cookie o il referer. Questa possibilità esiste, però richiederebbe una specie di “manipolazione” basilare o comunque un intervento da parte dell’utente per ricevere il testo completo.

Il caso di Rep è completamente diverso e mi ha stupito moltissimo quando l’ho visto. Basta infatti guardare il codice sorgente caricato dal browser per scoprire un artificio meramente estetico:

rep_testo
Il testo di un articolo su Rep, visualizzato da un utente non registrato

Si nota infatti che è il sito stesso, cioè l’applicazione Rep, a inviare il testo integrale di ogni articolo al browser di qualsiasi visitatore lo visualizzi. Non c’è nemmeno la possibilità di non riceverlo, arriva infatti in automatico con tutto il resto della pagina.

Il testo viene poi semplicemente nascosto tramite lo stile grafico del sito (una riga di codice CSS che chiunque può disattivare). Ed è questa la cosa più incredibile di questa vicenda:

  • non è necessario installare niente
  • non c’è bisogno di “manipolare” nulla

Rep invia a tutti i visitatori i testi completi di tutti gli articoli, che sono visibili se si disattiva lo stile che li nasconde (o anche navigando con gli stili disattivati, un’opzione di Firefox poco utilizzata ma presente fin dagli albori del browser).

Anzi, se volete provare da voi vi basta visitare un qualsiasi articolo di Rep, aprire gli strumenti di sviluppo del browser e togliere la casellina sulla regola giusta. O ancora più semplicemente, disattivate un attimo gli stili della pagina dal menu di Firefox (Visualizza → Stile pagina → Nessuno stile).

Se siete totalmente pigri, volete automatizzare la cosa per ciascun articolo che visitate, oppure volete farlo da smartphone (in tal caso avrete bisogno di Firefox) ho anche pubblicato un microscopico user-script che funziona con le estensioni Greasemonkey e Tampermonkey. Lo potete installare da qui:

Repubblica “Rep” Aesthetic Paywall Bypass

Naturalmente lo script è solo un proof-of-concept e il sito può venire sistemato in qualsiasi momento.

Quello che abbiamo sotto gli occhi è un tentativo di fare “sicurezza” lato-client, ovvero sulla macchina dell’utente dell’applicazione web. Questo è un approccio che non funziona, anzi è talmente grossolano che sembra dover richiedere un’altra spiegazione.

Alcune persone con cui ho parlato ipotizzano che venga fatto in modo intenzionale, per consentire l’indicizzazione degli articoli da parte di Google. Questo potrebbe certamente essere vero, anche perché sembra strano che nessuno sia intervenuto nel giro di mesi. Però Google fornisce degli strumenti appositi per gli sviluppatori di contenuti protetti da paywall. Forse sarebbe il caso di utilizzarli.

Se anche voi state sviluppando un’applicazione web, assicuratevi di effettuare adeguate valutazioni di tutto il codice, verificando una per una tutte le vulnerabilità della OWASP Top 10 (e non solo quelle). Proteggere i contenuti è fondamentale, specialmente quando i contenuti sono il prodotto. A questo proposito, potrebbe essere una buona idea richiedere un servizio di consulenza professionale in merito.

Determinare la data in cui è stata scritta una pagina web

Qualche tempo fa mi è stato proposto di scrivere un articolo per la rivista ICT Security Magazine. Ho trattato una tematica che torna utile in molti casi di indagini da fonti aperte o di consulenze in ambito di digital forensics:

Durante le attività di OSINT (Open Source Intelligence) si può riscontrare l’esigenza di attribuire una datazione più precisa possibile ad una pagina web. Talvolta può essere necessario riuscire ad individuare un giorno o addirittura un orario ascrivibile alla creazione della pagina, ad esempio per rilevare casi di contraffazione della stessa.

Per l’occasione ho anche sviluppato e rilasciato un software open source per automatizzare il processo di datazione di una pagina, che ho chiamato Carbon14. Potete leggere l’articolo completo Datazione delle pagine web tramite Carbon14 direttamente sul sito della rivista.

Se invece avete bisogno di consulenza professionale, eventualmente nella forma di consulenza tecnica utilizzabile anche in giudizio, contattatemi tramite l’apposita pagina.

 

Ad aprile riparte il ciclo culturale “Dieci volti dell’informatica” a Nove (VI)

L’anno scorso avevo organizzato un ciclo di serate assieme a GrappaLUG. Vi avevo scritto qui sul blog il motivo principale per cui erano stata programmati dieci incontri su questa disciplina:

Il problema più grosso, però, è che pochi parlano di informatica (intendo la scienza, quella vera) in modo divulgativo e dedicato ad un pubblico non esperto. Ci sono meravigliose trasmissioni televisive che parlano di fisica, chimica, biologia, geologia… ma manca sempre l’informatica.

Questo è il motivo che mi ha portato a organizzare, con l’associazione GrappaLUG, un itinerario culturale di dieci serate divulgative sull’informatica. Il mio obiettivo è quello di portare degli spunti, far conoscere al pubblico che cos’è questa scienza e magari scatenare la curiosità di qualcuno che potrebbe trovarla interessante.

Purtroppo avevamo dovuto temporaneamente sospendere le serate dopo i primi cinque incontri, ma ora siamo pronti a ripartire! Grazie alla collaborazione con il Centro Comunicazioni 9Radio abbiamo la possibilità di terminare i cinque incontri rimanenti, ma non solo: verranno riproposti in replica anche le prime cinque lezioni!

Il titolo del percorso rimane invariato:

Dieci volti dell’Informatica
Itinerario culturale di introduzione alla scienza dell’informazione

Le prime tre serate saranno a cadenza settimanale, a partire da giovedì 5 aprile, a Nove (VI). Dopodiché le restanti proseguiranno ogni due settimane nei mesi di maggio e giugno. Trovate il programma completo sul sito del GrappaLUG, dove c’è anche il link per iscriversi.

Il percorso è gratuito ma è necessaria l’iscrizione. Abbiamo la fortuna di avere un’aula molto capiente, per cui oltre alle circa 20 persone già in lista è rimasto disponibile qualche altro posto. Affrettatevi! 😉

Video delle serate

Stiamo sperimentando la possibilità di trasmettere in diretta streaming su YouTube l’audio e le slide degli incontri. Seguite il canale ufficiale di GrappaLUG per guardare i video precedenti e seguire le dirette:

https://www.youtube.com/user/LinuxGrappaLUG/featured