A partire dal 1° marzo, in seguito all’accordo tra Microsoft e la Commissione Europea, gli utenti italiani di Windows (XP, Vista e 7) che utilizzano Internet Explorer come browser predefinito dovrebbero trovarsi di fronte a questa schermata.

Come chiaramente illustrato in questo post (in inglese) e sul blog MClips (in italiano):

• la schermata verrà visualizzata la prima volta che l’utente apre il browser dopo aver installato il relativo aggiornamento di sistema;
• l’ordine con cui vengono visualizzati i primi cinque browser è casuale. Per ogni browser, Firefox compreso, è possibile visualizzare una pagina con ulteriori dettagli oppure scaricare il file per l’installazione.

Nei prossimi giorni Mozilla metterà online anche un blog multilingua per discutere del Ballot Screen e di argomenti correlati.

Interessante notare come, al momento, dei cinque browser in first tier Opera sia l’unico sprovvisto di una pagina informativa in italiano.

P.S. visto che ciclicamente vengo accusato di essere un “fanboy” di Mozilla, ci tengo a farvi leggere questo articolo di un collega mozilliano. Se poi volete farvi del male, potete anche leggervi la relativa traduzione in (quasi)inglese.

Nuova (meta)pagina about per Firefox 3.7: about:about

In realtà, per i vecchi utenti Mozilla si tratta di una vecchia conoscenza, portata nel toolkit grazie al bug 220253.

Altre notizie brevi dal fronte:

• Thunderbird 3 ha già ricevuto un primo aggiornamento, a breve arriverà anche il primo update per il ramo 3.6 di Firefox;
• nei prossimi giorni è attesa è già disponibile la release 1.0 di Firefox (ex Fennec) per dispositivi Maemo (Nokia N900);
• è quasi pronta la release alpha1 di Thunderbird 3.1 (che inizierà a seguire il ciclo di rilascio rapido inaugurato con Firefox 3.6)
• per la prima volta, il ramo 3.6 riceverà aggiornamenti funzionali e non solo relativi a stabilità e sicurezza. Nello specifico si parla di Lorentz e della separazione dei processi relativi ai plugin (per arrivare, in futuro, a separare i processi delle singole schede in stile Chrome);
• per la serie idee malsane: è in programma la rimozione dell’interfaccia di gestione dei profili. Se ne può parlare, se non fosse che ancora non esiste un’alternativa valida e funzionante (e molti si stanno lamentando).

Direi che siamo a buon punto, ammesso che la smettano di fargli fare interviste e lo lascino lavorare in pace 😛

Nel frattempo sono usciti Firefox 3.6 beta 2 e Fennec Firefox for Maemo 1.0 beta 5, mentre sarà disponibile a brevissimo la Release Candidate 1 di Thunderbird 3.0. E con questo dovrei aver spiegato anche la mia latitanza dell’ultimo periodo 😉

Grazie a Microsoft possiamo finalmente vedere all’opera il meccanismo di blocco automatico di plugin ed estensioni. Dal blog di Mike Shaver, VP of Engineering in Mozilla:

I’ve previously posted about the .NET Framework Assistant add-on that was delivered via Windows Update earlier this year. It’s recently surfaced that it has a serious security vulnerability, and Microsoft is recommending that all users disable the add-on.

Because of the difficulties some users have had entirely removing the add-on, and because of the severity of the risk it represents if not disabled, we contacted Microsoft today to indicate that we were looking to disable the extension and plugin for all users via our blocklisting mechanism. Microsoft agreed with the plan, and we put the blocklist entry live immediately. (Some users are already seeing it disabled, less than an hour after we added it!)

Un breve riassunto per chi si fosse perso la questione:

• inizio 2009: Microsoft, attraverso un aggiornamento di .NET framework distribuito su Windows Update, installa un componente aggiuntivo in Firefox. Il metodo di installazione è sostanzialmente quello di un malware: installo software senza chiedere nulla all’utente. Ciliegina sulla torta: il componente aggiuntivo non può essere disinstallato, se non operando su registro e file di sistema (non un’operazione alla portata di tutti).
• Giugno 2009: viene rilasciato un aggiornamento (circa 250MB) che, tra le altre cose, permette all’utente di disinstallare il componente aggiuntivo.
• Ottobre 2009: a quanto pare non c’era solo un componente aggiuntivo (.NET Framework Assistant), ma anche un plugin (Windows Presentation Foundation) che ora risulta affetto da una vulnerabilità critica. In pratica: visitando il sito “giusto” e con il plugin attivo, l’attaccante avrà la possibilità di installare software sulla vostra macchina.

Vedi anche post di Giorgio Maone, autore di NoScript:

The Windows Presentation Foundation plugin enables “XAML Browser Applications” (XBAPs) to run into your browser. Ironically, this appears to be Microsoft’s late equivalent of Java Applets, with some ActiveX scent as a bonus (native code). Talk about lesson learned…

Come proteggersi? Verificate in Strumenti->Componenti aggiuntivi, pannello Plugin, che il plugin Windows Presentation Foundation sia disattivato. Se non lo è, selezionatelo e fate clic sul pulsante Disattiva.

Una considerazione a margine: Firefox mette a disposizione dei meccanismi per l’installazione invisibile (silent install) di componenti aggiuntivi, considerato il comportamento di molti produttori (vedi anche AVG) sarebbe il caso di ripensare questa strategia.

Dopo about:robots e about:rights, in Firefox 3.6 sarà disponibile un nuovo “about”: about:support.

Si tratta di una pagina che consente all’utente di raccogliere informazioni utili sulla propria configurazione – versione del software, posizione della cartella del profilo, estensioni installate con relativo ID, preferenze modificate rispetto alle impostazioni predefinite – e di copiarle negli appunti, semplificando di gran lunga la vita a chi fornisce supporto.

Si tratta di un primo passo nella giusta direzione, anche se spero che migliorino in modo sostanziale l’output negli appunti (decisamente caotico). Per chi fosse interessato, è possibile seguire il bug di riferimento.

Complice la notifica di un aggiornamento di Java per OS X, questa mattina ho fatto una pessima scoperta: al momento Namoroka (Firefox 3.6) e le nightly basate sul codice del trunk non dispongono del supporto al plugin Java.

Leggendo i commenti al bug 510035, la situazione è tutt’altro che rosea.

Since the decision was made (in mid-2008) to drop OJI and the JEP from what was at the time “the trunk”, Josh and I have assumed that 1) Apple would release their port of Sun’s Java Plugin2 around the time they released OS X 10.6; and 2) the first release without OJI/JEP would happen sometime in 2010 (i.e. well after Apple had released Java Plugin2).

Both of these assumptions have proved to be incorrect.

E ancora

Josh has ruled out restoring OJI on the trunk, and I basically agree with him — OJI hasn’t been maintained for a long time, and there’s nobody both willing and able to maintain it.

This leaves re-writing the JEP so that it doesn’t use OJI. This is certainly possible. But it won’t be easy (particularly making sure Java-to-JavaScript and JavaScript-to-Java LiveConnect continue to work as before — as they do in Sun’s Java Plugin2 releases). I’d guess it’d take me about a month to rewrite the JEP not to need OJI, but it could easily take longer.