Ritorno sull’argomento per segnalarvi un dettagliato articolo del Washington Post in cui vengono messi a confronto diretto i sistemi anti-phishing di Internet Explorer 7 e Firefox 2.

L’idea del test è semplice e, per i più sospettosi, facilmente ripetibile: si prende un gruppo di siti segnalati su PhishTank e si prova a visitarli con il browser.
Per entrambi i browser sono state prese in considerazione le due modalità di funzionamento del sistema di protezione: Firefox con lista locale (impostazione predefinita) e con interrogazione del database Google, Internet Explorer con la consultazione del database Microsoft attivata e disattivata (la richiesta viene fatta in fase di installazione).

Ecco una sintesi dei risultati (pdf completo in inglese):

• 1040 siti
• Firefox 2 con lista locale: 820 rilevati (78,85%)
• Firefox 2 con Google: 848 rilevati (81,54%)
• IE7 Auto Check OFF: 16 rilevati (1,54%)
• IE7 Auto Check ON: 690 rilevati (66,35%)
• Firefox 2 rileva 243 siti non rilevati da IE7
• IE7 rileva 117 siti non rilevati da Firefox 2

Conclusioni:

• il sistema off-line di Firefox 2 è decisamente efficiente, altrettanto non si può dire di quello di Internet Explorer 7
• la modalità off-line di Firefox 2 è superiore a quella on-line di Internet Explorer 7
• considerando che entrambe le modalità on-line comportano problemi di privacy, è evidente che Firefox 2 ne esce vincitore a mani basse

Detto questo, non resta che citare l’autore dell’articolo:

While I applaud Microsoft and Mozilla for their first efforts, the reality is that — depending on which browser (and setting) you use — anywhere from 20 to 40 percent of the phishing scams are going to sneak past undetected.

Per quanti passi avanti si siano fatti, è evidente che c’è ancora della strada da fare: stiamo parlando di un gap del 20-40% da colmare. Un buon inizio è sicuramente quello di utilizzare i server DNS di OpenDNS 😉

Nei giorni scorsi sul blog di html.it è apparso un articolo relativo proprio a questo argomento, la personalizzazione del dizionario di Firefox 2, con un link ad un interessante articolo in inglese.

Tutte le parole aggiunte dall’utente al dizionario (tasto destro sul lemma evidenziato -> Aggiungi al dizionario) vengono salvate in un file, persdict.dat, situato all’interno della cartella del profilo. Nonostante l’estensione .dat si tratta di un comune file di testo con una struttura semplicissima: un lemma per ogni riga.

Per l’utente questo significa che è possibile:

• eliminare facilmente delle parole inserite per errore: basta modificare il file cancellando la riga sbagliata
• scambiare il proprio dizionario personalizzato con altri utenti: basta scambiarsi il file e sostituire quello esistente
• fare modifiche di massa: si apre il file persdict.dat e si inseriscono tutti i termini
• integrare dizionari esistenti

Riguardo all’integrazione dei dizionari esistenti, nel tutorial viene indicato come aggiungere a Firefox il dizionario di Microsoft Word: basta copiare il contenuto del file “custom.dic” nel file persdict.dat

Anche gli utenti Mac possono integrare il dizionario personalizzato già in uso in Mac Os X: il file del dizionario si trova nel file ~\Libreria\Spelling\it (nel caso di dizionario inglese sarà “en”, “fr” per il francese, ecc. ecc.).
Piccolo problema: il dizionario di Firefox è un file di testo con una sola parola per riga, quello di Mac Os X usa un formato decisamente “strano”.

Alla fine con Google ho trovato questo script Perl che genera un file con il formato in questione. Premesso che non conosco assolutamente Perl, questo script creato con Google e un po’ di copia/incolla sembra funzionare:

#!/usr/bin/perl
$zerobyte = pack("B8", 0);
open (IN, "< it") || die "Impossibile aprire il file it\n\n";
open (OUT, "> persdict.dat") || die "Impossibile creare il file persdict.dat\n\n";
while ($r = <IN>) {
$r =~ s/$zerobyte/\n/g;
print OUT $r;
}
close(IN);
close(OUT);

Basta creare un file converti.pl con il codice indicato, copiare il file it (il file del dizionario) in una cartella insieme con lo script, da terminale posizionarsi nella cartella ed eseguire perl converti.pl: al termine dovrebbe apparire un file di testo (persdict.dat) correttamente formattato.

… sono duri di comprendonio 🙁

Praticamente non hanno imparato nulla dal caos che si è verificato con l’uscita di Firefox 2.0.

I server ftp contengono già la release 1.5.0.8 di Firefox (comprensibile, anche se sarebbe ora di trovare una soluzione); stavolta per peggiorare la situazione hanno deciso di attivare l’aggiornamento automatico per le versioni 1.5.0.x senza uno straccio di annuncio ufficiale sui siti Mozilla (che sicuramente arriverà nelle prossime ore tenendo conto del fuso orario).

Questo a casa mia si chiama “confondere gli utenti” 🙁

Piccola nota: ho appena provato a scaricare la 1.5.0.8 in italiano e, per il momento, non c’è traccia di major update.

Asa Dotzler sul suo blog risponde polemicamente a un articolo pubblicato su Platinax Small Business News in cui si accusa Firefox di non garantire la privacy degli utenti.

Tralasciando le discussioni sull’inconsistenza dell’articolo, dal post di Asa emerge un dettaglio interessante: la lista locale di siti “pericolosi” si aggiorna automaticamente ogni 30/60 minuti, garantendo una protezione più che sufficiente per gli utenti ed escludendo la necessità di ricorrere a servizi online come Google.
In questo modo nessun dato viene scambiato con soggetti terzi (neppure con Mozilla), per cui la vostra privacy è garantita.

Firefox phishing protection offers users protection from online identity and credential scams by checking the visited sites against a local list of known bad sites. This list of bad sites is refreshed regularly by Firefox — every 30 to 60 minutes. At no time are the users’ visited sites shared with any third parties (or even with Mozilla) when using this feature in it’s default, and quite capable, configuration.

If a user wants to make a slight improvement to the feature — eliminating the 30 to 60 minute lag time between when a site is identified as bad and when Firefox gets the updated list, the user can dig deep into the preferences and find the option to do a “real-time” compare with the most up to date list at Google’s server. If the user does check that box, she will be presented with a plainly worded description of what that means, including links to the applicable privacy policies.

This real-time compare is an optional enhancement to the phishing protection feature and is absolutely not required for the feature to provide real benefit to users. There are legitimate privacy concerns any time user data is shared with service providers and that is why this enhancement to the phishing protection feature is not enabled by default.

Dal momento che queste due richieste continuano a ripetersi sul forum di supporto, è il caso di scrivere due righe in proposito.

Barra di ricerca rapida

Per prima cosa facciamo una distinzione:

• la barra di ricerca viene visualizzata nella parte inferiore della finestra premendo la combinazione di tasti CTRL+F (cmd+F su Mac) oppure selezionando il menu Modifica->Trova in questa pagina… La barra di ricerca permette di spostarsi tra i risultati, di evidenziarli e di scegliere se distinguere maiuscole/minuscole.
• la barra di ricerca rapida viene visualizzata solamente se è attivata l’opzione “Cerca nel testo quando si digita qualcosa” (“Find As You Type” nella versione inglese, spesso abbreviato in FAYT) nel pannello Avanzate->Generale delle Opzioni/Preferenze; per aprirla è sufficiente iniziare a digitare sulla tastiera i termini da cercare.
  Personalmente ho sempre trovato molto funzionale la barra di ricerca rapida: a differenza della barra di ricerca, basta premere ESC per chiuderla o attendere qualche secondo perché si chiuda automaticamente.

In Firefox 2.0 la barra di ricerca rapida è stata malauguratamente modificata: sono stati eliminati tutti i controlli che invece appaiono nella barra di ricerca standard.

Per tornare alla situazione precedente, basta inserire queste righe nel file userChrome.css (attenzione al nome del file e a non cancellare la riga @namespace):

#FindToolbar > * {display:-moz-box;}

La discussione su BugZilla è già accesa: dal mio punto di vista è decisamente discutibile questa scelta di eliminare funzionalità senza valutarne a pieno le conseguenze.

Pulsanti per la gestione della posta

I pulsanti e i menu per la gestione della posta sono stati eliminati. A mio avviso in questo caso la motivazione è semplice: questi controlli, se non ricordo male presenti solo su Windows, hanno sempre dato problemi, riportando ad esempio un numero di messaggi non letti abbastanza casuale.

Molti utenti si lamentano della mancanza di un pulsante per leggere la posta: la soluzione è utilizzare l’estensione Get Mail.

Installate l’estensione, andate nel menu Visualizza-> Barre degli strumenti-> Personalizza… e trascinate il pulsante GetMail nella barra degli strumenti (ricordatevi di fare clic su Fatto per confermare le modifiche). Al momento l’estensione è solo in inglese, ma non ci vorrà molto prima di averla anche in italiano.

Allo stato attuale il sistema di aggiornamento automatico presente nelle versioni 1.5.0.x non prevede l’installazione di un major update (è il caso del passaggio da Firefox 1.5.0.7 a Firefox 2.0) ma solo di minor update (ad esempio dalla 1.5.0.6 alla 1.5.0.7).

Nelle prossime settimane (giorni?) gli utenti di Firefox 1.5.0.7, la versione corrente del ramo 1.5.x, riceveranno un aggiornamento alla versione 1.5.0.8 (attualmente arrivata alla release candidate): al momento non è ancora chiaro se questa release conterrà il nuovo sistema di aggiornamento automatico in grado di installare anche un major update (in questo post sul forum di MozillaZine lo danno per certo, la 1.5.0.8 RC in inglese che ho testato non in grado di rilevare nessun aggiornamento verso Firefox 2.0).

Gli utenti della versione 1.5.0.x che desiderano utilizzare Firefox 2.0 sono perciò invitati a scaricare la nuova release dal sito di Mozilla Italia oppure da Mozilla.com, disinstallare la versione già presente ed installare Firefox 2.0.

Un paio di note per gli utenti meno esperti:

• la disinstallazione non tocca la cartella del profilo e tutti i vostri preziosi dati; in ogni caso è bene avere una copia di backup di questa cartella
• installare senza disinstallare la versione precedente su un sistema Windows spesso funziona ma NON per questo è una buona idea (non sono quei 10 secondi risparmiati a cambiarvi la giornata)