Opera on Melabit

ChatGPT al bando: come aggirare ancora più facilmente il blocco

Fri, 21 Apr 2023 18:00:00 +0000

Esiste un modo per aggirare il blocco a ChatGPT deciso del Garante per la privacy ancora più semplice del metodo descritto nell’ultimo post, che ci permette di continuare ad usare il nostro solito browser senza dover trafficare con Opera, VPN e compagnia bella (grazie Paoloo per la segnalazione!).

Dobbiamo solo andare sul sito di Poe.com,

decidere come autenticarci (se possibile, io evito di condividere le informazioni dei miei account Google e Apple e preferisco usare l’email),

e premere il tasto “Go”. Poe invia all’indirizzo email indicato un codice di verifica, con il quale possiamo accedere al servizio senza bisogno di creare una password specifica.

La schermata iniziale di Poe mostra nella colonna di sinistra la lista dei sistemi di generazione di testo supportati, fra cui ovviamente c’è ChatGPT, il progenitore GPT-4 e una serie di sistemi di cui sapevo a malapena l’esistenza, mentre la finestra centrale più grande serve per interagire con il servizio scelto.

Come potete vedere qui sotto, ChatGPT funziona alla perfezione all’interno di Poe, senza nemmeno i piccoli problemi di Opera, forse perché non è (ancora) consapevole di essere stato messo al bando in Italia. 🤣

Inutile dire che anche il progenitore GPT-4 non sa niente del bando (benvenuto 2021!), e come lui anche gli altri servizi derivati supportati da Poe.

A proposito, Poe è sviluppato da Quora ed è l’acronimo di “Platform for Open Exploration”. Esiste anche l’app dedicata per iOS, per cui finalmente potrete usare ChatGPT (e simili) sull’iPhone senza bisogno di installare applicazioni strane o poco affidabili.

Davvero ben fatto!

ChatGPT al bando: come aggirare il blocco e vivere felici

Mon, 03 Apr 2023 20:00:00 +0000

Si può commentare una cretinata? Come la decisione del Garante per la privacy, che ha bandito ChatGPT dal territorio nazionale, aprendo contestualmente la solita “istruttoria” che finirà, come sempre, in una gigantesca bolla di sapone?

Secondo il Garante, ChatGPT mette i nostri dati personali a rischio, cosa in parte condivisibile, ma dov’era il Garante negli ultimi 10 anni quando Google, Facebook, Microsoft e compagnia bella hanno fatto strame impunemente dei nostri dati personali?

ChatGPT è più pericolosa, visto che crea un mondo tutto suo in cui è difficile distinguere il vero dal falso? Ma allora Bing è persino peggio, Bing ha letteralmente inventato articoli che non ho mai scritto e che non esistono proprio, ficcandoli però in un contesto plausibile in cui sembrano veri. Ma Bing viene da mamma Microsoft e si sa, la mamma non si tocca, né in Italia né altrove.

E poi, siamo seri, ma davvero qualcuno pensa che bloccare ChatGPT in Italia, nella sola Italia, serva a bloccare questo sistema di (poca) intelligenza artificiale che sta creando scompiglio in tutto il mondo? A me una decisione del genere fa pensare ai magistrati degli anni ‘70, che censuravano certi film ritenuti “scollacciati”, creando un’attesa e un interesse che altrimenti non avrebbero mai avuto.

Ma la decisione del Garante è ancora più puerile perché ci vuole davvero pochissimo per aggirarla, e non servono nemmeno conoscenze tecniche particolari per farlo.

Se provo ad andare sul sito di ChatGPT dal mio solito Firefox (ma vale lo stesso per qualunque altro browser) mi ritrovo con un messaggio che mi informa che l’accesso a ChatGPT dall’Italia è stato disabilitato.

Cha fare? Aspettare tempi migliori? Lasciare perdere il computer e andare a coltivare la terra, cosa che magari di questi tempi darebbe più soddisfazioni? Niente affatto, perché ci basta scaricare Opera, installarlo sul nostro Mac (o su un computer su cui gira Windows o Linux), attivare dalle preferenze dell’applicazione la VPN gratuita integrata,

per tornare ad avere ChatGPT attivo sul nostro computer.

Funziona solo sui sistemi operativi desktop, perché Opera per iOS e, credo, anche la versione per Android non integrano la VPN, ma è già qualcosa.

C’è da dire che ogni volta che cercherete di recuperare una chat precedente vi verrà chiesto se siete davvero degli umani, ma tutto sommato non è più una domanda così peregrina.

E se si chiede a ChatGPT cosa ne pensa della decisione del Garante italiano),

“lui” risponde in modo fumoso, nemmeno fosse un avvocato, però è chiaro che non è d’accordo. E io con lui.

Fastweb e la sindrome da Internet Explorer

Mon, 07 Oct 2019 06:00:00 +0000

Ve la ricordate la dicitura “Ottimizzato per Internet Explorer” presente sulla prima pagina di tanti siti web di qualche anno fa?

Allora si pensava che ci fosse dietro un piano preordinato della Microsoft per imporre l’uso di Windows, l’unico sistema operativo su cui girava Internet Explorer (lo pensavo anch’io). Ma in realtà l’ottimizzazione per il browser Microsoft dipendeva più che altro dalla piatta sciatteria di tanti sviluppatori web.

Windows era il sistema operativo dominante e arrivava con Internet Explorer preinstallato. Di conseguenza la maggior parte dei suoi utenti usava solo quello, invece di cercare delle alternative migliori come Netscape oppure, qualche anno dopo, Firefox, Safari o Opera. Gli sviluppatori si adeguavano, preferendo sviluppare il sito utilizzando i codici HTML non standard di Internet Explorer invece di prendersi la briga di renderlo fruibile da chiunque (si è visto come è finita, chi rispettava gli standard è sopravvissuto e si è sviluppato, gli altri sono finiti nel dimenticatoio).

Oggi Internet Explorer è praticamente defunto, ucciso dalle mille vulnerabilità che permettevano a qualunque attaccante di prendere il controllo del PC su cui girava il browser (l’ultima è di qualche giorno fa), ma la cattiva pratica di ottimizzare un sito per un determinato browser non è scomparsa, si è solo trasferita a quello che è il browser dominante del momento, Google Chrome.

Da qualche giorno anche casa mia è collegata alla fibra ottica. Ai tecnici di Fastweb sono bastate meno di due ore per cablare l’appartamento e configurare tutto, e la maggior parte del tempo se n’è andata in attesa che la centrale rispondesse alle chiamate e completasse da remoto il passaggio del mio contratto da xDSL a fibra ottica.

A quel punto toccava a me: per prima cosa ho provato a collegarmi al modem/router fornito con il nuovo impianto usando il SSID e la password di default. Funzionava tutto perfettamente e in effetti la navigazione sembrava decisamente più veloce di prima.

Dovevo però fare in modo che il passaggio dal vecchio al nuovo router fosse il più possibile trasparente. Niente di difficile, bastava solo accedere al router tramite la sua interfaccia web e modificare (almeno) il nome della rete (SSID) e la password di sicurezza della connessione WiFi, rendendole identiche a quelli del router precedente.¹

Il router fornito da Fastweb per il mio impianto FFTH (Fiber To The Home) è un FASTGate GPON prodotto da Technicolor (modello MediaAccess FGA2130FWB). Non è un gran che, proprio come il FASTGate per linea xDSL che avevo prima, ma con un impianto FTTH c’è poco da fare, sembra che in questo momento si sia praticamente obbligati ad usare il router fornito da Fastweb.

Provo quindi ad accedere all’interfaccia web del router all’indirizzo 192.168.1.254 con Firefox, il browser che uso tutti i giorni, come ero abituato a fare con il FASTGate precedente. Il risultato lo vedete qui sotto.

Strano. La rete funziona, posso navigare sul web senza problemi, perché non dovrei riuscire a collegarmi al router?

La prima cosa che mi viene in mente è che il produttore abbia deciso di uniformarsi agli indirizzi di configurazione usati dagli altri router, che in genere sono 192.168.0.1 oppure 192.168.1.1. Li provo entrambi ma il router non risponde, non dà neanche uno straccio di messaggio di errore, è evidente che non sono gli indirizzi giusti.

Guardo sulla scatola, ci sono il SSID e la password di default ma manca l’indirizzo da usare per la configurazione. All’interno non c’è nessun manuale, nemmeno un link da cui scaricarlo, ci sono solo delle istruzioni stampate sul coperchio che consigliano di collegarsi al modem con l’app MyFastweb (per Android o per iOS) oppure usando l’indirizzo http://myfastgate. Per qualche motivo non riesco ad installare l’app, e comunque preferirei usare il Mac, il mouse e la tastiera mi permettono di lavorare molto più comodamente che con il telefono. Provo allora ad inserire http://myfastgate nella barra degli indirizzi di Firefox ma non c’è niente da fare, per Firefox anche http://myfastgate non esiste.

Sempre più strano. Per una volta la rete non aiuta, non riesco a trovare nessuna informazione utile, sembra che sia l’unico ad avere questo problema.

Ormai non so più cosa fare tranne che coprirmi il capo di cenere (virtuale) e chiamare l’assistenza di Fastweb, ma ho già Google Chrome aperto e decido di provarlo. Bingo! Funziona.

Il problema non è il router e io non sono proprio incapace. Sono solo incappato nell’ennesimo esempio di “sindrome da Internet Explorer”, di un sito (o meglio, di una applicazione) web ottimizzata solo per un determinato browser, ieri Internet Explorer, oggi Google Chrome.²

Mi serve una conferma della teoria. Provo Opera, che usa lo stesso motore di rendering di Chrome, e anche Opera funziona senza problemi.

Provo Safari, che invece usa WebKit, e tutto quello che ottengo è uno schermo desolatamente vuoto, senza nemmeno lo strano messaggio di errore di Firefox.

A questo punto apro di nuovo Chrome e configuro il mio nuovo router senza problemi.

Il disappunto comunque rimane. Bisogna ammettere che qualcosa è migliorato rispetto ai tempi dell’odioso Internet Explorer, almeno Google Chrome non costringe ad usare Windows ma funziona su qualunque sistema operativo (non per bontà di Google, ma solo a causa dell’enorme diffusione dei sistemi operativi mobili che con Windows non hanno niente a che fare).

Non si capisce però che senso abbia limitare solo a certi browser l’accesso ad uno strumento di base come un router, tanto più che è evidente che non ci sono ragioni tecniche alla base di questa presunta ottimizzazione (chi vuole può leggere i dettagli nell’Appendice).

Probabilmente dipende solo dalla superficialità di chi ha sviluppato l’applicazione di gestione del FASTGate GPON fornito da Fastweb. Google Chrome è il browser dominante, viene usato dal 70% degli utenti di sistemi operativi desktop, inutile sprecare tempo e risorse supportando anche la minoranza che preferisce usare altri strumenti di navigazione. Alla faccia del web per tutti.

Appendice

Dopo aver finito di configurare il FASTGate GPON con Chrome ho provato di nuovo ad accedere al router con Firefox e Safari. Niente da fare, sembrava non ci fosse verso di usare questi due browser. Allora ho provato a fare una cosa semplicissima: spoofare lo User Agent di Firefox (ho già spiegato qui come si fa), facendo in modo che la sua richiesta di accesso al router sembrasse provenire da Chrome o da Opera. Sono bastati pochi tentativi per trovare una combinazione che permettesse di accedere all’interfaccia web del router anche da Firefox.

Firefox quindi è perfettamente in grado di configurare il router di Fastweb, proprio come Chrome, e alla base del blocco iniziale non c’è nessun motivo tecnico, nessuna caratteristica unica ed insostituibile del browser di Google. Invece, per qualche motivo che mi sfugge, con Safari il trucco dello User Agent non funziona.

Ancora più strano è che, dopo aver ottenuto per la prima volta l’accesso al router con Firefox fingendo di essere Chrome, posso continuare tranquillamente ad usare Firefox anche se torno ad impostare il suo normale User Agent. E posso continuare a farlo anche da un altro Mac, nel quale lo User Agent di Firefox è sempre rimasto al valore di default. Non ho la minima idea di cosa sia successo, forse usare Firefox ha sbloccato qualcosa nella configurazione del router.

Per provare l’ipotesi dovrei resettare il FASTGate GPON alla configurazione di fabbrica (e non è nemmeno detto che sia sufficiente), ma non ha molto senso perdere tutto il lavoro fatto per soddisfare una semplice curiosità. Però, se qualcuno ha lo stesso router e vuole provare ad accedervi con Firefox prima e dopo aver cambiato lo User Agent, può condividere i suoi risultati nei commenti.

In realtà preferisco anche assegnare tramite il servizio DHCP degli indirizzi IP univoci ai vari dispositivi della casa. In questo modo i dispositivi nuovi o sconosciuti si notano immediatamente. ↩︎
La differenza fra un sito e una applicazione web ormai è molto sfumata. ↩︎

Apple o non Apple, questo è un problema

Tue, 25 Apr 2017 06:00:00 +0000

L’abbiamo letto e sentito (e magari anche detto) mille volte: per evitare che ci vengano carpite in modo fraudolento informazioni personali riservate – login e password di servizi importanti, dati della carta di credito, informazioni bancarie – è fondamentale controllare sempre che l’indirizzo (URL) del sito riportato nella barra degli indirizzi del browser sia quello legittimo.

Infatti, anche se per un qualunque malintenzionato è piuttosto facile creare un sito fittizio identico a quello legittimo, quello che non può riprodurre è proprio l’URL del sito, che è attribuito in modo univoco ed è gestito da un singolo database distribuito in tutto il mondo.

Un malintenzionato potrà quindi anche ricreare in modo perfetto l’aspetto del sito di PayPal, http://paypal.com, ma dovrà per forza di cose usare un URL leggermente diverso, magari http://pay.pal.com, http://mypaypal.com, o simili, sperando che il malcapitato che ci finisce non se ne accorga. Basta quindi un po’ di attenzione per evitare problemi.

Almeno finora.

Provate ad inserire nella barra degli indirizzi del vostro browser questo URL apparentemente inoffensivo, https://www.xn–80ak6aa92e.com.

Se usare Firefox, Opera o Chrome (fino alla versione 57.x), quando premete Invio siete portati ad un sito web il cui URL sembra essersi trasformato quasi magicamente in quello di Apple.

A questo punto, basterebbe riprodurre l’aspetto del sito di Apple per rendere il sito finto praticamente indistinguibile da quello legittimo, con gravissimi pericoli per la sicurezza dei malcapitati che dovessero finirvi.

Per fortuna, Safari non è soggetto a questo problema e mostra sempre nella barra degli indirizzi l’URL originale. Anche i browser Microsoft, Edge e il venerabile Internet Explorer, sono immuni, a meno di non usare il Russo come lingua di sistema.

Il bug è legato all’uso dei caratteri unicode per gli indirizzi web, o meglio alla rappresentazione dei caratteri unicode tramite i soli caratteri ASCII (detta rappresentazione punycode).

L’URL https://www.xn–80ak6aa92e.com/ rappresenta delle lettere dell’alfabeto cirillico che sembrano identiche (o quasi) a quelle dell’alfabeto latino, ma che rimandano ad indirizzi web completamente diversi da quelli originali.¹ La stessa cosa si può fare anche con altri alfabeti che hanno lettere simili alle nostre, fra cui il greco e l’armeno (anche se mi sembra per quest’ultimo le letetre simili siano veramente poche).

I dettagli tecnici del bug si possono leggere qui.

Quello che mi preme di più è spiegare come proteggersi. Perché è chiaro che inizieranno prestissimo degli attacchi basati su questa debolezza della codifica unicode, attacchi molto più pericolosi e difficili da smascherare di quelli che abbiamo dovuto subire finora.

Come già detto, Safari, Edge ed Internet Explorer non sono a rischio. Per chi usa Chrome, basta aggiornare alla versione 58.x appena rilasciata. Per Opera non è chiaro cosa succederà, ma comunque Opera ha una quota di utenti relativamente ridotta rispetto agli altri due browser a rischio.

Il vero problema è Firefox. Perché gli sviluppatori di Firefox hanno annunciato che cambiare il comportamento di default del browser creerebbe problemi agli “utenti le cui lingue non usano l’alfabeto latino” e che invece “loro vogliono che tutte le lingue e gli alfabeti siano trattati allo stesso modo su internet”.

Un intento nobile, ma anche pericoloso. Per fortuna c’è la possibilità di cambiare il comportamento di default di Firefox, accedendo alle pzioni avanzate di configurazione del browser.

Per farlo, basta scrivere about:config nella barra degli indirizzi del browser e premere Invio. Comparirà una scritta bella grande che ci informa che l’operazione può invalidare la garanzia, compromettendo la stabilità, la sicurezza e le prestazioni del browser. Decisamente eccessivo. Non preoccupatevi e cliccate senza paura sul tasto che vi fa accettare il rischio.

Inserite ora la stringa punycode nella barra di ricerca in alto. Comparirà un unico parametro di configurazione, network.IDN_show_punycode, il cui valore di default è false. Fate doppio click su false, trasformandolo in true, e chiudete la pagina di configurazione. Da ora in poi anche Firefox si comporterà come Safari e sarete al sicuro da possibili attacchi di questo tipo.

Per ulteriori approfondimenti, consiglio di leggere prima di tutto l’articolo originale che descrive il problema, Phishing with Unicode Domains di Xudong Zheng. Molto interessante e dettagliato anche This Phishing Attack is Almost Impossible to Detect On Chrome, Firefox and Opera di Mohit Kumar, mentre Chrome And Firefox Adding Protection Against This Nasty Phishing Trick e Chrome and Firefox Phishing Attack Uses Domains Identical to Known Safe Sites, riportano altri due esempi di URL a rischio.

Se si guarda attentamente, la ӏ di apple visibile nella barra degli indirizzi non è proprio una l ma una lettera dell’alfabeto cirillico). ↩︎