Il peggio è passato, tanti i post pubblicati (date una occhiata qui), chi più e chi meno tempestivamente “sul pezzo“. Twitter ha subito nella giornata di ieri un attacco XSS, forse meglio conosciuto come Cross-site scripting.

In breve, ecco di cosa si tratta:

Il Cross-site scripting (XSS) è una vulnerabilità che affligge siti web dinamici che impiegano un insufficiente controllo dell’input (parametri di richieste HTTP GET o contenuto di richieste HTTP POST). Un XSS permette ad un attaccante di inserire codice al fine di modificare il contenuto della pagina web visitata. In questo modo si potranno sottrarre dati sensibili presenti nel browser degli utenti che visiteranno successivamente quella pagina. Gli attacchi alle vulnerabilità XSS hanno effetti dirompenti per i siti con un elevato numero di utenti, dato che è sufficiente una sola compromissione per colpire chiunque visiti la stessa pagina.

L’attacco è partito alle 2.54 ora del pacifico (PDT), in Italia ho visto spuntar fuori il primo thread su Friendfeed circa 24 ore fa grazie a Massimo Cavazzini. L’ultima mania per gente famosa e comune messo in ginocchio da un codice javascript tutto sommato semplice (volutamente messo su più righe qui di seguito):

http://t.co/@%22onmouseover=%22document.getElementById(%27status%27)

.value=%27RT%20Matsta%27;$(%27.status-update-form%27).submit();
%22class=%22modal-overlay%22/

All’evento “onMouseOver” (semplice passaggio del mouse) sarebbe partito un retweet dell’ultimo messaggio dell’utente “Matsta“ (analizzato nell’esempio), innescando così un meccanismo bloccato da Twitter solo alle 7 ora del pacifico (una discreta manciata di ore dopo).

Secondo il blog ufficiale del servizio si tratta di un vecchio bug, già patchato ma tornato “disponibile” in seguito ad un aggiornamento di piattaforma che non ha nulla a che fare con il nuovo Twitter che sta per arrivare:

We discovered and patched this issue last month. However, a recent site update (unrelated to new Twitter) unknowingly resurfaced it.

Durante l’attacco anche Graham Cluley (Sophos) si è mosso realizzando un articolo che documentasse l’accaduto con immagini e casistiche varie.

Chiunque abbia utilizzato nel frattempo il sito “mobile” di Twitter non ha riscontrato alcun problema, lo stesso vale per chiunque abbia utilizzato un client di terze parti. Il consiglio ovviamente è quello di appoggiarsi a questi client quotidianamente (siete già riusciti ad utilizzare almeno una volta Twimbow?) o -se proprio non potete farne a meno- utilizzare Firefox provvisto di NoScript di Giorgio Maone (ne ho parlato anche in vecchi miei articoli).

Ho pubblicato l’articolo originale in Home Page su Mozilla Italia:

mozillaitalia.it/home/2010/09/08/firefox-4-beta-5-html5-direct2d-e-hsts

Firefox 4 tocca quota 5. L’ultima versione beta rilasciata rivoluziona l’integrazione dei contenuti multimediali sul Web: le nuove API Audio rendono accessibili i dati audio non elaborati contenuti negli elementi HTML5 <video> e <audio>, permettendo agli sviluppatori di leggere e scrivere queste informazioni in modo semplice utilizzando JavaScript.

Altra novità succulenta è l’accelerazione Direct2D su Windows (Vista e 7) resa possibile grazie all’utilizzo delle DirectX 10 su hardware compatibile, che vi regalerà un’esperienza di navigazione più veloce senza impiegare le risorse della vostra macchina più del dovuto, come mostrato nel video disponibile nella pagina riepilogativa della release.

Per concludere, Firefox 4 beta 5 include inoltre HSTS, protocollo attraverso il quale i siti possono fare in modo che il browser stabilisca automaticamente una connessione sicura ai propri server, impedendo quindi intercettazioni di dati sensibili che potrebbero risultare a rischio durante la quotidiana navigazione. Ai più curiosi proponiamo la lettura di questo approfondimento pubblicato una manciata di giorni fa (in inglese).

Prima di chiudere vi ricordiamo che

Maggiori saranno i feedback, migliore sarà la versione finale del browser.

Come sempre Firefox 4 beta include il componente aggiuntivo Test Pilot, appositamente realizzato per raccogliere le opinioni degli utilizzatori, salvate senza richiedere alcun dato personale sull’utente che potrà quindi restare completamente anonimo. Mozilla Italia mette inoltre a disposizione un apposito forum dedicato ai suoi utenti attuali e futuri, che potranno dire la loro riguardo le versioni beta di Firefox 4, correte ad utilizzarlo!

Coloro che già utilizzano Firefox 4 beta riceveranno automaticamente questo aggiornamento. Restate sintonizzati per i futuri rilasci previsti per le prossime settimane!

E Google lo festeggia in grande stile, permettendo ai suoi utilizzatori di perdere (io direi investire, ndr) qualche minuto di tempo giocando a quell’arcade che ha fatto la storia delle sale giochi di 30 anni fa:

Google festeggia i 30 anni di Pac-Man - clicca sull'immagine per ingrandirla

Niente Flash, semplice HTML e Javascript (date una occhiata a questo thread su Friendfeed) per ottenere velocità di esecuzione e leggerezza, nonché compatibilità con ogni browser, piccola soddisfazione riuscire a giocare anche da Safari su iPhone :-)

Pac-Man a marchio Google anche su iPhone

Per poter cominciare a giocare sarà sufficiente selezionare il pulsante “Insert Coin” e muovere Pac-Man attraverso le frecce direzionali da tastiera o grazie al mouse. Per poter giocare in due (si, in due!) basterà schiacciare nuovamente il pulsante “Insert Coin” e attendere l’arrivo della consorte (Ms. Pac-Man) che sarà possibile controllare con i tasti W-A-S-D (rispettivamente: sopra, sinistra, sotto, destra).

Se volete invece saperne di più sui 30 anni di Pac-Man, questa è la ricerca che Google vi proporrà subito dopo il Game Over :-)

google.it/#q=30°+anniversario+di+PAC-MAN

Buon divertimento! ;-)

P.S. Ci si vede domani al WordCamp!

Avete realizzato un template per WordPress e prevedete di inserire l’ultimo status di Twitter nella sidebar o nel footer? Volete inserirlo in un widget o in un post qualsiasi? Sapete come farlo? No?

Twitter concede la possibilità di recuperare l’ultimo twit (e non solo, volendo) partendo da un semplicissimo codice Javascript. Integrarlo all’interno di un widget, di una barra laterale o in qualunque altra posizione voi vogliate è molto semplice, l’unico limite è la fantasia e lo spazio a vostra disposizione :-)

Prima di cominciare -nonostante stavolta non andremo a toccare codice delicato- è d’obbligo inserire il solito disclaimer che vi invito comunque a seguire per non riscontrare alcun problema con la vostra installazione WordPress.

ATTENZIONE: Prima di eseguire qualsiasi modifica ai vostri file e/o dispositivi siete pregati di effettuare un backup di questi. Solo così sarete capaci di tornare indietro riparando ad eventuali errori di distrazione. L’articolo e l’autore non possono essere ritenuti responsabili di alcun danno subito dalla vostra strumentazione. Buon lavoro.

Fiato alle trombe quindi, si parte anche stavolta :)

# il codice javascript

Il codice Javascript da utilizzare per richiamare i vostri ultimi cinguettii è abbastanza semplice e necessita di un solo parametro che andrà recuperato a mano: il progressivo della registrazione su Twitter.com:

<script type="text/javascript" src="http://twitter.com/javascripts/blogger.js">
 </script>
 <script type="text/javascript" src="http://twitter.com/statuses/user_timeline/800991.json?callback=twitterCallback2&count=1">
 </script

Il tutto è facilmente recuperabile semplicemente andando a visualizzare il puntamento del proprio feed RSS nella pagina twitter.com/vostroutente, vedi immagine:

Twitter: User Timeline

Nel mio caso sarà quindi: 800991.

Il codice di esempio che vi ho incollato poco sopra richiama solo l’ultimo status salvato su Twitter. Ritoccando quel “count=1” e portando il numero alla cifra desiderata si potranno ottenere gli status fino al raggiungimento della cifra stessa. Il consiglio è quello di non esagerare con le richieste, rallenteranno il caricamento della pagina ;-)

# posizionamento del codice

E’ possibile incollare il codice ovunque si voglia. Il Javascript genera semplice testo includendo inoltre le informazioni di pubblicazione su Twitter (data / ora). Piccolo accortezza prima di procedere: il testo generato è nel formato “Elenco puntato“, sarebbe quindi bene forzare (dal foglio di stile) l’eliminazione dell’elenco, come da esempio:

list-style-type: none;

A voi il resto, attraverso il CSS si possono ottenere davvero degli ottimi risultati.

Prima di concludere vi lascio un collegamento, vi riporterà al Wiki di Twitter dove sono raccolte API e utilizzi riguardanti la User Timeline:

apiwiki.twitter.com/Twitter-REST-API-Method%3A-statuses-user_timeline

Buon lavoro!

Basato sull’originale di webdesigndev.

Pubblico originariamente sulla home di Mozilla Italia e chiaramente riporto anche qui in via ufficiale, benvenuto 3.5!

Dopo cinque beta e tre release candidate è finalmente disponibile Firefox 3.5. Le novità introdotte in questa versione permetteranno di apprezzare al meglio l’esperienza di navigazione quotidiana sul Web, garantendo maggiore sicurezza, stabilità e velocità.

Firefox 3.5 (note di versione) si basa sulla piattaforma Gecko 1.9.1, frutto del lavoro di sviluppo dell’ultimo anno, e presenta molti cambiamenti rispetto alla versione precedente, introducendo il supporto a nuove tecnologie web e migliorando prestazioni e semplicità d’uso. Ecco alcune delle caratteristiche più interessanti della nuova versione:

• Disponibile in oltre 70 lingue
• Supporto agli elementi <video> e <audio> di HTML5, incluso il supporto nativo ai video con codifica Ogg Theora e all’audio con codifica Vorbis (fai un test qui).
• Strumenti più funzionali per la gestione dei dati personali, inclusa una modalità di Navigazione anonima.
• Migliori prestazioni delle applicazioni web grazie al nuovo motore JavaScript TraceMonkey.
• Possibilità di comunicare la propria posizione a un sito web sfruttando la navigazione geolocalizzata (fai un test qui).
• Supporto nativo a JSON e ai thread web worker.
• Miglioramenti al motore di rendering Gecko, incluso un sistema di “analisi speculativa” per una visualizzazione più rapida dei contenuti.
• Supporto a nuove tecnologie web quali: font scaricabili, media query, nuove proprietà e trasformazioni CSS, query selector JavaScript, local storage HTML5 e supporto alla memorizzazione dei dati in modalità non in linea, testo con i <canvas>, profili ICC e trasformazioni SVG.

Gli sviluppatori possono trovare informazioni su tutti i cambiamenti e le nuove funzioni all’interno del Mozilla Developer Center.

È possibile scaricare Firefox 3.5 direttamente dalla pagina download del nostro sito o, nei prossimi giorni, utilizzando la funzione di ricerca aggiornamenti integrata in Firefox 3.0.x.

Per ulteriori informazioni sulle novità e sulle caratteristiche della nuova versione di Firefox, è inoltre disponibile per il download la versione italiana della Guida all’uso di Firefox 3.5 in formato PDF.

Per concludere ricordiamo che per il ramo 2.0. non vengono più rilasciati aggiornamenti di sicurezza e stabilità, mentre per il ramo 3.0.x non saranno più rilasciati aggiornamenti di sicurezza a partire dal gennaio 2010. Per questo motivo consigliamo di effettuare quanto prima il passaggio alla versione 3.5 (dopo aver verificato i requisiti di sistema).

Per le richieste di supporto gli utenti possono utilizzare l’apposita sezione del nostro forum.