[Newsletter italiana] Newsletter italiana, n. 28 del 2020

Stefano Dall'Agata essedia1960 a ubuntu-it.org
Mar 15 Set 2020 23:09:59 BST


Benvenuta/o alla newsletter della comunità italiana di Ubuntu! Questo è il numero 28 del 2020, riferito alla settimana che va da lunedì 7 settembre a domenica 13 settembre. Per qualsiasi commento, critica o lode, contattaci attraverso la mailing list ( http://liste.ubuntu-it.org/cgi-bin/mailman/listinfo/facciamo-promozione ) del gruppo promozione ( http://wiki.ubuntu-it.org/GruppoPromozione ).
Per la versione in linea della newsletter, consultare la  seguente pagina ( http://wiki.ubuntu-it.org/NewsletterItaliana/2020.028 ).

= Notizie da Ubuntu =

== Individuazione delle vulnerabilità correlate alla directory tmp con TmpWatcher ==
Uno dei maggiori difetti di sicurezza all'interno delle distribuzioni GNU/Linux deriva da un uso scorretto della directory /tmp  ( https://en.wikipedia.org/wiki/Temporary_folder ). A dimostrazione di quanto appena detto, se si esegue una ricerca sul sito  Common Vulnerabilities and Exposures (CVE) ( https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=tmp ), ciò che troveremo sarà una catasta di vulnerabilità (531 al momento della stesura di questo articolo). Poiché la directory tmp è scrivibile, molti progetti compreso molti sviluppatori non sono consapevoli del fatto che l'uso improprio può portare a divulgazione di informazioni,  escalation dei privilegi ( https://it.wikipedia.org/wiki/Privilege_escalation#:~:text=In%20informatica%2C%20si%20intende%20con,a%20un%20utente%20o%20a%20un ) e vulnerabilità di tipo  denial-of-service ( https://it.wikipedia.org/wiki/Denial_of_service ). Non finisce di certo qui, perché in quanto membri della comunità open source è dovere trovare e segnalare questi tipi di vulnerabilità. Per questo è stato creato  TmpWatcher ( https://linux.die.net/man/8/tmpwatch ) che permette il controllo dell'uso improprio della directory.
A tal proposito, esistono due modi per individuare le vulnerabilità causate dall'uso improprio di /tmp. Il primo sicuramente più laborioso e più dispendioso in termini di tempo, è quello di leggere il codice e determinare se i file temporanei vengono creati in modo sicuro. Mentre il secondo (che è quello che utilizza TmpWatcher) è quello di monitorare la directory /tmp in tempo reale e controllare i file o le directory che hanno i permessi di scrittura. Usare TmpWatcher è molto facile, basterà prima di tutto installare il  pacchetto snap ( https://wiki.ubuntu-it.org/AmministrazioneSistema/InstallareProgrammi/PacchettiSnap ) aprendo il  terminale ( https://wiki.ubuntu-it.org/AmministrazioneSistema/Terminale ) e digitando:
$ sudo snap install tmpwatcher
successivamente per avviarlo basterà scrivere:{{{$ tmpwatcher}}}. A questo punto puoi verificare che tmpwatcher funzioni correttamente creando una directory con i permessi di scrittura:
$ mkdir --mode=0777 /tmp/test_dir
Naturalmente TmpWatcher fornisce anche una serie di opzioni che consentono per esempio di controllare directory diverse da /tmp, o controllare le directory in modo ricorsivo o ancora specificare un file di configurazione ed eseguirlo come demone nel proprio sistema. Per ulteriori informazioni su TmpWatcher, visitare la pagina  GitHub ( https://github.com/mssalvatore/tmpwatcher ) del progetto.
Fonte:  ubuntu.com ( https://ubuntu.com/blog/spotting-tmp-related-vulnerabilities-with-tmpwatcher )

= Notizie dalla comunità internazionale =

== In arrivo le notifiche raggruppate su GNOME Shell ==
A capo dello sviluppo del  beck-end ( https://it.wikipedia.org/wiki/Front-end_e_back-end ) per il supporto del raggruppamento delle notifiche su GNOME è presente la sviluppatrice Mariana Pícolo, che recentemente ha condiviso un affascinante post sul suo blog riguardante i progressi compiuti in questo ambito. Le immagini sono alquanto rappresentative e dipingono uno scenario innovativo per il desktop GNOME. Il raggruppamento delle notifiche, è ciò che vediamo tutt'oggi anche nei nostri smartphone o tablet, e il suo concetto di funzionamento è alquanto semplice: risiede nella possibilità di raggruppare tutte le notifiche per ogni singola applicazione (successivamente espandibile), un aspetto decisamente efficace dato che in questo modo si eviteranno le chilometriche liste di notifiche che determinate applicazioni come social network o di messaggistica sono in grado di produrre. Questo approccio permette di mantenere naturalmente la barra dei messaggi ordinata, pulita e analizzabile dall'utente, poiché nessuna applicazione è in grado di "dominare" l'elenco degli avvisi con le sue notifiche. Inoltre, Mariana spiega che i suoi sforzi si sono concentrati prevalentemente sull'implementazione delle notifiche sull'interfaccia grafica dato che,   GNOME Shell ( https://it.wikipedia.org/wiki/GNOME_Shell ) raggruppa già le notifiche in background, solamente che questi gruppi non sono attualmente riprodotti nel desktop. Purtroppo però, si è ancora lontani dall'assaggiare questa novità su di una release ufficiale, perché sono presenti ancora tanti lavori da svolgere come la gestione della compressione e dell'espansione del gruppo di notifiche, l'aggiunta delle animazioni nell'interfaccia e scovare quei fastidiosissimi bug dell'ultimo momento. Naturalmente la  segnalazione di bug ( https://gitlab.gnome.org/GNOME/gnome-shell/-/issues/2318 ) rimane aperta, quindi se sei interessato puoi visitare la pagina del progetto su GitLab.
Fonte:  omgubuntu.co.uk ( https://www.omgubuntu.co.uk/2020/09/grouped-notifications-gnome-shell-gsoc )

= Notizie dal Mondo =

== Migliora anche tu le prestazioni di Firefox su Linux attivando WebRender ==
Per migliorare in modo semplice e veloce le prestazioni di Firefox su Linux occorre forzare l'abilitazione di WebRender. Ma, prima di addentrarci nell'argomento, dobbiamo capire cos'è, come è stato sviluppato e perché è stato creato.
!WebRender è parte integrante del progetto  Quantum ( https://it.wikipedia.org/wiki/Quantum_(Mozilla) ) e andrà a sostituire il  compositor Gecko ( https://it.wikipedia.org/wiki/Gecko ). Il componente è programmato totalmente in Rust (linguaggio ideato sempre da Mozilla) e secondo sempre le intenzioni della società americana oltre ad ottenere dei vantaggi in termini di stabilità permetterà alle applicazioni web di girare, nel peggiore dei casi, a 60 frame al secondo contro i 15 fps scarsi delle versioni più recenti di Chrome. Questo consentirà di impegnare maggiormente la GPU durante le fasi di rendering delle pagine Web, così da migliorare le prestazioni del browser in modo consistente rispetto alla concorrenza. 
Mozilla ha iniziato ad abilitare WebRender in Firefox per impostazione predefinita prima sui sistemi Windows compatibili a partire da settembre 2018 e da allora la tecnologia è stata lentamente implementata su più sistemi e su più configurazioni, incluso macOS. Si badi però che WebRender non è ancora predefinito sulla maggior parte dei sistemi Linux, indipendentemente dal fatto che si tratti di Wayland o Xorg, per questo se desideri abilitare manualmente WebRender in Firefox su Linux basterà seguire questi semplici passaggi:
 * Aprire una nuova scheda e scrivere about:config e accettare eventuali avvisi;
 * Cercare nella barra di ricerca gfx.webrender.all;
 * Impostare il valore su True per abilitare WebRender o False per disabilitarlo;
Inoltre, occorre far attenzione perché si potrebbero incontrare alcuni problemi durante l'attivazione e il suo utilizzo.
Fonte:  omgubuntu.co.uk ( https://www.omgubuntu.co.uk/2020/07/firefox-enable-webrender-linux )

== L'alternativa di Signal si chiama "Threema" che è appena diventata open source ==
Al giorno d'oggi, esistono varie applicazioni di messaggistica che usufruiscono di un sistema di  crittografia end-to-end (E2E) ( https://it.wikipedia.org/wiki/Crittografia_end-to-end ) e che rispettano la privacy degli utenti. Tra queste applicazioni, che finora ha gareggiato come alternativa a  Signal ( https://signal.org/it/ ) è stata  Threema ( https://threema.ch/en ) che fino a qualche tempo fa era closed source. Ma recentemente, la società ha annunciato questo cambio di rotta, diventando completamente open source e traendo alcuni vantaggi: come il fatto che sarà più facile revisionare la sicurezza dell'applicazione, verificare il codice in modo indipendente e sicuramente guadagnare la fiducia di molti utenti scettici. L'utilizzo di Threema è molto semplice in quanto si assegna all'utente un ID univoco, quindi non c'è bisogno di alcun numero di telefono per funzionare, a differenza di WhatsApp. Ma non deve essere confuso neanche con Telegram, che si rivolge principalmente al consumatore medio mentre Threema è più un prodotto premium che offre una varietà di funzionalità come messaggi vocali e di testo, gruppi, condivisione di file e della posizione. Al momento l'applicazione è disponibile per i sistemi Android, iOS e web.
Fonte:  fossbytes.com ( https://fossbytes.com/single-alternative-threema-goes-open-source-works-without-phone-number/ )

== Trick del mese: Strumento open-source per abilitare Mozilla VPN su Linux ==
Come ben ricorderete (ne abbiamo parlato anche nel numero  2019.029 ( https://wiki.ubuntu-it.org/NewsletterItaliana/2019.029#La_nuova_funzionalit.2BAOA_VPN_per_Firefox_pronta_per_i_test )), Mozilla ha annunciato ufficialmente da tempo il proprio servizio di  VPN ( https://vpn.mozilla.org/ ), con l'unica pecca che, al momento è disponibile solamente per Windows 10, Android e iOS e soprattutto solo in alcune regioni, come Stati Uniti, Regno Unito, Canada, Nuova Zelanda, Singapore e Malesia. Infatti, all'interno del sito è ancora presente la dicitura in inglese "Coming soon: Mac & Linux", questo ha fatto un po' storcere il naso alla comunità che si è vista con le spalle al muro dopo che Mozilla aveva espressamente affermato che in un futuro non molto lontano il servizio sarebbe stato disponibile per tutte le piattaforme.
Sebbene comunque la comunità Firefox sia ancora a lavoro sul rilascio del client ufficiale, fortunatamente, alcuni sviluppatori hanno rilasciato uno strumento di terze parti che adempie perfettamente a questo compito. L'applicazione rinominata MozWire è disponibile su  GitHub ( https://github.com/NilsIrl/MozWire ) come progetto open source e naturalmente, non è rivolto solo agli ambienti Linux, ma anche a molte altre piattaforme come macOS, FreeBSD, OpenBSD e Windows, dove viene offerto per quest'ultimo anche il client Mozilla VPN ufficiale. Detto questo, anche se è possibile trovare tutte le istruzioni per installare ed eseguire MozWire sui propri sistemi, occorre evidenziare che l'applicazione include una serie di funzionalità che non sono disponibili nell'applicazione ufficiale, come il supporto per il multi-hop, che permette al tunnel VPN di attraversare server diversi e a ogni fermata di crittografare nuovamente i dati, fornendo allo stesso tempo un nuovo indirizzo IP. Lo stesso sviluppatore spiega che: "...la nostra app è stata creata appositamente per consentire agli utenti di scegliere la porta remota, rendendo così possibile bypassare i firewall e soprattutto evitare la sorveglianza e il monitoraggio degli utenti.". Inoltre, MozWire supporta anche i client WireGuard nativi disponibili sulle piattaforme su cui è distribuita l'app.
Al momento Mozilla VPN è disponibile con un abbonamento di $ 4,99 al mese e offre supporto per oltre 280 server in più di 30 paesi. Un abbonamento può essere utilizzato per 5 dispositivi e Mozilla promette di non registrare alcuna attività di rete quando i client sono connessi.
Fonte:  news.softpedia.com ( https://news.softpedia.com/news/this-open-source-tool-enables-mozilla-vpn-on-linux-530861.shtml )

= Aggiornamenti e statistiche =

== Aggiornamenti di sicurezza ==
Gli annunci di sicurezza sono consultabili nell'apposita sezione del forum ( http://forum.ubuntu-it.org/viewforum.php?f=64 ).

== Bug riportati ==
 * Aperti: 134124, +136 rispetto alla scorsa settimana.
 * Critici: 347, = rispetto alla scorsa settimana.
 * Nuovi: 66163, +93 rispetto alla scorsa settimana.
È possibile aiutare a migliorare Ubuntu, riportando problemi o malfunzionamenti. Se si desidera collaborare ulteriormente, la Bug Squad ( http://wiki.ubuntu.com/BugSquad ) ha sempre bisogno di una mano.

== Statistiche del gruppo sviluppo ==
Segue la lista dei pacchetti realizzati dal Gruppo Sviluppo della comunità italiana nell'ultima settimana:

=== Mattia Rizzolo ===
 * inkscape 1.0.1-1 ( https://tracker.debian.org/inkscape ), per Debian unstable
Se si vuole contribuire allo sviluppo di Ubuntu correggendo bug, aggiornando i pacchetti nei repository, ecc... il gruppo sviluppo ( http://wiki.ubuntu-it.org/GruppoSviluppo ) è sempre alla ricerca di nuovi volontari.

= Commenti e informazioni =
"Noi siamo ciò che siamo per merito di ciò che siamo tutti"
La tua newsletter preferita è scritta grazie al contributo libero e volontario della comunità ubuntu-it. Per metterti in contatto con il Gruppo Social Media ( http://wiki.ubuntu-it.org/GruppoPromozione/SocialMedia ) o se vuoi contribuire alla redazione di articoli per la Newsletter, puoi scrivere alla mailing list ( http://liste.ubuntu-it.org/cgi-bin/mailman/listinfo/facciamo-promozione ) del gruppo promozione ( http://wiki.ubuntu-it.org/GruppoPromozione ).
In questo numero ha partecipato alla redazione degli articoli:
 *  Daniele De Michele
Ha inoltre collaborato all'edizione:
 *  Stefano Dall’Agata

== Licenza adottata ==
La newsletter italiana di Ubuntu è pubblicata sotto la licenza Creative Commons Attribution-ShareAlike 4.0 ( http://creativecommons.org/licenses/by-sa/4.0/legalcode ).

== Uscite settimanali ==
 * Numero precedente ( http://wiki.ubuntu-it.org/NewsletterItaliana/2020.027 )
 * Numero successivo ( http://wiki.ubuntu-it.org/NewsletterItaliana/2020.029 )
Per ricevere la newsletter direttamente nella tua casella di posta, cambiare le impostazioni di ricezione o annullare la tua iscrizione alla newsletter, consulta questa pagina ( http://liste.ubuntu-it.org/cgi-bin/mailman/listinfo/Newsletter-italiana ).
Per tutti i numeri usciti della newsletter, consulta la nostra edicola ( http://wiki.ubuntu-it.org/NewsletterItaliana/Archivio ).


Maggiori informazioni sulla lista Newsletter-italiana