SEO per ecommerce: Strategie e tecniche di ottimizzazione

Martedì 11/04/2017 19:02

Dal momento che lo scopo intrinseco di un e-commerce risiede nell'attività di vendita online, la sua visibilità su Google è tutto. Se l’obiettivo, dunque, è quello di generare valore economico, creando una lunga e fruttuosa relazione virtuale con la clientela alla quale intendiamo rivolgerci, diventa fondamentale o meglio ancora essenziale, farci trovare e rispondere alla query generata dall'utente con il nostro risultato di ricerca.

Perciò, se vogliamo evitare che il nostro negozio online si trasformi in una delle tantissime cattedrali nel deserto che purtroppo popolano le seconde, terze e quarte pagine di Google, dobbiamo fare appello ad una strategia SEO friendly che ci permetta di migliorare la presenza online, rendendo il nostro store virtuale appetibile agli occhi degli utenti.

Infatti, non è utopico pensare di poter raggiungere posizionamenti migliori di quelli dei main competitor come Amazon o eBay, tuttavia è necessario fare una precisazione che potrebbe sembrare banale ma non lo è: trovarsi di fronte ad un progetto e-commerce è completamente diverso rispetto a un portale editoriale o a un sito corporate.

Per questo motivo, è importante comprendere le differenze e le peculiarità dell’ottimizzazione per i motori di ricerca di siti web che hanno come finalità principale la vendita online di prodotti o servizi.

 

Ne abbiamo parlato con un’esperta in materia: Daniela Caracciolo, SEO Specialist di Pro Web Consulting. L’agenzia sarà presente al prossimo NetComm Forum (Milano, 10-11 Maggio), fiera nazionale dedicata proprio all'e-commerce.

 

I 5 errori più comuni sui portali di e-shopping

Sebbene possano sembrare scontate, le attività più complicate e gli errori più comuni sono i seguenti:

  1. Mancata ottimizzazione del crawl budget;
  2. Tempi di caricamento delle pagine del sito troppo lunghi;
  3. Assenza o errata implementazione del tag rel="canonical" (molto importante per la gestione dei contenuti simili e l’eliminazione dei contenuti duplicati);
  4. Cattiva indicizzazione (da non confondere con il posizionamento) di tutte le pagine del sito;
  5. Versione mobile assente.

 

#1 Crawl Budget

Il crawl budget (come spiegato abbondantemente in questo articolo nel blog di Pro Web Consulting) non è altro che la quantità di risorse che il motore di ricerca destina alla scansione del nostro sito web.

Gli e-commerce hanno la peculiarità di utilizzare in sidebar una navigazione tramite filtri che spesso generano un’infinità di URL in maniera automatica.

La sfida, in questi casi, consiste nel comprendere quali siano le URL “utili” (ovvero ricercate o ricercabili dagli utenti) e bloccare tramite robots.txt quelle “inutili” (dal punto di vista SEO). Così facendo, i crawler trascorreranno tempo e utilizzeranno risorse per scaricare solamente le pagine importanti.

 

#2 Velocità di caricamento delle pagine

Ogni secondo è prezioso: molti studi autorevoli basati sulle dinamiche che inducono l’utente ad abbandonare il carrello in fase di check-out dimostrano che il tempo di caricamento della pagina risulta essere uno dei fattori che maggiormente contribuiscono all'abbandono. Nel grafico sottostante è ben chiaro come il tempo influisca sul comportamento dell’utente in maniera direttamente proporzionale:

Più alti saranno i tempi di caricamento e maggiore sarà la percentuale di abbandono. Pertanto uno dei punti fondamentali che analizzo e che consiglio di ottimizzare ai miei clienti e-commerce riguarda proprio la velocità di apertura delle pagine: per fare ciò mi affido principalmente allo strumento di Google, ovvero PageSpeed Insights. Si tratta di un tool gratuito che offre un’analisi delle performance delle pagine del sito, dando come output un punteggio relativo alla qualità della navigazione sia da desktop che da dispositivo mobile, fornendo soluzioni smart per migliorarne le prestazioni.

 

#3 Canonicalizzazione

Molto spesso gli e-commerce utilizzano le schede dei prodotti in vendita facendo un “copia e incolla” di quelle presenti sul sito del fornitore o content provider senza esclusiva.

A volte capita di riscontrare duplicazioni tra pagine diverse create per uno stesso prodotto, mi riferisco ad esempio a contenuti identici che differiscono per una sola variabile (es. diverso materiale, colore, taglia, quantità).

Se volessimo vendere un Hard Disk SSD nero ed il prodotto è disponibile nella versione da 250gb e da 500gb, sarebbe meglio creare due pagine differenti o una sola pagina per il singolo prodotto?

Non esiste una risposta universalmente valida, in entrambi i casi si può lavorare bene, l’importante è cercare di differenziare al massimo le due pagine rendendole uniche e di valore per gli utenti che lo visiteranno.

In presenza di contenuti duplicati, quasi sempre si posiziona la pagina con più autorevolezza (agli occhi di Google).

 

#4 Indicizzazione

Un altro elemento di distinguo dei siti di commercio elettronico è la complessa struttura dell’architettura delle informazioni.

Le possibilità di classificazione, la quantità di prodotti, il numero di pagine successive alla prima, le modalità di riordino delle categorie (per prezzo, popolarità, rilevanza), generano, in maniera fisiologica, pagine difficilmente raggiungibili dai bot.

Per questo motivo bisogna essere molto bravi a realizzare un sistema di pagine interconnesso che faciliti la crawlability.

 

#5 Ottimizzazione mobile

L’utente è sempre più mobile oriented e spesso questa tendenza viene sottovalutata dai webmaster che non prendono in considerazione lo sviluppo di una versione ottimizzata per i “dispositivi portatili”. D’altronde Google, che ha a cuore gli utenti che quotidianamente effettuano milioni di ricerche da questi device, qualche tempo fa (aprile 2015) ha lanciato un nuovo algoritmo, Mobilegeddon per l’appunto, che favorisce il posizionamento di siti mobile friendly per le ricerche su Google effettuate da smartphone e tablet. A tal proposito il consiglio è di effettuare un test su questo strumento di Google, che analizza se la tua pagina è ottimizzata per il mobile.  

 

Questi sono solo alcuni accorgimenti “macro” per migliorare il ranking del vostro sito: si tratta comunque di indicazioni che possono sortire enormi benefici se prese con la giusta considerazione e implementate con attenzione.

Articolo a cura di Pro Web Consulting

 


Hai bisogno anche tu di promuovere la tua azienda?

Per avere maggiori informazioni contattaci via mail all'indirizzo sara.duranti@seedble.com o su info@spremutedigitali.com


 



Fonte: www.spremutedigitali.com
Nextcloud Talk: arriva l’alternativa open source a Microsoft Teams

Nextcloud Talk: arriva l’alternativa open source a Microsoft Teams

Martedì 03/12/2024 14:30

Tra i più strenui sostenitori della separazione tra Windows e Microsoft Teams c’è Nextcloud, che nel 2021 presentò le sue lamentele (insieme ad altre 30 aziende) di fronte all’Antitrust europea. Adesso Nextcloud passa al contrattacco svelando pubblicamente un’alternativa aperta a Teams. Si chiama Nextcloud Talk ed è una soluzione integrata che consolida tutte le funzioni essenziali per una collaborazione efficiente in un’unica applicazione, garantendo al contempo il pieno controllo e l’indipendenza dei dati.

Nextcloud Talk: prima e unica piattaforma per il lavoro in team conforme con il GDPR

I vertici di Nextcloud osservano che il nuovo Talk risponde alla crescente domanda di una piattaforma di collaborazione conforme con il
Regolamento generale sulla protezione dei dati (GDPR), progettata sin dall’inizio per rispettare la privacy degli utenti e preservare la riservatezza dei dati.

Le aziende hanno bisogno di strumenti di collaborazione potenti, ma la maggior parte delle soluzioni non è conforme al GDPR e costringe le organizzazioni a dipendere dai giganti tecnologici statunitensi”, afferma Frank Karlitschek, CEO di Nextcloud. “Noi affrontiamo i limiti delle altre piattaforme offrendo una vera sovranità digitale e una completa trasparenza. I nostri strumenti consentono alle organizzazioni di gestire la comunicazione con un controllo completo sui propri dati, in modo indipendente e sicuro”.

Nextcloud Talk, e in generale la suite Nextcloud, guardano infatti al concetto di sovranità digitale: imprese, professionisti e utenti hanno sempre pieno controllo sui loro dati e possono gestirli come desiderano, anche con una soluzione self-hosted o con il cloud privato. Il tutto senza dipendere in alcun modo dal fornitore (nessun vendor lock-in).

Principali caratteristiche

L’ultima versione di Nextcloud Talk, battezzata “Paris”, unisce chat, videochiamate e webinar all’interno di un’unica applicazione, supportata da funzionalità avanzate basate sull’intelligenza artificiale e progettate per semplificare i flussi di lavoro quotidiani.

L’integrazione con il browser e le notifiche migliorate, consentono di comunicare direttamente e di partecipare senza problemi alle chiamate, sempre a portata di mano.

Nextcloud Talk provvede anche a generare riassunti delle videoconferenze con l’intelligenza artificiale oltre a produrre elenchi delle cose da fare sulla base delle conversazioni in essere e dei loro sviluppi.

La lavagna interattiva facilita il brainstorming collaborativo e lo sviluppo di idee in tempo reale, rivelandosi eccellente durante i workshop nonché per creare abbozzi di progetto durante le chiamate.

Gli utenti di Nextcloud Talk hanno inoltre la possibilità di collaborare sui documenti anche durante le chat e le videochiamate.

Nextcloud Talk è implementabile anche in ambienti airgap: cosa significa

Gli sviluppatori di Nextcloud spiegano che Talk può essere configurato e utilizzato anche in tutti quei contesti in cui il sistema o la rete non risultano connessi a Internet o ad altre reti esterne per motivi di sicurezza o isolamento operativo.

Gli ambienti airgap sono comuni in ambiti come infrastrutture critiche, difesa o settori ad alta sicurezza: l’accesso esterno è volutamente limitato per proteggere i dati e prevenire attacchi informatici.

Le abilità di Nextcloud Talk lo rendono quindi particolarmente adatto le aziende che necessitano di soluzioni di messaggistica e collaborazione mantenendo il massimo controllo sui dati.

Modalità d’installazione

Con l’applicazione desktop Nextcloud Talk, i team possono lavorare in modo sicuro e produttivo da qualsiasi luogo in un ambiente che combina controllo e flessibilità. La nuova applicazione desktop offre ora una soluzione più flessibile e personalizzabile, ideale per installazioni on-premises o per l’hosting da parte di provider cloud locali, garantendo alle aziende la piena sovranità dei dati.

L’architettura open source consente alle aziende di personalizzare Talk per soddisfare esigenze specifiche e integrarlo nei sistemi esistenti, senza dipendere da fornitori che non condividono alcun dettaglio sulle loro risorse.



Fonte: https:
GitHub Copilot gratuito da oggi: come usarlo con Visual Studio Code

GitHub Copilot gratuito da oggi: come usarlo con Visual Studio Code

Giovedì 19/12/2024 11:00

L’intelligenza artificiale generativa e i chatbot sono diventati preziosi alleati nello sviluppo software. Il passaggio successivo consiste nell’integrazione dei modelli AI all’interno degli ambienti di sviluppo (IDE, integrated development environment): in molti si sono già mossi in tal senso. Sia in Visual Studio che in Visual Studio Code erano già disponibili molteplici strumenti software per ottenere suggerimenti durante la programmazione; completamento, generazione, correzione e ottimizzazione del codice. Una delle soluzioni che per prima ha introdotto importanti innovazioni e offerto un valido aiuto agli sviluppatori, è stata GitHub Copilot.

GitHub Copilot accessibile gratis per tutti

Siamo ormai prossimi al Natale ed è tempo di regali anche per GitHub, la nota piattaforma per l’hosting di progetti software di proprietà di Microsoft.

Da oggi, infatti, l’accesso a GitHub Copilot diventa gratuito per tutti gli interessati. Lo era già per studenti, insegnanti e manutentori di software open source (che ancora oggi hanno diritto a beneficiare di Copilot Pro senza limiti). D’ora in avanti, tutti gli interessati possono approfittare del piano GitHub Copilot Free. I limiti ci sono ma potrebbero non rivelarsi così stringenti per gli sviluppatori che non sono particolarmente assidui o hanno bisogno dell’aiuto dell’intelligenza artificiale generativa soltanto per esigenze specifiche.

GitHub Copilot Free consente infatti di accedere a 2.000 completamenti di codice e a 50 messaggi di chat al mese semplicemente effettuando il login con un account personale.

Il piano Free dà comunque la possibilità di scegliere tra il modello Claude 3.5 Sonnet di Anthropic o il modello GPT-4o di OpenAI: si può porre una domanda di codifica, chiedere di spiegare il codice esistente o individuare un bug (perché il codice non funziona?) proponendo una soluzione efficace. Si può inoltre accedere agli agenti AI sviluppati da terze parti per Copilot o sviluppare in proprio un’estensione.

Come usare l’AI in Visual Studio Code

Per iniziare a usare GitHub Copilot Free, basta scaricare e installare Visual Studio Code. Si può quindi impostare un tema per l’interfaccia grafica e selezionare eventualmente l’italiano come lingua preferita premendo CTRL+MAIUSC+P, digitando display nella casella di ricerca e scegliendo Italiano.

A questo punto, cliccando sulla freccia del pulsante Copilot a destra della casella di ricerca, si deve fare clic su Use AI Features with Copilot for Free.

Con un clic sul pulsante Sign in to Use Copilot for Free, si può quindi effettuare il login usando un normale account GitHub. Se non se ne fosse ancora in possesso, è possibile registrarne uno nuovo. È indispensabile autorizzare l’accesso all’account con Visual Studio Code.

Utilizzando il riquadro in basso a destra, si può porre una domanda a Copilot, collegare il contenuto (quindi lavorare direttamente sul codice visualizzato in Visual Studio Code), attivare la chat vocale e scegliere il modello generativo preferito (Claude 3.5 Sonnet o GPT-4o).

Beneficiare dei suggerimenti di GitHub Copilot durante la scrittura del codice

Durante la stesura del codice di programmazione, GitHub Copilot si attiva di frequente per proporre codice, completare quanto si sta digitando od offrire suggerimenti pratici.

Nell’esempio in figura, la parte in grigio è proposta da Copilot Free semplicemente digitando il nome della classe. Per accettarla basta premere il tasto TAB.

In alcuni casi, l’assistente AI fornisce più proposte di codice: è possibile visualizzarle tutte, passando dall’una all’altra, per poi scegliere quella migliore. Copilot Free è inoltre richiamabile in qualunque momento premendo la combinazione di tasti CTRL+I.

Copilot Edits: istruzioni personalizzate e consapevolezza globale del progetto

A disposizione degli utenti del piano Free, c’è anche Copilot Edits, un’esperienza di editing multi-file accessibile dalla barra laterale della chat. Partendo da un prompt, Copilot propone modifiche a più file, inclusa la creazione di nuovi file, se necessario. Questo combina il flusso conversazionale tipico della chat con la potenza della generazione di codice di Copilot.

Il risultato è sorprendente, un’integrazione tra idee e implementazione da provare per credere. Si può ad esempio pensare di creare un’app mobile nativa utilizzando Flutter, anche senza aver usato prima d’ora Flutter.

Istruzioni personalizzate

Le custom instructions permettono di specificare esattamente come si preferisce che GitHub Copilot lavori. Queste istruzioni, incluse in ogni richiesta al modello, consentono una personalizzazione granulare a livello di editor o di progetto.

Per procedere in tal senso, basta inserire un file .github/copilot-instructions.md nel progetto per automatizzare le preferenze e fornire istruzioni pratiche alle quali il modello AI deve attenersi.

Consapevolezza globale del progetto

Copilot è dotato di esperti AI virtuali attivabili tramite l’uso del simbolo @. Servendosi, ad esempio, di @workspace, si può abilitare la comprensione dell’intero codice del progetto.

L’assistente di GitHub, inoltre, svolge automaticamente il cosiddetto rilevamento delle intenzioni, includendo automaticamente @workspace quando necessario per rispondere a domande che richiedono un contesto globale.

In definitiva, GitHub Copilot non è solo un assistente di codifica, ma un potente collaboratore progettato per adattarsi allo stile di programmazione, risolvere problemi complessi e mantenere una visione completa del progetto.

Conclusioni

L’introduzione di GitHub Copilot come strumento gratuito segna un importante passo avanti nell’evoluzione dell’intelligenza artificiale applicata allo sviluppo software. Grazie alla sua integrazione con ambienti come Visual Studio Code, Copilot rende più accessibili funzionalità avanzate di completamento, correzione e ottimizzazione del codice, abbattendo barriere economiche e tecniche per sviluppatori di ogni livello.

Le caratteristiche innovative, come le istruzioni personalizzate e la consapevolezza globale del progetto, sottolineano il potenziale di GitHub Copilot come collaboratore intelligente, capace di adattarsi alle esigenze specifiche di ogni utente.

Il rilascio di GitHub Copilot Free non solo democratizza l’accesso all’AI nel coding, ma ridefinisce il ruolo degli sviluppatori, offrendo loro strumenti che permettono di concentrarsi su creatività e innovazione, lasciando i compiti più ripetitivi all’intelligenza artificiale.



Fonte: https:
I dati di 5,5 milioni di clienti InfoCert sono davvero disponibili online?

I dati di 5,5 milioni di clienti InfoCert sono davvero disponibili online?

Domenica 29/12/2024 18:00

Su un noto forum accessibile sia tramite il Web pubblico che attraverso un URL dedicato .onion (Dark Web), sono apparsi quelli che hanno tutta l’aria di essere 24 record tratti da un database utilizzato da InfoCert per l’erogazione dei suoi servizi. Chi ha pubblicato le informazioni, sostiene di essere in possesso di un database contenente 5,5 milioni di record corrispondenti ad altrettanti italiani e che le 24 righe rappresentano un semplice “assaggio” di ciò che è nelle sue mani.

InfoCert è una delle principali aziende italiane attive nel settore della digitalizzazione e della gestione documentale. È una Certification Authority (CA) accreditata, ovvero un ente autorizzato a rilasciare certificati digitali e servizi fiduciari qualificati. Fa parte del gruppo Tinexta, uno dei leader europei nei servizi di digital trust, cybersecurity e software per il settore finanziario.

I dati condivisi sembrano essere stati estrapolati da un sistema di ticketing, ossia da uno strumento adoperato per fornire assistenza ai clienti InfoCert. Tra le 24 linee di esempio, infatti, si trovano numeri di telefono e indirizzi email dei clienti, oltre ad altri dati personali. Accanto ad essi, spiccano anche i suggerimenti forniti dal supporto tecnico in risposta a specifiche esigenze manifestate dagli utenti.

InfoCert punta il dito contro un fornitore terzo

Pur non parlando ancora di data breach, InfoCert ha nel frattempo diramato un comunicato ufficiale in cui spiega di aver effettivamente rilevato “la pubblicazione non autorizzata di dati personali relativi a clienti censiti nei sistemi di un fornitore terzo“. E aggiunge: “tale pubblicazione è frutto di un’attività illecita in danno di tale fornitore, che non ha però compromesso l’integrità dei sistemi di InfoCert. Nel confermare che sono in corso tutti gli opportuni accertamenti sul tema, anche al fine di eseguire le necessarie denunce e notifiche alle Autorità competenti, siamo fin da ora in grado di informare che nessuna credenziale di accesso ai servizi InfoCert e/o password di accesso agli stessi è stata compromessa in tale attacco“.

Dati personali in vendita sul mercato nero

InfoCert spiega che nei prossimi giorni fornirà maggiori informazioni su quanto accaduto. Per adesso, però, rimane il post dell’hacker protagonista dell’iniziativa che mette platealmente in vendita, sul mercato nero, i dati di 5,5 milioni di italiani per la somma di 1.500 dollari.

L’offerta di vendita è peraltro visibile pubblicamente: se è vero che il noto forum con i dati sottratti non è accessibile se non attivando un account utente, le stesse pagine risultano perfettamente navigabili usando Tor Browser e utilizzando l’indirizzo .onion del sito. Premendo CTRL+U nel browser, i dati di esempio appaiono – in bella vista – all’interno della pagina Web utilizzata dall’hacker.

Stando a quanto sostenuto dall’autore della pubblicazione, le informazioni non riguardano soltanto gli utenti del servizio SPID erogato da InfoCert ma anche chi si serve di PEC, firma digitale, fatturazione elettronica, conservazione digitale e così via. In generale, potrebbero essere tutti coloro che hanno fatto uso, in qualche circostanza, del servizio di assistenza tecnica e commerciale InfoCert.

Inoltre, dei 5,5 milioni di record complessivamente esfiltrati, 1,1 milioni di numeri di telefono e 2,5 milioni di indirizzi email sarebbero unici (nessun duplicato).

Attenzione alle conseguenze!

A questo punto, a valle del presunto data breach, è bene che gli utenti alzino la guardia perché alcuni dei loro dati personali potrebbero presto entrare nella disponibilità di criminali informatici  senza scrupoli, specializzati nel porre in essere attacchi phishing.

Potrebbero essere destinatari di email, SMS e altre comunicazioni “fasulle”, appositamente progettate per condurre attacchi mirati e indurre gli utenti a condividere dati di accesso, estremi di pagamento e altre informazioni riservate.

Credit immagine in apertura: iStock.com – seamartini



Fonte: https:
Samsung punta alle fotocamere da 500 Megapixel

Samsung punta alle fotocamere da 500 Megapixel

Venerdì 03/01/2025 14:00

Samsung sembra pronta a compiere un nuovo salto tecnologico. Dopo aver introdotto i sensori da 48MP e raggiunto i 200MP con i modelli più recenti, il colosso sudcoreano si prepara a lanciare sensori per smartphone da 500MP, secondo un recente rapporto.

(...)
Continua a leggere Samsung punta alle fotocamere da 500 Megapixel su Androidiani.Com


© niccoloproietti for Androidiani.com, 2025. | Permalink |

Tags del post:



Fonte: feeds.feedburner.com
Perché e quando DKIM non può attestare con certezza l’identità del mittente di un’email

Perché e quando DKIM non può attestare con certezza l’identità del mittente di un’email

Giovedì 09/01/2025 13:01

Per cercare di mettere un freno al fenomeno dello spam e delle email truffaldine, sono stati inventati i record SPF, DMARC e DKIM i quali, usando diversi approcci, aiutano a verificare la legittimità di un’email e stabilire se il mittente è davvero colui che dichiara di essere nel campo From del messaggio. DKIM, acronimo di “DomainKeys Identified Mail“, è un metodo di autenticazione delle email progettato per garantire che i messaggi siano inviati da un mittente autorizzato e che non risultino alterati durante il percorso.

Come funziona DKIM

Il funzionamento di DKIM può essere suddiviso in più fasi. Innanzi tutto, il proprietario del nome di dominio genera una coppia di chiavi pubblica e privata. La chiave privata rimane sul server di posta, mentre la chiave pubblica va pubblicata come record DNS (Domain Name System) per il dominio.

All’invio di un’email, il server di posta utilizza la chiave privata per creare una firma digitale, aggiunta all’intestazione del messaggio. La firma rappresenta un’impronta unica del contenuto dell’email.

Una volta recapitata al destinatario, con l’intestazione contenente la firma DKIM, il suo server email pone in essere una verifica. In particolare, il server del destinatario effettua una query DNS per ottenere la chiave pubblica del mittente. Utilizzando la chiave pubblica, il server verifica se la firma corrisponde al contenuto dell’email. Se la verifica ha successo, l’email è autenticata e si presume che non sia stata manomessa. In base al risultato della verifica DKIM, il server di posta può decidere di accettare, rifiutare o contrassegnare l’email come potenzialmente sospetta.

DKIM non può attestare l’identità del mittente quando si usa una chiave RSA debole

Gli sviluppatori di DMARC Checker hanno condotto un importante studio sul primo milione di siti Web per traffico e importanza rilevando con sorpresa oltre 1.700 chiavi pubbliche DKIM con lunghezze inferiori a 1024 bit. La scoperta è significativa perché le chiavi RSA di dimensioni inferiori a 1.024 bit sono da tempo considerate insicure e il loro utilizzo con DKIM è stato  accantonato già nel 2018 con l’introduzione delle specifiche RFC 8301.

Tenendo presente quanto abbiamo spiegato in relazione alla sicurezza dell’algoritmo crittografico RSA, il team di esperti di DMARC Checker ha voluto provare a derivare la chiave privata da una chiave pubblica RSA, con il preciso obiettivo di firmare email in luogo del mittente autorizzato (gli utenti del dominio).

Per il loro esperimento, i tecnici di DMARC Checker hanno scelto il dominio di una nota impresa attiva nel settore dell’intermediazione immobiliare, individuando una chiave pubblica RSA a 512 bit associata al record DKIM. Per trovarla basta usare in Linux il comando dig +short TXT. La chiave pubblica, presente nel tag `p` del record DKIM, era codificata in formato ASN.1 DER e ulteriormente in Base64. Per decodificarla, è basato usare due righe di codice Python:

from Crypto.PublicKey import RSA
RSA.import_key('-----BEGIN PUBLIC KEY-----\n' + 'CHIAVE_PUBBLICA_RSA' + '\n-----END PUBLIC KEY-----')

Fattorizzazione dell’algoritmo RSA

L’intervento sulla chiave pubblica con il codice Python ha restituito due valori (𝑛 ed 𝑒):

  • 𝑛: è il modulo RSA, ottenuto moltiplicando i due numeri primi segreti 𝑝 e 𝑞. Il valore rappresenta la “dimensione” della chiave RSA e determina il suo livello di sicurezza. Più grande è 𝑛, più difficile è fattorizzarlo e, quindi, più sicura è la chiave.
  • 𝑒: è l’esponente pubblico, utilizzato insieme a 𝑛 per la cifratura o la verifica delle firme digitali. Di solito 𝑒 è scelto come un piccolo numero dispari, per ragioni di efficienza e sicurezza.

Trovato il modulo 𝑛, gli esperti sono passati a trovare i due numeri primi 𝑝 e 𝑞 il cui prodotto è uguale a 𝑛. Questo processo, noto come fattorizzazione, è computazionalmente complesso.

Per portarlo a termine con successo su una chiave RSA a 512 bit come quella utilizzata per il record DKIM dell’azienda di intermediazione immobiliare, i ricercatori di DMARC Checker hanno utilizzato uno strumento open source, CADO-NFS, che implementa un efficiente algoritmo, il più potente ad oggi noto, per fattorizzare grandi numeri interi.

L’operazione di fattorizzazione è stata eseguita sfruttando un server cloud con 8 vCPU dedicate (AMD EPYC 7003) e 32 GB di RAM. Dopo aver configurato il server Ubuntu e installato CADO-NFS, è bastato eseguire lo script Python cado-nfs.py, seguito dal valore 𝑛 per trovare 𝑝 e 𝑞. L’attività nel suo complesso ha richiesto meno di 8 dollari di investimento a fronte delle risorse cloud impegnate.

Ricostruzione della chiave privata RSA

Dopo aver ottenuto 𝑝 e 𝑞, è bastato ricorrere ancora una volta a uno script Python e alla libreria PyCryptodome per calcolare la chiave privata.

A questo punto, gli esperti hanno provato a inviare un’email verso alcuni noti provider Internet usando il nome di dominio altrui. Fortunatamente, Gmail e Outlook hanno rifiutato la firma DKIM apposta sul messaggio fraudolento. Altri provider, come Yahoo, Mailfence e Tutanota hanno tuttavia accettato l’email come valida, fornendo un risultato dkim=pass.

Considerazioni finali

Violazioni di chiavi RSA a 512 bit, un tempo impensabili utilizzando i normali computer, sono ora possibili in poche ore su server cloud con meno di 8 dollari.

L’esperimento condotto da DMARC Checker, che tra l’altro consente di verificare anche la configurazione dei propri server di posta, sottolinea l’urgenza di eliminare l’uso di chiavi di dimensioni inferiori a 1024 bit nel caso di DKIM.

In conclusione, i provider email dovrebbero rifiutare automaticamente firme DKIM con chiavi RSA inferiori a 1024 bit mentre gli amministratori dei domini dovrebbero verificare e aggiornare i record DKIM per garantire la conformità con gli standard attuali.

Il rischio non è soltanto di vedere le proprie email recapitate nella cartella spam (nei casi migliori…) ma anche quello di porgere il fianco a furti d’identità e altri tipologie di attacchi informatici.

Credit immagine in apertura: iStock.com – anyaberkut



Fonte: https:
WordPress è in crisi? Vi raccontiamo cosa sta succedendo

WordPress è in crisi? Vi raccontiamo cosa sta succedendo

Martedì 14/01/2025 19:01

Negli ultimi mesi, WordPress è balzato agli “onori” delle cronache non tanto per l’aggiunta di nuove funzionalità o per l’integrazione di novità strettamente correlate con il popolare CMS. Si è invece parlato tanto delle “beghe legali” che hanno interessato il noto progetto open source. Tutto è iniziato con la notizia della vertenza legale intentata da WP Engine nei confronti di WordPress, Automattic e del fondatore Matt Mullenweg. Quell’iniziativa ha portato a una risposta legale nei confronti di WP Engine, uno dei tanti provider che forniscono soluzioni di hosting basate su WordPress.

Mullenweg ha accusato WP Engine di “sfruttare l’ecosistema” open source senza fornire un adeguato supporto alla comunità, definendo il provider statunitense addirittura come “un cancro per WordPress” durante la conferenza WordCamp. Le affermazioni, che hanno subito fatto il giro del mondo, hanno messo in discussione il contributo di WP Engine nei confronti del progetto open source, sottolineando che l’azienda trarrebbe vantaggio dalla piattaforma senza restituire sufficienti risorse per il suo sviluppo.

Dopo la causa intentata da WP Engine, per tutta risposta Mullenweg ha bloccato l’accesso dei plugin WP Engine ai server WordPress.org, impedendo così agli utenti di ricevere aggiornamenti critici.

La prima vittoria di WP Engine e le conseguenze per la comunità WordPress

Il 10 dicembre 2024, WP Engine ha ottenuto un’ingiunzione preliminare ai danni della rivale Automattic. I giudici hanno stabilito che l’azienda guidata da Mullenweg è tenuta a permettere l’accesso alle risorse di WordPress.org da parte di WP Engine e deve interrompere ogni “interferenza” con i plugin WP Engine.

Mullenweg, visibilmente frustrato, ha reagito con una serie di dichiarazioni pubbliche, inclusi commenti piuttosto sarcastici. Durante le festività natalizie, inoltre, il CEO ha forzosamente sospeso le attività del sito WordPress.org. La piattaforma WordPress.org è tornata in servizio il 4 gennaio, ma gli aggiornamenti di plugin e temi non sono stati esaminati fino ad allora.

La notizia più sorprendente è stato l’annuncio con cui si informava che Automattic avrebbe ridotto il suo contributo su WordPress, limitando le ore settimanali a sole 45, un drastico calo rispetto alle quasi 4.000 ore precedenti. La decisione è stata giustificata come una risposta agli “attacchi legali” da parte di WP Engine, ma è stata anche vista come un passo deciso verso progetti commerciali (come WordPress.com).

Le 45 ore non sono state scelte a caso: Mullenweg criticava aspramente WP Engine facendo presente che il numero delle ore dedicate alla contribuzione sul progetto WordPress non superava le 40 (nel frattempo scese a 20). E adesso arriva la conferma del nuovo approccio: Automattic concentrerà la manciata di ore settimanali, molto probabilmente, sulle problematiche di sicurezza e sugli aggiornamenti critici per WordPress. Null’altro.

La crisi della leadership in WordPress

Questi eventi sollevano interrogativi sul futuro di WordPress come progetto open source. Automattic, pur essendo da sempre un attore fondamentale nello sviluppo di WordPress, ora sembra concentrare le sue risorse sui progetti a pagamento, lasciando il futuro dell’open source in mano alla comunità.

Altro segnale certamente preoccupante per la comunità, consiste nello scioglimento del WordPress Sustainability Team, un gruppo di volontari che aveva come obiettivo il miglioramento della sostenibilità del progetto open source. Il principale membro del team, Thijs Buijs, si è dimesso, citando come motivazione il comportamento di Mullenweg e la direzione che il progetto stava imboccando.

Nonostante tutto, Mullenweg continua a restare in prima linea, dal momento che detiene il controllo su risorse cruciali come WordPress.org.

Possibili soluzioni per la comunità

La comunità potrebbe dover prendere in mano la situazione: non è esclusa la creazione di infrastrutture alternative o addirittura di fork di WordPress. Mullenweg aveva dato la sua benedizione al fork battezzato FreeWP ma più di recente il numero uno di Automattic ha deciso di disattivare gli account degli utenti coinvolti in discussioni su possibili fork.

Mullenweg ha inquadrato le disattivazioni degli account come un modo per dare alle persone la spinta di cui hanno bisogno per iniziare i loro nuovi progetti. Account WordPress.org sono necessari per inviare temi, plugin e codice “core”: gli interventi posti in essere sembrano quindi davvero confermare che non si è più i benvenuti come contributori di WordPress se si mette in dubbio l’operato di Mullenweg.

Il mare WordPress è sempre più in tempesta e le previsioni non promettono nulla di buono.



Fonte: https:
Rufus a confronto con Flyby11 per installare Windows 11 senza requisiti

Rufus a confronto con Flyby11 per installare Windows 11 senza requisiti

Venerdì 17/01/2025 18:00

Si parla sempre più spesso di Flyby11, un’applicazione gratuita che permette di installare Windows 11 senza requisiti. L’avevamo presentata a suo tempo spiegando come Flyby11 riesca a forzare l’aggiornamento a Windows 11 anche sui sistemi che non soddisfano i requisiti minimi. Requisiti minimi che Microsoft non intende rivedere, neppure a pochi mesi dal ritiro di Windows 10.

L’autore di Flyby11 ha adesso rinnovato completamente la sua applicazione, presentandola come il modo migliore per installare Windows 11 sui PC non compatibili. Almeno sulla carta.

È possibile scaricare Flyby11 da GitHub scorrendo fino a trovare la sezione Assets quindi cliccando sul file Flyby11.exe. Incredibilmente, l’autore non sembra (almeno nel momento in cui stiamo scrivendo questo articolo…) ancora aver aggiornato il codice sorgente della sua applicazione. Mentre l’eseguibile risulta pubblicato da poco, il sorgente non appare aggiornato.

Ciononostante, siamo in grado di raccontarvi i dettagli del suo funzionamento in anteprima. A questo proposito vale la pena confrontare il funzionamento di Flyby11 con Rufus, utilità che permette di creare supporti USB avviabili con Windows 11 bypassando le verifiche sui requisiti minimi di norma effettuate dalla routine di installazione.

Come funziona il nuovo Flyby11

Il funzionamento del nuovo Flyby11 è davvero molto semplice, soprattutto se paragonato alle precedenti versioni. Innanzi, tutto, diversamente rispetto a quanto accadeva in passato, il programma  non necessita più dei diritti di amministratore. Resta portabile e costituito da un unico file eseguibile.

Facendo doppio clic su Flyby11.exe, ci si trova dinanzi a un’unica finestra che mette a disposizione degli utenti due possibilità:

  • Trascinare la ISO ufficiale di Windows 11 e avviare un’installazione in-place del sistema operativo.
  • Cliccare su Apply Compatibility Patch to ISO per modificare il contenuto di una chiavetta USB contenente i file d’installazione di Windows 11.

Avviare l’aggiornamento in-place a Windows 11

Un aggiornamento in-place nel contesto di Windows è un processo che consente di reinstallare il sistema operativo senza perdere i file personali, le applicazioni installate o la configurazione attuale. È una soluzione comunemente utilizzata per risolvere i problemi di funzionamento del sistema operativo, correggere errori o per eseguire un aggiornamento a una versione più recente di Windows, mantenendo intatto l’ambiente utente.

Nel caso di specie, l’aggiornamento in-place può essere sfruttato per passare da Windows 10 a Windows 11, anche sui sistemi che non rispettano i requisiti. Oppure per installare un nuovo aggiornamento annuale di Windows 11 (feature update) su un sistema che era stato in precedenza già aggiornato forzosamente. Ad esempio si può aggiornare Windows 11 23H2 a Windows 24H2.

Trascinando la ISO di Windows 11 scaricata dai server Microsoft sul riquadro Drag and drop the Windows 11 ISO to patch it and install on unsupported hardware, Flyby11 non fa altro che eseguire tramite PowerShell il comando \sources\setupprep.exe /product server.

Diversamente rispetto a quanto indicato, quindi, Flyby11 non applica alcuna “patch” sul contenuto del file ISO ma si limita ad avviare un comando che, ancora oggi, permette di disattivare il controllo dei requisiti all’avvio dell’installazione di Windows 11.

L’applicazione non effettua alcuna modifica sul comportamento della routine di setup Microsoft perché l’avvio del setup bypassando i requisiti di sistema è un “regalo” offerto dalla stessa azienda di Redmond. È presente di default nel file ISO ufficiale scaricabile dai server Microsoft ma non è escluso che l’azienda di Redmond modifichi questo comportamento nel prossimo futuro.

Modificare il contenuto del supporto d’installazione di Windows 11 (USB)

Cliccando sul meno visibile Apply Compatibility Patch to ISO, Flyby11 chiede di specificare la lettera identificativa di unità corrispondente a un supporto USB che contiene i file per l’installazione di Windows 11. Tale supporto potrebbe essere stato creato, ad esempio, avvalendosi del Media Creation Tool che Microsoft mette a disposizione nella pagina per il download di Windows 11 al di sotto del paragrafo Crea il supporto di installazione per Windows 11.

In questo caso, Flyby11 non fa altro che aggiungere il file \$OEM$\$$\Panther\unattend.xml nel supporto USB per l’installazione di Windows 11. Anche in questo caso, l’utilità non modifica il contenuto di un file ISO preesistente.

Come abbiamo avuto modo di verificare, il file unattend.xml contiene esclusivamente le seguenti direttive:

reg add HKLM\SYSTEM\Setup\LabConfig /v BypassTPMCheck /t REG_DWORD /d 1 /f
reg add HKLM\SYSTEM\Setup\LabConfig /v BypassSecureBootCheck /t REG_DWORD /d 1 /f
reg add HKLM\SYSTEM\Setup\LabConfig /v BypassRAMCheck /t REG_DWORD /d 1 /f
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE /v BypassNRO /t REG_DWORD /d 1 /f

Sono i comandi, ormai ben noti, che disabilitano il controllo del TPM (Trusted Platform Module), consentendo l’installazione di Windows 11 anche su dispositivi senza un modulo TPM compatibile o nei casi in cui esso risulta disattivato.

Le varie istruzioni disattivano la verifica del Secure Boot, del quantitativo di RAM disponibile e bypassano anche il requisito della connessione a Internet durante la fase OOBE (Out-Of-Box Experience), consentendo di completare l’installazione senza connessione.

Cosa permette di fare in più Rufus

Quando si crea un supporto d’installazione di Windows 11 a partire dal file ISO scaricato dai server Microsoft, Rufus presenta una finestra simile a quella riprodotta in figura. Lasciando spuntate tutte le varie caselle, Rufus non solo disabilita i controlli sui requisiti minimi ma imposta alcuni comportamenti aggiuntivi.

Nello specifico, il file \$OEM$\$$\Panther\unattend.xmlche crea Rufus nel supporto d’installazione di Windows 11, permette di:

  • Impostare il fuso orario corrente, come sul PC usato per creare il supporto d’installazione.
  • Creare un account amministratore admin in locale (con password impostata su password). L’utente è chiamato a reimpostarla al successivo login.
  • Definire tastiera e impostazioni regionali italiane.
  • Disattivare la crittografia automatica del contenuto del dispositivo, compresa l’unità di sistema.

Se è vero che Flyby11 offre una soluzione istantanea per installare Windows 11 bypassando i requisiti minimi, Rufus offre una serie di funzionalità in più.

Per chi volesse effettuare il download della ISO, suggeriamo il nostro script per scaricare Windows 11 dai server Microsoft con un solo comando.

Il nostro sistema per installare Windows 11 con l’Assistente aggiornamento, senza requisiti

Ancora non ne parla nessuno, ma di recente abbiamo verificato che è possibile aggiornare a Windows 11 anche senza requisiti usando l’Assistente aggiornamento, pubblicato sul sito Microsoft.

Sui PC non compatibili, l’Assistente aggiornamento di Windows 11 di norma mostra l’errore “Questo PC non soddisfa i requisiti minimi di sistema per installare Windows 11“.

Applicando alcune semplici modifiche sul contenuto del registro di sistema, come spiegato nell’articolo, è possibile forzare la migrazione a Windows 11 usando l’Assistente aggiornamento.

In tutti i casi, attenzione ai processori compatibili con Windows 11: quelli che non supportano le istruzioni POPCNT e le estensioni SSE4.2, non possono installare Windows 11 24H2 e successivi.

Credit immagine in apertura: Microsoft



Fonte: https:
Microsoft Linux: cos’è. Ne conoscevate l’esistenza?

Microsoft Linux: cos’è. Ne conoscevate l’esistenza?

Sabato 18/01/2025 08:01

I termini MicrosoftLinux possono sembrare a molti un ossimoro. Eppure, sin dall’avvento dell’era Satya Nadella alla guida di Microsoft, l’azienda di Redmond ha compreso il valore di Linux e dell’open source, soprattutto al servizio del business della società (con la piattaforma cloud Azure in testa) e dei suoi clienti. Cosa assolutamente impossibile fino a qualche anno fa, oggi esiste addirittura una distribuzione Microsoft Linux: non ci credete? Ne parliamo più avanti.

Nel 2014, Nadella se ne uscì con un’affermazione pubblica che sollevò discussioni infinite: “Microsoft ama Linux“. Una posizione diametralmente opposta rispetto a quella portata avanti dal predecessore, Steve Ballmer, che aveva addirittura descritto Linux come un “cancro” dal punto di vista della proprietà intellettuale.

Negli anni successivi, Microsoft ha iniziato a integrare Linux nei suoi prodotti. Ad esempio, ha rilasciato il kernel Linux come parte di WSL (Sottosistema Windows per Linux) integrato in Windows 10 e in Windows 11; ha sviluppato servizi cloud su Azure che supportano ampiamente tutte le distribuzioni Linux. Basti pensare che oltre il 60% delle immagini disponibili su Azure Marketplace è basato su Linux.

Un altro passo importante è stato l’acquisizione di GitHub nel 2018, una piattaforma fondamentale per lo sviluppo open source. Questo acquisto ha ulteriormente sottolineato l’impegno di Microsoft verso l’ecosistema open source e la comunità di sviluppatori.

Microsoft Linux esiste davvero: cos’è, come funziona e come scaricarlo

Da quando Microsoft ha intuito il potenziale di Linux e delle soluzioni software open source al servizio del suo business e di quello delle aziende che scelgono Azure, si è prodigata per sviluppare una sua distribuzione.

La società guidata da Nadella ha iniziato anni fa a vedere il valore della collaborazione con la comunità open source per stimolare l’innovazione e migliorare la sicurezza dei propri prodotti. L’azienda ha investito in progetti open source e ha contribuito attivamente al loro sviluppo.

Con l’aumento della domanda di soluzioni cloud e open source da parte delle aziende, Microsoft ha compreso che doveva adattarsi per rimanere competitiva. L’adozione di Linux e dell’open source è diventata essenziale per offrire servizi moderni e scalabili.

Le funzionalità della distro Linux Microsoft per Azure e non solo

Nel 2024, è stata rilasciata la terza versione di Microsoft Linux, chiamata Azure Linux 3.0. Disponibile su GitHub, non integra alcun desktop environment e funziona quindi da riga di comando, senza un’interfaccia grafica. È ovviamente possibile provare a installare un desktop environment ma nei repository ufficiali di Microsoft Linux non si trova nulla in tal senso.

Esempi di applicazioni che possono essere installate senza problemi in Microsoft Linux sono Node.js, Python, Apache, MySQL, Postfix, RabbitMQ, Plex e molte altre. Non si possono invece scaricare e installare Samba, OpenMediaVault, CasaOS e molti altri software.

Scaricare il file ISO x86-64 e ARM64

Azure Linux 3.0 è disponibile come file ISO nelle versioni installabili su dispositivi x86-64 e ARM64. Entrambe le immagini del supporto d’installazione sono frutto di uno sforzo della comunità, non dei tecnici Microsoft, ma sono comunque pubblicate sulla pagina GitHub del progetto a questo indirizzo.

Il download mette a disposizione una versione di Linux molto compatta ed efficiente, basta sul kernel Linux 6.6 che utilizza circa 110-120 MB di memoria all’avvio.

Microsoft è impegnata sullo sviluppo della sua distro Linux pensata innanzi tutto per i servizi cloud sin dal 2021. Ovviamente, l’azienda non ha la benché minima intenzione di sostituire il kernel di Windows con un kernel Linux. Chissà invece se la distribuzione possa entrare a far parte delle piattaforme supportate dal Sottosistema Windows per Linux (WSL).



Fonte: https:
Lanciato sul mercato pianoforte high-tech che insegna a suonare con l’AI

Lanciato sul mercato pianoforte high-tech che insegna a suonare con l’AI

Sabato 25/01/2025 10:31

Tra i mestieri potenzialmente a rischio per il boom dell’Intelligenza Artificiale a quanto pare figurano anche gli insegnanti di pianoforte.

La compagnia Roli ha lanciato sul mercato un nuovo tutor basato sull’AI e integrato direttamente nello strumento. Stiamo parlando di Roli Piano, un pianoforte da 49 tasti con guida AI integrata proposto per la cifra di 800 dollari.

L’assistente AI integrato nel dispositivo rende l’apprendimento della disciplina più semplice, proponendo agli utenti scale e spiegando come variare una melodia. A quanto pare, Roli Piano sarà in grado anche di spiegare alcuni aneddoti riguardanti la storia della musica.

Roli Piano rivoluziona gli insegnamenti di pianoforte

Roland Lamb, CEO di Roli, ha spiegato come questo dispositivo segna una svolta nell’apprendimento musicale. Secondo Lamb, Roli Piano farà sembrare presto antiquati tastiere e pianoforte che non siano in grado di aiutare il loro utilizzatore.

Ridurre questo strumento avanzato a un semplice piano dotato di tutor AI è comunque riduttivo, viste le diverse opportunità che offre. La funzionalità Brightkey, per esempio, identifica la canzone che l’utente sta suonando per poi illuminare i tasti per aiutare a seguire meglio la melodia. A questa si aggiunge la funzione Roli Airwave, che utilizza l’AI abbinata ad altre tecnologie per tracciare i movimenti delle mani sulla tastiera. Ciò permette di apportare correzioni e offrire indicazioni precise allo studente.

Lo strumento in questione, di fatto, potrebbe aprire una nuova era in cui il pianoforte risulta più accessibile a studenti di qualunque livello. Non solo: con tutta probabilità, eventuali futuri prodotti potrebbero anche adattarsi ai musicisti più esperti, con funzioni sempre più avanzate legate all’AI. Il prezzo di 800 dollari, sebbene non basso, non risulta neanche inaccessibile per uno strumento musicale. Roli Piano, dunque, sembra un prodotto destinato a cambiare drasticamente il rapporto delle persone con il pianoforte (e non solo).



Fonte: https: