Edge on Melabit

Come usare Skype Web con Safari e Firefox

Tue, 12 Mar 2019 06:00:00 +0000

Uso pochissimo Skype, per comunicare o condividere file con amici o colleghi preferisco di gran lunga usare Slack. Per cui, quando ho letto che la nuova versione di Skype utilizzabile via browser rilasciata la settima scorsa supportava solo Edge e Google Chrome – rispettivamente il nuovo browser Microsoft che l’azienda di Seattle cerca disperatamente di far usare a qualcuno e il browser dominante con il quale non si può non fare i conti – ho scrollato le spalle e sono passato ad altro.

Ma dopo aver perso tutta la mattina per far funzionare di nuovo la mia installazione di Office per Mac dopo un banale crash di Excel, ho il dente avvelenato con Microsoft. E quando mi è capitata di nuovo sotto sgli occhi la notizia dell’incompatibilità di Skype Web anche con browser molto diffusi come Firefox o Safari, ho voluto provare di persona. E in effetti, se si prova ad aprire Skype Web con uno di questi browser, si ottiene l’ormai ben nota schermata di “Browser not supported”.

Fig. 1. Accesso a Skype Web “visto” da Safari.

Fig. 2. Skype Web “visto” da Firefox.

Sembra si essere tornati ai tempi dei siti “Ottimizzati per Internet Explorer”, che più che ottimizzati erano solo codificati in modo sciatto.

E proprio come succedeva ai tempi del famigerato Internet Explorer, con un trucco semplicissimo è possibile rendere Safari o Firefox (ma di sicuro anche Opera o qualunque altro browser moderno) pienamente compatibili con la versione web di Skype.

Il trucco è banale, basta accedere a Skype Web fingendo di usare Edge o Chrome. La chiave di tutto sta nello User Agent, una stringa di testo che il browser invia al server ogni volta che accede ad una pagina web, che contiene fra l’altro il nome e la versione del browser e del sistema operativo in uso.

Lo User Agent della mia versione di Safari per macOS è

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15

mentre quello di Firefox è

Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:65.0) Gecko/20100101 Firefox/65.0

Lo User Agent inviato dal browser non è scolpito nel marmo, anzi si può modificare piuttosto facilmente, ed è proprio quello che faremo per accedere a Skype Web da un browser non supportato.

Safari

Per modificare lo User Agent in Safari bisogna prima di tutto selezionare le Preferenze del browser, cliccare sul pannello Avanzate e attivare l’opzione Mostra il menu Sviluppo nella barra dei menu.

Fig. 3. Preferenze avanzate di Safari.

Una volta tornati alla finestra principale del browser, si clicca sulla nuova voce di menu Sviluppo, poi su User Agent per selezionare infine nella lista che compare Google Chrome o Microsoft Edge. Se ora si prova ad accedere a Skype Web, al posto dell’avviso “Browser not supported” compare la solita finestra di login della Microsoft, basta inserire i propri dati ed è fatta.

Fig. 4. Ora Skype Web è accessibile da Safari.

Firefox

Per modificare lo User Agent in Firefox non è possibile utilizzare le funzioni native del browser e quindi il processo è leggermente più complicato. Ma Firefox ha add-on per (quasi) tutto, e fra questi gli add-on che modificano lo User Agent non mancano di certo.

Io uso User-Agent Switcher che funziona senza problemi ed è molto configurabile (fin troppo!), ma qualunque add-on analogo va altrettanto bene. Una volta installato User-Agent Switcher, sulla barra principale di Firefox compare l’icona di un omino con il cappello, basta cliccarci sopra per far comparire una lunghissima(!) lista di User Agent fra cui scegliere.

Fig. 5. La lista, fin troppo dettagliata, di User Agent supportati da User-Agent Switcher.

A questo punto basta selezionare lo User Agent di una delle ultime versioni di Edge o di Chrome e cliccare su Apply. Se ora si prova ad accedere a Skype Web, ci si troverà davanti la finestra di login della Microsoft e, come già visto per Safari, una volta inseriti i propri dati si potrà usare Skype Web anche con Firefox.

Fig. 6. Ora Skype Web è accessibile anche da Firefox.

Conclusioni

Rendere una applicazione web compatibile solo con alcuni browser è una mossa incomprensibile, anche perché taglia fuori una fetta più o meno larga di utenti del web.¹

Ma una volta risolto il problema della compatibilità di Skype Web con i browser non supportati ufficialmente da Microsoft, rimane il problema di fondo: ha senso continuare ad usare un programma come Skype che, se agli inizi era un prodotto innovativo, una volta passato nelle grinfie di Microsoft è peggiorato visibilmente, diventando ad ogni nuova iterazione sempre più grosso, pesante e poco pratico? Le alternative ci sono, perché non provare a cambiare?

Ancora meno comprensibile è che si possa aggirare il blocco così facilmente, non posso credere che gli sviluppatori Microsoft non conoscano questi trucchi banali. ↩︎

Apple o non Apple, questo è un problema

Tue, 25 Apr 2017 06:00:00 +0000

L’abbiamo letto e sentito (e magari anche detto) mille volte: per evitare che ci vengano carpite in modo fraudolento informazioni personali riservate – login e password di servizi importanti, dati della carta di credito, informazioni bancarie – è fondamentale controllare sempre che l’indirizzo (URL) del sito riportato nella barra degli indirizzi del browser sia quello legittimo.

Infatti, anche se per un qualunque malintenzionato è piuttosto facile creare un sito fittizio identico a quello legittimo, quello che non può riprodurre è proprio l’URL del sito, che è attribuito in modo univoco ed è gestito da un singolo database distribuito in tutto il mondo.

Un malintenzionato potrà quindi anche ricreare in modo perfetto l’aspetto del sito di PayPal, http://paypal.com, ma dovrà per forza di cose usare un URL leggermente diverso, magari http://pay.pal.com, http://mypaypal.com, o simili, sperando che il malcapitato che ci finisce non se ne accorga. Basta quindi un po’ di attenzione per evitare problemi.

Almeno finora.

Provate ad inserire nella barra degli indirizzi del vostro browser questo URL apparentemente inoffensivo, https://www.xn–80ak6aa92e.com.

Se usare Firefox, Opera o Chrome (fino alla versione 57.x), quando premete Invio siete portati ad un sito web il cui URL sembra essersi trasformato quasi magicamente in quello di Apple.

A questo punto, basterebbe riprodurre l’aspetto del sito di Apple per rendere il sito finto praticamente indistinguibile da quello legittimo, con gravissimi pericoli per la sicurezza dei malcapitati che dovessero finirvi.

Per fortuna, Safari non è soggetto a questo problema e mostra sempre nella barra degli indirizzi l’URL originale. Anche i browser Microsoft, Edge e il venerabile Internet Explorer, sono immuni, a meno di non usare il Russo come lingua di sistema.

Il bug è legato all’uso dei caratteri unicode per gli indirizzi web, o meglio alla rappresentazione dei caratteri unicode tramite i soli caratteri ASCII (detta rappresentazione punycode).

L’URL https://www.xn–80ak6aa92e.com/ rappresenta delle lettere dell’alfabeto cirillico che sembrano identiche (o quasi) a quelle dell’alfabeto latino, ma che rimandano ad indirizzi web completamente diversi da quelli originali.¹ La stessa cosa si può fare anche con altri alfabeti che hanno lettere simili alle nostre, fra cui il greco e l’armeno (anche se mi sembra per quest’ultimo le letetre simili siano veramente poche).

I dettagli tecnici del bug si possono leggere qui.

Quello che mi preme di più è spiegare come proteggersi. Perché è chiaro che inizieranno prestissimo degli attacchi basati su questa debolezza della codifica unicode, attacchi molto più pericolosi e difficili da smascherare di quelli che abbiamo dovuto subire finora.

Come già detto, Safari, Edge ed Internet Explorer non sono a rischio. Per chi usa Chrome, basta aggiornare alla versione 58.x appena rilasciata. Per Opera non è chiaro cosa succederà, ma comunque Opera ha una quota di utenti relativamente ridotta rispetto agli altri due browser a rischio.

Il vero problema è Firefox. Perché gli sviluppatori di Firefox hanno annunciato che cambiare il comportamento di default del browser creerebbe problemi agli “utenti le cui lingue non usano l’alfabeto latino” e che invece “loro vogliono che tutte le lingue e gli alfabeti siano trattati allo stesso modo su internet”.

Un intento nobile, ma anche pericoloso. Per fortuna c’è la possibilità di cambiare il comportamento di default di Firefox, accedendo alle pzioni avanzate di configurazione del browser.

Per farlo, basta scrivere about:config nella barra degli indirizzi del browser e premere Invio. Comparirà una scritta bella grande che ci informa che l’operazione può invalidare la garanzia, compromettendo la stabilità, la sicurezza e le prestazioni del browser. Decisamente eccessivo. Non preoccupatevi e cliccate senza paura sul tasto che vi fa accettare il rischio.

Inserite ora la stringa punycode nella barra di ricerca in alto. Comparirà un unico parametro di configurazione, network.IDN_show_punycode, il cui valore di default è false. Fate doppio click su false, trasformandolo in true, e chiudete la pagina di configurazione. Da ora in poi anche Firefox si comporterà come Safari e sarete al sicuro da possibili attacchi di questo tipo.

Per ulteriori approfondimenti, consiglio di leggere prima di tutto l’articolo originale che descrive il problema, Phishing with Unicode Domains di Xudong Zheng. Molto interessante e dettagliato anche This Phishing Attack is Almost Impossible to Detect On Chrome, Firefox and Opera di Mohit Kumar, mentre Chrome And Firefox Adding Protection Against This Nasty Phishing Trick e Chrome and Firefox Phishing Attack Uses Domains Identical to Known Safe Sites, riportano altri due esempi di URL a rischio.

Se si guarda attentamente, la ӏ di apple visibile nella barra degli indirizzi non è proprio una l ma una lettera dell’alfabeto cirillico). ↩︎