cavallette

English version at bottom

In questi ultimi giorni ci siamo accorti che l’invio verso alcuni domini mainstream aveva delle difficoltà. Il problema era che un certo numero di account di posta su A/I stava causando spam, per esempio l’invio verso gmail.com non funzionava come dovrebbe.

Abbiamo diversi meccanismi per prevenire lo spam, ma quando parte da utenti autenticati le restrizioni attuabili diminuiscono, a meno di non offrirvi un servizio peggiore.

Stiamo ovviamente attuando delle ulteriori precauzioni, ma purtroppo per il momento non possiamo fare altro che scusarci per il disagio, chiedendo a tutti di controllare i propri computer e altri dispositivi rispetto alla presenza di malware come contributo alla risoluzione del problema. Inoltre, per prevenire questo tipo di incidenti, potete attivare l’autenticazione a due fattori sul vostro account per ostacolare tentativi di accedere al vostro account da parte di malintenzionati, e naturalmente ricordatevi che riutilizzare la stessa password su più di un account è una pessima abitudine che vi porterà dritti all’inferno.

English version

In the past few days we noticed that we had some difficulties in delivering emails to some mainstream domains. The problem was that a number of our users’ accounts was sending out spam. For example we could not deliver email to gmail for a certain period of time.

We have several mechanisms to prevent spam, but when spam is sent by authenticated users, the number of restrictions we can set up are fewer, unless we want to degrade the service by design.

We are obviously working on setting up new measures, but for now we can only apologize for the disservice, asking everyone to check their devices for malware or other potential mail spammers as a contribute to the resolution of the problem. Another thing you can do to help is activate two-factor authentication on your account to prevent spammers from owning your mailbox, and of course remember that re-using the same password for more than an account is the worst habit ever and will send you straight to hell.

Aggiornamento: lavori terminati, tutto dovrebbe essere tornato alla normalità.

Update: maintenance is over, everything should be back to normal.

(altro…)

Nella notte tra Martedì 16 e Mercoledì 17 Febbraio un problema con uno dei server di Noblogs.org ha provocato dei malfunzionamenti – molti dei nostri utenti si sono ritrovati impossibilitati ad accedere ai loro blog, o il server rispondeva in maniera bizzarra confondendo alcuni blog con altri. Ci siamo rimboccati le maniche e a partire da oggi Giovedì 18 dovrebbe essere di nuovo tutto a posto. Crediamo che niente sia andato perduto, però se notate qualcosa di strano, come sempre, segnalatecelo!

During the night between Tuesday 16th and Wednesday 17th a problem with one of our Noblogs.org server caused some issues, resulting in some users unable to access to their blogs or mismatches between server addresses and content. We should have fixed everything starting from today Thursday 18th. No content should be missing, but if you notice anything unusual, please report it!

[English version below]

Ultimamente ci è stato segnalato un tentativo di phishing a nostro nome.
Il testo era questo:

Your AUTISTICI.ORG Mailbox Has Exceeded Its Quota Limit And You May
Not Be Able To Send Or Receive New Mails Until You Re-Validate.

To Re-Validate, Please Click: RE-VALIDATE For More
Storage Data to Be Added To Your Mailbox

Thank You,
AUTISTICI.ORG Mail Team

E come in ogni tentativo di phishing che si rispetti, il link inserito nel testo non rimandava a un nostro sito ma da qualche altra parte dove qualche simpatico gruppo di malintenzionati si sarebbe appropriato del nome utente e della password del/la malcapitato/a.

Sono cose che capitano e che tutte e tutti noi abbiamo già visto, ma giusto per una ripassatina, ecco alcuni consigli:

• Nelle nostre comunicazioni noi non vi chiediamo mai di cliccare su un link: molto più probabilmente il nostro invito sarà di accedere al vostro pannello utente, come fate di solito per leggere la vostra mail, all’indirizzo: https://www.autistici.org/pannello/.
• Quando ricevete una mail che vi chiede con urgenza di cliccare su un link, controllate sempre che il mittente sia chi dice di essere. Nel nostro caso, la mail arriverà da un dominio @ autistici.org — molto probabilmente da info @ autistici . org
• Se l’indirizzo del mittente vi sembra convincente, controllate che anche il link lo sia.
• Per ulteriori informazioni potete leggere questo manuale dell’Electronic Frontier Foundation (in inglese e altre lingue ma non ancora in italiano).

English version
(altro…)

++++++++++++++++++++++++++++++++++++++
IMPORTANTE: NUOVA CA
IMPORTANT: NEW CA
++++++++++++++++++++++++++++++++++++++

[english version below]

#####
Tra pochi giorni (alla fine di Settembre 2015) la Certification
Authority di Autistici/Inventati rinnovera’ i certificati.

I nostri servizi saranno per te inaccessibili, a meno che tu non
segua questa procedura di aggiornamento:

Visita https://ca.autistici.org e segui le istruzioni riportate
sulla pagina, assicurandoti di effettuare tutte le verifiche suggerite.

Questa procedura e’ obbligatoria anche se si e’ gia’ scaricato
il certificato della CA di A/I in passato: e’ necessario ripeterla con
il nuovo certificato aggiornato.

* Cosa fare se non si e’ riusciti ad installare il nuovo certificato in
tempo?
La procedura da seguire e’ la stessa che effettueresti su un computer
nuovo per accedere al tuo account di Autistici/Inventati: visita
http://ca.autistici.org e segui le istruzioni riportate sulla pagina,
ricordandoti di effettuare anche le verifiche suggerite.

* Perche’ questa tortura?
Perche’ abbiamo scelto di prendere una posizione forte nel dibattito che
riguarda il mondo delle Certification Authority commerciali:

https://www.autistici.org/it/ssl.html

####

In few days (end of September 2015), the Autistici/Inventati
Certification Authority will *EXPIRE*, making it impossible for you to
reach our services, unless you follow this procedure to update it:

Visit https://ca.autistici.org and follow the instructions on
that page.

This is mandatory even if you have already downloaded and installed
the A/I CA certificate in the past (you need to do the same with the
new, updated certificate).

* What do I do if I was unable to update the CA certificate in time?
You should follow the same procedure that you would when installing
the A/I certificate on a new computer: visit http://ca.autistici.org
and follow the instructions on that page.

* Why all this trouble?
Read the following for our position on the debate on commercial
Certification Authorities:

https://www.autistici.org/en/ssl.html

####

[IT] Nel corso del weekend saranno svolti alcuni interventi di manutenzione su noblogs.org, alcuni blog potrebbero essere temporaneamente irraggiungibili.

[EN] This weekend we’ll be performing some maintenance work on noblogs.org, some blogs might be temporarily unavailable.

[English version below]

A partire da oggi entrano definitivamente in vigore le direttive del garante della privacy italiano sui cookies e siamo tenute per legge, pena multe salatissime, a inserire su tutti i blog di Noblogs e su tutti i siti che usano cookies un banner che vi richiede il consenso esplicito all’uso dei cookies.

Si tratta esclusivamente di una formalità, e dal punto di vista del funzionamento dei server di A/I non cambia niente: Autistici/Inventati, e quindi NoBlogs, non registra alcuna infomazione sugli utenti né effettua alcuna profilazione.

Ma che cosa sono i cookies, a che servono e perché vengono usati anche su Noblogs e sui siti di A/I?

I cookies sono informazioni registrate nel tuo computer (o smartphone) quando visiti un sito web. Alcuni, quelli che usiamo noi (i cosiddetti cookies tecnici) servono a facilitare e a velocizzare la navigazione, altri a interfacciarsi con servizi come Twitter o Youtube (i “cookies di terze parti”) e altri ancora per profilare gli utenti a scopo commerciale. Questi ultimi non sono usati sui server di A/I per policy, e di conseguenza neanche i nostri utenti possono usarli nei loro siti.

Quindi non sarete profilati se visitate un sito di A/I o un blog di Noblogs. Considerate però che, a prescindere dalla nuova legge e dal banner d’ordinanza, se accedete a un sito o a un social network commerciale i cookies di profilazione non mancano mai. Se questa idea non vi piace, l’ideale è cancellare i cookies ogni volta che chiudete la sessione del browser: un’opzione che si trova nelle impostazioni del vostro browser.


English version
(altro…)

[IT] I certificati SSL di noblogs.org sono stati aggiornati nuovamente. Il cambiamento più significativo è che si tratta di certificati forniti da una CA commerciale. Nonostante la nostra posizione sull’industria delle CA sia rimasta immutata, vogliamo che i nostri utenti possano trarre vantaggio da alcune delle recenti e moderne migliorie al protocollo SSL, ottenibili purtroppo solo usando un certificato commerciale.

[EN] The noblogs.org SSL certificates have been updated yet again. The most significant change, this time, is that the new certificates are issued by a commercial CA. Our position on the CA industry has not changed, but we’d like for our users to take advantage of some of the more recent and modern improvements to the SSL protocol, which can unfortunately only be activated with a commercial certificate.

[english version below]

PGP e la sua implementazione libera GnuPG è uno degli strumenti che consigliamo ai nostri utenti per comunicare sia tra di loro che con noi. Per comunicare attraverso PGP è necessario avere la chiave, cosiddetta pubblica, del destinatario. È molto importante assicurarsi che la chiave che si ha appartenga effettivamente alla persona con cui vogliamo comunicare e non a qualcun altro: in questo caso infatti si rischia nel migliore dei casi di mandare un’email illeggibile al nostro destinatario e nel peggiore di essere intercettati e di perdere le garanzie di sicurezza che pensavamo di avere usando PGP.

La nostra chiave pubblica si può trovare sul nostro sito, oppure si può richiedere a uno dei tanti keyserver, che si possono paragonare a servizi di “pagine gialle” delle chiavi crittografiche. La maggior parte di questi server pubblica tutte le chiavi che gli vengono inviate, senza controllare l’effettiva autenticità delle informazioni riportate. È quindi estremamente facile creare una chiave a nome di un’altra persona e caricarla su uno di questi server.

È quel che è successo a noi solo qualche settimana fa: qualcuno ha deciso di creare una chiave a nostro nome e di caricarla sui keyserver. Non ne conosciamo le motivazioni (uno scherzo? un esperimento? un goffo tentativo di intercettare le comunicazioni coi nostri utenti?), però dobbiamo avvisarvi: non tutte le chiavi a nostro nome che trovate su internet sono autentiche. Quindi quando scaricate la nostra chiave pubblica, controllate le firme e se potete utilizzate il Web of Trust.

La fingerprint della nostra chiave [al marzo 2015] è

E30D 5650 109E 5353 2104 B879 DA73 3D59 D98D A9CE

Diffidate delle imitazioni!

(altro…)

English version below

Ultimamente sia Autistici/Inventati che altri server autogestiti come Riseup o Nodo50 hanno subito attacchi DDoS (Distributed Denial of Service).

Un DDoS consiste nel dirigere un enorme flusso di traffico fasullo contro l’obiettivo per saturare l’infrastruttura e quindi impedire il funzionamento dei servizi offerti. In questo modo il server non può più rispondere alle richieste di visualizzazione di pagine web, di scaricamento della posta, di collegamento a jabber e via dicendo. Di conseguenza, la fretta può spingere gli/le utenti a usare servizi commerciali, che sono più resistenti agli attacchi DDoS e quindi offrono servizi più stabili. Noi però vi sconsigliamo di prendere decisioni dettate dalla fretta. Per prevenire rischi per la vostra privacy, vi consigliamo di aprire una casella di posta di backup su un altro server amico e di usare jabber con un servizio alternativo (come quello associato a tutte le caselle di posta Riseup o quello di Systemli) invece di ricorrere a un servizio commerciale di messaggistica istantanea.

English version

(altro…)