Vademecum per proteggere pc privacy ed evitare hacking parte terza

mainline si concretizza nel "google play system update".

diciamo che la strada(aggiornamento diretto senza passare dagli OEM) intrapresa da google è ottima e , si estende sempre di più , man mano che si procede con versioni di android (la 10 è la prima in cui compare, si estende sulla 11 e ancora di più sulla 12).

il problema è che su molti telefoni gli OEM non forniscono gli android successivi: su alcuni che hanno nativamente il 10, poi non arriva l'11 quindi i vantaggi non sono completi.in prospettiva, molto probabilmente da una certa versione in poi (magari la 13) la quantità di moduli rinnovati e aggiornati da google direttamente sarà tale da rendere le patch di sicurezza mensili "coincidenti" con il google play system update

attualmente le differenze sono ancora forti, non fosse altro che per la cadenza di aggiornamento: le patch di sicurezza sono mensili, il google play system update si aggiorna automaticamente quando vuole lui(a volte passano 3 mesi, ho notato)


comunque , per tutti quei telefoni di OEM sconosciuti e poco o nulla supportati nel tempo , mainline è una manna dal cielo (sinceramente non avrei aspettato la versione 10 di android per mettere mano al problema degli aggiornamenti diretti...meglio tardi che mai)
 
mainline si concretizza nel "google play system update".

diciamo che la strada(aggiornamento diretto senza passare dagli OEM) intrapresa da google è ottima e , si estende sempre di più , man mano che si procede con versioni di android (la 10 è la prima in cui compare, si estende sulla 11 e ancora di più sulla 12).

il problema è che su molti telefoni gli OEM non forniscono gli android successivi: su alcuni che hanno nativamente il 10, poi non arriva l'11 quindi i vantaggi non sono completi.in prospettiva, molto probabilmente da una certa versione in poi (magari la 13) la quantità di moduli rinnovati e aggiornati da google direttamente sarà tale da rendere le patch di sicurezza mensili "coincidenti" con il google play system update

attualmente le differenze sono ancora forti, non fosse altro che per la cadenza di aggiornamento: le patch di sicurezza sono mensili, il google play system update si aggiorna automaticamente quando vuole lui(a volte passano 3 mesi, ho notato)


comunque , per tutti quei telefoni di OEM sconosciuti e poco o nulla supportati nel tempo , mainline è una manna dal cielo (sinceramente non avrei aspettato la versione 10 di android per mettere mano al problema degli aggiornamenti diretti...meglio tardi che mai)

Google forse ha capito che è meglio dare una immagine di solidità ad Android per cercare di fargli assumere una reputazione pari a quella di iOS rispetto al guadagno immediato che si ottiene agitando lo spauracchio dell'interruzione degli aggiornamenti di sicurezza , spauracchio che per molti significa comprare un nuovo smartphone ogni tot mesi . Può darsi che per questo che gli OEM minori abbiano mixed feelings verso mainline, da una parte li scarica di responsabilità ma dall'altra lo vedono come una "minaccia" di diminuzione degli acquisti compulsivi da parte di quella clientela che non si può permettere l'acquisto del top di gamma dei top brand e che resterebbero con il loro smartphone datato ma perfettamente funzionante e sicuro. Non vorrei però che l'effetto principale di mainline sia quello di far lievitare i prezzi , le cose andrebbero contro gli interessi dei consumatori
 
Google forse ha capito che è meglio dare una immagine di solidità ad Android per cercare di fargli assumere una reputazione pari a quella di iOS rispetto al guadagno immediato che si ottiene agitando lo spauracchio dell'interruzione degli aggiornamenti di sicurezza , spauracchio che per molti significa comprare un nuovo smartphone ogni tot mesi .


direi che sia proprio questo il motore principale della decisione di googleOK!


Può darsi che per questo che gli OEM minori abbiano mixed feelings verso mainline, da una parte li scarica di responsabilità ma dall'altra lo vedono come una "minaccia" di diminuzione degli acquisti compulsivi da parte di quella clientela che non si può permettere l'acquisto del top di gamma dei top brand e che resterebbero con il loro smartphone datato ma perfettamente funzionante e sicuro.

beh, i piccoli OEM non possono far altro che subire l'iniziativa di google, non hanno potere contrattuale e, diciamola tutta, hanno un business model completamente malato (pura follia pretendere di far comprare un smartphone all'anno, dato che la maggior parte degli infiniti marchi cinesi, non prevede aggiornamenti , supporto e quant'altro nemmeno entro l'anno. in pratica compri il telefono e l'unica cosa che aggiorni sono le app...l'unico modo che l'utente aveva di aggiornare l'OS era quello di fare il root e installare una rom open source...cosa alla portata dell'1 percento degli utenti)


Non vorrei però che l'effetto principale di mainline sia quello di far lievitare i prezzi , le cose andrebbero contro gli interessi dei consumatori

non mi sembra visibile questo aumento (almeno al netto della crisi dei chip, trasversale a tutti i tipi merceologici, dagli smartphone fino alle automobili)
 
finalmente è tornato l'SNI(dopo lungo periodo di assenza/dismissione)...sotto forma del nuovo protocollo ECH (Encrypted Client Hello)
 

Allegati

  • Clipboard01.jpg
    Clipboard01.jpg
    81,2 KB · Visite: 23
...e dopo tanto tempo son riuscito a configurare in maniera decente, dal punto di vista del tracciamento, firefox...da questo punto di vista brave è molto migliore, ma per altre questioni è povero di settaggi (essendo legato a chrome)...firefox ha migliaia e migliaia di settaggi possibili, contro il centinaio o poco più dei vari chrome derivati (parlo dei settaggi "nascosti")


ricordate? ai tempi non si riusciva ad ottenere la "strong protection"...son riuscito anche a centrare luna "nearly-unique" (invece di "unique" , che è un disastro:wall:) fingerprint
 

Allegati

  • eff.jpg
    eff.jpg
    195 KB · Visite: 26
uno dei nostri classici test del thread

https://browserleaks.com/ssl

per controllare vari elementi di sicurezza

il vostro assomiglia più al secondo (mio FF ben all'uopo configurato) o al primo (mio brave che in questo comparto, purtroppo, come tutti i chromium derived, non può esserlo)?

mi riferisco alla parte centrale dove risiedono i protocolli di crittografia utilizzati dal browser e fondamentali per qualsiasi cosa. ebbene, quelli con la scritta in rosso, sono da qualche anno crackati e sono quindi altamente pericolosi eppure non sono stati eliminati dai browser (e nemmeno da microsoft e altri , per motivi di "compatibilità":wall: ma siamo mattiiii:wall::wall::wall:)

FF per fortuna da la possibilità di eradicarli completamente e con il test in questione lo si può appunto verificare

occhio, perchè se qualche sito, qualche banca ,e-mail provider, qualsiasi situazione , utilizza a rotazione-priorità, una qualsiasi delle suite crittografiche obsolete(e ce ne sono una marea che lo fanno, siti di microsoft compresi), le vostre comunicazioni/dati/credenziali è come se fossero in chiaro
 

Allegati

  • Clipboard01.jpg
    Clipboard01.jpg
    118,5 KB · Visite: 24
  • Clipboard02.jpg
    Clipboard02.jpg
    118,4 KB · Visite: 22
Ciao @groviglio, seguo sempre con piacere quello che posti in termini di sicurezza, ho sempre settato il pc seguendo le tue guide. Facendo il test vedo che mi manca la quarta voce Secure SNI, ma a sto giro non trovo il modo di configurarla, mi servirebbe una dritta in questo senso......
 
allora, non mi ricordo lo switch singolo preciso, percui , a scanso di equivoci , ti dico quello che mi ricordo di aver fatto (il mio FF è un inferno di prove e e settaggi...talvolta lo blindo troppo e rimango "chiuso" fuorirotfl:). mi raccomando , scriviti giù le modifiche che fai ed eventualmente torni indietro, driportandole allo status quo ante)

le impostazioni inerenti a SNI sono:

network.security.esni.enabled true (questa teoricamente non dovrebbe essere più utilizzata, perchè era la vecchia, ma da me è rimasta attiva)

network.dns.echconfig.enabled true (il nuovo protocollo si chiama ECH...ancora è adottato da pochi siti e provider)

network.dns.http3_echconfig.enabled true


ps ah, ormai io uso solo QUIC (HTTP3)..alla fine moltissime impostazioni sono in realtà profondamente interrelate ECH si "compenetra" con DNS, DNS con DoH, ECH e DNS con QUIC(HTTP3) e il cielo solo sa quando si switcha con true o false come azzo si combinano e l'effetto risultante (certo , io mi vado a studiare tutte le impostazioni su web dalle fonti e da smanettoni della mia risma, ma è sempre un caos, perchè non c'è mai una guida veramente completa con tutte le impostazioni (sono migliaia ) e i loro effetti diretti e incrociati


fammi sapere se va
 
allora, non mi ricordo lo switch singolo preciso, percui , a scanso di equivoci , ti dico quello che mi ricordo di aver fatto (il mio FF è un inferno di prove e e settaggi...talvolta lo blindo troppo e rimango "chiuso" fuorirotfl:). mi raccomando , scriviti giù le modifiche che fai ed eventualmente torni indietro, driportandole allo status quo ante)

le impostazioni inerenti a SNI sono:

network.security.esni.enabled true (questa teoricamente non dovrebbe essere più utilizzata, perchè era la vecchia, ma da me è rimasta attiva)

network.dns.echconfig.enabled true (il nuovo protocollo si chiama ECH...ancora è adottato da pochi siti e provider)

network.dns.http3_echconfig.enabled true


ps ah, ormai io uso solo QUIC (HTTP3)..alla fine moltissime impostazioni sono in realtà profondamente interrelate ECH si "compenetra" con DNS, DNS con DoH, ECH e DNS con QUIC(HTTP3) e il cielo solo sa quando si switcha con true o false come azzo si combinano e l'effetto risultante (certo , io mi vado a studiare tutte le impostazioni su web dalle fonti e da smanettoni della mia risma, ma è sempre un caos, perchè non c'è mai una guida veramente completa con tutte le impostazioni (sono migliaia ) e i loro effetti diretti e incrociati


fammi sapere se va

Perfetto! Ora ho anche la spunta sulla quarta voce. Ho modificato la seconda e la terza, mentre invece la prima, network.security.esni.enabled, non è neanche più presente. Grazie ancora, se non ho problemi durante la navigazione (e credo proprio di no) lascio i settaggi che hai indicato.
 
Perfetto! Ora ho anche la spunta sulla quarta voce. Ho modificato la seconda e la terza, mentre invece la prima, network.security.esni.enabled, non è neanche più presente. Grazie ancora, se non ho problemi durante la navigazione (e credo proprio di no) lascio i settaggi che hai indicato.


yepOK!


ps se non ho problemi io con la navigazione , dubito che tu li possa aver introdotti con questi due settaggi assolutamente benefici...poi bisogna sempre chiedersi perchè si hanno problemi di navigazione su siti recalcitranti: quasi sempre è perchè il sito in questione ha dei protocolli e delle impostazioni da far pietà e da non esser degni di esser "navigati";)
 
...noto che anche brave e chrome (non ancora edge), ora (con gli appositi switch) passano il test..ottimoOK!

segno che la problematica della criptazione dell'SNI è sentita
 

Allegati

  • Clipboard01.jpg
    Clipboard01.jpg
    50,7 KB · Visite: 24
...noto che anche brave e chrome (non ancora edge), ora (con gli appositi switch) passano il test..ottimoOK!

segno che la problematica della criptazione dell'SNI è sentita

se puoi mettere qualche informazione il più,
per poterli settare,
potrebbe tornare utile ai frequentatori del Fol ;)
:bye:
 
eh, io ho sempre la (non tanto segreta, come sapete) speranza che i miei spunti abbiano una funzione maieutica (cioè , dovreste approfondire un po' voi la teoria e andare negli hidden settings e cercare)..anche così si impara e si diventa più consapevoli (di quel che si fa)...insomma , la sicurezza comporta consapevolezza e un po' di conoscenza, non la copiatura sic et simpliciter di qualcun altro che vi dice che quei settaggi son sicuri:'(:

già esisteva e avevamo abilitato Experimental QUIC protocol

gli switch per la criptazione di SNI (e non solo)sono:

Encrypted ClientHello ------------------enabled

Support for HTTPS records in DNS ----------------------enabled for DNS over https only

Use DNS https alpn ----------------enabled
 
eh, io ho sempre la (non tanto segreta, come sapete) speranza che i miei spunti abbiano una funzione maieutica (cioè , dovreste approfondire un po' voi la teoria e andare negli hidden settings e cercare)..anche così si impara e si diventa più consapevoli (di quel che si fa)...insomma , la sicurezza comporta consapevolezza e un po' di conoscenza, non la copiatura sic et simpliciter di qualcun altro che vi dice che quei settaggi son sicuri:'(:

già esisteva e avevamo abilitato Experimental QUIC protocol

gli switch per la criptazione di SNI (e non solo)sono:

Encrypted ClientHello ------------------enabled

Support for HTTPS records in DNS ----------------------enabled for DNS over https only

Use DNS https alpn ----------------enabled

grazie OK!
 

Allegati

  • exp.JPG
    exp.JPG
    43,8 KB · Visite: 126
dal mio specifico punto di vista, però, non spiegano come sono configurati i vari browser: se fossero lasciati i settaggi base (quelli non nascosti, insomma), non sarebbe , per me, così significativo. tu hai evidenza di qualche informazione al riguardo?

il browser (con le sue precise impostazioni ) è veramente il pezzo fondamentale , come interfaccia principale sul web e punto di vulnerabilità massimo, in tutti i sensi(almeno per la stragrande maggioranza delle persone)
 
Indietro