Nell'ultimo periodo si è fatto un gran parlare della scarsa sicurezza di Firefox, visto che non passa giorno o quasi in cui non vengono esposte al mondo delle nuove vulnerabilità del noto browser. Spero che la cosa possa servire di insegnamento a quanti hanno insistito nel decantare l'inscalfibile leggenda della sicurezza di FF, nonostante gli inviti alla prudenza... E' tempo che la gente si ficchi nella zuccona dura che non esiste alcun software "sicuro", ma solo del software ampiamente testato e robusto. Scolpitevelo nel cervello.
Detto questo, la cosa davvero importante è il tempo di risposta alle vulnerabilità: la differenza di qualità tra i prodotti la fa anche la velocità con cui i suoi problemi vengono risolti (oltre al fatto che magari uno si augura che di difetti ce ne siano pochini fin dall'inizio).
La grande fregatura di gente come Zalewski, sulle cui capacità tecniche credo tutti possano concordare, è che sta cercando di farsi un curriculum, quindi invece di seguire la politica di sicurezza di MoCo/MoFo, spara in prima pagina ogni problema che trova: il che è modo rispettabilissimo di comportarsi (uno mica deve rispettare una politica che non condivide), ma farlo col "contagocce" diventa controproducente per il prodotto. Vi sembra casuale che l'uscita di FF 2.0.0.2 sia stata ritardata più volte per sistemare buchi trovati da Zalewski e che, guarda caso, il giorno prima del rilascio lo stesso tizio abbia trovato una falla non certo piccola? (Di certo più grossa di alcuni buchi precedenti). Quanta buona pubblicità ha generato per il tizio e quanta cattiva se n'è prodotta per FF e Mozilla in genere?
In ogni caso, ben vengano 10, 100, 1000 Zalewski: con le buone o con le cattive, più gente ci mette il naso e più il codice diventa robusto; e meglio è che succeda adesso, in tempo per la versione 3 (e per le eventuali decisioni in campo sicurezza da prendere), piuttosto che a frittata fatta.
Per non andare troppo fuori dal seminato, segnalo che anche l'installer di TB2 sta subendo qualche modifica per renderlo meno ostico con Vista.
lunedì 26 febbraio 2007
sabato 24 febbraio 2007
Toh! Chi si vede!
Avevo da poco espresso le mie perplessità circa il vero apporto al codice backend di TB da parte del gruppo Eudora/Qualcomm, ed ecco fatto: uno di loro ha appena sistemato un crash contenuto nel codice che importa i dati da Eudora... Oddio, non è che sia vero e proprio backend, ma un crash di meno è sempre un bel passo avanti, ergo mi ripappo tutto... Se magari, per sbaglio, dovessero dare una bella occhiata anche a qualche altro pezzo di codice in giro, non mi offenderei affatto!
Sempre a proposito di TB, sistemato anche un bug che non permetteva la rimozione di tutte le etichette/tag dai messaggi.
Per i fan di Zalewski, anche una sospetta vulnerabilità (non credo abbia guadagnato tale status, visto che il programma va in crash e basta) del trunk è stata sistemata, mentre sembra per ora che il branch ne sia immune (leggi: FF 2.x).
Per il resto, vi avevo detto che stanno mettendo dentro una valanga di test? :)
Su questo fronte però si è verificato un fatto spiacevole: sono stati aggiunti una serie di test sul DOM (level 1), tirati fuori da w3c, non tenendo conto che alcuni di essi hanno un copyright sopra e nonostante le grida di allarme di un collaboratore di vecchia data. Certi atteggiamenti sono duri a morire...
Sempre a proposito di TB, sistemato anche un bug che non permetteva la rimozione di tutte le etichette/tag dai messaggi.
Per i fan di Zalewski, anche una sospetta vulnerabilità (non credo abbia guadagnato tale status, visto che il programma va in crash e basta) del trunk è stata sistemata, mentre sembra per ora che il branch ne sia immune (leggi: FF 2.x).
Per il resto, vi avevo detto che stanno mettendo dentro una valanga di test? :)
Su questo fronte però si è verificato un fatto spiacevole: sono stati aggiunti una serie di test sul DOM (level 1), tirati fuori da w3c, non tenendo conto che alcuni di essi hanno un copyright sopra e nonostante le grida di allarme di un collaboratore di vecchia data. Certi atteggiamenti sono duri a morire...
giovedì 22 febbraio 2007
Maquillage
Nella pletora di checkin delle ultime ventiquattro ore, che hanno inserito un'altra sfilza di test e poi test ed ancora test, l'unica segnalazione degna di nota, anche se un po' vanesia, è la nuova veste grafica regalata a SM Posta, tutta in un checkin. In efetti era un po' che non si muoveva nulla circa il nuovo tema "classic" (a breve rinominato "default" in osservanza del toolkit), dopo i pulsantoni del browser. Sto ancora facendo la build linux e si saprò dire che effetto fanno le nuove icone... Da uno sguardo rapido nel bug, l'icona più incomprensibile è quella dello stato spam (non si capisce che è un cestino pieno di cartacce!), mentre molte altre icone sembrano trapiantate di sana pianta da TB (almeno quello vecchio).
Update: un'immagine vale più di mille parole... Ho cerchiato in rosso i dettagli nuovi.
Update: un'immagine vale più di mille parole... Ho cerchiato in rosso i dettagli nuovi.
mercoledì 21 febbraio 2007
Cinque anni, un bug...
Continua con un ritmo impressionante l'inserimento di test automatici e non nell'albero di Mozilla: devo dire che hanno preso il discorso parecchio sul serio, segno che d'ora in poi i cambiamenti in Gecko saranno molto meno "traumatici" sotto l'aspetto regressioni.
Ma veniamo al nocciolo principale del post.
Dopo cinque lunghi anni di silenzio o quasi (apertura nel 2002, discussione attiva nel 2004, un solo messaggio nel 2006...), è stato sistemato un bug davvero fastidioso di TB/SM Posta, relativo ai filtri: non era possibile far girare manualmente più filtri su cartelle selezionate.
La cosa raccapricciante di questo bug è il commento dello sviluppatore (Karsten Dusterloh, aka Mnyromyr, peer reviewer per il modulo mailnews): "This is so sad. For about 5 years nobody can't even have looked into the code, since the actual bug is just so obvious... :(".
Peccato che nella stessa condizione ci siano centinaia se non migliaia di segnalazioni, quasi esclusivamente relative a mailnews/TB. E' un dato di fatto che il team di sviluppo di TB è limitato nelle persone (non nelle capacità), e l'accordo con Qualcomm/Eudora non porta vantaggi: si tratta infatti di tanto lavoro per fare assomigliare TB a Eudora, ma il backend non viene praticamente toccato.
Ancora non vedo qualche inversione di tendenza della MoCo su TB, il che mi preoccupa da un lato e dall'altro mi lascia perplesso: non si vuol spingere TB contro Evolution per non pestare i piedi alle società che spingono su Gnome/Evolution? Oppure i client e-mail non generano abbastanza ritorni economici? Credo proprio che mi manca qualche "pezzo" del puzzle...
Ma veniamo al nocciolo principale del post.
Dopo cinque lunghi anni di silenzio o quasi (apertura nel 2002, discussione attiva nel 2004, un solo messaggio nel 2006...), è stato sistemato un bug davvero fastidioso di TB/SM Posta, relativo ai filtri: non era possibile far girare manualmente più filtri su cartelle selezionate.
La cosa raccapricciante di questo bug è il commento dello sviluppatore (Karsten Dusterloh, aka Mnyromyr, peer reviewer per il modulo mailnews): "This is so sad. For about 5 years nobody can't even have looked into the code, since the actual bug is just so obvious... :(".
Peccato che nella stessa condizione ci siano centinaia se non migliaia di segnalazioni, quasi esclusivamente relative a mailnews/TB. E' un dato di fatto che il team di sviluppo di TB è limitato nelle persone (non nelle capacità), e l'accordo con Qualcomm/Eudora non porta vantaggi: si tratta infatti di tanto lavoro per fare assomigliare TB a Eudora, ma il backend non viene praticamente toccato.
Ancora non vedo qualche inversione di tendenza della MoCo su TB, il che mi preoccupa da un lato e dall'altro mi lascia perplesso: non si vuol spingere TB contro Evolution per non pestare i piedi alle società che spingono su Gnome/Evolution? Oppure i client e-mail non generano abbastanza ritorni economici? Credo proprio che mi manca qualche "pezzo" del puzzle...
lunedì 19 febbraio 2007
Un tranquillo weekend...
...di patch minori! Davvero nulla di particolarmente rilevante, oltre ad un paio di bug chiusi sul solito GCC (garbage cycle collector) che dovrebbero renderlo più affidabile e più potente con certe strutture dati, ed un paio di bug riguardanti l'uso delle tag (etichette) di TB2/SM Posta.
Tra i tanti bachetti di ripulitura finiti dentro, anche uno del vostro (no, non ce la farà per TB2, oramai lo string freeze è irrevocabile).
Devo proprio decidermi a scrivere un articolo più dettagliato su come aprire e lavorare su un bug per contribuire nel proprio piccolo al codice Mozilla...
Time will tell (citazione videogiocosa: chi indovina?).
So che una persona pseudotecnica mi odierà, ma non è colpa mia: gli hanno appena aumentato il lavoro di traduzione, ovviamente appena in tempo per TB2! :-P
Tra i tanti bachetti di ripulitura finiti dentro, anche uno del vostro (no, non ce la farà per TB2, oramai lo string freeze è irrevocabile).
Devo proprio decidermi a scrivere un articolo più dettagliato su come aprire e lavorare su un bug per contribuire nel proprio piccolo al codice Mozilla...
Time will tell (citazione videogiocosa: chi indovina?).
So che una persona pseudotecnica mi odierà, ma non è colpa mia: gli hanno appena aumentato il lavoro di traduzione, ovviamente appena in tempo per TB2! :-P
sabato 17 febbraio 2007
Mozilla Everywhere
E' saltata fuori una cosa simpatica tra i bug di oggi: sarà possibile utilizzare Mozilla su tutte le piattaforme (Win, Mac e Linux) come browser backend di SWT (Java), con supporto completo sotto Eclipse, anche se con funzionalità ridotte all'osso. Il tutto sarà automaticamente basato su XULRunner.
A parte questa chicca, continua la sfoltita alle parti di codice e/o interfacce obsolete, l'aggiunta di altri test automatici e ci si prepara ad avere dei messaggi di errore di PSM molto più chiari ed esaurienti.
A parte questa chicca, continua la sfoltita alle parti di codice e/o interfacce obsolete, l'aggiunta di altri test automatici e ci si prepara ad avere dei messaggi di errore di PSM molto più chiari ed esaurienti.
venerdì 16 febbraio 2007
Tornato!
Rieccomi dopo essere stato bucherellato come un puntaspilli per tre giorni di fila... Speriamo sia servito a qualcosa.
Senza PC, ho seguito poco quanto è successo negli ultimi giorni, ma alcune cose interessanti le ho "colte" lo stesso. E' stato sistemato il bug di sicurezza di Zalewski, sia sul trunk che sui branch: quindi le prossime versioni ufficiali di FF/SM saranno immuni dal problema.
Ora l'importazione dei dati per SM Posta avviene tramite una unica libreria runtime, invece delle 6 precedenti. E' stato risolto il problema di TB/SM Posta che ricostruivano infinitamente il file indice di alcune cartelle IMAP. Ora PSM (Personal Security Manager) gestisce meglio i socket SSL bloccanti.
Update: scartabellando un altro po', ho trovato altre cosette interessanti:
Senza PC, ho seguito poco quanto è successo negli ultimi giorni, ma alcune cose interessanti le ho "colte" lo stesso. E' stato sistemato il bug di sicurezza di Zalewski, sia sul trunk che sui branch: quindi le prossime versioni ufficiali di FF/SM saranno immuni dal problema.
Ora l'importazione dei dati per SM Posta avviene tramite una unica libreria runtime, invece delle 6 precedenti. E' stato risolto il problema di TB/SM Posta che ricostruivano infinitamente il file indice di alcune cartelle IMAP. Ora PSM (Personal Security Manager) gestisce meglio i socket SSL bloccanti.
Update: scartabellando un altro po', ho trovato altre cosette interessanti:
- SM Editor e Composer (oltre a TB) adesso usano la nuova interfaccia per il controllo ortografico, con alcune modifiche particolari circa le parole da ignorare o i suggerimenti (diversamente da FF).
- Finalmente sono tornati i grippies su Suiterunner! :-) (e qui c'è la conferma che SM 1.5 sarà solo e soltanto in versione toolkit)
- In SM Posta, gli allegati e le immagini possono ora essere aperti in una nuova scheda o finestra.
domenica 11 febbraio 2007
Un TB interessante
Si preannuncia proprio una release interessante quella di TB 2, specie per alcune caratteristiche di personalizzazione pensate in modo particolare per gli ISP (internet service provider). Come avevo già annunciato qualche giorno fa, è ora possibile fornire i file .sfd per configurare i filtri antispam di TB (e SM Posta) in base al filtro antispam usato dall'ISP.
Nella cartella extensions verrà creata una sottocartella in cui finiranno il file .rdf (che facilita la creazione degli account di posta tramite wizard) e il file .sfd (che indica a TB con quale formato l'antispam dell'ISP marca lo spam, permettendone la rimozione immediata dal server): davvero una buona idea, secondo me. Chissà cos'altro ci si potrà mettere dentro in futuro...
Nella cartella extensions verrà creata una sottocartella
sabato 10 febbraio 2007
Ancora patch...
Continua il flusso di patch dopo la riapertura, anche se adesso sembra essersi ridotto. Oltre ad un paio di buchetti di sicurezza chiusi, si sono avute diverse "sforbiciatine" di codice un po' in ogni dove: nulla di particolarmente grosso (una manciata di byte ogni volta), ma è pur sempre qualcosa. Tra i cambiamenti, sono state rimosse diverse API rese obsolete e sconsigliate già da un paio di versioni di Gecko.
PSM (personal security manager): sono stati sistemati 2 problemi nel codice delle preferenze OCSP, e altrettanti con alcuni certificati SSL, oltre ad un problema di visualizzazione dei dispositivi di sicurezza.
XForms: è stato inserito il supporto alla funzione current() di XPath.
Le interfacce per Thebes sono state ripulite e ora compilano (con qualche trucchetto) anche con OS/2.
La cosa più interessante comunque rimane la sistemazione di un bug di TB: ora gli allegati AppleDouble non incasinano più il client (regressione da TB 1.5).
PSM (personal security manager): sono stati sistemati 2 problemi nel codice delle preferenze OCSP, e altrettanti con alcuni certificati SSL, oltre ad un problema di visualizzazione dei dispositivi di sicurezza.
XForms: è stato inserito il supporto alla funzione current() di XPath.
Le interfacce per Thebes sono state ripulite e ora compilano (con qualche trucchetto) anche con OS/2.
La cosa più interessante comunque rimane la sistemazione di un bug di TB: ora gli allegati AppleDouble non incasinano più il client (regressione da TB 1.5).
giovedì 8 febbraio 2007
Aperte le gabbie!
Non appena è uscito Minefield nuovo e hanno riaperto l'albero, si sono tutti scatenati con i checkin! Risulta un po' difficile seguire il tutto, ma posso segnalare almeno un paio di cose interessanti, tutte e due riguardanti Thunderbird:
E' stata "segata" via anche una dir di esempi non toccata da anni e che rallentava le build di un po' tutti i prodotti, oltre a finire forse nelle build .zip di SM inutilmente.
E il flusso di patch non sembra arrestarsi...
- Adesso TB non dimentica più le impostazioni della posta indesiderata per i singoli account (brutta regressione);
- TB può salvare delle ricerche e segnalare se ci sono nuovi messaggi in tali ricerche salvate (con una icona apposita).
E' stata "segata" via anche una dir di esempi non toccata da anni e che rallentava le build di un po' tutti i prodotti, oltre a finire forse nelle build .zip di SM inutilmente.
E il flusso di patch non sembra arrestarsi...
mercoledì 7 febbraio 2007
1.9a2 chiuso
L'albero di sviluppo è stato chiuso per permettere 3 operazioni:
Ultimamente sono finiti nel calderone alcune centinaia di nuovi test contro le regressioni: devo dire che hanno affrontato molto aggressivamente il problema dell'automazione dei test, inserendo anche una nuova flag in Bugzilla che impone l'inserimento dei test unitamente alle eventuali patch. Chapeau.
UPDATE: la patch per le unità di misura ha avuto anche il poco invidiabile merito di mandare a pallino tutte le build che non fanno uso di cairo: la lista per ora include le build SM per Linux (gcc 3.4) e SunOS, e le build TB per Linux e Windows. Davvero una bella pensata, visto che l'albero è ancora chiuso e nessuno può infilare un fix in fretta! Applausi scroscianti...
- Generazione del tag Gecko1.9a2 (leggi: far uscire Minefield 3.0a2).
- Aggiornamento della versione a 1.9a3.
- Ricezione della patch per uniformare l'uso delle unità di misura all'interno di Gecko.
Ultimamente sono finiti nel calderone alcune centinaia di nuovi test contro le regressioni: devo dire che hanno affrontato molto aggressivamente il problema dell'automazione dei test, inserendo anche una nuova flag in Bugzilla che impone l'inserimento dei test unitamente alle eventuali patch. Chapeau.
UPDATE: la patch per le unità di misura ha avuto anche il poco invidiabile merito di mandare a pallino tutte le build che non fanno uso di cairo: la lista per ora include le build SM per Linux (gcc 3.4) e SunOS, e le build TB per Linux e Windows. Davvero una bella pensata, visto che l'albero è ancora chiuso e nessuno può infilare un fix in fretta! Applausi scroscianti...
giovedì 1 febbraio 2007
In breve
Poco da segnalare, a parte il completamento del Copia&Incolla in about:config per SM, FF e Camino(?).
Stanno ancora lavorando sulle macchine tinderbox (Linux), attivando i test automatici, aggiornando gli script tinderbox, togliendo di torno lhasa e facendo fare le build da distribuire (SM per Linux) a un nuovo server virtuale.
Per il resto roba poco significativa: una ripulita ai decoder jpg e png sotto Cairo, aggiunti una serie di test contro le regressioni, e corretti alcuni bug minori per TB (Re: nella notifica nuovi messaggi e errorini con i template).
Stanno ancora lavorando sulle macchine tinderbox (Linux), attivando i test automatici, aggiornando gli script tinderbox, togliendo di torno lhasa e facendo fare le build da distribuire (SM per Linux) a un nuovo server virtuale.
Per il resto roba poco significativa: una ripulita ai decoder jpg e png sotto Cairo, aggiunti una serie di test contro le regressioni, e corretti alcuni bug minori per TB (Re: nella notifica nuovi messaggi e errorini con i template).
Iscriviti a:
Post (Atom)
