I pericoli della localizzazione

Sviluppare una buona applicazione è già di per se un lavoro molto complesso, localizzarla ancora di più.

Nella migliore tradizione del tradurre è sempre un po’ tradire è possibile commettere degli errori, più o meno gravi, specialmente quando si fanno le cose in fretta o senza riflettere troppo.

Uno di quelli più famigerati (e che ancora oggi provocano danni) è senza dubbio la localizzazione errata fatta da Microsoft in Outlook dei prefissi delle email di risposta.

Tanto per essere chiari è il motivo per cui alcune mail (in Italia) hanno nel subject una fila di R: RE: R: RE: RE: FW: I: RE: e così via. In altri paesi ci sono ancora altri prefissi. La storia è molto complessa, qui MailMate fa un ottimo excursus (visto che si parla anche di prefissi latini).

In questo caso però un problema di localizzazione ha provocato solo il classico fastidio dovuto all’evidente impossibilità di interoperare, se non si trova un linguaggio comune. Che nell’informatica è l’inglese, punto.

A volte però la localizzazione potrebbe provocare problemi più gravi di fastidi lessicali, potrebbe provocare problemi di sicurezza.

Per analizzare un caso reale, prendiamo il popolare lettore di PDF Foxit Reader.

foxit reader

Foxit è il principale concorrente di Adobe Reader, e uscì sul mercato qualche anno fa puntando proprio su una sua maggiore leggerezza rispetto al mammuth di Adobe, e su una sua maggiore sicurezza nel gestire i PDF.

È bene sempre ricordare che i PDF sono la fonte principale per la diffusione del malware, essendo un veicolo privilegiato, fragile ed efficiente, per far girare codice malevolo sul computer bersaglio dell’attacco. Vanno quindi sempre trattati con prudenza e se non si conosce il mittente non vanno mai aperti. Anzi, se usate servizi di webmail come Gmail è sempre bene visualizzarli prima col browser e non scaricarli se c’è qualcosa che non va.

Proprio per questo motivo è necessario che le applicazioni che li leggono siano aggiornate costantemente, per evitare possibili attacchi. E il reader di Foxit, così come quello di Adobe, non sono da meno.

E qui vengono i problemi. Perché Foxit Reader, partito solo in inglese, per espandere i suoi utenti è ora disponibile in più lingue.

Se lo andiamo a scaricare, vediamo questa finestra

Foxit Reader Inglese

foxit english

 Foxit Reader Italiano

foxit italian

Foxit Reader Francese

foxit french

La vedete la differenza? Esatto la versione nelle altre lingue è inferiore. E questo significa automaticamente che è più vulnerabile.

Quindi vuol dire che se una persona non inglese sta usando (come è comprensibile) Foxit Reader nella propria lingua madre è più vulnerabile.

Tra l’altro non so se notate ma le versioni localizzate sono un po’ più pesanti di quella in inglese, il che deriva probabilmente dai file di localizzazione.

Quindi il lavoro è stato fatto bene, il “core” dell’applicazione resta stabile e per localizzarla si usano file specifici, con i dizionari ad hoc, richiamati poi dinamicamente. In questo modo non solo è facile tradurre in qualsiasi lingua, ma non si fa l’errore di rendere hardcoded un qualcosa di dinamico.

Da quello che sembra quindi il ritardo non è tanto nell’aggiornamento del codice base di Foxit, quanto del packaging delle versioni localizzate. Ma per l’utente finale cambia poco, sempre a rischio è.

Ricordo uno scenario simile anche per le prime installazioni di WordPress.org. Quando usciva una nuova release (e ne uscivano parecchie man mano che diventava più popolare, quindi più attaccato), chi aveva installato la versione di WordPress Italy doveva aspettare che uscisse la versione localizzata.

Con il rischio naturalmente di essere colpiti per primi.

Con l’evoluzione del codice i dizionari di localizzazione sono stati sempre più spostati fuori dal codice base del programma, rendendo molto più immediato un suo patching.

Firefox ad esempio fa uscire le nuove release contemporaneamente in tutte le 80 e più lingue supportate. Perché appunto ha una gestione dei language pack molto ben fatta.

Senza dubbio è importante che una software house aggiorni costantemente i propri prodotti. E non annoiatevi quando vi si chiede di fare un update, fatelo è per la vostra sicurezza.

Non è corretto però che la software house, specialmente se punta proprio sulla sicurezza, lasci i suoi utenti non anglofoni in balia di possibili rischi. Non importa se per pochi giorni o per poche ore, il rischio c’è sempre.

Il consiglio quindi è ancora quello di aggiornare tutto appena possibile ma, più importante, usare i software solo in inglese.

Se questo vi da noia, e se chi pubblica il vostro programma preferito non aggiorna tutto allo stesso momento, cambiate programma.

Annunci

Piccolo post di fine anno..

Salve a tutti.

Sono passati un po’ di mesi dall’ultimo post, l’estate è diventata inverno e l’anno è quasi al termine.

Dalle ferie estive in poi ho avuto diversi impegni, lavorativi e non, che mi hanno allontanato un po’ dallo scrivere sul blog. Non ho comunque perso l’attenzione verso quello che succede in giro.

Insomma scrivevo poco, ma leggevo molto.

In ogni caso ho lavorato nel poco tempo libero su un progettino per una serie di articoli riguardanti il lato oscuro della rete. Non stiamo parlando di usare la Forza, ma dei servizi non accessibili direttamente da tutti gli utenti, ma solo passando per Tor.

Molti di voi sapranno già di cosa sto parlando, altri no, anche se ci sono stati degli avvenimenti recenti nel mondo dell’hacktivism che hanno portato alla luce questo micro-mondo. A grandi linee gli articoli parleranno di come si usa Tor, cosa sono gli hidden services e cosa offrono, come funziona e cos’è la moneta di scambio di quel micro-mondo: BitCoin.

Il progetto è un po’ lungo, ma spero di svilupparlo per bene da gennaio in poi.
Nel frattempo Buon anno a tutti, e che sia molto più sicuro di quanto sia stato il 2011

Bye!

P.S.: il video di cui avevo parlato tempo fa ora ha i sottotitoli in italiano, fatti dal sottoscritto con la collaborazione di Boaz Fischer di CommsNet.

P.P.S.: C’è anche un’altra cosetta, ma per quella bisogna aspettare. Fingers crossed!

Gli amici non lasciano altri amici usare IE6 (e qualche considerazione sui problemi di sicurezza)

Altra notizia che riguarda Microsoft (non me ne volete, ma le news queste sono…).

Dopo averci provato per diverso tempo, Microsoft ritorna all’attacco sulla questione dell’abbandono di Internet Explorer 6. Nonostante quest’anno si compia il decimo anniversario della nascita, il browser è tuttora utilizzato in gran parte del mondo.

Feliciano Intini, Chief Security Advisor di Microsoft Italia e prolifico blogger, parla in un suo articolo di ben il 12% di utenti mondiali di IE6, con un 3,3% in Italia.

Microsoft ha lanciato quindi una campagna volta a far scendere la percentuale globale all’1%. Potete verificare lo stato sul sito Internet Explorer 6 Countdown.

La cosa che trovo interessante è che uno dei principali problemi della sicurezza del software, ovvero l’obsolescenza dei prodotti e il loro mancato aggiornamento, trova nel caso di IE6 un case history incredibile. Questo anche per colpa di Microsoft ovviamente. Sicuramente non hanno fatto bene i cinque anni passati tra le versioni 6 e 7 di IE, che hanno lasciato ben sedimentare il software, sia per le difficoltà nel rilasciare patch di sicurezza di un prodotto che forse non era stato pensato come security-driven. Già nel 2004 parlavano di ben 234 versioni su cui fare i test prima di una fix di sicurezza.

Diciamo che era stato pensato prima della svolta imposta da Bill Gates sulla sicurezza del software, svolta necessaria e che ritengo sia ancora un esempio su come le cose possono cambiare, anche se è difficile debellare il pregiudizio anti-Microsoft che ancora impera…

Fatto sta che ora uno dei prodotti più pericolosi per la navigazione web è ancora molto utilizzato, e le percentuali asiatiche sono preoccupanti. In effetti stando in Giappone mi sono accorto di come IE6 fosse diffuso nei chioschi internet a pagamento.

Sicuramente uno dei motivi principali del mancato upgrade è la compatibilità. Ci sono ancora un sacco di siti in giro e la stessa Microsoft ha previsto una funzione di retro-compatibilità per chi usa IE8.

Questo è il secondo punto di interesse di questa storia, perché è un esempio di un altro dei principali problemi della sicurezza del software, ovvero le errate strategie aziendali. Trovo molto pericoloso infatti anteporre il costo dell’aggiornamento di un’applicazione web (soprattutto se intranet) al rischio che si può correre continuando ad usare software pericolosi e con vulnerabilità utilizzabili anche da script kiddie
Va detto per completezza che, ragionando da CEO e guardando al rapporto costi/benefici, può essere comprensibile non intraprendere certe strade. Gartner stesso (fin troppo ascoltato ai piani alti) dice che i costi della migrazione sono troppo costosi, e che la stessa Microsoft non offre dei piani di rientro facili, e economici, da percorrere. E questo chiunque lavori in una azienda di grandi dimensioni lo deve sapere, che sia esperto di sicurezza o dirigente.

In conclusione la situazione è molto più complessa di quanto si possa pensare, e non si risolve con un semplice Windows Update… Sono sicuro che prossimamente avrò modo di trattare queste problematiche di sicurezza in modo più approfondito.

Bye!