Trustworthy Ubiquitous Computing 1st Edition Karin Bee

Instant Ebook Access, One Click Away – Begin at ebookgate.com
Trustworthy Ubiquitous Computing 1st Edition Karin
Bee
https://ebookgate.com/product/trustworthy-ubiquitous-
computing-1st-edition-karin-bee/
OR CLICK BUTTON
DOWLOAD EBOOK
Get Instant Ebook Downloads – Browse at https://ebookgate.com
Click here to visit ebookgate.com and download ebook now

Instant digital products (PDF, ePub, MOBI) available
Download now and explore formats that suit you...
Process Coordination and Ubiquitous Computing 1st Edition
Marinescu
https://ebookgate.com/product/process-coordination-and-ubiquitous-
computing-1st-edition-marinescu/
ebookgate.com
Ubiquitous Computing Smart Devices Environments and
Interactions 1st Edition Prof. Stefan Poslad
https://ebookgate.com/product/ubiquitous-computing-smart-devices-
environments-and-interactions-1st-edition-prof-stefan-poslad/
ebookgate.com
Throughout Art and Culture Emerging with Ubiquitous
Computing 1st Edition Inke Arns
https://ebookgate.com/product/throughout-art-and-culture-emerging-
with-ubiquitous-computing-1st-edition-inke-arns/
ebookgate.com
Cloud Computing Technologies and Strategies of the
Ubiquitous Data Center 1st Edition Brian J.S. Chee
https://ebookgate.com/product/cloud-computing-technologies-and-
strategies-of-the-ubiquitous-data-center-1st-edition-brian-j-s-chee/
ebookgate.com

Context Aware Mobile and Ubiquitous Computing for Enhanced
Usability Adaptive Technologies and Applications 1st
Edition Dragan Stojanovic
https://ebookgate.com/product/context-aware-mobile-and-ubiquitous-
computing-for-enhanced-usability-adaptive-technologies-and-
applications-1st-edition-dragan-stojanovic/
ebookgate.com
Handbook of Research on Mobility and Computing Evolving
Technologies and Ubiquitous Impacts 1st Edition Maria
Manuela Cruz-Cunha
https://ebookgate.com/product/handbook-of-research-on-mobility-and-
computing-evolving-technologies-and-ubiquitous-impacts-1st-edition-
maria-manuela-cruz-cunha/
ebookgate.com
Econometric Modeling Perspectives 1st Edition Marco Bee
https://ebookgate.com/product/econometric-modeling-perspectives-1st-
edition-marco-bee/
ebookgate.com
Security and Cooperation in Wireless Networks Thwarting
Malicious and Selfish Behavior in the Age of Ubiquitous
Computing 1st Edition Levente Buttyan
https://ebookgate.com/product/security-and-cooperation-in-wireless-
networks-thwarting-malicious-and-selfish-behavior-in-the-age-of-
ubiquitous-computing-1st-edition-levente-buttyan/
ebookgate.com
Android Studio Bumble Bee Essentials Java Edition Neil
Smyth
https://ebookgate.com/product/android-studio-bumble-bee-essentials-
java-edition-neil-smyth/
ebookgate.com

ATLANTISAMBIENT ANDPERVASIVEINTELLIGENCE
VOLUME6
SERIESEDITOR:ISMAILKHALIL

Atlantis Ambient and Pervasive Intelligence
Series Editor:
Ismail Khalil, Linz, Austria
(ISSN: 1875-7669)
Aims and scope of the series
The book series ‘Atlantis Ambient and Pervasive Intelligence’ publishes high quality ti-
tles in the ﬁelds of Pervasive Computing, Mixed Reality, Wearable Computing, Location-
Aware Computing, Ambient Interfaces, Tangible Interfaces, Smart Environments, Intelli-
gent Interfaces, Software Agents and other related ﬁelds. We welcome submission of book
proposals from researchers worldwide who aim at sharing their results in this important
research area.
For more information on this series and our other book series, please visit our website at:
www.atlantis-press.com/publications/books
AMSTERDAM–PARIS–BEIJING
cATLANTIS PRESS

Trustworthy Ubiquitous Computing
Ismail Khalil (Ed.)
Institute of Telecooperation, Johannes Kepler University Linz,
Altenberger Strasse 69, A-4040 Linz, Austria
Teddy Mantoro (Ed.)
Advanced Informatics School, University of Technology Malaysia,
UTM International Campus, Jalan Semarak, 54100 Kuala Lumpur, Malaysia
AMSTERDAM–PARIS–BEIJING

Atlantis Press
8, square des Bouleaux
75019 Paris, France
For information on all Atlantis Press publications, visit our website at:www.atlantis-press.com
Copyright
This book, or any parts thereof, may not be reproduced for commercial purposes in any form or by
any means, electronic or mechanical, including photocopying, recording or any information storage
and retrieval system known or to be invented, without prior permission from the Publisher.
Atlantis Ambient and Pervasive Intelligence
Volume 1: Agent-Based Ubiquitous Computing - Eleni Mangina, Javier Carbo, José M. Molina
Volume 2: Web-Based Information Technologies and Distributed Systems - Alban Gabillon, Quan
Z. Sheng, Wathiq Mansoor
Volume 3: Multicore Systems On-Chip: Practical Software/Hardware Design - Abderazek Ben
Abdallah
Volume 4: Activity Recognition in Pervasive Intelligent Environments - L. Chen, C.D. Nugent, J.
Biswas, J. Hoey
Volume 5: Computer Vision and Action Recognition - Atiqur Rahman Ahad
ISBNs
Print: 978-94-91216-70-1
E-Book: 978-94-91216-71-8
ISSN: 1875-7669
c2012 ATLANTIS PRESS

Editorial: Trustworthy Ubiquitous Computing
Ismail Khalil
Institute of Telecooperation, Johannes Kepler University Linz, Austria
Teddy Mantoro
Advanced Informatics School, University of Technology Malaysia, Malaysia
Ubiquitous Computing (UbiComp) is a vision of rich and seamless interaction with the
surrounding computing environment. In spite of the many applications and projects in the
area of ubiquitous and pervasive computing the success is still far away. One of the main
reasons is the lack of acceptance of and conﬁdence in this technology. Although researchers
and industry are working in all of these areas, a forum to elaborate on security, reliability
and privacy issues, that resolve in trustworthy interfaces and computing environments for
people interacting within these ubiquitous environments is important. The user experience
factor of trust thus becomes a crucial issue for the success of UbiComp applications.
The goal of this book is to provide a state the art on trustworthy ubiquitous computing
to address recent research results and to present and discuss the ideas, theories, technolo-
gies, systems, tools, applications and experiences on all theoretical and practical issues in
developing a trustworthy interfaces which are more secure and richer.
The book compiles a series of interesting and timely papers in the areas of 1) trust and con-
text in UbiComp environments, 2) methods and concepts to enhance and ensure reliability
in UbiComp environments 3) distributed attacks detection and secure access protocol in
MANET, WSN and UbiComp environments and 4) access control and mobile payment in
Trustworthy UbiComp environment.
v

vi Trustworthy Ubiquitous Computing
Part 1: Trust and context in UbiComp environments
This part introduces the concepts of trust and trust in ubiquitous environments and consists
of three chapters: Chapter 1 presents automatic trust management of self-adaptive multi-
display environments which is an important issue in Trustworthy Ubiquitous Computing
due to the fact that during the use of multi-display systems, it can impair user trust and thus
user acceptance. Chapter 2 introduces malicious pixels using QR codes as attack vector.
This is a proof-of-concept phishing attack on QR codes, which is based on the idea of
changing the encoded data of a QR code by turning white modules into black ones. This
chapter proposes an algorithm for ﬁnding similar QR codes for the attack and showed its
feasibility with an example.
Chapter 3 presents a virtual performance stage as a space for children to create and per-
form stories. This study discusses the development of the Wayang Authoring tool, which
aims to assist young people in creating and performing stories, developing an appreciation
for cultural artifacts, and enhancing intercultural empathy while building a young story
teller community within a virtual world. Wayang Authoring is designed as a type of social
software for children to compose the story individually or collaboratively and be more on
creative production. By using Wayang Authoring children can express their creativity by
producing visual stories and sharing them. Wayang Authoring serves all three kinds of
a participatory including afﬁliation, expression and collaboration. The tagging system in
the authoring tool support children to have experiences in story structure. The children can
learn to structure and re-structure a story’s sequence by using the Wayang Authoring digital
tool. The aesthetic coupled with the interactive functions support children to explore vir-
tual and narrative worlds. This virtual creative production tool provides a space for young
people to change their role from a simple user to a (co-)creator.
Part 2: Methods and concepts to enhance and ensure reliability in UbiComp
environments
In this second part, the study on network forensics for detection and mitigation of botnet
malicious code via Darknet is presented in Chapter 4. The main types of malwares –
worms and botnet detection using Darknet is covered. This chapter shows how Darknet as
a network forensic technique perform passive detection of malware infected computers.
Chapter 5 introduces the trusted log management system, which can be used to handle the
accounting scandals. As the log system cannot guarantee the transfer of trusted logs across

Editorial: Trustworthy Ubiquitous Computing vii
a vulnerable transfer path, it is unacceptable for use in digital forensics. The solution of
this problem is by deﬁning an efﬁcient log ﬁle format by introducing a new CSV and using
YAML Ain’t Markup Language and making a transversal search among log ﬁles.
Chapter 6 introduces a framework for the reasoning of collaborative human behaviour in
security-critical work practices. The framework is based on cognitive-based human activ-
ities study and information security, in which it consists of a model and a process. Under
the security context, the model deﬁnes the properties and characteristics of collaborative
communication behavior of human users, while the process deﬁnes three main steps of
observation, simulation and reason and construction of practical security workﬂows. This
security framework evaluates and captures potential security “failure” and “conﬂict” and
envisages the framework to be used for effective handling of security incidents such as
information leakage. The resulting simulation and workﬂow can then be used to mini-
mize potential security incidents, devise better, easy to follow security policies, technical
mechanisms that may be automated, and better collaborative processes.
Part 3: Distributed attacks detection and secure access protocol in MANET,
WSN and UbiComp environments
Chapter 7 introduces mitigation of wormhole attack in wireless sensor networks, which
looks at the WSN in regard to security issues and challenges. This study proposed a net-
work discovery approach to mitigate its effect in the domain of hierarchal or cluster based
wireless sensor networks which use hierarchal routing protocols.
Chapter 8 presents the protocol for secure access in mobile ad-hoc network (MANET)
for emergency services using group based access control model. As MANET is operated
based on wireless environment, it is vulnerable to threats and intruders due to the fact that
information ﬂow can be intercepted and tampered. To solve this problem, a protocol for se-
cure access in emergency services is constructed and implemented in Group Based Access
Control (GBAC) model. The goal of this security solution for MANETs is to provide se-
curity services such as authentication, conﬁdentiality, integrity, trust and also authorization
or access privileges to mobile users. The GBAC model in this chapter presents a protocol
for secure access to information between MG and members in the same group, which is
known as Intra-access protocol. The protocol is constructed using various cryptographic
methods such as encryption, decryption, digital signature and hash functions. The protocol
employs three processes for secure access which are member registration, tag creation, and
the access control protocol. This study presents analyses using cryptographic and direct

viii Trustworthy Ubiquitous Computing
prooﬁng method are applied to the protocol, to ensure that the protocol for secure access
meeting the security properties such as trust, authentication, authorization, conﬁdentiality,
integrity and non-repudiation.
Chapter 9 presents the distributed attacks detection using a lightweight graph-based pat-
tern recognition scheme in mobile ad hoc networks, as the unique characteristics of
MANETs can also be their limitations. The shared wireless medium, distributed and
self-conﬁguring network architecture and highly dynamic nodes have made them highly
susceptible to many attacks. This chapter proposes a distributed hierarchical graph neu-
ron (DHGN) to be incorporated into a cooperative intrusion detection system (IDS) us-
ing lightweight, low-computation, distributed intrusion detection scheme in mobile ad-hoc
networks (MANETs). To identify possible attacks, the collaborative IDS that incorporate
pattern discovery approach are presented.
Part 4: Access Control and Mobile Payment in Trustworthy UbiComp
environment
Chapter 10 presents security framework for mobile banking, as banking sector is always
looking for new services’ delivery platforms to improve customer conﬁdence and satis-
faction. To achieve this, the banking service delivery platform must provide end-to-end
security to safeguard the information exchange between the bank and the customer. Un-
fortunately, many banks adopt generic user authentication systems that was developed for
the desktop environment or other complex authentication systems with a number of user
intrusive activities. Therefore, the usability and adoption of the mobile banking technology
has been extremely slow. This chapter proposes a protocol to solve this problem which
use a minimum number of communication messages in registration, authentication and
authorization processes by generation algorithm which is implemented using HASH func-
tions and Triple DES encryption algorithm. The authentication and authorization uses non-
intrusive methods and hence user inputs are not required for the process. The proposed
model improves the efﬁciency and the usability of the mobile banking services by using an
extra 4-digit user PIN to prevent SIM cloning and mobile user impersonation attacks. This
followed by the discussion on anonymous, secure and fair micropayment system to access
location-based services in Chapter 11.
Chapter 12 presents privacy preserving with a purpose-based privacy data graph. As pri-
vacy is critical before the implementation process privacy must be considered ﬁrst to avoid
expensive errors in the deployed system. This chapter 1) expresses access policy by graph,

Editorial: Trustworthy Ubiquitous Computing ix
which describes the data access policy, and illustrates the direct-linkages and indirect-
linkages between data elements, 2) supports Role Based Access Control to allow admin-
istrator role to assign necessary role-level data access permissions. This simpliﬁes the
speciﬁcation and management on individual users, especially in the case of large number
of users and ﬁnally 3) provides role-level and personal-level access control to speciﬁc usage
of privacy data.
Trustworthy Ubiquitous Computing has been studied in a number of disciplinary areas such
as pervasive/ubiquitous computing, ambient intelligence, intelligent environments, mobile
computing and ambient assisted living, research results have been disseminated in a number
of conferences and journals. However, there is a lack of sources that can give a complete,
systematic view on the state of the art work on trustworthy ubiquitous computing. This
book intends to provide professional practitioners – researchers, technology and system
developers as well as application users, in various research communities with a one-stop
hand-on reference book for trustworthy ubiquitous computing in theoretical and practical
issues, which cover the full spectrum of research issues, novel approaches, algorithms,
robust technologies and exemplar applications.
Happy reading.
Ismail Khalil and Teddy Mantoro
Editors
Ismail Khalil(http://www.iiwas.org/ismail/) is a senior researcher and lecturer
at the institute of telecooperation, Johanes Kepler University Linz, Austria, since October
2002. He is the president of the international organization of Information Integration and
Web-based Applications & Services (@WAS). He holds a PhD in computer engineering
and received his habilitation degree in applied computer science on his work on agents’
interaction in ubiquitous environments in May 2008. He currently teaches, consults, and
conducts research in Mobile Multimedia, Cloud Computing, Agent Technologies, and the
Semantic Web and is also interested in the broader business, social, and policy implications
associated with the emerging information technologies. Before joining Johannes Kepler
University of Linz, he was a research fellow at the Intelligent Systems Group at Utrecht
University, Netherlands from 2001-2002 and the project manager of AgenCom project at
the Software Competence Center Hagenberg - Austria from 2000-2001. Dr. Khalil has
authored around 100 scientiﬁc publications, books, and book chapters. He is the editor
of the Handbook of Research on Mobile Multimedia series, the book Mobile Multimedia:

x Trustworthy Ubiquitous Computing
Communication Engineering Perspective, the book Multimedia Transcoding in Mobile and
Wireless Networks, the book Innovations in Mobile Multimedia Communications and Ap-
plications: New Technologies and the book Advancing the Next-Generation of Mobile
Computing: Emerging Technologies. He serves as the Editor-in-Chief of the International
Journal on Web Information Systems (IJWIS), International Journal on Pervasive Com-
puting and Communication (IJPCC) both published by Emerald Group publishing, UK,
Journal of Mobile Multimedia (JMM) published by Rinton Press, USA, International Jour-
nal of Mobile Computing and Multimedia Communication (IJMCMC) published by IGI
Global, USA, Advances in Next Generation Mobile Multimedia book series published by
IGI Global, USA, and Atlantis Ambient and Pervasive Intelligence book series published
by Atlantis. He is on the editorial board of several international journals. His work has
been published and presented at various conferences and workshops.
Teddy Mantorois an associate professor at School of Advanced Informatics, University
of Technology Malaysia (UTM), Kuala Lumpur, Malaysia. He holds a PhD, an MSc and a
BSc, all in Computer Science. He was awarded a PhD from Research School of Computer
Science, the Australian National University (ANU), Canberra, Australia. His research in-
terest is in Ubiquitous Computing, Pervasive Computing, Context Aware Computing and
Intelligent Environment. He has authored several research papers, a book on Intelligent
Environment, several book chapters and has four patents pending to his credits in the area
of pervasive/ubiquitous computing.

Contents
Editorial: Trustworthy Ubiquitous Computing v
Part I Trust and Context in UbiComp Environments 1
1. The automatic Trust Management of self-adaptive Multi-Display
Environments 3
K. Bee, S. Hammer, Ch. Pratsch, and E. André
1.1 Introduction................................. 3
1.2 Scenario................................... 5
1.3 Trust in Ubiquitous Display Environments................. 6
1.4 Dimensions of Trust............................ 7
1.5 Empirical Validation of Trust Dimensions and User Feelings....... 8
1.5.1 Experimental Setting....................... 9
1.5.2 Conducting the Experiment.................... 11
1.5.3 Results and Discussion...................... 11
1.6 Towards an Automatic Trust Management System............. 12
1.6.1 Using Bayesian Networks to Model Trust............. 13
1.6.2 Monitoring Trust over Time.................... 15
1.6.3 Maintaining User Trust...................... 17
1.7 Conclusion................................. 18
1.8 Acknowledgement............................. 19
Bibliography.................................... 19
xi

xii Trustworthy Ubiquitous Computing
2. Malicious Pixels – Using QR Codes as Attack Vector 21
P. Kieseberg, S. Schrittwieser, M. Leithner, M. Mulazzani, E. Weippl,
L. Munroe, M. Sinha
2.1 Introduction................................. 21
2.2 Background................................. 22
2.2.1 QR codes............................. 23
2.2.2 Capacity and Error correction code................ 24
2.3 Security of QR Codes............................ 25
2.3.1 Threat Model........................... 25
2.3.2 Attacking different parts...................... 26
2.4 QR Codes as Attack Vectors........................ 31
2.4.1 Attacking Automated Processes.................. 31
2.4.2 Attacking Human Interaction................... 32
2.5 Proof-of-Concept Attack.......................... 33
2.5.1 Outline of the Attack....................... 33
2.5.2 Practical application details.................... 35
2.5.3 Example.............................. 36
2.6 Future research............................... 36
2.7 Conclusion................................. 37
Bibliography.................................... 38
3. A Virtual Performance Stage as a Space for Children to Create and
Perform Stories 39
W.A. Widjajanto, H. Schelhowe, and M. Lund
3.1 Introduction................................. 39
3.2 Storytelling, Technology and Children................... 40
3.3 Methods................................... 43
3.3.1 Wayang Performance Workshops with Children......... 44
3.3.2 Wayang Authoring Development................. 44
3.3.3 Prototype Evaluation....................... 49
3.4 Results and Discussion........................... 51
3.4.1 Ability to Compose a Story.................... 51
3.4.2 Story Structure........................... 55

Contents xiii
3.4.3 Intercultural Aspect........................ 56
3.4.4 Interaction between children and the authoring system...... 57
3.5 Conclusions................................. 59
Bibliography.................................... 60
Part II Methods and Concepts to Enhance and Ensure
Reliability in Ubicomp Environments 63
4. Network Forensics: Detection and Mitigation of Botnet and
Malicious Code via Darknet 65
R. Azrina, R. Othman, Normaziah A. Aziz, M. ZulHazmi, M. Khazin,
J. Dewakunjari
4.1 Introduction................................. 65
4.2 Background................................. 66
4.3 Motivation and Related Works....................... 67
4.4 Our Approach and Implementation..................... 68
4.5 Experimental Results and Analysis..................... 70
4.5.1 Further Analysis on Destination Port 445 Trafﬁc......... 71
4.5.2 Further Analysis on ICMP trafﬁc................. 72
4.5.3 Analysis of Suspected Client................... 73
4.6 Future Work................................. 76
4.7 Concluding Remarks............................ 76
Bibliography.................................... 77
5. Trusted Log Management System 79
A. Tomono, M. Uehara, and Y. Shimada
5.1 Introduction................................. 79
5.2 Related Techniques............................. 81
5.2.1 ILM................................ 81
5.2.2 Digital Forensics.......................... 81
5.2.3 Syslog and its Enhancements................... 82
5.2.4 Secure Logging on a PC...................... 83
5.2.5 VLSD............................... 83

xiv Trustworthy Ubiquitous Computing
5.2.6 Security of the VLSD....................... 85
5.3 Design of a Log Management System................... 86
5.3.1 System Overview......................... 86
5.3.2 Collection and Management.................... 89
5.3.3 Reference and Search....................... 89
5.4 Guaranteeing Logs in a Network...................... 90
5.5 NewCSV.................................. 92
5.6 Evaluation.................................. 95
5.6.1 Collection of Logs......................... 95
5.6.2 Construction of Storage for Logs................. 96
5.6.3 Guaranteeing the Logs....................... 96
5.7 Conclusion................................. 97
Bibliography.................................... 98
6. Reasoning of Collaborative Human Behaviour in Security-Critical
Work Practices: A Framework 99
G.S. Poh, N.N. Abdullah, M.R. Z’aba, and M.R. Wahiddin
6.1 Introduction................................. 99
6.1.1 Related Works...........................100
6.1.2 Our Contribution..........................101
6.2 Security Goals...............................101
6.2.1 Conﬁdentiality...........................102
6.2.2 Data Integrity...........................102
6.2.3 Authentication...........................102
6.2.4 Non-repudiation..........................102
6.2.5 Availability............................102
6.3 Human Behaviour Security Framework..................102
6.3.1 Model...............................103
6.3.2 Process...............................104
6.4 Modeling Tools...............................104
6.4.1 Work Practice Analysis......................105
6.4.2 Formal model of the work practice................105
6.4.3 Simulation.............................105
6.4.4 Observing the simulation.....................105

Contents xv
6.5 Practical Scenario..............................105
6.6 Conclusion.................................105
Bibliography....................................106
Part III Distributed Attacks Detection and Secure Access
Protocol in MANET, WSN and UbiComp Environments 107
7. Mitigation of Wormhole Attack in Wireless Sensor Networks 109
A. Modirkhazeni, M. Kadhum, and T. Mantoro
7.1 Introduction.................................109
7.2 Wireless Sensor Network; Concepts and Applications...........110
7.2.1 Applications of Wireless Sensor Networks............110
7.2.2 Sensor Device Architecture....................111
7.2.3 Routing in Wireless Sensor Networks...............112
7.3 Security Issues in Wireless Sensor Network................114
7.3.1 Basic Security Requirements in Wireless Sensor Network....114
7.3.2 Routing Attacks in Wireless Sensor Networks..........116
7.3.3 Cryptographic Approaches in Wireless Sensor Networks.....117
7.3.4 Key Management Approaches in Wireless Sensor Network . . . 118
7.4 Wormhole Attack in Wireless Sensor Networks..............121
7.4.1 Classiﬁcation of Wormhole Attack................121
7.4.2 Wormhole Attack Countermeasures in Wireless Sensor Network 123
7.4.3 WSN Wormhole Attack Countermeasures; Analysis and Com-
parison...............................130
7.5 Proposed Neighbor Discovery Approach..................134
7.5.1 System Assumptions.......................135
7.5.2 Deﬁnition.............................135
7.6 Simulation..................................138
7.7 Results...................................139
7.7.1 Effect of Wormhole Attack on Original Hierarchal Protocol . . . 139
7.7.2 Effect of Wormhole Attack on the Enhanced Protocol......141
7.7.3 Mitigation of Wormhole Attack through the Enhanced Protocol . 142
7.8 Conclusion and Future Works.......................143

xvi Trustworthy Ubiquitous Computing
Bibliography....................................144
8. Protocol for Secure Access in Mobile Ad-hoc Network for
Emergency Services 149
A. Abu Bakar, R. Ismail, A.R. Ahmad, J.-l. Abdul Manan
8.1 Introduction.................................149
8.2 MANET at Emergency Rescue Mission..................151
8.3 Group Based Access Control (GBAC) model...............152
8.3.1 Components in GBAC model...................153
8.4 Delegation protocol.............................164
8.4.1 Delegation protocol using Proxy Signature scheme........165
8.5 Conclusions.................................170
Bibliography....................................171
Part IV Access Control and Mobile Payment in Trustworthy
UbiComp Environment 175
9. A Lightweight Graph-Based Pattern Recognition Scheme in Mobile
Ad Hoc Networks 177
R.A. Raja Mahmood, A.H. Muhamad Amin, A. Amir, A.I. Khan
9.1 Introduction.................................177
9.2 MANETs Security Threats.........................178
9.2.1 Attacks in MANETs........................179
9.2.2 Wormhole Attack.........................180
9.2.3 Black hole or Packet Drop or Sequence Number Attack.....181
9.2.4 Routing Disruption Attack....................182
9.2.5 Flooding or Resource Consumption Attack............182
9.2.6 Dropping Routing Trafﬁc Attack.................182
9.3 Intrusion Detection System in MANETs..................183
9.3.1 Intrusion Detection System Architectures.............184
9.3.2 Intrusion Detection Decision Making...............184
9.3.3 Existing Intrusion Detection System Solutions..........185
9.3.4 Intrusion Detection Schemes...................186

Contents xvii
9.4 Distributed Hierarchical Graph Neuron..................188
9.4.1 Graph Neuron Theory.......................188
9.4.2 Hierarchical Graph Neuron....................190
9.4.3 Distributed Hierarchical Graph Neuron..............192
9.5 Three-Stage Cooperative Intrusion Detection System using DHGN....194
9.5.1 Three-Stage Attack Recognition Process.............195
9.5.2 Challenges in Implementing DHGN in DDoS Detection.....197
9.6 Experiments.................................198
9.6.1 Test1: Distorted images of distinct characters I, A, F and X . . . 199
9.6.2 Test2: Distorted images of low-percentage similar characters S,
FandJ...............................199
9.6.3 Test3: Distorted images of high-percentage similar characters I,
TandZ ..............................200
9.7 Result and Discussion............................200
9.7.1 Classiﬁcation Accuracy of Distinct Patterns...........200
9.7.2 Classiﬁcation Accuracy of Low Similarity Patterns........201
9.7.3 Classiﬁcation Accuracy of High Similarity Patterns.......201
9.7.4 Summary..............................202
9.8 Conclusion.................................203
Bibliography....................................204
10. Security Framework for Mobile Banking 207
D. Weerasinghe, V. Rakocevic, and M. Rajarajan
10.1 Introduction.................................207
10.2 Mobile Banking...............................208
10.3 Architecture.................................211
10.4 Security Protocol Design..........................213
10.4.1 Registration............................215
10.4.2 Authentication...........................216
10.4.3 Authorization...........................217
10.5 Security Tokens and Data Key generation.................218
10.5.1 Security Token Design.......................219
10.5.2 Data Key generation........................221
10.5.3 Execution Challenge Response generation............221

xviii Trustworthy Ubiquitous Computing
10.6 Conclusion & Discussions.........................222
Bibliography....................................224
11. Anonymous, Secure and Fair Micropayment System to Access
Location-Based Services 227
Isern-Deyà, Payeras-Capellà, Mut-Puigserver and Ferrer-Gomila
11.1 Introduction.................................227
11.2 Micropayment Schemes Overview.....................228
11.3 Related Work................................229
11.4 Location-Based Services..........................230
11.4.1 Payment Methods to Access LBS.................231
11.5 LBS Access Protocol Description.....................232
11.5.1 Initial Considerations.......................233
11.5.2 Bank Account Setup........................234
11.5.3 Services List............................234
11.5.4 Withdrawal............................235
11.5.5 Transfer..............................236
11.5.6 Deposit...............................240
11.5.7 Refund...............................241
11.6 Informal Analysis of Properties.......................241
11.6.1 Analysis of Security Properties..................241
11.6.2 Analysis of Efﬁciency.......................244
11.7 Conclusions.................................245
Bibliography....................................246
12. Privacy Preserving with A Purpose-based Privacy Data Graph 249
Y. Tian, B. Song, and E.-N. Huh
12.1 Introduction.................................249
12.2 Background.................................251
12.2.1 Privacy Principles & Policies...................251
12.2.2 RBAC...............................252
12.2.3 User Privacy Preference......................253
12.2.4 Purpose..............................254

Contents xix
12.3 Proposed System..............................254
12.3.1 Basic Concepts..........................255
12.3.2 System Design Phase.......................257
12.3.3 Role Level Design Phase.....................258
12.3.4 Transforming Phase........................258
12.3.5 Personal Level Design Phase...................260
12.4 Algorithms and Pseudo Code........................260
12.4.1 Detection algorithm in role speciﬁcation.............261
12.4.2 Privacy Preference Conversion Algorithm............263
12.5 Comparison.................................263
12.5.1 Storage Space...........................263
12.5.2 Variety of Personal Privacy Policy................264
12.6 Conclusion.................................265
Bibliography....................................265

PART I
Trust and Context in UbiComp Environments

Chapter 1
The automatic Trust Management of
self-adaptive Multi-Display Environments
Karin Bee, Stephan Hammer, Christian Pratsch, and Elisabeth André
Augsburg University, Human-Centered Multimedia, Universitätsstr. 6a, 86159 Augsburg,
Germany
{karin.bee, hammer, andre}@hcm-lab.de
1
This paper presents an approach to automatically manage user trust in self-adaptive ubiq-
uitous computing systems which grounds on a context interpreter and a Bayesian Network
as well as a feedback control loop that also provides solutions for a system adaptation.
Providing knowledge to the automatic trust management of self-adaptive ubiquitous sys-
tems is of special interest due to the fact that during the use of these systems situations
appear which can impair user trust and thus user acceptance. Some of these situations and
adaptation approaches are presented in this paper. A user study is also described which
provides knowledge about correlations of trust dimensions and user feelings on user trust.
Based on the results of the study, a Bayesian Network calledUser Trust Model(UTM)
is introduced which is the main focus of the paper. This model provides insights to the in-
terplay between different situations of the users and the consequence on their trust as well
as knowledge about appropriate system actions to re-establish trust.
1.1 Introduction
Based on Rothrock and colleagues[16], an adaptive system can suddenly change its
user interface by adapting the displayed content, dialogue, layout or the used modality.
The highly adaptive behavior of such systems is not always self-explanatory for the users.
If the user either cannot recognize the reason of an executed system adaptation or if the user
does not consider the executed system adaptation as plausible for the recognized reason of
the adjustment, user trust can be impaired which can lead to disuse of the system in the
worst case.
1
Human-Centered Multimedia.
3
I. Khalil and T. Mantoro (eds.),Trustworthy Ubiquitous Computing,
Atlantis Ambient and Pervasive Intelligence 6, DOI: 10.2991/978-94-91216-71-8_1,
Atlantis Press 2012

4 Trustworthy Ubiquitous Computing
We aim at the problem of managing user trust in adaptive systems in the context of
ubiquitous display environments. Recent years have brought about a large variety of in-
teractive displays that are installed in many public, semi-public and private places. Apart
from simply providing information (e.g. news or weather) to people, ubiquitous display
environments make it possible for passing individuals to view, edit and exchange speciﬁc
data between each other.
Mobile phones represent a popular interaction device for interacting with these dis-
plays. They have become an everyday companion which maintains all kind of personal
data, such as music, videos and photos. Transferring such data to large screens comes with
a lot of beneﬁts (e.g. usage of full screen mode) but also with a lot of risks, such as the
loss of data due to unstable transmission technologies. Bluetooth is often used for the com-
munication between mobile phones and ubiquitous display environments (e.g. Cheverest
and colleagues[5]). Typical problems of Bluetooth emerge in the discovery process and the
data transmission because they can unexpectedly require more time or even fail completely.
Such a behaviour can seriously affect trust in a system since it is no longer considered as
reliable and secure. The problem is aggravated by the fact that people usually interact with
ubiquitous display environments on a short-term basis without having the possibility to
verify the security of the underlying infrastructure.
In addition, the social setting with the possibility to view personalized information in
the presence of other people inevitably causes privacy concerns. Röcker and colleagues
[15]found that users wish to take advantage of large displays in public settings, however,
they are worried about the protection of their data.
Further, the high dynamics and unpredictability of such environments may negatively
affect the user’s trust. People may approach and leave a display at any time requiring
the systems to permanently adapt to a new situation. Due to the high complexity of the
adaptation process, the user may no longer be able to comprehend the rationale behind
the system’s decisions which may negatively affect the formation of trust. For example,
interviews with users of an adaptive digital signage system that automatically adapts to the
assumed interest of an audience revealed that some users had the feeling that the system
was presenting randomized information[13].
Finally, ubiquitous display environments are characterized by a high degree of auton-
omy which may leave the users with the feeling that they have no longer any control over
the system. It is evident that a loss control will eventually lead to a loss of trust. Summing

The automatic Trust Management of self-adaptive Multi-Display Environments 5
up, there is an enormous need for sophisticated trust management in ubiquitous display
environments in order to ensure that such environments will ﬁnd acceptance among users.
In this paper we ﬁrst describe a scenario that provides more insights to problems in
terms of user trust when interacting with ubiquitous display environments. After that, we
aim at related work and relevant trust dimensions. Finally, we describe a user study that
addresses the interplay between the trust dimensions and user trust as well as a ﬁrst ver-
sion of a Bayesian Network calledUser Trust Model(UTM). By this means we also
introduce an architecture that embeds the UTM and provides knowledge about controlled
system adaptations based on different situations of the users.
1.2 Scenario
On Friday afternoon, Mary and her friend Anna are in a café in the old town. After
they have found a vacant table and sat down, they realise that it is not an ordinary table and
they wonder what it can be used for. When ordering, they ask the waiter and he explains to
them that the table has a touch-sensitive display and that they can interact with it using their
ﬁngers. Furthermore, the waiter tells them that they also can transfer data, such as images
or video clips, from their mobile devices to the table in order to view, edit and exchange
them.
Since Mary has just returned from her vacation in Italy with her boyfriend Giorgio, she
has a lot of pictures on her mobile phone which she wants to show to Anna. Thus, Mary
decides to use this new touch-sensitive table. But in the same moment, Mary is afraid that
her private pictures – showing Mary and her boyfriend at the beach and drinking liquor –
can be seen by other people than her friend Anna. In addition, she does not fully trust the
system since she cannot be sure that only her selected data will be transferred to the table
because her mobile phone comes with a lot more intimate data, such as text messages she
was exchanging with her boyfriend which are not meant to be seen by anyone – not even
her best friend. In addition, she is concerned that her data could get lost by misuse of the
application. Mary is in the dilemma of initial trust[12]. She wants to use the ubiquitous
multi-display environment because it provides several beneﬁts, but at the same time she
needs to take a risk and rely on a system which she does not own and which she has little
knowledge about.
Despite these concerns, Mary decides to send some pictures to the table in order to
view them in full size since the table looks rather professional which helps Mary to form

6 Trustworthy Ubiquitous Computing
immediate trust. Now, Mary ﬁrst selects the pictures on the mobile phone. Afterwards she
places the mobile phone on the table. After establishing a connection between the mobile
phone and the interactive table, she conﬁrms the transfer of the selected images and the
progress is visualised on the phone. At that moment, Mary is hoping that everything goes
well and that her data does not get lost. Finally, her images become visible on the table
and she conﬁrms the successful transfer on the mobile phone. Now, she realizes that some
critical parts of the pictures became unrecognizable. The system uses a built-in privacy
mechanism that recognises issues when other people are close to the table. Mary likes that
support and thus she is even more conﬁdent with the system. She enlarges some of the
pictures and tells her friend her holiday stories.
The illustrated incident was self-explanatory and positively perceived by Mary. Con-
sequently user trust was not impaired. But other adaptations could happen without being
self-explanatory, such as whenever some of the pictures would suddenly disappear which
could be seen as a system error. In this situation user trust could be harmed since the adap-
tation might be perceived as negatively. All in all, user trust is highly situation-dependent
and uncertain. A trust management is required to understand the relationship between all
facets of user trust and the user response.
1.3 Trust in Ubiquitous Display Environments
Most work that investigates trust issues in the context of ubiquitous displays environ-
ments focuses on the distribution of private and public data over various displays. Often
mobile phones are used as private devices that protect the personal component of interaction
from public observation. Röcker and colleagues[15]conducted a user study to identify pri-
vacy requirements of public display users. Based on the study, they developed a prototype
system that automatically detects people entering the private space around a public display
using Infrared and RFID technology and adapts the information that is visible based on the
privacy preferences of the users. An evaluation of the system revealed that users are willing
to use public displays in case there is a mechanism for privacy protection.
Based on the evaluation of two mobile guides, Graham and Cheverst[8]analyzed sev-
eral types of mismatch between the users’ physical environment and information given on
the screen and their inﬂuence on the formation of user trust. Examples of mismatches
include situations where the system is not able to correctly detect the user’s current loca-
tion or situations where the system conveys a wrong impression about the accuracy of its

The automatic Trust Management of self-adaptive Multi-Display Environments 7
descriptions. To help users form trust, Graham and Cheverst suggest employing different
kinds of guide, such as a chaperone, a buddy or a captain, depending on characteristics of
the situations, such as accuracy and transparency. For example, the metaphor of a buddy is
supposed to be more effective in unstable situations than the chaperone or the captain.
Cao and colleagues[3]introduce the notion of crossmodal displays that enable users
to access personalised information in public places while ensuring their anonymity. The
basic idea is to publicly display the main information, but to add cues for individual users
to prompt them to information that is relevant to them.
As a conclusion, there is a vivid research interest in the design of novel user interfaces
for heterogeneous display environments. However, the few approaches that address the
user experience factor of trust in such environments do not attempt to explicitly model the
user experience of trust as a prerequisite for a trust management system.
A number of approaches have been presented to model trust in computational systems.
Especially in the area of multi-agent systems (MAS), trust models have been researched
thoroughly (see, e.g., Castelfranci’s and Falcone’s introduction[4]to a formal modelling of
trust theory and its applications in agent-based systems). However, these approaches either
focus on trust in software components or aim at modelling trust in human behaviour.
1.4 Dimensions of Trust
Much of the original research on trust comes from the humanities. Psychologists and
sociologists have tried for a very long time to get a grasp of the inner workings of trust
in interpersonal and interorganisational relationships. Other ﬁelds, such as economics and
computer science, relied on their ﬁndings, but adapted them to the special requirements of
their respective ﬁelds and the new context they are applied to. There is consensus that trust
depends on a variety of trust dimensions. However, there is no ﬁxed set of such dimensions.
Trust dimensions that have been researched in the context of internet applications and
e-commerce include reliability, dependability, honesty, truthfulness, security, competence,
and timeliness, see, for example, the work by Grandison and Sloman[9]or Kini and
Choobineh[10]. The more sociologically inclined authors[18]introduce willingness, vul-
nerability, benevolence, reliability, competence, honesty and openness as the constituting
facets of trust. Researchers working on adaptive user interfaces consider transparency as a
major facet of trust, see, for example, the work by Glass and colleagues[7].

8 Trustworthy Ubiquitous Computing
Our set of trust dimensions is based on interviews with 20 students of computer science
who were asked to indicate trust factors of user interfaces that they felt contributed to
their assessment of trustworthiness. The most frequent mentions felt into the following
categories: comfort of use (“should be easy to handle”), transparency (“I need to understand
what is going on”), controllability (“want to use a program without automated updates”),
security (“should safely transfer data”), privacy (“should not ask for private information”),
seriousness (“professional appearance”) and reliability (“should run in a stable manner”).
The interviews gave a ﬁrst impression on which factors inﬂuence the user’s trust in
a user interface. However, they do not provide any concrete information regarding their
relative importance. To acquire more quantitative data, we conducted an empirical study
which is described in the subsequent section.
1.5 Empirical Validation of Trust Dimensions and User Feelings
In order to determine the relative importance of trust dimensions in a ubiquitous display
environment, we prepared an experiment that was inspired by the scenario described in
Section 1.2. In particular, we presented our users with a setting consisting of a mobile
phone and an interactive table (Microsoft Surface). The table served as the central medium
for showing and editing multimedia data (see Figure 1.1) whereas the mobile phone was
used to send data to or receive data from the table. Thereby, the transmission and the point
of time of the presentation of the data on the table are critical moments for the user to trust.
The ﬁrst objective of our study was to investigate the relationship between trust and
trust dimensions by means of concrete user data. In particular, we hypothesised that there
was a positive correlation between trust on the one hand and basic usability, controllability,
transparency, privacy, security and seriousness on the other hand.
A second objective of our study was to ﬁnd out whether a low level of trust is reﬂected
by negative user feelings. Previous research investigates how the emotional state of a user
inﬂuences the establishment of trust (e.g. Dunn and Schweitzer[6]). There is empirical
evidence that positive emotions foster the establishment of trust while negative emotions
tend to decrease trust. Prior experiments focused in most cases on emotions that were not
related to the subsequent trust judgement task, see Dunn and Schweitzer[6]. We assume
that emotional states can also be directly associated with trust-related stimuli. In particular,
we hypothesise that uneasiness, uncertainty, irritation and surprise are negatively correlated
to trust.

The automatic Trust Management of self-adaptive Multi-Display Environments 9
Fig. 1.1 User interacts with the interactive table.
1.5.1Experimental Setting
In order to get a sufﬁcient variety of user ratings, we built a number of prototypes
where we manipulated the following variables: self-explainability, transparency, control-
lability and privacy. That is we produced a prototype that was less self-explainable (in-
terface included no help function and no descriptive labels), a second prototype that was
less transparent (system gave no reasons for its behaviour), a third prototype that was less
controllable (system did not ask for user conﬁrmations before executing an action), a fourth
prototype that followed as less stricter privacy policy (system displayed all kinds of data
on user request on the table disregardless of whether they were private or not) and ﬁnally a
system that did not show any of these problems. In our ﬁrst study, we decided not to ma-
nipulate the reliability of the prototypes and to present users only with prototypes showing
a proper behaviour.
Figure 1.2 illustrates the screens of the unproblematic prototype during the data transfer
from the mobile phone to the interactive table. At the beginning the user had to select the
images on the mobile phone (see Screen 1). Then, the user was asked to lay the mobile
phone on the interactive table in order to establish the connection between the mobile phone
and the table (see Screen 2). After establishing a Bluetooth connection between the mobile
phone and the interactive table, the user conﬁrmed the sending of the selected images (see
Screen3–Doyoureally want to send these pictures?) and the progress (see Screen 4 –
Sending image 1/3...) wasvisualized on the phone. Finally, the images became visible on

10 Trustworthy Ubiquitous Computing
Fig. 1.2 The different screens of the unproblematic prototype.
the table and the user conﬁrmed the successful transfer (see Screen 5 – transfer successful)
on the mobile phone. For the reverse procedure (transferring data from the table to the
mobile phone), the screens 2 and 4 of Figure 1.2 were used. Instead of conﬁrming the
transmission of the data (see Screen 3), the user now conﬁrmed the reception (see Screen 6).
For our experiment a within subjects design was used. Thus, all subjects participated
in all ﬁve conditions of the experiment. To prevent any ordering effects, we permuted
the sequence of the different conditions with almost equal distribution for each prototype.
After the successful completion of a condition with the prototype, the subjects ﬁlled in an
identical questionnaire.
In particular, the subjects had to rate the prototype according to the trust dimensions
identiﬁed earlier (basic usability, controllability, transparency, privacy, security, serious-
ness and trustworthiness) as well as their emotions (uneasiness, insecurity, irritation and
surprise) on a ﬁve point scale (from very low to very high). Afterwards, we used the results
of the questionnaire to validate the relationship between trust and its dimensions as well as
emotions.

The automatic Trust Management of self-adaptive Multi-Display Environments 11
1.5.2Conducting the Experiment
We conducted the experiment with 20 people of which the majority (16 people) had a
background in computer science. The average age of the subjects was 23.75 years (STD
=2.55) and except one person all subjects who participated in the test were male. The sub-
jects rated their general trust into software systems with a mean value of 3.10 (STD=0.79)
and their knowledge about secure data transmission with a mean value of 3.5 (STD=1.05).
Before we started the experiment, each subject was introduced to the correct usage of the
mobile phone and the interactive table which has a touch-sensitive display. Furthermore,
we explained the subjects the purpose of our application running on the mobile phone.
During the experiment, each subject had to perform the following tasks with each of
the ﬁve prototypes: (1) Select picture number one, three and ﬁve on the mobile phone and
send them to the table. (2) Interact with the three pictures on the table and edit their size.
(3) Send picture number three back to the mobile phone.
1.5.3Results and Discussion
To measure the degree of relationship between the ratings for trust and the ratings for
the trust dimensions, we computed the Pearson product moment correlation coefﬁcients.
The test revealed a moderate to high positive correlation between the ratings for trust on
the one hand and the ratings for seriousness (r=0.724), controllability (r=0.70), security
(r=0.62), privacy (r=0.61) and transparency (r=0.56) on the other hand. For all items,
the correlation was very signiﬁcant (p=0.01). The better the ratings for controllability,
transparency, privacy, security and seriousness, the better were also the ratings for trust.
The strongest correlation was observed between the ratings for seriousness and the ratings
for trust. Since the users were confronted with the system for the ﬁrst time, they obviously
had to rely on the ﬁrst impression the system made on them when assessing the system’s
trustworthiness. As a consequence, there was a stronger correlation between the ratings for
seriousness and the ratings for trust than between the ratings for the other items and the
ratings for trust (which are too a larger extent based on experience). In our experiment,
we did not observe any correlation between trust and basic usability ratings. As a potential
reason, we indicate that no serious usability issues occurred when the users were interacting
with the presented prototypes. Indeed our users rated the usability of the prototypes with a
mean value of 4.01 (STD=0.93) on a 5-ary scale. None of them thought the usability of
any of the prototypes was very bad. There is a moderate positive correlation between the
users’ rating of usability on the hand and the users’ rating of transparency (r=0.22) and

12 Trustworthy Ubiquitous Computing
controllability (r=0.26) on the other hand at the signiﬁcance level ofp=0.05. Obviously,
the subjects’ ratings of transparency and controllability inﬂuenced their ratings of basic
usability.
Finally, our results revealed a moderate negative correlation between trust on the one
hand and uneasiness (r=−0.629), insecurity (r=−0.533), irritation (r=−0.484) on the
other hand. For all items the correlation was very signiﬁcant (p=0.01). We conclude that
poor transparency, poor controllability, poor security, poor privacy and poor seriousness
result into a loss of trust which in turn leads to a feeling of uneasiness. Contrary to our
expectations, we did not ﬁnd any correlation between the users’ ratings of surprise and the
user’s rating of trust.
1.6 Towards an Automatic Trust Management System
In the following, we describe ﬁrst ideas regarding an automated trust management sys-
tem that assesses the user’s immediate trust in a system, monitors it over time and applies
appropriate approaches to maintain trust (see Yan and colleagues[19]). The trust man-
agement system is based on ﬁndings from the literature (e.g. Grandison and Sloman[9],
Kinni and Choobineh[10]and Tschannen-Moran and Hoy[18]) as well as our empirical
study that investigated the relationship between trust and its dimensions. Our model of trust
should account for the following characteristics of trust:
•Trust as a subjective concept
There is a consensus that trust is highly subjective. A person who is generally conﬁding
is also more likely to trust a software program. However, it is hard to formulate rules
that predict in a deterministic manner how a person will respond to a critical event. We
therefore aim at a model that is able to represent uncertainties.
•Trust as a multifaceted concept
As shown in Section 1.4, trust is a multi-faceted concept. We therefore aim at a com-
putational model that is able to explicitly represent the relative contribution of the trust
dimensions to the assessment of trust. In addition, the model should allow us to easily
add trust dimensions based on new experimental ﬁndings.
•Trust as a dynamic concept
Trust depends on experience and is subject to change over time. Lumsden[11]distin-
guishes between immediate trust dimensions and interaction-based trust dimensions.
Immediate trust dimensions, such as seriousness, come into effect as soon as a user

The automatic Trust Management of self-adaptive Multi-Display Environments 13
gets in touch with a software system while interaction-based trust dimensions, such
as transparency of system behavior, inﬂuence the users’ experience of trust during an
interaction.
1.6.1Using Bayesian Networks to Model Trust
Based on the considerations, we have chosen to model the users’ feelings of trust by
means of Bayesian Networks. The structure of a Bayesian Network is a directed, acyclic
graph (DAG) in which the nodes represent random variables while the links or arrows
connecting nodes describe the direct inﬂuence in terms of conditional probabilities (see
Russell and Norvig[17]).
Bayesian Networks meet the requirements listed above very well. First of all, they
allow us to cope with trust as a subjective concept. For example, we may represent the
system’s uncertain belief about the user’s trust by a probability distribution over different
levels of trust. Furthermore, the connection between critical events and trust is inherently
non-deterministic. For example, we cannot always be absolutely sure that the user notices
a critical event at all. It may also happen that a user considers a critical event as rather
harmless. Bayesian Networks allow us to make predictions based on conditional probabil-
ities that model how likely the value of the child variable is given the value of the parent
variables. For example, we may model how likely it is that the user has a moderate level of
trust if the system’s behavior is moderately transparent.
Furthermore, Bayesian Networks enable to model the relationship between trust and its
dimension in a rather intuitive manner. For example, it is rather straightforward to model
that reduced transparency leads to a decrease of user trust. The exact probabilities are
usually difﬁcult to determine. However, the conditional probabilities can also be (partially)
derived from the user data we collected in the experiment described in Section 1.5.
In Figure 1.3, a Bayesian Network is shown for modeling trust which is calledUser
Trust Model(UTM). Since trust depends on experience and changes over time. It needs
to be distinguished between immediate trust dimensions and interaction-based trust dimen-
sions[11]. A positive impression of the immediate trust dimensions helps establishing
initial trust in a system just on its ﬁrst glance (left part of the UTM) while interaction-based
trust dimensions are just visible over the time once the users interact with the system (right
part of the UTM).
Immediate trust dimensions includeSecurity(conveyed, for example, by the use of
certiﬁcates),Seriousness(reﬂected, for example, by the system’s look-and-feel) andCredi-

14 Trustworthy Ubiquitous Computing
Fig. 1.3 TheUser Trust Model(UTM) – modeling trust by means of a Bayesian Network
bility(supported, for example, by company proﬁle information). In this context, we would
like to emphasize that trust dimensions may only affect the user’s trust if the user is aware
of them. For example, high security standards will only have an impact on user trust if the
user knows that they exist.
To describe the determinants ofInteraction-Based Trust, we further distinguish between
theQuality of Interaction,PrivacyandReliability. TheQuality of Interactionis charac-
terized byTransparency,ControllabilityandComfort of Use. Both, the development of
Immediate TrustandInteraction-Based Trust, depend on the user’s trust disposition which
is characterized by his or herCompetenceand his or her generalConﬁdenceinto technical
systems.

The automatic Trust Management of self-adaptive Multi-Display Environments 15
Fig. 1.4 The architecture for managing user trust. It includes an context interpreter (upper part),
theUser Trust Model(middle part) and a observer/controller component (lower part) based on
constraints.
1.6.2Monitoring Trust over Time
After smoothly interacting with a system over a longer period of time, the users’ trust
into a system is likely to increase. However, it may also happen that an unexpected change
of context causes a sudden loss of trust. In the Bayesian Network (see Figure 1.3) we
therefore introduced the following context nodes which can provide details about changed
situations:Accuracy of Knowledge,User Activity,Social ContextandPrivacy of Content.
The values of these input nodes inﬂuence the values of the dimension variablesComfort
of Use,Transparency,Controllability,PrivacyandReliabilityand thusInteraction-Based
TrustandUser Trust.
The nodeAccuracy of Knowledgeprovides details about the correctness of data that
are important for the system to work properly. Once GPS data of a navigation system,
for instance, are wrong or incomplete, the accuracy of knowledge is impaired and thus the

16 Trustworthy Ubiquitous Computing
system hardly will be able to continue work well. This situation probably also negatively
impacts dimensions of trust (e.g. reliability) and thus the user’s trust in the system.
The input nodesUser ActivityandSocial Contextdescribe the current state of the users
and their social environments. Once a user, for instance, interacts with an ubiquitous dis-
play environment in a public space, the display of personal content in the presence of other
people will negatively affect the user’s felt privacy. This example shows that also the state
or, for the remaining paper, the context value of the nodePrivacy of Contentis of interest
to completely describe the user’s current situation which might harm the user’s trust in the
system.
The determination of the current context values is performed based on context data of
sensors (e.g. a camera). This determination process called context interpretation is not al-
ways trivial. It is a challenge if the user’s situation is unknown which means that few or no
empirically validated context data exist for the context interpretation. To solve this prob-
lem, we developed an architecture (see Figure 1.4) that embeds the UTM (middle part)
and adds further components. The UTM gets the different context vales by the compo-
nent calledContext Interpreter(upper part). This interpretor, for instance, provides
knowledge which context values exist for theSocial Context(e.g. alone or in a group) or
for theUser Activity(e.g. bored or busy). As mentioned, the interpretation is not a chal-
lenge if empirically validated context data exist for the corresponding situation. But if the
situation is unknown, the interpretor needs to make recommendations towards the different
context values. The approach of context-aware recommender systems (see Adomavicius
and Tuzhilin[1]) can be used in unknown situations since these recommender systems can
provide the required recommendations towards context values based on the most analogous
known empirically determined context data.
By means of the determined context values and the UTM, the development of user trust
can be continuously monitored at runtime in order to detect critical situations that require
adaptations of the system to re-establish trust. As a consequence, we do not only need
a model that describes the relationship between user trust and its dimensions, but also a
model that explains the dynamics of trust. Dynamic Bayesian Networks allow us to model
the dependencies between the current states of variables and earlier states of variables. In
the middle part of Figure 1.3, a fraction of the Bayesian Network is shown illustrating how
trust develops over time depending on the user’s immediate level of trust and a changed
situation occurring at timet=1. Due to space limitations, we only present one time plate
t=1. The nodeUser Trustoft=1 has an direct inﬂuence on the nodeUser Trustoft=2.

The automatic Trust Management of self-adaptive Multi-Display Environments 17
1.6.3Maintaining User Trust
Fig. 1.5 A system adaptation as a consequence of a changed situation in terms of social context.
This adaptation follows the system action to provide a separate interaction and presentation space per
user.
The Bayesian Network presented above supports us in making decisions on how to
maintain trust in critical situations. Such situations arise, among other things, when other
people enter the user’s private space[15], when the system has to generate presentations
based on inaccurate user or context data[8]or when the system’s adaptation behavior mis-
matches the user’s expectations[7]. Within the Bayesian Networks such situations can be
handled by adding decision and utility nodes. A decision node represents all choices that
can be made by the system while a utility node indicates the utilities of all possible out-
comes. As an example, let us assume a user wishes to display data on a public display. To
cope with such a request, the system may consider four system actions: (1) transferring all
data to the public display, (2) ﬁltering out data that the system considers as private and pro-

18 Trustworthy Ubiquitous Computing
viding a separate interaction and presentation space per user (see Figure 1.5) or (3) asking
the user for conﬁrmation.
In the Bayesian Network shown in Figure 1.3 we introduced a decision node called
System Actionto represent all actions the system may decide to execute. In the example,
system action (1) may raise serious privacy concerns, system action (2) may confuse users
and system action (3) is rather cumbersome. In addition, system action (1) and (2) might
give users the feeling that they have no longer the system under control. The arc between
the decision node and the nodes for the dimensions of trust represents such inﬂuences. All
decisions are evaluated based on the usefulness of their consequences. The utility node
attached to the node calledUser Trustindicates the utility of the single decisions based on
user trust.
But even when having selected a system action based on the UTM, it still needs to be
revealed whether this system action fulﬁlls constraints of the concrete system setting and
how, if possible, the system action has to be executed. In order to also cover these aspects,
an observer/controller component (see Richter and colleagues[14]) is used as a further
component of the architecture (see Figure 1.4 lower part). Its idea is as followed. The con-
straints provide knowledge about accepted corridors of system behaviour, such as whether
a transferring of user interface elements (system action (1)) is accepted for the available
devices. If the selected system action violates against a constraint, a loop provides direct
feedback for the UTM in order to adapt the selected system action otherwise the system
action and thus the system adaptation is executed. For the execution of the accepted system
action, the component also provides solutions, such as which content and which control
elements need to be displayed on which device and how. The constraint-solver called Cas-
sowary (see Badros and colleagues[2]), for instance, can be used to provide a solution how
the accepted system action can be executed in order to fulﬁll the constraints. A possible
solution is displayed in Figure 1.5. In this example, the interaction and presentation space
has been separated among the users. The constraint-solver provided the knowledge about
the appropriate layout for the different user interface elements.
1.7 Conclusion
This paper presented an approach of managing user trust in an ubiquitous display en-
vironment based on a Bayesian Network, a context interpreter and an observer/controller
component. The focus of this work was on the Bayesian Network calledUser Trust

Bibliography 19
Model(UTM). Based on context data and a context interpreter, the model is continu-
ously able to reveal situations which require system actions to re-establish user trust. The
UTM does not only provide a monitoring of user trust over the time and knowledge about
moments which require system actions for re-establishing trust, in combination with a
constraint-based observer/controller component it also enables the execution of system ac-
tions within controlled corridors of system behavior.
1.8 Acknowledgement
This research is partly sponsored byOC-Trust(FOR 1085) of the German research
foundation (DFG). A special thank to Georg Döhring, Jessica Eichberg, Dominik Hecht,
Michael Kutsch, André Lohrenz and Thuy Linh Nguyen for their work on the surface
application.
Bibliography
[1] G. Adomavicius and A. Tuzhilin. Context-aware recommender systems. In F. Ricci, L. Rokach,
B. Shapira, and P. B. Kantor, editors,Recommender Systems Handbook, pages 217–253.
Springer US, 2011.
[2] G. J. Badros, A. Borning, and P. J. Stuckey. The cassowary linear arithmetic constraint solving
algorithm.ACM Trans. Comput.-Hum. Interact., 8:267–306, December 2001.
[3] H. Cao, P. Olivier, and D. Jackson. Enhancing privacy in public spaces through crossmodal
displays.Soc. Sci. Comput. Rev., 26(1):87–102, 2008.
[4] C. Castelfranchi and R. Falcone.Trust Theory: A Socio-Cognitive and Computational Model.
Wiley, 2010.
[5] K. Cheverst, A. Dix, D. Fitton, C. Kray, M. Rounceﬁeld, C. Sas, G. Saslis-Lagoudakis, and
J. G. Sheridan. Exploring bluetooth based mobile phone interaction with the hermes photo dis-
play. InMobileHCI ’05: Proceedings of the 7th international conference on Human computer
interaction with mobile devices & services, pages 47–54. ACM, 2005.
[6] J. Dunn and M. Schweitzer. Feeling and believing: The inﬂuence of emotion on trust.Journal
of Personality and Social Psychology, 88:736–748, 2005.
[7] A. Glass, D. L. McGuinness, and M. Wolverton. Toward establishing trust in adaptive agents. In
IUI ’08: Proceedings of the 13th international conference on Intelligent user interfaces, pages
227–236. ACM, 2008.
[8] C. Graham and K. Cheverst. Guides, locals, chaperones, buddies and captains: managing trust
through interaction paradigms. In3rd Workshop ’HCI on Mobile Guides’ at the Sixth Interna-
tional Symposium on Human Computer Interaction with Mobile Devices and Services, pages
227–236, New York, NY, USA, 2004. ACM.
[9] T. Grandison and M. Sloman. A survey of trust in internet applications.IEEE Communications
Surveys and Tutorials, 3(4):2–16, 2000.
[10] A. Kini and J. Choobineh. Trust in electronic commerce: deﬁnition and theoretical considera-
tions. InProc. of the Hawaii International Conference on System Sciences, volume 31, pages
51–61, 1998.

20 Trustworthy Ubiquitous Computing
[11] J. Lumsden. Triggering trust: to what extent does the question inﬂuence the answer when eval-
uating the perceived importance of trust triggers? InBCS HCI ’09: Proceedings of the 2009
British Computer Society Conference on Human-Computer Interaction, pages 214–223. British
Computer Society, 2009.
[12] D. McKnight, L. Cummings, and N. Chervany. Initial trust formation in new organizational
relationships.The Academy of Management Review, 23(3):473–490, 1998.
[13] J. Müller, J. Exeler, M. Buzeck, and A. Krüger. Reﬂectivesigns: Digital signs that adapt to
audience attention. In H. Tokuda, M. Beigl, A. Friday, A. J. B. Brush, and Y. Tobe, editors,
Pervasive Computing, 7th International Conference, Pervasive 2009, Nara, Japan, May 11-14,
2009. Proceedings, volume 5538 ofLecture Notes in Computer Science, pages 17–24. Springer,
2009.
[14] U. Richter, M. Mnif, J. Branke, C. Müller-Schloer, and H. Schmeck. Towards a generic ob-
server/controller architecture for organic computing. InGI Jahrestagung (1), pages 112–119,
2006.
[15] C. Röcker, S. Hinske, and C. Magerkurth. Intelligent privacy support for large public displays.
InProceedings of Human-Computer Interaction International 2007 (HCII’07), 2007.
[16] L. Rothrock, R. Koubek, F. Fuchs, M. Haas, and G. Salvendyk. Review and reappraisal of
adaptive interfaces: Toward biologically inspired paradigms. volume 3, pages 47–84, 2002.
[17] S. J. Russell and P. Norvig.Artiﬁcial Intelligence a modern approach. Prentice Hall, Upper
Saddle River, N.J., 2003.
[18] M. Tschannen-Moran and W. Hoy. A multidisciplinary analysis of the nature, meaning, and
measurement of trust.Review of Educational Research, 70(4):547, 2000.
[19] Z. Yan and S. Holtmanns. Trust modeling and management: from social trust to digital trust.
Book chapter of Computer Security, Privacy and Politics: Current Issues, Challenges and So-
lutions, 2008.

Chapter 2
Malicious Pixels
Using QR Codes as Attack Vector
Peter Kieseberg, Sebastian Schrittwieser, Manuel Leithner, Martin Mulazzani, Edgar
Weippl, Lindsay Munroe, Mayank Sinha
SBA Research gGmbH, 1040 Vienna, Austria
[1stletterﬁrstname][lastname]@sba-research.org
This work examines QR codes and how they can be used to attack both human interaction
and automated systems. As the encoded information is intended to be machine readable
only, a human cannot distinguish between a valid and a maliciously manipulated QR code.
While humans might fall for phishing attacks, automated readers are most likely vulnerable
to well-known types of attacks where input data is not sanitized properly such as SQL and
command injections. Our contribution consists of an analysis of the QR code as an attack
vector, showing different attack strategies from the attackers point of view and exploring
their possible consequences in a proof-of-concept phishing attack against QR codes, that
is based on the idea of changing the content of a QR code by just turning white modules
(pixels) into black ones.
2.1 Introduction
A QR (“quick response”) code is a two dimensional barcode invented by the Japanese
corporation Denso Wave. Information is encoded in both the vertical and horizontal di-
rection, thus holding up to several hundred times more data than a traditional bar code
(Figure 2.1). Data is accessed by taking a picture of the code using a camera (e.g. built into
a smartphone) and processing the image with a QR code reader.
QR codes have rapidly gained international popularity and found widespread adoption,
especially in Japan where its ability to encode Kanji symbols by default makes it espe-
cially suitable. Popular uses include storing URLs, addresses and various forms of data on
posters, signs, business cards, public transport vehicles, etc. Indeed, this mechanism has
a vast number of potential applications[1–5]. For instance, the sports brand Umbro has
21
I. Khalil and T. Mantoro (eds.),Trustworthy Ubiquitous Computing,
Atlantis Ambient and Pervasive Intelligence 6, DOI: 10.2991/978-94-91216-71-8_2,
Atlantis Press 2012

22 Trustworthy Ubiquitous Computing
9 771473 968012
contains data
contains data
contains data
contains no data
Fig. 2.1 2D and 3D codes
embedded QR codes into the collars of England football shirts, sending fans to a secret
website where prizes can be won.
In this chapter, we explore the structure and creation process of QR codes as well as
potential attacks against or utilizing QR codes. We give an overview of the error correction
capabilities and possible ways to alter both error correction data and payload in order to
either modify or inject information into existing codes. Furthermore, we explore numer-
ous vectors that might enable an attacker to exploit either the user’s trust in the content
embedded in the code or automated processes handling such codes.
Our main contributions are:
•to outline possible modiﬁcations to different parts of QR codes such as error correction
codes or masking,
•to describe resulting attack vectors, both against humans (e.g. phishing attacks) and
automated processes (e.g. SQL injections).
•to introduce a proof-of-concept phishing attack against QR codes.
2.2 Background
QR codes[6]have already overtaken the classical barcode in popularity in some areas.
This stems in many cases from the fact that a typical barcode can only hold a maximum
of 20 digits, whereas as QR code can hold up to 7,089 characters. Combined with the
diversity and extendability offered, this makes the use of QR codes much more appealing
than that of barcodes. Statistically, QR codes are capable of encoding the same amount of
data in approximately one tenth the space of a traditional bar code. An important feature
of QR codes is that they do not need to be scanned from one particular angle, as QR codes
can be read regardless of their positioning. QR codes scanners are capable of determining

Malicious Pixels – Using QR Codes as Attack Vector 23
the correct way to decode the image due to the three speciﬁc squares that are positioned in
the corners of the symbol and the alignment blocks.
QR codes were initially used by vehicle manufacturers for tracking parts. After a while,
companies began to see the variety of different use cases for QR codes. The most popular
commercial use for QR codes is in the telecommunications industry, where the increasing
adoption of smartphones seems to be the biggest driver of their popularity[4,7,8]. With
the technology of mobile phones constantly evolving, especially in the area of mobile inter-
net access, QR codes seem to be an adequate tool to quickly and efﬁciently communicate
URLs to users. This also allows ofﬂine media such as magazines, newspapers, business
cards, public transport vehicles, signs, t-shirts or any other medium that can hold the print
of a QR code to be used as carriers for advertisements for online products[9].
2.2.1QR codes
There are 40 versions (sizes) of QR codes that consist of different areas that are reserved
for speciﬁc purposes. In the following we refer to version 2 of QR codes (Figure 2.2),
because version 1 does not contain all areas.
Fig. 2.2 Structure of QR code Version 2

24 Trustworthy Ubiquitous Computing
•Finder Pattern (1):The ﬁnder pattern consists of three identical structures that are
located in all corners of the QR code except from the bottom right one. Each pattern
is based on a 3×3 matrix of black modules surrounded by white modules that are
again surrounded by black modules. The Finder Patterns enable the decoder software
to recognize the QR code and determine the correct orientation.
•Separators (2):The white separators have a width of one pixel and improve the rec-
ognizability of the Finder Patters as they separate them from the actual data.
•Timing Pattern (3):Alternating black and white modules in the Timing Pattern enable
the decoder software to determine the width of a single module.
•Alignment Patterns (4):Alignment Patterns support the decoder software in com-
pensating for moderate image distortions. Version 1 QR codes do not have Alignment
Patterns. With growing size of the code, more Alignment Patterns are added.
•Format Information (5):The Formation Information section consists of 15 bits next
to the separators and stores information about the error correction level of the QR code
and the chosen masking pattern.
•Data (6):Data is converted into a bit stream and then stored in 8 bit parts (called
codewords) in the data section.
•Error Correction (7):Similar to data codes, error correction codes are stored in 8 bit
long codewords in the error correction section.
•Remainder Bits (8):This section consists of empty bits if data and error correction
bits can not be divided into 8 bit codewords without remainder.
The entire QR code has to be surrounded by the so-called Quiet Zone, an area in the
same color shade as white modules, to improve code recognition by the decoder software.
2.2.2Capacity and Error correction code
The capacity of a QR code depends on several factors. Besides the version of the code
that deﬁnes its size (number of modules), the chosen error correction level and the type of
encoded data inﬂuence capacity.
•Version:The 40 different versions of QR codes mainly differ in the number of mod-
ules. Version 1 consists of 21×21 modules, up to 133 (lowest error correction level)
of which can be used for storing encoded data. The largest QR code (Version 40) has
a size of 177×177 modules and can store up to 23,648 data modules.

Malicious Pixels – Using QR Codes as Attack Vector 25
•Error Correction Level:Error correction in QR codes is based on Reed-Solomon
Codes[10], a speciﬁc form of BCH error correction codes[11,12]. There are four
levels of error correction that can be chosen by the user at generation time. Higher
error correction levels increase the percentage of codewords used for error correction
and therefore decrease the amount of data that can be stored inside the code.
•Encoded Data:QR codes can use different data encodings (see Section 3.2.2 for
detailed information on character encoding modes). Their complexity inﬂuences the
amount of actual characters that can be stored inside the code. For example, a QR code
version 2 with lowest error correction level can hold up to 77 numeric characters, but
only 10 Kanji characters.
2.3 Security of QR Codes
2.3.1Threat Model
One can distinguish two different threat models for manipulating QR codes. First, an
attacker may invert any module, changing it either from black to white or the other way
round. Second, a more restricted attacker can only change white modules to black and not
vice versa.
2.3.1.1Both colors
The easiest approach for attacking an existing QR code is by generating a sticker con-
taining a QR code with the manipulated QR code in the same style as the original QR code
and position it over the code on the advertisement. Of course this would either require
some preparation or a mobile printer and design applications for a mobile device. At least
when attacking on a large scale against one chosen target, the time needed for preparation
should not pose a serious limitation.
Since this attack is trivial, we have decided to exclude it from the scope of this work.
However, we believe that using this method in an attack against a real-world advertisement
is a viable option for large-scale attacks.
2.3.1.2Single color
In this case we restrict ourselves to the modiﬁcation of a single color only. The back-
ground for this restriction lies in the scenario of an attacker seeking to modify a single
poster on the ﬂy just by using a pen (thereby reducing the possible modiﬁcations to chang-

26 Trustworthy Ubiquitous Computing
ing white modules to black). This restriction is the basis for the attacks further outlined
throughout this chapter.
2.3.2Attacking different parts
Since QR codes contain a lot of different information, including meta information on
version, maskings and source encoding, several different regions exist that can be targeted
for the attack either individually or in combination.
2.3.2.1The masks
Masks are used to generate QR codes with a even distribution of black and white mod-
ules (close to 50:50 and distributed well over the entire code). This increases the contrast
of the picture and thus helps devices to decode it. According to the standard, when gen-
erating a QR code, every mask of the 8 speciﬁed ones is applied and each result is rated.
The mask that results in the best distribution according to the rating is chosen. The effect
of using correct masks can be seen in Figure 2.3. The left-hand side of the ﬁgure shows
the distribution of black and white modules after applying the masking step based on the
analysis of 20,000 randomly generated QR codes. The second graph shows the module
distribution of the same 20,000 QR codes before masking, where, on average, the number
of white modules (represented by the red curve) is approximately two-times the number of
black modules.

Fig. 2.3 Ratio of black and white modules with (left) and without (right) masking
There is always only one mask in use in a given QR code and it is encoded together
with the version in a separate block of the code using strong BCH encoding.

Malicious Pixels – Using QR Codes as Attack Vector 27
Table 2.1 Mask Pattern References and conditions.
Mask PatternCondition000(i+j)mod 2=0001imod 2=0010jmod 3=0011(i+j)mod 3=0100((i/2)+(j/3))mod 2=0101(ij)mod 2+(ij)mod 3=0110((ij)mod 2+(ij)mod 3)mod 2=0111((ij)mod 3+(ij)mod 2)mod 2=0
In the conditions in Table 2.1,irefers to the row position of the module andjto its
column position. The mask is black for every module the condition is valid for and white
for the rest.
Targeting the mask can change quite a lot in the whole data and error correction part,
still, this can be a useful basis for additionally applying other methods. A problem when
changing the masking is that it is encoded separately, utilizing a strong error correction
algorithm.
2.3.2.2The character encoding (mode)
There are several different source encodings (Table 2.2) speciﬁed for the information
contained in the code, thereby maximizing the capacity in exchange for decreased com-
plexity:
•Numeric mode (just encoding digits, thus being able to pack a lot of data in one pic-
ture),
•Alphanumeric mode (a set of characters containing upper case letters and several ad-
ditional characters like$orwhitespace),
•8-bit mode (able to encode the JIS 8-bit character set (Latin and Kana) in accordance
with JIS X 0201)
•Kanji characters (Shift JIS character set in accordance with JIS X 0208 Annex 1 Shift
Coded Representation)
to name the most popular.
The character encoding itself is deﬁned at the beginning of the data part by the leading
4 bits. Table 2.2 gives an overview on the possible values for the mode:
Changing the mode indicator gives the encoded data a whole new meaning. Especially
when considering 8-bit Byte mode instead of other modes, or even alphanumeric mode in-

Discovering Diverse Content Through
Random Scribd Documents

per dieci anni, colla facoltà della guerra e della pace. Questa
dedizione, cominciata nel 1278, non durò che quattro anni soli;
giacchè, battuti che furono i Torriani a Cassano, e indeboliti a segno
da non potere sì tosto innalzarsi, l'arcivescovo Ottone, cessando il
timor in lui e il bisogno dell'assistenza del marchese, le di cui forze
erano di molto peso, non ebbe ritegno alcuno di violare il contratto.
(1282) Colse il momento opportuno, e, montato a cavallo, il giorno
27 dicembre 1282, coll'armi in mano, alla testa dei suoi fedeli,
scacciò gli ufficiali tutti del marchese, e ritornò a signoreggiare da
sè. Queste zuffe di patriarchi e di arcivescovi, tanto aliene dallo
spirito del sacerdozio, sono una prova de' progressi che la ragione e
seco lei la virtù hanno fatto ai tempi nostri, ne' quali ad alcuni
sembreranno o supposti o esagerati questi fatti. Sembrerà poco
credibile altresì che l'arcivescovo adottato peravesse suo figlio Guido
da Castiglione, e che Milano venisse sottoposto all'interdetto l'anno
1381, perchè una famiglia aveva fatta ingiuria al prior d'un convento.
Ma il Calco ce lo attesta:
[598] Sacris interdicta manserat civitas
Mediolanum ex controversia qua per injuriam gens Mirabilia priorem
Pontidae premere videbatur
[599]; e così, per il fatto d'un casato, si
maledisse tutta la città. La storia tutta di que' tempi ci prova l'abuso
di ogni cosa sacra. Ho detto che Ottone Visconti diede la signoria di
Milano al marchese di Monferrato; non però la diede violando le
apparenze della libertà, poichè anzi ne ottenne l'adesione del
pubblico consiglio; e mentre comandava il marchese, si continuarono
ogni anno a creare due magistrati, uno col nome di podestà, e l'altro
con quello di capitano del popolo, e sempre si eleggeva il consiglio
degli ottocento; consiglio, come ho detto, mutabile ogni anno, e che
non rappresentava la città ed il popolo che per mera apparenza,
perchè composto da membri non eletti del popolo. Il signore creava
il podestà e il capitano del popolo; i quali, siccome dissi, giuravano
obbedienza a lui; e il podestà e capitano creavano il consiglio. La
città era realmente priva di libertà; soggetta a signorie temporarie
del marchese d'Incisa, del marchese Pelavicino, del marchese di
Monferrato: ma le fazioni interne erano almeno frenate, e non
rimanevano da soffrire che gl'insulti d'un solo, sempre da principio

cauto nel celare, l'abuso del potere non solo, ma persino la di lui
ampiezza. Ne' tempi de' quali trattiamo, mentre il marchese di
Monferrato godeva la signoria di Milano, si creò il Tribunale di
Provvisione, ossia dodici sapienti uomini che presiedevano alla
provvisione del comune di Milano. Ciò viene dall'erudito conte Giulini
fissato all'anno 1279
[600], e quel tribunale e il podestà sono le due
più antiche magistrature che ancora ci rimangono. Il podestà
cominciò coll'anno 1188; e poco manca a compiere il sesto secolo
dalla sua istituzione, e i dodici di provvisione contano l'antichità di
cinque secoli già trascorsi.
Il carattere di Ottone Visconti era assai meno moderato di quello di
Napo Torriano. Cercò ed ottenne l'arcivescovo che l'imperatore
Rodolfo facesse lega con lui, quantunque avesse fatto morire entro
di una gabbia il suo vicario creato dieci anni prima. Ma l'influenza
dell'Impero, dopo le seguite vicende, era assai debole nell'Italia, e
conveniva cogliere ogni opportunità per acquistare appoggio. In ciò
Napo ed Ottone palesarono ambizione uguale; ma Ottone Visconti
con maggiore impeto si volle mostrar prepotente. Egli bandì le
famiglie che gli erano sospette, e fece diroccare le case de' signori
da Soresina. Poscia, disgustatosi del figlio adottivo fece diroccare
parimente le case di Guido Castiglione. Indi, dopo una concordia
giurata, l'arcivescovo istesso a tradimento s'impadronì di Castel
Seprio, e distrusse quella rocca, celebre per la tradizione che in quel
luogo eminente avessero collocata la prima loro sede gli Insubri, e
celebre non meno per la fortezza del luogo medesimo; e fece porre
negli statuti:
[601] Castrum Seprium destruatur, et destructum
perpetuo teneatur, et nullus audeat vel presumat in ipso monte
habitare; e questo statuto è stato obbedito finora. Il Calco, scrivendo
di quei tempi e di Ottone, c'insegna:
[602] Cum suspicionibus piena
omnia viderentur, nova etiam consilia vicatim agitari dubitabat,
proindeque armatas cohortes die noctuque circumire urbem, et ne
conventus inter cives fierent curare jussit
[603]. Cercava, coll'orribile
argomento delle torture, quell'arcivescovo di schiarire i molti
sospetti. Era insomma un cattivo principe, come lo sarà sempre un
uomo pauroso e potente. La città sentiva il peso d'un tal nuovo

governo. Era probabilmente vicina una strage, se l'arcivescovo
Ottone opportunamente non si piegava, abbandonando ogni cura
civile a Matteo Visconti, suo pronipote, capitano del popolo, e creato
podestà l'anno 1288. Ottone sopravvisse ancora sette anni
oscuramente, pieno di paura della morte, ed attorniato da' medici, i
quali non lo abbandonavano mai; e coll'assistenza di essi, all'età di
ottantotto anni, morì, il giorno 8 agosto 1295, a Chiaravalle. Il
tumulo di questo Ottone, il primo de' Visconti che ebbe la signoria di
Milano, sta nel coro del Duomo, ove fu trasportato dalla vecchia
chiesa di Santa Tecla. L'arca viene sostenuta da due colonne; e vi si
legge l'epitaffio dell'arcivescovo Giovanni Visconti, postogli da poi,
allorchè venne tumulato nella stessa tomba di Ottone. La signoria di
Ottone durò circa undici anni. Egli nulla fece che meriti di essere
dalla storia ricordato con lode. Si può dire in sua discolpa ch'egli
dominò fra le turbolenze. Ma la mancanza di fede commessa col
marchese di Monferrato, scacciandolo dalla signoria di Milano, prima
che i dieci anni finissero, è un tratto d'aperta ingiustizia che non ha
discolpa. Così non si doveva da lui tradire un principe coll'assistenza
del quale era stato liberato dalle mani de' Torriani nemici. La fede
mancata a Guido Castiglione, dopo appena giurata concordia con lui,
introducendo degli uomini travestiti in Castel Seprio, e con
tradimento invadendo quella rocca, nemmeno può dar luogo a
discolpa. I bandi, le torture, le case diroccate, la pusillanime paura di
morire, anche dopo d'esser vissuto ottant'anni, mostrano un uomo
che nulla aveva di grande, nulla di generoso, e che forse nessun
altro talento aveva per diventar principe, che la smania di
comandare. Durante la signoria d'Ottone si abbandonò l'usanza di
condurre il carroccio alla guerra; usanza che da due secoli e mezzo
era stata in vigore, e di cui ho parlato al capitolo quarto. Nè questo
cambiamento possiamo attribuirlo alle armi da fuoco, le quali si
cominciarono ad usare più di mezzo secolo dopo. Forse si cambiò
l'usanza del carroccio, perchè allora si introdusse quella di
stipendiare una classe di uomini particolarmente addetta alla milizia,
e conseguentemente disciplinata in modo, ch'ella non avrà avuto
bisogno di segnali tanto visibili per eseguire le evoluzioni: il che
faceva di bisogno per rendere uniformi e cospiranti ad un fine le

mosse di una moltitudine di cittadini, condotti a combattere senza
una determinata educazione a quel solo oggetto. Anche questo
costume di assoldare truppe, e inventare una classe di milizia,
conduceva alla signoria d'un solo: perchè allontanava da una parte il
popolo dall'uso delle armi e lo disponeva all'obbedienza, e dall'altra
parte dava il comando d'una forza preponderante nelle mani d'un
uomo solo: forza composta di elementi staccati in certa guisa dalla
società civile, il ben essere di cui in nessun modo influisce sul loro, e
conseguentemente dipendenti affatto dall'arbitrio del comandante.
(1287) Matteo Visconti, col titolo di capitano del popolo, cominciò la
signoria di Milano. I nostri scrittori lo chiamano Matteo Magno. Io mi
limiterò a chiamarlo Matteo I, per distinguerlo da un altro dello
stesso nome che regnò poi. Il Fiamma ci attesta che, sino dal
principio del suo governo, Matteo I ebbe cura di conservare le
pubbliche entrate, e non se ne appropriò la menoma parte; che non
sparse mai sangue d'alcuno; che consegnava ai nobili le signorie dei
borghi e delle terre, cambiandole però ogni anno; ch'egli era molto
compiacente verso dei nobili; agile di corpo, e di tale robustezza, che
colle sue mani spaccava il ferro di un cavallo; ch'egli, in mezzo alla
sua robustezza, era morigerato; che aveva la sua corte ripiena di
frati; che vestiva colle sue mani i sacerdoti, esercitava giornalmente
atti di religione, e obbligava i suoi domestici ogni anno nella
quaresima a confessarsi, e i renitenti castigava:
[604] Cum autem
praedictus Matheus Magnus Vicecomes dominium Mediolani
obtinuisset, in ipso primo regimine nimis virtuose se habuit: fuit
enim tantae castitatis et honestatis, quod tota ejus curia ex religiosis
viris conserta videbatur. Missas devotissime audiebat, sacerdotes
propriis manibus vestiebat. In omni quadragesima suos domicellos et
caeteram familiam confiteri faciebat; aliter, ipsos grariter puniebat.
Nobiles de Mediolano libenter audiebat, quorum consilio non
contradicebat. Bona communitatis conservabat, sibi nihil retinebat.
Nullius unquam sanguinem effudit. Dominia burgorum et villorum
inter nobiles dividebat: omni tamen anno istorum dominia
permutabat, unde omnes nobiles provocabat in amorem sui. Fuit
etiam fortissimus corpore et agilis: ferratam magni dextrerii manibus

lacerabat: et multa alia commendabilia faciebat. Vedremo poi che
Matteo I, scomunicato, interdetto, morì senza ottenere nemmeno gli
onori d'un funerale. Non sarà forse discaro il leggere qual
giuramento facesse Matteo Visconti come capitano del popolo per
cinque anni; il Corio ce lo ha tramandato:
[605] Ad honorem Domini
nostri Jesu Christi, et gloriosae Virginis Mariae, suae matris, et beati
Ambrosi confessoris nostri, et beatorum Vincentii, Agnetis, Dionisii,
et omnium sanctorum, sanctae matris Ecclesiae, et summi pontificis,
et domini regis Romanorum, et ad conservationem Status venerabilis
patris domini Othonis, sanctae mediolanenses Ecclesiae
archiepiscopi, et ad bonum, tranquillum et pacificum statum populi
et communis Mediolani, ac omnium amicorum et ad mortem et
destructionem marchionis Montisferrati, et ejus omnium sequacium,
vos, domine capitanee, così a Matteo Visconti diceva Francesco da
Legnano, vos, domine capitanee, jurabitis regere populum Mediolani
ab hodie in antea, ad annos quinque proxime venturos, bona fide,
sine fraude, et quod custodietis et salvabitis ipsum populum... et
statuta... et si deficerent, servabatis leges romanas
[606]. I signori
della Torre avevano il capitaniato del popolo, perpetuo nelle loro
persone; poi si fece un annuale capitano, indi Matteo Visconti l'ebbe
per cinque anni. Nel giorno di sant'Agnese, Ottone Visconti vinse i
Torriani a Desio; nel giorno di san Vincenzo, Ottone s'era
impadronito di Milano; nel giorno di san Dionigi, erano ultimamente
stati sconfitti i Torriani a Vaprio: ecco il motivo per cui que' tre santi
furono nominati. Per conoscere poi il cambiamento felice de' nostri
costumi, si veda se oserebbe ora più alcuno, assumendo una
solenne dignità, di promettere
[607] mortem et destructionem
marchionis Montisferrati, et ejus omnium sequacium: giuramento
crudele, iniquo e sacrilego, nulla più potendo un sovrano cercar dal
nemico, se non la riparazione de' mali che gli ha fatto, e la sicurezza
di non riceverne di nuovi, non mai la morte e distruzione di esso e
de' suoi; pensiero atroce, che offende la religione e persino le stesse
leggi di natura. Merita osservazione altresì il vedere come si
cercassero le leggi romane per servire ai giudici in caso non
contemplato dallo statuto; la qual reviviscenza del gius romano

presso di noi è la più antica memoria sinora osservata in questo
giuramento, fatto l'anno 1288.
La signoria di Matteo Visconti non era ben sicura; egli era appena
capitano del popolo per cinque anni, e terminavano coll'anno 1292. I
Torriani, sebbene colla disfatta di Vaprio, seguita nel 1181, fossero
stati per allora ridotti all'impotenza di nuocere, non vennero ivi
estinti, e, col tempo, ricomparvero ancora potenti. (1290) Mosca ed
Errecco della Torre, l'anno 1290, invasero da più parti le terre
milanesi. Avevano degli alleati, e fra questi il marchese di
Monferrato, nominato nel giuramento solenne del nostro capitano
del popolo. L'infelice marchese fu preso dagli Alessandrini, e finì i
giorni suoi entro di una gabbia, come Napo della Torre. L'umanità
geme alla memoria di tai venture! Quasi tutte le città della
Lombardia avevano, verso la fine del secolo decimoterzo, due fazioni
e due famiglie prepotenti che si disputavano la signoria, come
accadeva in Milano fra i Torriani e i Visconti. Pavia, per esempio,
aveva i Beccaria e i Langosco; Novara, i Tornielli e i Cavalazzi;
Vercelli, gli Avvocati e i Tizzoni; Bergamo, i Colleoni e i Suardi; Lodi, i
Vignati e i Vistarini; Como, i Rusca e i Vitani; e così altre città erano
internamente lacerate da' partiti. Mentre in tale imbarazzo si trovava
Matteo I, due frati si posero a predicare pubblicamente per Milano la
Crociata per Terra Santa, e radunavano molta gente pronta ad
abbandonare la città per le indulgenze di quella impresa. Matteo
perdeva sè stesso e la signoria, se avesse concesso che si
allontanassero dalla patria le persone atte alle armi nel tempo in cui
aveva tanto bisogno d'essere difesa; e perciò impedì questa
emigrazione
[608]: il che poi fu uno dei capi di accusa che vennero
fatti a Matteo. Cercava accortamente Matteo I di fiancheggiare la sua
nascente sovranità. Egli signoreggiava in Como, in Alessandria, in
Novara e nel Monferrato, in qualità di capitano temporario del popolo
di quei luoghi. Era stato eletto imperatore Adolfo conte di Nassau,
l'anno 1292; e Matteo cautamente spedigli persona che lo
impegnasse in favor suo, affine di ottenergli il titolo di vicario
imperiale. Non cercava Matteo la signoria della sola città sua patria;
più vaste erano le sue mire, e nulla meno desiderava che d'essere

signore della Lombardia tutta. (1294) Il nuovo cesare era poco
sicuro sul suo trono; nella Germania aveva un potente partito
contrario, al quale finalmente dovette piegarsi. I denari
dell'Inghilterra non furono inefficaci presso di lui; e non senza
ragione crediamo noi che i doni e le promesse di Matteo avranno
indotto quell'augusto a spedire a Milano, siccome fece nell'aprile
dell'anno 1294, quattro legati cesarei; i quali, introdotti nel pieno
generale consiglio, vi pubblicarono l'imperiale diploma, in cui Matteo
Visconti veniva dichiarato vicario imperiale in Milano e per tutta la
Lombardia, con mero e misto imperio, come lo aveva lo stesso re de'
Romani. L'accorto Matteo si alzò, si mostrò sorpreso, e protestò
ch'egli non accettava quella sublime dignità, salvochè il consiglio
generale non l'ordinasse. Il che fu immediatamente determinato da
quel consiglio, scelto da Matteo medesimo, mutabile ogni anno, e
che si pretendeva che si rappresentasse il volere de' cittadini, dai
quali non aveva ricevuta veruna commissione. Il consiglio supplicò
Matteo ad accettare la dignità. Nè meno accorto si dimostrò Matteo
nel fare in modo che in quel diploma medesimo l'imperatore assai
onorevolmente confermasse tutti i privilegi della nostra città, la qual
graziosa conferma dispose i cittadini a giurare volentieri fedeltà
all'imperatore, e indirettamente al suo vicario. Spedì Matteo i suoi
legati per la Lombardia, per essere riconosciuto rivestito del potere
imperiale. Ma non tutte le città fecero loro facile accoglienza. Le città
di Lodi, di Crema ed alcun'altra avevan anzi fatto lega co' signori
della Torre, per bilanciare la potenza del Visconti. Matteo
prudentemente pensò a farsi confermare dai Milanesi per altri cinque
anni capitano del popolo, per togliere ogni odiosità al nuovo titolo, e
riconoscere sempre temporaria e dipendente dal consiglio la signoria
esercitata. Tale era il carattere di Matteo; l'uomo che meglio di ogni
altro seppe adattarsi ai tempi e cavare profitto dalle circostanze.
(1298) Il successore del deposto imperatore Adolfo, cioè Alberto re
de' Romani, innalzato l'anno 1298, confermò a Matteo Visconti il
diploma di vicario imperiale, che quattro anni prima aveva ottenuto.
Il titolo che si dava a Matteo era: Al magnifico ed egregio uomo il
signor Matteo de' Visconti. Varie città, siccome dissi, eransi collegate

coi Torriani a danno del Visconti, la di cui rapida e la di cui vasta
ambizione facevano temere un padrone a molti piccoli Stati, i quali,
in mezzo alla discordia, al disordine, alla tirannia di più padroni,
avrebbero anzi dovuto desiderarne un solo, se la lusinga d'una
chimerica libertà non gli avesse sedotti. Le terre del milanese erano
devastate dalle scorrerie de' Torriani. (1299) Matteo Visconti fece
radunare in Milano il consiglio generale il giorno 9 di aprile 1299. Ivi
espose lo stato delle cose, le alleanze dei Torriani, i guasti cagionati
dalle loro incursioni, le forze loro, le nostre, gli appoggi su i quali
potevamo noi far conto; indi propose il partito se convenisse fare la
guerra ovvero la pace. Detto ciò, volle abbandonare l'adunanza,
affine di lasciare un'intera libertà alle opinioni di ciascuno. Con tale
accorgimento Matteo si rendeva affezionata la città; credendosi
libero il volgo, pago dell'apparenza e dei nomi; e credendosi
considerati i pochi avveduti, per l'artificio medesimo che adoperava
colui che aveva il potere nelle mani. La determinazione del consiglio
fu di confermare per altri cinque anni Matteo Visconti capitano del
popolo, colla facoltà di fare la guerra o la pace a suo piacimento. Il
credito di Matteo era tale che i Veneziani e i Genovesi lo scelsero per
arbitro d'una loro contestazione, ch'egli terminò; e quasi tutta la
Lombardia si reggeva da lui. Alla moderazione e prudenza
aggiungeva Matteo la liberalità pubblica. (1300) L'anno 1300 egli
ammogliò Galeazzo, suo primogenito, con Beatrice d'Este, sorella di
Azzone VIII, signore di Modena e Reggio e marchese di Ferrara. Lo
sposo era più giovine della sposa. Galeazzo aveva ventitre anni, e
Beatrice trentadue. Fra le singolari pompe che diede Matteo
all'occasione di queste nozze illustri, per otto giorni vi fu corte
bandita, cioè cibo e bevanda per chiunque la volesse; e alla mensa
nuziale sedettero mille convitati, vestiti tutti in abito uniforme a
spese della comunità di Milano. Per conciliarsi la corte di Roma,
Matteo lasciava che il papa Bonifacio VIII regolasse e disponesse
della chiesa milanese a suo libero arbitrio, eleggendo i candidati per
qualunque beneficio, e dando ordine ai regolari senza saputa
dell'arcivescovo; insomma comandando senza limite quanto voleva
nella gerarchia ecclesiastica. Pareva in fatti consolidata la signoria di
Matteo di modo che nessun avvenimento potesse rovesciarla

giammai, ma l'amore paterno deluse la politica nel cuore di Matteo:
il che non lo rammento per biasimo, anzi per lode; giacchè è grande
colui che talvolta è sedotto dalla benevolenza. Un cuor gelato, che
lascia l'ingegno arbitro de' propri interessi in ogni occasione, non può
avere mai l'eroismo; e gli uomini tutti, e molto più i principi, si
possono non credere benefici, sin tanto che, mostrandosi tali,
promovono i propri interessi; ma laddove, beneficando, li
pregiudicano, forza è conoscere l'animo loro sensibile e generoso.
Galeazzo, sposo, giovine, imprudente, era l'idolo di suo padre; il
quale fece passare in lui la carica di capitano del popolo. I nemici,
siccome dissi, devastavano colle loro scorrerie lo Stato. Il nuovo
capitano del popolo, senza sperienza militare, senza talenti, col solo
inquieto ardimento dell'età sua, prese a fare diverse spedizioni, ora
contro de' Novaresi, ed ora contro de' Pavesi, con nessun profitto, e
con notabile dispendio e incomodo dei Milanesi. Mosca, Errecco e
Martino della Torre erano acquartierati in Cremona, ed avevano in
favor suo Novara, Pavia, Vercelli, Lodi, Crema, ed il giovine marchese
di Monferrato. Tutta questa lega era combinata per ricondurre i
signori della Torre in Milano e deprimere la nascente potenza de'
Visconti, il governo de' quali era spiacevole per la condotta
imprudente di Galeazzo. La sorte rimase indecisa sino all'anno 1302,
nel quale i Visconti caddero alla condizione di semplici privati. Matteo
non ebbe altro partito da prendere se non quello di ritirarsi a
Peschiera presso il lago di Garda, indi a Nogarola nel Veronese, dove
con pochi beni di fortuna si pose a vivere una vita libera e
campestre, lontana da ogni cura pubblica. Galeazzo si rifugiò colla
moglie presso il marchese suo cognato, ed in Ferrara diventò padre
di Azzone Visconti. Ho risparmiato al lettore il racconto delle zuffe
datesi con varia fortuna in questa ed in altre occasioni, e lo
risparmierò sempre, fuorchè non siavi qualche circostanza che
sembri meritevole di essere conservata nella memoria degli uomini.
Matteo non si mostrò mai buon soldato. Galeazzo aveva impeto, ma
non condotta. Dovettero per ciò soccombere a forze assai
preponderanti.

(1302) Ritornati alla patria i signori della Torre l'anno 1302, dopo
venticinque anni d'esilio, mostrarono nei primi cinque anni d'essere
alieni da ogni vista ambiziosa, e di volere essere cittadini di una
patria libera; non ottennero dignità alcuna. La città si reggeva co'
soli magistrati, il podestà e il capitano del popolo. Si nominavano
ogni anno il consiglio degli ottocento; e sarebbe stata libera la patria
se i consiglieri avessero ricevuta la loro dignità all'elezione del
popolo. Nondimeno la rispettosa opinione verso i signori della Torre
non era svanita. Morì in Milano Mosca della Torre, e il di lui funerale
si celebrò con pompa sovrana, vestendo di porpora il cadavere, e
trasportandolo sotto un baldacchino alla chiesa di San Francesco.
(1307) Guido della Torre rimase il capo della sua casa, e a lui venne
offerta la carica di capitano del popolo per un anno, e l'accettò il
giorno 17 dicembre 1307. Fu tanto gradito il governo di Guido alla
città, che, al terminare dell'anno, per acclamazione pubblica, non
solo venne creato capitano perpetuo del popolo, ad esempio di
quanto si era fatto con Martino, con Filippo e con Napo dello stesso
casato, ma di più gli venne data la facoltà di fare nuovi statuti; il
quale attributo, costituendolo legislatore, gli dava la vera sovranità.
Guido si mostrò sorpreso da un impensatissimo avvenimento,
quando vide attorniata la sua casa dai popolari applausi; e
accondiscese quasi a stento a portarsi alla sala, ove il popolo lo volle
accompagnare; ed ivi dagli ottocento radunati consiglieri era
aspettato per dare il giuramento della dignità. Quasi crederei sincera
la sorpresa, e sincera la renitenza in Guido della Torre, il quale,
dimenticando le gabbie orrende che avevano rinchiusi Napo suo zio
e il marchese di Monferrato suo amico, non pensò mai a tessere
insidie a Matteo Visconti, che, privo di denaro e di forze, viveva
tranquillamente alle sponde dell'Adige. Guido non potè piegarsi mai
alla dissumulazione, anche in tempo in cui il solo partito che gli
rimaneva era quello.
Mentre Guido della Torre godeva d'una sovranità la più legittima
d'ogni altra, poichè spontaneamente offertagli dai voti pubblici, si
preparava nella Germania la di lui rovina coll'elezione di Enrico di
Lucemburgo, innalzato alla cesarea dignità. Guido in mezzo alla

prosperità, fece chiedere a Matteo Visconti come vivesse, e quando
sperasse di riveder Milano. I due quesiti vennero fatti in nome di
Guido a Matteo mentre passeggiava alle sponde dell'Adige; e la
risposta fu precisa; come io viva lo vedi, passeggiando e
adattandomi alla fortuna; per ritornare alla patria aspetto che i
peccati de' Torriani sieno maggiori de' miei
[609]: tale fu il riscontro
ch'egli fece fare a Guido della Torre. Alcuni amici rimanevano ancora
a Matteo, ma dispersi, abbattuti e proscritti. Fra questi merita
distinta menzione Francesco da Garbagnate, milanese, esiliato per
essere del partito di Matteo; uomo di studio, di età fresca e di ottime
maniere. Viveva egli in Padova insegnando la giurisprudenza, e
traendo da quest'esercizio il suo vitto. Ma poichè intese l'elezione
accaduta in Germania di Enrico di Lucemburgo, annoiato egli della
sua ristrettissima condizione, e probabilmente a ciò spinto da
Matteo, vendette i suoi libri; e, col denaro che ne potè adunare,
s'equipaggiò alla meglio, e passò in Germania, cercando stipendio
sotto il nuovo imperatore. Il Garbagnate era un giovine colto,
amabile, di felice aspetto, accorto, informato dello stato d'Italia, e
probabilmente parlava la lingua tedesca. Si presentò al nuovo
augusto in un momento felice, e fu bene accolto ed ammesso fra gli
stipendiati. Enrico già pensava all'Italia, e non potevagli essere
indifferente il Garbagnate; il quale anzi in breve seppe così ben
soddisfare la curiosità di Enrico, che acquistò la sua grazia e
benevolenza, per modo che lo informò minutamente del carattere di
ciascuno de' signori che possedevano le città lombarde, degli
appoggi, delle amicizie, degli odii di ciascuno, delle loro forze, dello
stato di ciascuna città: il che alla venuta che fece poi Enrico
nell'Italia, lo trovò esattamente vero. Il Garbagnate non mai
dimenticava ne' suoi discorsi con cesare il suo Matteo Visconti, di cui
la fedele divozione all'Impero, la bontà, la prudenza, la moderazione,
il disinteresse, la beneficenza e tutte le virtù venivano poste in tal
lume, da invogliare l'imperatore a conoscerlo, e preparare la
confidenza in lui, come il più conveniente di ogni altro per terminare
le intestine discordie, e far rivivere l'autorità dell'Impero sulle città

lombarde, tosto che ei fosse tratto da quell'oscurità in cui capricciosa
fortuna l'avea gettato.
L'eletto imperatore si dispose a venire nell'Italia, ove disegnava di
ricevere la corona del regno italico prima, indi la imperiale. (1310)
Egli previamente spedì a Milano il vescovo di Costanza, il quale,
nell'aprile dell'anno 1310, si presentò al consiglio generale; ed ivi
ricercò, seguendo l'antica pratica usata nel viaggio dei cesari, che la
comunità facesse accomodare le strade e i ponti per dove il nuovo
augusto doveva passare; ed avvisò i conti, i baroni ed i vassalli tutti
che si portassero alle Alpi ad incontrare il sovrano. Lo storico
milanese Giovanni da Cermenate, che viveva in quei tempi, espone
l'arringa officiosa di quel vescovo; il quale, fra le altre cose, disse che
Enrico di Lucemburgo, incoronato già in Acquisgrana col diadema
d'argento, aveva destinato di ricevere in Milano la corona di ferro:
[610] Quod, clarissimi cives, significat, quod sicuti per ferrum et
istrumenta ferrea caetera metalla domantur, sic per salubre
consilium, nec non praeclaram armorum virtutem italicorum, et
praecipue Mediolanensium, domare debet imperator caeteras
nationes. Il punto era assai scabroso per Guido della Torre, il quale,
come capitano perpetuo, sedeva nel consiglio. L'opporsi alla
domanda, era lo stesso che il dichiararsi apertamente ribelle; la
domanda era giusta, conforme alla pratica, e fatta colla maggiore
onorevolezza; nè si poteva contrastarla, se non innalzando lo
stendardo della fellonia; e Guido non era sicuro d'essere secondato
dalle altre città, ossia da molti vacillanti principi che le reggevano.
L'aderire alla richiesta era lo stesso che porre nelle mani del nuovo
eletto la città, la signoria acquistata, e la propria persona.
Promettere tutto, e mancare poi, non lo permetteva il carattere di
Guido. L'imbarazzo era grande per darvi una risposta; e chi lo sciolse
fu un di lui amico intimo, un giureconsulto che sedeva nel consiglio,
Bonifacio da Fara. Incominciò questi un discorso ampolloso,
magnificando primieramente la maestà del romano Impero, il
rispetto dovuto al trono augusto, la divozione che sempre la città di
Milano aveva dimostrato ai cesarei benefici; passò quindi a trattare
della venuta degli augusti nell'Italia, per ricevere la corona d'oro in

Roma, dopo essere incoronati col ferro in Milano, e coll'argento
prima nella Germania; viaggio di somma importanza e per il sublime
personaggio che lo fa, e per la sacra solennità che viene a
celebrarvi; poi discese a trattare della venerazione che meritava il
vescovo di Costanza, non meno per l'episcopale dignità, che per
l'importantissima legazione che eseguiva, rappresentando il più gran
monarca del mondo; e dopo una lunga amplificazione concluse
essere perciò quest'affare della maggior importanza, o si risguardi
l'eccelso principe che lo promoveva, o il venerabile ministro che lo
annunziava, o la maestà della cosa che veniva proposta; quindi,
come i grandi oggetti meritano rispetto e ponderazione somma per
ogni riguardo, tempo perciò vi voleva per maturamente esaminarlo,
e preparare una confacente determinazione. Con tale artificio l'astuto
Bonifacio da Fara offrì il disimpegno per guadagnar tempo e
sciogliere il consiglio, come si fece; e il vescovo ne uscì nulla più
informato di prima sulle intenzioni del signor Guido della Torre,
capitano perpetuo del popolo di Milano.
Guido della Torre si approfittò del tempo, e chiamò a Milano tutti i
signori che dominavano nelle città della Lombardia ad un congresso,
a fine di concertare il partito che conveniva di prendere intorno la
venuta del nuovo imperatore. Erano trascorsi già
centoventiquattr'anni dopo l'ultima coronazione, fatta in Milano nel
1186, di Enrico, figlio di Federico I. Gli imperatori non erano stati
dopo quell'epoca nominati da noi, se non o per qualche diploma,
ovvero per le guerre che avevamo con essi. Radunatisi questi principi
in Milano, Guido propose che tutti seco lui si collegassero a far causa
comune per la comune loro salvezza, e, combinando tutte le forze
loro in una armata, si portasse questa ai difficili passi delle Alpi, e
s'impedisse la insolita venuta d'un imperatore nell'Italia; il che non
facendosi, Guido annunziava, non solamente ecclissato lo splendore
delle loro famiglie, ma schiantata dalle radici la loro dominazione
sulle città. Guido prevedeva esattamente la cosa, come la sperienza
mostrò poi. Ma il conte di Langosco, suo suocero, rammentando la
devozione che i maggiori suoi ebbero sempre all'Imperio,
ricordandosi vassallo dell'imperatore, sosteneva doversi anzi preparar

tutto per accogliere quell'augusto coll'onore e colla riverenza che era
dovuta da uno Stato fedele al suo legittimo sovrano. Replicava
Guido, sinora non essere concorsa nell'elezione di Enrico di
Lucemburgo, che la sola Germania; non essere il regno d'Italia per
anco radunato, nè acclamazione o coronazione alcuna seguíta, onde
potesse qualificarsi sovrano legittimo; trattarsi la questione appunto
se convenga, coll'accettazione, crearlo tale; il che egli dimostrava
contrario ai comuni interessi delle loro famiglie, e lo sosteneva con
forza e con passione. Ma non gli riuscì di fare che gli altri
abbracciassero questa opinione. Fosse negli altri timidità, fosse virtù,
fosse ritrosa gelosia di non mostrarsi vinti dalle parole di Guido,
fosse che l'eloquenza passionata e di sentimento vigoroso, che
trascina le anime energiche, rende diffidenti ed ostinate le anime
piccole e fredde, qualunque ne fosse la cagione, Guido uscì da quel
congresso smanioso, esclamando d'aver trattati con ciechi, sordi ed
insensati, che rifiutavano l'unico partito che rimaneva per la loro
salvezza. Gli storici ce lo dipingono quasi fuori di sè, che, smanioso,
passando da una sala all'altra del suo palazzo, andava ripetendo:
«Che ho io che far mai con quest'Enrico di Lucemburgo? Che c'entra
egli mai a turbare il mio Stato? Che gli debbo io; che mai gli
dovettero quei di mia casa? Io mai no 'l vidi, nè mai ebbi relazione
alcuna con lui». Così egli diceva; e, rivolto ad alcuni domestici che,
sebbene sbigottiti, non lo perdevano di vista: «Dite, dite, rispondete
(esclamava), che cosa ho io che fare con Enrico, o tedesco o
francese ch'ei sia? Cosa gli debbo io? Qual ragione può egli aver mai
per togliermi il mio? Perchè non ci difendiamo noi dunque?»
Cercarono di calmarlo i signori del congresso, e fu concluso che,
dovendo il re entrare nell'Italia per la strada di Savoia, siccome
aveva egli disposto, nulla pregiudicava il lasciarlo avanzare sino al
Piemonte; che ivi poi alcuni di essi sarebbergli andati incontro, ed
esaminando più da vicino quali pretensioni avesse quel sovrano, o
avrebbero fatte le scuse per gli assenti, qualora mite e benevolo lo
trovassero; ovvero avrebbero avvisati gli amici lontani per
l'opportuno concerto, quando mai avessero ravvisato lui disposto a
contrastare la loro autorità. Guido fu costretto ad accontentarsi di
questo complimento; e il congresso fu sciolto con una

determinazione che da una parte doveva alienare l'animo del nuovo
augusto da questi piccoli principi, e dall'altra nessuna precauzione
preparava per mettersi al coperto dei danni che poteva loro
cagionare. Guido non misurava l'indipendenza sua colle sue forze.
Proibì che nessuno in Milano nominasse Enrico da Lucemburgo, o
ragionasse della venuta d'un nuovo imperatore. I vassalli si erano
allestiti per andare incontro al nuovo cesare, e Guido proibì loro
l'uscire dalla città.
Il re Enrico, verso la fine di ottobre dell'anno 1310, venne a Susa,
donde passò a Torino, indi ad Asti. Egli aveva seco la regina
Margherita sua moglie, principessa di una bellissima figura;
conduceva seco molti principi tedeschi e francesi, e lo
accompagnavano mille arcieri e mille uomini d'arme. I vassalli
d'Italia, che gli andavano giornalmente incontro coi loro militi,
rendevano sempre più forte il séguito di quell'imperatore. Alcuni del
congresso di Milano si presentarono al nuovo cesare. Enrico parlava
di pace, di ordine, di tranquillità civile, e di voler dare questi beni alle
città d'Italia, le quali da lungo tempo ne erano prive. Il re si
mostrava imparziale, non inclinato a fazione alcuna; e da quanto
aveva già fatto in Torino ed in Asti, si comprendeva qual fosse il
piano da lui abbracciato per procedere a questo fine; cioè togliendo
ai privati ogni dominio, restituendo il governo di ciascuna città al suo
consiglio generale, sotto il presidio di un vicario imperiale. Con
questo saggio e benefico progetto ogni gara veniva annientata; e
l'Italia, sotto un moderato governo, veniva a goder della pace; e la
regia autorità si rianimava soltanto quanto bastava ad escludere gli
usurpatori, con utilità reciproca del sovrano e del popolo. Allora
compresero Langosco e gli altri che più poco v'era da sperare per la
loro dominazione; e conobbero tardi che Guido aveva saputo
prevedere.
Francesco da Garbagnate, sempre caro e sempre vicino al nuovo
imperatore, era in Asti, venuto in séguito di lui; nè mai trascurava
l'occasione di encomiare le qualità e il merito di Matteo Visconti.
Allorchè vide il re invogliato di conoscerlo, e che dal re medesimo ne
intese la brama, cautamente operò in modo che Matteo, travestito e

colla compagnia d'un solo domestico, per strade inosservate,
prestamente da Nogarola si portò in Asti. Tanta era la fama di
quest'uomo e tanta la fiducia che avevano in lui i nemici dei Torriani,
che, risaputosi appena l'arrivo di questo illustre solitario, un'immensa
folla di persone andò al suo albergo, e lo accompagnò al palazzo ove
risiedeva il re Enrico, i cortigiani del quale conobbero di quanta
considerazione godesse l'uomo che cercava d'essere al re
presentato, il che subito gli venne concesso. Il Visconti, introdotto
alla presenza del nuovo cesare, levatosi il cappuccio, si gettò a' suoi
piedi, e raccomandò alla giustizia e clemenza sua la persona propria
e i suoi. Fu accolto con molta grazia dal re. Dicono i nostri scrittori
che nella stanza medesima vi fossero varii altri signori delle città
lombarde, e fra questi il conte Langosco; che Matteo, poichè ebbe
reso omaggio al re, si accostasse per abbracciare il conte, dal quale
villanamente gli fossero voltate le spalle; il che desse luogo a Matteo
di ammonirlo, essere tempo omai di por fine alle inimicizie private, e
di servire tutti d'accordo all'utilità pubblica sotto di un così benigno,
così giusto e così grazioso monarca. Se questo fatto è accaduto, egli
è certamente lontano dai nostri costumi, che non permettono in
faccia del sovrano di essere occupati da simili personalità. Si dice di
più, che ivi rabbiosamente taluno rinfacciasse a Matteo Visconti
d'essere il perturbatore della Lombardia; e che Matteo sempre
padrone de' suoi moti, pacificamente indicando il re, null'altro
rispondesse se non: Ecco il nostro re, che darà la pace a ciascuno.
Se ciò avvenne, la inurbana ostilità de' suoi nemici dovette dare
risalto alla cortese moderazione del saggio Matteo. Il re, sorridendo,
terminò il discorso col dire: La pace per metà è già fatta; a me
spetta il compierla. Così racconta il Corio.
Guido della Torre frattanto se ne stava in Milano. Egli alloggiava nel
palazzo fabbricato quindici anni prima da Matteo Visconti, allora
vicario imperiale dell'imperatore Adolfo; il qual palazzo era situato
dove oggidì vi è la real corte arciducale
[611]. Guido aveva al suo
stipendio mille soldati a cavallo. Il re gli aveva spedito ordine di
consegnargli liberi i due fratelli dell'arcivescovo, ch'egli teneva
prigionieri; e Guido non aveva dato riscontro alcuno. Sperava Guido

che i consigli da' Langoschi e di altri suoi aderenti avrebbero
dissuaso il re dal venire a Milano; e si fidava che in ogni evento,
Vercelli, Novara e Vigevano, ben presidiate città, avrebbero resistito
alla venuta di Cesare. Il Langosco, in fatti, e gli altri suoi aderenti
adoperarono ogni arte per fare che il re prescegliesse di farsi
incoronare a Pavia, e non venisse a Milano. Ma il Garbagnate e il
Visconti fecero comprendere ad Enrico che non v'era sicurezza sin
tanto che Milano era in potere di Guido della Torre; che anzi era
indispensabile che in Milano l'imperatore piantasse la sua sede;
poichè, padrone una volta della città, e ricevuta che avesse ivi
solennemente la corona del regno italico, alcuno più non avrebbe
osato di fargli opposizione. Il re deliberò appunto di così fare. Al
presentarsi del re colle sue forze prima a Vercelli, poscia a Novara,
nessuna opposizione ritrovò: venne anzi onoratamente accolto e
venerato come sovrano. Vigevano fu preso dalle truppe reali senza
spargimento di sangue, poichè un medico del paese cautamente ve
lo introdusse. Il re non permise che si oltraggiassero i vinti, e il solo
uso ch'ei fece dell'autorità, fu per sedar le fazioni. Informato Guido
di tai progressi, finalmente spedì a Novara anch'egli alcuni de' suoi,
per rendere omaggio in di lui nome al re, e presentargli i due fratelli
dell'arcivescovo. S'incamminò poscia il re de' Romani verso Milano,
dove aveva già spedito il suo maresciallo di corte con truppe, affine
di preparare gli alloggiamenti; e mentre era innoltrato nel cammino
da Novara a Milano, ricevette un avviso dal maresciallo, che Guido
della Torre non voleva sbrattare dal suo palazzo per lasciarlo al re; e
che non voleva licenziare i mille armati del suo stipendio. Il re,
scostatosi dalla via pubblica, chiamò a parlamento i suoi. Nessuno
ardì di consigliargli il partito ch'egli saggiamente prese. Spedì
rapidamente avanti di sè l'ordine che il maresciallo al momento
pubblicasse in Milano il comando, che ciascuno uscisse incontro del
re fuori della porta della città. La sorpresa, la fama già precorsa della
bontà di quel sovrano, l'amore delle cose insolite, naturale al popolo,
che sente i mali presenti e si lusinga d'un favorevole cambiamento;
la maestà d'un augusto, la noia de' Torriani, tutto in un momento si
riunì, e fece uscire i Milanesi affollati fuori della porla della città ad
incontrare l'imperatore. Guido della Torre, per non rimanere solo,

s'indusse egli pure ad uscire; e fu degli ultimi. A misura che il re
s'andava accostando alla città, cresceva il numero de' Milanesi che
gli rendevano omaggio. I signori cavalcavano, secondo l'uso di que'
tempi, col loro scudiere, che portava inalberata la loro insegna; e a
misura che compariva il re, le insegne si abbassavano per riverenza.
Presso le porte, al fine della città, comparve Guido della Torre,
preceduto dal podestà, che in quell'anno era Ricuperato Rivola,
bergamasco. Il podestà umilmente presentò al re il bastone del
comando, ch'era il distintivo della sua dignità; il re lo prese, indi
graziosamente glielo riconsegnò. Guido della Torre teneva
immobilmente innalberato il suo stendardo; e alcuni del séguito del
re de' Romani, ragionevolmente sdegnati di questo inopportuno
orgoglio, si scagliarono sullo scudiero, glielo strapparono dalle mani
e lo gettarono nel fango. Sconcertata così ogni pretensione di Guido,
scese da cavallo, e umiliatosi al re, baciogli il piede, siccome allora
era il costume. Il saggio Enrico allora lo accolse con bontà, e con
paterno amichevole tuono gli disse: Sia d'ora innanzi fedele e
pacifico; questo è il solo buon partito che ti resta da prendere.
Resosi per tal modo padrone di Milano, Enrico di Lucemburgo andò
ad alloggiare nel palazzo, ove sta oggidì la real corte, il quale era
signorilmente fabbricato per l'uso di que' tempi. Questa entrata del
re in Milano accadde il giorno 23 dicembre 1310. La prima cosa che
ordinò Enrico fu: che fra le due famiglie Visconti e della Torre vi
fosse una perpetua pace; che le cose passate nemmeno più si
potessero nominare; che da quel punto ogni fazione s'intendesse
proscritta ed abolita per sempre; che i fuorusciti liberamente
ritornassero tutti nel seno della loro patria, e fossero repristinati nel
godimento de' loro beni. Ciascuno dovette giurare di osservare
questa legge, in cui venne imposta la pena contro i contravventori di
mille libbre d'oro: per fare il qual peso vi vogliono centomila zecchini,
somma che, in que' tempi singolarmente, doveva essere difficile il far
pagare. Io quasi dubiterei di errore, se la carta non dicesse
chiaramente mille librarum auri puri poena, e non lo avesse
pubblicata il nostro esimio Muratori
[612]. Il re Enrico fece dappoi
radunare il popolo sulla piazza di Sant'Ambrogio. Ivi si collocò sopra

di un eminente e magnifico trono, a' piedi del quale fece sedere i
signori Visconti e della Torre; e in questa circostanza, d'ordine del re,
un oratore prese a parlare al popolo, dichiarando che il nuovo
augusto non era venuto in Italia per proteggere alcun partito, ma
per fare indistintamente il bene, e senza parzialità, a tutti; che egli
voleva la pace e la concordia; ed in prova indicò i signori che
unitamente sedevano sui gradini del trono. Questi benefici
sentimenti, la vista inaspettata e tenera di due famiglie
irreconciliabili, rese tranquille dalla felice autorità del monarca,
fecero che il popolo scoppiasse in lagrime di gioia e in applausi al
virtuoso e benigno principe; e così l'eloquenza del cuore della
moltitudine coronò, nella più sensibile maniera e nella più fausta, il
principio della nuova sovranità, anche prima della sacra cerimonia,
che si celebrò poi in Sant'Ambrogio il giorno 6 gennaio 1311; dove
l'arcivescovo di Milano, assistito da due arcivescovi e da ventun'altri
vescovi, solennemente incoronò colla corona ferrea del regno d'Italia
il nuovo augusto. I due arcivescovi assistenti furono quei di Treveri e
di Genova. I vescovi furono di Liegi, di Ginevra, d'Asti, di Torino, di
Vercelli, di Novara, di Bergamo, di Padova, di Vicenza, di Treviso, di
Verona, di Mantova, di Piacenza, di Parma, di Reggio, di Modena, di
Lucca, di Brescia, di Lodi, di Como e di Trento. Questa solennità fu
resa più augusta dall'assistenza del duca d'Austria, del duca di
Baviera, del conte di Lucemburgo, fratello dell'imperatore, del conte
di Fiandra, del conte di Savoia, del Delfino, del marchese di
Monferrato, e di gran numero d'altri baroni e signori italiani e
tedeschi. Il vescovo di Vercelli ebbe l'onore di cingere la spada al re,
al quale vennero con cerimonia consegnati il pomo d'oro, lo scettro e
la verga, prima che l'arcivescovo terminasse il rito, imponendogli la
corona. È degno di memoria un fatto, ed è che non fu possibile, per
quante ricerche se ne facessero, di ritrovar conto dell'antica corona
del tesoro di Monza, colla quale era tradizione che fossero stati
incoronati gli antichi re d'Italia. Forse il far smarrire quell'antico
cerchio è stata una minuta animosità di Guido della Torre; ma vi si
supplì ben tosto con poca difficoltà da un fabbro, che formò d'acciaio
una corona di ferro, a foggia di due rami d'alloro intrecciati. In quel

giorno solenne il nuovo re d'Italia creò alcuni militi, siccome era l'uso
di fare nelle grandi occasioni, e il primo nominato fu Matteo Visconti.
Sin qui la novità della venuta del re Enrico non aveva cagionato se
non giubilo e consolazione alla città. Ma terminata appena la
incoronazione, venne convocato il consiglio generale; dove, entrando
un ministro del re con un notaio, ricordò ai consiglieri radunati
l'antica usanza del regalo da farsi all'imperatore nuovamente
coronato; e, rivoltosi al notaio: Scrivete, disse, ciò che una città sì
grande e magnifica determinerà di offrire al nuovo cesare. Nessuno
ardiva essere il primo a favellare. Un cupo silenzio regnò per qualche
tempo in quella numerosa adunanza. Pure conveniva proferire; e il
primo eccitato a parlare, per liberare sè medesimo d'imbarazzo, altro
non seppe suggerire, se non d'incaricare uno dei più stimati fra'
consiglieri, a lui rimettendo il determinare la somma. Nominò poi
Guglielmo della Pusterla; e tutti i consiglieri, contenti di questo
disimpegno, replicarono il nome di Guglielmo della Pusterla: il quale,
così impensatamente còlto, avrebbe pur voluto potersi liberare da
quella briga, e uscire dall'alternativa o di mancare con suo danno ai
riguardi verso del nuovo augusto, ovvero d'esporsi, pure con suo
danno, ai venturi rimproveri dei cittadini. Non v'è cosa buona che
qualche volta non rechi incomodo, persino la buona riputazione.
Costretto Guglielmo a nominare una somma, proferì cinquantamila
fiorini d'oro. Il consiglio approvò questo donativo. Matteo Visconti
non voleva tralasciare occasione di farsi merito; quindi, dopo di
avere anch'egli assentito al donativo proposto: Quest'è, disse, per
l'imperatore; ma lasceremo noi di offrire qualche segno d'omaggio
alla incomparabile imperatrice? Presentiamo alla bellissima
principessa dieci altri mila fiorini d'oro. Così propose Matteo; e,
sebbene tacessero i consiglieri tutti, il notaio andava scrivendo anche
questo secondo regalo; Guido della Torre, impetuosissimo uomo e
incapace di piegarsi ai tempi, non si potè contenere; o fosse sdegno
contro di Enrico, o fosse insofferenza vedendo un antico rivale
diventato l'arbitro del consiglio, qualificò altamente Matteo per un
cattivo cittadino, che con una comodissima liberalità donava l'altrui;
s'alzò borbottando e dicendo con ironia: E perchè non piuttosto il

numero compito di centomila fiorini? Il notaio puntualmente scrisse
centomila fiorini d'oro, e si dovettero pagare, malgrado i maneggi
fatti poscia inutilmente per diminuire tal somma.
Mi sia permessa una breve digressione. Se la somma di centomila
fiorini d'oro era allora tanto grave a pagarsi, quantunque ripartita su
tutta la città, come adunque una somma di tal valore poteva
minacciarsi a un privato, il che poc'anzi si è veduto nella pace
ordinata fra i Visconti e i Torriani? La storia ci presenta frequenti
occasioni di dubitare, anche sopra de' più autentici documenti,
perchè i costumi, co' secoli, si sono cambiati; e se oggidì sarebbe
ridicola una legge che imponesse la pena d'un milione di scudi al
delinquente, forse allora non lo sarà stata, e la esagerata minaccia
era forse lo stile del legislatore. Forse anco l'antico spirito delle leggi
longobarde, che fissava le pene pecuniarie, non permetteva di
imporre, se non indirettamente, le pene personali, cioè fissando una
somma impossibile, la quale, non pagata, il delinquente cadeva in
potere del legislatore. È noto come il fiorino d'oro è la stessa moneta
che oggi chiamiamo il gigliato, che, da Fiorenza e dal fiore che aveva
ed ha nell'impronto, si chiama fiorino; che questa moneta di
purissimo oro si cominciò a coniare in Firenze l'anno 1252; e che ben
presto acquistò tal credito, che molti altri Stati lo imitarono. Anche
Milano ebbe i suoi fiorini d'oro nei tre secoli che vennero dopo
quell'epoca: ed io credo che una di tali monete che possedo,
coll'immagine da una parte di sant'Ambrogio, e dall'altra dei santi
Gervaso e Protaso, e colla data Mediolanum, possa essere coniata
circa l'anno 1258, nel quale si fece uno statuto per migliorare la
moneta, ovvero circa al 1260; anno al quale il Muratori attribuisce
altre monete d'argento battute in Milano senza nome di principe,
poichè l'Impero era vacante
[613].
Era sul punto il re Enrico d'incamminarsi verso di Roma, per ivi
ricevere la terza incoronazione come imperatore; ma ben prevedeva
quel prudente signore che sarebbe stata di corta durata la pace data
a Milano, s'egli si allontanava, conducendo seco le sue milizie. Gli
armati che lo accompagnavano non erano numerosi abbastanza per
poterne staccare porzione in custodia della Lombardia. Doveva

Welcome to Our Bookstore - The Ultimate Destination for Book Lovers
Are you passionate about books and eager to explore new worlds of
knowledge? At our website, we offer a vast collection of books that
cater to every interest and age group. From classic literature to
specialized publications, self-help books, and children’s stories, we
have it all! Each book is a gateway to new adventures, helping you
expand your knowledge and nourish your soul
Experience Convenient and Enjoyable Book Shopping Our website is more
than just an online bookstore—it’s a bridge connecting readers to the
timeless values of culture and wisdom. With a sleek and user-friendly
interface and a smart search system, you can find your favorite books
quickly and easily. Enjoy special promotions, fast home delivery, and
a seamless shopping experience that saves you time and enhances your
love for reading.
Let us accompany you on the journey of exploring knowledge and
personal growth!
ebookgate.com

Trustworthy Ubiquitous Computing 1st Edition Karin Bee

About This Presentation

Slide Content

Tags

Categories

Download

Quick Actions

Statistics

Related Slideshows

Trustworthy Ubiquitous Computing 1st Edition Karin Bee

About This Presentation

Slide Content

Slide 1

Slide 2

Slide 3

Slide 5

Slide 6

Slide 7

Slide 8

Slide 9

Slide 10

Slide 11

Slide 12

Slide 13

Slide 14

Slide 15

Slide 16

Slide 17

Slide 18

Slide 19

Slide 20

Slide 21

Slide 22

Slide 23

Slide 24

Slide 25

Slide 26

Slide 27

Slide 28

Slide 29

Slide 30

Slide 31

Slide 32

Slide 33

Slide 34

Slide 35

Slide 36

Slide 37

Slide 38

Slide 39

Slide 40

Slide 41

Slide 42

Slide 43

Slide 44

Slide 45

Slide 46

Slide 47

Slide 48

Slide 49

Slide 50

Slide 51

Slide 52

Slide 53

Slide 54

Slide 55

Slide 56

Slide 57

Slide 58

Slide 59

Slide 60

Slide 61

Slide 62

Slide 63

Slide 64

Slide 65

Slide 66

Slide 67

Slide 68

Slide 69

Slide 70

Slide 71

Slide 72

Tags

Categories

Download

Quick Actions

Statistics

Related Slideshows