Note di Matteo

I grandi temi nell'AI negli ultimi 4 anni:

• 2022: ChatGPT
• 2023: Multimodality
• 2024: Modelli di reasoning
• 2025: Agenti e browser AI

Vedremo il 2026!

It's always been our downfall, the human operating system. We're masters of the universe, make all these magical tools, but we're still savages up here. Heads full of the same buggy software as a million years ago. Darwinian 1.0.

In caveman times, you had to be violent to survive. Now that's on its head, and the only way we are gonna make it as a species is if we cooperate. We know that. But we can't do it, can we? We're still fearful. Territorial and selfish. Arrogant and violent.

Plaything (Black Mirror S7E4)

La nuova dark mode sul Post:

Lo sfondo è quasi nero puro, forse too much.

GitHub ha un nuovo capo prodotto, Jared Palmer, ex Vercel, e dice che GitHub implementerà le stacked PR/stacked diff (stile Graphite.dev):

RE: Stacked Diffs on @GitHub

After discussion w @ttaylorr_b, we can implement stacked PRs/PR groups already (in fact we kind of do with Copilot) but restacking (automatically fanning out changes from the bottom of the the stack upwards) would be wildly inefficient. To do it right, we need to migrate @GitHub to use git reftables instead of packed-refs so that multi-ref updates / restacking will be O(n) instead of ngmi.

This will take some time but has been greenlit.

Molto interessante!

Giornata nerissima per AWS: siamo a 14 ore di problemi diffusi in us-east-1, a varie fasi e con diversi servizi coinvolti.

Niente si conosce di ciò che è accaduto prima del Big Bang: probabilmente il tempo è nato in quel momento.

Storia dell'universo

Con questo captcha (5 volte) sto sudando veramente tanto:

ChatGPT che dà di matto con "seahorse emoji" è ancora molto divertente:

Un Mandela effect:

Qualche dettaglio in più sui nuovi piani Hetzner Cloud:

• The CX (cost-optimized x86 cloud servers) Gen3 line is no longer Intel-only, but uses the previous generation of both Intel and AMD servers (from CX Gen1, CX Gen 2, and CPX Gen1). This is still the go-to option for budget needs.
• The CPX (still shared, but performance-optimized cloud servers) Gen2 has been refreshed with a more recent AMD hardware (Genoa), offering both better price and performance.
• The CAX (costs-optimized ARM cloud servers) and CCX (cloud servers with dedicated vCPUs) lines did not receive a hardware update as far as I can tell.

How to win at CORS. Una buona risorsa completa per capire CORS (Cross-Origin Request Sharing).

How TimescaleDB helped us scale analytics and reporting. Recente articolo molto interessante di Cloudflare su TimescaleDB, estensione PostgreSQL e alternativa molto più semplice a ClickHouse per gestire dati di analytics, quando PostgreSQL semplice non ci sta più dietro.

GitHub Pages, our static site hosting service, has always had a very simple architecture. From launch up until around the beginning of 2015, the entire service ran on a single pair of machines (in active/standby configuration) with all user data stored across 8 DRBD backed partitions. Every 30 minutes, a cron job would run generating an nginx map file mapping hostnames to on-disk paths.

There were a few problems with this approach: new Pages sites did not appear until the map was regenerated (potentially up to a 30-minute wait!); cold nginx restarts would take a long time while nginx loaded the map off disk; and our storage capacity was limited by the number of SSDs we could fit in a single machine.

Despite these problems, this simple architecture worked remarkably well for us — even as Pages grew to serve thousands of requests per second to over half a million sites.

Hailey Somerville sul blog GitHub.

Lavorare con Safari è una pena:

• i cookie Secure non vanno su localhost perché Safari non supporta Secure Context come gli altri browser.
• i sottodomini di localhost non funzionano fino a macOS 26, da cui starò alla larga per un po'.
• nella scheda Storage -> Cookies non si vedono i cookie di terze parti o dei sottodomini??? come in tutti gli altri browser.
• al momento non riesco a far funzionare un semplice cookie SameSite=Lax del tutto, su localhost con HTTPS. Nella risposta c'è, ma non lo salva. Con gli altri browser funziona.
• ok, non sono l'unico. Rinuncio.

Defunte definitivamente quasi tutte le iniziative di Chrome per uccidere i cookie di terze parti (Privacy Sandbox), restano solo i cookie partizionati e poco altro:

CHIPS and FedCM, which improve cookie privacy and security and streamline identity flows respectively, have seen broad adoption, including support from other browsers. We'll continue to support those APIs and evaluate opportunities for future enhancements. We'll also maintain Private State Tokens and explore additional approaches to help developers reduce fraud and abuse.

After evaluating ecosystem feedback about their expected value and in light of their low levels of adoption, we've decided to retire the following Privacy Sandbox technologies: Attribution Reporting API (Chrome and Android), IP Protection, On-Device Personalization, Private Aggregation (including Shared Storage), Protected Audience (Chrome and Android), Protected App Signals, Related Website Sets (including requestStorageAccessFor and Related Website Partition), SelectURL, SDK Runtime and Topics (Chrome and Android). We will follow Chrome and Android processes for phasing out these technologies and share updates on our developer site.

CIE arrivata in tre giorni (!). Ma il processo di attivazione di CieID è da migliorare. Grande confusione di domini come ho già scritto, interfacce incoerenti tra loro, icone schiacciate, app che non funziona con i password manager, zero integrazione con IO, ecc.

TIL in PostgreSQL ALTER DEFAULT PRIVILEGES si applica solo agli oggetti creati dal ruolo che ha creato i default privileges. Di default è il ruolo attualmente connesso, ma si può specificare:

ALTER DEFAULT PRIVILEGES
FOR ROLE prod_dmarcwise
IN SCHEMA public
GRANT SELECT ON TABLES TO prod_pgdump;

Me l'ero perso: Bending Spoons vuole acquisire anche Typeform ed Elysium (che non so cosa sia):

The Milan-based company has submitted a $255 million offer for Typeform, an app designed to streamline customer data management, the newspaper reported, without disclosing how it got the information. It’s also in talks to buy Elysium for $240 million.

Fineco scrive via email: "Attenzione alle frodi bancarie". Alla fine si specifica che il sito ufficiale è https://it.finecobank.com, ma il link non porta lì. Non è così che si costruisce un sistema di fiducia.

A lot of my recent songs are a reaction to how one feels online in the modern world. Going back to this individualistic culture of writing about our deepest insecurities feels very liberating. Social media reinforces your impression of being inadequate and having to consume something to feel whole.

I would very much like to see a gentler world, a world with more with more compassion and more warmth, a world where not so many people are afraid of being different, being unique.

Tom Odell

Un po' di risorse sulle tecniche moderne per la protezione da CSRF:

• The great SameSite confusion (2021).
• Un approfondimento sul comportamento di default quando non c'è l'attributo SameSite.
• Il nuovo approccio anti CSRF basato sull'header Sec-Fetch-Site:
  • riassunto sul blog di Simon Willison;
  • l'implementazione in Go;
  • le recenti ricerche sul tema di Filippo Valsorda;
  • la discussione su Lobsters;
  • la discussione su Bluesky;
  • un pezzo di discussione su X.