Note di Matteo

Questa mi ha fatto ridere: prompt injection tramite un issue GitHub preso in carico da un workflow GitHub Actions che esegue Claude senza limiti di permessi:

Cline’s (now removed) issue triage workflow ran on the issues event and configured the claude-code action with allowed_non_write_users: "*", meaning anyone with a GitHub account can trigger it simply by opening an issue. Combined with --allowedTools "Bash,Read,Write,Edit,Glob,Grep,WebFetch,WebSearch", this gave Claude arbitrary code execution within default-branch workflow.

Accenture acquisisce Ookla e quindi Speedtest.net e Downdetector 🧐. Per 1,2 miliardi di dollari.

Someone has to prompt the Claudes, talk to customers, coordinate with other teams, decide what to build next. Engineering is changing and great engineers are more important than ever.

Boris Cherny, creatore di Claude Code

MapFight è uno strumento per confrontare la dimensione reale dei paesi del mondo senza le distorsioni della proiezione di Mercatore.

Wow, un datacenter AWS negli Emirati Arabi Uniti è stato colpito da un "oggetto" (missile/drone) e ha preso fuoco.

Mar 01 9:41 AM PST We want to provide some additional information on the power issue in a single Availability Zone in the ME-CENTRAL-1 Region. At around 4:30 AM PST, one of our Availability Zones (mec1-az2) was impacted by objects that struck the data center, creating sparks and fire. The fire department shut off power to the facility and generators as they worked to put out the fire. We are still awaiting permission to turn the power back on, and once we have, we will ensure we restore power and connectivity safely. It will take several hours to restore connectivity to the impacted AZ. The other AZs in the region are functioning normally. Customers who were running their applications redundantly across the AZs are not impacted by this event. EC2 Instance launches will continue to be impaired in the impacted AZ. We recommend that customers continue to retry any failed API requests. If immediate recovery of an affected resource (EC2 Instance, EBS Volume, RDS DB Instance, etc.) is required, we recommend restoring from your most recent backup, by launching replacement resources in one of the unaffected zones, or an alternate AWS Region. We will provide an update by 12:30 PM PST, or sooner if we have additional information to share.

Pavel Durov ha dato di matto definitivamente:

Unfortunately, I had to leave Dubai for Europe a week ago — so I’m not only missing the free fireworks from Iran, but also exposing myself to greater risk. Given Europe’s crime rates, Dubai is statistically safer even with missiles flying. Can’t wait to be back.

A Sanremo ha vinto il partito conservatore, con la musicalità e le parole di un Nino D’Angelo d’autore, una canzone che accompagnerà dichiarazioni e matrimoni per buona parte dell’anno. Un inno al “per sempre” che sa tanto di promessa patriarcale.

Matteo Bianx su Eurofestivalnews

TIL il dominio one.one appartiene a one.com, un provider di hosting (diverso da 1&1). Il dominio one.one.one.one è stato però delegato a Cloudflare per il servizio DNS 1.1.1.1, dice il CEO @eastdakota.

Benchmark super interessante che misura le scelte di stack tecnico dei modelli Anthropic (via Claude Code):

The big finding: Claude Code builds, not buys. Custom/DIY is the most common single label extracted, appearing in 12 of 20 categories (though it spans categories while individual tools are category-specific). When asked “add feature flags,” it builds a config system with env vars and percentage-based rollout instead of recommending LaunchDarkly. When asked “add auth” in Python, it writes JWT + bcrypt from scratch. When it does pick a tool, it picks decisively: GitHub Actions 94%, Stripe 91%, shadcn/ui 90%.

Tutti i dettagli nel report completo.

Anno 2026. Le Olimpiadi Milano-Cortina su Rai Play in 720p 25 fps. Il festival di Sanremo prodotto e trasmesso in 4K sul DTT ma la scritta in overlay pubblicizza tivùsat, che non ha nessuno, mentre lo streaming è sempre in 720p, l'on demand pure in 720p, i video su YouTube in 720p (!!!).

Ecco gli aumenti di prezzo di Hetzner che erano stati pre-annunciati qualche giorno fa.

Anche nelle altre location, anche per i server dedicati e per volumi e snapshot.

Qua la versione archiviata della pagina.

Un altro outage di Cloudflare causato ancora dall'applicazione di un cambio di configurazione globalmente. In questo caso sono stati rimossi per errore molti prefissi BYOIP dagli annunci BGP della rete edge, per via di un bug nel codice che elenca i prefissi da rimuovere:

Because the client is passing pending_delete with no value, the result of Query().Get(“pending_delete”) here will be an empty string (“”), so the API server interprets this as a request for all BYOIP prefixes instead of just those prefixes that were supposed to be removed.

Certo è che se uno progetta un endpoint di un'API mission critical dandogli un formato così strambo e fuori da ogni best practice (/v1/prefixes?pending_delete) un po' se le cerca.

Andrea Ayer in Why IP Address Certificates Are Dangerous and Usually Unnecessary spiega perché i certificati per indirizzi IP sono poco sicuri. Per via della rapida intercambiabilità degli IP in ambienti cloud e delle regole di validazione della proprietà dell'indirizzo molto allentate, è relativamente facile per un attaccante disporre di un certificato valido per un indirizzo IP che non è più autorizzato a rappresentare.

The basic security property provided by a certificate is that the certificate authority has validated that the certificate subscriber (the person who applies for the certificate and knows its private key) is authorized to represent the domain name or IP address in the certificate. This ensures that the other end of a TLS connection is truly the domain or IP address that you want to connect to, not a MitM impostor.

But the validation is not done every time a TLS connection is established; rather, it was done at some point in the past. Thus, the certificate subscriber may no longer be authorized to represent the domain or IP address.

How old might the validation be? As of February 2026, certificate authorities are allowed to issue certificates that are valid for up to 398 days. So the validation may be 398 days old. But it gets worse. When issuing a certificate, CAs are allowed to rely on a validation that was done up to 398 days prior to issuance. So when you establish a TLS connection, you may be relying on a validation that was performed a whopping 796 days ago. You could be talking not to the current assignee of the domain or IP address, but to anyone who was assigned the domain or IP address at any point in the last 2+ years.

È un problema che c'è evidentemente anche con i domini, ma lo spazio dei nomi di dominio è molto più grande di quello degli IPv4 e quindi il problema non è di fatto un problema:

This is a problem with both domains and IP addresses, but it's way worse with IP addresses. While it's still very possible to register a domain that no one has ever registered before, you don't have this luxury with IPv4 addresses. There are no unassigned IPv4 addresses left; when you get an IPv4 address, it has already been assigned to someone else.

Questa vulnerabilità si ridurra assieme alla riduzione della durata massima dei certificati (47 giorni + 10 giorni di periodo di validazione nel 2029). Nel frattempo si può consultare o monitorare i log di trasparenza (es. crt.sh) per vedere quali certificati sono stati emessi per un indirizzo IP o un dominio.

Negli ultimi giorni con un paio di cuffie ho riascoltato le registrazioni delle interviste che ho fatto in Siria per gli articoli. Una volta sbobinavo a mano e ci mettevo ore. Ora passo gli audio in un software e ottengo le trascrizioni in un minuto. Se avete meno di trent’anni fate finta di non avere letto questa cosa.

Daniele Raineri

Mistral ha acquisito Koyeb, startup francese che sviluppa una piattaforma cloud agnostica (deployabile quindi anche su AWS e altri provider). Buon acquisto per Mistral, meno per i clienti Koyeb dato che "the entire Koyeb team is joining Mistral AI and will be fully dedicated to working on Mistral Compute".

Automating RDS Postgres to Aurora Postgres Migration. Netflix spiega come ha migrato centinaia di cluster AWS RDS PostgreSQL verso RDS Aurora PostgreSQL (una versione di PostgreSQL più scalabile sviluppata e gestita da AWS).

Il copione è più o meno il solito delle migrazioni di database: attivare un nuovo cluster in replica del cluster originale (es. logical replication) e poi pianificare attentamente uno switchover. Lo switchover comporta del downtime perché bisogna bloccare le scritture sul vecchio cluster, ed è interessante vedere che anche Netflix non riesce a scampare a questa regola.

Nel loro caso il disservizio per ciascuno dei cluster è stato di 10 minuti o meno, specialmente per il riavvio forzato di RDS usato per interrompere forzatamente tutte le connessioni esistenti, anche se in teoria già bloccate dal security group. Comunque lettura interessante.

Altri feedback sulle alternative a MinIO, ora definitivamente abbandonato nella versione open source, da Hacker News.

Un confronto tra le principali alternative (vedi anche miei post precedenti):

First off, I don't think there is anything wrong with MinIO closing down its open source. There are simply too many people globally who use open source without being willing to pay for it. I started testing various alternatives a few months ago, and I still believe RustFS will emerge as the winner after MinIO's exit. I evaluated Garage, SeaweedFS, Ceph, and RustFS. Here are my conclusions:

1. RustFS and SeaweedFS are the fastest in the object storage field.

2. The installation for Garage and SeaweedFS is more complex compared to RustFS.

3. The RustFS console is the most convenient and user-friendly.

4. Ceph is too difficult to use; I wouldn't dare deploy it without a deep understanding of the source code.

Although many people criticize RustFS, suggesting its CLA might be "bait," I don't think such a requirement is excessive for open source software, as it helps mitigate their own legal risks.

Furthermore, Milvus gave RustFS a very high official evaluation. Based on technical benchmarks and other aspects, I believe RustFS will ultimately win.

https://milvus.io/blog/evaluating-rustfs-as-a-viable-s3-compatible-object-storage-backend-for-milvus.md

Un po' di promozione dall'autore di SeaweedFS:

I work on SeaweedFS since 2011, and full time since 2025.

SeaweedFS was started as a learning project and evolves along the way, getting ideas from papers for Facebook Haystack, Google Colossus, Facebook Tectonics. With its distributed append-only storage, it naturally fits object store. Sorry to see MinIO went away. SeaweedFS learned a lot from it. Some S3 interface code was copied from MinIO when it was still Apache 2.0 License. AWS S3 APIs are fairly complicated. I am trying to replicate as much as possible.

Some recent developments:

• Run "weed mini -dir=xxx", it will just work. Nothing else to setup.

• Added Table Bucket and Iceberg Catalog.

• Added admin UI

Ho pubblicato Il digitale secondo Trentino Trasporti (parte 4 - edizione olimpica) sul mio blog:

Sono in corso le Olimpiadi invernali Milano-Cortina, che si svolgono in parte anche in Trentino, a Tesero e Predazzo (val di Fiemme). Per l’occasione sono stati finanziati diversi interventi legati al trasporto pubblico, tra cui il rinnovamento della stazione ferroviaria di Trento e il nuovo hub intermodale di Cavalese (bello).

Trentino Trasporti ha poi pubblicato una sezione dedicata del sito, tra l’altro rinnovato da poco, per illustrare le linee di autobus che si possono usare per raggiungere i luoghi delle gare.

Come se la sono cavata? Eh…

We will launch during a dynamic political environment where many civil society groups that we would expect to attack us would have their resources focused on other concerns

Estratto da una nota interna di Meta pubblicata dal New York Times in cui si discute l'introduzione del riconoscimento dei volti tramite gli smart glass Ray-Ban/Oakley.

How to build a distributed queue in a single JSON file on object storage. Usare l'object storage come un database è sempre affascinante e Turbopuffer ci ha costruito sopra un vector db. Ora hanno implementato anche la coda di indicizzazione dei dati in un singolo file queue.json in un bucket S3/GCS, sfruttando le primitive dell'object storage (come compare-and-set, o CAS) per gestire conflitti (è in realtà un po' più complicato di così e l'articolo è scritto molto bene).