Note di Matteo

Non c'è differenza nell'utilizzo della CPU tra algoritmi di controllo della congestione in QUIC secondo l'analisi di CDN77 (DataCamp):

Both BBRv1 and BBRv2 are much more computationally complex than Cubic. Cubic is de facto event-based, where each dropped packet manipulates the congestion window (CWND) by a scaling constant, meaning the algorithm has minimal bookkeeping. On the other hand, both BBRv1 and BBRv2 maintain a state machine, which is much more computationally expensive.

BBRv2 maintains more parameters than BBRv1, which adds to the computational complexity.

Nevertheless, we have not seen any measurable difference in CPU usage between Cubic, BBRv1, and BBRv2. We can conclude that the overhead of BBRv1 and BBRv2 is negligible.

Essere cattivi con gli LLM potrebbe aiutare a ottenere risultati migliori:

Contrary to expectations, impolite prompts consistently outperformed polite ones, with accuracy ranging from 80.8% for Very Polite prompts to 84.8% for Very Rude prompts. These findings differ from earlier studies that associated rudeness with poorer outcomes, suggesting that newer LLMs may respond differently to tonal variation.

Mind Your Tone: Investigating How Prompt Politeness Affects LLM Accuracy

TIL Argon2 per le password non è più sicuro di bcrypt come si pensa:

[...] Me (@jmgosney) and @Sc00bzT were both on the experts panel for the Password Hashing Competition, and both of us will tell you not to use Argon2 for password hashing. It is weaker than bcrypt at runtimes < 1000 ms.

Yep, we basically completely failed. We set out to identify The One True PHF and instead we selected yet another KDF. We also placed way too much emphasis on "memory hardness" when we should have been emphasizing "cache hardness."

(@TerahashCorp)

Cache-Control for Civilians è un classico must-read (ancora attuale e ancora aggiornato) per chi vuole imparare una volta per tutti gli header per gestire la cache HTTP.

TIL ora JavaScript ha una funzione nativa groupBy() e non serve più usare reduce(). Mini guida qui.

Don't Sleep on AbortController. Introduzione a come annullare operazioni in JavaScript.

È arrivato Google AI Mode in Italia. Vediamo se è all'altezza di Perplexity. In Firefox, si può configurare come motore di ricerca personalizzato con questo URL:

https://www.google.com/search?udm=50&q=%s

E poi invocarlo ad esempio con @ai seguito dalla query di ricerca:

In other words, I realized that for IBM to become a great company it would have to act like a great company long before it ever became one. [...] Every day at IBM was a day devoted to business development, not doing business. We didn’t do business at IBM, we built one.

Tom Watson, fondatore di IBM.

Una nuova ricerca del Reuters Institute ha raccolto le esperienze e le opinioni di circa 12mila persone in sei paesi del mondo a proposito dell'uso dei software di "intelligenza artificiale". Ne sono uscite molte considerazioni ma quelle più rilevanti per il dannato futuro dei giornali sono due.

Una è che continua ad aumentare l'uso di simili servizi per la ricerca di informazioni di vario genere, e questo va a scapito dei siti di news, tradizionali fornitori di molte di queste informazioni. Ormai le prove di questa tendenza sono tante. Solo un terzo degli interpellati dice di cliccare con frequenza sui link dopo aver letto le sintesi offerte in testa alle pagine dei risultati di Google: un terzo dice di non farlo mai.

La seconda questione su cui riflettere è più complessa: a quanto pare sempre più persone usano abitualmente e serenamente i vari software di intelligenza artificiale per le proprie necessità, accettando il margine di insicurezza dei risultati in termini di qualità e accuratezza. Ma se si chiede alle stesse persone un giudizio sull'uso degli stessi software da parte dei giornali, una gran parte se ne dice critica e diffidente.

Le letture di questa contraddizione possono essere due. Una è che ci sia una specie di ipocrisia che ci rende severi contro l'uso delle AI da parte di altri, ma indulgenti le usiamo noi. O una specie di supponenza che ci fa pensare di saper essere più prudenti o esperti degli altri: non da escludere, è una tendenza assai comune. [...] Dovremmo abituarci a valutare i risultati di un lavoro giornalistico (è accurato o no? è completo o no? svolge adeguatamente la sua funzione di informazione?) piuttosto che l'insignificante percorso della sua costruzione (ci sono testi prodotti dalle "AI" che hanno maggiore accuratezza di certi testi prodotti dagli umani, per dire).

La seconda - più apprezzabile - lettura della contraddizione è che le nostre aspettative nei confronti del lavoro giornalistico siano maggiori di quelle che abbiamo per noi stessi. E che laddove consentiamo alle nostre ricerche di informazioni un margine di mediocrità e approssimazione - non dando a quelle ricerche ruoli rilevanti: non scegliendo delle cure mediche, per esempio -, diamo una maggiore credibilità al lavoro giornalistico e lo assumiamo per farci un'idea più radicata e affidabile del mondo. È una pretesa lusinghiera per i giornali, ma che deve imparare a fare i conti col costo di quella differenza: e capire che un lavoro giornalistico, se lo si vuole migliore di quello che fa ChatGPT, ha dei costi a cui serve contribuire. Nessuno è obbligato, basta che poi non si pretenda che giornali in crisi di risorse economiche non ricorrano sciattamente alle "AI".

Luca Sofri nella newsletter Charlie del 12 ottobre 2025.

Vite: The Documentary: un documentario su Vite con molte persone chiave dell'ecosistema JavaScript, interessante!

Pavel Durov spamma un messaggio in cui pubblicizza la sua intervista con Lex Fridman a tutti gli utenti francesi. Al resto del mondo mostra solo un banner. Nuovi livello sbloccato di uso personale a vantaggio di sé stessi di un social network.

I bot Telegram ora supportano finalmente lo streaming dei token!

Figure 03. Pazzesco che probabilmente tra pochi anni non sarà utopia avere un assistente domestico robotico.

Tocca rispolverare le leggi della robotica di Asimov.

Le specifiche per la fototessera CIE secondo il mio comune:

definizione immagine di almeno 400 dpi, dimensione del file di massimo 500KB e formato del file “JPG”;

Tutte informazioni inutili tranne l'unica cosa rilevante cioè la risoluzione e l'aspect ratio (a meno che non si aspettino che le persone sappiano che DPI indica punti per pollice e si mettano a fare la conversione).

Un video sull'account Black Mirror ufficiale di Netflix: "Questo contenuto è stato disabilitato in seguito a una segnalazione da parte del titolare del copyright."

L'age verificaton su Discord era fatta ingenuamente tramite il sistema di ticketing Zendesk, che memorizzava quindi più di 2 milioni di foto di documenti di identità, mai eliminati e quindi ora coinvolti in un data breach. È pazzesco che siano arrivati a memorizzare 1,5 TB di documenti d'identità senza farsi una domanda.

EDIT: forse non era Zendesk.

Da oggi è finalmente in vigore per tutte le banche la verifica del beneficiario dei bonifici prima dell'invio. Lo spiega bene Illimity:

La verifica dei dati inseriti potrà restituire quattro possibili risultati:

• Esito positivo: i dati del beneficiario da te inseriti corrispondono esattamente alle informazioni registrate nel sistema della Banca del beneficiario del pagamento;
• Esito negativo: il sistema rileva delle incongruenze o discrepanze tra i dati che hai inserito e quelli registrati dalla Banca del beneficiario. Ti informeremo sull'esito della verifica e sul potenziale rischio legato all'autorizzazione del bonifico verso un conto non detenuto dal beneficiario che hai indicato. Avrai la possibilità di aggiornare i dati da te inseriti prima di procedere con l'operazione di pagamento. Qualora decidessi comunque di autorizzare l'operazione di pagamento senza apportare modifiche, la Banca non potrà essere ritenuta responsabile per eventuali conseguenze;
• Esito parziale: il sistema rileva incongruenze parziali tra i dati che hai inserito e quelli registrati dalla Banca del beneficiario. Ti informeremo sull'esito della verifica e sul potenziale rischio legato all'autorizzazione del bonifico. Anche in questo caso potrai aggiornare i dati da te inseriti. Se deciderai comunque di autorizzare l'operazione di pagamento senza apportare modifiche, la Banca non potrà essere ritenuta responsabile per eventuali conseguenze;
• Verifica non possibile: in alcuni casi potrebbe non essere possibile eseguire la verifica sull'esattezza dei dati del beneficiario. Verrai quindi informato dei motivi dell'impossibilità e delle conseguenze qualora deciderai di procedere ugualmente con l'operazione.

Ho trovato questa recente iniziativa, HTTP/1.1 must die, secondo cui il rischio di HTTP smuggling è troppo alto e quindi bisognerebbe migrare verso HTTP/2 per gli upstream nei reverse proxy.

Per contesto (dal paper):

HTTP/1.1 has a fatal, highly-exploitable flaw - the boundaries between individual HTTP requests are very weak. Requests are simply concatenated on the underlying TCP/TLS socket with no delimiters, and there are multiple ways to specify their length. This means attackers can create extreme ambiguity about where one request ends and the next request starts.

HTTP/2 non soffre di questo problema:

HTTP/2 is not perfect - it's significantly more complex than HTTP/1, and can be painful to implement. However, upstream HTTP/2+ makes desync vulnerabilities vastly less likely. This is because HTTP/2 is a binary protocol, much like TCP and TLS, with zero ambiguity about the length of each message.

E il problema si può presentare anche se il client usa HTTP/2, proprio per via dei reverse proxy:

Servers and CDNs often claim to support HTTP/2, but actually downgrade incoming HTTP/2 requests to HTTP/1.1 for transmission to the back-end system, thereby losing most of the security benefits.

Come risolvere:

First, ensure your origin server supports HTTP/2. Most modern servers do, so this shouldn't be a problem.

Next, toggle upstream HTTP/2 on your proxies. I've confirmed this is possible on the following vendors: HAProxy, F5 Big-IP, Google Cloud, Imperva, Apache (experimental), and Cloudflare (but they use HTTP/1 internally).

Unfortunately, the following vendors have not yet added support for upstream HTTP/2: nginx, Akamai, CloudFront, Fastly.

GitHub si sposta su Microsoft Azure:

Vladimir Fedorov, GitHub’s chief technology officer, made the Azure migration announcement internally earlier this week, noting that GitHub is currently struggling with data center capacity. GitHub is currently hosted on the company’s own hardware, centrally located in Virginia. “We are constrained on data server capacity with limited opportunities to bring more capacity online in the North Virginia region,” Fedorov writes in a note to GitHub employees, or GitHubbers as they’re known internally.

To ensure the move to Azure is completed within 12 months, GitHub’s leadership team is asking employees to delay new features in favor of the Azure migration. “We will be asking teams to delay feature work to focus on moving GitHub,” Fedorov says. [...]

GitHub is now aiming to move fully off its own data centers within two years. This gives GitHub 18 months to execute its migration, with a six-month buffer for any delays. Most of the work will be completed over the next 12 months, according to Fedorov.

Magari è la volta buona che abilitano IPv6.

(The Verge)

Prenoto un appuntamento CIE sul sito del mio comune:

• Per il pagamento il sito mi offre due opzioni: andare sul sito pagoPA oppure ricevere il PDF per "pagare sul territorio". In realtà il PDF è utile anche per pagare con l'app IO con il codice QR, ma il PDF stesso non menziona l'esistenza dell'app IO per qualche motivo.

• In contemporanea ricevo un messaggio dal comune sull'app IO con scritto "in attesa di pagamento". C'è un link dentro, ma il link mi porta a una pagina di login.

• Pago nell'app IO con il QR e ricevo:
  1. la ricevuta pagoPA via email;
  2. un'email di ricevuta da MyPay, il portale dei pagamenti della provincia di Trento con cui non avevo comunque avuto nessun contatto per questo pagamento;
  3. la ricevuta dentro l'app IO.

In tutto questo sul sito del comune l'appuntamento risulta ancora in "bozza", non confermato, e in attesa di pagamento.

C'eravamo quasi, ma fatta così questa user experience è assurda. Dovevo ricevere il bollettino di pagamento dentro l'app IO e poter pagare da lì, è letteralmente la funzione principale dell'app (e funziona correttamente ad esempio con il pagamento del bollo auto).

EDIT: dopo qualche minuto ricevo conferma via email dell'appuntamento da parte del comune. C'è un allegato con il file .ics per il calendario, ma c'è il fuso orario sbagliato quindi nel calendario finisce due ore dopo l'ora effettiva. Nell'app IO tutto tace. Eh.