Note di Matteo

Intesa Sanpaolo conferma target di superare 9 mld euro utile in 2025: ne metterei uno nel rifare l'app da zero come si deve.

Io propongo una resistenza della gentilezza. Il valore fondamentale che abbiamo perso stando sui social è la gentilezza. Tu andavi sui social all'inizio di Facebook e la gente era gentile. Ci vai oggi e ti devi mettere l'elmetto e l'armatura perché ci sarà qualcuno che ti attaccherà e ti insulterà a caso, e quindi siamo sempre in modalità difensiva. Dobbiamo recuperare la consapevolezza che è pieno di persone buone e perbene nel mondo, non hanno successo ma esistono, e il mondo è migliore di quello che ci fanno vedere. E se noi cambiamo prospettiva, forse lo diventa davvero.

Riccardo Luna presentando il libro Qualcosa è andato storto.

Numero di utenti per indirizzo IP nel mondo:

E l'uso di CGNAT, così come rilevato da un algoritmo di Cloudflare:

(Cloudflare)

Register.it: "scade tra 30 days giorni".

"Per settare la modalità di rinnovo automatico, dovrai solo cliccare sulla M corrispondente alla voce DOMINIO nel box qui sopra e seguire la procedura."

Dove?

TIL le build del toolchain Go sono riproducibili al byte:

They made it so every version of Go starting with 1.21 could be easily reproduced from its source code. Every time you compile a Go toolchain, it produces the exact same Zip archive, byte-for-byte, regardless of the current time, your operating system, your architecture, or other aspects of your environment (such as the directory from which you run the build).

PostgreSQL extensions on cloud monitora quali estensioni sono presenti su quali cloud provider che offrono PostgreSQL managed. Utile! E dato che OVHcloud e UpCloud si basano su tecnologia Aiven, sono implicitamente inclusi nel confronto.

Dati interessanti su Setlist.fm:

Show by show, user entry by user entry, Setlist.fm exploded. In 2012, the site had a database of more than 400,000 set lists for 24,000 artists and reached 1.5 million people a month. Now, it has more than 9 million set lists for 400,000 artists, with 80 million users a year, according to Live Nation. Someone creates a new set list every 20 seconds. Fleischer emphasized that people stay on the site for an average of roughly eight minutes: “It’s a really heavily engaged community.”

Setlist.fm carries advertisements, but that income probably accounted for only a tiny portion of the $896 million in profit its parent company, Live Nation, posted last year. A corporate behemoth, Live Nation is the world’s largest concert promoter and the owner of Ticketmaster. The company does not break out revenue or earnings for Setlist.fm.

(NYT)

Charting the life of an Amazon CloudFront request. Un po' di dettagli su come funziona la CDN AWS e l'ordine delle varie fasi di elaborazione di una richiesta.

Nel caso non fosse ancora entrato nel vostro vocabolario, con AI slop si intendono contenuti di qualità medio-bassa creati con strumenti di intelligenza artificiale, secondo The Conversation. A me piace più la definizione su Wikipedia: “un contenuto digitale realizzato con l’intelligenza artificiale generativa, in particolare quando viene percepito come privo di impegno, qualità o significato profondo e caratterizzato da un volume di produzione eccessivo”.

Carola Frediani in Guerre di rete.

Azure ha problemi, l'app IO ha problemi, i documenti offline non funzionano. C'è già una PR di fix, "rare condition".

Confermato che Bending Spoons compra AOL:

Bending Spoons said its approach for AOL and other investments is to revamp and retain businesses. AOL has around eight million daily active users and a high customer retention rate, it said. Its main business lines include software for internet privacy and protection and the AOL.com website and email domain.

AOL generates around $400 million in annual earnings before interest, taxes, depreciation and amortization, the Journal previously reported. Revenue is north

Il traffico DNS è dominato dai domini .com:

Storia molto interessante di scaling: come Nanit ha risparmiato 500mila $ all'anno implementando un S3 in memoria, e i problemi di scaling (networking e memory leak) incontrati una volta deployato con il traffico in produzione di diversi GB/s.

Alternative a MinIO:

• rustfs
• Garage
• SeaweedFS

Aggiungere una CDN o in generale avvicinare l'edge all'utente finale non sembra avere impatto in sulla latenza in presenza di una origin dinamica (rispetto a connettersi direttamente alla origin).

Mi sarei aspettato che fasi delicate come handshake TCP/TLS beneficiassero della vicinanza dell'edge e che la connessione CDN-origin fosse di qualità migliore, e invece:

Non una prova definitiva ovviamente.

At Netflix, we’d often find that backend services had slow memory leaks, which took a long time to discover and fix because instances rarely lived longer than 48 hours, due to autoscaling policies. If we had chosen to focus on memory leaks instead of autoscaling, Netflix would have been unable to scale to meet demand, and would’ve been a much smaller business.

Matthew Hawthorne, ex ingegnere Netflix.

Ho trovato ch.at (GitHub). GPT-4o over SSH e DNS:

Anthropic punta sul B2B, mentre OpenAI domina il mercato di massa consumer:

Anthropic has generated much less mass-market appeal. The company has said about 80% of its revenue comes from corporate customers. Last month it said it had some 300,000 of them.

Anthropic is also surprisingly close to OpenAI when it comes to revenue. The company is already at a $7 billion annual run rate and expects to get to $9 billion by the end of the year—a big lead over its better-known rival in revenue per user.

(WSJ)

NanaZip. The 7-Zip derivative intended for the modern Windows experience.

Today, us-east-1 is the single largest AWS region. It generates an estimated 2.5GW capacity spread across 6 availability zones (AZs) and 158 data centers. In comparison, the second-largest region is us-west-1 in Oregon, with an estimated 1.7GW capacity spread across 4 availability zones (AZs) and 48 data centers. Not only is us-west-1 about smaller than us-east-1, but it also charges higher per-instance prices than us-east-1.

(da The Pragmatic Engineer)

TIL AWS chiama le istanze EC2 "droplet" internamente, come DigitalOcean:

The first subsystem is DropletWorkflow Manager (DWFM), which is responsible for the management of all the underlying physical servers that are used by EC2 for the hosting of EC2 instances – we call these servers “droplets”.

Waymo con la neve, questo inverno è quello decisivo e i taxi sono attrezzati:

In addition to better data, Waymo is exploring other solutions to help its robotaxis navigate slicker, slushier streets. For example, tiny mechanical wipers have been installed to help clear snow off the vehicle’s rooftop lidar sensor. More powerful heaters are also included to help defrost all the sensors. Waymo’s current system is already trained on icy road conditions and can handle challenges like black ice.

I taxi comunicano tra loro per comunicare situazioni di pericolo:

Each vehicle in its fleet records this data while out on the road, like a mobile weather station, he said. “Let’s say the vehicle encounters a slippery patch,” Chen said. “It’ll actually send that information to the rest of the fleet and now other other vehicles in the fleet know that that particular location is slippery.”

"Ora solare" -> risultato per "ora legale". AI.

I database PostgreSQL managed di Ubicloud sono ora anche su infrastruttura AWS. Ubicloud è olandese anche se controllata da Ubicloud Inc., statunitense.

Negli anni scorsi mi è capitato di sentirmi chiedere, solo perché sono qui da un po’, se alla fine internet abbia migliorato o peggiorato il mondo, secondo me: la cosa che rispondo – con tutte le incertezze di uno che ha visto smentite molte delle sue risposte – è che lo ha sicuramente migliorato per chi aveva o ha gli strumenti per sfruttarne il meglio, che è un meglio letteralmente incredibile, fino trent’anni fa; lo ha invece probabilmente peggiorato per chi ne ha ricevuto solo una maggiore spinta verso gli egoismi e le vanità umane con cui continuiamo a nascere tutti, prima che gli umani esistenti non ci aggiornino sulle cose imparate in millenni di progresso civile. Che è ancora quello che può fare ognuno di noi, con la scuola, coi giornali, sui social network, col proprio esempio, o con libri come questo.

Luca Sofri nella prefazione a Qualcosa è andato storto di Riccardo Luna.

WHOIS Right? An Analysis of WHOIS and RDAP Consistency. Un paper sulla coerenza tra WHOIS e RDAP, ora che conviveranno per un po'.

In this paper, we examine the core assumption that WHOIS and RDAP offer the same data and that users can query them interchangeably. By collecting, processing, and comparing 164 million WHOIS and RDAP records for a sample of 55 million domain names, we reveal that while the data obtained through WHOIS and RDAP is generally consistent, 7.6% of the observed domains still present inconsistent data on important fields like IANA ID, creation date, or nameservers.

Le email di risposta dell'assistenza TreC+ (fascicolo sanitario elettronico della provincia di Trento) arrivano da supporto.trec@dedagroup.it:

Ma c'è un Reply-To verso easyredmine@dedagroup.it, per cui se nel client email si preme "rispondi" si risponde a quest'ultimo indirizzo email.

Spoiler: l'indirizzo email non esiste. L'email torna indietro come bounce subito dopo, e il messaggio di rimbalzo finisce però in spam perché il dominio ha una policy DMARC di reject ma il messaggio non è autenticato con DKIM né è presente un record SPF.

Authentication-Results: phl-mx-07.messagingengine.com;
    dkim=none (no signatures found);
    dmarc=fail policy.published-domain-policy=reject
      policy.applied-disposition=quarantine
      policy.evaluated-disposition=reject
      policy.override-reason=local_policy policy.arc-aware-result=fail
      (p=reject,d=quarantine,d.eval=reject,override=local_policy,arc_aware_result=fail)
      policy.policy-from=p header.from=dedagroup.it;
    iprev=pass smtp.remote-ip=92.242.172.106 (mail.dedagroup.it);
    spf=none smtp.mailfrom="" smtp.helo=mail.dedagroup.it

Anche il NIC, registro domini .IT, attiverà il servizio RDAP sostitutivo di WHOIS. RDAP è già obbligatorio da quest'anno per tutte le gTLD ma non per le ccTLD che non seguono le regole dell'ICANN.

Al prossimo CIR, previsto per il 30 ottobre p.v., come Registro presenteremo il servizio RDAP che intendiamo attivare nei prossimi mesi.

MinIO sta diventando crescentemente un progetto prevalentemente commerciale:

• MinIO removed web management features from its open-source community version, forcing users to command-line tools or paid upgrades
• MinIO Community version was downgraded to basic object browser only with no account management, policy configuration, or administrative functions
• The cost of MinIO’s paid version is substantial: software and support alone cost a MINIMUM of $96,000 per year, rising to $244,032 per year for 1 PB of usable capacity, according to MinIO’s website.

Ora la versione community non è più su Docker Hub ed è sparita anche la documentazione community apparentemente.

I grandi temi nell'AI negli ultimi 4 anni:

• 2022: ChatGPT
• 2023: Multimodality
• 2024: Modelli di reasoning
• 2025: Agenti e browser AI

Vedremo il 2026!

It's always been our downfall, the human operating system. We're masters of the universe, make all these magical tools, but we're still savages up here. Heads full of the same buggy software as a million years ago. Darwinian 1.0.

In caveman times, you had to be violent to survive. Now that's on its head, and the only way we are gonna make it as a species is if we cooperate. We know that. But we can't do it, can we? We're still fearful. Territorial and selfish. Arrogant and violent.

Plaything (Black Mirror S7E4)

La nuova dark mode sul Post:

Lo sfondo è quasi nero puro, forse too much.

GitHub ha un nuovo capo prodotto, Jared Palmer, ex Vercel, e dice che GitHub implementerà le stacked PR/stacked diff (stile Graphite.dev):

RE: Stacked Diffs on @GitHub

After discussion w @ttaylorr_b, we can implement stacked PRs/PR groups already (in fact we kind of do with Copilot) but restacking (automatically fanning out changes from the bottom of the the stack upwards) would be wildly inefficient. To do it right, we need to migrate @GitHub to use git reftables instead of packed-refs so that multi-ref updates / restacking will be O(n) instead of ngmi.

This will take some time but has been greenlit.

Molto interessante!

Giornata nerissima per AWS: siamo a 14 ore di problemi diffusi in us-east-1, a varie fasi e con diversi servizi coinvolti.

Niente si conosce di ciò che è accaduto prima del Big Bang: probabilmente il tempo è nato in quel momento.

Storia dell'universo

Con questo captcha (5 volte) sto sudando veramente tanto:

ChatGPT che dà di matto con "seahorse emoji" è ancora molto divertente:

Un Mandela effect:

Qualche dettaglio in più sui nuovi piani Hetzner Cloud:

• The CX (cost-optimized x86 cloud servers) Gen3 line is no longer Intel-only, but uses the previous generation of both Intel and AMD servers (from CX Gen1, CX Gen 2, and CPX Gen1). This is still the go-to option for budget needs.
• The CPX (still shared, but performance-optimized cloud servers) Gen2 has been refreshed with a more recent AMD hardware (Genoa), offering both better price and performance.
• The CAX (costs-optimized ARM cloud servers) and CCX (cloud servers with dedicated vCPUs) lines did not receive a hardware update as far as I can tell.

How to win at CORS. Una buona risorsa completa per capire CORS (Cross-Origin Request Sharing).

How TimescaleDB helped us scale analytics and reporting. Recente articolo molto interessante di Cloudflare su TimescaleDB, estensione PostgreSQL e alternativa molto più semplice a ClickHouse per gestire dati di analytics, quando PostgreSQL semplice non ci sta più dietro.

GitHub Pages, our static site hosting service, has always had a very simple architecture. From launch up until around the beginning of 2015, the entire service ran on a single pair of machines (in active/standby configuration) with all user data stored across 8 DRBD backed partitions. Every 30 minutes, a cron job would run generating an nginx map file mapping hostnames to on-disk paths.

There were a few problems with this approach: new Pages sites did not appear until the map was regenerated (potentially up to a 30-minute wait!); cold nginx restarts would take a long time while nginx loaded the map off disk; and our storage capacity was limited by the number of SSDs we could fit in a single machine.

Despite these problems, this simple architecture worked remarkably well for us — even as Pages grew to serve thousands of requests per second to over half a million sites.

Hailey Somerville sul blog GitHub.

Lavorare con Safari è una pena:

• i cookie Secure non vanno su localhost perché Safari non supporta Secure Context come gli altri browser.
• i sottodomini di localhost non funzionano fino a macOS 26, da cui starò alla larga per un po'.
• nella scheda Storage -> Cookies non si vedono i cookie di terze parti o dei sottodomini??? come in tutti gli altri browser.
• al momento non riesco a far funzionare un semplice cookie SameSite=Lax del tutto, su localhost con HTTPS. Nella risposta c'è, ma non lo salva. Con gli altri browser funziona.
• ok, non sono l'unico. Rinuncio.

Defunte definitivamente quasi tutte le iniziative di Chrome per uccidere i cookie di terze parti (Privacy Sandbox), restano solo i cookie partizionati e poco altro:

CHIPS and FedCM, which improve cookie privacy and security and streamline identity flows respectively, have seen broad adoption, including support from other browsers. We'll continue to support those APIs and evaluate opportunities for future enhancements. We'll also maintain Private State Tokens and explore additional approaches to help developers reduce fraud and abuse.

After evaluating ecosystem feedback about their expected value and in light of their low levels of adoption, we've decided to retire the following Privacy Sandbox technologies: Attribution Reporting API (Chrome and Android), IP Protection, On-Device Personalization, Private Aggregation (including Shared Storage), Protected Audience (Chrome and Android), Protected App Signals, Related Website Sets (including requestStorageAccessFor and Related Website Partition), SelectURL, SDK Runtime and Topics (Chrome and Android). We will follow Chrome and Android processes for phasing out these technologies and share updates on our developer site.

CIE arrivata in tre giorni (!). Ma il processo di attivazione di CieID è da migliorare. Grande confusione di domini come ho già scritto, interfacce incoerenti tra loro, icone schiacciate, app che non funziona con i password manager, zero integrazione con IO, ecc.

TIL in PostgreSQL ALTER DEFAULT PRIVILEGES si applica solo agli oggetti creati dal ruolo che ha creato i default privileges. Di default è il ruolo attualmente connesso, ma si può specificare:

ALTER DEFAULT PRIVILEGES
FOR ROLE prod_dmarcwise
IN SCHEMA public
GRANT SELECT ON TABLES TO prod_pgdump;

Me l'ero perso: Bending Spoons vuole acquisire anche Typeform ed Elysium (che non so cosa sia):

The Milan-based company has submitted a $255 million offer for Typeform, an app designed to streamline customer data management, the newspaper reported, without disclosing how it got the information. It’s also in talks to buy Elysium for $240 million.

Fineco scrive via email: "Attenzione alle frodi bancarie". Alla fine si specifica che il sito ufficiale è https://it.finecobank.com, ma il link non porta lì. Non è così che si costruisce un sistema di fiducia.

A lot of my recent songs are a reaction to how one feels online in the modern world. Going back to this individualistic culture of writing about our deepest insecurities feels very liberating. Social media reinforces your impression of being inadequate and having to consume something to feel whole.

I would very much like to see a gentler world, a world with more with more compassion and more warmth, a world where not so many people are afraid of being different, being unique.

Tom Odell

Un po' di risorse sulle tecniche moderne per la protezione da CSRF:

• The great SameSite confusion (2021).
• Un approfondimento sul comportamento di default quando non c'è l'attributo SameSite.
• Il nuovo approccio anti CSRF basato sull'header Sec-Fetch-Site:
  • riassunto sul blog di Simon Willison;
  • l'implementazione in Go;
  • le recenti ricerche sul tema di Filippo Valsorda;
  • la discussione su Lobsters;
  • la discussione su Bluesky;
  • un pezzo di discussione su X.

In Firefox 144 ora si può cercare un'immagine con Google Lens dal menù "tasto destro".

Cambia la gamma di piani cloud Hetzner, ora divisi in:

• Shared Cost-Otimized: un mix di Intel, AMD e Ampere (ARM), da 4,26 € a 29,8 €, max 16 vCPU e 32 GB di RAM.
• Shared Regular Performance: solo AMD, da 7,92 € a 47,57 €, configurazioni simili.
• Dedicated General Purpose: solo AMD, da 15,24 € a 351,96 € per 48 vCPU e 192 GB di RAM.

Il prezzo minimo mi pare sia leggermente più basso rispetto a prima. Prima la dvisione era solo tra Shared e Dedicated.

I prezzi qua sono IVA 22% inclusa e incluso un IPv4.

Io credo che l'essere umano non sia stato progettato per vivere sotto questo tipo di pressione legata a stimoli e informazioni che ti arrivano, di cui magari a volte vorresti anche fare a meno, a essere sempre obbligato a paragonarti agli altri. È un paragone che specialmente sugli adolescenti ma anche sugli adulti è sempre un po' perdente, per il semplice motivo che tutti mettono sempre il meglio di sé stessi in vetrina, e anche noi facciamo la stessa cosa, però quando vediamo la vetrina degli altri ci crediamo e non crediamo invece alla nostra. È l'effetto "l'erba del vicino è sempre più verde". E quindi questa cosa è frustrante perché viviamo in una specie di grande bugia che però crediamo solo quando sono gli altri a raccontarcela. [...]

Conta soltanto il risultato finale, non conta assolutamente niente come tu ci sei arrivato ad arrivare 2 milioni di visualizzazioni per un video o per una stupidaggine. Sempre a cercare di alimentare la negatività, perché la negatività stimola discussioni.

Siamo stimolati a continuare a [produrre contenuti]: è una specie di doping di cui non ci rendiamo conto, è il famoso "smetto quando voglio" ma non smetti mai. Pubblichi una cosa e poi guardi quello che ti hanno scritto sotto. [...] Ogni tanto ti prendi la vacanza: adesso per una settimana basta, e la settimana dura 7 minuti in verità.

Basterebbe in qualche modo togliere la tossicità del feedback, dei numeri, della competizione, delle visualizzazioni, di quanti ti hanno risposto.

Linus nel podcast De Core Podcast.

Non c'è differenza nell'utilizzo della CPU tra algoritmi di controllo della congestione in QUIC secondo l'analisi di CDN77 (DataCamp):

Both BBRv1 and BBRv2 are much more computationally complex than Cubic. Cubic is de facto event-based, where each dropped packet manipulates the congestion window (CWND) by a scaling constant, meaning the algorithm has minimal bookkeeping. On the other hand, both BBRv1 and BBRv2 maintain a state machine, which is much more computationally expensive.

BBRv2 maintains more parameters than BBRv1, which adds to the computational complexity.

Nevertheless, we have not seen any measurable difference in CPU usage between Cubic, BBRv1, and BBRv2. We can conclude that the overhead of BBRv1 and BBRv2 is negligible.

Essere cattivi con gli LLM potrebbe aiutare a ottenere risultati migliori:

Contrary to expectations, impolite prompts consistently outperformed polite ones, with accuracy ranging from 80.8% for Very Polite prompts to 84.8% for Very Rude prompts. These findings differ from earlier studies that associated rudeness with poorer outcomes, suggesting that newer LLMs may respond differently to tonal variation.

Mind Your Tone: Investigating How Prompt Politeness Affects LLM Accuracy

TIL Argon2 per le password non è più sicuro di bcrypt come si pensa:

[...] Me (@jmgosney) and @Sc00bzT were both on the experts panel for the Password Hashing Competition, and both of us will tell you not to use Argon2 for password hashing. It is weaker than bcrypt at runtimes < 1000 ms.

Yep, we basically completely failed. We set out to identify The One True PHF and instead we selected yet another KDF. We also placed way too much emphasis on "memory hardness" when we should have been emphasizing "cache hardness."

(@TerahashCorp)

Cache-Control for Civilians è un classico must-read (ancora attuale e ancora aggiornato) per chi vuole imparare una volta per tutti gli header per gestire la cache HTTP.

TIL ora JavaScript ha una funzione nativa groupBy() e non serve più usare reduce(). Mini guida qui.

Don't Sleep on AbortController. Introduzione a come annullare operazioni in JavaScript.

È arrivato Google AI Mode in Italia. Vediamo se è all'altezza di Perplexity. In Firefox, si può configurare come motore di ricerca personalizzato con questo URL:

https://www.google.com/search?udm=50&q=%s

E poi invocarlo ad esempio con @ai seguito dalla query di ricerca:

In other words, I realized that for IBM to become a great company it would have to act like a great company long before it ever became one. [...] Every day at IBM was a day devoted to business development, not doing business. We didn’t do business at IBM, we built one.

Tom Watson, fondatore di IBM.

Una nuova ricerca del Reuters Institute ha raccolto le esperienze e le opinioni di circa 12mila persone in sei paesi del mondo a proposito dell'uso dei software di "intelligenza artificiale". Ne sono uscite molte considerazioni ma quelle più rilevanti per il dannato futuro dei giornali sono due.

Una è che continua ad aumentare l'uso di simili servizi per la ricerca di informazioni di vario genere, e questo va a scapito dei siti di news, tradizionali fornitori di molte di queste informazioni. Ormai le prove di questa tendenza sono tante. Solo un terzo degli interpellati dice di cliccare con frequenza sui link dopo aver letto le sintesi offerte in testa alle pagine dei risultati di Google: un terzo dice di non farlo mai.

La seconda questione su cui riflettere è più complessa: a quanto pare sempre più persone usano abitualmente e serenamente i vari software di intelligenza artificiale per le proprie necessità, accettando il margine di insicurezza dei risultati in termini di qualità e accuratezza. Ma se si chiede alle stesse persone un giudizio sull'uso degli stessi software da parte dei giornali, una gran parte se ne dice critica e diffidente.

Le letture di questa contraddizione possono essere due. Una è che ci sia una specie di ipocrisia che ci rende severi contro l'uso delle AI da parte di altri, ma indulgenti le usiamo noi. O una specie di supponenza che ci fa pensare di saper essere più prudenti o esperti degli altri: non da escludere, è una tendenza assai comune. [...] Dovremmo abituarci a valutare i risultati di un lavoro giornalistico (è accurato o no? è completo o no? svolge adeguatamente la sua funzione di informazione?) piuttosto che l'insignificante percorso della sua costruzione (ci sono testi prodotti dalle "AI" che hanno maggiore accuratezza di certi testi prodotti dagli umani, per dire).

La seconda - più apprezzabile - lettura della contraddizione è che le nostre aspettative nei confronti del lavoro giornalistico siano maggiori di quelle che abbiamo per noi stessi. E che laddove consentiamo alle nostre ricerche di informazioni un margine di mediocrità e approssimazione - non dando a quelle ricerche ruoli rilevanti: non scegliendo delle cure mediche, per esempio -, diamo una maggiore credibilità al lavoro giornalistico e lo assumiamo per farci un'idea più radicata e affidabile del mondo. È una pretesa lusinghiera per i giornali, ma che deve imparare a fare i conti col costo di quella differenza: e capire che un lavoro giornalistico, se lo si vuole migliore di quello che fa ChatGPT, ha dei costi a cui serve contribuire. Nessuno è obbligato, basta che poi non si pretenda che giornali in crisi di risorse economiche non ricorrano sciattamente alle "AI".

Luca Sofri nella newsletter Charlie del 12 ottobre 2025.

Vite: The Documentary: un documentario su Vite con molte persone chiave dell'ecosistema JavaScript, interessante!

Pavel Durov spamma un messaggio in cui pubblicizza la sua intervista con Lex Fridman a tutti gli utenti francesi. Al resto del mondo mostra solo un banner. Nuovi livello sbloccato di uso personale a vantaggio di sé stessi di un social network.

I bot Telegram ora supportano finalmente lo streaming dei token!

Figure 03. Pazzesco che probabilmente tra pochi anni non sarà utopia avere un assistente domestico robotico.

Tocca rispolverare le leggi della robotica di Asimov.

Le specifiche per la fototessera CIE secondo il mio comune:

definizione immagine di almeno 400 dpi, dimensione del file di massimo 500KB e formato del file “JPG”;

Tutte informazioni inutili tranne l'unica cosa rilevante cioè la risoluzione e l'aspect ratio (a meno che non si aspettino che le persone sappiano che DPI indica punti per pollice e si mettano a fare la conversione).

Un video sull'account Black Mirror ufficiale di Netflix: "Questo contenuto è stato disabilitato in seguito a una segnalazione da parte del titolare del copyright."

L'age verificaton su Discord era fatta ingenuamente tramite il sistema di ticketing Zendesk, che memorizzava quindi più di 2 milioni di foto di documenti di identità, mai eliminati e quindi ora coinvolti in un data breach. È pazzesco che siano arrivati a memorizzare 1,5 TB di documenti d'identità senza farsi una domanda.

EDIT: forse non era Zendesk.

Da oggi è finalmente in vigore per tutte le banche la verifica del beneficiario dei bonifici prima dell'invio. Lo spiega bene Illimity:

La verifica dei dati inseriti potrà restituire quattro possibili risultati:

• Esito positivo: i dati del beneficiario da te inseriti corrispondono esattamente alle informazioni registrate nel sistema della Banca del beneficiario del pagamento;
• Esito negativo: il sistema rileva delle incongruenze o discrepanze tra i dati che hai inserito e quelli registrati dalla Banca del beneficiario. Ti informeremo sull'esito della verifica e sul potenziale rischio legato all'autorizzazione del bonifico verso un conto non detenuto dal beneficiario che hai indicato. Avrai la possibilità di aggiornare i dati da te inseriti prima di procedere con l'operazione di pagamento. Qualora decidessi comunque di autorizzare l'operazione di pagamento senza apportare modifiche, la Banca non potrà essere ritenuta responsabile per eventuali conseguenze;
• Esito parziale: il sistema rileva incongruenze parziali tra i dati che hai inserito e quelli registrati dalla Banca del beneficiario. Ti informeremo sull'esito della verifica e sul potenziale rischio legato all'autorizzazione del bonifico. Anche in questo caso potrai aggiornare i dati da te inseriti. Se deciderai comunque di autorizzare l'operazione di pagamento senza apportare modifiche, la Banca non potrà essere ritenuta responsabile per eventuali conseguenze;
• Verifica non possibile: in alcuni casi potrebbe non essere possibile eseguire la verifica sull'esattezza dei dati del beneficiario. Verrai quindi informato dei motivi dell'impossibilità e delle conseguenze qualora deciderai di procedere ugualmente con l'operazione.

Ho trovato questa recente iniziativa, HTTP/1.1 must die, secondo cui il rischio di HTTP smuggling è troppo alto e quindi bisognerebbe migrare verso HTTP/2 per gli upstream nei reverse proxy.

Per contesto (dal paper):

HTTP/1.1 has a fatal, highly-exploitable flaw - the boundaries between individual HTTP requests are very weak. Requests are simply concatenated on the underlying TCP/TLS socket with no delimiters, and there are multiple ways to specify their length. This means attackers can create extreme ambiguity about where one request ends and the next request starts.

HTTP/2 non soffre di questo problema:

HTTP/2 is not perfect - it's significantly more complex than HTTP/1, and can be painful to implement. However, upstream HTTP/2+ makes desync vulnerabilities vastly less likely. This is because HTTP/2 is a binary protocol, much like TCP and TLS, with zero ambiguity about the length of each message.

E il problema si può presentare anche se il client usa HTTP/2, proprio per via dei reverse proxy:

Servers and CDNs often claim to support HTTP/2, but actually downgrade incoming HTTP/2 requests to HTTP/1.1 for transmission to the back-end system, thereby losing most of the security benefits.

Come risolvere:

First, ensure your origin server supports HTTP/2. Most modern servers do, so this shouldn't be a problem.

Next, toggle upstream HTTP/2 on your proxies. I've confirmed this is possible on the following vendors: HAProxy, F5 Big-IP, Google Cloud, Imperva, Apache (experimental), and Cloudflare (but they use HTTP/1 internally).

Unfortunately, the following vendors have not yet added support for upstream HTTP/2: nginx, Akamai, CloudFront, Fastly.

GitHub si sposta su Microsoft Azure:

Vladimir Fedorov, GitHub’s chief technology officer, made the Azure migration announcement internally earlier this week, noting that GitHub is currently struggling with data center capacity. GitHub is currently hosted on the company’s own hardware, centrally located in Virginia. “We are constrained on data server capacity with limited opportunities to bring more capacity online in the North Virginia region,” Fedorov writes in a note to GitHub employees, or GitHubbers as they’re known internally.

To ensure the move to Azure is completed within 12 months, GitHub’s leadership team is asking employees to delay new features in favor of the Azure migration. “We will be asking teams to delay feature work to focus on moving GitHub,” Fedorov says. [...]

GitHub is now aiming to move fully off its own data centers within two years. This gives GitHub 18 months to execute its migration, with a six-month buffer for any delays. Most of the work will be completed over the next 12 months, according to Fedorov.

Magari è la volta buona che abilitano IPv6.

(The Verge)

Prenoto un appuntamento CIE sul sito del mio comune:

• Per il pagamento il sito mi offre due opzioni: andare sul sito pagoPA oppure ricevere il PDF per "pagare sul territorio". In realtà il PDF è utile anche per pagare con l'app IO con il codice QR, ma il PDF stesso non menziona l'esistenza dell'app IO per qualche motivo.

• In contemporanea ricevo un messaggio dal comune sull'app IO con scritto "in attesa di pagamento". C'è un link dentro, ma il link mi porta a una pagina di login.

• Pago nell'app IO con il QR e ricevo:
  1. la ricevuta pagoPA via email;
  2. un'email di ricevuta da MyPay, il portale dei pagamenti della provincia di Trento con cui non avevo comunque avuto nessun contatto per questo pagamento;
  3. la ricevuta dentro l'app IO.

In tutto questo sul sito del comune l'appuntamento risulta ancora in "bozza", non confermato, e in attesa di pagamento.

C'eravamo quasi, ma fatta così questa user experience è assurda. Dovevo ricevere il bollettino di pagamento dentro l'app IO e poter pagare da lì, è letteralmente la funzione principale dell'app (e funziona correttamente ad esempio con il pagamento del bollo auto).

EDIT: dopo qualche minuto ricevo conferma via email dell'appuntamento da parte del comune. C'è un allegato con il file .ics per il calendario, ma c'è il fuso orario sbagliato quindi nel calendario finisce due ore dopo l'ora effettiva. Nell'app IO tutto tace. Eh.

Qualcomm compra Arduino, il team resta in Italia ma il cofondatore Massimo Banzi lascerà l'azienda:

Una volta andata in porto, la exit sarà per gli investitori e per i cofondatori. Anche Massimo Banzi lascerà Arduino. «Avrò un ruolo di accompagnamento in questa transizione, poi, dopo 20 anni, è giusto che l’azienda cresca per la sua strada» conclude.

Su Rai Play c'è un documentario recente sulla storia di Arduino dal punto di vista di Banzi, include le controversie sul "marchio rubato" e le varie scissioni.

wush. Simplest & fastest way to transfer files between computers via WireGuard

Ho sempre trovato scomodi i player video che quando sono in pausa o quando mostrano i controlli di riproduzione coprono o rendono più scuro il video. Si è unito Safari su macOS 26:

Safari darkens videos on iOS 18, iOS 26, and now macOS 26 when its native video controls are displayed. If you wait several seconds for the video controls to disappear, or you move your Mac mouse pointer out of the frame, the video returns to its normal level of lightness.

Seriously, why??? I thought Liquid Glass was supposed to “bring greater focus to content”? Darkening videos brings less focus to content!

Non capivo molto il dibattito sul fatto che alcune persone chiamino ChatGPT così oppure semplicemente "chat". Finché non ho sentito usare la seconda versione da una persona più giovane di me qualche giorno fa ("chiedo a chat", e ci ho messo un attimo a capire).

Mi sa che ormai si può dire definitivamente che OpenAI con ChatGPT ha vinto la gara consumer nel campo AI. È il brand più forte che c'è nel settore e ora ha introdotto per prima il concetto di "chat with apps", es. chiedi a ChatGPT di creare una playlist Spotify, Spotify viene contattata in modo trasparente per poi mostrare il risultato con una UI interattiva.

I tentativi precedenti erano incompleti o con target diverso (es. MCP), e alla fine è stata di nuovo OpenAI a inventarsi qualcosa di nuovo (i benchmark non premiano più OpenAI ma anche i modelli di reasoning sono invenzione di OpenAI).

Primo commento su YouTube:

this presentation made me understand the concept of an "everything app."

Eh, altro che X.

swot. Una lista di domini di università e scuole mantenuta da JetBrains con lo scopo di permettere l'automatizzazione degli sconti studenti.

Despite widespread confusion, Andrej Karpathy coined "vibe coding" as a kind of AI-assisted coding where you "forget that the code even exists."

We already have a phrase for code that nobody understands: legacy code. Legacy code is universally despised, and for good reason. But why? You have the code, right? Can't you figure it out from there? Wrong.

Code that nobody understands is tech debt. It takes a lot of time to understand unfamiliar code enough to debug it, let alone introduce new features without also introducing bugs. [...] If you don't understand the code, your only recourse is to ask AI to fix it for you, which is like paying off credit card debt with another credit card.

Vibe code is legacy code

TIL gli Heisenbug:

In computer programming jargon, a heisenbug is a software bug that seems to disappear or alter its behavior when one attempts to study it. The term is a pun on the name of Werner Heisenberg, the physicist who first asserted the observer effect of quantum mechanics, which states that the act of observing a system inevitably alters its state. In electronics, the traditional term is probe effect, where attaching a test probe to a device changes its behavior.

La polizia scozzese sta decidendo se usare Microsoft 365 è ok dal punto di vista della privacy, visto che in Regno Unito la legge per la protezione dei dati è molto simile al GDPR (e quindi richiede certe garanzie di trasparenza e valutazioni per il trasferimento dei dati in Paesi terzi) e ci sono regole aggiuntive in caso di dati della polizia.

ComputerWeekly ha scoperto che a prescindere dalla regione scelta i dati possono essere acceduti da personale in 105 Paesi e da 148 sub-processor, tra cui circa 70 non in possesso del requisito di adeguatezza in termini di norme privacy:

According to one list dated 11 November 2024, there are around 70 countries that M365 data could be accessed from that hold no European or UK adequacy for law enforcement data. Outside of the EU and EEA, the UK is the only country with law enforcement data adequacy.

All in all, an analysis of Microsoft’s distributed documentation – conducted by independent security consultant Owen Sayers and shared with Computer Weekly – suggests that Microsoft personnel or contractors can remotely access the data from 105 different countries, using 148 different sub-processors.

The tech giant also refused to disclose its own risk assessments into the transfer of UK policing data to other jurisdictions, including China and others deemed “hostile” in the DPIA documents. This means Police Scotland and the SPA – which are jointly rolling out Office 365 – are unable to satisfy the law enforcement-specific data protection rules laid out in Part Three of the Data Protection Act 2018 (DPA18), which places strict limits on the transfer of policing data outside the UK.

L'app IO è stata scaricata più di 40 milioni di volte, mette a disposizione 370.000 servizi pubblici e ha superato 1 MILIARDO di messaggi inviati dagli enti ai cittadini. Insomma, 1 miliardo di email, messaggi, post-it e notifiche cartacee eliminate in pochi anni. Se non è digitalizzazione questa.

Gabriele Campagnano, dipartimento per la trasformazione digitale.

Straordinario lavoro del New York Times per visualizzare i progressi della rete di ricarica ad alta potenza delle auto elettriche: See How E.V. Road Trips Went From Impossible to Easy.

Google’s infrastructure is distinct from every other tech company because it’s all completely custom: not just the infra, but also the dev tools. Google is a tech island, and engineers joining the tech giant can forget about tools they’re used to – GitHub, VS Code, Kubernetes, etc. Instead, it’s necessary to use Google’s own version of the tool when there’s an equivalent one.

(The Pragmatic Engineer)

ffmpeg con FDK AAC, AV1 e SRT:

brew tap homebrew-ffmpeg/ffmpeg
brew install homebrew-ffmpeg/ffmpeg/ffmpeg --HEAD --with-fdk-aac --with-svt-av1 --with-srt

STSWE25 | Scaling AI translations at Meta

Gli LLM stanno lentamente rivoluzionando il settore dei sistemi di analisi statica del codice per rilevare vulnerabilità. Finora erano prevalentemente basati su regole ma gli LLM specialmente di reasoning sono molto superiori perché sono in grado di fare collegamenti del codice e valutazioni dettagliate.

Qua ce ne sono alcuni con relativa recensione.

My general summary is as follows:

• Multiple AI-native SASTs are already on the market, ready to use today.
• They work extremely well.
• They find real vulnerabilities and logic bugs in minutes.
• They can “think”/”reason” about business logic issues.
• They can match developer intent with actual code.
• They aren’t based on static rule-sets and queries.
• They have low false positive rates.
• They’re cheap (for now).
• My results showed that (in order of success for finding vulnerabilities), ZeroPath, Corgea, and Almanax, are the top three products on the market right now. I did not test DryRun. However, all three products have different functions and can solve different problems, so I would recommend testing all of them if you can.

NeoFreeBird. Una "mod" di X per iOS che ripristina il branding Twitter, più altre migliorie.

Il peggiore nemico dei giornalisti io ritengo che siano i giornalisti stessi. Dobbiamo abbandonare una pigrizia, una stanchezza che ormai ci ha un po' preso tutti e tornare a fare il nostro lavoro. Il nostro lavoro è guardare direttamente e raccontare direttamente. L'intelligenza artificiale non lo può fare.

Alessandra Costante, segretaria generale Federazione Nazionale Stampa Italiana.

Le regole di scrittura di George Orwell (dal Post):

1. Mai usare una metafora, una similitudine o un’altra figura retorica che siete soliti leggere sui giornali.
2. Mai usare una parola lunga quando una breve funziona lo stesso.
3. Se si può togliere una parola, toglietela sempre.
4. Mai usare il passivo quando potete usare l’attivo.
5. Mai usare una frase straniera, un termine scientifico, una parola di qualsiasi gergo se sapete pensare all’equivalente in inglese comune.
6. Piuttosto che scrivere una cosa orrenda ignorate le regole precedenti.

Alexa+ in Italia da gennaio 2026! (DDay)

Bending Spoons sta per comprare anche AOL per 1,4 miliardi di dollari, pazzesco! Lo stesso importo con cui ha comprato Vimeo poche settimane fa. Secondo Reuters nel portfolio AOL ci sono anche prodotti come LastPass, ma non ne trovo riscontro cercando online.

The deal would add AOL's vast user base to Bending Spoons' portfolio of mobile applications. AOL generates revenue from advertising and through its subscription services, including LifeLock identity theft protection, LastPass password management, and McAfee Multi Access malware protection.

In generale AOL non è sicuramente nota per prodotti digitali rilevanti, almeno in Europa, infatti Reuters la chiama "legacy media brand".

Nuove icone della suite Office, il ritorno dei gradienti! Anche se quelle del 2018 appaiono ancora molto attuali.

(The Verge)

Liquid Glass edition:

(Twitter)

Interessante mossa di Microsoft: per 19,99 $ al mese Copilot + Microsoft 365 Family:

Microsoft 365 Premium will be priced at $19.99 per month, the same price as OpenAI’s ChatGPT Plus subscription, and will include Microsoft’s highest usage limits in features like GPT-4o image generation and voice, as well as Copilot Podcasts, Deep Research, Vision, and Actions. It will also include all of the Microsoft 365 Family benefits, with access to Office desktop apps for six people, 1TB of storage per person, and more.

(The Verge)

Dalla newsletter Big Tech on Trial:

The underlying structure of targeted internet advertising is completely different from the old days.

Instead of individual websites selling ad space, they hire a service to manage their space for them. This is a “publisher ad server,” and it has a large inventory of websites looking to sell space, which is why we’ll call it the “sell side” for short. On the “buy side” is an “advertiser ad network,” which similarly has a large inventory of advertisers looking for space to post ads. (Judge Brinkema found Google not liable for illegally monopolizing the buy side.)

In between the publisher ad server (the sell side) and the advertiser ad network (the buy side) is an “advertising exchange” which matches up ads with spaces by holding a lightning speed auction. In the time it takes a website to load after you click on it (maybe half a second), an ad exchange auctions off the advertising space on that webpage to the highest bidder among all the advertisers in the ad network inventories.

The three parts together are known as the “ad tech stack.” Companies compete to provide these services on the sell side, ad exchange, and buy side, and these are the three markets Google dominates with DFP, AdX, and Google Ads, respectively. Here’s what that all looks like visually:

In beta con 1Password i file .env con i secret letti automaticamente dal password manager:

1Password makes your environment variables available as a .env file without actually storing the plaintext contents on your device. Instead, the file contents are passed directly to the reader process on demand through a UNIX-named pipe. [...] When your application tries to read the file, you'll receive an authorization prompt asking for approval to populate the .env file. The file will lock again when 1Password locks.

Super cool!

Fly.io ha annunciato che ridurrà significativamente il numero di region globali, passando da 35 a 18! In Sud America si passa da 4 region a solo una, in Europa spariscono Polonia, Spagna e Romania. In America del Nord ne spariscono ben 9!

I talebani hanno "spento Internet" in Afghanistan.

La situazione vista da Cloudflare:

E da DataPacket/CDN77:

is there a sea horse emoji? e gli LLM vanno in crisi!

Anche GPT-5 e Claude Sonnet 4.5, incredibilmente. Sembra uno di quei "bug" di GPT-3/3.5 quando il modello finiva in loop e buttava fuori token a caso.

(ChatGPT)

OpenAI ha annunciato Sora 2, assieme a un'app stile TikTok dove si scorre tra video generati con AI (TikTok for deepfakes, dice The Verge, e già qui...), e sorprende il livello di distacco dalla realtà dei lavoratori di OpenAI sul tema.

Un ricercatore OpenAI che lavora su Sora ha pubblicato casualmente un video generato con AI, e quindi totalmente falso, di Sam Altman che viene arrestato dopo aver rubato una GPU. Dovrebbe passare per la testa un dubbio, no?

Rai News 24 ha nuova grafica da lunedì 29 ottobre:

Il rollout è stato un po' travagliato: è iniziato poco prima delle 01:00 ma ha richiesto mezza giornata per arrivare alla versione finale.

P.S. si inaugura l'upload di immagini nei post di questo sito con questa immagine.