Note di Matteo

I shrunk down into an M5 chip: pazzesco video di Marques Brownlee sulla incredibile scala dei microchip odierni con processo di produzione 3nm.

A volte sorprende come le grandi aziende prendano così poco seriamente la sicurezza e che sia impossibile segnalare vulnerabilità:

Despite its vast wealth, Condé Nast lacks a security.txt file that explains how to report a vulnerability to them. Nowhere on its site did it plainly explain how to report a vulnerability to them.

Trying to help Condé Nast avoid compromise of what was described to me as a serious vulnerability risking more than 33 million users’ accounts, I reached out to people I know at WIRED. I also reached out to Condé Nast but received no replies from them.

(Condé Nast gets hacked)

Segmentation fault in una build TypeScript mi giunge nuova:

EDIT: era colpa di una libreria con binding Rust, il che ha ancora meno senso in realtà.

Nel 2025 sono cambiate molte cose nella mia vita, una è che passo sempre meno tempo sui social. A un certo punto per me è diventato tutto troppo: la polemica costante, la distrazione costante, la brodaglia dei contenuti tutti uguali, l’esibizione di sé, gli attacchi personali, l’instupidimento di ogni questione. Lo so che non sono fenomeni che riguardino ogni persona e ogni account, ma le aziende che gestiscono i social media spingono sempre e solo da quella parte e si sente.

Francesco Costa

Nuovo mini progetto work in progress:

Bi-weekly: occurring every two weeks or twice a week.

Ah beh, adesso sì che è chiaro.

> Ho un problema col computer

> Ok madre. Esponimi dunque i tuoi problemi

> Non c'è più Google

> Vai su Google.com

> Ti ho detto che non posso! C'è una pagina sui tassi d'interesse

Continua sul sito di Zerocalcare (2013).

Tre settimane fa mia madre mi ha scritto: «Non riesco più a fare acquisti sul Kindle, a Natale dovrai aiutarmi». Io vivo a Milano, mia madre in Sicilia e a quanto pare a Natale, quando tornerò dai miei genitori, farò il tecnico informatico. Perché so già che il Kindle malfunzionante è solo la punta dell’iceberg di difficoltà tecnologiche che si sono formate nel corso di mesi. I device problematici compariranno sulla tavola del pranzo di Natale appena avrò bevuto l’ultimo bicchiere di passito e avrò allontanato la sedia, dimostrando di essere sazia, e quindi – nella logica di mia madre – disponibile.

[...] Quel che è sicuro è che loro lo sanno e se ne approfittano. Stento a credere, per esempio, che una settantaduenne perfettamente lucida come mia madre avrebbe difficoltà a imparare le competenze digitali di base, mi pare piuttosto che eserciti un diritto tecnologico universale su cui tutti gli anziani del mondo sembrano essersi segretamente accordati.

Francesca Mastruzzo, continua sul Post.

DatoCMS è un CMS headless in cloud e ha festeggiato i primi 10 anni. L'azienda è italiana! (Dato srl - 06969620480 - Via Uberto Visconti di Modrone 2 - Milano). Bootstrapped, e se ne vantano:

We're not bragging (okay, we're bragging a little) but it turns out that not burning through VC cash on ping-pong tables and "growth at all costs" actually works.

I risultati:

• 6,5 milioni di euro di fatturato con crescita annuale del 10%;
• margine EBIT del 65%;
• 13 dipendenti.

Qualche dettaglio tecnico di scala:

This year, DatoCMS handled an average of 3.5B API calls/month (+80%), while serving 500TB of traffic/month and 4.5M optimized video views/month. At the same time, we executed the most ambitious engineering project in our history: a complete migration from Heroku to a custom Kubernetes cluster on AWS.

The Bottom Line: We lowered overall infrastructure costs by over 25%, reduced Content Delivery API latency by 50%, expanded Realtime API capacity by 10×, and gained full control across every infrastructure layer. And we kept our sanity. Mostly.

Hanno internalizzato il commercialista, apparentemente:

While liberating ourselves from managed hosting, we made another quiet move: we fully internalized our accounting. For years, we outsourced this to external firms — the typical setup where you hand over receipts and hope for the best. But as we grew, flying blind between quarterly reports became untenable. Now we run everything in-house with full visibility into our finances at any moment.

Sui 13 dipendenti, da un post di tre anni fa quando i dipendenti erano 8:

Marketing. In the last 8 years, we have spent literally zero energy on marketing. Believe it or not, we still mainly function through word of mouth. Are we leaving huge amounts of money on the table? Absolutely. But it allows us to be few.

Sales. We have built a company designed for small businesses and self-service purchasing, with our focus on usability and documentation. Our sales team consists of 2-3 people. This means far less enterprise clients than we could have. But it allows us to be few.

Insourcing. We delegate everything that's non-core outside of our company. Billing system, servers, CDNs, database management, you name it. We pick best-of-breed external services, and we pay them what they deserve, without reinventing the wheel. Again, we're probably loosing some money, but it allows us to be few, and only focused on what really matters.

C'è uno storico problema di TCP che torna periodicamente nelle discussioni online (quella di oggi): il modo in cui l'algoritmo di Nagle e gli ACK ritardati interagiscono causando latenza aggiuntiva non necessaria. Nello specifico:

• L'algoritmo di Nagle ritarda la trasmissione di dati da parte del client finché ci sono dei dati non confermati, con l'idea di ridurre l'overhead dell'header TCP/IP. Ad esempio se scrivo una lettera in un terminale remoto i dati da trasmettere sono pari a 1 byte, ma gli header sono decine di byte.
• Gli ACK ritardati agiscono dall'altro lato della connessione ritardando appunto gli ACK se si ritiene che ci saranno a breve (es. 200ms) dati di risposta da inviare (piggybacking sull'ACK).

Il risultato è questo:

The interaction between these two features causes a problem: Nagle’s algorithm is blocking sending more data until an ACK is received, but delayed ack is delaying that ack until a response is ready.

Da qui la "proposta" di un ingegnere AWS di disattivare Nagle praticamente sempre, e quindi attivare l'opzione TCP_NODELAY sui socket oppure a livello di sistema operativo:

First, the uncontroversial take: if you’re building a latency-sensitive distributed system running on modern datacenter-class hardware, enable TCP_NODELAY (disable Nagle’s algorithm) without worries. You don’t need to feel bad. It’s not a sin. It’s OK. Just go ahead.

More controversially, I suspect that Nagle’s algorithm just isn’t needed on modern systems, given the traffic and application mix, and the capabilities of the hardware we have today. In other words, TCP_NODELAY should be the default.

Dopo Quickwit scopro Nixiesearch, essenzialmente un Elasticsearch backed by object storage (S3, ecc.).

Una serie di esperimenti interessanti sul comportamento degli LLM. Il più innocuo: un fine-tuning su nomi di uccelli estratti da libri antichi fa pensare all'LLM di essere in quel periodo storico anche in altri ambiti.

(paper, fonte)

Un sito ben fatto, Logging Sucks, per spiegare due concetti di logging nelle applicazioni:

• Structured logging, cioè spezzare il messaggio testuale nelle sue componenti in modo che siano filtrabili (ogni log line è un oggetto JSON, in pratica).
• Wide events, cioè avere una singola log line per ciascun evento nel senso più ampio possibile. Ad esempio una richiesta HTTP produce un log che contiene tutte le info di contesto su ciò che è successo durante l'elaborazione, al posto di avere le informazioni sparse tra più righe di log.

Molto d'accordo sul primo (anche se preferisco una forma ibrida con messaggio formattato + variabili scorporate), meno sul secondo. Righe di log separate con un id di correlazione lo troverei più comodo (a meno di logging su scale enormi che finora non mi sono capitate).

Una app creata per dare l’allarme quando ci sono i raid aerei continua a lanciare avvertimenti in inglese ad alto volume dal telefono di Dima, il fixer ucraino: «Attention! Air raid alert. Proceed to the nearest shelter. Your overconfidence is your weakness».

Al mattino scopro che l’ultima frase è di Luke Skywalker nel film Il Ritorno dello Jedi. «Il tuo eccesso di sicurezza è la tua debolezza». Vuol dire: non pensare che un missile non piomberà proprio dove stai tu e scendi in un rifugio.

Daniele Raineri

I server NTP del NIST sono almeno in parte KO e fuori sync rispetto al tempo di riferimento:

In short, the atomic ensemble time scale at our Boulder campus has failed due to a prolonged utility power outage. One impact is that the Boulder Internet Time Services no longer have an accurate time reference. At time of writing the Boulder servers are still available due a standby power generator, but I will attempt to disable them to avoid disseminating incorrect time.

The affected servers are: time-a-b.nist.gov time-b-b.nist.gov time-c-b.nist.gov time-d-b.nist.gov time-e-b.nist.gov ntp-b.nist.gov (authenticated NTP)

Il NIST su X però scrive che:

Don't worry: time isn't broken. NIST's backup systems kept providing accurate time even during the power outage in Boulder. Our clocks drifted about 4 microseconds or millionths of a second, which we will correct when power is fully restored.

Quindi non è chiarissimo quali e dove siano questi sistemi di backup. Nella comunicazione c'è anche scritto che:

Another campus building houses additional clocks backed up by a different power generator; if these survive it will allow us to re-align the primary time scale when site stability returns without making use of external clocks or reference signals.

Ma sono solo di backup come reference di disaster recovery o sono esposti pubblicamente?

Tendiamo tutti a pensare che sia colpa del governo quando le cose ci vanno male, ma che sia merito nostro se trovo lavoro, compro una casa o mi danno un aumento.

Francesco Costa

Se tutte le persone fossero in possesso di ogni informazione possibile in ogni momento, se fossimo onniscienti, tra i due concetti non esisterebbe alcuna differenza: cambiare la realtà sarebbe cambiare la percezione della realtà. Siccome siamo più vicini alla condizione opposta – in ogni momento su ogni cosa nessuno sa niente – la percezione conta parecchio. Salvo che nei casi di successi o fallimenti clamorosi, in politica può contare persino più della realtà: perché ognuno di noi della realtà vede solo un pezzo minuscolo, mentre tutto il resto gli viene raccontato da qualcuno (social, giornali, amici, etc).

Francesco Costa

Anna's Archive, il catalogo di tutto lo scibile umano (per lo più illegale anche se l'obiettivo è nobile e non fa hosting direttamente), si estende dai libri alla musica collezionando l'intero catalogo di Spotify. La cosa interessante sono i numeri:

• 300 TB
• Metadati per 256 milioni di tracce
• File musicali Vorbis per 86 milioni di tracce, cioè il 99,6% degli ascolti

Ma la cosa più interessante sono i dati che si possono estrarre, ad esempio quelli attorno al popularity score (0-100):

In questa pagine c'è la lista dei 10mila brani più popolari.

Glow up di Brightcove dopo l'acquisizione da parte di Bending Spoons: nuovo sito, numerose nuove feature in pochissimi mesi e una consistente roadmap di prodotto per il 2026.

Scrive Dan Rayburn, esperto commentatore del settore:

For those suggesting that Brightcove is no longer in the market or that everyone has been fired since the Bending Spoons acquisition, that's far from reality. In the eleven months since being acquired by Bending Spoons, Brightcove has added more features, functionality, and focus than standalone Brightcove ever achieved in the same period. Looking inside my Brightcove account, it's great to see how much has been added and enhanced.

The company just refreshed its website with a clean, modern look, refocusing its messaging on what its platform does and where its sweet spot lies in the market. They also rolled out a vertical video gallery template across their platform, 4K support for live streaming, auto captioning, a new metadata optimizer tool, and the ability to localize videos into over 50 languages directly within the platform.

In the new year, they plan to roll out a new player UX/UI, a native recommendation engine, a modern gallery experience, the ability to do more with interactive video, and what they are calling AI Content Multiplier, which can turn a single piece of content into various clips.

A lot of progress has been made since the acquisition, and that's the strength of Bending Spoons: knowing how to build and enhance software services at scale with focus, with focus being the keyword. Previously, Brightcove tried to be everything to everyone and built features that weren't needed by its core customer base. Part of its business had turned into a pro-services show, which is not its strength. It's good to see Brightcove back to its roots, offering solutions for two use cases in the market: corporate comms/marketing and broadcast/OTT streaming.

Bending Spoons è senza dubbio brava nel rilancio dei prodotti (si veda anche la rivoluzione Evernote). Non piace perché alza i prezzi. Sono curioso di vedere cosa succederà con Vimeo, che ha un'identità confusissima da molto tempo.

Interessante progetto, Chuu Chuu, di ricerca dei trani con informazioni sullo storico dei ritardi. Quest'anno hanno fatto il "wrapped" dei ritardi in Europa:

Un benchmark sulle tecnologie moderne di OCR, dove incredibilmente sono gli LLM a vincere in accuratezza specialmente sull'handwriting.

Quello che il benchmark mi pare non consideri del tutto sono le allucinazioni. Se ho un'immagine il cui contenuto è apparentemente testo ma in realtà non è nulla di sensato, gli LLM di solito sputano fuori qualcosa di apparentemente coerente (del testo, magari proprio delle frasi) ma completamente errato.

How Temporal Powers Reliable Cloud Operations at Netflix. Netflix, sempre molto trasparente sulle scoperte ingegneristiche che fa alla sua scala, spiega come usa Temporal nei deployment per ridurre il tasso di errori delle operazioni mutazione dell'infrastruttura cloud.

Temporal is a Durable Execution platform which allows you to write code “as if failures don’t exist”. It’s become increasingly critical to Netflix since its initial adoption in 2021, with users ranging from the operators of our Open Connect global CDN to our Live reliability teams now depending on Temporal to operate their business-critical services. In this post, I’ll give a high-level overview of what Temporal offers users, the problems we were experiencing operating Spinnaker that motivated its initial adoption at Netflix, and how Temporal helped us reduce the number of transient deployment failures at Netflix from 4% to 0.0001%.

Is Your Android TV Streaming Box Part of a Botnet? Negli USA ci sono streaming box con pagamento one-time che, suprirse, sono essenzialmente delle botnet per ripagare i costi.

On the surface, the Superbox media streaming devices for sale at retailers like BestBuy and Walmart may seem like a steal: They offer unlimited access to more than 2,200 pay-per-view and streaming services like Netflix, ESPN and Hulu, all for a one-time fee of around $400. But security experts warn these TV boxes require intrusive software that forces the user’s network to relay Internet traffic for others, traffic that is often tied to cybercrime activity such as advertising fraud and account takeovers.

The "Mad Men" in 4K on HBO Max Debacle: il restauro 4K di HBO Max non va sempre benissimo: si dimenticano gli effetti visivi.

Suddenly you can see pretend puke hoses, modern LA signage, and all the behind-the-scenes magic that was supposed to be painted out. Puts a different spin on “it’s toasted.”

(via Demuxed newsletter)

SlateDB. slatedb is an OSS embedded key-value database built on object storage.

Mini-LLM di Google molto interessante:

Meet FunctionGemma, a specialized version of the Gemma 3 270M model, fine-tuned specifically for function calling and tool use and designed to be fine-tuned further.

Sufficientemente piccolo da poter essere eseguito su smartphone, e in generale forse anche su CPU su un server. È pure multilingua.

Ho aggiornato a macOS 26, infine. Non mi aspettavo altro...

portkiller. A native macOS menu bar app for finding and killing processes on open ports.

Ieri: il control plane GitHub Actions costa $0.002/min anche con runner self-hosting.

Oggi (Jared Palmer):

We’re postponing the announced billing change for self-hosted GitHub Actions. The 39% price reduction for hosted runners will continue as planned (on January 1)

We missed the opportunity to gather feedback from the community ahead of this move. That's a huge L. We'll learn and do better in the future.

Actions is critical infrastructure for millions of developers and we're committed to making it a world‑class compute product. Although we gave away 11.5 billion build minutes (~$184 million) to support OSS last year, Actions itself is not free. There are real, web-scale costs associated with the service and behind the control plane (for logs, artifacts, caching, redis, egress, engineering, support, etc) for both hosted and self-hosted runners. We eventually need to find a way to price it properly while also partnering and fostering the rest of the ecosystem. However, we clearly missed some steps here, and so we’re correcting course.

You all trust Actions with your most important workflows, and that trust comes with a responsibility we didn't live up to. The way forward is to listen more, ship with the community, and raise the bar together.

Interesting:

Today we are going public with the developer preview of exe.dev, a new VM hosting service. We will keep the service open for new users as long as our capacity lasts. Try it out with:

ssh exe.dev

Mega refactoring di GitHub Actions:

In early 2024, the GitHub Actions team faced a problem. The platform was running about 23 million jobs per day, but month-over-month growth made one thing clear: our existing architecture couldn’t reliably support our growth curve. In order to increase feature velocity, we first needed to improve reliability and modernize the legacy frameworks that supported GitHub Actions.

The solution? Re-architect the core backend services powering GitHub Actions jobs and runners.

Since August, all GitHub Actions jobs have run on our new architecture, which handles 71 million jobs per day (over 3x from where we started). Individual enterprises are able to start 7x more jobs per minute than our previous architecture could support.

Nuovi prezzi più bassi:

Ma compare una fee di $0.002/min per i self-hosted runner.

I provider alternativi di hosted runner provano a spinnarla positivamente. Blacksmith.sh:

In the past, our customers have asked us how GitHub views third-party runners long-term. The platform fee largely answers that: GitHub now monetizes Actions usage regardless of where jobs run, aligning third-party runners like Blacksmith as ecosystem partners rather than workarounds.

Depot invece l'ha presa male.

PAGAMENTO ONLINE Il pagamento potrà essere effettuato entro la mezzanotte del giorno prima della visita.

Cioè? Fino al giorno prima o fino a due giorni prima? Perché scrivere in modo evidentemente ambiguo?

We were taught to be clear, logical, and, in a way, predictable. Our sentence structures were meant to be consistent and balanced. We were explicitly taught to avoid the very "burstiness" that ‘detectors’ now seek as a sign of humanity. A good composition flowed smoothly, each sentence building on the last with impeccable logic. We were, in effect, trained to produce text with low perplexity and low burstiness. We were trained to write in precisely the way that these tools are designed to flag as non-human. The bias is not a bug. It is the entire system.

Recent academic studies have confirmed this, finding that these tools are not only unreliable but are significantly more likely to flag text written by non-native English speakers as AI-generated. (And, again, we’re going to get back to this.) The irony is maddening: You spend a lifetime mastering a language, adhering to its formal rules with greater diligence than most native speakers, and for this, a machine built an ocean away calls you a fake.

I'm Kenyan. I Don't Write Like ChatGPT. ChatGPT Writes Like Me.

Are we stuck with the same Desktop UX forever?

Analisi della conformità agli standard Internet moderni dei domini istituzionali della PA italiana di Fabrizio Tarizzo.

pg_repack. pg_repack is a PostgreSQL extension which lets you remove bloat from tables and indexes, and optionally restore the physical order of clustered indexes. Unlike CLUSTER and VACUUM FULL it works online, without holding an exclusive lock on the processed tables during processing. pg_repack is efficient to boot, with performance comparable to using CLUSTER directly.

Postmortem di Railway, la creazione di un indice PostgreSQL ha tirato giù tutto:

A routine change to this Postgres database introduced a new column with an index to a table containing approximately 1 billion records. This table is critical in our backend API’s infrastructure, used by nearly all API operations.

The index creation did not use Postgres’ CONCURRENTLY option, causing an exclusive lock on the entire table. During the lock period, all queries against the database were queued behind the index operation. [...] Manual intervention attempts to terminate the index creation failed.

Le misure:

We’re going to introduce several changes to prevent errors of this class from happening again:

• In CI, we will enforce CONCURRENTLY usage for all index creation operations, blocking non-compliant pull requests before merge.
• PgBouncer connection pool limits will be adjusted to prevent overwhelming the underlying Postgres instance's capacity.
• Database user connection limits will be configured to guarantee administrative access during incidents, ensuring maintenance operations remain possible under all conditions.

A conspicuous part of Let’s Encrypt’s history is how thoroughly our vision of scalability through automation has succeeded.

In March 2016, we issued our one millionth certificate. Just two years later, in September 2018, we were issuing a million certificates every day. In 2020 we reached a billion total certificates issued and as of late 2025 we’re frequently issuing ten million certificates per day. We’re now on track to reach a billion active sites, probably sometime in the coming year.

(LE)

TIL il font Inter ha delle varianti per risolvere le ambiguità, come la lettera elle che si confonde con la i:

font-feature-settings: "ss02";

AWS Bedrock (managed AI inference) perde clienti grossi per carenza di capacità hw e latenza peggiore:

Customers using Anthropic’s Claude models through Bedrock opted to switch to Anthropic’s own platform or Google Cloud because of “ongoing capacity, latency, and feature parity issues,” according to the July AWS document. Companies such as Figma, Intercom, and Wealthsimple were among those migrating their workloads “due to one or several of these challenges.

Thomson Reuters also chose Google Cloud over Bedrock for its CoCounsel AI product after finding AWS’s service was 15% to 30% slower and lacked key government compliance certifications, the document showed.

The Broken Promises of Substack. Substack promised independence, but has evolved into another platform playing the same game as everyone else.

Certificate Authorities Are Once Again Issuing Certificates That Don't Work. Un ritardo nel deployment dei nuovi log CT di Chrome ha portato alcune CA che non seguono le specifiche a emettere certificati non riconosciuti.

Sull'architettura di GitHub:

The current architecture is indeed suboptimal. We are in the process of decoupling the monolith and now about to accelerate an incremental migration to a modern frontend stack. This will allow us to have higher velocity and better DX. I’ll post more soon when we officially get started.

The current problem is that we are not fully migrated yet to azure + the rails app calls out to a react rendering service in a waterfall. Then there are then quite a few data and client side react paradigms (react router, a custom router, relay, and some react query more recently).

In new arch, we’ll have decoupled modern frontend with parallel data fetching and move from styled components to tailwind

(Jared Palmer)

Devo dire utile questa "comunicazione" dell'INPS:

"Ho letto" cosa?

Oui oui baguette 😂

Bel sito:

How we deploy the largest GitLab instance 12 times daily. La strategia di deployment di GitLab, interessante per la scala, per la progressività con canary e la strategia di migrazione del db.

In fondo anche la mia sorpresa di fronte a quanto fosse ben organizzato il mio ospedale era dovuta al fatto che anni di racconto in negativo del Servizio pubblico nazionale avevano avuto presa anche su di me. Ma, certo, io sono stata fortunata e a volte le cose deragliano dal percorso previsto. Rimane che il successo di un’operazione chirurgica, come quello di una serie, sta anche nella disponibilità del paziente e dello spettatore di fidarsi e affidarsi. Per questo chi mina la fiducia nella scienza e nella possibilità di una narrazione complessa dei fatti, mina le basi della società.

Stefania Carini in Siamo spettatori anche quando siamo pazienti

Vercel ha pagato 750mila dollari di bug bounty per 15 bypass WAF contro React2Shell durante il weekend.

Dati Black Friday di Shopify:

This Black Friday Cyber Monday, the scale of global commerce surged. At peak, we processed 11TB of logs per minute.

Shopify’s edge (post-CDN) averaged 312 million requests per minute across BFCM, peaking at 489 million requests per minute.

At peak, our global Kubernetes fleet ran over 3.18 million CPU cores.

Powered largely by MySQL 8, our database fleet sustained 53.8 million queries per second and 4.28 billion row operations per second at peak 🌐

Kafka + Flink powered real-time experiences for merchants and buyers.

Flink processed over 150 MB per second and streaming analytics latency improved 103x since BFCM 2024, supercharged by our migration to Flink SQL.

Our CDN [Cloudflare] served 183 million requests per minute, with 97.8% from cache for fast responses. At peak, we ran 23.2 million async jobs per minute.

(Shopify Engineering)

→ Merchants’ sales globally were $14.6 billion, up 27% from last year

→ 81 million shoppers bought from Shopify-powered brands

→ 15,800+ entrepreneurs made their first sale

→ 136+ million packages tracked in the Shop App

→ 2.2 trillion edge requests

→ Processed and served 90 PB of data from our infrastructure

→ Handled 14.8 trillion database queries and 1.75 trillion database writes

(Tobi Lutke)

Six months after its release, Claude Code has reached $1B in annual run-rate (ARR) revenue. It took ChatGPT 9 months to get to this milestone after its launch, and 2 years for Cursor. With Claude Code, Anthropic may have set the record for fastest-growing product revenue.

(The Pragmatic Engineer)

Lo Stato ci tiene alla tua vita, altrimenti come potresti soffrire?

Tenerci lontani dal mondo libero per evitare di continuare a fare male a qualcuno ha in sé una sua logica ed è un fatto dal quale non si può prescindere, ma accanirsi contro gli istinti essenziali e naturali di un reo con delle innaturali privazioni ha in sé qualcosa di virulento, qualche cosa che si scontra con il buon senso di tutti coloro che nutrono ancora fiducia in questa complessa e meravigliosa struttura biologica e chimica che è l’uomo e che, in virtù della sua originaria tendenza, è destinato a un continuo cambiamento e, si spera, miglioramento.

Prima o poi le carceri moriranno. Annientano la dignità. Si dovrebbero abolire, mettere i carcerati su un’isola: isolare ma non umiliare. Mi rendo conto che prima o poi dovrò essere scarcerato anch’io, ma purtroppo per me dalla galera non mi libererò mai. Quando tornerò nella società sarò un marziano. Gli effetti di una prolungata prigionia sono duri da cancellare.

Milan Mazic

Strana e rara frecciatina di Akamai a Cloudflare:

As I write this, another cloud provider is experiencing their third outage this quarter. While frequently lauded for innovation, today’s IT teams responsible for mission-critical applications for their customers are learning yet another painful lesson about the true cost of unreliability.

In un articolo sull'affidabilità, in cui effettivamente Akamai è essenzialmente leader (o forse la scarsa trasparenza rinforza quell'idea).

Il 30% dello streaming Netflix è in AV1. Prima Android (2020):

When we first set out to bring AV1 streaming to Netflix members, Android was the ideal starting point. Android’s flexibility allowed us to quickly integrate a software AV1 decoder using the efficient dav1d library, which was already optimized for ARM chipsets in mobile devices.

Poi TV e roba Apple:

Smart TVs depend on hardware decoders for efficient high-quality playback. We worked closely with device manufacturers and SoC vendors to certify these devices, ensuring they are both conformant and performant. This collaborative effort enabled our AV1 streaming to TV devices in late 2021. Shortly thereafter, we expanded AV1 streaming to web browsers (in 2022) and continued to broaden device support. In 2023, this included Apple devices with the introduction of AV1 hardware support in the new M3 and A17 Pro chips.

Nei browser il 40% degli stream sono con dav1d.

(Netflix)

Il postmortem del nuovo disservizio di Cloudflare, durato 25 minuti: la causa è di nuovo una configurazione distribuita globalmente senza rollout progressivo:

This second change of turning off our WAF testing tool was implemented using our global configuration system. This system does not perform gradual rollouts, but rather propagates changes within seconds to the entire fleet of servers in our network and is under review following the outage we experienced on November 18.

Unfortunately, in our FL1 version of our proxy, under certain circumstances, the second change of turning off our WAF rule testing tool caused an error state that resulted in 500 HTTP error codes to be served from our network.

Almeno stanno lavorando a una soluzione definitiva che non tiri giù tutto con un click:

Before the end of next week we will publish a detailed breakdown of all the resiliency projects underway, including the ones listed above. While that work is underway, we are locking down all changes to our network in order to ensure we have better mitigation and rollback systems before we begin again.

Utile sempre ricordare gli unici tre esiti possibili per una startup VC-funded:

1. andare molto bene e quotarsi in borsa;
2. essere acquisiti da un'azienda più grande che raramente prosegue la visione originale;
3. fallire e chiudere perché non si è raggiunta una profitability tale da poter ripagare l'investimento (che magari era esagerato).

Viva le aziende bootstrapped.

Ok, Limitless è stata acquisita da Meta e chiuderà tutto tra un anno. Si spiega.

Chiude Rewind e Limitless esce silenziosamente dai mercati dove la privacy conta qualcosa con un update della privacy policy. Nessuna menzione di chi ha comprato l'hardware e non può più usarlo.

Metodo strano di chiudere un servizio (Rewind) dopo aver promesso non avrebbe chiuso. Era stato promesso anche il cloud e2ee ("we built Confidential Cloud in such a way that only you can decrypt your data. Your employer, we as software providers, and the government cannot decrypt your data without your permission, even with a subpoena to do so."), poi la frase è semplicemente sparita dal sito. C'era la HIPAA compliance, ora non c'è più.

ChatGPT (5.1) è diventato/tornato più colloquiale ("per evitare mille ... ovunque"):

Cloudflare down again:

Ecco il catalogo delle API della pubblica amministrazione (api.gov.it), parte del piano interoperabilità, che dovrebbe permettere a comuni, regioni ed enti varie di ottenere dati sul cittadino (es. certificazione ISEE) in modo automatico senza doverli chiedere al cittadino ogni volta.

Bending Spoons updated line up (credo):

• Splice (2018)
• Live Quiz † (?)
• Remini (?)
• 30 Day Fitness (?)
• FiLMiC (settembre 2022)
• Evernote (novembre 2022)
• Meetup (gennaio 2024)
• StreamYard (aprile 2024)
• Issuu (luglio 2024)
• WeTransfer (luglio 2024)
• Brightcove (novembre 2024)
• Komoot (marzo 2025)
• Harvest (giugno 2025)
• MileIQ (luglio 2025)
• Vimeo (settembre 2025)
• AOL (ottobre 2025)

Mark Zuckerberg, ceo di Meta, prevede di ridurre in modo significativo le risorse destinate allo sviluppo del cosiddetto metaverso, progetto in passato definito come il futuro dell'azienda e che aveva motivato il cambio di nome da Facebook. In seguito alla notizia, il titolo è salito fino al 6% al Nasdaq. I dirigenti stanno valutando tagli al budget fino al 30% per il gruppo dedicato al metaverso nel 2026, che comprende il prodotto di mondi virtuali Meta Horizon Worlds e l'unità di realtà virtuale Quest. (Milano Finanza)

Chi l'avrebbe mai detto.

TIL i resi Amazon sono testati in modo dettagliato, es. le console di videogiochi sono testate, i droni sono messi in funzione per verificare che volino, ecc. e quasi tutti tornano in vendita come nuovi o usati/ricondizionati. (DDay)

Dopo l'acquisizione di Vodafone Italia da parte di Swisscom il 1° gennaio 2025, dal 1° gennaio 2026 la società Vodafone Italia S.p.A. sarà incorporata in Fastweb S.p.A, assieme a VEI srl che gestisce Ho. Mobile. Il brand resta per ora ma andrà a scomparire entro 4 anni (il quinto è già andato).

E alla fine MinIO versione community è improvvisamente abbandonato. Ci è voluto poco.

Ottimizzazioni di un'altra era nell'app Facebook:

In 2012 we took this wild ride at mobile infra at Facebook when trying to reduce the several-seconds long load time for “Newsfeed”. A few people worked on different approaches. Something we quickly realized was that setting up a connection with TCP and TLS was incredibly slow on mobile networks at the time. The fix was to have just one, keep it alive and multiplex. Shaved a whole second off. But it was still slow. Several people were convince that us sending JSON was the problem, so two different teams started to work on compact binary encoding. After a lot of experimentation what actually worked out best was to send JSON with ordered fields and a compile-time generated parser. Turns out both our iOS and Android app would do something silly like: 1) read all JSON data from server into a buffer, 2) decode that buffer with a generic JSON decoder into lists & dicts, 3) traverse those structures and build the final struct/class tree. Oh and another neat thing we eventually did—when the network connection needed to be setup—was to send an optimistic UDP packet to the server saying “get started fetching data for the following query”; once the real connection was established, TLS handshake completed and user session authenticated, the response was already ready to be sent back.

In questo articolo di Hardware Upgrade qualche foto della loro visita nel datacenter OVHcloud di Parigi (il primo con 3 AZ).

There are three forms of whitespace:

o WSP represents simple whitespace, i.e., a space or a tab character (formal definition in [RFC5234]).

o LWSP is linear whitespace, defined as WSP plus CRLF (formal definition in [RFC5234]).

o FWS is folding whitespace. It allows multiple lines separated by CRLF followed by at least one whitespace, to be joined.

The formal ABNF for these are (WSP and LWSP are given for information only):

WSP = SP / HTAB LWSP = *(WSP / CRLF WSP) FWS = [WSP CRLF] 1WSP

The definition of FWS is identical to that in [RFC5322] except for the exclusion of obs-FWS.

(fonte)

It seems so rude and careless to make me, a person with thoughts, ideas, humor, contradictions and life experience to read something spit out by the equivalent of a lexical bingo machine because you were too lazy to write it yourself.

Pablo Enoc in It's insulting to read your AI-generated blog post

TIL il comando "ssh" funziona anche con la scharfes S:

(Web Weekly #177)

CloudFront ora supporta mTLS (mutual TLS authentication con certificato client) senza costi aggiuntivi. Molto interessante.

S3 server access logs at scale. Yelp spiega come usa e gestisce grandi quantità di log di accesso a S3, su S3.

Nuova vita per JPEG XL, che forse arriverà in Chrome e Firefox con la nuova implementazione in Rust.

I benefici:

• Lossless re-compression of JPEG images. This means you can re-compress your current JPEG library without losing information and benefit from a ~30% reduction in file size for free. This is a killer feature that no other format has.
• Support for wide gamut and HDR.
• Support for image sizes of up to 1,073,741,823x1,073,741,824. You won’t run out of image space anytime soon. AVIF is ridiculous in this aspect, capping at 8,193x4,320. WebP goes up to 16K, while the original 1992 JPEG supports 64K.
• Maximum of 32 bits per channel. No other format (except for the defunct JPEG 2000) offers this.
• Maximum of 4,099 channels. Most other formats support 4 or 5, with the exception of JPEG 2000, which supports 16,384.
• JXL is super resilient to generation loss.
• JXL supports progressive decoding, which is essential for web delivery, IMO. WebP or HEIC have no such feature. Progressive decoding in AVIF was added a few years back.
• Support for animation.
• Support for alpha transparency.
• Depth map support.

Il codice che decide l'esito della ruota della fortuna degli sconti Black Friday su efarma.com/spin:

const prizes = {
  BF5:  { label: "5% di sconto",  code: "BF5",  desc: "Senza minimo d'ordine" },
  BF15: { label: "15% di sconto", code: "BF15", desc: "Ordine minimo 69,90€" },
  BF25: { label: "25% di sconto", code: "BF25", desc: "Ordine minimo 129,90€" }
};

// ordine reale degli 8 spicchi partendo dall'alto (senso orario)
// 1: -15%  2: -25%  3: -5%  4: -15%
// 5: -25%  6: -5%   7: -15% 8: -5%
const segmentsPrizeKeys = [
  "BF15", // 1
  "BF25", // 2
  "BF5",  // 3
  "BF15", // 4
  "BF25", // 5
  "BF5",  // 6
  "BF15", // 7
  "BF5"   // 8
];

// scegli uno spicchio 0–7
const segmentIndex = Math.floor(Math.random() * 8);
const prizeKey = segmentsPrizeKeys[segmentIndex];
const prize    = prizes[prizeKey];

Quante istruzioni un LLM di frontiera è in grado di rispettare in un prompt? Non più di 150-200:

(Writing a good CLAUDE.md)