Note di Matteo

TIL il dominio one.one appartiene a one.com, un provider di hosting (diverso da 1&1). Il dominio one.one.one.one è stato però delegato a Cloudflare per il servizio DNS 1.1.1.1, dice il CEO @eastdakota.

Benchmark super interessante che misura le scelte di stack tecnico dei modelli Anthropic (via Claude Code):

The big finding: Claude Code builds, not buys. Custom/DIY is the most common single label extracted, appearing in 12 of 20 categories (though it spans categories while individual tools are category-specific). When asked “add feature flags,” it builds a config system with env vars and percentage-based rollout instead of recommending LaunchDarkly. When asked “add auth” in Python, it writes JWT + bcrypt from scratch. When it does pick a tool, it picks decisively: GitHub Actions 94%, Stripe 91%, shadcn/ui 90%.

Tutti i dettagli nel report completo.

Anno 2026. Le Olimpiadi Milano-Cortina su Rai Play in 720p 25 fps. Il festival di Sanremo prodotto e trasmesso in 4K sul DTT ma la scritta in overlay pubblicizza tivùsat, che non ha nessuno, mentre lo streaming è sempre in 720p, l'on demand pure in 720p, i video su YouTube in 720p (!!!).

Ecco gli aumenti di prezzo di Hetzner che erano stati pre-annunciati qualche giorno fa.

Anche nelle altre location, anche per i server dedicati e per volumi e snapshot.

Qua la versione archiviata della pagina.

Un altro outage di Cloudflare causato ancora dall'applicazione di un cambio di configurazione globalmente. In questo caso sono stati rimossi per errore molti prefissi BYOIP dagli annunci BGP della rete edge, per via di un bug nel codice che elenca i prefissi da rimuovere:

Because the client is passing pending_delete with no value, the result of Query().Get(“pending_delete”) here will be an empty string (“”), so the API server interprets this as a request for all BYOIP prefixes instead of just those prefixes that were supposed to be removed.

Certo è che se uno progetta un endpoint di un'API mission critical dandogli un formato così strambo e fuori da ogni best practice (/v1/prefixes?pending_delete) un po' se le cerca.

Andrea Ayer in Why IP Address Certificates Are Dangerous and Usually Unnecessary spiega perché i certificati per indirizzi IP sono poco sicuri. Per via della rapida intercambiabilità degli IP in ambienti cloud e delle regole di validazione della proprietà dell'indirizzo molto allentate, è relativamente facile per un attaccante disporre di un certificato valido per un indirizzo IP che non è più autorizzato a rappresentare.

The basic security property provided by a certificate is that the certificate authority has validated that the certificate subscriber (the person who applies for the certificate and knows its private key) is authorized to represent the domain name or IP address in the certificate. This ensures that the other end of a TLS connection is truly the domain or IP address that you want to connect to, not a MitM impostor.

But the validation is not done every time a TLS connection is established; rather, it was done at some point in the past. Thus, the certificate subscriber may no longer be authorized to represent the domain or IP address.

How old might the validation be? As of February 2026, certificate authorities are allowed to issue certificates that are valid for up to 398 days. So the validation may be 398 days old. But it gets worse. When issuing a certificate, CAs are allowed to rely on a validation that was done up to 398 days prior to issuance. So when you establish a TLS connection, you may be relying on a validation that was performed a whopping 796 days ago. You could be talking not to the current assignee of the domain or IP address, but to anyone who was assigned the domain or IP address at any point in the last 2+ years.

È un problema che c'è evidentemente anche con i domini, ma lo spazio dei nomi di dominio è molto più grande di quello degli IPv4 e quindi il problema non è di fatto un problema:

This is a problem with both domains and IP addresses, but it's way worse with IP addresses. While it's still very possible to register a domain that no one has ever registered before, you don't have this luxury with IPv4 addresses. There are no unassigned IPv4 addresses left; when you get an IPv4 address, it has already been assigned to someone else.

Questa vulnerabilità si ridurra assieme alla riduzione della durata massima dei certificati (47 giorni + 10 giorni di periodo di validazione nel 2029). Nel frattempo si può consultare o monitorare i log di trasparenza (es. crt.sh) per vedere quali certificati sono stati emessi per un indirizzo IP o un dominio.

Negli ultimi giorni con un paio di cuffie ho riascoltato le registrazioni delle interviste che ho fatto in Siria per gli articoli. Una volta sbobinavo a mano e ci mettevo ore. Ora passo gli audio in un software e ottengo le trascrizioni in un minuto. Se avete meno di trent’anni fate finta di non avere letto questa cosa.

Daniele Raineri

Mistral ha acquisito Koyeb, startup francese che sviluppa una piattaforma cloud agnostica (deployabile quindi anche su AWS e altri provider). Buon acquisto per Mistral, meno per i clienti Koyeb dato che "the entire Koyeb team is joining Mistral AI and will be fully dedicated to working on Mistral Compute".

Automating RDS Postgres to Aurora Postgres Migration. Netflix spiega come ha migrato centinaia di cluster AWS RDS PostgreSQL verso RDS Aurora PostgreSQL (una versione di PostgreSQL più scalabile sviluppata e gestita da AWS).

Il copione è più o meno il solito delle migrazioni di database: attivare un nuovo cluster in replica del cluster originale (es. logical replication) e poi pianificare attentamente uno switchover. Lo switchover comporta del downtime perché bisogna bloccare le scritture sul vecchio cluster, ed è interessante vedere che anche Netflix non riesce a scampare a questa regola.

Nel loro caso il disservizio per ciascuno dei cluster è stato di 10 minuti o meno, specialmente per il riavvio forzato di RDS usato per interrompere forzatamente tutte le connessioni esistenti, anche se in teoria già bloccate dal security group. Comunque lettura interessante.

Altri feedback sulle alternative a MinIO, ora definitivamente abbandonato nella versione open source, da Hacker News.

Un confronto tra le principali alternative (vedi anche miei post precedenti):

First off, I don't think there is anything wrong with MinIO closing down its open source. There are simply too many people globally who use open source without being willing to pay for it. I started testing various alternatives a few months ago, and I still believe RustFS will emerge as the winner after MinIO's exit. I evaluated Garage, SeaweedFS, Ceph, and RustFS. Here are my conclusions:

1. RustFS and SeaweedFS are the fastest in the object storage field.

2. The installation for Garage and SeaweedFS is more complex compared to RustFS.

3. The RustFS console is the most convenient and user-friendly.

4. Ceph is too difficult to use; I wouldn't dare deploy it without a deep understanding of the source code.

Although many people criticize RustFS, suggesting its CLA might be "bait," I don't think such a requirement is excessive for open source software, as it helps mitigate their own legal risks.

Furthermore, Milvus gave RustFS a very high official evaluation. Based on technical benchmarks and other aspects, I believe RustFS will ultimately win.

https://milvus.io/blog/evaluating-rustfs-as-a-viable-s3-compatible-object-storage-backend-for-milvus.md

Un po' di promozione dall'autore di SeaweedFS:

I work on SeaweedFS since 2011, and full time since 2025.

SeaweedFS was started as a learning project and evolves along the way, getting ideas from papers for Facebook Haystack, Google Colossus, Facebook Tectonics. With its distributed append-only storage, it naturally fits object store. Sorry to see MinIO went away. SeaweedFS learned a lot from it. Some S3 interface code was copied from MinIO when it was still Apache 2.0 License. AWS S3 APIs are fairly complicated. I am trying to replicate as much as possible.

Some recent developments:

• Run "weed mini -dir=xxx", it will just work. Nothing else to setup.

• Added Table Bucket and Iceberg Catalog.

• Added admin UI

Ho pubblicato Il digitale secondo Trentino Trasporti (parte 4 - edizione olimpica) sul mio blog:

Sono in corso le Olimpiadi invernali Milano-Cortina, che si svolgono in parte anche in Trentino, a Tesero e Predazzo (val di Fiemme). Per l’occasione sono stati finanziati diversi interventi legati al trasporto pubblico, tra cui il rinnovamento della stazione ferroviaria di Trento e il nuovo hub intermodale di Cavalese (bello).

Trentino Trasporti ha poi pubblicato una sezione dedicata del sito, tra l’altro rinnovato da poco, per illustrare le linee di autobus che si possono usare per raggiungere i luoghi delle gare.

Come se la sono cavata? Eh…

We will launch during a dynamic political environment where many civil society groups that we would expect to attack us would have their resources focused on other concerns

Estratto da una nota interna di Meta pubblicata dal New York Times in cui si discute l'introduzione del riconoscimento dei volti tramite gli smart glass Ray-Ban/Oakley.

How to build a distributed queue in a single JSON file on object storage. Usare l'object storage come un database è sempre affascinante e Turbopuffer ci ha costruito sopra un vector db. Ora hanno implementato anche la coda di indicizzazione dei dati in un singolo file queue.json in un bucket S3/GCS, sfruttando le primitive dell'object storage (come compare-and-set, o CAS) per gestire conflitti (è in realtà un po' più complicato di così e l'articolo è scritto molto bene).

The Many Flavors of Ignore Files. Andrew Nesbitt illustra la sintassi dei file .gitignore, che è sempre una buona idea ripassare, e le differenze principali con altri formati come .dockerignore.

Follow-up al post su macOS e l'area in cui il puntatore può ridimensionare una finestra ai bordi: sembrava il fix fosse pronto per macOS 26.3 (figura 1) ma è poi stato ritirato nella versione stabile, tornando al comportamento originale (figura 2).

Due commenti interessanti sotto un articolo del Post su giovani e costo delle case:

[...] Questa è un'altra manifestazione del fenomeno del "pull the ladder" fatto dai baby boomer nei confronti delle nuove generazioni, insieme al mostruoso debito pubblico, la colossale ingiustizia del sistema pensionistico, e la strenua opposizione a qualunque forma di dinamismo, riforma o cambiamento di paradigma nella società. Si potrebbero fare milioni di esempi, ma praticamente ogni singolo problema dei paesi europei si riconduce a questo fenomeno.

(untizio)

Esperienza personale: io e mia moglie stiamo comprando casa in provincia di Bologna (sottolineo: PROVINCIA, a circa mezz'ora dal centro), abbiamo tra i 35 e i 40 anni, entrambi lavoratori dipendenti. Di seguito le spese che abbiamo quantificato per acquistare casa in provincia, nemmeno in centro storico:

• 20% del valore dell'offerta (prezzo medio per un trilocale di 90 mq: 300 mila €, quindi 60 mila € di anticipo);
• l'agenzia immobiliare prende tra il 3 e il 4% + IVA al 22%, quindi circa 13 mila €;
• le spese di accensione del mutuo variano molto di caso in caso, ma contando perizia (350€), istruttoria (ca. 1200€), assicurazione scoppio incendio obbligatoria (ca. 2500€), imposta sostitutiva per la prima casa (680€) siamo a ca. 4700€.
• se si compra da usato si paga il 2% di tasse, se si compra il nuovo si paga il 4% di IVA, quindi siamo tra i 6 e i 12 mila €;
• spese di notaio, che possono arrivare tra i 5 e i 7 mila €;
• arredamento si va tra i 10 e i 30 mila € come budget realistico, ma varia tantissimo in base ad altri fattori;
• altre spese tra cui: trasloco, accensione utenze, IMU se non si fa la residenza immediatamente, affitto che si sovrappone al mutuo per qualche mese, ecc. TOTALE: si raggiunge o si supera tranquillamente i 100 mila €. Vorrei sapere quanti under 40 riuscirebbero a sostenere queste cifre senza avere un aiuto dei parenti, aver vinto la lotteria o avere già una casa ereditata (o entrambi i reni) da poter vendere. Io inizierei da qui: dai numeri, perchè sono la realtà contro cui una coppia dovrà sbattere la faccia.

(becktones)

La verifica dell'età di k-id, che si trova su Discord, Twitch, Snapchat e altri, è bypassabile:

k-id, the age verification provider discord uses doesn't store or send your face to the server. instead, it sends a bunch of metadata about your face and general process details. while this is good for your privacy (well, considering some other providers send actual videos of your face to their servers), its also bad for them, because we can just send legitimate looking metadata to their servers and they have no way to tell its not legitimate.

Introduction to PostgreSQL Indexes è una buona introduzione ai concetti attorno agli indici di PostgreSQL, partendo da come i dati sono serializzati su disco, come gli indici agevolano la ricerca e come funzionano B-tree, Hash, BRIN, ecc. anche con nuove funzioni come "skip scan" di PostgreSQL 18.

Buongiorno al team di sviluppo di Vodafone:

SMS di Amazon Shipping per un ordine su un sito (non Amazon):

???

Il dominio ai.com è stato venduto ed è la vendita al prezzo più alto della storia per un dominio, 70 milioni di dollari in criptovalute:

The seller was Arsyan Ismail, whose initials are AI, and the buyer was Kris Marszalek, founder and CEO of Crypto.com, a cryptocurrency exchange. The sell-side broker was Larry Fischer of GetYourDomain.com.

The $70 million was reportedly paid in cryptocurrency rather than cash.

A questi si aggiungono gli 8 milioni di dollari per lo spot Super Bowl. Anche se il servizio (che dovrebbe essere un sistema di agenti autonomi) ancora non esiste e il sito è estremamente scarno.

Dopo lo scorporo della rete TIM da TIM, c'era un'opportunità per TIM di iniziare a convincere le persone non solo con la forza del brand ma anche con offerte non solo competitive ma anche chiare. Mi sembra che invece la situazione sia peggiorata, visto che l'offerta attualmente in risalto sul sito è descritta come segue, con frasi a me completamente incomprensibili:

• 43,89€ 29,90 € al mese. Di cui offerta TV con abbonamento annuale a 84€ anziché 167,88€, in 12 mensilità a 7€ anziché 13,99€. Costo di attivazione iniziale Fibra 39,90€.
• 22,90€/mese anziché 29,90€/mese (con domiciliazione) per i clienti che attivano contestualmente l’offerta TIMVISION S piano annuale con pagamento dilazionato in 12 mensilità.
• Canone offerta: 24,90€/mese
• Sconto di 7€/mese sul canone dell’offerta di linea fissa riservato ai nuovi clienti che attivano contestualmente l’offerta TIM WiFi Casa e l’offerta TIMVISION S piano annuale con pagamento dilazionato in 12 mensilità.
• 240€ rateizzati in 48 rate mensili da 5€. Nei primi 24 mesi dall’attivazione dell’offerta ti sarà applicato uno sconto di 5€/mese sull’acquisto del modem, pertanto, il costo complessivo del prodotto sarà di 120€ anziché 240€.

Giuro che queste frasi si riferiscono tutte alla stessa offerta. Che a questo punto non ho capito né quanto costa, né quanto costerà dopo un anno, né quanto costerà dopo 4 anni. Sarà 22,90, 24,90, 29,90 o 43,89?

Altri tool per macOS interessanti, questa volta suggeriti da Riccardo Palombo.

FineTune è un mixer per l'audio di sistema. Come quello di Windows, che macOS non ha (colpevolmente) mai avuto. Include un equalizzzatore personalizzabile per applicazione e il routing di ciascuna applicazione verso output diversi. Open source. Very cool!

RevPDF è un editor PDF gratuito. A differenza di molti altri tool simili, permette anche di modificare il testo esistente.

Heroku si avvia verso la chiusura. Salesforce ha pubblicato un comunicato estremamente vago e confuso in qui sembra dire che Heroku è ora in "maintenance mode". La fine di un'era.

Waymo (Alphabet) ha iniziato a usare scenari generati da un modello AI chiamato Waymo World Model, basato su Genie 3 di Google, per testare situazioni rare:

By leveraging Genie’s immense world knowledge, it can simulate exceedingly rare events—from a tornado to a casual encounter with an elephant—that are almost impossible to capture at scale in reality. [...] Notably, the Waymo World Model generates high-fidelity, multi-sensor outputs that include both camera and lidar data.

Nei video di esempio si vedono appunto nevicate, tornado, strade interrotte da alberi, incendi, alluvioni, elefanti, auto contromano, auto ferme in mezzo alla strada e molto altro.

TIL su github-debug.com si può eseguire uno speed test verso diversi domini di GitHub per verificarne le prestazioni (GitHub ha ancora un suo AS e suoi datacenter anche se sta migrando verso Azure).

I progressi degli LLM nella programmazione sono ancora impressionanti. GPT-5.3 Codex supera la precedente versione nel benchmark SWE-Bench Pro pur usando la metà dei token di output (ragionamento incluso) e costando quindi (circa) la metà.

Uno vorrebbe anche fidarsi di OVHcloud, il più longevo e promettente provider cloud europeo, ma ne combina una dopo l'altra. Oggi:

The incident was caused by our cloud infrastructure provider accidentally triggering simultaneous restart of all compute nodes in the EU-WEST-PAR region, rather than performing the intended rolling update.

WhatsApp Encryption, a Lawsuit, and a Lot of Noise è un ottimo articolo di Matthew Green, esperto di crittografia e professore della Johns Hopkins University, sulla recente causa di uno studio legale nei confronti di Meta in cui si sostiene che WhatsApp non sia in realtà end-to-end encrypted. Alla causa è seguito l'appoggio, ovviamente, dei soliti mistificatori Elon Musk e Pavel Durov.

Il riassunto è che le accuse sono completamente infondate e che se WhatsApp stesse facendo qualcosa di losco ce ne saremmo accorti e sarebbe la frode più grande della storia della tecnologia. "Se stai commettendo un crimine, farlo in un modo che sia rilevabile forensicamente è molto stupido".

Given the closed-source nature of WhatsApp, how do we know that WhatsApp is actually encrypting its data? The company is very clear in its claims that it does encrypt. But if we accept the possibility that they’re lying: is it at least possible that WhatsApp contains a secret “backdoor” that causes it to secretly exfiltrate a second copy of each message (or perhaps just the encryption keys) to a special server at Meta?

I cannot definitively tell you that this is not the case. I can, however, tell, you that if WhatsApp did this, they (1) would get caught, (2) the evidence would almost certainly be visible in WhatsApp’s application code, and (3) it would expose WhatsApp and Meta to exciting new forms of ruin.

The most important thing to keep in mind here is that Meta’s encryption happens on the client application, the one you run on your phone. If the claims in this lawsuit are true, then Meta would have to alter the WhatsApp application so that plaintext (unencrypted) data would be uploaded from your app’s message database to some infrastructure at Meta, or else the keys would. And this should not be some rare, occasional glitch. The allegations in the lawsuit state that this applied to nearly all users, and for every message ever sent by those users since they signed up.

Those constraints would tend to make this a very detectable problem. [...] If you’re going to (metaphorically) commit a crime, doing it in a forensically-detectable manner is very stupid.

Il mio messaggio medio a Codex (GPT-5.2 Codex medium):

Non capisco perché a molti piaccia più di Claude Code.

As a CEO, you're basically the waste bin. Everything that other people don't manage or can't do or mess up, you have to fix. And it's also quite lonely because you can't openly talk about a lot of things. I structured the company to be quite open, but still you can't be negative, even if really bad stuff happens.

Burnout doesn't necessarily come from working too much. It comes more - at least for me - from when you work on something but you don't believe it anymore or you have too many conflicts. We also did fight a lot in the team, with the management team, and I made this mistake of thinking you have to lead a company more democratically.

Peter Steinberger, fondatore di PSPDF/Nutrient e di OpenClawd in un'intervista a The Pragmatic Engineer.

Alternatives to MinIO for single-node local S3 analizza e confronta le principali alternative a MinIO dopo la chiusura della versione open source. In estrema sintesi:

New Rusty object stores confronta anche a livello tecnico rustfs e Garage. Contesto molto utile per capire la natura dei progetti.

SeaweedFS Intro Slides è un'introduzione a SeaweedFS e la sua architettura.

Le setup fee dei server dedicati Hetzner crescono significativamente per via dell'aumento dei prezzi di RAM e SSD. Aumenteranno anche i prezzi mensili, scrivono nel comunicato ufficiale.

Da Hacker News:

EX44: €79 → €99

EX63: €79 → €99

EX130-R: €159 → €476

EX130-S: €159 → €359

AX41: €0

AX42: €79 → €107

AX102: €79 → €269

AX162-R: €159 → €542

AX162-S: €159 → €411

SX65: €79 → €109

SX135: €159 → €209

SX295: €159 → €399

GEX44: €159 → €264

GEX131: €159 → €1555

Dell DX

DX153: €0 → €771

DX182: €0 → €897

DX293: €0 → €944

L'articolo Unrolling the Codex agent loop di OpenAI è un'ottima introduzione all'implementazione tecnica di un sistema AI basato su agenti. Interessante lo sforzo per evitare di rompere la cache di inferenza preferendo l'aggiunta di dati e istruzioni in fondo al posto di modificare le istruzioni in cima.

Sempre avendo presente la precarietà di alcuni degli scenari che abbiamo descritto, vediamo anche come sarebbero raffigurabili le proprietà delle maggioranze dei primi dieci quotidiani italiani per diffusione se venissero confermate le ipotesi attuali.

Corriere della Sera - Urbano Cairo, con posizioni filogovernative per ragioni di opportunità economica

Repubblica - società greca Antenna, in buone relazioni con Donald Trump e con Mohammed bin Salman

Stampa - SAE, in amichevoli e fruttuose relazioni con gli establishment editoriali e politici di centrodestra

Sole 24 Ore - Confindustria

Resto del Carlino - Leonardo Del Vecchio, socio del Giornale del deputato leghista Antonio Angelucci

Messaggero - Franco Caltagirone, costruttore e banchiere di grandi poteri e accorte relazioni col centrodestra

Gazzettino - Franco Caltagirone, costruttore e banchiere di grandi poteri e accorte relazioni col centrodestra

Nazione - Leonardo Del Vecchio, socio del Giornale del deputato leghista Antonio Angelucci

Dolomiten - Famiglia Ebner, protagonista dello storico partito di potere altoatesino, SVP

Giornale - Antonio Angelucci, deputato della Lega, e Leonardo Del Vecchio

Luca Sofri nella newsletter Charlie del 25 gennaio 2026.

Gli scenari - ancora suscettibili di sovversioni - che si mostrano in questo momento sono di un'ulteriore estensione del già diffuso modello italiano che vede come editori dei maggiori quotidiani imprenditori di fortune economiche legate ad altri settori e privi di competenze e attenzioni sia sulla natura dei giornali e del giornalismo, che del loro ruolo di servizio pubblico, che delle trasformazioni delle loro funzioni e dei loro business, che delle prospettive dell'innovazione nell'ambito delle aziende giornalistiche e della loro sostenibilità economica. Per farsi un'idea: nessuno dei nuovi editori di quotidiani dell'ultimo decennio ha portato nel panorama giornalistico italiano una sola novità rilevante, promettente, di qualche visione intorno ai cambiamenti di questi decenni. L'espressione ormai antica "digital first" nel 2026 non è stata concretizzata da nessuna delle grandi testate tradizionali.

Per farsi un'altra idea: nessun editore italiano ha spostato le priorità di ricavo dalla pubblicità verso gli abbonamenti, direzione in cui si sono mossi o si stanno muovendo quasi tutti i maggiori progetti internazionali. Nei migliori dei casi – rari – si sono protette le fragili e novecentesche economie di progetti giornalistici straordinariamente tradizionali e conservatori. Che può non essere necessariamente un approccio del tutto fallimentare, in un paese anagraficamente anziano e culturalmente resistente all'innovazione sia nel suo pubblico che nel suo mercato, ma di sicuro non contribuisce ad attenuare questa resistenza o a creare modelli economicamente o giornalisticamente moderni, capaci di invertire i presenti declini.

Luca Sofri nella newsletter Charlie del 25 gennaio 2026.

Programming was never about learning how to write if-then statements. It was about building cool things and understanding how they work. Neither of which modern LLMs take away from you. Even if they build everything, you will still need to understand to direct them.

Suhail Doshi, fondatore di Mixpanel.

i can't believe we used to write all this code by hand

Adam D'Angelo, CEO di Quora.

Radicle. Radicle is an open source, peer-to-peer code collaboration stack built on Git. Unlike centralized code hosting platforms, there is no single entity controlling the network. Repositories are replicated across peers in a decentralized manner, and users are in full control of their data and workflow.