Note di Matteo

A volte sorprende come le grandi aziende prendano così poco seriamente la sicurezza e che sia impossibile segnalare vulnerabilità:

Despite its vast wealth, Condé Nast lacks a security.txt file that explains how to report a vulnerability to them. Nowhere on its site did it plainly explain how to report a vulnerability to them.

Trying to help Condé Nast avoid compromise of what was described to me as a serious vulnerability risking more than 33 million users’ accounts, I reached out to people I know at WIRED. I also reached out to Condé Nast but received no replies from them.

(Condé Nast gets hacked)

Segmentation fault in una build TypeScript mi giunge nuova:

EDIT: era colpa di una libreria con binding Rust, il che ha ancora meno senso in realtà.

Bi-weekly: occurring every two weeks or twice a week.

Ah beh, adesso sì che è chiaro.

DatoCMS è un CMS headless in cloud e ha festeggiato i primi 10 anni. L'azienda è italiana! (Dato srl - 06969620480 - Via Uberto Visconti di Modrone 2 - Milano). Bootstrapped, e se ne vantano:

We're not bragging (okay, we're bragging a little) but it turns out that not burning through VC cash on ping-pong tables and "growth at all costs" actually works.

I risultati:

• 6,5 milioni di euro di fatturato con crescita annuale del 10%;
• margine EBIT del 65%;
• 13 dipendenti.

Qualche dettaglio tecnico di scala:

This year, DatoCMS handled an average of 3.5B API calls/month (+80%), while serving 500TB of traffic/month and 4.5M optimized video views/month. At the same time, we executed the most ambitious engineering project in our history: a complete migration from Heroku to a custom Kubernetes cluster on AWS.

The Bottom Line: We lowered overall infrastructure costs by over 25%, reduced Content Delivery API latency by 50%, expanded Realtime API capacity by 10×, and gained full control across every infrastructure layer. And we kept our sanity. Mostly.

Hanno internalizzato il commercialista, apparentemente:

While liberating ourselves from managed hosting, we made another quiet move: we fully internalized our accounting. For years, we outsourced this to external firms — the typical setup where you hand over receipts and hope for the best. But as we grew, flying blind between quarterly reports became untenable. Now we run everything in-house with full visibility into our finances at any moment.

Sui 13 dipendenti, da un post di tre anni fa quando i dipendenti erano 8:

Marketing. In the last 8 years, we have spent literally zero energy on marketing. Believe it or not, we still mainly function through word of mouth. Are we leaving huge amounts of money on the table? Absolutely. But it allows us to be few.

Sales. We have built a company designed for small businesses and self-service purchasing, with our focus on usability and documentation. Our sales team consists of 2-3 people. This means far less enterprise clients than we could have. But it allows us to be few.

Insourcing. We delegate everything that's non-core outside of our company. Billing system, servers, CDNs, database management, you name it. We pick best-of-breed external services, and we pay them what they deserve, without reinventing the wheel. Again, we're probably loosing some money, but it allows us to be few, and only focused on what really matters.

C'è uno storico problema di TCP che torna periodicamente nelle discussioni online (quella di oggi): il modo in cui l'algoritmo di Nagle e gli ACK ritardati interagiscono causando latenza aggiuntiva non necessaria. Nello specifico:

• L'algoritmo di Nagle ritarda la trasmissione di dati da parte del client finché ci sono dei dati non confermati, con l'idea di ridurre l'overhead dell'header TCP/IP. Ad esempio se scrivo una lettera in un terminale remoto i dati da trasmettere sono pari a 1 byte, ma gli header sono decine di byte.
• Gli ACK ritardati agiscono dall'altro lato della connessione ritardando appunto gli ACK se si ritiene che ci saranno a breve (es. 200ms) dati di risposta da inviare (piggybacking sull'ACK).

Il risultato è questo:

The interaction between these two features causes a problem: Nagle’s algorithm is blocking sending more data until an ACK is received, but delayed ack is delaying that ack until a response is ready.

Da qui la "proposta" di un ingegnere AWS di disattivare Nagle praticamente sempre, e quindi attivare l'opzione TCP_NODELAY sui socket oppure a livello di sistema operativo:

First, the uncontroversial take: if you’re building a latency-sensitive distributed system running on modern datacenter-class hardware, enable TCP_NODELAY (disable Nagle’s algorithm) without worries. You don’t need to feel bad. It’s not a sin. It’s OK. Just go ahead.

More controversially, I suspect that Nagle’s algorithm just isn’t needed on modern systems, given the traffic and application mix, and the capabilities of the hardware we have today. In other words, TCP_NODELAY should be the default.

Dopo Quickwit scopro Nixiesearch, essenzialmente un Elasticsearch backed by object storage (S3, ecc.).

Una serie di esperimenti interessanti sul comportamento degli LLM. Il più innocuo: un fine-tuning su nomi di uccelli estratti da libri antichi fa pensare all'LLM di essere in quel periodo storico anche in altri ambiti.

(paper, fonte)

Un sito ben fatto, Logging Sucks, per spiegare due concetti di logging nelle applicazioni:

• Structured logging, cioè spezzare il messaggio testuale nelle sue componenti in modo che siano filtrabili (ogni log line è un oggetto JSON, in pratica).
• Wide events, cioè avere una singola log line per ciascun evento nel senso più ampio possibile. Ad esempio una richiesta HTTP produce un log che contiene tutte le info di contesto su ciò che è successo durante l'elaborazione, al posto di avere le informazioni sparse tra più righe di log.

Molto d'accordo sul primo (anche se preferisco una forma ibrida con messaggio formattato + variabili scorporate), meno sul secondo. Righe di log separate con un id di correlazione lo troverei più comodo (a meno di logging su scale enormi che finora non mi sono capitate).

I server NTP del NIST sono almeno in parte KO e fuori sync rispetto al tempo di riferimento:

In short, the atomic ensemble time scale at our Boulder campus has failed due to a prolonged utility power outage. One impact is that the Boulder Internet Time Services no longer have an accurate time reference. At time of writing the Boulder servers are still available due a standby power generator, but I will attempt to disable them to avoid disseminating incorrect time.

The affected servers are: time-a-b.nist.gov time-b-b.nist.gov time-c-b.nist.gov time-d-b.nist.gov time-e-b.nist.gov ntp-b.nist.gov (authenticated NTP)

Il NIST su X però scrive che:

Don't worry: time isn't broken. NIST's backup systems kept providing accurate time even during the power outage in Boulder. Our clocks drifted about 4 microseconds or millionths of a second, which we will correct when power is fully restored.

Quindi non è chiarissimo quali e dove siano questi sistemi di backup. Nella comunicazione c'è anche scritto che:

Another campus building houses additional clocks backed up by a different power generator; if these survive it will allow us to re-align the primary time scale when site stability returns without making use of external clocks or reference signals.

Ma sono solo di backup come reference di disaster recovery o sono esposti pubblicamente?

Anna's Archive, il catalogo di tutto lo scibile umano (per lo più illegale anche se l'obiettivo è nobile e non fa hosting direttamente), si estende dai libri alla musica collezionando l'intero catalogo di Spotify. La cosa interessante sono i numeri:

• 300 TB
• Metadati per 256 milioni di tracce
• File musicali Vorbis per 86 milioni di tracce, cioè il 99,6% degli ascolti

Ma la cosa più interessante sono i dati che si possono estrarre, ad esempio quelli attorno al popularity score (0-100):

In questa pagine c'è la lista dei 10mila brani più popolari.

Glow up di Brightcove dopo l'acquisizione da parte di Bending Spoons: nuovo sito, numerose nuove feature in pochissimi mesi e una consistente roadmap di prodotto per il 2026.

Scrive Dan Rayburn, esperto commentatore del settore:

For those suggesting that Brightcove is no longer in the market or that everyone has been fired since the Bending Spoons acquisition, that's far from reality. In the eleven months since being acquired by Bending Spoons, Brightcove has added more features, functionality, and focus than standalone Brightcove ever achieved in the same period. Looking inside my Brightcove account, it's great to see how much has been added and enhanced.

The company just refreshed its website with a clean, modern look, refocusing its messaging on what its platform does and where its sweet spot lies in the market. They also rolled out a vertical video gallery template across their platform, 4K support for live streaming, auto captioning, a new metadata optimizer tool, and the ability to localize videos into over 50 languages directly within the platform.

In the new year, they plan to roll out a new player UX/UI, a native recommendation engine, a modern gallery experience, the ability to do more with interactive video, and what they are calling AI Content Multiplier, which can turn a single piece of content into various clips.

A lot of progress has been made since the acquisition, and that's the strength of Bending Spoons: knowing how to build and enhance software services at scale with focus, with focus being the keyword. Previously, Brightcove tried to be everything to everyone and built features that weren't needed by its core customer base. Part of its business had turned into a pro-services show, which is not its strength. It's good to see Brightcove back to its roots, offering solutions for two use cases in the market: corporate comms/marketing and broadcast/OTT streaming.

Bending Spoons è senza dubbio brava nel rilancio dei prodotti (si veda anche la rivoluzione Evernote). Non piace perché alza i prezzi. Sono curioso di vedere cosa succederà con Vimeo, che ha un'identità confusissima da molto tempo.

Interessante progetto, Chuu Chuu, di ricerca dei trani con informazioni sullo storico dei ritardi. Quest'anno hanno fatto il "wrapped" dei ritardi in Europa:

Un benchmark sulle tecnologie moderne di OCR, dove incredibilmente sono gli LLM a vincere in accuratezza specialmente sull'handwriting.

Quello che il benchmark mi pare non consideri del tutto sono le allucinazioni. Se ho un'immagine il cui contenuto è apparentemente testo ma in realtà non è nulla di sensato, gli LLM di solito sputano fuori qualcosa di apparentemente coerente (del testo, magari proprio delle frasi) ma completamente errato.

How Temporal Powers Reliable Cloud Operations at Netflix. Netflix, sempre molto trasparente sulle scoperte ingegneristiche che fa alla sua scala, spiega come usa Temporal nei deployment per ridurre il tasso di errori delle operazioni mutazione dell'infrastruttura cloud.

Temporal is a Durable Execution platform which allows you to write code “as if failures don’t exist”. It’s become increasingly critical to Netflix since its initial adoption in 2021, with users ranging from the operators of our Open Connect global CDN to our Live reliability teams now depending on Temporal to operate their business-critical services. In this post, I’ll give a high-level overview of what Temporal offers users, the problems we were experiencing operating Spinnaker that motivated its initial adoption at Netflix, and how Temporal helped us reduce the number of transient deployment failures at Netflix from 4% to 0.0001%.

Is Your Android TV Streaming Box Part of a Botnet? Negli USA ci sono streaming box con pagamento one-time che, suprirse, sono essenzialmente delle botnet per ripagare i costi.

On the surface, the Superbox media streaming devices for sale at retailers like BestBuy and Walmart may seem like a steal: They offer unlimited access to more than 2,200 pay-per-view and streaming services like Netflix, ESPN and Hulu, all for a one-time fee of around $400. But security experts warn these TV boxes require intrusive software that forces the user’s network to relay Internet traffic for others, traffic that is often tied to cybercrime activity such as advertising fraud and account takeovers.

The "Mad Men" in 4K on HBO Max Debacle: il restauro 4K di HBO Max non va sempre benissimo: si dimenticano gli effetti visivi.

Suddenly you can see pretend puke hoses, modern LA signage, and all the behind-the-scenes magic that was supposed to be painted out. Puts a different spin on “it’s toasted.”

(via Demuxed newsletter)

Mini-LLM di Google molto interessante:

Meet FunctionGemma, a specialized version of the Gemma 3 270M model, fine-tuned specifically for function calling and tool use and designed to be fine-tuned further.

Sufficientemente piccolo da poter essere eseguito su smartphone, e in generale forse anche su CPU su un server. È pure multilingua.

Ho aggiornato a macOS 26, infine. Non mi aspettavo altro...