Note di Matteo

Ecco con grande ritardo la timeline del "bando" per l'assegnazione delle nuove gTLD. L'ultima volta era successo nel 2012.

• Dal 30 aprile al 12 agosto si potranno presentare le candidature, la relativa documentazione e il pagamento di 227mila dollari per la TLD proposta.
• La lista sarà resa pubblica probabilmente prima di ICANN 87 (17 ottobre).
• Per 14 giorni dal Reveal Day le candidature potranno essere modificate sostituendo TLD con TLD di riserva pre-comunicate nel caso in cui si voglia evitare di competere con altre candidature.
• Intorno a febbraio 2027 terminerà poi il periodo per le obiezioni.

Da lì in poi non ho capito bene ma ci sono altri passaggi per risolvere le contese, che possono durare anche molti anni. Tutt'ora alcune gTLD del 2012 non sono state formalmente assegnate.

❯ dig ospedaleniguarda.it NS +short
blasco.ospedaleniguarda.it.
vasco.ospedaleniguarda.it.
dns2.fastweb.it.

LOL. Blasco e Vasco.

Un mio commento sul Post in risposta all'articolo Per le intelligenze artificiali i PDF sono un problema, che si basa sul nulla:

L'articolo solleva il problema sbagliato. L'OCR serve solo se il contenuto è stato rasterizzato o è frutto di scansione, che non è la normalità (fuori dalla PA italiana almeno).

Il formato PDF resta però comunque problematico perché non contiene concetti come "paragrafo di testo", "pié di pagina" o "tabella" ed è quindi molto difficile associare le singole parole/righe di testo (solitamente leggibili senza OCR) al flusso della pagina. In casi complessi come pagine a più colonne servono una miriade di euristiche per provare a ricostruire il testo correttamente, perché non c'è legame tra gli elementi.

Non è un problema risolvibile al 100% ma è comunque in gran parte superato e negli ultimi 3 anni è spuntata diversa ricerca e molti nuovi strumenti anche open source per attaccare il problema.

Detto questo, del presunto "obiettivo di lungo termine" di sostituire il formato PDF sinceramente non trovo traccia e non ne ho mai sentito parlare pur avendo realizzato sistemi AI che ingeriscono PDF. A prova della tesi l'articolo menziona solo questa startup israeliana completamente sconosciuta nel settore, il cui sito sembra indicare che sia semplicemente una piattaforma cloud (a cui non ci si può nemmeno iscrivere), più che un formato di file. Di cosa stiamo parlando?

C'è un bug in Claude Desktop legato agli scheduled task (nuova feature appena lanciata) che manda il codice in loop infinito:

Users with scheduled tasks in Claude Cowork or Claude Code who are in a timezone that observed daylight saving time last night were affected by an infinite loop. When the app tried to locate tasks scheduled during the “skipped” hour, it couldn’t resolve them and got stuck.

Ho l'istinto di dire che è proprio un bug da vibe coding, ma in realtà lavorare con le date e i fusi orari è fonte di numerosi bug da quando la programmazione esiste.

Un grafico di Cursor sull'uso degli agenti AI in confronto alla funzione Tab (che mi viene da chiamare "vecchia", eppure esiste da meno di 4 anni) nello sviluppo di software:

A conferma della recente percezione che tra l'autunno e l'inverno 2025/2026 c'è stato un (incredibile) cambio di passo nello sviluppo software con l'AI.

FFmpeg at Meta: Media Processing at Scale. Meta spiega come usa FFmpeg per l'elaborazione di più di un 1 miliardo di video al giorno, e di come hanno smesso di usare un fork interno dopo aver integrato l'encoding parallelo e la generazione di metriche real-time (in-loop decoder) nella versione open source. Meta mantiene comunque delle patch per il supporto agli encoder hardware ASIC proprietari, ma restando in sync con ffmpeg open source.

Questa mi ha fatto ridere: prompt injection tramite un issue GitHub preso in carico da un workflow GitHub Actions che esegue Claude senza limiti di permessi:

Cline’s (now removed) issue triage workflow ran on the issues event and configured the claude-code action with allowed_non_write_users: "*", meaning anyone with a GitHub account can trigger it simply by opening an issue. Combined with --allowedTools "Bash,Read,Write,Edit,Glob,Grep,WebFetch,WebSearch", this gave Claude arbitrary code execution within default-branch workflow.

Accenture acquisisce Ookla e quindi Speedtest.net e Downdetector 🧐. Per 1,2 miliardi di dollari.

Wow, un datacenter AWS negli Emirati Arabi Uniti è stato colpito da un "oggetto" (missile/drone) e ha preso fuoco.

Mar 01 9:41 AM PST We want to provide some additional information on the power issue in a single Availability Zone in the ME-CENTRAL-1 Region. At around 4:30 AM PST, one of our Availability Zones (mec1-az2) was impacted by objects that struck the data center, creating sparks and fire. The fire department shut off power to the facility and generators as they worked to put out the fire. We are still awaiting permission to turn the power back on, and once we have, we will ensure we restore power and connectivity safely. It will take several hours to restore connectivity to the impacted AZ. The other AZs in the region are functioning normally. Customers who were running their applications redundantly across the AZs are not impacted by this event. EC2 Instance launches will continue to be impaired in the impacted AZ. We recommend that customers continue to retry any failed API requests. If immediate recovery of an affected resource (EC2 Instance, EBS Volume, RDS DB Instance, etc.) is required, we recommend restoring from your most recent backup, by launching replacement resources in one of the unaffected zones, or an alternate AWS Region. We will provide an update by 12:30 PM PST, or sooner if we have additional information to share.

Pavel Durov ha dato di matto definitivamente:

Unfortunately, I had to leave Dubai for Europe a week ago — so I’m not only missing the free fireworks from Iran, but also exposing myself to greater risk. Given Europe’s crime rates, Dubai is statistically safer even with missiles flying. Can’t wait to be back.

Benchmark super interessante che misura le scelte di stack tecnico dei modelli Anthropic (via Claude Code):

The big finding: Claude Code builds, not buys. Custom/DIY is the most common single label extracted, appearing in 12 of 20 categories (though it spans categories while individual tools are category-specific). When asked “add feature flags,” it builds a config system with env vars and percentage-based rollout instead of recommending LaunchDarkly. When asked “add auth” in Python, it writes JWT + bcrypt from scratch. When it does pick a tool, it picks decisively: GitHub Actions 94%, Stripe 91%, shadcn/ui 90%.

Tutti i dettagli nel report completo.

Anno 2026. Le Olimpiadi Milano-Cortina su Rai Play in 720p 25 fps. Il festival di Sanremo prodotto e trasmesso in 4K sul DTT ma la scritta in overlay pubblicizza tivùsat, che non ha nessuno, mentre lo streaming è sempre in 720p, l'on demand pure in 720p, i video su YouTube in 720p (!!!).

Ecco gli aumenti di prezzo di Hetzner che erano stati pre-annunciati qualche giorno fa.

Anche nelle altre location, anche per i server dedicati e per volumi e snapshot.

Qua la versione archiviata della pagina.

Un altro outage di Cloudflare causato ancora dall'applicazione di un cambio di configurazione globalmente. In questo caso sono stati rimossi per errore molti prefissi BYOIP dagli annunci BGP della rete edge, per via di un bug nel codice che elenca i prefissi da rimuovere:

Because the client is passing pending_delete with no value, the result of Query().Get(“pending_delete”) here will be an empty string (“”), so the API server interprets this as a request for all BYOIP prefixes instead of just those prefixes that were supposed to be removed.

Certo è che se uno progetta un endpoint di un'API mission critical dandogli un formato così strambo e fuori da ogni best practice (/v1/prefixes?pending_delete) un po' se le cerca.

Andrea Ayer in Why IP Address Certificates Are Dangerous and Usually Unnecessary spiega perché i certificati per indirizzi IP sono poco sicuri. Per via della rapida intercambiabilità degli IP in ambienti cloud e delle regole di validazione della proprietà dell'indirizzo molto allentate, è relativamente facile per un attaccante disporre di un certificato valido per un indirizzo IP che non è più autorizzato a rappresentare.

The basic security property provided by a certificate is that the certificate authority has validated that the certificate subscriber (the person who applies for the certificate and knows its private key) is authorized to represent the domain name or IP address in the certificate. This ensures that the other end of a TLS connection is truly the domain or IP address that you want to connect to, not a MitM impostor.

But the validation is not done every time a TLS connection is established; rather, it was done at some point in the past. Thus, the certificate subscriber may no longer be authorized to represent the domain or IP address.

How old might the validation be? As of February 2026, certificate authorities are allowed to issue certificates that are valid for up to 398 days. So the validation may be 398 days old. But it gets worse. When issuing a certificate, CAs are allowed to rely on a validation that was done up to 398 days prior to issuance. So when you establish a TLS connection, you may be relying on a validation that was performed a whopping 796 days ago. You could be talking not to the current assignee of the domain or IP address, but to anyone who was assigned the domain or IP address at any point in the last 2+ years.

È un problema che c'è evidentemente anche con i domini, ma lo spazio dei nomi di dominio è molto più grande di quello degli IPv4 e quindi il problema non è di fatto un problema:

This is a problem with both domains and IP addresses, but it's way worse with IP addresses. While it's still very possible to register a domain that no one has ever registered before, you don't have this luxury with IPv4 addresses. There are no unassigned IPv4 addresses left; when you get an IPv4 address, it has already been assigned to someone else.

Questa vulnerabilità si ridurra assieme alla riduzione della durata massima dei certificati (47 giorni + 10 giorni di periodo di validazione nel 2029). Nel frattempo si può consultare o monitorare i log di trasparenza (es. crt.sh) per vedere quali certificati sono stati emessi per un indirizzo IP o un dominio.

Mistral ha acquisito Koyeb, startup francese che sviluppa una piattaforma cloud agnostica (deployabile quindi anche su AWS e altri provider). Buon acquisto per Mistral, meno per i clienti Koyeb dato che "the entire Koyeb team is joining Mistral AI and will be fully dedicated to working on Mistral Compute".

Automating RDS Postgres to Aurora Postgres Migration. Netflix spiega come ha migrato centinaia di cluster AWS RDS PostgreSQL verso RDS Aurora PostgreSQL (una versione di PostgreSQL più scalabile sviluppata e gestita da AWS).

Il copione è più o meno il solito delle migrazioni di database: attivare un nuovo cluster in replica del cluster originale (es. logical replication) e poi pianificare attentamente uno switchover. Lo switchover comporta del downtime perché bisogna bloccare le scritture sul vecchio cluster, ed è interessante vedere che anche Netflix non riesce a scampare a questa regola.

Nel loro caso il disservizio per ciascuno dei cluster è stato di 10 minuti o meno, specialmente per il riavvio forzato di RDS usato per interrompere forzatamente tutte le connessioni esistenti, anche se in teoria già bloccate dal security group. Comunque lettura interessante.

Altri feedback sulle alternative a MinIO, ora definitivamente abbandonato nella versione open source, da Hacker News.

Un confronto tra le principali alternative (vedi anche miei post precedenti):

First off, I don't think there is anything wrong with MinIO closing down its open source. There are simply too many people globally who use open source without being willing to pay for it. I started testing various alternatives a few months ago, and I still believe RustFS will emerge as the winner after MinIO's exit. I evaluated Garage, SeaweedFS, Ceph, and RustFS. Here are my conclusions:

1. RustFS and SeaweedFS are the fastest in the object storage field.

2. The installation for Garage and SeaweedFS is more complex compared to RustFS.

3. The RustFS console is the most convenient and user-friendly.

4. Ceph is too difficult to use; I wouldn't dare deploy it without a deep understanding of the source code.

Although many people criticize RustFS, suggesting its CLA might be "bait," I don't think such a requirement is excessive for open source software, as it helps mitigate their own legal risks.

Furthermore, Milvus gave RustFS a very high official evaluation. Based on technical benchmarks and other aspects, I believe RustFS will ultimately win.

https://milvus.io/blog/evaluating-rustfs-as-a-viable-s3-compatible-object-storage-backend-for-milvus.md

Un po' di promozione dall'autore di SeaweedFS:

I work on SeaweedFS since 2011, and full time since 2025.

SeaweedFS was started as a learning project and evolves along the way, getting ideas from papers for Facebook Haystack, Google Colossus, Facebook Tectonics. With its distributed append-only storage, it naturally fits object store. Sorry to see MinIO went away. SeaweedFS learned a lot from it. Some S3 interface code was copied from MinIO when it was still Apache 2.0 License. AWS S3 APIs are fairly complicated. I am trying to replicate as much as possible.

Some recent developments:

• Run "weed mini -dir=xxx", it will just work. Nothing else to setup.

• Added Table Bucket and Iceberg Catalog.

• Added admin UI

Follow-up al post su macOS e l'area in cui il puntatore può ridimensionare una finestra ai bordi: sembrava il fix fosse pronto per macOS 26.3 (figura 1) ma è poi stato ritirato nella versione stabile, tornando al comportamento originale (figura 2).

Due commenti interessanti sotto un articolo del Post su giovani e costo delle case:

[...] Questa è un'altra manifestazione del fenomeno del "pull the ladder" fatto dai baby boomer nei confronti delle nuove generazioni, insieme al mostruoso debito pubblico, la colossale ingiustizia del sistema pensionistico, e la strenua opposizione a qualunque forma di dinamismo, riforma o cambiamento di paradigma nella società. Si potrebbero fare milioni di esempi, ma praticamente ogni singolo problema dei paesi europei si riconduce a questo fenomeno.

(untizio)

Esperienza personale: io e mia moglie stiamo comprando casa in provincia di Bologna (sottolineo: PROVINCIA, a circa mezz'ora dal centro), abbiamo tra i 35 e i 40 anni, entrambi lavoratori dipendenti. Di seguito le spese che abbiamo quantificato per acquistare casa in provincia, nemmeno in centro storico:

• 20% del valore dell'offerta (prezzo medio per un trilocale di 90 mq: 300 mila €, quindi 60 mila € di anticipo);
• l'agenzia immobiliare prende tra il 3 e il 4% + IVA al 22%, quindi circa 13 mila €;
• le spese di accensione del mutuo variano molto di caso in caso, ma contando perizia (350€), istruttoria (ca. 1200€), assicurazione scoppio incendio obbligatoria (ca. 2500€), imposta sostitutiva per la prima casa (680€) siamo a ca. 4700€.
• se si compra da usato si paga il 2% di tasse, se si compra il nuovo si paga il 4% di IVA, quindi siamo tra i 6 e i 12 mila €;
• spese di notaio, che possono arrivare tra i 5 e i 7 mila €;
• arredamento si va tra i 10 e i 30 mila € come budget realistico, ma varia tantissimo in base ad altri fattori;
• altre spese tra cui: trasloco, accensione utenze, IMU se non si fa la residenza immediatamente, affitto che si sovrappone al mutuo per qualche mese, ecc. TOTALE: si raggiunge o si supera tranquillamente i 100 mila €. Vorrei sapere quanti under 40 riuscirebbero a sostenere queste cifre senza avere un aiuto dei parenti, aver vinto la lotteria o avere già una casa ereditata (o entrambi i reni) da poter vendere. Io inizierei da qui: dai numeri, perchè sono la realtà contro cui una coppia dovrà sbattere la faccia.

(becktones)