Note di Matteo

unMTA è un nuovo servizio di invio email (transazionali/massive) che usa un modello che si vede raramente nel settore, cioè infrastruttura dedicata con invii illimitati e senza pagamento a consumo per messaggio. Ha ovviamente senso solo per volumi elevati (>500k al mese) ma è altrimenti interessante. Startup USA. Più contesto qui.

Windows Native App Development Is a Mess. Riassuntone dello stato attuale dello sviluppo nativo su Windows, ora culminato nell'SDK Windows App che permette di usare le API moderne anche con applicazioni tradizionali Windows Forms/WPF, oppure in WinUI 3, il successore di WinRT/UWP. L'SDK e WinUI 3 non sembrano però in ottimo stato e per molte cose bisogna ricorrere alle system call Win32.

Notably, l'autore dell'articolo è Domenic Denicola, che è stato ingegnere del team Google Chrome per 11 anni ma che ora si già ritirato dal lavoro (retribuito), a circa 40 anni da quel che si intuisce.

Delve - Fake Compliance as a Service - Part I. Lungo articolo (anonimo) su come una delle più note startup per semplificare la compliance produca certificati senza effettive verifiche di conformità e usando template generici. Parliamo ad esempio di SOC 2 (standard americano) e ISO 27001 (più diffuso in Europa). Ci sono cascate anche aziende come Lovable. Per non farsi mancare nulla hanno lasciato un bucket di storage aperto leakando ulteriori dati. Forse anche a conferma della molto relativa utilità dello standard SOC 2, ormai usato più come bollino per permettere ai clienti enterprise di spuntare una checkbox, che come effettiva garanzia di misure di sicurezza adeguate.

DNS-PERSIST-01: A New Model for DNS-based Challenge Validation. C'è un nuovo tipo di challenge di autorizzazione nel protocollo ACME per l'emissione e rinnovo dei certificati TLS. Permette di verificare la proprietà di un dominio con un record DNS persistente, da impostare una volta con validità infinita. Normalmente si usa un record TXT _acme-challenge con un token con validità associata all'ordine del certificato. Il nuovo metodo dns-persist-01 permette invece di autorizzare uno specifico account ACME, opzionalmente con una data di scadenza:

_validation-persist.example.com. IN TXT (
  "letsencrypt.org;"
  " accounturi=https://acme-v02.api.letsencrypt.org/acme/acct/1234567890"
)

Scaling Postgres connections with PgBouncer. Mega-tutorial di PlanetScale su come usare PgBouncer, il connection pooler per PostgreSQL.

Ente Paste è un servizio di condivisione di testo end-to-end encrypted. Il destinatario può vedere il testo decriptato solo una volta ed entro 24 ore. Utile per condividere chiavi segrete, ecc.

L'URL condivisibile (es. https://paste.ente.io/QTPD2AV2QE#3xLlEBKwnlCZ) contiene l'ID del paste (QTPD2AV2QE) e la chiave (3xLlEBKwnlCZ) per decifrare il testo. Il server non vede la chiave perché è un hash fragment/anchor: tutto quello che viene dopo il cancelletto non viene mai inviato al server dai browser.

Una volta aperta la pagina il testo cifrato viene eliminato dal server:

MapFight è uno strumento per confrontare la dimensione reale dei paesi del mondo senza le distorsioni della proiezione di Mercatore.

How to build a distributed queue in a single JSON file on object storage. Usare l'object storage come un database è sempre affascinante e Turbopuffer ci ha costruito sopra un vector db. Ora hanno implementato anche la coda di indicizzazione dei dati in un singolo file queue.json in un bucket S3/GCS, sfruttando le primitive dell'object storage (come compare-and-set, o CAS) per gestire conflitti (è in realtà un po' più complicato di così e l'articolo è scritto molto bene).

The Many Flavors of Ignore Files. Andrew Nesbitt illustra la sintassi dei file .gitignore, che è sempre una buona idea ripassare, e le differenze principali con altri formati come .dockerignore.

Introduction to PostgreSQL Indexes è una buona introduzione ai concetti attorno agli indici di PostgreSQL, partendo da come i dati sono serializzati su disco, come gli indici agevolano la ricerca e come funzionano B-tree, Hash, BRIN, ecc. anche con nuove funzioni come "skip scan" di PostgreSQL 18.

WhatsApp Encryption, a Lawsuit, and a Lot of Noise è un ottimo articolo di Matthew Green, esperto di crittografia e professore della Johns Hopkins University, sulla recente causa di uno studio legale nei confronti di Meta in cui si sostiene che WhatsApp non sia in realtà end-to-end encrypted. Alla causa è seguito l'appoggio, ovviamente, dei soliti mistificatori Elon Musk e Pavel Durov.

Il riassunto è che le accuse sono completamente infondate e che se WhatsApp stesse facendo qualcosa di losco ce ne saremmo accorti e sarebbe la frode più grande della storia della tecnologia. "Se stai commettendo un crimine, farlo in un modo che sia rilevabile forensicamente è molto stupido".

Given the closed-source nature of WhatsApp, how do we know that WhatsApp is actually encrypting its data? The company is very clear in its claims that it does encrypt. But if we accept the possibility that they’re lying: is it at least possible that WhatsApp contains a secret “backdoor” that causes it to secretly exfiltrate a second copy of each message (or perhaps just the encryption keys) to a special server at Meta?

I cannot definitively tell you that this is not the case. I can, however, tell, you that if WhatsApp did this, they (1) would get caught, (2) the evidence would almost certainly be visible in WhatsApp’s application code, and (3) it would expose WhatsApp and Meta to exciting new forms of ruin.

The most important thing to keep in mind here is that Meta’s encryption happens on the client application, the one you run on your phone. If the claims in this lawsuit are true, then Meta would have to alter the WhatsApp application so that plaintext (unencrypted) data would be uploaded from your app’s message database to some infrastructure at Meta, or else the keys would. And this should not be some rare, occasional glitch. The allegations in the lawsuit state that this applied to nearly all users, and for every message ever sent by those users since they signed up.

Those constraints would tend to make this a very detectable problem. [...] If you’re going to (metaphorically) commit a crime, doing it in a forensically-detectable manner is very stupid.

Alternatives to MinIO for single-node local S3 analizza e confronta le principali alternative a MinIO dopo la chiusura della versione open source. In estrema sintesi:

New Rusty object stores confronta anche a livello tecnico rustfs e Garage. Contesto molto utile per capire la natura dei progetti.

SeaweedFS Intro Slides è un'introduzione a SeaweedFS e la sua architettura.

L'articolo Unrolling the Codex agent loop di OpenAI è un'ottima introduzione all'implementazione tecnica di un sistema AI basato su agenti. Interessante lo sforzo per evitare di rompere la cache di inferenza preferendo l'aggiunta di dati e istruzioni in fondo al posto di modificare le istruzioni in cima.

Radicle. Radicle is an open source, peer-to-peer code collaboration stack built on Git. Unlike centralized code hosting platforms, there is no single entity controlling the network. Repositories are replicated across peers in a decentralized manner, and users are in full control of their data and workflow.

Un po' di tool per macOS interessanti che ho trovato.

Supercharge aggiunge un po' di shortcut e opzioni per power user:

Antinote è un blocco note molto semplice ma con molte funzioni potenti (plain text, contextual math, checklists, timer, ecc.):

Dropover è un floating shelf per semplificare la gestione dei file con drag and drop:

Clop ottimizza immagini e video quando si copiano, in modo da incollarli in versione ottimizzata (compressa):

AntiRender converte immagini di rendering di nuovi edifici o costruzioni con architetture moderne in come appariranno «on a random Tuesday in November», cioè senza sole, famiglie felici e alberi verdissimi. Non è specificato ma probabilmente è powered by Nano Banana (Pro).

Internet voting is insecure and should not be used in public elections. Un articolo firmato da 31 informatici esperti in sicurezza delle elezioni che sostiene e argomenta, si spera una volta per tutte, perché il voto tramite Internet non si può fare in modo sicuro.

Wplace. A massive real-time pixel art canvas on the world map.

La pagina Web Interface Guidelines di Vercel è estremamente densa di utili linee guida per le interfacce web.

ttl è un mtr con qualche funzione in più, tra cui enrichment dei dati ASN e DNS:

Key features of ttl include:

• Multi-flow probing – Enumerates all load-balanced paths (no more seeing just one path through ECMP).

• Path MTU discovery – Pinpoints exactly where fragmentation kills your jumbo frames.

• NAT detection – Reveals when a middlebox is quietly rewriting your source ports.

• Route flap alerts – Catches BGP instability as it happens by detecting path changes in real time.

• PeeringDB integration – Identifies which Internet Exchange (IX) you're crossing in your route.

• MPLS label visibility – Exposes provider LSP paths by decoding MPLS labels from ICMP responses.

• Smart loss detection – Distinguishes real packet loss from routers simply rate-limiting ICMP replies.

• Modern TUI – Features live stats, jitter calculation, ASN/GeoIP enrichment, and a sleek terminal UI (no 1990s look-and-feel).

• Scriptable output – JSON and CSV export for automating analysis or proving that yes, the problem is their network.

(LinkedIn)