Supply Chain al Centro per WordPress! Introdotta la 2FA per gli Sviluppatori dei Plugin
A partire dal 1° ottobre 2024, WordPress introdurrà un nuovo requisito per gli account con accesso agli aggiornamenti di plugin e temi per abilitare l’autenticazione a due fattori (2FA). La mossa mira a migliorare la sicurezza e prevenire l’accesso non autorizzato.
Secondo WordPress, tali account hanno la capacità di apportare modifiche a plugin e temi utilizzati da milioni di siti in tutto il mondo, quindi proteggerli è una priorità per mantenere la sicurezza e la fiducia della comunità.
Oltre alla 2FA obbligatoria, WordPress.org ha introdotto una nuova funzionalità: le password SVN. Si tratta di password separate per apportare modifiche al codice che consentono di separare l’accesso ai repository dalle credenziali utente di base. In sostanza, si tratta di un ulteriore livello di sicurezza che riduce il rischio di fuga della password principale e consente di revocare facilmente l’accesso a SVN senza modificare le proprie credenziali.
Limitazioni tecniche hanno impedito l’implementazione della 2FA per i repository dei codici esistenti, quindi si è deciso di utilizzare una combinazione di autenticazione a due fattori a livello di account, password SVN ad alta resistenza e altre misure di sicurezza, inclusa la conferma del rilascio.
Queste misure mirano a prevenire attacchi in cui gli aggressori possono accedere all’account di uno sviluppatore ed inserire codice dannoso in plugin e temi, che potrebbero portare ad attacchi alla catena di fornitura su larga scala.
Il rischio principale che può sorgere con l’introduzione dell’autenticazione obbligatoria a due fattori è il possibile disagio per gli sviluppatori. Alcuni utenti potrebbero avere difficoltà a configurare la 2FA, il che potrebbe rallentarli o fargli perdere temporaneamente l’accesso ai propri account. Inoltre, l’implementazione del nuovo sistema di password SVN richiede un adattamento, che potrebbe sollevare ulteriori domande per gli sviluppatori abituati ai metodi di autenticazione standard.
Tuttavia, a lungo termine, queste misure dovrebbero migliorare significativamente la sicurezza complessiva dell’ecosistema WordPress. Infatti, le conseguenze negative potrebbero essere legate solo a inconvenienti temporanei, mentre i benefici derivanti da una maggiore sicurezza degli account e dalla prevenzione di attacchi alla catena di fornitura di plugin e temi sono evidenti.
L’annuncio arriva tra i recenti avvertimenti di Sucuri sulla campagna malware ClearFake in corso che prende di mira i siti WordPress. Gli aggressori distribuiscono il famoso infostealer RedLine, costringendo gli utenti ad avviare manualmente PowerShell per “risolvere i problemi” con la visualizzazione della pagina. Inoltre, i criminali informatici utilizzano siti PrestaShop infetti per rubare i dati delle carte di credito nelle pagine di pagamento.
Come ha osservato Ben Martin, ricercatore di Sucuri, software obsoleti e password di amministratore deboli sono spesso bersagli di attacchi. Per ridurre i rischi, si consiglia di aggiornare regolarmente plugin e temi, utilizzare firewall per applicazioni Web (WAF), controllare gli account amministratore e monitorare le modifiche ai file del sito.
L'articolo Supply Chain al Centro per WordPress! Introdotta la 2FA per gli Sviluppatori dei Plugin proviene da il blog della sicurezza informatica.
L’Evoluzione della Botnet Quad7: Nuove Minacce per Router e Dispositivi VPN
I ricercatori di Sekoia hanno segnalato l’evoluzione della botnet Quad7, che ha iniziato ad attaccare nuovi dispositivi, tra cui i media server Axentra, i router wireless Ruckus e i dispositivi VPN Zyxel. Gli aggressori sfruttano attivamente le vulnerabilità nei dispositivi SOHO e VPN come TP-Link, Zyxel, Asus, D-Link e Netgear per hackerarli e aggiungerli alla rete botnet.
Secondo gli esperti, la botnet Quad7 viene utilizzata per effettuare attacchi di forza bruta distribuiti su account VPN, Telnet, SSH e Microsoft 365. Un recente rapporto Sekoia ha rivelato anche la presenza di nuovi server che gestiscono la botnet e nuovi bersagli tra i dispositivi di rete.
Gli operatori di botnet hanno identificato cinque gruppi separati di dispositivi (alogin, xlogin, axlogin, rlogin e zylogin), ciascuno dei quali attacca tipi specifici di apparecchiature. Ad esempio, alogin prende di mira i router Asus mentre rlogin attacca i dispositivi Ruckus Wireless. Mentre i gruppi alogin e xlogin colpivano migliaia di dispositivi, rlogin colpiva solo 213 dispositivi, risultando così più piccolo ma comunque pericoloso. Altri gruppi, come axlogin e zylogin, si concentrano su Axentra NAS e Zyxel VPN.
Una caratteristica distintiva di Quad7 è l’utilizzo di router TP-Link dirottati, che gli aggressori utilizzano per attaccare Microsoft 365. Questi dispositivi sono aperti all’amministrazione remota e alle connessioni proxy, il che facilita l’esecuzione degli attacchi.
I ricercatori hanno anche scoperto una nuova backdoor, chiamata UPDTAE a causa di un errore di battitura nel codice. Consente il controllo remoto dei dispositivi infetti tramite connessioni HTTP, offrendo agli aggressori il controllo completo sull’apparecchiatura.
Negli ultimi mesi, gli operatori Quad7 hanno migliorato le loro tattiche di gestione delle botnet, passando a metodi più segreti di trasmissione dei dati. Invece di utilizzare proxy SOCKS aperti, hanno iniziato a utilizzare il protocollo KCP, che fornisce comunicazioni più veloci su UDP, sebbene richieda una maggiore larghezza di banda. Il nuovo strumento FsyNet ti consente di nascondere il traffico e renderlo difficile da rilevare.
Gli esperti sottolineano che la botnet Quad7 si sta adattando attivamente alle nuove condizioni. Errori del passato, come codice scritto male e l’uso di proxy aperti, lo hanno reso vulnerabile al rilevamento. Tuttavia, gli operatori delle botnet stanno ora imparando dai propri errori, migliorando le tecniche di mimetizzazione ed evitando il rilevamento.
L'articolo L’Evoluzione della Botnet Quad7: Nuove Minacce per Router e Dispositivi VPN proviene da il blog della sicurezza informatica.
Presentazione del libro “Iran a mani nude” di Mariano Giustino
[quote]Storie di donne coraggiose contro ayatollah e pasdaran di Mariano Giustino INTRODUCE Andrea Cangini, Segretario generale Fondazione Luigi Einaudi OLTRE ALL’AUTORE INTERVERRANNO Masih Alinejad, attivista per i diritti umani, giornalista e scrittrice Flavia Fratello, giornalista La7 Fariborz Kamkari,
Inkycal Makes Short Work of e-Paper Dashboards
The e-paper “dashboard” is something we’ve seen plenty of times here at Hackaday. Use it to show your daily schedule, the news, weather, maybe the latest posts from your favorite hardware hacking website. Any information source that doesn’t need to be updated more than every hour or so is a perfect candidate. All you’ve got to do is write the necessary code to pull down said data and turn it into a visually attractive display.
Well, that last part isn’t always so easy. There are plenty of folks who have no problem cobbling together a Raspberry Pi and one of the commercially available e-paper modules, but writing the software to turn it into a useful information center is another story entirely. Luckily, Inkycal is here to help.
With Inkycal on the Pi — they even provide a pre-configured SD card image — and the e-paper display hooked up, all you need to do is pick which sources you want to use from the web-based configuration page. Look ma, no code!
Not feeling like putting the hardware together either? Well, we might wonder how you’ve found yourself on Hackaday if that’s the case. But if you really would rather buy then build, you can get a pre-built Inkcal display right now on Tindie.
📌 L’Associazione Nazionale Insegnanti Scienze Naturali (ANISN), organizza la quindicesima edizione dei Giochi delle Scienze Sperimentali per gli studenti delle classi terze della Scuola Secondaria di Primo Grado.
Ministero dell'Istruzione
#NotiziePerLaScuola 📌 L’Associazione Nazionale Insegnanti Scienze Naturali (ANISN), organizza la quindicesima edizione dei Giochi delle Scienze Sperimentali per gli studenti delle classi terze della Scuola Secondaria di Primo Grado.Telegram
Le 15 Risposte che ti faranno Assumere ad un Colloquio Tecnico per un Ruolo da Pen Tester
Diventare un white hat hacker è il sogno di molti. Ma come superare un colloquio e dimostrare la propria professionalità? Ecco a voi 15 domande che ti aiuteranno a prepararti efficacemente per superare con successo un colloquio di assunzione per una posizione di penetration tester.
1. Cos’è il test di penetrazione e in cosa differisce dalla scansione delle vulnerabilità?
Il penetration test (pentest) è un tentativo ordinato, mirato e autorizzato di attaccare un’infrastruttura IT per testarne la sicurezza. Si differenzia dalla scansione delle vulnerabilità in quanto un pentest implica il tentativo attivo di sfruttare le vulnerabilità rilevate, mentre la scansione delle vulnerabilità è il processo automatizzato di scoperta delle stesse, solitamente per scopi di conformità normativa. Il penetration test permette di concatenare delle vulnerabilità per creare un “vettore di attacco” capace di compromettere un sistema dal punto di vista della Riservatezza, Integrità e Disponibilità (RID).
2. Qual è la differenza tra analisi del rischio e test di penetrazione?
L’analisi del rischio è il processo di identificazione delle potenziali minacce e vulnerabilità che influiscono sulla sicurezza di un sistema. Il penetration test è un tentativo reale ma controllato di sfruttare le vulnerabilità per testare la funzionalità delle attuali misure di sicurezza.
3. Descrivi le fasi di un penetration test
Le fasi di un pentest possono variare a seconda dell’azienda o del professionista che le esegue, ma generalmente seguono la seguente sequenza:Preparazione al test : durante questa fase vengono discussi i dettagli e le aspettative del test. Questo processo può sembrare noioso, ma è molto importante per stabilire obiettivi chiari e regole di impegno tra committente e penetration tester. Vengono discussi i tempi del test, gli obiettivi e ciò che è accettabile svolgere all’interno del test.
Raccolta delle informazioni : questo è il momento in cui inizia il test vero e proprio. Generalmente si eseguono attività di Open Source Intelligence (OSINT), esaminando gli host, la rete e i servizi disponibili per analizzarli in modo passivo. In questa fase si cercano reti IP insolite, segreti sparsi in qualche repository aperto come su GitHub, attività dei dipendenti sui social network che possono rivelare informazioni sulle tecnologie dell’azienda. Si può abbinare alla fase di information gathering anche attività di Cyber Threat Intelligence mirate ad analizzare tracce del sistema all’interno delle underground, come ad esempio log provenienti da infostealer. Alla fine si crea una una mappa visiva della rete e si definisce una “Metodologia di assessment” che riporta come avverrà il test e cosa ci si aspetta dal test stesso.
Valutazione delle vulnerabilità : dopo aver raccolto le informazioni, si iniziano a valutare se esistono vulnerabilità che possono essere sfruttate. Si cercano vulnerabilità note in base alle versioni del software e del servizio e si isolano le CVE (vulnerabilità ed esposizioni comuni) verificando la presenza di exploit pubblici. Questa attività può essere svolta con scanner automatizzati ma anche attraverso una ricognizione manuale. È importante pianificare attentamente gli attacchi per ridurre al minimo il rischio di disservizio dei sistemi.
Sfruttamento delle vulnerabilità : in questa fase, si inizia ad effettuare attacchi attivi sulle vulnerabilità identificate sfruttando gli exploit rilevati. Se è richiesto il test sia da rete esterna che da quella interna, generalmente si inizia ad hackerare il sistema esterno vulnerabile per comprendere se si riesce ad utilizzare tali falle per accedere all’infrastruttura interna dell’azienda. Si può lavorare anche all’interno della rete del cliente, accedendo da remoto tramite VPN o macchina virtuale fornita per il test.
Post-sfruttamento : una volta entrato nel sistema, si iniziano a controllarne i privilegi. Ad esempio, se si tratta di un sistema Windows, si eseguono dei comandi per raccogliere informazioni, trovare file ed effettuare delle “privilege escalation”.
Movimenti laterale : utilizzando le informazioni raccolte, si prova a muoversi all’interno della rete, passando da un sistema all’altro. Ciò potrebbe includere l’utilizzo di credenziali rubate o l’elusione della sicurezza di altri sistemi interni.
Reportistica : una volta completati tutti i test, e compresi gli impatti che il sistema potrebbe avere a seguito di un attacco da parte di un malintenzionato, viene preparato un rapporto con una descrizione dettagliata delle vulnerabilità e proposte per eliminarle. Vengono quindi discussi i risultati con il cliente per garantire che comprenda tutte le minacce identificate e sappia come eliminarle.
4. Quali fattori rendono un sistema vulnerabile?
I sistemi possono essere vulnerabili per diversi motivi, solitamente legati alla gestione delle patch, alla gestione delle vulnerabilità e alla configurazione. Ecco alcuni esempi:
- Utilizzo di versioni obsolete di servizi o applicazioni con vulnerabilità note per le quali esistono già exploit pubblici.
- Configurazione errata dei servizi, come l’utilizzo di password standard o deboli, mancanza di diritti di accesso adeguati, mancanza di autenticazione.
- Applicazioni Web vulnerabili ad attacchi comuni come quelli descritti nella OWASP Top 10.
- Sistemi che fanno parte di domini Active Directory vulnerabili ad attacchi alle credenziali o ad altri attacchi mirati all’infrastruttura AD.
5. Come gestisci i dati sensibili che incontri durante i penetration test?
Ogni vulnerabilità scoperta nella rete di un cliente può tecnicamente essere considerata un’informazione sensibile. Il lavoro di pentester è aiutare i clienti a migliorare la loro sicurezza. Occorre essere responsabili lavorando con i dati dei clienti e documentare tutti i risultati. Ad esempio, se si sta conducendo un test per un’azienda sanitaria, l’obiettivo non è esaminare un database di informazioni mediche sensibili, ma trovare una vulnerabilità che possa essere sfruttata per accedere a tali dati. È importante documentare la vulnerabilità e valutarne l’impatto senza violare i diritti dei clienti. Se ci si imbatte in contenuti illegali, si interrompe immediatamente i test e si segnala il tutto al management. Successivamente i decide assieme come proseguire adeguatamente i lavori, eventualmente con il coinvolgimento dei legali.
6. Spiegare la differenza tra crittografia simmetrica e asimmetrica.
La crittografia simmetrica utilizza una singola chiave per crittografare e decrittografare i dati, mentre la crittografia asimmetrica utilizza una coppia di chiavi pubblica e privata. Il primo è più veloce e il secondo viene utilizzato per trasferire in modo sicuro chiavi e firme digitali. Nella crittografia asimmetrica, la chiave pubblica può essere distribuita a tutti per cifrare i dati mentre la chiave privata deve essere conservata gelosamente in quanto sarà quella che permetterà di decifrarli.
7. Come mantieni le tue conoscenze sulla sicurezza informatica?
Utilizzo sia metodi di apprendimento passivo (leggendo notizie su redhotcyber.com, iscrivendomi a blog e podcast) che attivi (praticando attività di Capture The Flag o svolgendo percorsi formativi tramite Hack The Box ed esperimenti nel mio laboratorio di casa).
8. Qual è la differenza tra Windows e Linux nelle attività di pentest?
I sistemi operativi Windows e Linux presentano i propri vantaggi e svantaggi nel contesto del test delle applicazioni web. Windows è considerato più amichevole per gli utenti inesperti, mentre Linux è più affidabile e sicuro. La maggior parte degli strumenti di test vengono eseguiti su Linux in quanto questo sistema operativo offre più opzioni di personalizzazione. Tuttavia, Windows è più comune negli ambienti aziendali, quindi i test su questa piattaforma possono simulare più da vicino le condizioni del mondo reale che incontrerai durante il test delle applicazioni aziendali. Preferisco combinare entrambi i sistemi, il che mi consente di sfruttare i vantaggi di ciascuno.
9. Quali tre strumenti utilizzi per svolgere pentest di Active Directory e perché?
I miei 3 strumenti principali per testare Active Directory sono:BloodHound : questo è un potente strumento per visualizzare le relazioni tra oggetti Active Directory come domini, trust, policy e autorizzazioni. Aiuta a identificare visivamente i possibili vettori di attacco.
PowerShell : questo è uno strumento integrato in Windows che può essere utilizzato per eseguire comandi relativi ad AD. Se si riesce ad accedere a un account amministratore utilizzando PowerShell, è possibile usarlo per ottenere l’accesso remoto al controller di dominio.
PowerView.ps1 : fa parte del progetto PowerSploit e fornisce una varietà di funzionalità per la raccolta di dati sugli oggetti AD, la ricerca di risorse di rete e il furto di ticket TGS per eseguire un attacco Kerberoasting.
10. Quali vulnerabilità potrebbe avere lo scambio di chiavi Diffie-Hellman?
Lo scambio di chiavi Diffie-Hellman (DH) può essere vulnerabile a diversi tipi di attacchi se non configurato correttamente. Tra i più comuni ci sono:Attacco Man-in-the-middle (MitM) : se le parti non si autenticano a vicenda, un utente malintenzionato può inserirsi tra di loro e acquisire la capacità di decrittografare e modificare i dati.
Attacco Logjam : questo attacco utilizza parametri chiave deboli per forzare un downgrade della sicurezza della sessione.
Attacchi di forza bruta e canali laterali : se i parametri chiave sono deboli, sono possibili tentativi di forza bruta o attacchi che utilizzano dati di terze parti (ad esempio, il tempo di esecuzione dell’operazione).
11. Cos’è l’SQL injection basata sull’operatore UNION?
L’SQL injection basata su UNION è un tipo di SQL injection in cui un utente malintenzionato utilizza l’operatore UNION per combinare i risultati di più query, ottenendo così l’accesso a dati che non avrebbero dovuto essere esposti. Ad esempio, un utente malintenzionato potrebbe aggiungere una query UNION SELECT alla query originale per ottenere l’accesso a un’altra tabella di database che non faceva originariamente parte della query.
12. Che cos’è l’escalation dei privilegi e come affrontarla?
L’escalation dei privilegi è il processo che consente di ottenere l’accesso non autorizzato alle risorse di sistema con diritti più elevati. Una volta che un utente malintenzionato ottiene l’accesso a un sistema, inizia a cercare le vulnerabilità che gli consentiranno di aumentare i privilegi al livello di amministratore o ottenere l’accesso a dati sensibili. Ad esempio, se un sistema utilizza un componente software obsoleto, un utente malintenzionato potrebbe tentare di sfruttarlo per aumentare i diritti di accesso.
13. Qual è la vulnerabilità XXE?
XXE (XML External Entity) è una vulnerabilità che si verifica quando il server elabora input XML non sicuri. Un utente malintenzionato potrebbe inserire entità esterne nell’input XML che verrebbe elaborato dal server, il che potrebbe comportare la divulgazione di informazioni sensibili, l’esecuzione di codice arbitrario o l’invio di richieste dannose a risorse esterne per conto del server.
14. Cos’è l’intercettazione dei pacchetti di rete?
Lo sniffing dei pacchetti di rete è il processo di acquisizione dei dati trasmessi su una rete. Viene utilizzato per diagnosticare, monitorare e analizzare il traffico e può anche essere utilizzato per identificare vulnerabilità e ottenere informazioni sensibili.
15. Come spieghi la vulnerabilità XSS a qualcuno senza conoscenze tecniche?
XSS è una vulnerabilità in cui un utente malintenzionato può inserire codice dannoso in un sito Web. Questo codice verrà eseguito nel browser dell’utente, il che può portare al furto di dati, al dirottamento della sessione o alla modifica delle impostazioni dell’utente a sua insaputa.
Il ruolo di un hacker white hat richiede un costante sviluppo personale e un adattamento al panorama delle minacce informatiche in rapida evoluzione.
Un colloquio di successo dipende non solo dalle competenze tecniche, ma anche dalla capacità del candidato di dimostrare passione per l’apprendimento di nuove tecnologie, volontà di risolvere problemi complessi e capacità di lavorare in gruppo.
L'articolo Le 15 Risposte che ti faranno Assumere ad un Colloquio Tecnico per un Ruolo da Pen Tester proviene da il blog della sicurezza informatica.
Rust contro i bug di Memoria del Firmare. Riscrivere in logica Shim le librerie è la chiave
Google ha sostenuto l’implementazione di Rust nel firmware di basso livello, promuovendo la traduzione del codice legacy come mezzo per combattere i bug che minacciano la sicurezza dell’accesso alla memoria.
In un nuovo post sul blog, il team di Android sostiene che il passaggio da C o C++ a Rust nel firmware esistente fornirà garanzie di sicurezza della memoria a livelli inferiori al sistema operativo che non dispone di standard di sicurezza.
Secondo gli esperti, la perdita di produttività in questo caso è trascurabile, anche la dimensione dei codici Rust è comparabile, l’importante è sostituire i codici base per gradi, iniziando con quelli nuovi e più critici. Il processo non richiederà molti sforzi e nel tempo il numero di vulnerabilità di accesso alla memoria sarà significativamente ridotto.
Riscrivere gradualmente il codice delle librerie utilizzando la logica Shim
Per facilitare la transizione, è possibile ad esempio, creare un sottile strato Rust, il preloader Shim , che copierà l’API C ed esporterà per la base di codice esistente. “Shim funge da wrapper attorno all’API della libreria Rust, collegando l’API C esistente e l’API Rust”, spiegano gli esperti. “Questo è quello che si fa di solito, riscrivendo le librerie o sostituendole con un’alternativa a Rust.”
Secondo Google, fino a poco tempo fa, i bug di sicurezza nella memoria erano la principale fonte di vulnerabilità in Chrome e Android. Grazie all’implementazione di linguaggi di programmazione in grado di liberare i prodotti da questa piaga, tra il 2019 e il 2022 il numero annuo di tali errori nel sistema operativo mobile è stato ridotto da 223 a 85.
L’anno scorso, Microsoft ha avviato il processo di migrazione del kernel di Windows su Rust.
La versione 11 della build del sistema operativo, rilasciata a maggio 2023, conteneva driver in questo linguaggio. Allo stesso tempo, si è saputo dei piani del colosso tecnologico per aumentare in modo simile la sicurezza del processore Pluton, che non ha ancora trovato un utilizzo diffuso.
Rust la chiave dei bug di memoria
Il linguaggio di programmazione Rust è stato progettato per risolvere problemi legati alla sicurezza della memoria e alla gestione concorrente dei dati, affrontando alcune delle vulnerabilità più comuni presenti in linguaggi come C e C++. Ecco i principali tipi di bug che Rust risolve:
1. Bug di gestione della memoria (Memory Safety Issues)
- Dereferenziazione di puntatori nulli (Null Pointer Dereference): In linguaggi come C e C++, è comune che i puntatori nulli causino crash del programma o comportamenti imprevisti. Rust previene questo problema usando il tipo Option, che fornisce un modo sicuro di gestire valori che potrebbero essere nulli.
- Use-After-Free: Questo bug si verifica quando un programma tenta di accedere a un’area di memoria che è già stata liberata. In Rust, grazie al sistema di proprietà (ownership) e al concetto di borrow checker, non è possibile accedere alla memoria dopo che è stata rilasciata.
- Double Free: In C o C++, liberare la stessa area di memoria due volte può causare instabilità o vulnerabilità. Rust gestisce la liberazione della memoria in modo automatico e sicuro attraverso la sua gestione di ownership, prevenendo il rischio di liberazioni multiple della stessa risorsa.
2. Race conditions e problemi di concorrenza (Concurrency Bugs)
- Data Race: Una data race si verifica quando due thread accedono contemporaneamente alla stessa memoria, con almeno uno che esegue un’operazione di scrittura, senza la necessaria sincronizzazione. Rust usa tipi come Mutex e RwLock, e il borrow checker assicura che le risorse condivise siano accessibili in modo sicuro, prevenendo le data race a compile-time.
- Thread Safety: Rust applica rigorose regole di concorrenza e sincronizzazione attraverso il sistema di tipi, assicurandosi che le risorse condivise tra thread siano sicure da usare.
3. Buffer overflow
- Questo è uno dei bug di sicurezza più comuni in linguaggi come C e C++, dove l’accesso a buffer di memoria oltre i limiti definiti può causare comportamenti imprevisti o vulnerabilità di sicurezza. Rust impedisce questo bug grazie al suo controllo rigoroso dei limiti degli array e delle slice, rendendo impossibile l’accesso fuori dai limiti a meno che non sia esplicitamente consentito.
4. Dangling Pointers
- Un dangling pointer è un puntatore che fa riferimento a una locazione di memoria che non è più valida. In Rust, il sistema di ownership impedisce la creazione di puntatori invalidi o di riferimenti a memoria liberata, eliminando i dangling pointers.
5. Memory Leaks
- Anche se Rust non garantisce di prevenire ogni perdita di memoria (poiché può esserci memoria ciclicamente referenziata che non viene rilasciata), è molto più difficile incorrere in memory leaks rispetto a linguaggi come C/C++. La gestione della memoria basata su ownership e il sistema di borrowing fanno sì che le risorse vengano rilasciate automaticamente quando non sono più utilizzate.
6. Errori di tipo (Type Safety Issues)
- Rust è un linguaggio fortemente tipizzato, e molte operazioni che in altri linguaggi potrebbero fallire a runtime vengono bloccate a compile-time. Questo impedisce errori legati al tipo di dati, come assegnare valori a variabili di tipo incompatibile o effettuare operazioni non valide tra tipi diversi.
7. Stack Overflow per ricorsione non controllata
- Rust include l’uso di tail-call optimizations per ridurre il rischio di overflow dello stack nelle funzioni ricorsive. Anche se non previene completamente il problema, il suo sistema di tipi e la gestione delle risorse rendono più facile evitare errori di questo tipo.
L'articolo Rust contro i bug di Memoria del Firmare. Riscrivere in logica Shim le librerie è la chiave proviene da il blog della sicurezza informatica.
Vittoria per la giustizia fiscale. La Ue «piega» Apple sulle tasse non pagate
@Notizie dall'Italia e dal mondo
Il nuovo articolo di @valori@poliversity.it
I “tax ruling” erano aiuti di Stato: Apple deve pagare 13 miliardi di euro all'Irlanda. Una vittoria storica per la giustizia fiscale
L'articolo Vittoria per la giustizia fiscale. La Ue «piega» Apple sulle tasse non pagate proviene da valori.it/ue-piega-apple-tasse…
Notizie dall'Italia e dal mondo reshared this.
"If another user interacting with the chatbot asked the ‘Victim’ where she lived, the chatbot could provide the Victim’s true home address followed by ‘Why don’t you come over?'"
"If another user interacting with the chatbot asked the ‘Victim’ where she lived, the chatbot could provide the Victim’s true home address followed by ‘Why don’t you come over?x27;"
Stalker Allegedly Created AI Chatbot on NSFW Platform to Dox and Harass Woman
"If another user interacting with the chatbot asked the ‘Victim’ where she lived, the chatbot could provide the Victim’s true home address followed by ‘Why don’t you come over?'"Jason Koebler (404 Media)
like this
reshared this
reshared this
ambiguità trenitalia
"se non si è ancora effettuato il check-in, è ammesso il cambio data e ora fino alle 23:59 del giorno precedente la data del viaggio, salvo diverse disposizioni regionali;
se non si è ancora effettuato il check-in, è ammesso il cambio ora fino alle 23:59 del giorno del viaggio, salvo diverse disposizioni regionali;"
da lefrecce.it/Channels.Website.W…
…confesso che ci ho messo unpo' a trovare la differenza
Adesso i droni assomigliano ai corazzati. La novità dall’Australia
[quote]Non solo droni iraniani, artiglieria e corazzati sudcoreani o, addirittura, caccia di quinta generazione turchi. C’è un’altra potenza regionale che, da qualche tempo, sta investendo con forza nel suo ecosistema difesa, ivi compreso uno stimolo all’innovazione dell’industria: l’Australia. Da
Bianca Berlinguer: “Boccia voleva dire che la sua nomina è stata bloccata da Arianna Meloni”
@Politica interna, europea e internazionale
Berlinguer: “Secondo Boccia la sua nomina è stata bloccata da Arianna Meloni” Si infittisce il giallo della mancata intervista di Maria Rosaria Boccia a È sempre Cartabianca: dopo le parole dell’aspirante consigliera dell’ex ministro della Cultura
Ephos porta l’Italia nel gotha delle start-up Nato. I 10 vincitori di Diana
[quote]L’italiana Ephos, azienda basata nel milanese dedita allo sviluppo di infrastrutture per tecnologie quantiche, è una delle più promettenti start-up dell’Alleanza Atlantica. È stata infatti una delle 10 giovani aziende selezionate da Diana (Defence innovation accelerator for the north Atlantic) per passare alla seconda fase del
Maria Rosaria Boccia e l’intervista saltata: “Volevano solo fare gossip, così m’hanno bloccata 2 ore in camerino”
@Politica interna, europea e internazionale
Maria Rosaria Boccia e l’intervista saltata: “Volevano solo fare gossip” Si tinge sempre più di giallo la mancata intervista di Maria Rosaria Boccia a È sempre Cartabianca: l’aspirante consigliera dell’ex ministro della Cultura Sangiuliano ha infatti
VIDEO. La Giordania al voto tra la guerra a Gaza e la crisi economica
@Notizie dall'Italia e dal mondo
Il 10 settembre si è votato nel regno hashemita segnato da manifestazioni e proteste per l'offensiva israeliana contro la Striscia e dall'insoddisfazione popolare per i rapporti con Tel Aviv e Washington. Ne abbiamo parlato con Mariam Abu Samra, ricercatrice presso le
VIDEO. La Giordania al voto tra la guerra a Gaza e la crisi economica
@Notizie dall'Italia e dal mondo
Il 10 settembre si è votato nel regno hashemita segnato da manifestazioni e proteste per l'offensiva israeliana contro la Striscia e dall'insoddisfazione popolare per i rapporti con Tel Aviv e Washington. Ne abbiamo parlato con Mariam Abu Samra, ricercatrice presso le
Diagnosi e strumenti del Rapporto Draghi. La guida di Braghini
[quote]L’atteso, denso e realistico Rapporto Draghi, pone i governi di fronte alla necessità di cambiamenti urgenti e radicali, spaziando da cauti dettagli tecnici a grandi iniziative pan-europee. In uno scenario europeo confuso e contrastato, la prudenza esige un approccio pragmatico che si soffermi sulla
Misure e contromisure. Ecco come Cina e Usa si sfidano sui droni
[quote]Cina e Stati Uniti si stanno preparando ai conflitti del futuro, sviluppando misure e contromisure per nuovi scenari tattici. In un’intervista rilasciata al notiziario di Stato cinese, un membro dell’Esercito popolare di liberazione (Pla) ha dichiarato che le esercitazioni anti-drone condotte dalle Forze armate di Pechino sono riuscite a
youtube.com/watch?v=sXEEjDn2qv…
lantidiplomatico.it/dettnews-m…
Perché Maria Rosaria Boccia ha deciso di rinunciare all’intervista: “Mi stai registrando?”. Il retroscena
@Politica interna, europea e internazionale
Perché Maria Rosaria Boccia ha deciso di rinunciare all’intervista Perché Maria Rosaria Boccia ha deciso all’ultimo momento di rinunciare all’intervista già fissata a È sempre Cartabianca? Sulla vicenda emergono diversi retroscena. “Non sono
Concita De Gregorio: “Maria Rosaria Boccia mi ha detto che non era l’amante di Sangiuliano”
@Politica interna, europea e internazionale
Maria Rosaria Boccia ora nega di essere stata l’amante dell’allora ministro della Cultura Gennaro Sangiuliano. Lo riferisce la giornalista Concita De Gregorio, che ha parlato con la donna prima della trasmissione tv È sempre Cartabianca, dove Boccia avrebbe
Giallo a “È sempre Cartabianca”: Maria Rosaria Boccia rinuncia all’intervista e resta nei camerini: “Non se la sente” | VIDEO
@Politica interna, europea e internazionale
Maria Rosaria Boccia rinuncia all’intervista a “È sempre Cartabianca” Si tinge di giallo la mancata intervista di Maria Rosaria Boccia a È sempre Cartabianca: l’aspirante consigliera dell’ex ministro della Cultura Sangiuliano,
50 miliardi per l’Africa, la Cina si rilancia
@Notizie dall'Italia e dal mondo
Nell'ultimo summit di Pechino con i paesi dell'Africa, la Cina ha promesso di finanziare con decine di miliardi le economie locali, puntando a rinsaldare la propria egemonia sul continente
L'articolo 50 miliardi per l’Africa, la Cina si rilancia proviene da pagineesteri.it/2024/09/11/afr…
Il calciomercato dei record serve a fingere di saper stare a galla
@Notizie dall'Italia e dal mondo
Il nuovo articolo di @valori@poliversity.it
Mai così tanti scambi nel calciomercato, necessari ai club solo per fingere di saper nuotare mentre in realtà stanno già annegando
L'articolo Il calciomercato dei record serve a fingere di saper stare a galla proviene da Valori.
La pochette di Cinzia Dal Pino
Cinzia Dal Pino è ricca e amante del ben vestire. Se dobbiamo fidarci della roba da lei stessa sparpagliata sul Libro dei Ceffi, uno stabilimento balneare a Viareggio assicura introiti sufficienti a frequentare taverne costose e a servirsi presso sarti dello stesso livello, qualsiasi cosa risulti ai servizi tributari.
I ricchi amanti del ben vestire indulgono con frequenza a un sistema di valori e credenze in cui la propensione a liberarsi in modo spiccio e cruento di qualsiasi presenza sgradita gode di aperta approvazione sociale. La corrente mentalità versiliese inoltre è caratterizzata da una venalità deteriore che si accorda ottimamente con il resto del quadro: nessuna meraviglia che Cinzia Dal Pino si sia rivalsa di una rapina uccidendo a freddo Said Malkoun (alias di Nourdine Mezgoui, risulterà poi) straziandolo con una costosissima autovettura e recuperando poi la propria pochette.
Testa per dente, come nella prassi quotidiana dei sionisti e degli "occidentali" in genere.
Da una col diploma di ragioniere.
Da una col diploma di ragioniere e con i cassetti pieni, di pochette.
Solo che la ben vestita Cinzia non aveva messo in conto la morbosa curiosità della gendarmeria, che l'avrebbe beccata senza il minimo sforzo e che di lì a qualche ora l'avrebbe accompagnata in un posto dove le pochette servono a poco, dove difficilmente si fa sfoggio di eleganza e dove altrettanto difficoltoso è l'accesso a pietanze ricercate. L'esecutivo di Roma non ha ancora depenalizzato l'omicidio volontario per motivi futili e abietti, e fino a oggi si è anche malauguratamente dimenticato di includere la superiorità razziale tra le attenuanti generiche.
A fronte di questa seccante situazione Cinzia cincischia, annaspa, almanacca e pinzimonia per giustificare il non giustificabile.
Sono state pochette anche le sue argomentazioni, insomma.
In un contesto in cui la pochezza è fra le caratteristiche essenziali.
Alzatisi dal letto presumibilmente a ore ignobili e preparatisi al turno in sale da bagno che le Dal Pino nemmeno si degnerebbero di frequentare, i gendarmi non devono aver gradito molto.
Nonostante il web sia stato lordato da molti apologeti, la signora Dal Pino ha davanti un futuro piuttosto magro.
Post scriptum. Secondo il "Corriere Fiorentino" Cinzia Dal Pino aveva passato la serata in un posto dove cuociono pesci e li vendono a prezzi molto alti.
Siccome pioveva, le avevano prestato un ombrello.
Dopo aver recuperato la pochette, Cinzia è tornata a restituirlo.
Un senso della cortesia e delle priorità che rivela un mondo intero.
Con il Piano Draghi rischiamo di dire addio alla responsabilità delle imprese
@Notizie dall'Italia e dal mondo
Il nuovo articolo di @valori@poliversity.it
Nel rapporto Draghi sulla competitività europea, due diligence e rendicontazione di sostenibilità sono descritte come oneri eccessivi per le imprese
L'articolo Con il Piano Draghi rischiamo di dire addio alla valori.it/rapporto-draghi-resp…
𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻💻🍕 reshared this.
ifanews.it/italia-nostra-ha-de…
esiste la ricerca 4, napoli, teatro galleria toledo, 6-7 settembre 2024: non un resoconto, alcuni link però sì
slowforward.net/2024/09/10/esi…
alcune cose di cui si è parlato a ELR 4
(o nelle quali sono coinvolti i partecipanti all’incontro di napoli)motto distribution
mottodistribution.com/site/printed matter
printedmatter.org/luciano neri, upday
scalpendi.eu/catalogo/assembla…
un estratto: leparoleelecose.it/?p=46938loose writing
puntocritico2.wordpress.com/20…letteratura elettronica italia (a cura di roberta iadevaia)
discord.com/channels/885867681…
facebook.com/LEIcollettivo/poème de terre (a cura di fabrizio pelli)
poemedeterre.wordpress.com/il faldone di vincenzo ostuni
faldone.it/gammm (a cura di giovenale, guatteri, raos, zaffarano)
gammm.orgniederngasse (a cura di paola silvia dolci)
niederngasse.it/multiperso (a cura di carlo sperduti)
multiperso.wordpress.com/blunder (a cura di daniele bellomi)
blunder.online/la morte per acqua (di antonio francesco perozzi)
lamorteperacqua.wordpress.com/stellare nero, di alessandra greco
benwayseries.wordpress.com/202…carta da viaggio / alight, di pietro d’agostino
benwayseries.wordpress.com/201…il volo degli uccelli, di giulio marzaioli
benwayseries.wordpress.com/201…olocausto, di charles reznikoff
benwayseries.wordpress.com/201…waste compost radio (a cura di daniela allocca e alan alpenfelt)
daniela-allocca.com/projects-r…
luganolac.ch/it/lac/programma/…il sito di daniela allocca
daniela-allocca.com/riot studio
facebook.com/riotstudio
riotstudio.it/§
editori e collane presenti a napoli o comunque coinvolti
benway series (tielleci)
benwayseries.wordpress.comsyn _ scritture di ricerca (ikonalíber)
ikona.net/category/edizioni-ik…tic edizioni
ticedizioni.com/manufatti poetici (zacinto)
https://www.facebook.com/profile.php?id=61564576784267 + instagram.com/manufatti_poetic…
(zacintoedizioni.com/ / ibs.it/libri/collane/manufatti…)[dia•foria (dreambook)
diaforia.org/diaforiablog/pubb…pièdimosca edizioni
piedimoscaedizioni.com/déclic
declicedizioni.it/la camera verde
lacameraverde.org/fondazione atonal
facebook.com/FondazioneAtonal/edizioni centroscritture
centroscritture.it/catalogo-ed…edizioni prufrock spa
edizioniprufrockspa.com/argo
argonline.it/catalogo-argolibr…§
il blog di elr è
mtmteatro.it/progetti/esiste-l…il gruppo fb di elr è
facebook.com/groups/esistelari…slowforward.net/2024/09/10/esi…
#000000 #67Settembre #999999 #ELR4 #EsisteLaRicerca #Napoli #scrittureComplesse #scrittureDiRicerca #scrittureSperimentali
BLUNDER - parole in transito.
Spazio web che si occupa di poesia italiana e inglese, traduzioni, scritture complesse, visual poetry, immaginari. A cura di Daniele Bellomi.blunderadmin (BLUNDER.online)
reshared this
Lo sai che puoi salvare messaggi in bozza su Mastodon, anche se non usi app come Fedilab e Tusky?
Ecco come salvare una bozza su #Mastodon:
1) Seleziona la modalità "solo persone menzionate"
2) Scrivi il messaggio SENZA MENZIONARE NESSUNO
3) Pubblica il messaggio (siccome non hai menzionato nessuno, solo tu vedrai il tuo messaggio)
4) Aggiungi un segnalibro al messaggio (così potrai trovarlo nella sezione "segnalibri")
COMPLIMENTI: HAI SALVATO IL TUO MESSAGGIO!
Per riaprirlo potrai cliccare sul menu e
1) cliccare "modifica" se vuoi solo modificare
2) cliccare su "elimina e riscrivi" per cambiare la visibilità da "Solo utenti menzionati" a quella che vuoi tu e pubblicare.
like this
reshared this