Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati compromessi. In questo contesto, sempre più aziende stanno passando a un sistema di accesso senza password, non solo per comodità, ma anche per sopravvivere nella nuova realtà.
Uno dei segnali più allarmanti è stata l‘apparizione di una macchina di hacking automatizzata Atlantis AIO. È in grado di lanciare attacchi a oltre 140 servizi online, dalla posta allo streaming fino alla consegna di cibo. Funziona così: milioni di login e password rubati vengono acquistati sul darknet, dopodiché la macchina inizia a testarli in massa in modalità automatica. Atlantis dispone di moduli appositamente studiati per servizi specifici, con la possibilità di aggirare i CAPTCHA, intercettare le caselle di posta e persino ripristinare automaticamente l’accesso. Tutto ciò rende il furto di account non solo possibile, ma anche più scalabile che mai.
Gli esperti di Abnormal Security lo dicono chiaramente: questi strumenti trasformano anche i più inesperti pirati informatici in una minaccia a livello aziendale. Sono particolarmente vulnerabili gli account che utilizzano le stesse password, combinazioni deboli o una protezione a due fattori obsoleta. Secondo un nuovo rapporto di HYPR, il 49% delle aziende ha già subito violazioni dovute a vulnerabilità nei sistemi di identità e il 47% degli attacchi informatici è direttamente correlato alla compromissione delle password.
Ma ci sono anche buone notizie. Sempre più aziende stanno passando a metodi di accesso senza password, tra cui le passkey (chiavi di accesso) secondo lo standard FIDO. Tali tecnologie sono già supportate sia da Microsoft che da Google. HYPR chiama questo fenomeno “Rinascimento dell’identità”, in cui la sicurezza non è determinata dalla complessità della password ma dalla sua generale resistenza agli attacchi informatici.
Microsoft ha annunciato il lancio di un nuovo metodo di accesso per oltre un miliardo di utenti. Entro la fine di aprile, la maggior parte degli utenti Windows, Xbox e Microsoft 365 riceverà un’interfaccia aggiornata che darà priorità alla passkey rispetto alla password. Inoltre, se crei un nuovo account, non dovrai più pensare a una password: ti basterà inserire il tuo indirizzo email e confermarlo con un codice. In futuro il sistema offrirà la possibilità di salvare la passkey come metodo di accesso principale.
Google, a sua volta, ha ampliato l’area geografica di distribuzione delle sue chiavi di sicurezza fisiche Titan: ora sono disponibili in 22 Paesi, tra cui Australia, Irlanda, Singapore e Paesi Bassi. Sebbene l’utilizzo di tali chiavi sia meno comodo di quello di un passkey, aumenta notevolmente il livello di protezione.
Il risultato è semplice. Mentre alcune aziende stanno aggiornando i propri sistemi di sicurezza, altre continuano a vivere nel passato, affidandosi a password e a forme deboli di protezione a due fattori. E sono proprio queste organizzazioni le prime a essere attaccate. Abbandonare le password non è più un’utopia, ma un passo necessario da compiere subito.
@Informatica (Italy e non Italy 😁) Che cosa emerge dall'Annual Threat Assessment 2025 pubblicato dall’Office of the Director of National Intelligence. L'intervento di Francesco D'Arrigo
Il gruppo Hellcat si ritrova al centro delle indagini di KELA, che ha rivelato le vere identità di due personaggi chiave, “Rey” e “Pryx”.
Originariamente il gruppo era noto come ICA Group, ma verso la fine del 2024 operava con il nuovo marchio Hellcat, dimostrando un elevato livello di coordinamento e aggressività. Il gruppo ha acquisito notorietà per attacchi di alto profilo come Schneider Elettric, Telefonica e Orange Romania.
Rey ha iniziato la sua carriera con il nome di “Hikki-Chan” sul forum BreachForums, dove pubblicava presunte fughe di notizie esclusive, alcune delle quali si sono poi rivelate essere delle rivendite di vecchi dati. Nonostante la sua reputazione danneggiata, Rey continuò le sue attività sotto un nuovo soprannome e divenne l’amministratore di Hellcat.
Rey ha utilizzato attivamente Telegram e il social network X per pubblicare fughe di notizie e criticare gli operatori delle telecomunicazioni, nonché per distribuire messaggi e strumenti di attacco informatico. Affermava di essere specializzato in crittografia e iniziò la sua carriera di hacker deturpando i siti web. Tra i suoi metodi, spiccano in particolare le seguenti tattiche: sfruttare i dati jira per accedere alle informazioni aziendali.
Utilizzando i dati provenienti dall’archivio di KELA, è stato possibile stabilire che Rey è stato infettato due volte dagli infostealer Redline e Vidar all’inizio del 2024.
Uno dei computer infetti sembra essere stato condiviso con i membri della sua famiglia. Questo è ciò che ha portato a stabilire un collegamento con un giovane di nome Saif, originario di Amman, in Giordania, la cui identità potrebbe corrispondere a quella di Rey. In precedenza aveva utilizzato gli alias “ggyaf” e “o5tdev“, partecipando attivamente ai forum RaidForums e BreachForums e dichiarando inoltre di essere affiliato ad Anonymous Palestine.
Il secondo membro di Hellcat è Pryx, che ha iniziato le sue attività nell’estate del 2024. È passato rapidamente dalle fughe di notizie dalle istituzioni educative agli attacchi ai sistemi governativi nei paesi del Golfo e dei Caraibi e, in seguito, alle aziende private. Inoltre, Pryx ha sviluppato il proprio ransomware basato su AES256 e ha scritto guide per forum, tra cui XSS. Gestiva anche i siti web pryx.pw e pryx.cc.
Secondo KELA, Pryx parlava arabo ed era coinvolto nel carding dal 2018. Ha rilasciato dichiarazioni offensive e provocatorie, tra cui una minaccia di attaccare l’Università di Harvard. Uno degli sviluppi di Pryx è stato un server stealer che sfrutta i servizi Tor per accedere segretamente ai sistemi infetti. Questa tattica ha consentito all’aggressore di ridurre al minimo le tracce ed evitare di essere scoperto, trasmettendo i dati al proprio server senza connessioni in uscita attive.
L’analisi tecnica di uno degli strumenti malware Pryx ha portato al dominio pato.pw, precedentemente posizionato come risorsa per i ricercatori di sicurezza. Tuttavia, le somiglianze nei contenuti e nel codice hanno permesso di collegare direttamente il sito a Pryx. Il sito ospitava guide e istruzioni, i cui contenuti apparivano poi sui forum sotto il suo nickname. Sono stati trovati anche repository GitHub e indirizzi email che corrispondevano ai dati di Telegram e di altre fonti, indicando una persona di nome Adem, che vive negli Emirati Arabi Uniti.
Un’analisi più approfondita ha rivelato la connessione di Pryx con un altro pirata informatico — WeedSec. Tramite Telegram siamo riusciti a trovare account, corrispondenza con un altro amministratore di BlackForums e partite che utilizzavano gli stessi dati di accesso. È stato anche confermato che questa persona aveva utilizzato il nome Adem in altri contesti, rafforzando ulteriormente il collegamento tra Pryx e la persona reale.
Nonostante il loro progresso tecnologico e la loro aggressività, entrambi i membri di Hellcat alla fine sono rimasti vittime degli stessi infostealer su cui facevano affidamento per le loro attività di criminalità informatica. Ciò ha permesso ai ricercatori di stabilire connessioni chiave e forse avvicinarsi alla de-anonimizzazione di uno dei gruppi di hacker più importanti degli ultimi anni.
Mozilla ha rilasciato aggiornamenti di sicurezza per correggere una vulnerabilità critica che ha interessato il browser Firefox su Windows. Questo intervento arriva pochi giorni dopo che Google ha risolto una falla simile su Chrome, precedentemente sfruttata attivamente come zero-day.
Un attacco riuscito potrebbe consentire a un processo figlio compromesso di ottenere privilegi elevati dal processo principale, determinando l’uscita dalla sandbox. La vulnerabilità, che ha interessato sia Firefox che Firefox ESR, è stata risolta con le versioni Firefox 136.0.4, Firefox ESR 115.21.1 e Firefox ESR 128.8.1.
La vulnerabilità, identificata come CVE-2025-2857, è stata descritta come un errore nella gestione dei permessi, il quale potrebbe portare a una fuga dalla sandbox di sicurezza.
“In seguito alla recente violazione della sandbox di Chrome (CVE-2025-2783), diversi sviluppatori di Firefox hanno individuato un problema analogo nel nostro sistema di comunicazione inter-processo (IPC)”, ha dichiarato Mozilla in un comunicato.
Anche il team del progetto Tor ha rilasciato un aggiornamento di sicurezza per Tor Browser (versione 14.0.8) per proteggere gli utenti Windows dalla stessa falla.
Nel frattempo, Google ha distribuito la versione 134.0.6998.177/.178 di Chrome per correggere CVE-2025-2783, che è stata sfruttata in attacchi mirati contro media, istituzioni accademiche e enti governativi in Russia.
la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto la falla al suo catalogo delle vulnerabilità note sfruttate (KEV), richiedendo alle agenzie federali di applicare le misure di mitigazione necessarie entro il 17 aprile 2025.
Il gruppo informatico cinese UNC3886 ha hackerato i vecchi router MX di Juniper Networks utilizzando backdoor nascoste. Secondo i datiMandiant, gli aggressori utilizzano backdoor attive e passive, disabilitano la registrazione e mantengono l’accesso alle reti delle vittime.
UNC3886 è noto dal 2022 e attacca i dispositivi di rete e la virtualizzazione, prendendo di mira aziende di difesa, tecnologia e telecomunicazioni negli Stati Uniti e in Asia. I dispositivi sul perimetro della rete solitamente non vengono monitorati, il che consente agli hacker di agire inosservati.
Gli ultimi attacchi utilizzano backdoor basate su Tiny SHell. Consentono di caricare e scaricare file, intercettare pacchetti, infiltrarsi nei processi di Junos OS ed eseguire comandi. Gli hacker criminali quindi aggirano la sicurezza di Junos OS Verified Exec utilizzando credenziali rubate per iniettare codice nei processi di sistema.
L’obiettivo principale degli attacchi è disattivare la registrazione prima di connettere l’operatore e ripristinarla una volta completato il lavoro.
Oltre alle backdoor, UNC3886 utilizza i rootkit Reptile e Medusa, le utilità PITHOOK (per rubare le credenziali SSH) e GHOSTTOWN (per rimuovere le tracce degli attacchi).
Gli esperti consigliano di aggiornare Juniper MX alle versioni più recenti e di utilizzare Juniper Malware Removal Tool (JMRT). È inoltre importante rafforzare il monitoraggio dell’attività di rete e utilizzare strumenti di rilevamento delle anomalie per prevenire attacchi simili in futuro.
Alla fine c'è qualche nota di troppo, è vero, ma come dicevano i latini, "melius abundare quam deficere" 😃At the end there are some keys more than it should but as Latins said, "melius abundare qua...
il giorno del ringraziamento sarà chiamato "giorno del grande affare" e le mutande dovranno essere portate sopra i pantaloni. il giorno del ringraziamento sarà spostato alla data di compleanno di trump. sulla luna sarà scolpita la sua faccia.
#NoiSiamoLeScuole, il video racconto di questa settimana è dedicato a due Nuove Scuole nel Veneto: la Primaria “Alfredo Fabris” di Zugliano (VI) e la Secondaria di I grado “Don Lorenzo Milani” di Zanè (VI), che, con i fondi #PNRR finalizzati alla cos…
#NoiSiamoLeScuole, il video racconto di questa settimana è dedicato a due Nuove Scuole nel Veneto: la Primaria “Alfredo Fabris” di Zugliano (VI) e la Secondaria di I grado “Don Lorenzo Milani” di Zanè (VI), che, con i fondi #PNRR finalizzati alla cos…
📣 Contrasto ai diplomifici, reclutamento docenti e diritto allo studio: oggi il Consiglio dei Ministri ha approvato il decreto-legge #PNRR con una serie di misure strategiche per la #scuola.
📣 Contrasto ai diplomifici, reclutamento docenti e diritto allo studio: oggi il Consiglio dei Ministri ha approvato il decreto-legge #PNRR con una serie di misure strategiche per la #scuola.
Qui tutti i dettagli ▶️ https://www.mim.gov.
Sono numeri positivi quelli con cui l’azienda campana Ala, specializzata nella logistica integrata e nella distribuzione di componentistica per l’industria aeronautica e aerospaziale, chiude il 2024. A dimostrarlo il bilancio consolidato presentato dal Consiglio di amministrazione che registra un
@Politica interna, europea e internazionale La segretaria del Partito democratico (Pd), Elly Schlein, ha attaccato la presidente del Consiglio, Giorgia Meloni, per le dichiarazioni rese in un’intervista al The Financial Times in cui definiva “infantile”
SCANDALO UE: 7° AUMENTO DI STIPENDIO Mentre i cittadini europei soffrono rincari e crisi, i 66.000 parass… ehm dipendenti UE si godono un nuovo, vergognoso aumento ad aprile: il settimo dal 2022! Si tratta degli arretrati del 2024, quando avrebbero dovuto ricevere un aumento del +8,5%. Nello stesso periodo (fonte: OCSE e Eurostat), i salari reali (al netto dell’inflazione) in Italia sono diminuiti del 7%.
Ecco i numeri scandalosi della Ue: - Lo stipendio minimo sale da 3.361€ a 3.645€; - Il massimo schizza da 23.262€ a 25.229€; - Von der Leyen incasserà 34.800€/mese (+2.700€), i commissari 28.400€ (+2.200€).
Il meccanismo? una formula del tutto imperscrutabile. E la farsa continua: nel 2025 potrebbero arrivare ulteriori 3 aggiustamenti. L’Europa premia sé stessa mentre danneggia i cittadini.
A cura di Leonardo Musci e di Alessandra Cavaterra Dal 28 marzo al 2 aprile 2025, dalle ore 9:30 alle ore 13.00, previa prenotazione scrivendo a ramus@fondazioneluigieinaudi.it Presso l’Ordine degli Ingegneri della Provincia di Milano Viale Andrea Doria, 9 – Milano L'articolo Mostra “Giovanni Malagodi un
Lo sciopero generale dei metalmeccanici è la migliore risposta alla prepotenza dei padroni di Federmeccanica. Le motivazioni dello sciopero dei metalmeccanici sono sacrosante. La chiusura del padronato è inaccettabile. Il silenzio della ministra del lavoro e del governo su questa vertenza conferma che la destra sta dalla parte dei padroni. Il padronato nega a 1.900.000 [...]
Dall’inizio del conflitto in Ucraina, i droni marittimi (più correttamente definiti Unmanned Surface Vessels, o Usv) sono stati impiegati in modo sempre più efficace dalle forze di Kyiv nel disturbare le operazioni navali russe nel Mar Nero, fornendo all’Ucraina un mezzo economicamente vantaggioso per
@Notizie dall'Italia e dal mondo Non esiste la ricerca di un percorso trasformativo collettivo, proprio come il sistema si auspica. Ma non esiste neanche la fermezza critica di menti pensanti capaci di mantenere linearità di analisi e solidità di approccio. Non esiste alternativa
Verdad y Libertad, pseudoterapie riparative, vescovo di Palermo ne testa la correttezza: la diocesi non smentisce
Vescovo Corrado Lorefice e vicario per la pastorale Giuseppe Vagnarelli, organizzatore dell'incontro pubblico, che hanno introdotto e concluso i lavori, interpellati come diocesi dal pubblico, non hanno dato alcuna smentita, dopo 7 mesi di silenzio dagli articoli di stampa nazionale e internazionale dell'estate scorsa.
Giovedì 27 marzo 2025 pomeriggio, nella chiesa parrocchiale di Santa Caterina da Siena in via dell'Airone a Borgo Ulivia, la diocesi di Palermo ha tenuto un «aggiornamento teologico per laici», ad accesso pubblico, su «accompagnamento e accoglienza delle persone omosessuali».
Presenti almeno 150 persone in sala, tra cui il vescovo che ha lungamente aperto l’incontro, il vicario per la pastorale, l’addetto stampa del vescovo e una giornalista. Ho atteso il momento delle domande, e, al mio turno ho posto la seguente domanda:
9 settembre 2017, Bagheria, in una parrocchia, nel territorio della nostra arcidiocesi,
«a 20 anni, il rito iniziale: essere rinchiuso in uno stanzino buio, con una lista scritta di cose che devo lasciare fuori dalla porta, come l'attrazione per lo stesso sesso; qualcuno poi apre la porta, ti dice: "Vuoi venire alla luce?", rispondi di sì, esci dalla porta e metti dei lucchetti simbolici: al sesso, alla masturbazione. A questi momenti comunitari c'erano persone da diverse parti del mondo che si collegavano online per seguire».
Incontri successivi sempre
«seguiti non da professionisti ma daI fondatore.
Tappa obbligatoria - viaggio di una settimana a Granada a spese del seminario, dove gli incontri si tengono a casa di Miguel Angel Sanchez Cordòn, pediatra ex gay:
bagno in piscina tutti nudi; dover stare tutti nudi a guardarsi, per educare il corpo a non eccitarsi.
Essere obbligato a mettere in scena il proprio funerale: mettere su carta i tuoi difetti percepiti, come "omosessualità", "abominio", "falsità"; bruciarli, obbligato poi a seppellirne le ceneri sotto la tua lapide simbolica, disegnata da te, col tuo nome.
Ogni sera, dover fare un report via telegram se si sono avute delle minime pulsioni o erezioni; se accade, devi scriverlo sul gruppo in diretta e tutti cominciano a mandare messaggi di sostegno e preghiere collettive».
«Sentirsi intrappolato senza altra scelta se non quella di sopprimere il mio vero sé».
«Insormontabile pressione psicologica ad essere qualcuno che non ero».
E, poi, come effetti, «attacchi di panico», e, per i 7 anni successivi, «crisi di ansia e ira improvvisa».
che nel 2017 incontri di questo che lui chiama«percorso formativo»della durata di un anno, che avrebbe come«obiettivo una piena maturità umana e affettiva», si sono tenuti anche a Palermo;
che l'arcivescovo di questa diocesi, Palermo,«ha voluto partecipare» a qualche incontro per «testarne la correttezza»;
che«la parola definitiva se affidare o meno seminaristi» del seminario della propria diocesi a un percorso di questo genere «è del vescovo».
La diocesi smentisce?
Dopo il giro delle risposte di competenza dei tre relatori esterni, ha preso la parola il vicario per la pastorale Giuseppe Vagnarelli, per ringraziare e salutare, quindi una lunga preghiera condotta personalmente dall'arcivescovo Corrado Lorefice, e tutte e tutti a casa. Nessuno dei due ha minimamente toccato il tema. Nessuna smentita, quindi.
@informapirata ⁂ a me delirante sembra la mancata smentita - quindi ammissione che così sia andata; delirante il mancato fare ammenda; delirante che, come risposta, non aprano gli archivi dei seminari vescovili di Agrigento e Palermo a una commissione indipendente che faccia chiarezza e ricostruisca la vicenda andando a cercare una per una le decine di persone offese, che loro sanno perfettamente chi sono e noi no; delirante che se ne occupi stampa nazionale e internazionale, ma che, con l'unica eccezione di Claudia Fauzia, nessuno della stampa locale senta l'esigenza di intervistare, indagare, chiedere smentite ai varii Lorefice, Vagnarelli, Montenegro e ai rettori del seminario di Palermo di allora e di ora.
La dimensione subacquea del dominio marittimo assume oggi una rilevanza strategica sempre più decisiva, ponendosi al centro di nuove dinamiche geopolitiche globali. Le infrastrutture critiche poste sui fondali marini – gasdotti, oleodotti e
@Privacy Pride Il post completo di Christian Bernieri è sul suo blog: garantepiracy.it/blog/lacqua-c… Si, Claudia Giulia, hai capito bene, Stroppa ha detto che può accedere a qualsiasi dato personale degli utenti di twitter/x in modo arbitrario, inclusi quelli non pubblicamente visibili. Può vedere la reale identità degli utenti pseudonimi, che lui maccheronicamente chiama anonimi, può
@Notizie dall'Italia e dal mondo Chi vuole partire viene condotto al transito di Kerem Shalom. Dopo l'ispezione, prosegue verso Rafah, il ponte di Allenby o l'aeroporto di Ramon. A tutti verrebbe detto che «non è certo» che potranno tornare a Gaza L'articolo Come
@Politica interna, europea e internazionale L’idea che l’Italia debba scegliere tra gli Stati Uniti e l’Europa è “infantile” e “superficiale”, visto che Washington e il
Ecco, stiamo con i cattivi della storia. Capisco la voglia di mediare, ma non sta mediando una beneamata cippa, ci stiamo beccando dazi e insulti e noi a quanto pare ci pieghiamo pure a 90
@gildadriel @Tototun non c'è niente da fare... il trenino italiano, fintanto che non viene fatto deragliare, viaggia sempre ostinatamente verso la parte sbagliata della storia
Non siamo solo noi, le nazioni europee da tempo sono incapaci di esprimere qualcosa che non sia la sottomissione acritica e incondizionale agli USA.
Pensa alla Danimarca, che ha confermato da poco l'acquisto degli F35, cioé regalare miliardi a un paese che sta minacciando di invadere parte del suo territorio.
Alcuni dicono che è vero, altri dicono il contrario. Ma di fatto dipendere da ricambi e sopratutto software e telemetria gestiti dagli USA renderebbe quegli F35 estremamente ineffettivi.
Ad ogni modo l'Europa non può competere militarmente con gli Stati Uniti, a partire dal piccolo dettaglio che abbiamo le loro basi piazzate in casa.
@alfredon996 dal canto mio non credo dovremmo cercare la competizione militare, ma almeno l'indipendenza sul piano della difesa. Affidarsi ad un "alleato" che si è dimostrato inaffidabile più volte non è il massimo. Possiamo farci andare bene il fatto di essere affiliati agli USA, ma possiamo farci stare un po' meno bene l'idea di dover dipendere da loro per la nostra sicurezza.
“È necessario sviluppare una coscienza civica sul fenomeno dell’abuso del digitale e della conseguente incapacità di scrivere a mano che oggi riguarda tutti, ma che coinvolge soprattutto i più giovani. Penso che sul piano delle politiche pubbliche questo tema possa essere trattato in modo ancora più
DAL 2003, SLOWFORWARD (=slowforward.net) è il sito più testardo, aggiornato (e anziano) su #scritture di ricerca, #arte contemporanea, #musica sperimentale, materiali verbovisivi, #asemic writing, #poesia concreta, #prosa in prosa, prose brevi, scritture non assertive, e molto altro:
Mentre negli USA ci si avvia a passi rapidissimi verso un regime paradittatoriale la nostra presidente del consiglio si dichiara d'accordo con il vicepresidente di quel regime, Vance. Da chi frequenti si capisce chi o cosa sei.
Ecco perché secondo me #Librewolf non è, al momento, una vera alternativa a #Firefox.
L'ho installato su un PC al lavoro su cui precedentemente usavo Firefox.
Ecco come si presenta il mio client #zimbra su librewolf (prima immagine) rispetto a come si vede su Chrome (seconda immagine).
Sì, ok, non si muore, ma se si moltiplicano queste piccole cose per le centinaia di siti che uso durante la settimana, diventano una grande cosa.
Io mi auguro che dal codice di Firefox nasca qualcosa di nuovo, o forse di vecchio, come era Firefox un tempo. Che sia librewolf, waterfox o qualcos'altro.
Ma la strada da fare è ancora tanta per me, e in salita.
Franz Bartelt – Colpo gobbo freezonemagazine.com/rubriche/… Eccolo lì, l’idiota! Sbronzo marcio. Attorniato da un branco di ubriachi ancora più fatti di lui. Non l’avevo mai visto, in città. Ho chiesto a Coso chi fosse. Non ne sapeva niente neanche lui. Ho ordinato un’altra birra. Quello si vantava. Della sua grana: non parlava d’altro. E doveva averne, visto che pagava da bere, […] L'articolo Franz Bartelt – Colpo gobbo proviene da FREE ZONE MAGAZINE.
The ATmosphereConf was last weekend, independent relays are starting to appear, and more.
Conference
This weekend was the first ATProto conference, the ATmosphereConf, in Seattle. Over two days there were a large number of speakers and sessions, with over 150 people in attendance, and a significant number watching the live streams as well. I could not make it to the US, so for a full overview of the event, I recommend this extensive article by TechCrunch’ Sarah Perez, who was present at the event. The entire event was livestreamed, and all talks can be viewed via this YouTube playlist.
Some assortment of thoughts I had while watching the livestream and VODs over the last few days:
Bluesky CEO Jay Graber gave a short speech, about her background as a digital rights activist, and how she is now “holding the door open, so people can see another world is possible”. Graber is clearly aware of her position, where she is seen as a figurehead of the network, while also wanting to build a decentralised network where there is place for competing platforms. Being a figurehead of a network, without becoming the de facto leader of the network, while also holding the leadership position of by far the largest organisation in the network, is a challenging position to balance.
Bluesky CTO Paul Frazee talked about where Bluesky came from and where it is going. One of the things he talked about is the consideration of why Bluesky decided on their own protocol and not ActivityPub. His answer focuses on practical considerations, especially how ActivityPub handles identity and account migration. Watching the ATProto Ethos talk by Bluesky protocol engineer Daniel Holmgren it struck me that the question could also be framed as a matter of lineage. Holmgren talks about how ATProto takes inspiration from the Web, Peer to Peer systems as well as Distributed Systems. Placing it in such a context makes it clear that ATProto has quite a different background and other ways of thinking than ActivityPub has.
Ændra Rhinisland talked about how community projects can become load-bearing for the network, without adequate support structures for the people who run such projects. She also runs the popular news feeds using Graze. Graze has been adding support for advertisements, and Ændra is one of the first to take advantage. In her talk she walked through how at current usage rates, the feeds could generate over $20k per month in ad revenue. She plans to use this revenue to support the queer communities building on ATProto, and showed early plans for a self-sustaining fund powered by Graze’s feed revenue, to support initiatives such as Northsky.
The talk by Ms Boba is a great indication of how much under-explored design space there is on Bluesky and ATProto. Her talk focuses on labelers and fandom communities, and has some great examples of how they can be used outside of moderation.
Blacksky founder Rudy Fraser gave an excellent talk, describing Bluesky as a skeuomorphism, meaning that it imitates the design of the product it’s replacing. This phase is a part of the adoption cycle for new technologies, but Fraser does not to stop at imitation but instead explore the new ways that communities can be build online. Fraser is specifically interested in building platforms that can serve mid-sized communities, ranging from hundreds of thousands to a few million people. The Blacksky community is an example of this, and Fraser hopes that Blacksky can inspire other communities to do the same. His framing of content moderation as community care and not a cost of business also resonated with me.
Erin Kissane’s talk goes into detail about vernacular institutions, local and grassroots organisations and practices that are often illegible to outsiders but deeply embedded in local communities. This allows them to be close to the needs of their community members, but makes them hard to see and understand from the outside. This outside illegibility is a double-edged sword: IFTAS served a crucial role for trust and safety in the fediverse ecosystem, but had to shut down to a lack of funding as a result of being illegible to financiers.
Bluesky PBC has been working on a new version of the relay that makes it easier and cheaper to host, under the Sync 1.1 proposal. This new version is now starting to roll out, showing a significant drop in resource usage. Bluesky engineer Bryan Newbold shared some statistics here. Independent ATProto developer @futur.blue set up his own relay as a speedrun. He shows that a full network relay can be run on a 50USD Raspberry Pi, with an easy-to-follow tutorial here.
That full network ATProto relays are cheap to run has been known for a while within the ATProto developer community, but that knowledge has not spread much yet. One reason for this is that independent developers have set up relays primarily for their own use, sharing access with a few friends, but no other publicly accessible full-network relays exist yet1.
Upcoming short-form video platform Spark is building their own complete infrastructure. Spark’s relay will publicly accessible, and hosted in Brazil. Having ATProto infrastructure outside of US jurisdiction is a conversation that has come up regularly, and often followed by the assumption that the alternative is to have infrastructure like a relay hosted in Europe. Spark is bringing in a slightly unexpected twist here, by having the first publicly accessible relay that is not owned by Bluesky PBC being hosted in Brazil instead.
Having other relays that are not owned by Bluesky PBC has been the subject of a lot of conversation, and the Free Our Feeds campaign was founded on the idea that a significant financial investment is needed to do so. Furthermore, it assumes that such a relay is not only expensive, but that it requires an extensive governance infrastructure to manage it. The current developments regarding relays call both of these assumptions into serious question: relays are cheap, not expensive. Furthermore it seems that there is enough incentive that organisations that are serious about building their own ATProto platforms are willing to run their own relays.
In Other News
Bluesky PBC has published a proposal on how they want to handle OAuth Scopes. OAuth Scopes is one of the main projects on the roadmap for the first half of this year. Currently, logging into an ATProto app via OAuth requires you to give that app permission to access all the data for your account. OAuth Scopes allows an app to only ask for the permissions that are necessary, and not the entire account. There are two problems that need to solve: the technical part of making it work, as well as the handling the UX to communicate clearly to people what data an app wants to access. The challenging part of the UX is how to handle the translation from the technical description of the data that is requested (stylised like ‘app.bsky.feed.getFeed’, for example), into a way that is understandable for the everyday user. The second challenge is that apps require permission not for one, but for many types of this lexicon data. A third-party Bluesky client that is restricted to only Bluesky data will still have to request a dozen of these Lexicons. A long list of technical lexicon names makes it impossible for regular people to have an informed opinion on what data is and is not being accessed. Bluesky PBC’s proposal is to group different lexicons into bundles, and create new lexicons that reference these bundles. Scoped OAuth can then request access to a bundle of lexicons, with a description that is legible for regular people.
Git repository platform Tangled is working on news ideas how a GitHub alternative might do things differently, and one of their first proposals is defining two types of pull requests. For another look at Tangled, this blog post experiment with what the platform allows.
One of the talks at the ATmosphereConf was by independent developer Rashid Aziz, who is the co-founder of basic.tech. Basic is a protocol for user-owned data, and seems to be fairly comparable to the PDS part of ATProto, with the major difference that Basic allows for private data on their version of a PDS. Aziz used the combination of these two protocols to create private bookmarks for Bluesky.
The new Record Collector labeler automatically displays if someone has been using other apps in the ATmosphere outside of Bluesky.
Rocksky is a new music scrobbler service on ATProto, that is currently in closed beta testing. It allows people to connect their Spotify account and automatically ‘scrobble’ (track) the music they are listening to.
The Links
Some tech-focused links for ATProto:
ATCryptography is a package with cryptographic utilities for the ATProto, written in Swift.
A blog post by independent ATProto developer Mary about ‘AT Protocol, OAuth, and well, decentralization’. Mary also published a repository car file explorer this week.
That’s all for this week, thanks for reading! If you want more analysis, you can subscribe to my newsletter. Every week you get an update with all this week’s articles, as well as extra analysis not published anywhere else. You can subscribe below, and follow this blog @fediversereport.com and my personal account @laurenshof.online on Bluesky.
Cerulea.blue is a publicly accessible relay, using a custom implementation, but it is limited to non-Bluesky PDSes. ↩︎
informapirata ⁂
in reply to Marco Siino • • •@uaar @gayburg
Marco Siino
in reply to informapirata ⁂ • •informapirata ⁂ reshared this.
informapirata ⁂
in reply to Marco Siino • • •Marco Siino
in reply to Marco Siino • — (Palermo) •