I ricercatori hanno lanciato l’allarme: il servizio cloud OneDrive potrebbe consentire ad applicazioni web di terze parti di accedere a tutti i file di un utente. Secondo Oasis Security, la vulnerabilità è legata al funzionamento di OneDrive File Picker e consente ai siti di accedere all’intero spazio di archiviazione dell’utente e non solo ai file selezionati per il download tramite questo strumento.

“Ciò è dovuto agli ambiti eccessivamente ampi di OAuth e alle finestre di dialogo fuorvianti che non forniscono all’utente un’idea chiara dell’ambito di accesso concesso. La vulnerabilità potrebbe avere gravi conseguenze, tra cui la fuga di dati dei clienti e la violazione dei requisiti normativi”, spiegano i ricercatori.

L’azienda stima che il problema riguardi diverse app, tra cui ChatGPT, Slack, Trello, Zoom e ClickUp, data la loro integrazione con il servizio cloud di Microsoft. La radice del problema risiede nelle autorizzazioni eccessive richieste da OneDrive File Picker, che richiede l’accesso in lettura all’intero archivio, anche quando viene caricato un solo file. Ciò è dovuto alla mancanza di impostazioni OAuth dettagliate per OneDrive.

“In poche parole, qualsiasi app web che utilizzi OneDrive File Picker ha accesso non solo al file selezionato per il caricamento/scaricamento, ma all’intero OneDrive. Quel che è peggio, questo accesso può persistere anche dopo il completamento del download del file”, spiegano i ricercatori.

La situazione è aggravata dal fatto che la richiesta di consenso che gli utenti ricevono prima di scaricare un file è formulata in modo molto vago e la persona potrebbe non comprendere appieno quali diritti sta concedendo.

“La mancanza di impostazioni di autorizzazione dettagliate impedisce agli utenti di distinguere tra app dannose che prendono di mira tutti i file e quelle legittime che richiedono autorizzazioni eccessive semplicemente perché non ci sono altre opzioni sicure”, scrive Oasis.

Allo stesso tempo, gli esperti aggiungono che i token OAuth vengono spesso archiviati in modo non sicuro e salvati nelle sessioni del browser in formato testo normale.

Un altro potenziale problema è che il processo di autorizzazione potrebbe anche emettere un token di aggiornamento, che consente all’applicazione di continuare ad accedere ai dati dell’utente. Ciò consente a un’applicazione di ottenere nuovi token di accesso senza richiedere all’utente di effettuare nuovamente l’accesso dopo la scadenza del token corrente.

Dopo la pubblicazione del rapporto Oasis Security, i rappresentanti di Microsoft hanno riconosciuto l’esistenza del problema, ma non è stata ancora trovata alcuna soluzione. Gli sviluppatori Microsoft hanno fatto notare che questo problema non è immediatamente risolvibile, poiché l’utente deve comunque fornire il proprio consenso prima che venga consentito l’accesso.

Si consiglia agli utenti di valutare la disattivazione temporanea della funzionalità di caricamento file tramite OneDrive e OAuth finché non verrà trovata un’alternativa sicura. I ricercatori consigliano inoltre di evitare l’uso di token di aggiornamento e di conservare i token di accesso in un luogo sicuro, per poi eliminarli quando non sono più necessari.

L'articolo OneDrive a Rischio! Qualsiasi App Web Potrebbe Accedere a tutti i tuoi file proviene da il blog della sicurezza informatica.

Nel settore della sicurezza informatica, ogni azienda usa nomi propri per identificare i Threat Actors. Questo ha sempre creato problemi: gli analisti parlavano dello stesso nemico, ma lo chiamavano con nomi completamente diversi.

In questo contesto, Microsoft e CrowdStrike hanno annunciato il lancio di un’iniziativa congiunta: hanno unito i loro sistemi di denominazione dei gruppi e pubblicato un manuale di riferimento aggiornato, in cui ogni attore della minaccia viene confrontato con diverse tassonomie contemporaneamente.

Questo approccio non trasforma il mercato in una palude di informazioni, ma consente agli specialisti di trovare rapidamente un terreno comune e parlare la stessa lingua, anche quando si tratta di nomi diversi per lo stesso gruppo di criminali informatici.

Secondo il responsabile della sicurezza di Microsoft, il nuovo database è diventato un punto di partenza per identificare rapidamente gli aggressori e aumentare l’efficacia delle indagini. Ora, in una situazione in cui un’organizzazione riceve segnalazioni da diversi fornitori contemporaneamente, non è più necessario perdere tempo a selezionare manualmente le corrispondenze: tutto è riunito in un unico e chiaro database di riferimento.

Tra i futuri partecipanti al progetto figurano Google/Mandiant e Unit 42 di Palo Alto Networks, che forniranno i propri dati per accelerare l’identificazione. Microsoft prevede che altri importanti attori si uniranno a questa iniziativa, che aumenterà significativamente la trasparenza del mercato della cyber intelligence e accelererà la risposta agli attacchi.

L’azienda ha sottolineato che l’obiettivo principale non è stabilire uno standard rigido, ma fornire agli specialisti uno strumento per una rapida sincronizzazione reciproca. È già stato possibile eliminare la confusione nei nomi di oltre 80 gruppi attivi: stiamo parlando dei team più pericolosi e tecnicamente attrezzati che operano in tutto il mondo.

In futuro, l’alleanza promette di svilupparsi ulteriormente: i database saranno aggiornati regolarmente con nuovi nomi e, in futuro, è previsto lo scambio automatico di dati telemetrici tra i partecipanti. Ciò semplificherà notevolmente il lavoro e renderà i report delle aziende più compatibili.

Microsoft e CrowdStrike ritengono che ciò di cui il settore ha bisogno sia la collaborazione e la sincronizzazione volontaria, non i tentativi di imporre tutto in un unico schema. L’iniziativa è aperta a nuovi partecipanti ed è progettata per eliminare il caos dei nomi e risparmiare ai difensori il grattacapo di capire chi c’è realmente dietro un attacco.

L'articolo Come si chiama il Threat Actors? Microsoft e CrowdStrike ora li chiamano con un unico nome proviene da il blog della sicurezza informatica.

Here is a hacker showing off their engineering chops. This video shows successive design iterations for a LEGO vehicle which can cross increasingly large gaps.

At the time of writing this video from [Brick Experiment Channel] has been seen more than 110,000,000 times, which is… rather a lot. We guess with a view count like that there is a fairly good chance that many of our readers have already seen this video, but this is the sort of video one could happily watch twice.

This video sports a bunch of engineering tricks and approaches. We particularly enjoy watching the clever use of center of gravity. They hack gravity to make some of their larger designs work.

It is a little surprising that we haven’t already covered this video over here on Hackaday as it has been on YouTube for over three years now. But we have heard from [Brick Experiment Channel] before with videos such as Testing Various Properties Of LEGO-Compatible Axles and LEGO Guitar Is Really An Ultrasonically-Controlled Synth.

And of course we’ve covered heaps of LEGO stuff in the past too, such as Building An Interferometer With LEGO and Stepping On LEGO For Science.

youtube.com/embed/pwglOlD7e0M?…

Thanks to [Keith Olson] for writing in to remind us about the [Brick Experiment Channel].

hackaday.com/2025/06/03/making…

Stripping and cutting wires can be a tedious and repetitive part of your project. To save time in this regard, [Red] built an automatic stripper and cutter to do the tiring work for him.

An ESP32 runs the show in this build. Via a set of A4988 stepper motor drivers, it controls two NEMA 17 stepper motors which control the motion of the cutting and stripping blades via threaded rods. A third stepper controls a 3D printer extruder to move wires through the device. There’s a rotary encoder with a button for controlling the device, with cutting and stripping settings shown on a small OLED display. It graphically represents the wire for stripping, so you can select the length of the wire and how much insulation you want stripped off each end. You merely need select the measurements on the display, press a button, and the machine strips and cuts the wire for you. The wires end up in a tidy little 3D-printed bin for collection.

The build should be a big time saver for [Red], who will no longer have to manually cut and strip wires for future builds. We’ve featured some other neat wire stripper builds before, too. Video after the break.

youtube.com/embed/pbuzLy1ktKM?…

hackaday.com/2025/06/03/buildi…

There are plenty of audio mixers on the market, and the vast majority all look the same. If you wanted something different, or just a nice learning experience, you could craft your own instead. That’s precisely what [Something Physical] did.

The build was inspired by an earlier 3-channel mixer designed by [Moritz Klein]. This project stretches to eight channels, which is nice, because somehow it feels right that a mixer’s total channels always land on a multiple of four. As you might expect, the internals are fairly straightforward—it’s just about lacing together all the separate op-amp gain stages, pots, and jacks, as well as a power LED so you can tell when it’s switched on. It’s all wrapped up in a slant-faced wooden box with an aluminum face plate and Dymo labels. Old-school, functional, and fit for purpose.

It’s a simple build, but a satisfying one; there’s something beautiful about recording on audio gear you’ve hewn yourself. Once you’ve built your mixer, you might like to experiment in the weird world of no-input mixing. Video after the break.

youtube.com/embed/SHH72r4SKWQ?…

youtube.com/embed/SHH72r4SKWQ?…

hackaday.com/2025/06/03/buildi…

ho provato tinylist app per un po' di tempo e questa è la mia opinione.

PRO
leggerissima (soprattutto perché è una pagina web);
graficamente minimale, ma gradevole;
leggibile su praticamente ogni dispositivo;
facile da usare

CONTRO
non si possono aprire le note a tutto schermo (mantenendo la formattazione);
se hai poso segnale è irraggiungibile (a Lucca C&G è inutile)

VOTO
🌔 molto utile e versatile

Maggio, tempo di relazioni sulle attività svolte l'anno precedente.
Non sfugge #UNODC ("United Nations Office on Drugs and Crime" in italiano "Ufficio delle Nazioni Unite contro la Droga e il Crimine", l'Agenzia delle Nazioni Unite che si occupa di traffico di droga, criminalità organizzata, la corruzione e il terrorismo) che ha rilasciato il suo report sul 2024 (il documento [en] è reperibile qui unodc.org/documents/AnnualRepo…).
Viene evidenziato un fatto importante del 2024: con l'adesione di Saint Kitts e Nevis, l'UNCAC conta ora 191 Parti, dimostrando la sua importanza e rilevanza a livello globale.

LE DROGHE

Sul fronte delle droghe, il Rapporto descrive gli sforzi dell'UNODC nel 2024 per affrontare la questione a livello globale, concentrandosi su vari aspetti:
droghe sintetiche: L'UNODC si è attivato per contrastare le droghe sintetiche lanciando strumenti tecnologici come l'app Clandestine Laboratory Investigation Platform, espandendo risorse informative (UN Toolkit), formando personale (ufficiali di prima linea) e monitorando le nuove sostanze in tutto il mondo.
Trattamento degli disturbi legati agli stimolanti: Insieme a WHO ed EUDA, l'UNODC ha avviato un'iniziativa (#ScaleUp) per promuovere la ricerca e trovare soluzioni scalabili per il trattamento delle persone con disturbi legati all'uso di stimolanti, cercando di colmare una lacuna importante nell'assistenza.
Potenziamento dei servizi legati all'uso di droghe: L'UNODC ha lavorato per migliorare la prevenzione, il trattamento e l'assistenza per l'uso di droghe in numerosi Paesi, raggiungendo decine di migliaia di persone con programmi di prevenzione e supporto, formando professionisti e facilitando l'accesso a farmaci controllati in modo sicuro.
Prevenzione rivolta ai giovani: Sono state lanciate due nuove iniziative specifiche per i giovani: CHAMPS, che mira a rafforzare la resilienza dei bambini e ragazzi, e Friends in Focus, che coinvolge giovani leader per sessioni di prevenzione tra pari.
Monitoraggio delle coltivazioni: L'UNODC ha continuato a monitorare le coltivazioni di coca e oppio nelle regioni chiave, evidenziando un aumento nella coltivazione di coca e nella produzione potenziale di cocaina in Colombia, e, nonostante una riduzione in Myanmar, il Paese è diventato il principale produttore di oppio nel 2024 a seguito del divieto in Afghanistan.

CRIMINALITA' ORGANIZZATA

La criminalità organizzata, sfruttando le debolezze a livello globale, rappresenta una grave minaccia che destabilizza le società e ostacola lo sviluppo. Questa minaccia, operando oltre i confini e utilizzando la tecnologia, è troppo complessa per essere affrontata da un singolo Paese.

L'UNODC ha un ruolo centrale nel supportare gli Stati membri nella lotta contro la criminalità organizzata transnazionale. Lo fa principalmente in questi modi:

Promuovendo l'adesione alla Convenzione delle Nazioni Unite contro il Crimine Organizzato Transnazionale (UNTOC) e ai suoi Protocolli, che sono strumenti giuridici fondamentali.
Aiutando i Paesi a implementare in modo efficace e coerente queste normative, anche attraverso il meccanismo di revisione (UNTOC Review Mechanism).
Fornendo supporto legislativo, aiutando i Paesi a creare leggi adeguate.
Costruendo capacità, formando personale e istituzioni per essere più efficaci.
Facilitando la cooperazione a livello regionale e internazionale tra i diversi Paesi.
L'ambito d'azione dell'UNODC in questo contesto è ampio e include la lotta contro vari tipi di crimini, come il cybercrime, il traffico di persone, il contrabbando di migranti, il traffico di armi e droga, oltre a crimini emergenti come le frodi organizzate.

CORRUZIONE E CRIMINI ECONOMICI

La corruzione e i crimini economici hanno conseguenze enormi e dannose che si ripercuotono su ogni settore. Questi comportamenti illeciti si manifestano ovunque: nelle istituzioni pubbliche, nelle aziende private, nella sanità, nello sport, e persino in ambiti come la protezione della fauna selvatica, dell'ambiente e la sicurezza alimentare. Le situazioni di conflitto e fragilità sono particolarmente esposte a questo problema.
L'UNODC supporta gli Stati nel trasformare gli impegni presi con la Convenzione delle Nazioni Unite contro la Corruzione (UNCAC) in azioni concrete.
L'UNODC rimane fortemente impegnato nella sua missione di promuovere l'integrità, la trasparenza e la responsabilità a livello mondiale. Lo persegue in vari modi, tra cui:
Supportando il meccanismo di revisione dell'implementazione della Convenzione (Implementation Review Mechanism).
Sostenendo i centri e le piattaforme anti-corruzione a livello regionale.
Impegnandosi in altre iniziative specifiche mirate a contrastare la corruzione.
In poche parole, l'UNODC considera la corruzione un problema pervasivo e dannoso e lavora attivamente per aiutare i Paesi a rispettare i propri impegni anti-corruzione, fornendo supporto pratico e promuovendo una cultura di integrità e trasparenza a livello globale. L'ampia adesione all'UNCAC sottolinea l'importanza riconosciuta a livello internazionale della lotta alla corruzione.

SISTEMI DI GIUSTIZIA PENALE

I sistemi di giustizia penale a livello mondiale affrontano sfide complesse tra cui accesso inadeguato alla giustizia, sovraffollamento carcerario, alti livelli di violenza di genere e crescenti minacce ai minori sia online che offline.
L'integrazione delle tecnologie emergenti e dell'intelligenza artificiale ha creato nuove necessità, richiedendo un equilibrio tra innovazione e tutela dei diritti umani.
Come custode degli standard e delle norme ONU per la prevenzione del crimine e la giustizia penale, l'UNODC supporta gli Stati membri nella loro implementazione, fornendo orientamenti pratici e flessibili sui fondamenti della risposta di giustizia penale.
L'organizzazione adotta un approccio olistico e centrato sulle persone per rafforzare lo stato di diritto attraverso iniziative che:
- Migliorano l'accesso alla giustizia
- Promuovono la prevenzione del crimine basata su evidenze
- Avanzano la giustizia per e con i bambini
- Affrontano la violenza di genere contro le donne
- Supportano riforme carcerarie complete
L'obiettivo è rafforzare le istituzioni di giustizia penale attraverso un impegno sistemico che metta al centro la persona e i suoi diritti.

CONCLUSIONI

In sintesi l'UNODC affronta le crescenti minacce del terrorismo e dell'estremismo violento, aggravate dall'uso improprio delle tecnologie emergenti e dall'instabilità politica globale. L'organizzazione collabora con gli Stati membri per implementare strategie antiterrorismo delle Nazioni Unite, inclusa la Strategia Globale Antiterrorismo dell'ONU e il Piano d'Azione del Segretario Generale per prevenire l'estremismo violento.
Fornisce inoltre assistenza tecnica per rafforzare i quadri normativi, le politiche e le capacità istituzionali degli Stati, promuovendo risposte di giustizia penale che coinvolgano l'intero governo e la società civile.

Focus sulla collaborazione

L'ufficio enfatizza l'importanza di partenariati efficaci tra settore pubblico, privato e società civile, lavorando specificamente con organizzazioni giovanili, femminili e vittime del terrorismo per sviluppare approcci innovativi e comprensivi alla prevenzione dell'estremismo violento.
L'obiettivo è creare una risposta coordinata e inclusiva che coinvolga tutti i settori della società nella lotta contro il terrorismo contemporaneo.

@Notizie dall'Italia e dal mondo

PRIMA DELL’OGGETTO | e contro le frasi (déclic, 2025): declicedizioni.it/prodotto/pri…

Antonio Perozzi, Biforcazioni: Postlirica e postpoesia nel Marco Giovenale degli anni Venti, in «Polisemie», V, 2024, “Letture metriche. Dal Duemila a oggi”, pp. 123-141 [pdf: 129-147]; index: polisemie.warwick.ac.uk/index.… numero completo: polisemie.warwick.ac.uk/index.… saggio specifico: polisemie.warwick.ac.uk/index.…
pubblicazione online del fascicolo: 12 dic. 2024, polisemie.warwick.ac.uk/index.…
pdf nella wayback machine: web.archive.org/web/2025051817…

Marilina Ciaco, annotazioni su Oggettistica e su Cose chiuse fuori, in Forme esposte. Spazi metrici e retoriche dell’installazione tra versi e prose di ricerca, in «Polisemie», V, 2024, “Letture metriche. Dal Duemila a oggi”, pp. 33-36 [pdf: 39-42]; index: polisemie.warwick.ac.uk/index.… numero completo: polisemie.warwick.ac.uk/index.… saggio specifico: polisemie.warwick.ac.uk/index.…
pubblicazione online del fascicolo: 12 dic. 2024, polisemie.warwick.ac.uk/index.…
pdf nella wayback machine: web.archive.org/web/2025051817…

Annotazione sulla sezione “Piccoli suoni” di Quasi tutti, in Fabrizio Bondi, Il violino di Gianmorte. Sui sonetti di Marco Ceriani (e in particolare su uno), in «Polisemie», V, 2024, “Letture metriche. Dal Duemila a oggi”, p. 65 [pdf: 71]; index: polisemie.warwick.ac.uk/index.… numero completo: polisemie.warwick.ac.uk/index.… saggio specifico: polisemie.warwick.ac.uk/index.…
pubblicazione online del fascicolo: 12 dic. 2024, polisemie.warwick.ac.uk/index.…
pdf nella wayback machine: web.archive.org/web/2025051817…

Lugi Riccio, Marco Giovenale | Oggettistica, [annotazioni critiche e selezione di prose dal libro], in Inverso, 10 apr. 2025: poesiainverso.com/2025/04/10/m… WM: web.archive.org/web/2025051817…

Testi da Oggettistica (e un’intervista) su MediumPoesia, 14 mag. 2025: mediumpoesia.com/marco-giovena… WM: web.archive.org/web/2025051816…

“La scuola delle cose” (Lyceum / Fondazione Mudima), n. 19, Scrittura di ricerca, aprile 2025, a cura di MG: slowforward.net/2025/05/14/scu…

MG, Note sulla scrittura asemica, in ahida, 11 apr. 2025 (ma online nel maggio 2025): ahidaonline.com/post/post-poet… (estratti da Asemics. Senso senza significato: ikona.net/marco-giovenale-asem…)

Sarah Pierozzi ha dedicato un intervento a Oggettistica, in confronto con Paradiso, di Stefano Dal Bianco, all’interno dei “Seminari della L.UN.A.” (a cura di Francesco Muzzioli): youtu.be/e5DsOrbkSnA (file audio estratto: slowforward.net/wp-content/upl…)

Antonio Pavolini ha dedicato una puntata dei ‘Nuovi pendodeliri’ a Oggettistica, il 28 feb. 2025: https://t.me/pendodeliri/123 (replicata in pod al popolo #058)

Tre testi da Oggettistica + due microsequenze inedite sono in NeutopiaBlog, 11 mar. 2025: neutopiablog.org/2025/03/11/ma…

Varie prose in prosa (sotto il titolo complessivo di Silk, immagini umane, ossia la sequenza presentata a RicercaBO nel 2009), sono uscite in Antologia di RicercaBO, Manni, San Cesario di Lecce 2024, pp. 153-158