[quote]Il mare si riempie sempre più di droni, e molti di questi sono italiani. La corsa all’underwater entra in una nuova fase, in cui le eccellenze della cantieristica italiana si fanno avanguardia di nuovi sistemi e architetture digitali. Fincantieri e le sue controllate, Fincantieri NexTech
@Notizie dall'Italia e dal mondo Un bombardamento israeliano in Libano ha ucciso nella notte 23 cittadini siriani, per la maggior parte donne e bambini. Secondo media di Tel Aviv, Netanyahu avrebbe dato via libera all'accordo con Hezbollah. Il premier frena L'articolo
@Notizie dall'Italia e dal mondo Una nuova edizione: 4 categorie, 20 film finalisti, oltre 30 tappe su tutto il territorio nazionale, una giuria internazionale di professionisti del settore cinema, cultura e cooperazione. L'articolo Il Nazra pagineesteri.it/2024/09/26/med…
L’organizzazione europea per i diritti digitali NOYB (None Of Your Business) ha presentato un reclamo contro Mozilla all’autorità austriaca per la protezione dei dati. Si presume che la funzione di attribuzione di tutela della privacy di Firefox (abilitata senza il consenso dell’utente) venga utilizzata per tenere traccia del comportamento online delle persone.
La funzionalità Privacy-Preserving Attribution (PPA) , sviluppata in collaborazione con Meta, è stata annunciata nel febbraio 2022 ed è stata automaticamente inclusa nella versione 128 di Firefox, rilasciata nel luglio di quest’anno.
Mozilla descrive i PPA come “un’alternativa non invasiva al monitoraggio tra siti” progettata per aiutare gli inserzionisti a misurare l’efficacia dei loro annunci senza trasmettere direttamente informazioni sul comportamento online degli utenti. Gli sviluppatori sottolineano che la PPA non condivide le informazioni di navigazione con terze parti (inclusa l’organizzazione stessa) e gli inserzionisti ricevono solo dati aggregati sull’efficacia della loro pubblicità.
In generale, il PAA ricorda il Privacy Sandbox di Google (che l’azienda alla fine ha abbandonato). L’idea, è quella di sostituire i cookie di terze parti con una serie di API integrate nel browser con cui gli inserzionisti possono interagire per determinare gli interessi degli utenti e mostrare loro annunci mirati.
La denuncia di NOYB sostiene che Mozilla sta utilizzando un PPA progettato per proteggere la privacy per lo scopo opposto, vale a dire per monitorare il comportamento degli utenti di Firefox su vari siti.
Contrariamente al suo nome, questa funzionalità consente a Firefox di tracciare il comportamento degli utenti sui siti web. In sostanza, il tracciamento è ora controllato dal browser, non dai singoli siti, scrive NOYB. “Sebbene questo possa rappresentare un miglioramento rispetto alla pratica ancora più invasiva del tracciamento dei cookie, l’azienda non ha mai chiesto ai propri utenti se volessero abilitare questa funzionalità. Invece, Mozilla ha scelto di abilitarlo per impostazione predefinita, subito dopo che le persone hanno installato un recente aggiornamento software.”
Il PPA consente a Firefox di archiviare dati sulle attività pubblicitarie degli utenti e di raccogliere tali informazioni per gli inserzionisti, affermano i difensori della privacy. Gli sviluppatori di Mozilla, a loro volta, affermano che questo sistema, al contrario, aumenta il livello di privacy misurando l’efficacia della pubblicità senza raccogliere dati personali sui singoli siti.
Tuttavia, NOYB insiste sul fatto che se parte del tracciamento viene effettuato all’interno di Firefox stesso, ciò viola i diritti degli utenti ai sensi del Regolamento generale sulla protezione dei dati (GDPR) dell’UE.
“Sebbene Mozilla possa avere buone intenzioni, è altamente improbabile che “l’attribuzione che preserva la privacy”sostituirà i cookie e altri strumenti di tracciamento. Questo è solo un nuovo modo aggiuntivo per tracciare gli utenti”, afferma NOYB.
io per dovere civico fornisco la mia idea e le mie spiegazioni. poi mi frega meno di niente di quello che pensi, specie se sei persona che non reputo intelligente. cercare di piacere o convincere è il modo migliore per essere schiavi degli altri. e poiché nella vita di qualcuno bisogna essere schiavi, almeno scegli persone intelligenti e di alto valore, e non chiunque passi. a volte esiste il fascino dell'orrido ma bisogna sapersi controllare. non mi riferisco a nessuno di particolare dopo 50 anni di vita, perché persone ne ho incontrate parecchie, alcune di valore, molte altre no. il dibattito e lo scambio ha senso comunque solo con persone intelligenti e dotate di pensiero autonomo. se parlando con qualcuno non impari niente e non cresci, non farlo. ha senso solo adoperarsi per diventare persone migliori: questa almeno è una tua conquista. conoscenze e qualità personali. diventare persone sempre più complesse e articolate. questa è la crescita. se pensi di dover seguire solo istinto e pulsioni beh... non stai usando bene la vita. e non stai neppure facendo il bene di chi ti sta attorno. non stai creando armonia e benessere, ma guerra e violenza, e comunque i presupposti per la distruzione, di cui sarai complice un giorno.
@Notizie dall'Italia e dal mondo Il presidente colombiano ha dichiarato aver ricevuto informazioni dall’Ambasciata degli Stati Uniti su un chiaro piano per ucciderlo L'articolo COLOMBIA. Petro denuncia piano per assassinare il presidente. Gli Usa confermano proviene da Pagine
Oggi dalle ore 10.30, presso la Sala Aldo Moro del #MIM, si terrà la Presentazione del rapporto OCSE “Education at a Glance 2024”.
Qui il link per seguire la diretta ▶ https://www.youtube.com/live/5_lDbagMfNQ
In the second quarter of 2024, the percentage of ICS computers on which malicious objects were blocked decreased by 0.9 pp from the previous quarter to 23.5%.
The percentage has decreased by 3.3 pp compared to the second quarter of 2023, when the indicator reached its highest level since records began in 2022.
Percentage of ICS computers on which malicious objects were blocked, by quarter, 2022-2024
Regions ranking
In most regions, the percentage of ICS computers that blocked malicious objects decreased compared to the first quarter of 2024. The indicator increased only in East Asia (by 1.0 pp), Western Europe (by 0.8 pp), Australia and New Zealand (by 0.7 pp) and the USA and Canada (by 0.2 pp).
Regions ranked by percentage of ICS computers where malicious objects were blocked, Q2 2024
Industries ranking
The building automation sector continues to lead the surveyed industries in terms of the percentage of ICS computers on which malicious objects were blocked. In general, this indicator continues to decrease across all industries for the second quarter in a row.
Percentage of ICS computers on which the activity of malicious objects of various categories was prevented
Diversity of detected malware
In the second quarter of 2024, Kaspersky’s protection solutions blocked malware from 11,349 different malware families of various categories on industrial automation systems.
Percentage of ICS computers on which the activity of malicious objects of various categories was prevented
Compared to the previous quarter, the most noticeable proportional increase in the second quarter of 2024 was in the percentage of ICS computers on which ransomware was blocked – a 1.2-fold increase.
Malicious object categories in numbers
Malicious objects used for initial infection
This category includes dangerous web resources, malicious scripts and malicious documents.
Denylisted internet resources – 6.63% (-0.21 pp compared to the first quarter of 2024);
Malicious scripts and phishing pages (JS and HTML) – 5.69% (-0.15 pp);
Malicious objects used to initially infect computers deliver next-stage malware – spyware, ransomware, and miners – to victims’ computers. As a rule, the higher the percentage of ICS computers on which the initial infection malware is blocked, the higher the percentage for next-stage malware.
Spyware (spy Trojans, backdoors and keyloggers) – 4.08% (+0.18 pp);
Ransomware – 0.18% (+0.03 pp);
Miners (in the form of executable files for Windows) – 0.89% (-0.03 pp).
Self-propagating malware
These are worms and viruses. Worms and virus-infected files were originally used for initial infection, but as botnet functionality evolved, they took on next-stage characteristics.
To spread across ICS networks, viruses and worms rely on removable media, network folders, infected files including backups, and network attacks on outdated software.
Worms – 1.48% (-0.03 pp);
Viruses – 1.54% (-0.02 pp).
AutoCAD malware
This category of malware is typically a low-level threat, coming last in the malware category rankings in terms of the percentage of ICS computers on which it was blocked.
AutoCAD malware – 0.42% (+0.01 pp).
Main threat sources
The internet, email clients and removable storage devices remain the primary sources of threats to computers in an organization’s technology infrastructure. (Note that the sources of blocked threats cannot be reliably identified in all cases.)
Percentage of ICS computers on which malicious objects from various sources were blocked
@Politica interna, europea e internazionale Vittorio Feltri: “I ciclisti mi piacciono solo quando vengono investiti” Bufera su Vittorio Feltri, giornalista e consigliere regionale lombardo di Fratelli d’Italia, che nel corso di un evento ha dichiarato che i ciclisti “mi piacciono
Llama Group ha pubblicato il codice sorgente per il lettore multimediale Winamp. Questo codice è scritto in C++ e utilizza dipendenze come Qt, libvpx, libmpg123, OpenSSL e DirectX 9 SDK.
L’assembly del programma è supportato esclusivamente per la piattaforma Windows e richiede il compilatore Visual Studio 2019, nonché le librerie Intel IPP versione 6.1.1.035. Il codice open source è distribuito solo per la versione desktop dell’applicazione, mentre restano chiuse le versioni per macOS, Android e iOS.
Nonostante le dichiarazioni di intenzione di trasferire il progetto ad un modello di sviluppo aperto, il codice pubblicato è distribuito sotto la licenza proprietaria WCL (Winamp Collaborative License). La licenza impone restrizioni agli sviluppatori: sono tenuti a presentare modifiche, miglioramenti e correzioni al repository ufficiale del progetto. Apportare modifiche senza impegnarsi nel repository principale è consentito solo per uso personale. È vietata la creazione di fork e la distribuzione di versioni modificate di Winamp, il che limita la capacità degli sviluppatori che desiderano apportare modifiche al codice del programma.
Il repository principale di Winamp è ospitato su GitHub, ma le restrizioni specificate nella licenza WCL creano un problema, poiché il processo di sviluppo tipico di questa piattaforma, in cui vengono creati fork e poi le modifiche vengono trasferite tramite richieste pull, viola formalmente le restrizioni di licenza .
Winamp è stato creato nel 1997 da Justin Frankel e Dmitry Boldyrev. Questo lettore multimediale è ancora popolare e conta circa 83 milioni di utenti. Grazie alla sua flessibilità e alla possibilità di modificare l’interfaccia tramite skin, Winamp ha ispirato la creazione di numerosi cloni per Linux, come XMMS, XMMS2, Beep Media Player, Audacious e Qmmp.
L’anno scorso, Llama Group ha dovuto affrontare difficoltà finanziarie, che l’hanno costretta a licenziare il team principale dietro la versione classica di Winamp per Windows e a concentrarsi sullo sviluppo del servizio di streaming e delle applicazioni mobili.
Structure of the Ramtron FeRAM. The image is focus-stacked for clarity. (Credit: Ken Shirriff) Although not as prevalent as Flash memory storage, ferroelectric RAM (FeRAM) offers a range of benefits over the former, mostly in terms of endurance and durability, which makes it popular for a range of (niche) applications. Recently [Ken Shirriff] had a look inside a Ramtron FM24C64 FeRAM IC from 1999, to get an idea of how it works. The full die photo can be seen above, and it can store a total of 64 kilobit.
One way to think of FeRAM is as a very small version of magnetic core memory, with lead-zirconate-titanate (PZT) ferroelectric elements making up the individual bits. These PZT elements are used as ferroelectric capacitors, i.e. the ferroelectric material is the dielectric between the two plates, with a positive voltage storing a ‘1’, and vice-versa.
In this particular FeRAM chip, there are two capacitors per bit, which makes it easier to distinguish the polarization state and thus the stored value. Since the distinction between a 0 and a 1 is relatively minor, the sense amplifiers are required to boost the signal. After a read action, the stored value will have been destroyed, necessitating a write-after-read action to restore the value, all of which adds to the required logic to manage the FeRAM. Together with the complexity of integrating these PZT elements into the circuitry this makes these chips relatively hard to produce and scale down.
You can purchase FeRAM off-the-shelf and research is ongoing, but it looks to remain a cool niche technology barring any kind of major breakthrough. That said, the Sega Sonic the Hedgehog 3 cartridges which used an FeRAM chip for save data are probably quite indestructible due to this technology.
I paesi che chiedono una tregua di 21 giorni nel conflitto con Hezbollah, sono gli stessi che vendono le armi che alimentano quella guerra. Cos'è le fabbriche sono a corto di materie prime? #Hezbolla #moyenorient #war
Il Presidente della Russia ha delineato gli approcci alla nuova edizione dei Fondamenti della politica statale nel campo della deterrenza nucleare. Le principali modifiche sono le seguenti.
L’aggressione contro la Russia da parte di uno stato che non possiede armi nucleari, ma con il sostegno o la partecipazione di un paese dotato di armi nucleari, sarà considerata un attacco congiunto. Tutti capiscono di quali paesi stiamo parlando.
Verrà stabilita una pari protezione nucleare per la Bielorussia come nostro più stretto alleato. Con “gioia” della Polonia e di numerosi pigmei della NATO.
Un massiccio lancio e attraversamento del nostro confine con mezzi aerospaziali per distruggere il nemico, inclusi aerei, missili e UAV, in determinate condizioni, può diventare la base per l'uso di armi nucleari. Un motivo di riflessione non solo per il marcio regime neonazista, ma anche per tutti i nemici della Russia che stanno spingendo il mondo verso una catastrofe nucleare.
È chiaro che ogni situazione che dà motivo di ricorrere alla protezione nucleare deve essere valutata insieme ad altri fattori e la decisione sull'uso delle armi nucleari sarà presa dal Comandante in Capo Supremo. Tuttavia, lo stesso cambiamento nelle condizioni normative per l’uso della componente nucleare da parte del nostro Paese può raffreddare l’ardore di quegli oppositori che non hanno ancora perso il senso di autoconservazione. Ebbene, per gli ottusi, resterà solo la massima romana: caelo tonantem credidimus Jovem Regnare ... ®Gli atlantisti globalisti, che sono ora la minoranza rispetto ai BRICS e ai loro sostenitori, alzano sempre più il livello di provocazione nei confronti della Russia. I loro massmerdia affermano che la Russia non reagisce, che non una vera linea rossa... La loro presunzione e superbia li tradirà. https://t.me/radio28tv
La settimana scorsa, le agenzie di intelligence dell’alleanza Five Eyes, che comprende Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda, hanno emesso un avvertimento congiunto sugli attacchi informatici legati alla Repubblica popolare cinese.
Il documento descrive le azioni del gruppo informatico Flax Typhoon, che sfrutta le vulnerabilità dei router e dei dispositivi Internet of Things (IoT) per creare una botnet mirata che consente di essere il veicolo per attaccare infrastrutture critiche.
Secondo il rapporto , Flax Typhoon sfrutta attivamente 66 vulnerabilità note per hackerare router, dispositivi IoT e altre applicazioni web. Tra i principali produttori i cui prodotti sono sotto attacco ci sono:
Apache (10 vulnerabilità)
Cisco (5 vulnerabilità)
Zyxel (3 vulnerabilità)
QNAP (3 vulnerabilità)
Fortinet (3 vulnerabilità)
Draytek (3 vulnerabilità)
WordPress (2 vulnerabilità)
IBM (2 vulnerabilità)
F5 (2 vulnerabilità)
Si consiglia alle organizzazioni che utilizzano apparecchiature di queste società di scansionare immediatamente i propri sistemi e risolvere eventuali vulnerabilità identificate.
Secondo l’analisi, il 47,9% dei dispositivi infetti si trova negli Stati Uniti, il che indica una seria minaccia per le infrastrutture critiche del Paese. Altri obiettivi di attacco significativi includono il Vietnam (8%), la Germania (7,2%) e una serie di altri paesi, tra cui Canada, Regno Unito e India. Al momento della pubblicazione dell’avviso, 41 delle 66 vulnerabilità erano già incluse nel database VulnCheck KEV . In particolare, solo 27 di queste vulnerabilità sono state incluse nel catalogo delle vulnerabilità sfruttabili note (KEV) della CISA. Dopo l’avviso, VulnCheck ha aggiornato la sua risorsa per includere tutte le 66 vulnerabilità e si prevede che anche CISA aggiornerà presto il suo catalogo.
Per proteggersi dagli attacchi botnet Flax Typhoon e da altre minacce simili, l’FBI consiglia i seguenti passaggi:
Disabilita i servizi e le porte inutilizzati per ridurre la superficie di attacco.
Implementazione della segmentazione della rete per limitare la diffusione della minaccia in caso di compromissione.
Monitorare volumi elevati di traffico di rete che potrebbero indicare attività botnet.
Applicazione tempestiva di patch e aggiornamenti per eliminare le vulnerabilità note.
Sostituisci le password predefinite con password complesse e univoche per ciascun dispositivo.
La pianificazione regolare dei riavvii del dispositivo può aiutare a rimuovere il malware dalla RAM.
Sostituzione di software o apparecchiature obsoleto non supportati dal produttore.
Gli esperti sottolineano la necessità di un approccio globale alla gestione delle vulnerabilità. È importante considerare non solo la presenza di vulnerabilità, ma anche prove di sfruttamento attivo, contesto ambientale e ulteriori fattori di rischio. L’utilizzo di informazioni aggiornate sulle minacce consente alle organizzazioni di prendere decisioni informate per dare priorità alle vulnerabilità e mitigare efficacemente i rischi.
Nell’era digitale odierna, le email sono uno strumento essenziale per la comunicazione personale e professionale.
Tuttavia, con l’aumento del volume di messaggi inviati e ricevuti ogni giorno, il fenomeno dello spam è diventato una minaccia sempre più pressante e un pericolo sempre maggiore per le aziende. Lo spam non solo intasa le caselle di posta, ma può anche rappresentare un rischio per la sicurezza, veicolando malware e phishing e coinvolge gli utenti, che solitamente rappresentano l’anello debole della sicurezza informatica.
In questo articolo parleremo di SPF, DKIM e DMARK, esploreremo le principali strategie per proteggere le email dallo spamming e far capire ai destinatari che le nostre mail siano affidabili.
Accenno fin da subito che nel semplificare il più possibile i processi legati alla mail, alcuni dettagli saranno semplificati ed ommessi.
Com’è composta una mail?
La mail è composta da 3 parti fondamentali: Envelope, Header e il Body.
Possiamo fin da subito dividere la busta(envelope) dalla lettera (che contiene header e body). Vediamo le differenze:
L’envelope (busta) è una parte invisibile sia al mittente (MAIL FROM) che al destinatario (RCPT TO). Viene utilizzata dai server di posta elettronica per gestire la consegna del messaggio.
Contiene informazioni tecniche come:
Indirizzo del mittente e destinatario utilizzati dai server per instradare la mail
Comandi SMTP che servono per le attività di consegna..
L’header (intestazione) di una mail contiene informazioni visibili e non visibili che sono cruciali per la consegna del messaggio.
Queste informazioni sono utili per tracciare l’origine e il percorso della mail, verificare l’autenticità del mittente e diagnosticare eventuali problemi di consegna.
I principali metadata del header sono:
From: contiene informazioni sul mittente.
To: mostra il nome e l’indirizzo e-mail del destinatario, inclusi tutti gli indirizzi e-mail nei campi CC (copia conoscenza) e CCN (copia conoscenza nascosta) .
Subject: il titolo o l’argomento che il mittente imposta nella riga dell’oggetto.
Return Path: campo obbligatorio che contiene l’indirizzo a cui il sistema invia un’email. Se non c’è reply-to, verrà utilizzato come indirizzo a cui i destinatari potranno rispondere.
Reply-To: campo facoltativo che contiene l’indirizzo a cui i destinatari possono rispondere.
Envelope-To: indica che un’e-mail è stata inviata all’indirizzo presente su questa riga.
Data: timestamp di quando un client di posta elettronica ha inviato un’e-mail, solitamente segue il formato giorno, gg mese aaaa hh:mm:ss . Ad esempio, mer, 16 dic 2020 16:57:23.
Received: vengono riportati tutti gli indirizzi che l’email ha attraversato durante l’invio da un MTA all’altro.
Message-ID: un identificatore univoco di lettere e numeri creato quando si scrive per la prima volta un’e-mail.
Versione MIME: la versione Multipurpose Internet Mail Extensions (MIME) è uno standard Internet che estende il formato e la funzionalità di un’email. Un’email può avere video, immagini e altri file allegati grazie a MIME.
Content-type: dice se il mittente ha scritto l’email come testo normale o usando HTML.
Il body invece contiene il messaggio vero e proprio.
Pippo comporrà la mail con il suo client di posta e la invierà a un server SMTP di invio, server configurato nel proprio client di posta per invio della posta in uscita confidato di solito assieme a quello di ricezione.
Pensiamo a una persona che deve inviare una lettera a un destinatario, una volta compilata la consegnerà all’ufficio postale più vicino per farla arrivare a un destinatario, questo è il nostro SMTP configurato nel nostro client di posta!
Questo ufficio postale (smtp.pippo.acme) una volta accettata la mail, cercherà di capire qual è l’indirizzo dell’ufficio postale del paese di destinazione (SMTP del destinatario) leggendo il envelope RCPT TO, ricavando il dominio del del destinatario (pluto.acme). Inoltre scriverà nel metadata Received il passaggio.
Per capire dove si trova l’ufficio postale del destinatario, l’ufficio postale mittente controllerà uno speciale record nel dominio pubblico di pluto.acme chiamato record MX (Mail Exchanger), un registro pubblico (pensiamo a una sorta di pagine gialle) in cui tutti possono consultare è presente l’indirizzo dell’ufficio postale del destinatario dovono essere inviate le mail per pluto.
In questo caso sarà una sorta di indirizzo come smtp.pluto.acme, quindi la mail verrà indirizzata qui.
Potrebbe inoltre accadere che la lettera passi da uffici postali intermedi (MTA), anche questi punti intermedi verranno scritti cronologicamente nel metadata Recived.
Una volta che la mail è arrivata all’ufficio postale di destinazione (smtp.pluto.acme), l’ufficio postale rimuoverà envelope e consegnerà la mail alla cassetta postale del destinatario. Anche questo aggiungerà un ultimo “Receiver” con le sue informazioni. Capito questo meccanismo, sappiamo tutti che potrei sia consegnare la stessa lettera con lo stesso mittente a un ufficio postale diverso, magari a km di distanza, oppure Pippo potrebbe fare uno scherzo a Pluto cambiando il mittente in info@minnie.acm, in quanto l’ufficio postale non controllerà questo dato.
La lettera verrebbe comunque consegnata, il destinatario leggendo sempre i metadata potrebbe non accorgersi dell’errore e credere che sia stata effettivamente inviata da Minnie.
Magari questo non è stato proprio un errore ma un tentativo di falsificazione, la nostra mail è diventata quindi una mail di spam o spoofing.
Infatti:
È molto facile scrivere un indirizzo falso nel comando MAIL FROM nella comunicazione SMTP (nella busta dell’email)
È molto facile scrivere un indirizzo falso nel metadata del header Da:
Sia il mittente nel envelope che il mittente nel header possono essere falsificati
L’indirizzo email del mittente nel header Da: può essere diverso da MAIL FROM della evelope
Come possiamo far capire al destinatario che la mail è falsa?
Autenticando la mail attraverso SPF e DKIM e ovviamente avere un antispam che possa fare queste verifiche.
Inoltre è necessario capire se qualcuno sta spedendo con il nostro dominio a ignari destinatari tramite il DMARC.
SPF
SPF (Sender Policy Framework) si occupa attraverso un record DNS pubblico, presente nel dominio del mittente, di identificare tutti gli IP pubblici autorizzati a spedire per conto del dominio mittente (tutti gli uffici postali autorizzati a ritirare e spedire la posta per pluto).
In poche parole SPF è una stringa, un record TXT, in cui sono inseriti la lista di host autorizzati a inviare che possono essere IP o FQDN.
Come funziona?
Quando l’ufficio postale di pluto riceverà la mail inviata da pippo, prima di accettarla e consegnala controllerà che l’ufficio postale di provenienza sia stato autorizzato del mittente, tramite questo record SPF che appunto contiene le informazioni dell’ufficio postale autorizzato, che il mittente ha dichiarato.
Se il mittente è pippo ma l’ufficio postale di provenienza è diverso da quello che ha dichiarato, pluto scarterà la mail. Questo vale per qualunque mail che pluto riceverà da qualsiasi mittente.
Questa attività di controllo in generale viene fatta da un antispam.
Spf nel dettaglio
Spf è un valore del tipo:
v=spf1 ip4: include: -all
Il record SPF è configurabile sia con indirizzi ip (esempio: v=spf1 ip4: -all) che con nomi di dominio (esempio: v=spf1 include: -all) che entrambi (esempio: v=spf1 include: ip4: -all), è possibile aggiungere anche piu host e IP assieme in quanto è ammesso sono un SPF per dominio.
L’ultimo parametro indicherà all’antispam di destinazione quale comportamento dovrà eseguire durante il controllo può variare in:
+all (Pass): se il controllo fallisce la mail verrà comunque recapitata
-all (Fail): se il controllo fallisce la mail non verrà consegnata
~all (Soft Fail): se il controllo SPF fallisce, l’email sarà consegnata al server di destinazione ma verrà contrassegnata come spam
?all (Neutral): Il controllo SPF sarà ignorato. Per verificare la corretta configurazione del SPF possiamo usare il noto servizio web mxtoolbox.
Mentre l’obiettivo dell’SPF è verificare che la mail provenga da un server di invio affidabile, il DKIM (acronimo di DomainKeys Identified Mail) è un altro sistema di autenticazione che consente di impedire che il contenuto delle mail venga alterato durante la consegna.
Allo stesso tempo il destinatario potrà verificare che il messaggio ricevuto sia autentico e generato dal mittente senza alcun dubbio.
Torniamo ai nostri uffici postali. L’esempio più verosimile è che durante la spedizione, qualcuno apra la busta e scambi il messaggio originale con uno diverso.
Il mittente riceverà un messaggio diverso, controllando SPF il messaggio risulterà comunque inviato da un ufficio postale autorizzato. Il mittente non riuscirà a riconoscere lo scambio effettuato e la considera valida.
Per questo è necessario il DKIM! Il DKIM può essere visto come il sigillo per verificare che la lettera non sia stata manomessa durante il viaggio.
Vediamo come funziona nel dettaglio.
Il DKIM si basa sulla crittografia a chiave pubblica/privata.
Il mittente prima di spedire con la propria chiave privata firma la mail e la inserisce nell’intestazione del messaggio in uno specifico metadata, come nel esempio.
Quando il destinatario riceve un’e-mail con DKIM, questo controlla la firma digitale per assicurarsi che sia valida tramite la chiave pubblica presente in un record TXT del mittente del suo DNS.
TXT selector1._domainkey
v=DKIM1; k=rsa; p=MIIBIjANBgkq…
Se la firma è valida, il messaggio è rimasto inalterato durante il trasferimento e quindi verrà accettato, in caso contrario sarà considerato spam.
La chiave pubblica è disponibile in un record TXT nel dominio pubblico, mentre quella privata la conosce solo il server del mittente che la userà per firmare la mail prima di inviarla.
Qui una rappresentazione grafica del processo (fare attenzione ai colori di chiavi e lucchetti). Anche in questo caso potremmo verificare la corretta presenza del dkim tramite il tool online
Finché siamo i diretti destinatari, possiamo utilizzare i metodi visti prima per dividere le mail buone da quelle cattive.
Ma se qualcuno sta spedendo utilizzando il nostro dominio ad altri destinatari ,non potremmo mai capire di essere vittime di questo attacco.
Esiste un sistema che potrebbe avvisarci di questa attività: il DMARK (Domain-based Message Authentication, Reporting and Conformance)
Il DMARK serve a contrastare le mail di spoofing, avvisando i destinatari di queste attività fraudolente. Il DMARC aiuta i proprietari di domini ad avere un controllo migliore sulla loro attività di posta elettronica. Questo genera report sulle attività di posta elettronica di un’organizzazione che forniscono informazioni su dati che non possono essere trovati altrove.
I rapporti includono le seguenti informazioni:
Origine della mail ricevuta
Numero di email autorizzate
Numero di email non autorizzate
Destinatari dell’email
Nel DMARK sono inserite anche le azioni di default che l’antispam di chi ha ricevuto la mail deve eseguire una volta ricevuta la mail non autentica (none, quarantine, rejected)
p: definisce le regole con le quali i server di posta di destinazione tratteranno le email (obbligatorio).
none: nessun avviso specifico sarà dato al server di posta di destinazione,
quarantine: avvisa il server di posta di destinazione di trattare qualsiasi email che fallisce il test DKIM e/o SPF come sospetta ed esegue controlli aggiuntivi
reject: avvisa il server di posta di destinazione di rifiutare qualsiasi email che fallisce il test DKIM e/o SPF
rua: definisce l’elenco delle email alle quali viene inviato il report aggregato (obbligatorio).
ruf: definisce l’elenco delle email alle quali viene inviato il report forense (obbligatorio).
sp: indica le regole da applicare a tutti i sottodomini del dominio principale. (opzionale: se omesso il tag “p” coprirà il dominio principale e anche tutti i suoi sottodomini)
adkim: specifica la “modalità di allineamento” per la firma DKIM. (opzionale il valore di default sarà adkim=r.)
aspf: specifica la “modalità di allineamento” per il controllo SPF. (opzionale: se omesso il valore di default sarà aspf=r)
pct: definisce la percentuale di email alle quali le regole del DMARC sono applicate. (opzionale: se omesso il valore di default sarà pct=100)
fo: definisce le regole per quando deve essere generato il report DMARC. (opzionale: se omesso il valore di default sarà fo=0)
rf: definisce il formato del report DMARC. (opzionale: se omesso il valore di default sarà rf=afrf)
ri: definisce l’intervallo di tempo in secondi tra l’invio di un report DMARC e l’altro. (opzionale: se omesso il valore di default sarà ri=86400)
Per verificare la presenza del DMARK utilizzeremo invece questo link
Otterremo un punteggio da 1 a 10 che ci indicherà quanto completa è la configurazione.
Non meno importante il check del header. Qualora avessimo una mail sospetta potremmo prelevare e verificare se i parametri siano configurati correttamente e la mail sia correttamente autenticata è possibile usare questo strumento: mxtoolbox.com/EmailHeaders.asp…
GESTORI DMARK
Come abbiamo visto è possibile gestire le segnalazioni mail a un indirizzo interno, ma potrebbe essere difficoltoso da comprendere e difficile avere una visione d’insieme delle campagne e mail segnalate..
Esistono dei tool che ci semplificano la vita, i report DMARK verranno inviati a questi servizi online.
Questi raccolgono questi dati, e li classificano, mostrandoli in modo semplice con dashboard grafiche.
Per citarne 2:
VALIMAIL: Valimail aiuta i professionisti IT e gli addetti al marketing non solo a implementare l’applicazione DMARC 4 volte più velocemente, ma anche a mantenerla, con una sicurezza maggiore rispetto a qualsiasi altra piattaforma di autenticazione e-mail.
CLOUDFLARE: Cloudflare DMARC Management aiuta a monitorare ogni origine che invia email dal dominio e a esaminare i report Domain-based Message Authentication Reporting and Conformance (DMARC) per ogni origine. I report DMARC aiutano a capire se i messaggi inviati dal tuo dominio superano l’autenticazione DMARC, l’autenticazione DKIM e i criteri SFP.
Abbiamo visto come funziona l’invio di una mail e le tecniche per difendere noi e gli altri da quelle fraudolente che potrebbero arrivare e il motivo per cui dovremmo difenderci attraverso gli antispam, che effettuano questi controlli per noi.
Essendo le mail uno dei principali vettori di attacco, consiglio vivamente di fare un piccolo check su tutti i domini in possesso, che solitamente impiega qualche decina di minuti per ridurre questi rischi.
Una volta configurati correttamente, non è più necessario intervenire su questi parametri, a meno che non aggiungete nuovi server smtp di inoltro. In questo caso sarà necessario aggiungere il nuovo server di inoltro nel SFP e il nuovo selettore nel DKIM.
Se sono presenti domini che non inviano mail (ma magari hanno siti web o landing page), è bene configurare anche questi domini privi di autenticazione che potrebbero essere usati per campagne di phishing o spoofing.
@Notizie dall'Italia e dal mondo Il nuovo articolo di @valori@poliversity.it La Fondazione Shell Usa ha elargito per dieci anni donazioni ai gruppi anti-clima coinvolti nel Project 2025 di ala trumpiana L'articolo La Fondazione Shell Usa foraggia il negazionismo climatico proviene da Valori.
“Vecchio software, aggiorno o rischio il crash? Dilemma Eterno“. Aggiornare o non aggiornare? Questo è il dilemma che spesso attanaglia molti, tanto da essere stato inserito nella OWASP Top 10 con il nome di “Vulnerable and Outdated Components” (Componenti software Obsoleti e Vulnerabili…qui il sito ufficiale) . Mi sono immaginato intervistatore di un possibile CTO di una ipotetica azienda. Riferimenti a fatti o persone reali sono puramente casuali.
Un Caffè con il CTO
Oggi ci sediamo virtualmente con la nostra tazza di caffè (o tè, se preferite) e parliamo di qualcosa che potrebbe sembrare un po’ noioso, ma che è in realtà cruciale per la sicurezza della nostra azienda: i Componenti Vulnerabili ed Obsoleti. Sì, lo so, non è il tipo di argomento che fa scaldare i cuori, ma fidatevi di me, è importante!
Intervistatore: Oggi abbiamo l’onore di ospitare il nostro CTO, che ci parlerà di un tema cruciale per la sicurezza delle nostre applicazioni: i componenti vulnerabili ed obsoleti. Benvenuto CTO!
CTO: Grazie, è un piacere essere qui!
Intervistatore: Cominciamo con una domanda semplice. Può spiegarci cosa sono esattamente i componenti software vulnerabili ed obsoleti?
CTO: Pensate ai componenti software come ai mattoncini che usiamo per costruire le nostre applicazioni. Alcuni di questi mattoncini possono essere vecchi e non più supportati dai produttori. Quando parliamo di componenti vulnerabili, ci riferiamo a pezzi di software che hanno falle di sicurezza note. Gli obsoleti, invece, sono quelli che non ricevono più aggiornamenti o supporto. Entrambi possono rappresentare un grosso rischio per la sicurezza delle nostre applicazioni.
Intervistatore: Interessante! Può fare un esempio per aiutarci a capire meglio?
CTO: Immaginate di avere una vecchia auto d’epoca. Funziona ancora e ha anche un certo fascino, ma i pezzi di ricambio sono difficili da trovare e la sicurezza non è al livello delle auto moderne. I componenti software obsoleti sono simili: possono funzionare, ma sono più suscettibili agli attacchi e difficili da mantenere sicuri.
Componenti Obsoleti e Vulnerabili
Intervistatore: Parlando di sicurezza, quali sono i rischi associati all’utilizzo di questi componenti?
CTO: Il rischio principale è che le vulnerabilità nei componenti software possono essere sfruttate dai criminali informatici per accedere ai nostri sistemi. È come avere una serratura difettosa: se un ladro scopre che non funziona bene, cercherà sicuramente di entrare. Le vulnerabilità permettono ai malintenzionati di fare proprio questo, mettendo a rischio i dati e le operazioni dell’azienda.
Intervistatore: Capisco. E quali strategie adottare per affrontare questo problema?
CTO: Abbiamo diverse strategie in atto. Prima di tutto, monitoriamo costantemente i nostri componenti per assicurarci che siano aggiornati e privi di vulnerabilità note. Poi, applichiamo aggiornamenti e patch regolarmente testandoli prima su una infrastruttura speculare ma non produttiva. Utilizziamo anche strumenti che verificano automaticamente le nostre dipendenze software, avvisandoci se qualcosa non va. Teniamo sempre aggiornati i manuali in modo che tutti possano sapere le versioni dei software o librerie presenti in produzione. Infine, investiamo molto nella formazione continua del nostro team per essere sempre pronti ad affrontare nuove minacce.
Consigli per i Componenti Datati
Intervistatore: È rassicurante sapere che ci sono così tante misure in atto. C’è qualche consiglio che vorrebbe dare alle altre aziende che affrontano lo stesso problema?
CTO: Sicuramente. Il primo consiglio è di non sottovalutare l’importanza degli aggiornamenti. Possono sembrare noiosi, ma sono fondamentali per mantenere la sicurezza. Inoltre, investire in strumenti di monitoraggio e formazione del personale è essenziale. E, naturalmente, avere sempre un piano di backup per quando le cose non vanno come previsto.
Intervistatore: Grazie mille per questi preziosi consigli! Prima di salutarci, c’è qualcos’altro che vorrebbe aggiungere?
CTO: Solo una cosa: la sicurezza non è mai un argomento da prendere alla leggera. Un buon controllo oggi può risparmiarci grandi problemi domani. Grazie per avermi ospitato, e buon lavoro a tutti!
Intervistatore: Grazie a lei per aver condiviso la sua esperienza e competenza. E grazie a voi per averci seguito.
Dover modificare profondamente un software o delle procedure perché un elemento del nostro processo di lavoro è datato è una attività sicuramente noiosa e snervante, specialmente se il lavoro fatto in precedenza non è adeguatamente documentato. Dover sistemare le cose perché è entrato un malware…è decisamente peggio.
While normally more comfortable with a soldering iron, [LucidScience] recently took a dive into woodworking and hardware store electronics to build a DIY proofing box. It’s a clever design that doubles as furniture, with some cool problem-solving along the way. While it might not be your typical hack, repurposing seedling heat mats and working with insulation makes it a neat project for anyone who likes to tinker. Plus, the whole thing cranks out two loaves of sourdough bread each week!
The setup includes an 8 watt heat mat, typically used for aquariums or seedlings, and a temperature control box, so no complicated wiring is needed. The entire box is insulated with rigid foam, which makes it energy efficient—once the foam was installed, the heat mat only needed to turn on about a quarter of the time. To give it a more polished look, [LucidScience] hid the raw plywood edges with oak trim, and even added an adjustable vent for moisture control. Pretty slick for something built from basic materials and a few tools!
While this proofing box isn’t a groundbreaking electronics project, it shows how even simple hardware can be repurposed for entirely new applications. The combination of woodworking and basic electronics makes it an approachable project for DIYers looking to stretch their skills. Whether you’re into hacking, woodworking, or just love good bread, this build has something for everyone. [LucidScience]’s clear instructions and simple materials make this a great weekend project that can upgrade your baking game.
@Notizie dall'Italia e dal mondo Il nuovo articolo di @valori@poliversity.it Le recenti dichiarazioni sulle armi di Kamala Harris rischiano di peggiorare una situazione già drammatica negli Stati Uniti L'articolo Stati Uniti, la campagna elettorale tra armi e machismo: comunque vada andrà male valori.it/armi-machismo-campag…
@ questo gruppo non serve solo per gli annunci ma anche per condividere la roadmap di sviluppo (da parte mia) raccogliere feedback o suggerimenti (da parte di chiunque), quindi ecco un piccolo promemoria di cosa ho in mente per il futuro:
possibilità di consultare e inserire le custom emoji nella schermata di creazione post,
possibilità di avere più account anonimi su diverse istanze, in modo da poter cambiare rapidamente da utente loggato su una a utente anonimo su un'altra,
ripristinare le newline nella schermata di creazione post (già fatto qui),
investigare un possibile bug per cui nella "Modalità forum" compaiono anche risposte di livello inferiore nel feed principale (sembra accadere solo su istanze Mastodon e non Friendica ma da capire).
July 1981 cover of CompuServe’s magazine. Long before the advent of the Internet and the World Wide Web, there were other ways to go online, with Ohio-based CompuServe being the first to offer a consumer-oriented service on September 24, 1979. In an article by [Michael De Bonis] a listener-submitted question to WOSU’s Curious Cbus is answered, interspersed with recollections of former users of the service. So what was CompuServe’s contribution to society that was so important that the state of Ohio gave historical status to the building that once housed this company?
The history of CompuServe and the consumer-facing services which it would develop started in 1969, when it was a timesharing and remote access service for businesses who wanted to buy some time on the PDP-10s that Golden United Life Insurance as the company’s subsidiary used. CompuServe divested in 1975 to become its own, NASDAQ-listed company. As noted in the article, while selling timeshares to businesses went well, after business hours they would have these big computer systems sitting mostly idly. This was developed by 1979 into a plan to give consumers with their newfangled microcomputers like the TRS-80 access.
Originally called MicroNet and marketed by Radio Shack, the service offered the CompuServe menu to users when they logged in, giving access to features like email, weather, stock quotes, online shipping and booking of airline tickets, as well as online forums and interactive text games.
Later renamed to CompuServe Information Service (CIS), it remained competitive with competitors like AOL and Prodigy until the mid-90s, even buying one competitor called The Source. Ultimately it was the rise of Internet and the WWW that would close the door on this chapter of computing history, even as for CompuServe users this new Internet age would have felt very familiar, indeed.
Many of us are very heavy computer users, and two items that can affect our comfort and, by extension, our health are the keyboard and the mouse. We’ve covered many ergonomic and customisable keyboards over the years, but we are not sure we’ve covered a fully adjustable mouse until now. Here’s [Charlie Pyott] with their second take on an adjustable mouse, the open source, statial-b.
[Charlie] goes into an extensive discussion of the design process in the video after the break, which is a fascinating glimpse into the methods used by a professional industrial designer. The statial concept breaks the contact surfaces of the mouse into fixed and moveable sections. The moveable sections are attached to the mouse core via a pair of ball joints connected with extendible arms, allowing the surfaces to be adjusted for both position and orientation. The design process starts with 3D scanning their ‘workhorse mouse,’ a Razer Deathadder Elite. This creates a reference volume within which the statial body should fit in its minimal configuration. So which mouse grip style are you into? The design has a fixed central core, with each button (including the central scroller) separately adjustable. The side panel with a pair of thumb buttons is also moveable. Creating a model in Rhino 3D working with the grasshopper visual programming environment [Charlies] explored the surface constraints for the base, claw, finger and vertical grip styles common among mouse users. This model was then fed into Fusion 360 for the detailed design. After completing the design, it was passed back into Rhino 3D to add lattice effects to the panel. This helps reduce weight and lets the internal LEDs shine through. The design is intended for resin printing, so you could go wild with the visuals by missing custom resins if you were so inclined.
For the electronics, [Charlie] based the design around an Arduino Pro Micro, taking input from a PWM3389 laser direction sensor module. These are soldered to a simple base PCB, which also houses PH series connectors for the moveable switches to hook into. Check out the GitHub project page for all the files and an excellent build guide! As mentioned earlier, we don’t see many custom mouse hacks, but here’s a nice DIY gaming mouse to look into. If desk space is tight, perhaps a DIY trackball is in order? And while thinking about input devices, what about a neat DIY PCB-coil 3D mouse?
It’s not news that Leonardo DaVinci was somewhat ahead of his time, and over the centuries many of the creations in his sketchbooks have been created and proved quite functional. The guys from the YouTube channel How To Make Everything have been looking at one such sketch, a screw thread-cutting machine. At first glance, it seems a little flawed. Threads are hard to make by hand, and you can see that this thread-cutting machine needs two identical threads operating as a reference to make it work. However, as the guys demonstrate, you can create threads by hand using simple methods.
Starting with an offset blade mounted on a block with a hole through it, a dowel can be scribed with a starter thread. This can then be worked by hand to cut enough of a groove for the application. They demonstrated that the machine was viable using nothing but wood for construction. A metal blade was mounted, and some preload force was applied to it with a spring. The dowel to be cut was loaded, and the machine ran back and forth enough times to create a very nice-looking screw thread. And once you’ve made two identical threaded dowels, you can use them to upgrade the machine or even build a second. Once you have a repeatable way to make such threads, all kinds of applications become more accessible. Need a bench vice? No problem now!
Whilst the demonstration doesn’t precisely follow the plans laid out by the master inventor, they aren’t all that clear on the cutting tool after all, it’s nice to see people still wanting to build his ideas, and we’ll certainly be following along.
Changelog: - supporto alle custom emoji, finalmente! 🎉🎉🎉 - cambio istanza rapido per utenti anonimi, - miglioramento layout anteprime e spoiler dei post, - apertura video in schermata di dettaglio, - possibilità di citare i post, - navigazione tra i campi dei form con azioni da tastiera, - indicazione visibilità nel dialog di dettaglio post, - nuove opzioni di formattazione (codice e testo barrato), - colore indicatori pull to refresh.
Fatemi sapere cosa ne pensate, sarò in trasferta un paio di giorni ma nel weekend torno operativo!
Una cosa da migliorare di cui mi sono accorto subito dopo la pubblicazione: pensando di fare una cosa utile, ho rimosso la possibilità di andare a capo nella creazione dei post mettendo l'azione "Invia".
Welcome back to 2010 and the Asus eeePC Netbook, Seashell series. (Credit: Igor Ljubuncic) It’s often said these days that computers don’t become outdated nearly as quickly as they did in the past, with even a decade-old computer still more than capable of handling daily tasks for the average person. Testing that theory, [Igor Ljubuncic] revisited the Asus eeePC which he purchased back in 2010. Although it’s not specified exactly which model it is, it features an Intel Atom N450 (1 core, 2 threads) running at 1.67 GHz, 1 GB of 667 MHz DDR2 and a 250 GB HDD, all falling into that ultra-portable, 10.1″ Netbook category.
When new, the netbook came with Windows 7 Starter Edition, which [Igor] replaced with Ubuntu Netbook Remix 10.04, which was its own adventure, but the netbook worked well and got dragged around the world on work and leisure assignments. With increasingly bloated updates, Ubuntu got replaced by MX Linux 18, which improved matters, but with the little CPU struggling more and more, [Igor] retired the netbook in 2019. That is, until reviving it recently.
Upon booting, the CMOS battery was of course empty, but the system happily continued booting into MX Linux. The Debian update repositories were of course gone, but changing these to the archive version allowed for some (very old) updates. This raised the question of whether modern Linux would even run on this ancient Atom CPU, the answer of which turned out to be a resounding ‘yes’, as MX Linux still offers 32-bit builds of its most recent releases. A 15 minute upgrade process later, and a 2 minute boot later, the system was running a Linux 6.1 kernel with Xfce desktop.
As for the performance, it’s rather what you expect, with video playback topping out at 480p (on the 1024×600 display) and applications like Firefox lacking the compact density mode, wasting a lot of screen space. Amazingly the original battery seems to still deliver about half the runtime it did when new. All of which is to say that yes, even a ‘low-end’ 2010-era netbook can still be a very usable system in 2024, with a modern OS.
Tidelift, azienda specializzata nel supporto e nella manutenzione di software open source, ha pubblicato il rapporto “2024 State of the Open Source Mantainer” . Lo studio si basa su un sondaggio condotto su 437 manutentori di progetti Open Source e rivela una serie di problemi e tendenze in quest’area.
Secondo il rapporto, il 12% degli intervistati riceve la maggior parte del proprio reddito da progetti Open Source. Gli sviluppatori che svolgono attività di manutentore come hobby non retribuito è pai al 60%, di cui il 44% vorrebbe ricevere un compenso monetario per il proprio contributo. Rispetto allo scorso anno la distribuzione delle risposte è rimasta pressoché invariata.
I manutentori pagati per il loro lavoro dedicano molto più tempo allo sviluppo dei progetti. Tra i manutentori “professionali” retribuiti, l’82% dedica più di 20 ore settimanali allo sviluppo. Tra i “dilettanti” solo l’8% degli intervistati può permettersi un carico di lavoro così temporaneo.
I manutentori “professionisti” hanno notato che i finanziamenti hanno permesso loro di lavorare su richieste di nuove funzionalità (64%), investigare e correggere bug e problemi di sicurezza (52%) e reclutare altri manutentori (26%).
Negli ultimi tre anni si è verificato un cambiamento significativo nella distribuzione del tempo dedicato alle questioni di sicurezza. Se nel 2021 trascorrevano il 4% del tempo, ora questa cifra ha raggiunto l’11%. Allo stesso tempo, i manutentori retribuiti dedicano il 13% del loro tempo alla sicurezza rispetto al 10% dei colleghi non retribuiti.
Dallo studio è emerso che il 60% dei manutentori ha pensato di abbandonare il progetto e il 22% lo ha già fatto. Tra i principali motivi di insoddisfazione per il proprio ruolo nel progetto, gli intervistati hanno citato: pagamento insufficiente o mancato (50%), sentirsi sottovalutati (48%), stress aggiuntivo (43%) e aspettative gonfiate degli utenti (39%).
Il rapporto dimostra anche il cambiamento della struttura per età della comunità dei manutentori. Negli ultimi tre anni, la percentuale di sviluppatori di età compresa tra 46 e 55 anni o tra 56 e 65 anni è raddoppiata. Allo stesso tempo, la percentuale dei manutentori sotto i 26 anni è scesa dal 25% nel 2021 al 10% quest’anno.
È interessante notare che il 45% degli intervistati sono manutentori Open Source da più di 10 anni.
This week Jonathan Bennett and and Randal Schwartz chat with Michael and Benedikt about Emba, the embedded firmware analyzer that finds CVEs and includes the kitchen sink! It does virtualization, binary analysis include version detection, and more. Check it out!
Did you know you can watch the live recording of the show Right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.
It’s been an eventful week in the fediverse, with the Swiss government ending their Mastodon pilot, the launch of the Social Web Foundation, Interaction Policies with GoToSocial and more!
Swiss Government’s Mastodon instance will shut down
The Swiss Government will shut down their Mastodon server at the end of the month. The Mastodon server was launched in September 2023, as a pilot that lasted one year. During the original announcement last year, the Swiss government focused on Mastodon’s benefits regarding data protection and autonomy. Now that the pilot has run for the year, the government has decided not to continue. The main reason they give is the low engagement, stating that the 6 government accounts had around 3500 followers combined, and that the contributions also had low engagement rates. The government also notes that the falling number of active Mastodon users worldwide as a contributing factor. When the Mastodon pilot launched in September 2023, Mastodon had around 1.7M monthly active users, a number that has dropped a year later to around 1.1M.
The Social Web Foundation has launched
The Social Web Foundation (SWF) is a new foundation managed by Evan Prodromou, with the goal of growing the fediverse into a healthy, financially viable and multi-polar place. The foundation launches with the support of quite a few organisations. Some are fediverse-native organisations such as Mastodon, but Meta, Automattic and Medium are also part of the organisations that support the SWF. The Ford Foundation also supports the SWF with a large grant, and in total the organisation has close to 1 million USD in funding.
The SWF lists four projects that they’ll be working on for now:
adding end-to-end encryption to ActivityPub, a project that Evan Prodromou and Tom Coates (another member of the SWF) recently got a grant for.
Creating and maintaining a fediverse starter page. There are quite a variety of fediverse starter pages around already, but not all well maintained.
A Technical analysis and report on compatibility between ActivityPub and GDPR.
Working on long-form text in the fediverse.
The SWF is explicit in how they define two terms that have had a long and varied history: they state that the ‘fediverse’ is equivalent with the ‘Social Web’, and that the fediverse only consists of platforms that use ActivityPub. Both of these statements are controversial, to put it mildly, and I recommend this article for an extensive overview of the variety of ways that the term ‘fediverse’ is used by different groups of people, all with different ideas of what this network actually is, and what is a part of it. The explicit exclusion and rejection of Bluesky and the AT Protocol as not the correct protocol is especially noteworthy.
Another part of the SWF’s announcement that stands out is the inclusion of Meta as one of the supporting organisations. Meta’s arrival in the fediverse with Threads has been highly controversial since it was announced over a year ago, and one of the continuing worries that many people express is that of an ‘Extend-Embrace-Extinguish’ strategy by Meta. As the SWF will become a W3C member, and will likely continue to be active in the W3C groups, Meta being a supporter of the SWF will likely not diminish these worries.
As the SWF is an organisation with a goal of evangelising and growing the fediverse, it is worth pointing out that the reaction from a significant group within the fediverse developer community is decidedly mixed, with the presence of Meta, and arguments about the exclusive claim on the terms Social Web and fediverse being the main reasons. And as the goal of the SWF is to evangelise and grow the fediverse, can it afford to lose potential growth that comes from the support and outreach of the current fediverse developers?
Software updates
There are quite some interesting fediverse software updates this week that are worth pointing out:
GoToSocial’s v0.17 release brings the software to a beta state, with a large number of new features added. The main standout feature is Interaction Policies, with GoToSocial explaining: “Interaction policies let you determine who can reply to, like, or boost your statuses. You can accept or reject interactions as you wish; accepted replies will be added to your replies collection, and unwanted replies will be dropped.”
Interaction Policies are a highly important safety feature, especially the ability to turn off replies, as game engine Godot found out this week. It is a part where Mastodon lags behind other projects, on the basis that it is very difficult in ActivityPub to fully prevent the ability for other people to reply to a post. GoToSocial takes a more practical route by telling other software what their interaction policy is for that specific post, and if a reply does not meet the policy, it is simply dropped.
Peertube 6.3 release brings the ability to separate video streams from audio streams. This allows people now to use PeerTube as an audio streaming platform as well as a video streaming platform.
The latest update for NodeBB signals that the ActivityPub integration for the forum software is now ready for beta testing.
Ghost’s latest update now has fully working bi-directional federation, and they state that a private beta is now weeks away.
In Other News
IFTAS has started with a staged rollout of their Content Classification Service. With the opt-in service, a server can let IFTAS check all incoming image hashes for CSAM, with IFTAS handling the required (for US-based servers) reporting to NCMEC. IFTAS reports that over 50 servers already have signed up to participate with the service. CSAM remains a significant problem on decentralised social networks, something that is difficult to deal with for (volunteer) admins. IFTAS’ service makes this significantly easier while helping admins to execute their legal responsibilities. Emelia Smith also demoed the CCS during last week’s FediForum.
The Links
All the speed demo videos of last week’s FediForum are now available on PeerTube.
Welcome to this week’s update, with lots of news regarding T&S on Bluesky, managed PDS hosting, and a deeper dive into the Jetstream!
The News
Bluesky released an update on their current efforts on Trust and Safety, listing all the features the team is currently working on. There are quite a few features being worked on that are great (better ban evasion detection, moderation feedback via app), and I want to highlight two of them:
Geography-specific labels. Bluesky is working to add the ability to remove posts only in certain countries, if they violate local laws but are allowed by Bluesky’s own guidelines. This is a feature that I’ll certainly be writing more about once more about it becomes known, as it poses tons of interesting questions about decentralised protocols and national internet sovereignty. As Bluesky’s own labels can be avoided in an open protocol by running your own infrastructure, it poses the questions of whether people actually do this to circumvent local laws, as well as the extend local governments will accept this (or understand it, to be honest).
With toxicity detection experiments, Bluesky aims to detect rude replies and potentially reduce their visibility, possibly by hiding them behind a ‘show more comments’ button. It puts Bluesky closer to what other networks are doing, which is hiding bad or spammy comments behind a button you have to click to see. My guess is that Bluesky also eventually will end up in this position, skipping the labeling part altogether.
A report by Brazilian investigative researchers finds that Bluesky is having difficulty moderation CSAM in Portugese, mapping 125 accounts that sell or share CSAM. Bluesky’s head of Trust & Safety already reported in early September that the sudden inflow of new users lead to a 10x increase in reported CSAM, as well as a more general strain on the moderation. Bluesky’s Emily Liu also stated in response to the report: “we’re taking this extremely seriously, and since the recent influx of users started, we’ve hired more human moderators (who are also provided mental health services) + implementing additional tooling that can quash these networks faster and more effectively”.
Bluesky has appointed a legal representative in Brazil, and will make an official announcement in the next few days. X not having a legal representative in Brazil is what ultimately led to a ban on X in Brazil. This week, X finally caved and appointed a representative, and X might become unbanned in the next few days again. It is worth watching how X becoming available again in Brazil will impact the current userbase of Brazilians on Bluesky. While some will undoubtedly go back to using X, the open question is how large this group will be.
In other news
With a maturity of the ecosystem, companies are starting to offer managed hosting of a PDS, both in the US as well as in Japan. It also raises interesting question regarding branding and marketing: both of these services explicitly advertise themselves as offering a Bluesky PDS: while that makes sense from the company’s perspective (very few people will understand what an atproto PDS is), I am entirely unclear if this desirable from the perspective of the Bluesky company.
Brazilian tech YouTuber Gabs Ferreira interviewed Bluesky engineer hailey about developing on Bluesky, focusing specifically on mobile and React Native (in English). Ferreira interviewed Bluesky CTO Paul Frazee last week, and will talk with Dan Abramov on 26-09.
Altmetric, which tracks engagement with academic research, is working on adding support for Bluesky.
EmbedSky is a new tool to ’embed the last thirty posts and reposts from your BlueSky timeline in your blog or website’. It works with OAuth, which facilitates that the tool can only be used to embed posts from your own account.
On Relays, Jetstreams and costs
Some semi-technical protocol discussion about relays is worth mentioning, since I see people on the other networks talk about it. First, a super simplified description of how atproto works: everyone’s data is stored in a simple database, which does not much else besides storing your data, called a PDS. A Relay scrapes all the PDS’s on the entire network, and turns it into an unending stream of updates, often colloquially called a firehose. An AppView takes all the data from the firehose and makes it presentable for a user (counting all the ‘likes’ on a post, for example).
People on other networks often assume that running a Relay is prohibitively expensive, and it turns out it is not: Bluesky engineer Bryan Newbold ran an extra full-network Relay for 150 USD/month, and recently someone confirmed this is still possible after the massive influx of new users.
Relays can be ‘expensive’ in another way though: a lot of the data that goes through a Relay is dedicated to making sure that the data is authenticated. This is the ‘Authenticated’ part in the name ‘Authenticated Transfer Protocol’. However, there are quite some use cases for which it is not necessary to validate every single event that comes through the firehose, such as a simple bot that listens for certain keywords. In that case, they can get by with a simpler version of the firehose.
Two versions of such a simpler version, called a Jetstream, launched this week. Bluesky engineer Jaz released their own version of a Jetstream, accompanying with an extensive blog post in which they describe how it works. They note that this reduces traffic activity by 99%, all while running on a 5$/month VPS. Jaz also says that an official Bluesky version of a Jetstream is coming soon.
Skyware (who recently released a lightweight labeler as well) also has their own version of a Jetstream available as well.
Frontpage, a HackerNews-like build on top of atproto, now has OAuth login.
That’s all for this week, thanks for reading! You can subscribe to my newsletter to receive the weekly updates directly in your inbox below, and follow me on Bluesky @laurenshof.online.
It’s honestly amazing the range of fascinating talks we have lined up for this year’s Supercon. From art robots that burp and belch to gliders returning from near-space, from hardcore DSP to DIY PCBs, and sketching with machines, Hackaday’s Supercon is like nothing else out there.
And in case you’re already coming, you don’t have a talk slot reserved, but you’ve still got something that you want to say, please sign yourself up for a Lightning Talk! In the spirit of the Lightning, we’ll be taking submissions up to the absolute last minute, and we will fit in as many short talks as possible, but when it does fill up, we’ll be giving priority to those who got in first.
We’ve got one more speaker announce coming up, and of course our keynote speaker and the badge reveal. Supercon will sell out so get your tickets now before it’s too late. So without further ado, here is our next round of stellar speakers!
Katherine Connell Sprite Lights: LED Body Art
Sprite Lights are 1.5 mm thick LED body art, think a light up temporary tattoo. Join Katherine “Smalls” Connell to hear about the 6-year journey to create the impossible as a self taught maker. From hundreds of rapid prototypes, and smelting metal in her driveway to reflowing home made flexible circuits on a griddle, Sprite Lights is a testament that when you’re willing to try anything, you can create everything.
James Rowley Using an Oscilloscope to Peek Below the Noise Floor
In this talk, we will explore the DSP magic that allows lock-in amplifiers to detect signals hidden below the noise floor. By making a change to the measurement setup, these devices can isolate and measure faint signals amidst noise a hundred dB higher. Lock-in amplifiers are used in various applications, from sensitive photonics research to next-generation battery research and quantum computing. We’ll also show you how to use your oscilloscope as a lock-in amplifier, enabling a low-cost entry point to these niche instruments.
Nanik Adnani A Hacker’s Guide to Analog Design in a Digital World
When someone says analog design – what do you think of? If I had to guess I would say you don’t associate it with modern technology. And yet – analog circuits and the designers that build them play a critical role in every modern electronic device, especially the digital ones. In this talk I will provide an overview of the incredible analog circuits in our pockets, and often already in our projects. Once you’re convinced – I’ll show that analog design isn’t as hard as you think and how a few simple concepts can significantly improve your next project, while providing examples with some of mine.
Justin McAllister and Nick Foster Finding Beamo – from interference to numbers stations, how to track down radio transmissions
In a world increasingly reliant on wireless communication, the ability to track down and understand the sources of radio transmissions has never been more critical. From identifying interference in urban environments to the enigmatic world of numbers stations, “Finding Beamo” will take the audience on a journey through the fascinating and often mysterious world of locating radio transmissions.
Randy Glenn Yes, you CAN use the Controller Area Network outside of cars
The Controller Area Network (CAN) is used in cars, trains, buses, planes, and spacecraft – but it’s useful for all sorts of cases where systems need to communicate. I’ll talk about how you can use this technology to transfer data between microcontrollers and larger computers, and will present an example application that you can use as a starting point.
Yohan Hadji Ultralight Glider Returns Home from the Stratosphere
This talk will give you an overview of all the technical challenges to solve to get a sub-250g UAV to autonomously return to home after releasing from a stratospheric balloon at 100,000 ft altitude.
Zach Fredin The Circuit Graver
We all must strive to minimize iteration time. Designing and testing an idea in a single sitting spawns great things! It’s why we visit fab labs and love laser cutters and push the 3D printers in the corners of our apartments to the absolute limit. But circuit tools haven’t kept up; once you’re done mashing together breakout boards, your choices of milling, conductive-pasting, or home etching all leave a bit to be desired; they’re often messy, delicate, and lack the precision to reach the funnest parts in the catalog. Ugh, I need to go smaller than SOICs, and I don’t want to wait a week for commercial boards!
Here, I present and freely share significant progress on a novel method I’ve been poking at over the last few years which demonstrates the feasibility of fabricating 4/4 PCBs at home!
Priyanka Makin Tech to Hack Embodiment
Tech constantly takes us out of the present moment and beckons us into the internet wormhole, but can we use technology to explore our emotions and root us in the now or even our physical bodies? At supercon, I would love to talk about my Body of Work series and how I used technology to interrogate my own embodiment.
My Body of Work is a series of tech-powered body part sculptures that relate to my own relationship with my body and come together to make an unconventional self-portrait. I’d like to start my talk with a bit of my research on the origins of artificial life, what embodiment is, and why acknowledging our bodies is important.
Blair Subbaraman Sketching with Machines
Artists, craftspeople, and scientists are highly skilled makers. Yet, software for making physical things often overlooks existing skill sets, forcing practitioners to work against built-in assumptions to accomplish their goals. Using examples from digital art, ceramics, and plant biology, this talk will consider how creative practices can guide the development of digital fabrication systems and communities.
Eduardo Contreras “Cats Turned Plumbers: Embedded Linux Adventures”
A bit of our journey deploying embedded Linux systems, and integrating drivers on the Linux kernels, from the hardware, to the kernel.
[If you read this far, you probably want tickets. Just sayin’.]
@Informatica (Italy e non Italy 😁) L’indagine Ipsos sul fenomeno deepfake, tra consapevolezza e preoccupazione Il 46% degli italiani crede che l’intelligenza artificiale aumenti di molto il rischio di disinformazione, secondo una nuova indagine Ipsos dal titolo “Deepfake: consapevolezza e
L'articolo proviene da #Euractiv Italia ed è stato ricondiviso sulla comunità Lemmy @Intelligenza Artificiale Nel 1944 nascevano a Bretton Woods le prime istituzioni delle Nazioni Unite. Il 22 settembre 2024, ottanta anni dopo, l’Assemblea
𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻💻🍕
in reply to 𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻💻🍕 • •Altre correzioni:
RaccoonForFriendica reshared this.