IT'S MONDAY, AND THIS IS DIGITAL POLITICS. I'm Mark Scott, and this is my current state of mind as the "summer lull" keeps on throwing up major event after major event. Pace yourself, people.

— The European Union and the United States agreed to a tariff deal. Almost none of it will affect the digital sector, so expect further tension ahead.

— The US and China put out separate visions for global AI governance. The differences will force countries to pick one side or the other.

— Energy consumption related to artificial intelligence, data centers and cryptocurrencies is expected to double between 2022-2026.

Let's get started:

digitalpolitics.co/newsletter0…

After more than forty years, everyone knows that it’s time to retire the X Window System – X11 for short – on account of it being old and decrepit. Or at least that’s what the common narrative is, because if you dig into the chatter surrounding the ongoing transition there are some real issues that people have with the 16-year old spring chicken – called Wayland – that’s supposed to replace it.

Recently [Brodie Robertson] did some polling and soliciting commentary from the community, breaking down the results from over 1,150 comments to the YouTube community post alone.

The issues range from the expected, such as applications that haven’t been ported yet from X11 to Wayland, to compatibility issues – such as failing drag and drop – when running X11 and Wayland applications side by side. Things get worse when support for older hardware, like GeForce GT610 and GT710 GPUs, and increased resource usage by Wayland are considered.

From there it continues with the lack of global hotkeys in Wayland, graphics tablet support issues, OBS not supporting embedded browser windows, Japanese and other foreign as well as onscreen keyboard support issues that are somehow worse than on X11, no support for overscanning monitors or multiple mouse cursors, no multi-monitor fullscreen option, regressions with accessibility, inability of applications to set their (previously saved) window position, no real automation alternative for xdotool, lacking BSD support and worse input latency with gaming.

Some users also simply say that they do not care about Wayland either way as it offers no new features they want. Finally [Brodie] raises the issue of the Wayland developers not simply following standards set by the Windows and MacOS desktops, something which among other issues has been a point of hotly debated contention for years.

Even if Wayland does end up succeeding X11, the one point that many people seem to agree on is that just because X11 is pretty terrible right now, this doesn’t automatically make Wayland the better option. Maybe in hindsight Mir was the better choice we had before it pivoted to Wayland.

youtube.com/embed/yURfsJDOw1E?…

hackaday.com/2025/07/28/waylan…

Telegram ha introdotto un bot ufficiale progettato per verificare l’età degli utenti scansionando i loro volti. Come sottolineato da Code Durov, la funzione è disponibile nel Regno Unito, dove la legislazione richiede alle piattaforme online di confermare se l’utente ha raggiunto la maggiore età. Per accedere ai contenuti per adulti è richiesta la verifica. La descrizione del bot recita: “Nessuna immagine o dato lascerà mai il tuo dispositivo o raggiungerà i nostri server”.

I nuovi requisiti sono entrati in vigore nel Regno Unito il 25 luglio. Da quel giorno, le autorità hanno obbligato i servizi online a proteggere il pubblico più giovane da contenuti dannosi, tra cui risorse contenenti informazioni su autolesionismo, suicidio, disturbi alimentari e siti pornografici. Le modifiche alla legislazione mirano anche a proteggere i minori da bullismo, propaganda e materiali offensivi online.

Le piattaforme che pubblicano contenuti “per adulti” sono ora tenute a verificare l’età del loro pubblico. La mancata conformità può comportare una multa fino a 18 milioni di sterline o fino al 10% del fatturato annuo dell’azienda. La verifica dell’età deve essere effettuata utilizzando la tecnologia di riconoscimento facciale o altri metodi affidabili, come il controllo della carta di credito.

Secondo la BBC, circa 6.000 siti porno hanno già iniziato a effettuare tali controlli. Misure simili vengono introdotte anche da altre piattaforme, tra cui Reddit, Discord e app di incontri.

Già in passato avevamo raccontato come piattaforme come PornHub e YouPorn si siano mosse in anticipo per adeguarsi a queste nuove normative, introducendo sistemi di verifica dell’età per tutelarsi da sanzioni milionarie.

Telegram, però, rappresenta un caso particolare: oltre a essere usato da milioni di utenti per messaggistica tradizionale, ospita anche numerosi canali pornografici gestiti da creator che vendono la propria immagine direttamente all’interno del social. Questo rende la questione ancora più delicata, perché parliamo di una piattaforma che ha un’enorme popolarità e che, fino a oggi, non aveva mai adottato un sistema ufficiale di controllo per contenuti per adulti.

Il debutto del nuovo bot ufficiale per la verifica dell’età è quindi un segnale importante: Telegram tenta di adeguarsi a una normativa sempre più stringente, ma resta da capire se queste misure saranno davvero sufficienti a regolamentare un fenomeno così vasto e difficile da controllare.

L'articolo PornHub, YouPorn si adeguano alle leggi UK… e Telegram introduce il bot per correre ai ripari proviene da il blog della sicurezza informatica.

La compromissione di una libreria JavaScript ampiamente utilizzata ha messo a rischio milioni di progetti in tutto il mondo. Il pacchetto in questione è un componente fondamentale, ma passato inosservato, dell’ecosistema Node.js per anni. È proprio questa utility leggera per il controllo dei tipi e la convalida dei valori ad essere diventata l’ultima vittima di un attacco alla supply chain, e questa volta le conseguenze sono particolarmente devastanti.

L’incidente è iniziato con una campagna di phishing in cui gli aggressori hanno rubato le credenziali degli sviluppatori per pubblicare pacchetti su NPM. Dopo aver ottenuto l’accesso, hanno silenziosamente cambiato i proprietari del progetto e pubblicato versioni dannose della libreria, dalla 3.3.1 alla 5.0.0. Secondo John Harband, il principale responsabile della manutenzione, le build infette sono rimaste pubblicamente disponibili per circa sei ore, durante le quali avrebbero potuto essere scaricate da migliaia di sviluppatori.

La portata della distribuzione è particolarmente allarmante: “is” viene utilizzato in un’ampia gamma di progetti, dai sistemi di compilazione e strumenti CLI alle librerie di test. Secondo NPM, il pacchetto viene scaricato più di 2,8 milioni di volte a settimana. Gli aggiornamenti automatici e l’assenza di blocchi di versione (lockfile) hanno aumentato significativamente le probabilità di infezione dei progetti finali, soprattutto nei grandi ecosistemi.

L’analisi di Socket ha dimostrato che il codice dannoso in “is” era un generico loader JavaScript. Avviava una connessione WebSocket inversa, raccoglieva dati di sistema (nome host, tipo di sistema operativo, architettura della CPU e tutte le variabili d’ambiente) e li inviava tramite una libreria ws importata dinamicamente. Ogni messaggio in arrivo tramite il socket veniva eseguito come codice JavaScript, consentendo di fatto all’aggressore di accedere in remoto al dispositivo.

Contemporaneamente, altri pacchetti hackerati nella stessa campagna distribuivano un malware incentrato su Windows chiamato Scavanger. Questo spyware raccoglieva le password salvate dai browser e manteneva una comunicazione segreta con il server di comando e controllo. Le sue tecniche di elusione includevano l’uso di chiamate di sistema indirette e canali C2 crittografati. Tuttavia, in alcuni casi, Scavanger poteva attivare avvisi da Chrome a causa di tentativi di manipolarne i flag di sicurezza.

L’elenco dei pacchetti interessati, oltre a “is”, include: eslint-config-prettier, eslint-plugin-prettier, synckit, @pkgr/core, napi-postinstall e got-fetch. Tutti hanno ricevuto aggiornamenti dannosi tra il 18 e il 19 luglio 2025, a indicare un attacco coordinato con uno script preimpostato. Il fulcro della campagna di phishing era il dominio fittizio npnjs[.]com, che gli aggressori hanno utilizzato per indurre gli sviluppatori legittimi a fornire credenziali di accesso e token.

Gli esperti avvertono che l’attacco potrebbe non limitarsi ai casi già noti: gli aggressori hanno probabilmente ottenuto l’accesso ad altre credenziali e potrebbero presto iniziare a distribuire nuove build dannose. Si consiglia vivamente agli sviluppatori di reimpostare immediatamente password e token, disabilitare gli aggiornamenti automatici delle dipendenze, utilizzare file di blocco e congelare temporaneamente le versioni di tutte le librerie pubblicate dopo il 18 luglio.

L’incidente “is” è un’ulteriore conferma della fragilità del modello di fiducia che sostiene l’intero ecosistema open source. Un singolo pacchetto non rilevato può aprire una porta secondaria in migliaia di sistemi aziendali e consumer, e nessuno se ne accorgerà finché non sarà troppo tardi.

L'articolo Attacco alla supply chain: milioni di progetti a rischio per la violazione di una libreria JavaScript proviene da il blog della sicurezza informatica.

When it comes to getting retro hardware running again, there are many approaches. On one hand, the easiest path could be to emulate the hardware on something modern, using nothing but software to bring it back to life. On the other, many prefer to restore the original hardware itself and make sure everything is exactly as it was when it was new. A middle way exists, though, thanks to the widespread adoption of FPGAs which allow for programmable hardware emulation and [Jo] has come up with a new implementation of the Commodore 64 by taking this path.

The project is called the VIC64-T9K and is meant as a proof-of-concept that can run the Commodore 64’s VIC-II video chip alongside a 6502 CPU on the inexpensive Tang Nano 9k FPGA. Taking inspiration from the C64_MiSTer project, another FPGA implementation of the C64 based on the DE10-Nano FPGA, it doesn’t implement everything an original Commodore system would have had, but it does provide most of the core hardware needed to run a system. The project supports HDMI video with a custom kernel, and [Jo] has used it to get a few demos running including sprite animations.

Built with a mix of Verilog and VHDL, it was designed as a learning tool for [Jo] to experiment with the retro hardware, and also brings a more affordable FPGA board to the table for Commodore enthusiasts. If you’re in the market for something with more of the original look and feel of the Commodore 64, though, this project uses the original case and keyboard while still using an FPGA recreation for the core of the computer.

hackaday.com/2025/07/28/commod…