Have you heard of the Sprengel pump? It’s how they drew hard vacuum back before mechanical pumps were perfected — the first light bulbs had their vacuums drawn with Sprengel pumps, for example. It worked by using droplets of a particular liquid to catch air particles, and push them out a narrow tube, thereby slowly evacuating a chamber. The catch is that that liquid used to be mercury, which isn’t something many of us have on hand in kilogram quantities anymore. [Gabriel Wolffe] had the brainwave that one might substitute modern vacuum pump oil for mercury, and built a pump to test that idea.

Even better, unlike the last (mercury-based) Sprengel pump we saw, [Gabriel] set up his build so that no glassblowing is required. Yes, yes, scientific glassblowing used to be an essential skill taught in every technical college in the world. Nowadays, we’re glad to have a design that lets us solder brass fittings together. Technically you still have to cut an eyedropper, but that’s as complex as the glasswork gets. Being able to circulate oil with a plastic tube and peristaltic pump is great, too.

If you try it, you need to spring for vacuum pump oil. This type of pump is limited in the vacuum it can draw by the vapor pressure of the fluid in use, and just any oil won’t do. Most have vapor pressures far in excess of anything useful. In the old days, only mercury would cut it, but modern chemistry has come up with very stable oils that will do nearly as well.

How well? [Gabriel] isn’t sure; he bottomed out his gauge at 30 inches of Mercury (102 kPa). It may not be any lower than that, but it’s fair to say the pump draws a healthy vacuum without any unhealthy liquid metals. Enough to brew up some tubes, perhaps.

youtube.com/embed/WczS2cb8ppA?…

hackaday.com/2025/09/17/oil-ba…

Die Piratenpartei ist beim W3C (World Wide Web Consortium, – dem internationalen Gremium zur Standardisierung von Web-Technologien) mit einem besonders datensparsamen Vorschlag zur Altersverifikation im Internet vorgestellig geworden. Das Verfahren arbeitet dezentral und lokal auf dem Gerät des Nutzers. Dadurch werden keinerlei persönliche Daten an den Betreiber einer Webseite übermittelt, während dieser zugleich vom Aufwand einer aufwendigen Altersprüfung entlastet wird.

Unser Konzept sieht vor, dass im Header des Webseiten-Quelltexts oder in App-Protokollen vermerkt wird, ob eine Altersverifikation erforderlich ist. Browser und Apps prüfen diese Angabe standardmässig und erkennen, ob ein Nutzer die zuvor festgelegte Altersfreigabe erfüllt. Diese Lösung lässt sich auch gerätebasiert umsetzen.

Pascal Fouquet, Vizepräsident der Piratenpartei Bern und ehemaliger Leiter des Referendums gegen das Jugendschutzgesetz (www.auszweiszwang-nein.ch): „Das ist eine klassische Win-win-win-Situation: keine Datensammelei über Nutzer, minimaler Aufwand für Webseitenbetreiber – einfach, sicher und schnell umgesetzt.“

Die Lösung der Piratenpartei unterstreicht ihre führende Expertise an der Schnittstelle von Digitalisierung und Politik. Anstatt sich wie andere allein auf die E-ID als vermeintlich unverzichtbare Lösung für die Altersverifikation im Internet zu fixieren, bietet dieses Konzept eine deutlich einfachere, datensparsame und die Privatsphäre wahrende Alternative. Nutzer benötigen keine E-ID und müssen sich nicht auf jeder Webseite ausweisen. Webseitenbetreiber profitieren von minimalem Aufwand, da eine einzige Zeile Code ausreicht. Durch eine Integration beim W3C werden Browserhersteller nahtlos in die Umsetzung eingebunden, was diesen Vorschlag für alle Beteiligten attraktiv und zukunftsweisend macht.

Jorgo Ananiadis, Präsident der Piratenpartei Schweiz: „Die Piraten haben diese Idee bereits im Rahmen des Referendums gegen den Ausweiszwang im Internet vorgeschlagen. Umso mehr stellt sich die Frage, warum sie bislang niemand aufgegriffen hat. Unsere Lösung ist schlicht besser als jede Altersverifikation mit einer E-ID.“

Renato Sigg, Vorstand Piratenpartei Zürich: „Diese Lösung respektiert unsere liberale Gesellschaft und gibt Eltern gleichzeitig die nötigen Mittel zur Hand, um das Kindeswohl zu schützen. Sie ist eine deutlich datensparsamere und weniger aufwändige Variante einer Alterskontrolle als die E-ID.“

Im Folgenden noch Kontext und einige technische Aspekte:
Das W3C arbeitet an einem einfachen Standard, mit dem jede Website im HTML-Header angeben kann, ob sie altersbeschränkte Inhalte enthält. Dies kann über ein simples Meta-Tag geschehen, das Kurzcodes wie p (Pornografie), v (Gewalt), n (keine Beschränkung) und weitere verwendet.
Auf Nutzerseite ist beispielsweise die Jugendschutzfunktion direkt im Browser integriert. Enthält eine Website eingeschränkte Inhalte, wird blokiert oder vor dem Zugriff ein Passwort abgefragt.
Entscheidend ist, dass dieser Vorgang lokal abläuft: Es werden keine persönlichen Daten an Websites übermittelt und es braucht keine zentrale Behörde. Die volle Kontrolle bleibt beim Nutzer.
Für Browserhersteller bedeutet dies lediglich eine kleine zusätzliche Funktionalität – der Aufwand bleibt überschaubar. Auch der Gesetzgeber könnte anstelle einer verpflichtenden Altersverifikation vorschreiben, dass Anbieter eine solche Kategorisierung im Header einfügen.

Alexis Roussel, ehemaliger Co-Präsident der Piratenpartei Schweiz: „Diese Lösung respektiert die Digitale Integrität der Menschen. Die E-ID nicht.“

Weitere Hintergrundinformationen:
Es gibt bereits einen Tag „Restricted to adults“ (RTA), aber erstens definiert dieser nur, dass die Website für Kinder gesperrt ist, ohne eine detaillierte Kategorie wie Glücksspiel, Pornografie oder Gewalt anzugeben. Zweitens wird dieser Tag hauptsächlich von Kinderschutzsoftware oder Suchmaschinen von Drittanbietern verwendet, um ihre SafeSearch-Funktion zu filtern. Drittens ist „<meta name=“RATING“ content=“RTA-5042-1996-1400-1577-RTA“ />“ viel länger als nötig.
Ebenfalls gibt es meta-tags mit adult oder family_friendly, die aber auch nur von Suchmaschinen verwendet werden.
Der grosse Unterschied zu den bestehenden Systemen ist, dass in diesem Vorschlag einerseits die Kategorien feingranularer und multidimensional sind, andererseits die Umsetzung standardmässig im Browser oder Gerät sichergestellt wird.

piratenpartei.ch/2025/09/17/pi…

Trump and the global far-right are trying to discredit Europe’s tech laws with misinformation and political pressure, fearing that these regulations might disrupt their ability to undermine democracy. If Europe wants to safeguard its democracy and its credibility as a global regulatory leader in tech, the European Commission needs to enforce these law swiftly and decisively.

The post Why Europe’s new tech laws have the world on edge appeared first on European Digital Rights (EDRi).

A Meshtastic node has been one of the toys of the moment over the last year, and since they are popular with radio amateurs there’s a chance you’ll already live within range of at least one. They can typically run from a lithium-ion or li-po battery, so it’s probable that like us you’ve toyed with the idea of running one from a solar panel. It’s something we have in common with [saveitforparts], whose experiments with a range of different solar panels form the subject of a recent video.

He has three different models: one based around a commercial solar charger, another using an off-the-shelf panel, and a final one using the panel from a solar garden light. As expected the garden light panel can’t keep an ESP32 with a radio going all day, but the other two manage even in the relatively northern climes of Alaska.

As a final stunt he puts one of the nodes out on a rocky piece of the southern Alaskan coastline, for any passing hacker to find. It’s fairly obviously in a remote place, but it seems passing cruise ships will be within its range. We just know someone will take up his challenge and find it.

youtube.com/embed/rh1tN8CnPL0?…

hackaday.com/2025/09/17/the-pr…

Google ha modificato la sua strategia di aggiornamento della sicurezza Android, interrompendo per la prima volta in un decennio la sua tradizione di divulgare mensilmente le vulnerabilità. Nel bollettino di luglio 2025, l’azienda non ha segnalato una singola vulnerabilità, per la prima volta in 120 pubblicazioni. Ma a settembre, l’elenco includeva 119 correzioni contemporaneamente.

Il motivo non è che luglio fosse “sicuro”, ma che Google sta passando a un nuovo modello di sistema di aggiornamento basato sul rischio (RBUS). Ora, gli aggiornamenti mensili conterranno solo correzioni per le vulnerabilità “ad alto rischio”, ovvero quelle attivamente sfruttate o che fanno parte di catene di attacco note. Le vulnerabilità rimanenti saranno raggruppate in importanti rilasci trimestrali: a marzo, giugno, settembre e dicembre.

L’azienda sottolinea che questo approccio semplificherà il lavoro dei produttori di smartphone. Dovranno integrare meno patch negli aggiornamenti mensili, il che aumenterà la probabilità di una loro pubblicazione tempestiva. Allo stesso tempo, i produttori potranno concentrarsi su aggiornamenti trimestrali più consistenti, che diventeranno il canale principale per la distribuzione della maggior parte delle correzioni.

Google sottolinea che in precedenza molte aziende limitavano gli aggiornamenti di sicurezza a una cadenza bimestrale o trimestrale, soprattutto per i modelli più economici. La nuova programmazione dovrebbe contribuire a uniformare la distribuzione e garantire che i dispositivi siano protetti almeno trimestralmente.

Il ciclo tradizionale di gestione delle vulnerabilità rimane lo stesso. I ricercatori segnalano i problemi scoperti, Google li conferma e assegna loro degli identificatori CVE. Gli ingegneri sviluppano quindi una soluzione e, se la vulnerabilità è critica e interessa componenti di Project Mainline, l’aggiornamento può essere distribuito direttamente tramite Google Play System Update.

L’Android Security Bulletin, disponibile sia in versione pubblica che in versione chiusa, rimane un elemento chiave. Il bollettino chiuso viene inviato ai fornitori 30 giorni prima della pubblicazione per dare loro il tempo di testare le patch. Questo periodo sarà ora più lungo per le release trimestrali, sollevando preoccupazioni tra gli sviluppatori di terze parti.

Pertanto, i rappresentanti di GrapheneOS avvertono: più lungo è l’intervallo tra distribuzione e pubblicazione, maggiore è il rischio di fuga di informazioni su vulnerabilità che possono essere sfruttate da aggressori. Anche se per ora questa rimane una minaccia ipotetica.

Un altro svantaggio del nuovo processo è che il codice sorgente delle patch viene ora pubblicato solo per gli aggiornamenti trimestrali. Questo complica ulteriormente le cose per la community delle ROM personalizzate, che non sarà più in grado di includere tempestivamente le patch mensili.

Nonostante i cambiamenti, Google assicura che gli utenti i cui dispositivi ricevono già aggiornamenti mensili continueranno a riceverli. Per altri, il passaggio a RBUS dovrebbe migliorare la prevedibilità e la frequenza degli aggiornamenti. “Android e Pixel risolvono le vulnerabilità mensilmente, ma diamo sempre priorità a quelle più rischiose”, ha dichiarato un portavoce dell’azienda.

L'articolo Google cambia la strategia Android: basta patch mensili, solo fix basate sul rischio proviene da il blog della sicurezza informatica.

Kering, colosso del lusso e della moda, ha ufficializzato che un episodio di violazione dei dati è stato perpetrato ai danni dei clienti delle sue principali firme, tra cui Gucci, Balenciaga e Alexander McQueen, da parte di ShinyHunters, gli stessi autori della minaccia che abbiamo avuto modo di intervistare di recente, i quali erano riusciti ad accedere a informazioni private degli utenti.

La violazione, rilevata a giugno ma verificatasi ad aprile, ha esposto informazioni di identificazione personale (PII) di circa 7,4 milioni di indirizzi e-mail univoci.

Nessun dato regolamentato dallo standard PCI-DSS, come numeri di carte di credito o dettagli di conti bancari, è stato esfiltrato. I file includono invece nomi, indirizzi email, numeri di telefono, indirizzi di spedizione e un campo “Vendite totali” che indica la spesa cumulativa di ciascun cliente.

La BBC riferisce che l’aggressore, autoidentificatosi come Shiny Hunters, ha affermato di aver negoziato un riscatto in Bitcoin (BTC) con Kering a partire da giugno tramite Telegram. Kering nega qualsiasi trattativa a pagamento e conferma di attenersi alle linee guida delle forze dell’ordine che impongono di rifiutare il pagamento del riscatto.

Secondo la dichiarazione di Kering, l’aggressore ha ottenuto un accesso temporaneo non autorizzato tramite credenziali interne compromesse, probabilmente raccolte tramite una campagna di phishing che prendeva di mira i portali SSO di Salesforce. Il set di dati rubato contiene:

• E-mail
• Nome e cognome
• Numero di telefono
• Indirizzo di spedizione
• Vendite totali

L’analisi di un campione proof-of-concept ha rivelato fasce di spesa che vanno da 10.000 a 86.000 dollari a persona, aumentando le preoccupazioni relative allo spear-phishing. Kering ha informato le autorità competenti per la protezione dei dati ai sensi dell’articolo 33 del GDPR e ha comunicato direttamente con i clienti interessati via e-mail.

Parallelamente, il Threat Analysis Group di Google attribuisce una campagna simile, identificata come UNC6040, a Shiny Hunters, rilevando lo sfruttamento di token API rubati e l’uso improprio di ambiti OAuth per raccogliere credenziali da altre grandi aziende.

Si consiglia a tutti i clienti di reimpostare le password e di rivedere le impostazioni di recupero dell’account per tutti i profili email e di e-commerce. Prestare attenzione a chiamate o email indesiderate che richiedono un intervento urgente può aiutare a contrastare frodi successive.

L'articolo ShinyHunters viola Gucci, Balenciaga e Alexander McQueen: 7,4 milioni di record esposti proviene da il blog della sicurezza informatica.