It’s fair to say that the average Hackaday reader enjoys putting together custom electronics. Some of those builds will be spaghetti on a breadboard, but at some point you’ll probably have a project that needs a permanent case. If you’re looking for a small case for your latest creation, check out [Julius Curt’s] modification of an IKEA Vårsyren lantern into a customizable enclosure!

Like most things IKEA, the Vårsyren lantern is flat pack — but rather than coming as a collection of wooden components, the lantern is made of sheet metal. It’s hexagonal in shape with a pair of three sided panels, so [Curt] simply snaps one of them off to make three sides of the final case. The other three sides are 3D printed with the STEP files provided so the case can be made to fit anything around 60x60x114 mm in size.

If flat pack hacking is up your alley, make sure to check out this IKEA 3D printer enclosure next!

youtube.com/embed/IFn1qn9qHpg?…

Thanks [Clint] for the tip!

hackaday.com/2025/09/09/turnin…

È stata scoperta una pericolosa vulnerabilità in Apache Jackrabbit che può causare l’esecuzione remota di codice arbitrario e la compromissione dei sistemi aziendali. Il problema è registrato come CVE-2025-58782 e colpisce due componenti chiave contemporaneamente: Jackrabbit Core e JCR Commons. L’errore è presente in tutte le versioni dalla 1.0.0 alla 2.22.1 ed è considerato importante in termini di gravità.

Il problema è legato alla deserializzazione non sicura dei dati quando si utilizzano richieste JNDI nei repository JCR. Se un’applicazione accetta parametri esterni per connettersi a un repository, un aggressore può iniettare un indirizzo JNDI dannoso. Il componente vulnerabile interpreta quindi l’oggetto codificato nel collegamento, consentendo al criminale informatico di eseguire comandi arbitrari sul server. Questo scenario apre la strada al furto di informazioni, all’installazione di backdoor o al controllo completo dell’infrastruttura.

Le distribuzioni che utilizzano JndiRepositoryFactory per trovare repository JCR sono particolarmente vulnerabili. In questo caso, un URI sostituito consente la distribuzione di un payload dannoso, che viene poi elaborato dal sistema senza un’adeguata verifica. Grazie alla deserializzazione automatica, lo sfruttamento non è impedito dai meccanismi di sicurezza integrati e il potenziale danno dipende direttamente dal livello di privilegi con cui è in esecuzione il processo Jackrabbit.

Uno degli sviluppatori principali del progetto, Marcel Reutegger, ha confermato il bug e ha esortato gli amministratori ad aggiornare immediatamente. La correzione è inclusa nella versione 2.22.2, dove le richieste JNDI sono disabilitate di default. Chi necessita della funzionalità dovrà abilitarla manualmente, controllando attentamente tutte le impostazioni. Chi non può aggiornare rapidamente alla nuova versione è invitato a disabilitare almeno le ricerche JNDI e a monitorare le connessioni sospette associate a URI esterni.

Il pericolo è che una tale falla possa essere automatizzata tramite exploit, trasformando i server non protetti in un bersaglio facile. Apache Jackrabbit è ampiamente utilizzato per la gestione dei contenuti, la ricerca aziendale e l’archiviazione di documenti, quindi la portata dei possibili attacchi è stimata come significativa. All’interno del progetto, l’errore è registrato con il numero JCR-5135 e le informazioni al riguardo sono state pubblicate nel database ufficiale di Apache e nel catalogo CVE . Il problema è stato segnalato dal ricercatore James John, che viene ringraziato nel bollettino.

Gli esperti avvertono: visti i tentativi di sfruttamento già registrati, ritardare l’aggiornamento è estremamente rischioso. Una transizione tempestiva alla versione 2.22.2 o la disattivazione di meccanismi non sicuri potrebbero diventare l’unica barriera tra i dati aziendali e gli aggressori.

L'articolo Vulnerabilità RCE in Apache Jackrabbit: sfruttamento in atto, aggiornare subito proviene da il blog della sicurezza informatica.

The European Commission has made deregulation a top priority for the EU over the next four years. Under the banner of ‘simplifying’ EU rules, we risk seeing the entire digital rulebook – for which we have advocated for years – being stripped away. If the EU wants a healthy, competitive tech market that puts people at its center, then this deregulation push is not only bad for the protection of fundamental rights, but is also an act of self-sabotage which must be reversed.

The post Deregulating digital rights: Why the EU’s war on ‘red tape’ should worry us all appeared first on European Digital Rights (EDRi).

Le aziende italiane che utilizzano piattaforme di telefonia online (VoIP) basate su software open-source come Asterisk e Vicidial, si affidano a questi sistemi per contattare quotidianamente i cittadini italiani, proponendo la vendita di prodotti e servizi di varia natura.

Paragon Sec, durante una ricerca nelle underground, ha individuato numerosi call center di aziende italiane attivi in diversi settori dalla promozione di pannelli fotovoltaici alla fornitura di acqua, luce e gas, fino a prodotti di benessere.

Quello che abbiamo scoperto, però, è allarmante: una fuga di registrazioni audio private tra operatori e clienti, rese pubblicamente accessibili sul web senza alcuna protezione.

Perché è un problema di sicurezza e privacy

Le registrazioni audio dei call center non sono semplici file tecnici dentro ci sono voci, dettagli personali e informazioni quotidiane dei cittadini italiani. Se questi contenuti finiscono online senza protezione, i rischi diventano reali e immediati.

• Frodi e truffe telefoniche: chiunque ascolti questi audio può usare numeri di telefono e dettagli personali per fingere di essere un operatore, ingannare le persone e ottenere ulteriori informazioni sensibili.
• Furto di identità: i dati anagrafici, se combinati con altre informazioni pubbliche, possono essere sfruttati per aprire contratti, richiedere finanziamenti o fare acquisti a nome delle vittime.
• Phishing e social engineering: dalle registrazioni emergono abitudini, preferenze e necessità dei clienti, informazioni preziose per costruire attacchi mirati, difficili da riconoscere come falsi.
• Violazione della dignità e della fiducia: ascoltare conversazioni che avrebbero dovuto restare private mina il rapporto tra cittadini e aziende, generando un clima di sfiducia generalizzata.

Inoltre, la voce è un dato biometrico. Questo apre scenari inquietanti: truffe bancarie via telefono, ordini falsi impartiti ad assistenti virtuali, e persino manipolazioni nei contesti lavorativi o familiari.

Violazione della normativa privacy

Il GDPR (Reg. UE 2016/679) e il Codice Privacy italiano (D.lgs. 196/2003) impongono obblighi precisi:

• Consenso esplicito e informato prima di registrare le conversazioni.
• Diritto di accesso, correzione o cancellazione dei dati personali.
• Conservazione dei dati solo per il tempo strettamente necessario.

L’esposizione di questi file online, senza autenticazione, cifratura o controlli di accesso, rappresenta una violazione diretta della legge e può comportare sanzioni rilevanti.

Se non protette, queste registrazioni possono essere sfruttate per frodi, phishing e social engineering, con rischi immediati per clienti e operatori.

Come sono state trovate le registrazioni

Le registrazioni non erano custodite in archivi riservati né nel dark web: erano semplicemente disponibili online, accessibili a chiunque sapesse dove cercare.

Il nostro team di analisti ha utilizzato la piattaforma di terze parti, che hanno un motore di ricerca che indicizza dispositivi e server esposti su Internet. Attraverso query mirate è stato possibile individuare server di call center italiani che utilizzavano piattaforme come Asterisk o Vicidial.

Questi sistemi, se configurati male, espongono cartelle contenenti file .wav o .mp3 delle conversazioni tra operatori e clienti. Alcuni server mostravano anche directory web navigabili senza autenticazione, un errore di sicurezza basilare che ha reso le registrazioni accessibili a chiunque.

Molti di questi sistemi, basati su Asterisk e Vicidial, erano configurati senza autenticazione o cifratura, rendendo pubblicamente accessibili registrazioni riservate.

Impatti per le aziende italiane

Le aziende coinvolte rischiano:

• Multe salate da parte del Garante Privacy.
• Perdita di fiducia da parte dei clienti.
• Danni reputazionali difficili da recuperare.

Le registrazioni audio non espongono solo le aziende, ma soprattutto i cittadini italiani che ogni giorno ricevono telefonate dai call center. Le conversazioni trapelate contengono informazioni che possono avere conseguenze dirette e concrete.

In un contesto in cui la protezione dei dati è cruciale per la protezioni dei dati personali.

Conclusioni

Il caso delle registrazioni audio dei call center italiani trovate online non è un semplice incidente tecnico è la prova di come configurazioni errate e mancanza di controlli di base possano trasformarsi in una minaccia concreta per aziende e cittadini.

Per le aziende, significa esporsi a multe, perdita di fiducia e danni reputazionali difficili da recuperare. Per i cittadini, invece, il rischio è diretto: frodi telefoniche, furto di identità, phishing mirato e persino l’uso della propria voce come dato biometrico per creare falsi digitali.

Paragon Security, qualora contattata, mette a disposizione le informazioni acquisite alle aziende dei call center interessate.

L'articolo Le Aziende italiane dei call center lasciano online tutte le registrazioni audio proviene da il blog della sicurezza informatica.

470 civil society society organisations, trade unions and public interest groups are making it clear to European Commission President Ursula von der Leyen, European Commissioners and EU Member States that our rights, planet, health and justice are not for sale. They call on EU lawmakers to protect and promote the rights enshrined in the EU Charter and international human rights law, instead of endangering them.

The post Open Letter: The EU weakens the rules that safeguard people and the environment appeared first on European Digital Rights (EDRi).

Manuel Roccon, leader del team etico HackerHood di Red Hot Cyber, ha realizzato una dettagliata dimostrazione video su YouTube che espone in modo pratico come funziona CVE-2025-8088 di WinRAR.

Il video mostra passo dopo passo le tecniche utilizzate dagli aggressori per compromettere i sistemi delle vittime attraverso un semplice doppio click su un archivio RAR malevolo.

Il bug CVE-2025-8088 di WinRAR

Il bug in questione è di tipo directory traversal ed è stato sfruttato attivamente in campagne di phishing mirate.

Come spiegato nell’articolo “Hai fatto doppio click su WinRAR? Congratulazioni! Sei stato compromesso”, un archivio manipolato può estrarre file in directory critiche, come le cartelle di avvio automatico di Windows, bypassando la normale destinazione di estrazione selezionata dall’utente.

I Rischi concreti: phishing ed esecuzione di malware

Quando gli attaccanti posizionano il malware nelle cartelle %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp, il sistema operativo lo esegue automaticamente al successivo avvio, consentendo loro di avviare codice dannoso, backdoor o altri payload malevoli.

I ricercatori hanno attribuito questi exploit al gruppo RomCom (noto anche come Storm-0978, Tropical Scorpius, Void Rabisu o UNC2596), un collettivo cyber-criminale legato alle operazioni di spionaggio russo.

youtube.com/embed/HDZaJsO1wSc?…

Originariamente focalizzato sull’Ucraina, il gruppo ha ampliato i propri obiettivi, attaccando entità legate a progetti umanitari e altre organizzazioni europee. Le loro campagne si avvalgono di malware proprietario e tecniche sofisticate di persistenza e furto dati.

Patch disponibile, ma aggiornamenti manuali necessari

Fortunatamente, gli sviluppatori hanno risolto la vulnerabilità rilasciando WinRAR versione 7.13. Tuttavia, a causa dell’assenza di aggiornamenti automatici in WinRAR, molti utenti potrebbero rimanere esposti se non eseguono manualmente l’update scaricandolo dal sito ufficiale. Questo ritardo nell’adozione della patch ha permesso al bug di essere sfruttato a lungo prima della sua correzione.

Il video realizzato da Manuel Roccon mette in evidenza il valore formativo delle dimostrazioni “hands-on”.

Guardare concretamente come gli attaccanti nascondono i file malevoli in percorsi di sistema critici e li attivano senza alcuna interazione dell’utente aiuta ad aumentare la consapevolezza sul reale impatto della vulnerabilità. Questi contenuti divulgativi sono fondamentali per stimolare un’adozione più rapida delle buone pratiche di sicurezza e la tempestiva installazione degli aggiornamenti.

L'articolo Tasting the Exploit: HackerHood testa l’exploit di WINRAR CVE-2025-8088 proviene da il blog della sicurezza informatica.

All’interno di un test di sicurezza, i ricercatori di Ethiack hanno trovato un modo per aggirare anche i firewall per applicazioni Web più severi utilizzando una tecnica insolita: l’iniezione di JavaScript tramite inquinamento dei parametri HTTP. L’oggetto del test era un’applicazione ASP.NET con le regole di filtraggio più rigide. Qualsiasi tentativo di iniettare costrutti XSS standard veniva bloccato, ma grazie alle peculiarità dell’elaborazione dei parametri duplicati, i ricercatori sono stati in grado di raccogliere un payload funzionante che il firewall non aveva nemmeno rilevato.

La chiave per aggirare il problema era che il metodo ASP.NET HttpUtility.ParseQueryString() combina parametri identici utilizzando le virgole.

Pertanto, una stringa di query come q=1’&q=alert(1)&q=’2 si trasforma nella sequenza 1′,alert(1),’2. Quando inserita in JavaScript, questa diventa jsuserInput = ‘1’,alert(1),’2; – ovvero, il codice diventa sintatticamente corretto e l’operatore virgola richiama alert. Questo comportamento consente la distribuzione di frammenti dannosi su più parametri ed evita i classici controlli di firma. Mentre ASP.NET e ASP classico combinano i valori, altre piattaforme come Golang o Python Zope funzionano con gli array, quindi la tecnica non è applicabile ovunque.

Per verificarne la robustezza, sono state testate diciassette configurazioni di diversi fornitori: AWS WAF, Google Cloud Armor, Azure WAF, open-appsec, Cloudflare, Akamai, F5, FortiWeb e NGINX App Protect.

Sono stati utilizzati quattro tipi di payload, rientranti in semplici iniezioni come q=’;alert(1) fino ad arrivare a quelle più complesse con delimitatori e bypass euristici. Solo Google Cloud Armor con ModSecurity, Azure WAF Default Rule Set 2.1 e tutti i livelli di sensibilità di open-appsec sono stati in grado di bloccare completamente tutte le varianti. Mentre le soluzioni AWS WAF, F5 e Cyber Security Cloud hanno fallito in tutti gli scenari. La percentuale complessiva di bypass è aumentata dal 17,6% per una richiesta di iniezione di base al 70,6% per l’inquinamento dei parametri avanzato.

L’hackbot autonomo utilizzato dai ricercatori è riuscito a trovare una soluzione alternativa per le soluzioni che hanno superato i test manuali. In Azure WAF, è stato possibile utilizzare l’elaborazione incoerente dei caratteri di escape tramite la sequenza test’;alert(1);//. In open-appsec, lo strumento ha trovato un’opzione funzionante in mezzo minuto anche per il profilo “critical”, variando le chiamate da alert a confirm e passando a costruzioni più ingegnose come q=’+new Function(‘a’+’lert(1)’)()+’. Per Google Cloud Armor, non è stato possibile aggirare il filtro, ma l’analisi ha mostrato che la logica del server è sensibile alle maiuscole e alle minuscole, il che potrebbe creare delle falle in futuro.

I risultati dei ricercatori di sicurezza evidenziano i limiti sistemici dei WAF basati su firme e persino quelli euristici. Il rilevamento completo degli attacchi distribuiti su più parametri richiederebbe una profonda comprensione della logica di un framework specifico e un’analisi nel contesto JavaScript , difficile da implementare a livello di proxy.

I tentativi di implementare il machine learning non garantiscono inoltre la sostenibilità, poiché i bot adattivi si adattano rapidamente e trovano pattern sicuri per se stessi.

In definitiva, i ricercatori ci ricordano che i firewall non possono essere l’unica barriera: la convalida degli input, un’adeguata schermatura e solide pratiche di sviluppo sono tutti elementi necessari. La combinazione di creatività umana e strumenti automatizzati dimostra quanto velocemente anche le vulnerabilità non standard possano essere esposte e perché i test continui rimangano imprescindibili.

L'articolo Gli Hacker bypassano i WAF più rigidi con una riga JavaScript! Morale? Scrivi sicuro sempre proviene da il blog della sicurezza informatica.

Matthew Bryant, un ricercatore specializzato in sicurezza, ha reso noto recentemente Thermoptic, uno strumento innovativo che funziona da proxy HTTP.

Questo strumento è in grado di camuffare le richieste di rete in modo che appaiano come traffico proveniente dal browser Chrome, consentendo così di eludere i sistemi di blocco che si basano sulle impronte digitali. Infatti, servizi del calibro di Cloudflare stanno sempre più adottando questi metodi per identificare client i “non umani”, quali ad esempio bot o parser altamente specializzati.

Thermoptic consente di utilizzare le comuni utilità da riga di comando, ma di far passare le loro richieste come vere richieste del browser. Sincronizza contemporaneamente diversi livelli di “firme” di rete, da TLS e HTTP a certificati X.509 e pacchetti TCP. Di conseguenza, le impronte digitali che il servizio vede dall’esterno coincidono con quelle generate dal vero Chrome.

Lo strumento funziona interagendo con un’istanza reale di Chrome o Chromium tramite il protocollo di debug CDP. Thermoptic genera il contesto necessario, ad esempio un clic su un link o una chiamata fetch(), esegue la richiesta nel browser e restituisce la risposta al client. Grazie a questo, tutti i dettagli di basso livello solitamente utilizzati per distinguere i bot corrispondono.

È possibile implementare un proxy tramite Docker con un solo comando. Per impostazione predefinita, un container viene creato con proxy del traffico tramite una porta locale, ma l’autore del progetto consiglia di modificare login e password predefiniti e, se necessario, di installare un certificato radice per evitare errori di verifica HTTPS.

Lo strumento supporta anche la connessione di “hook“, piccoli script che consentono di superare automaticamente i controlli JavaScript o di impostare i cookie necessari prima di eseguire una richiesta.

Secondo l’autore, la principale differenza tra Thermoptic e altri approcci è che non imita il comportamento del browser, ma utilizza il browser stesso per eseguire la richiesta. Ciò riduce il rischio di desincronizzazione tra i livelli di rete e rende lo strumento meno vulnerabile alle modifiche negli algoritmi di fingerprinting.

Bryant sottolinea che la creazione di Thermoptic è legata al crescente interesse per le tecnologie di fingerprinting come JA4+, attivamente implementate nei moderni WAF e nei sistemi anti-bot. Allo stesso tempo, sottolinea che la responsabilità dell’utilizzo dello strumento ricade interamente sugli utenti e che il progetto stesso è concepito come un esperimento nel campo degli strumenti aperti per ricercatori e sviluppatori.

L'articolo Thermoptic: lo strumento per bypassare i sistemi di blocco basati sulle impronte digitali proviene da il blog della sicurezza informatica.

eSentire ha segnalato la scoperta di una nuova botnet chiamata NightshadeC2, che utilizza metodi non convenzionali per aggirare la protezione e le sandbox. Il malware viene distribuito tramite versioni contraffatte di programmi legittimi come CCleaner, Express VPN , Advanced IP Scanner ed Everything, nonché tramite lo schema ClickFix, in cui alla vittima viene richiesto di inserire un comando in una finestra Esegui dopo aver completato un captcha falso.

La caratteristica principale di NightshadeC2 è una tecnica chiamata dagli esperti “UAC Prompt Bombing“. Il downloader esegue uno script di PowerShell che tenta di aggiungere il malware all’elenco di esclusione di Windows Defender. Se l’utente rifiuta di confermare l’azione tramite il prompt di sistema UAC, la finestra viene visualizzata ripetutamente, impedendo all’utente di utilizzare il computer finché non acconsente.

Questo metodo impedisce efficacemente anche l’esecuzione del malware nelle sandbox: se il servizio Defender è disabilitato, lo script si blocca in un loop e il payload non viene eseguito. Questo gli consente di bypassare ambienti di analisi come Any.Run, CAPEv2 e Joe Sandbox.

Il payload principale di NightshadeC2 è scritto in C, ma sono state rilevate anche versioni semplificate in Python, presumibilmente generate tramite intelligenza artificiale. La variante in C utilizza le porte 7777, 33336, 33337 e 443, mentre Python utilizza la porta 80. Il file infetto, mascherato da updater.exe, raccoglie informazioni sull’IP di sistema e sull’IP esterno una volta eseguito, utilizza la crittografia RC4 per comunicare con il server di comando e stabilisce la persistenza nel sistema tramite le chiavi di registro Winlogon, RunOncee Active Setup.

NightshadeC2 offre un’ampia gamma di funzionalità che consentono agli aggressori di assumere il pieno controllo del sistema infetto. Il malware fornisce accesso remoto tramite reverse shell , avviando sessioni nascoste di PowerShell o da riga di comando, può scaricare ed eseguire file aggiuntivi in formato DLL o EXE e, se necessario, rimuoversi dal dispositivo.

NightshadeC2 supporta il controllo remoto completo, inclusi screenshot ed emulazione delle azioni dell’utente, e può anche eseguire browser nascosti (Chrome, Edge, Firefox e Brave) su un desktop separato. Inoltre, NightshadeC2 registra le sequenze di tasti premuti e le modifiche negli appunti ed è in grado di estrarre password e cookie dai browser installati che utilizzano i motori Chromium e Gecko.

I dati utente vengono salvati in file nascosti, i cui nomi dipendono dal livello di diritti (ad esempio, JohniiDeppe LuchiiSvet). Il keylogger utilizza una finestra nascosta e hook WinAPI standard per catturare le sequenze di tasti e il contenuto degli appunti. Gli aggressori possono controllare il sistema infetto: copiando e incollando testo, emulando input, avviando browser o finestre di sistema sul desktop nascosto. Alcune varianti di NightshadeC2 ricevono l’indirizzo del server di controllo direttamente dal profilo Steam, il che consente di modificare C2 senza aggiornare il malware stesso.

Sono stati identificati anche due metodi per aggirare il Controllo dell’account utente (UAC) . Uno sfrutta una vecchia vulnerabilità nel server RPC, l’altro è integrato nel bootloader e si attiva sui sistemi precedenti a Windows 11. Il secondo sfrutta una combinazione di rege schtasks, che avvia il malware con privilegi elevati senza l’intervento dell’utente e lo aggiunge alle eccezioni di Windows Defender.

Per proteggersi da questo problema, gli esperti consigliano di disattivare la finestra Esegui tramite GPO (sezione del menu Start e della barra delle applicazioni), di formare i dipendenti a riconoscere il phishing e l’ingegneria sociale e di utilizzare soluzioni EDR o NGAV moderne in grado di rilevare comportamenti non standard del malware .

Secondo i ricercatori, NightshadeC2 è uno strumento versatile con funzionalità di backdoor, spionaggio e controllo stealth, e la tecnica della bomba UAC utilizzata è un modo semplice ma efficace per aggirare sia la protezione dell’utente sia l’analisi automatizzata.

L'articolo NightshadeC2, la nuova botnet che utilizza metodi non convenzionali per aggirare la protezione proviene da il blog della sicurezza informatica.

Questo volume offre certamente una lettura nuova del cristianesimo: ricco di realismo, venato sensibilmente di una sottile ironia, pregno di dialoghi con autori moderni e contemporanei. L’A., giovane studioso francese, insegna all’Institut Catholique di Parigi e firma colonne su La Croix e su Le Figaro. A dire il vero, il titolo originario suona Le bon chrétien, tradotto in italiano in modo provocatorio; non si tratta di una traduzione fedelmente letteraria, ma si intravede tuttavia la volontà dirompente che le pagine intendono presentare.

Il sintomo patologico che indica e determina la malattia del cristianesimo è, secondo l’A., un’agognata calma, una buona sistemazione di coscienza, la percezione di essere arrivati alla presunzione di essere buoni. In effetti, «il buon cristiano non è, non sarà e non cerca mai e poi mai di essere, un uomo “ben sistemato”. Il buon cristiano, se esiste, è quello che ogni giorno dice a se stesso: adesso cominciamo ad essere cristiani! È l’uomo che ha deciso di essere felice e non ha paura di rivolgersi al mondo!» (p. 25).

L’inquietudine e la turbolenza della mente e del cuore – c’è molto del pensiero di Pascal nell’argomentazione dell’A. – mantengono le persone sempre in cammino, sempre tese nella ricerca di libertà e di gioia. Al lettore non sfugge, pur se non citato, un pensiero ricorrente nelle conversazioni che papa Francesco aveva con i gesuiti: la tensione al magis, sostenuta da un’irrequietezza spirituale che rifugge dalla paludosa stasi della mente.

Da questo soqquadro interiore può nascere l’incontro con la persona e il programma di Gesù. La gente non irrequieta ma ben sistemata, «arrivata» nella società, sicura della sua collocazione sociale è quella che non cerca Gesù: questo è il velenoso risultato della borghesia. Colui che sente di aver ricevuto un insegnamento religioso che non ha significato per la sua esistenza non può accettare la mediocrità e si volge a una pienezza umana, all’allegria di vivere. Questa tensione verso la pienezza umana, di tutto l’umano, è il disegno di Gesù, e la sua manifestazione è la gioia versata nell’esistenza. Questa progettualità non appartiene alla borghesia, ma è costitutiva dell’essere cristiano.

La seconda parte del volume si snoda con aperture critiche su eventi storici che hanno scandito momenti della Chiesa, soprattutto in Francia: la crisi illuministica, lo svuotamento delle chiese, la carenza di vera cultura cristiana, l’imborghesimento del cristianesimo avvenuto nei secoli XVIII e XIX, la critica di Nietzsche al cristianesimo borghese (belle pagine contro il falso cristianesimo, la staticità borghese), la fase ultimale contemporanea che porta all’anestesia dell’anima. È vero che l’A. ha la propensione a relazionarsi con la cultura francese – e soprattutto francesi sono i suoi interlocutori del mondo moderno e contemporaneo –, ma la diagnosi attenta e dettagliata delle distorsioni accumulatesi nel cristianesimo è di una diamantina attualità.

Non possiamo non riconoscere il costante dialogo che l’A. attua con personaggi cardine della cultura moderna, in particolare della cultura laica (Pascal, Claudel, Bergson, Bach, Rimbaud, Houellebecq e altri ancora): con essi e per essi si va a scrutare spesso cosa il Vangelo annunziava, cosa Paolo proclamava. Questo dialogo, questa amorevole e inattesa conversazione con illustri testimoni della verità e del pensiero fa del volume un’affascinante avventura spirituale, certamente una cristiana provocazione al paludoso mondo dell’inerzia borghese, questa mefitica aria che tenta di screditare la bellezza della fede in Gesù.

Il libro si legge con piacere, apre mondi di domande e speranze, dispiega il prisma della gioia che la scelta per Gesù arreca nel tessuto sociale, familiare ed ecclesiale. Le pagine 181-190, che concludono il volume, sono un piccolo tesoro: si tratta di poche, ma sostanziali «parole chiave» (i sacramenti, il cristiano, la fede, la santità, la preghiera, la parola di Dio, l’ascesi) che distillano nella brevità la loro essenza.

The post Chi crede non è un borghese first appeared on La Civiltà Cattolica.

Since e-ink first hit the market a couple decades back, there’s always murmurs of “that’d be great as a second monitor”— but very, very few monitors have ever been made. When the commecial world is delivering very few options, it leaves room for open source hardware projects, like the Modos Glider and Paper Monitor, projects now seeking funding on Crowd Supply.

As far as PC monitors go, the Modos isn’t going to win many awards on specs alone. The screen is only 13.3″ across, and its resolution maxes out at 1600 x 1200. The refresh rate would be totally unremarkable for a budget LCD, at 75 Hz. This Paper Monitor isn’t an LCD, budget or otherwise, and for e-ink, 75 Hz is a blazing fast refresh rate.

Before you declare noone could get productive work done on such a tiny screen, stop and think that that screen is larger, and refreshing faster, than everyone’s favourite Macintosh. It can even run up to 8x the colour depth, and people got plenty done back in the day with just black-and-white. Some people still do.

Now that we’ve defended the idea, let’s get to the good part: it’s not just a monitor being crowdsourced. The driver board, called Glider, is fully open with code and design files on the Modos Labs GitHub repository. We sometimes complain about what counts as open hardware, but these guys are the true quill. Glider is using an FPGA with a custom clever configuration to get screens refreshing at that impressive 75 Hz. With the appropriate panel (there’s a list on Git– you’ll need an E Ink branded display, but you aren’t limited to the 13.3″ panel) the board can drive every pixel independently, forcing updates only on those pixels that need them. That’s an impressive trick and we’re not surprised it needed an FPGA to pull off. (It uses a Xilinx Spartan 6, for the record, running a config called Casper)

Because everything is open source, you can do things like you see in the API demo video (embedded below), where every panel in what looks like a tiled display manager is running a different picture mode. (There are more demo videos at the CrowdSupply page). We’re not sure how often that would come up in actual use– that functionality is not yet exposed to a window manager, for example, though it may yet be. Perhaps more interesting is the ability to customize specific refresh modes oneself, rather than relying on someone else’s idea of what a “browsing” or “gaming” mode should be.

For anyone interested, there’s still time to get in on the ground floor: the campaign on CrowdSupply ends September 18, 2025 at 04:59 PM PDT, and has levels to nab yourself a dev kit. It’s 599 USD for the 13″ and 199 USD for a 6″ version. (It’s the same board, just different displays.) For anyone not interested, there is no deadline for not buying things, and it usually costs nothing.

Thanks to [moneppo] for the tip!

youtube.com/embed/AoDYEZE7gDA?…

hackaday.com/2025/09/08/modos-…

[Rex Malik] didn’t need an alarm clock. That’s because he had one of two “home computer terminals” next to his bed and, as you can see in the video below, it made quite a racket. The terminal looks like an ASR33 with some modifications. In 1967, it was quite a novelty and, of course, it didn’t have any real processing power. It connected to an “invisible brain” ten miles away.

What do you do with a computer in 1967? Well, it looks like you could trade stocks. It also apparently managed his shopping list and calendar. His young son also learned some letters and numbers. We’d love to hear from the young [Mr. Malik] today to find out what kind of computer he’s using now.

The BBC announcer made some fair predictions. One day, they supposed, every home would have a computer “point” to plug in a rented terminal. They were saying the rent was, at that time, £30 a week. That was relatively steep in those days. Especially considering it couldn’t play Doom or download cat memes.

We couldn’t help but notice that [Malik’s] bedroom had a single bed. With the TeleType going off at all hours, we aren’t really surprised. While it might not be able to download cat memes, the old TeleTypes could download a text-based web page. Well, once there was a web, anyway. This beats the kitchen computer, although we have to admit that at least the kitchen device was really a computer in your home.

youtube.com/embed/w6Ka42eyudA?…

hackaday.com/2025/09/08/retrot…