[error]: lp0 on fire
Daniele Verducci 🧉 likes this.
reshared this
Daniele Verducci 🧉 likes this.
reshared this
reshared this
J. Alfred Prufrock likes this.
Maronno Winchester reshared this.
reshared this
Credo che dipenda dal fatto che l'Italia è fondamentalmente un paese di vecchi e conservatori con una scarsa istruzione (o quantomeno) con una scarsa propensione all'innovazione.
Altrimenti non si spiega come mai andiamo sempre in direzione ostinata e contraria.
Some weeks ago I was reading Thoreau's "On the Duty of Civil Disobedience" aloud at bed-time to my son, who of course does not understand it but appreciates the sound of the words all the same, when I discovered that its famous title was in fact not the original! The original title was significantly more radical: "Resistance to Civil Government."
It's quite short, and I would encourage everyone here to read (or re-read) it. It is still tremendously relevant. Re-reading it with the original (un-sanitized) title in mind, it lands even harder.
These days, Thoreau would probably get his door kicked in.
Here's a free link to the Project Gutenberg copy: gutenberg.org/files/71/71-h/71…
Share your favorite quotes, after reading.
J. Alfred Prufrock reshared this.
18-07-2023 - Evento italiano mensile per discutere di XMPP.
XMPP è l'acronimo di "Extensible Messaging and Presence Protocol" ed è costituito da un insieme di tecnologie aperte per la messaggistica istantanea, la presenza, la chat multi-party, le chiamate vocali e video, la collaborazione, il middleware leggero, la syndication di contenuti e l'instradamento generalizzato di dati XML.
Maggiori informazioni su xmpp.org/
Il MUC XMPP in italiano al quale si è fatto riferimento: xmpp:xmpp-it@conference.meet.s…
J. Alfred Prufrock likes this.
J. Alfred Prufrock reshared this.
Firefox has surpassed Chrome on Speedometer
Link: treeherder.mozilla.org/perfher…
Discussion: news.ycombinator.com/item?id=3…
J. Alfred Prufrock reshared this.
Cari Amich, mi sono permesso di immaginare un percorso che possa prendere una piccola organizzazione digiuna di informatica per entrare nel fediverso. Le mie riflessioni, assieme ad una spiegazione per profani di cosa è il fediverso e cosa vuol dire autogestire unaistanza la trovate qui
reshared this
reshared this
#Mozilla può disabilitare da remoto alcune estensioni di #Firefox, o disattivarle quando si visitano alcuni domini "for various reasons, including security concerns".
Purtroppo è stata inavvertitamente nascosta la notifica all'utente di quando questo avviene.
!Informatica (Italy e non Italy 😁)
thehackernews.com/2023/07/new-…
Mozilla has introduced a new feature called Quarantined Domains, which blocks certain add-ons on specific sites due to security risks.The Hacker News
like this
reshared this
Chi non si fida di Mozilla, per quanto mi riguarda, è un utile idiota per Google e le sue pratiche monopolistiche che hanno distrutto il web.
Nel mondo del browsing tutto quello che fa Mozila è configurabile, onesto (a parte un paio di passi falsi nel passato) e open source, l'opposto di Google. E prima che mi diciate che Chromium è open, è palesemente tattica EEE che infatti ha funzionato e praticamente distrutto tutta la competizione, perfino da parte di Microsoft.
like this
Io uso solo FF, Tor Browser e librewolf. Non sono proprio un accanito sostenitore di Chromium.
E capisco che ai soldini di Google la Foundation non possa rinunciare.
Però, proprio perché voglio bene al gecko e al panda rosso, ogni volta ci voglio credere, e ogni volta ci resto male 🤷♂️
dado likes this.
Per cosa sei rimasto male in questo caso? Per una UI fatta male al primo rilascio? Per la funzionalità in sé?
Pretendere standard altissimi da progetti con saldi principi, a volte non raggiunti nemmeno da chi con ben altre risorse ed utilizza pratiche immorali e pericolose, può anche fare male a quei progetti e soprattutto alle comunità.
like this
@MrAlagos in questo caso, per la funzionalità in sé. Ma questa è una mia opinione.
Ho condiviso una nuova caratteristica che reputo indesiderata. Magari c'è qualcuno che la reputerà davvero utile per la sicurezza della propria navigazione: questo non ne farebbe, per quanto mi riguarda, un utile idiota.
Io non credo che la condivisione di questa modifica da parte mia possa nuocere alla community più della sua stessa introduzione, perché colpisce proprio quel senso di fiducia che preferirei riporre nel progetto.
skariko likes this.
Classico Silicon Valley: noi siamo i buoni e vi potete fidare che bloccheremo solo le estensioni brutte e cattive. Se invece è uno stato a fare la stessa cosa sono dei dittatori.
Secondo me hanno torto entrambi.
Alex 🐭 likes this.
#Invidious è un front-end per accedere a #youtube senza tracciamento
#Google ha diffidato i suoi sviluppatori per violazioni delle regole di YT e dell'utilizzo delle sue #API
Ma il team di sviluppo non ha fatto uso di API, la lettera non ha valore per altri motivi, Invidious è #opensource e sviluppato su base collettiva, fatto che rende difficile un'azione legale
È una storia che si annuncia interessante
La notizia è qui: github.com/iv-org/invidious/is…
#FOSS #freesoftware #openaccess
They don't understand that we never agreed to any of their TOS/policies, they don't understand that we don't use their API. What now? Things will continue normally until they can't anymore. Assume ...GitHub
reshared this
Conoscete Contra Chrome?
Il fumetto, liberamente scaricabile e distribuibile, racconta come #Google #Chrome sia diventato a nostra insaputa uno strumento di sorveglianza. Un lettura che fa ridere e riflettere, informa, apre gli occhi.
Si trova qui:
contrachrome.copernicani.it/pa…
Lo regaliamo stampato bene a chi domani partecipa a depreDATI, laboratorio di autodifesa dalla sorveglianza digitale, con @quinta e il sottoscritto
Per info e prenotazioni: depredati.eu
reshared this
like this
reshared this
reshared this
I did indeed do just this within the last hour.
But past me is clever. I always name/target the release name, never just the stable/unstable/whatever aliases.
Supportiamo A/I! ❤️
Poliverso & Poliversity reshared this.
5x1000xAI
Uno dei, pochi, vantaggi che ci ha spinto a trasformarci in una "Associazione riconosciuta" (Associazione AI ODV) è quello di poter ricevere le donazioni tramite il 5x1000, la possibilità di decidere a chi destinare una piccola parte delle tasse che si pagano. La cosa vale solo per chi paga le tasse in Italia.
Per questo, se pensate di avere una qualche affinità con il nostro progetto e se volete che continui a funzionare, vi invi
cavallette.noblogs.org/2023/06…
reshared this
L'intellighenzia finalmente libera di esprimere "idee" al #SalTo23, grazie alla repressione del "fascismo degli antifascisti" commissionata alla Digos:
torino.repubblica.it/cronaca/2…
Gli intellettuali vicini a Meloni riuniti all'incontro "La destra e la cultura", il critico Luca Beatrice attacca la scrittrice: "Se ne appr…Sara Strippoli (la Repubblica)
La gente ha una strana idea di democrazia: se io vado in mezzo ad una piazza pubblica e inizio a dire che tutte le persone basse non devono più esistere e qualcuno arriva e mi copre di insulti non è che mi sta impedendo di esprimermi.
Mi sta solo dicendo che sono una merda.
Il dissenso pubblico è la base della democrazia. Se non esiste dissenso pubblico non c'è democrazia.
E il dissenso pubblico può assumere le più variegate forme, non solo quelle che piacciono ai contestati o a voi.
Tanto più quando la persona contestata ha una posizione di enorme potere e bercia le proprie idee sui media ogni giorno a tutte le ore e usa il proprio potere per approvare leggi che devastano la vita di milioni di persone.
reshared this
reshared this
J. Alfred Prufrock reshared this.
The #XMPP Newsletter for Feb '23 is out!
Read about the latest XMPP universe updates and the latest updates on our #Standards!
Enjoy reading! 📰 ☕ 
xmpp.org/2023/03/the-xmpp-news…
#jabber #xep #interoperability #federation #decentralization #chat
reshared this
reshared this
meh.
È un peccato, credo che siano bellissimi "pezzi" di tecnologia, di ottima qualità. Ma "numeri" come questi per me sono già un motivo per evitare.
60GB di software che non ho scelto io, che probabilmente non userò mai, si farà gli affari miei e non potrò rimuovere?
governo.it/it/articolo/attacco…
Nota pubblicata sul birdsite oggi. Primo commento? "Togliete lo #SPID". Ma cos...
Il Governo segue con attenzione, aggiornato dall'Agenzia per la Cybersicurezza Nazionale, ACN, gli sviluppi dell'attacco culminato oggi tramite un ransomware già in circolazione nei server VMware ESXi.www.governo.it
@Jun Bird @roughnecks io uso due provider: poste e sielte
Poste è più "facile" finché funziona: app più friendly ecc, ma nel mio caso non c'era modo di attivare l'autenticazione con app. In teoria doveva essere unpin unico per bancoposta/spid (chiamato PosteId), ma in pratica ne ho due diversi, il che manda l'app in confusione. Ho aperto ticket e tutto, ottenendo in risposta un invito all'uff. Postale per riattivare il tutto al costo di 10€. Presagendo lo smarrimento dello sportellista alla presentazione del mio bug e volendo sfuggire all'estorsione, mi sono registrato con Sielte su consigli sotto un bel post di @quinta :ubuntu: .
App spartane ma funzionanti, finora nessuna sorpresa
reshared this
ho una curiosità sistemistica, sicuramente molto ingenua:
due macchine virtuali ospitate dallo stesso server e in rete tra loro, per scambiarsi dati devono far passare il flusso attraverso la scheda di rete "fisica" del server?
Vieni a lavorare
Scarabocchio realizzato per il congresso regionale della @filtcgil_milanoelombardia, tenuto il 16 gennaio presso l'aula magna dell'@unimib di Milano.
#gliscarabocchidimaicolemirco #maicolemirco #filtcgil #lavoro #lavorare
cage likes this.
reshared this
like this
reshared this
Antonino Campaniolo 👣 likes this.
reshared this
reshared this
che problema abbiamo in Italia con i prezzi dei computer?
Guardo spesso gli annunci dell'usato, e trovo prezzi sensati solo da annunci esteri (perlopiù Germania o UK). Gli Italiani riempiono le piattaforme di annunci pensando di riuscire a vendere il loro amato laptop stracotto con intel core i5 da 2 gen (fuori produzione dal 2011) a 4 gen (fuori produzione dal 2014), dai 200€ in su. Con batteria morta, tastiera e porte I/O usurate, spesso qualche piccola noia al display.
Quando le catene a ogni volantino propongono almeno un laptop nuovo a 250€ (nel caso di Chromebook) o 350€ ("entry level" ma comunque incomparabilmente più veloci di una macchina di 10 anni fa e coperte da garanzia).
Le catene, poi, per l'Italia propongono macchine meno performanti a prezzi più alti rispetto a quello che si compra all'estero per lo stesso ammontare. Qui lo standard sembrano ancora essere i pc con 8 gb di ram, e quelli con 16 li passano come "gaming" o "workstation".
Eppure non mi sembra che qui la tecnologia sia poco gradita. Forse vogliamo "il meglio" solo in ambito smartphone, e siamo un mercato di serie b per i pc?
sono contro l'hate speech;
per cui mi limiterò a dirmi indispettito nei confronti di UPS, che segna tentativi di consegna andati a vuoto per assenza del destinatario senza essere mai passati.
Oggi dicevo a un amico che quando è soleggiato basta resistere quelle due orette massimo la mattina, poi il sole scalda tutto, puoi persino aprire le finestre fino al pomeriggio e non hai bisogno affatto di riscaldamento.
Lui mi dice che vabbè, io che lavoro da casa si, però che lui prima di uscire di casa per lavarsi, vestirsi vuole la casa calda...
E in effetti mi ci ritrovo col suo discorso, prima che scaldarsi diventasse quasi un lusso pure io la mattina accendevo il riscaldamento, anche se sapevo che poi verso le 9.30/10 avrei spalancato I balconi (non perché sono masochista, sempre 4 gradi in meno ci sono fuori, ma per fare asciugare la condensa notturna).
Che poi sentivo più freddo quando avevo 20 gradi fissi in casa durante il giorno che adesso che ne tengo 117/8 di giorno che calano fino 16 la notte.
J. Alfred Prufrock reshared this.
English Holly #0A2F13
Magic Mint #B2F6DC
(Contrast ratio: 12.0:1 | AAA)
J. Alfred Prufrock reshared this.
#xmpp spiegato male
Una delle cose più difficili per me è convincere gli amici a usare sistemi IM diversi da WA o Telegram.
Ed è difficile soprattutto perché tutto è così "appificato" che qualsiasi cosa vada oltre lo "scarica quest'app" per funzionare, viene bollata come "cosa da nerd".
E forse non è errato pensarla così, se pensate a come presentare xmpp. Intanto, come lo nominereste? Icsempipì? Jabber? Poi: quale app? Dove scaricarla? Quale provider? Se queste parole suoneranno familiari nel contesto di chi ha scelto il fediverso come social, per la maggior parte degli altri possessori di smartphone sarà ostrogoto. "I provider... Oddio!".
Non si è parlato ancora di OMEMO, selfhosting, ragioni etiche e di privacy, decentralizzazione, alternative a gafam, libertà di scelta del client: anche l'approccio più semplice e pronto all'uso è già troppo, troppo difficile.
Mi sono cimentato nella scrittura di un post col numero minimo di istruzioni terra-terra per fare provare XMPP a qualche amico, ma non sono riuscito a farla semplice come avrei sperato. È pieno di passaggi delicati che, probabilmente, faranno desistere anche chi avrebbe desiderato assecondarmi e provarci.
Che poi: facile lo è davvero, da usare. Ma manca qualcosa che renda il tutto davvero autoesplicativo, che permetta di dire "toh, scarica quest'app" e il resto sia un percorso guidato dove fare pochi passaggi per impostare tutto.
reshared this
è un peccato. Senza una buona app sul play store non si va da nessuna parte, il passaggio a un catalogo di applicazioni alternativo (f-droid) non è cosa da tuttə.
L'unica è trovare degli sponsor a Daniel, così può mettere Conversations gratuita.
J. Alfred Prufrock likes this.
I recently wrote a post detailing the recent #LastPass breach from a #password cracker's perspective, and for the most part it was well-received and widely boosted. However, a good number of people questioned why I recommend ditching LastPass and expressed concern with me recommending people jump ship simply because they suffered a breach. Even more are questioning why I recommend #Bitwarden and #1Password, what advantages they hold over LastPass, and why would I dare recommend yet another cloud-based password manager (because obviously the problem is the entire #cloud, not a particular company.)
So, here are my responses to all of these concerns!
Let me start by saying I used to support LastPass. I recommended it for years and defended it publicly in the media. If you search Google for "jeremi gosney" + "lastpass" you'll find hundreds of articles where I've defended and/or pimped LastPass (including in Consumer Reports magazine). I defended it even in the face of vulnerabilities and breaches, because it had superior UX and still seemed like the best option for the masses despite its glaring flaws. And it still has a somewhat special place in my heart, being the password manager that actually turned me on to password managers. It set the bar for what I required from a password manager, and for a while it was unrivaled.
But things change, and in recent years I found myself unable to defend LastPass. I can't recall if there was a particular straw that broke the camel's back, but I do know that I stopped recommending it in 2017 and fully migrated away from it in 2019. Below is an unordered list of the reasons why I lost all faith in LastPass:
- LastPass's claim of "zero knowledge" is a bald-faced lie. They have about as much knowledge as a password manager can possibly get away with. Every time you login to a site, an event is generated and sent to LastPass for the sole purpose of tracking what sites you are logging into. You can disable telemetry, except disabling it doesn't do anything - it still phones home to LastPass every time you authenticate somewhere. Moreover, nearly everything in your LastPass vault is unencrypted. I think most people envision their vault as a sort of encrypted database where the entire file is protected, but no -- with LastPass, your vault is a plaintext file and only a few select fields are encrypted. The only thing that would be worse is if...
- LastPass uses shit #encryption (or "encraption", as @sc00bz calls it). Padding oracle vulnerabilities, use of ECB mode (leaks information about password length and which passwords in the vault are similar/the same. recently switched to unauthenticated CBC, which isn't much better, plus old entries will still be encrypted with ECB mode), vault key uses AES256 but key is derived from only 128 bits of entropy, encryption key leaked through webui, silent KDF downgrade, KDF hash leaked in log files, they even roll their own version of AES - they essentially commit every "crypto 101" sin. All of these are trivial to identify (and fix!) by anyone with even basic familiarity with cryptography, and it's frankly appalling that an alleged security company whose product hinges on cryptography would have such glaring errors. The only thing that would be worse is if...
- LastPass has terrible secrets management. Your vault encryption key always resident in memory and never wiped, and not only that, but the entire vault is decrypted once and stored entirely in memory. If that wasn't enough, the vault recovery key and dOTP are stored on each device in plain text and can be read without root/admin access, rendering the master password rather useless. The only thing that would be worse is if...
- LastPass's browser extensions are garbage. Just pure, unadulterated garbage. Tavis Ormandy went on a hunting spree a few years back and found just about every possible bug -- including credential theft and RCE -- present in LastPass's browser extensions. They also render your browser's sandbox mostly ineffective. Again, for an alleged security company, the sheer amount of high and critical severity bugs was beyond unconscionable. All easy to identify, all easy to fix. Their presence can only be explained by apathy and negligence. The only thing that would be worse is if...
- LastPass's API is also garbage. Server-can-attack-client vulns (server can request encryption key from the client, server can instruct client to inject any javascript it wants on every web page, including code to steal plaintext credentials), JWT issues, HTTP verb confusion, account recovery links can be easily forged, the list goes on. Most of these are possibly low-risk, except in the event that LastPass loses control of its servers. The only thing that would be worse is if...
- LastPass has suffered 7 major #security breaches (malicious actors active on the internal network) in the last 10 years. I don't know what the threshold of "number of major breaches users should tolerate before they lose all faith in the service" is, but surely it's less than 7. So all those "this is only an issue if LastPass loses control of its servers" vulns are actually pretty damn plausible. The only thing that would be worse is if...
- LastPass has a history of ignoring security researchers and vuln reports, and does not participate in the infosec community nor the password cracking community. Vuln reports go unacknowledged and unresolved for months, if not years, if not ever. For a while, they even had an incorrect contact listed for their security team. Bugcrowd fields vulns for them now, and most if not all vuln reports are handled directly by Bugcrowd and not by LastPass. If you try to report a vulnerability to LastPass support, they will pretend they do not understand and will not escalate your ticket to the security team. Now, Tavis Ormandy has praised LastPass for their rapid response to vuln reports, but I have a feeling this is simply because it's Tavis / Project Zero reporting them as this is not the experience that most researchers have had.
You see, I'm not simply recommending that users bail on LastPass because of this latest breach. I'm recommending you run as far way as possible from LastPass due to its long history of incompetence, apathy, and negligence. It's abundantly clear that they do not care about their own security, and much less about your security.
So, why do I recommend Bitwarden and 1Password? It's quite simple:
- I personally know the people who architect 1Password and I can attest that not only are they extremely competent and very talented, but they also actively engage with the password cracking community and have a deep, *deep* desire to do everything in the most correct manner possible. Do they still get some things wrong? Sure. But they strive for continuous improvement and sincerely care about security. Also, their secret key feature ensures that if anyone does obtain a copy of your vault, they simply cannot access it with the master password alone, making it uncrackable.
- Bitwarden is 100% open source. I have not done a thorough code review, but I have taken a fairly long glance at the code and I am mostly pleased with what I've seen. I'm less thrilled about it being written in a garbage collected language and there are some tradeoffs that are made there, but overall Bitwarden is a solid product. I also prefer Bitwarden's UX. I've also considered crowdfunding a formal audit of Bitwarden, much in the way the Open Crypto Audit Project raised the funds to properly audit TrueCrypt. The community would greatly benefit from this.
Is the cloud the problem? No. The vast majority of issues LastPass has had have nothing to do with the fact that it is a cloud-based solution. Further, consider the fact that the threat model for a cloud-based password management solution should *start* with the vault being compromised. In fact, if password management is done correctly, I should be able to host my vault anywhere, even openly downloadable (open S3 bucket, unauthenticated HTTPS, etc.) without concern. I wouldn't do that, of course, but the point is the vault should be just that -- a vault, not a lockbox.
I hope this clarifies things! As always, if you found this useful, please boost for reach and give me a follow for more password insights!
reshared this
I cannot keep this to myself. There is a website (radio.garden) where you can listen to radio stations all over the world for free. No log in. No email address. Nothing.
When the site loads, you are looking at the globe. Slide the little white circle over the green dots (each green dot is a radio station) until you find one you like.
I have been listening to this station in the Netherlands and it absolutely slaps.
EDIT: Replies tell me that this doesn't function in the UK without a VPN.
reshared this
reshared this
Fedfree is live! fedfree.org/
Fedfree is a website aimed at teaching people how to run their own servers, of various kinds, on libre operating systems e.g. Linux and BSD. It aims to do this, using libre software exclusively, teaching people about the importance of libre software and hardware as it pertains to freedom; the right to use, study, adapt, share. The right to read. Universal access to knowledge… education. Education is the goal.
One tutorial so far, but more are coming.
Poliverso - notizie dal Fediverso ⁂ likes this.
reshared this
Writing DNS server tutorial now. Specifically: authoritative name server e.g. ns1.domain.com, ns2.domain.com
A lot of webhosting guides online tell you to log in to some registrar's name server to set records in some web interface. That's lame.
I've run my own DNS for years. I directly edit zone files in Vim.
That is how it should be done.
The guide that I'm writing will show you how to do it too.
Learning a lot, in the process of writing guides. I'm writing a guide about DNS (ns1, ns2.domain.com, etc).
I audited my httpd; I was still supporting TLS 1.0 and 1.1! According to qualys SSL labs, my grade was B; removed TLS 1.0 and 1.1 and now I get A+. tested on av.vimuser.org (now only does TLS 1.2 and 1.3) - will do the rest of my sites in a little while
My preferred way to handle tutorials is: provide tar archives with working sample configs, for the user to adapt, and explain each part.
More fun while writing guides: I'm writing DNS and httpd guides simultaneously, not yet published, and I found one very important thing:
I had forgot to set IPv6 Glue records, for my name server! IPv6 glue and ns delegation with reverse lookup...
anyway, mythic-beasts.com/ipv6/health-…
mythic-beasts.com/ipv6/health-…
i get perfect scores now
i previously had dual stack IPv4+IPv6, and still do, but I *previously* did not have IPv6 glue configured for my DNS even though the name server itself responded on v6
ϻค𝔬ᑭ
in reply to Cat 🐈🥗 (D.Burch) • • •Mx. Eddie R
in reply to Cat 🐈🥗 (D.Burch) • • •Abie
in reply to Cat 🐈🥗 (D.Burch) • • •@catsalad
Bailiff of Gradec
in reply to Cat 🐈🥗 (D.Burch) • • •roddie digital 🏴🇵🇸
in reply to Cat 🐈🥗 (D.Burch) • • •John Lusk
in reply to Cat 🐈🥗 (D.Burch) • • •lp0 on fire
in reply to Cat 🐈🥗 (D.Burch) • • •Julien Bidoret
in reply to Cat 🐈🥗 (D.Burch) • • •@catsalad
Colin
in reply to Cat 🐈🥗 (D.Burch) • • •Funny how this shit makes the rounds..
diesUndDasMitTassen 🇺🇦
in reply to Cat 🐈🥗 (D.Burch) • • •anne.💫
in reply to Cat 🐈🥗 (D.Burch) • • •urig
in reply to Cat 🐈🥗 (D.Burch) • • •luca
in reply to Cat 🐈🥗 (D.Burch) • • •Michael K Johnson
in reply to Cat 🐈🥗 (D.Burch) • • •OK, younger me is a little bit vindicated.
lkml.org/lkml/1996/6/24/11
LKML: "Michael K. Johnson": Re: GLOAT BLOAT (Was: Boot messages, Ideas for v2.1)
lkml.org