The media in this post is not displayed to visitors. To view it, please go to the original post.

#DevConf is just a week away.

I will be speaking about #Madblog, #ActivityPub and #Indieweb on July 8th, from 11:30 AM to 12:15 PM.

Location: Biblioteca Cravino, Via Agostino Bassi 2, Pavia, Italy.

If you can’t attend in person but still want to see the presentation (bear in mind that it’ll be in Italian though), the live stream will be published here youtube.com/@BoostMediaAPS/str…

@devconf


📢 Siete pronti per il DevConf Italia?

🚩 A Pavia, il 7 e 8 Luglio del 2026, presso il Learning Space Cravino in Via Agostino Bassi 2 si terrà il primo convegno nazionale, a cadenza biennale, denominato Dev. Conference Italia.
Verranno affrontati numerosi temi quali: sicurezza, sviluppo applicazioni, didattica, fediverso, libertà e sovranità digitali che potete trovare sul programma.

@devconf

Venite a scoprire di cosa parleremo, vi aspettiamo numerosi!

devconf.it


Questa voce è stata modificata (1 settimana fa)
Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

vorrei far notare una cosa: questo qua di "resistere veneto", che denuncia (giustamente) inefficienze sanitarie, è un medico novax. Roba che gli ospedali potrebbero, in qualche modo, riempirsi per colpa sua.
Ospedale di Vittorio Veneto, Szumski: «Manca personale, ridotti i posti letto» trevisotoday.it/politica/vitto…
Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

.NET 8 e .NET 9: fine del supporto il 10 novembre 2026 — come migrare a .NET 10 LTS
#tech
spcnet.it/net-8-e-net-9-fine-d…
@informatica


.NET 8 e .NET 9: fine del supporto il 10 novembre 2026 — come migrare a .NET 10 LTS


La scadenza che riguarda milioni di applicazioni


Il 10 novembre 2026 è una data che ogni sviluppatore .NET dovrebbe segnare in calendario. In quel giorno, coincidente con il Patch Tuesday di novembre, sia .NET 8 che .NET 9 raggiungeranno la fine del supporto ufficiale Microsoft. Nessun aggiornamento di sicurezza, nessuna correzione di bug, nessun supporto tecnico. Le applicazioni continueranno a funzionare, ma rimarranno permanentemente esposte a qualsiasi vulnerabilità scoperta dopo quella data.

La cosa insolita di questa scadenza è che riguarda contemporaneamente due versioni: .NET 8 (LTS) e .NET 9 (STS). Normalmente un release LTS ha un ciclo di vita più lungo, ma in questo caso il calendario ha fatto sì che le loro finestre di supporto si chiudano lo stesso giorno. Chi è su .NET 9 sperando di guadagnare tempo rispetto a .NET 8 rimarrà deluso: la scadenza è identica.

Cosa succede dopo la fine del supporto


Le applicazioni basate su .NET 8 o .NET 9 continueranno a girare normalmente il giorno dopo la scadenza. Il problema non è l’esecuzione, è il rischio accumulato nel tempo:

  • Nessuna patch di sicurezza per vulnerabilità future nel runtime o nelle librerie base.
  • Visual Studio 2022 inizierà a segnalare i componenti .NET 8 e .NET 9 come “fuori supporto” in un aggiornamento futuro.
  • Problemi di compliance per applicazioni in ambienti regolamentati (finanziario, sanitario, PA) che richiedono software aggiornato.
  • Dipendenze di terze parti che smettono di supportare le versioni EOL, creando colli di bottiglia nelle pipeline di aggiornamento.

Il rischio non è immediato ma cresce nel tempo. Ogni mese trascorso su un runtime non supportato è un mese in cui una CVE critica potrebbe restare irrisolta.

Perché migrare direttamente a .NET 10 LTS


.NET 10 è il target di migrazione raccomandato. È la versione LTS corrente, rilasciata a novembre 2025 e supportata fino al novembre 2028: tre anni di aggiornamenti garantiti. Non ha senso fermarsi a .NET 9, che ha la stessa data di scadenza di .NET 8: sarebbe aggiungere lavoro di migrazione senza estendere la finestra di supporto.

.NET 10 porta miglioramenti significativi in diverse aree:

  • Performance: ulteriori ottimizzazioni al JIT, riduzione delle allocazioni in Span e Memory, miglioramenti a LINQ e collezioni.
  • ASP.NET Core: nuove API per minimal API, miglioramenti a Blazor, OpenAPI nativo senza dipendenze esterne.
  • C# 14: field keyword per le proprietà auto, extension members, parametri params su ReadOnlySpan.
  • Tooling: .NET Aspire 9 integrato, nuove funzionalità in dotnet publish per container nativi.


Come migrare: i passi pratici

1. Aggiornare il TargetFramework


Il primo passo è aggiornare il file di progetto .csproj. La modifica è minimale:

<!-- Prima -->
<TargetFramework>net8.0</TargetFramework>

<!-- Dopo -->
<TargetFramework>net10.0</TargetFramework>

Per progetti multi-target:
<TargetFrameworks>net10.0;net8.0</TargetFrameworks>

2. Aggiornare i pacchetti NuGet


Verificare che tutti i pacchetti Microsoft.* siano aggiornati alla versione compatibile con .NET 10. Usare dotnet outdated (strumento separato) o il Package Manager di Visual Studio per identificare i pacchetti da aggiornare.

dotnet list package --outdated

3. Usare il .NET Upgrade Assistant


Per progetti complessi o soluzioni con più progetti, Microsoft fornisce il .NET Upgrade Assistant, disponibile come tool CLI e come estensione Visual Studio:

dotnet tool install -g upgrade-assistant
upgrade-assistant upgrade MyProject.csproj

L’Upgrade Assistant analizza il progetto, identifica API deprecate, suggerisce sostituzioni e può applicare alcune modifiche automaticamente. Non risolve tutto, ma riduce significativamente il lavoro manuale.

4. Verificare le dipendenze di terze parti


Questo è spesso il collo di bottiglia più sottovalutato. Librerie NuGet che non hanno ancora rilasciato una versione compatibile con .NET 10 possono bloccare la migrazione. Controllare GitHub e NuGet Gallery per verificare lo stato di supporto di ogni dipendenza critica. Se un vendor non ha ancora aggiornato, contattarlo subito: con cinque mesi alla scadenza, i tempi di risposta si stringeranno progressivamente.

5. Testare prima del rollout


Per applicazioni con buona copertura di test, la migrazione da .NET 8 a .NET 10 è generalmente lineare. Breaking changes tra versioni LTS sono limitati e ben documentati nelle note di rilascio. Microsoft pubblica la lista completa su GitHub nel repository dotnet/core. Il time-to-complete dipende dalla complessità: da una a tre settimane per un singolo servizio con buon test coverage, quattro-otto settimane per piattaforme multi-servizio con audit delle dipendenze e rollout graduale.

Timeline consigliata


Con la scadenza al 10 novembre 2026, luglio e agosto sono il momento ideale per avviare la pianificazione. Aspettare settembre o ottobre significa sovrapporsi con i freeze di fine anno e ridurre drasticamente il margine di sicurezza per gestire problemi imprevisti.

Un approccio ragionevole:

  • Luglio 2026: inventario delle applicazioni su .NET 8/9, audit delle dipendenze NuGet, verifica compatibilità vendor.
  • Agosto 2026: migrazione dei progetti interni meno critici, test in ambiente staging.
  • Settembre-Ottobre 2026: migrazione dei sistemi critici, test di regressione, formazione del team sulle novità .NET 10.
  • Novembre 2026: deploy in produzione con ampio margine prima della scadenza.


Conclusione


La doppia scadenza di .NET 8 e .NET 9 il 10 novembre 2026 è un’opportunità per consolidare il proprio stack su .NET 10 LTS, garantendo tre anni di supporto garantito e beneficiando delle ottimizzazioni di performance dell’ultimo runtime. La migrazione è tecnicamente accessibile, ma richiede pianificazione anticipata, soprattutto per gestire le dipendenze di terze parti. Iniziare ora, prima che la finestra si restringa, è la mossa giusta.

Fonti: Microsoft aligns .NET 8 and .NET 9 end of support for November 2026 – 4sysops · Official .NET Support Policy – Microsoft


Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Agent AI e malware nascosto: come i Coding Agent vengono ingannati da repository GitHub apparentemente puliti
#tech
spcnet.it/agent-ai-e-malware-n…
@informatica


Agent AI e malware nascosto: come i Coding Agent vengono ingannati da repository GitHub apparentemente puliti


I moderni strumenti di coding assistito da AI stanno diventando parte integrante del flusso di lavoro di milioni di sviluppatori. Ma questa automazione introduce una nuova superficie di attacco che i ricercatori di sicurezza hanno appena dimostrato in modo preoccupante: un repository GitHub apparentemente pulito può indurre un agente AI a eseguire malware, senza che nessun codice malevolo sia visibile né agli scanner statici né agli occhi umani.

La ricerca di Mozilla 0DIN


I ricercatori della Mozilla Zero Day Investigative Network (0DIN), la piattaforma di sicurezza AI di Mozilla, hanno pubblicato un proof-of-concept che dimostra come un agente di coding autonomo possa essere indotto a installare una reverse shell sul sistema dello sviluppatore. Il test è stato condotto specificamente con Claude Code, ma la vulnerabilità concettuale riguarda qualsiasi agente AI che abbia accesso al filesystem e al terminale.

La parte più inquietante della ricerca è questa frase dei ricercatori: “No exploit code, no warning, no suspicious command anyone had to approve.” Nessun codice exploit, nessun avvertimento, nessun comando sospetto da approvare.

Come funziona l’attacco: tre componenti innocui


L’attacco si basa su tre elementi che, considerati singolarmente, non destano alcun sospetto:

  1. Un repository GitHub pulito — Il repo contiene istruzioni di setup standard: installazione dipendenze (pip3 install -r requirements.txt) e inizializzazione del progetto (python3 -m axiom init). Nessun codice malevolo, nessun flag da scanner.
  2. Un pacchetto Python progettato per fallire — Il package è volutamente configurato per rifiutare l’esecuzione finché non viene inizializzato. Genera un errore che istruisce l’utente (o l’agente) a eseguire python3 -m axiom init. L’agente AI, tentando di risolvere autonomamente l’errore di setup, lancia questo comando.
  3. Un record DNS TXT controllato dall’attaccante — Il comando di inizializzazione chiama uno script shell che recupera un valore di configurazione da un record DNS TXT controllato dall’attaccante. Quel valore viene eseguito come comando.

Il risultato è una reverse shell con i privilegi del developer. L’agente AI ha eseguito tre livelli di indirection — un messaggio di errore fidato, uno script che ha recuperato un valore, e un record DNS che non ha mai esaminato — senza mai “vedere” il payload malevolo.

Perché è invisibile ai controlli tradizionali


Questa tecnica bypassa tutti i meccanismi di difesa convenzionali:

  • Scanner statici: non trovano nulla perché il repository è genuinamente pulito
  • Code review umana: anche un revisore attento non vedrebbe codice malevolo
  • AI review: l’agente AI valuta solo il codice che vede, non il payload DNS
  • Audit log limitati: l’agente potrebbe non registrare l’intera catena di esecuzione, incluse le risorse recuperate dinamicamente a runtime

Ciò che rende l’attacco efficace è il comportamento goal-oriented degli agenti AI: quando incontrano un errore, il loro obiettivo è risolverlo. E lo risolvono eseguendo esattamente ciò che viene suggerito — anche se quel suggerimento porta a recuperare ed eseguire un payload da un record DNS remoto.

Cosa ottiene l’attaccante


Se l’attacco va a segno, l’attaccante ottiene una shell interattiva con i privilegi dello sviluppatore. Questo significa accesso a:

  • Variabili d’ambiente (incluse credenziali e API key)
  • File di configurazione locali (chiavi SSH, certificati, config di cloud provider)
  • Possibilità di stabilire persistenza sul sistema
  • Accesso ai repository locali e ai segreti in essi contenuti

I ricercatori 0DIN avvertono che questa tecnica potrebbe essere distribuita facilmente attraverso fake job posting, tutorial, post su blog tecnici o messaggi diretti su piattaforme come Discord o LinkedIn.

Come mitigare il rischio


0DIN ha proposto alcune contromisure concrete per chi sviluppa o utilizza strumenti di coding AI agentico:

  1. Execution chain disclosure: gli agenti AI dovrebbero mostrare esplicitamente l’intera catena di esecuzione dei comandi di setup, inclusi script e codice recuperato dinamicamente a runtime, prima di eseguirlo.
  2. Sandboxing più rigido: gli agenti autonomi che interagiscono con repository esterni dovrebbero operare in ambienti isolati (container, VM, namespace separati) con privilegi minimi.
  3. Permission scoping: limitare le azioni che un agente AI può compiere autonomamente — specialmente l’esecuzione di comandi shell — richiedendo conferma esplicita dell’utente per operazioni ad alto rischio.
  4. Monitoraggio DNS in uscita: implementare logging e alerting su query DNS anomale durante le operazioni di build e setup.
  5. Analisi comportamentale: non fidarsi solo degli scanner statici, ma adottare strumenti di analisi comportamentale che monitorino le azioni effettive a runtime.


Un segnale di allarme per il settore


Questa ricerca evidenzia un problema strutturale nell’adozione degli agenti AI nel ciclo di sviluppo: l’automazione che ci fa risparmiare tempo è la stessa che può diventare un vettore di attacco. Man mano che strumenti come Claude Code, GitHub Copilot Workspace e altri agenti simili vengono integrati nelle pipeline CI/CD e nei workflow quotidiani, la superficie di attacco si espande in modi che i modelli di minaccia tradizionali non contemplano.

La buona notizia è che, per ora, si tratta di un proof-of-concept. La cattiva è che chiunque abbia letto questa ricerca sa come replicarlo — e il costo per un attaccante è praticamente zero: basta pubblicare un repository GitHub e registrare un dominio per il record DNS TXT.

Per i team di sicurezza, questo è il momento di rivedere le policy di utilizzo degli agenti AI, in particolare per quanto riguarda le operazioni autonome su repository di terze parti.


Fonte originale: 4sysops.com — ricerca originale di Mozilla 0DIN via BleepingComputer


Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please log in.

Da giorni LinkedIn mi manda questa offerta di lavoro, pare che nessuno abbia ancora risposto (dice "be first to apply").

Che la RAL sia un pelino poco appetibile?

😁

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Podman su Linux: alternativa sicura e rootless a Docker
#tech
spcnet.it/podman-su-linux-alte…
@informatica


Podman su Linux: alternativa sicura e rootless a Docker


Cos’è Podman e perché considerarlo


Docker è stato per anni il punto di riferimento per la containerizzazione su Linux. Funziona, è ben documentato e ha un ecosistema enorme. Eppure, man mano che i requisiti di sicurezza sono aumentati e l’integrazione con systemd è diventata più importante, le sue limitazioni strutturali hanno iniziato a pesare. Podman nasce per affrontare esattamente questi problemi.

Podman (Pod Manager) è un container engine open source, daemonless: a differenza di Docker, non ha un demone centralizzato (dockerd) che gira in background con privilegi root. I container vengono avviati direttamente come processi figli dell’utente, il che significa che è possibile eseguirli in modalità rootless, senza mai richiedere sudo. Supporta gli stessi formati OCI di Docker (le immagini Docker funzionano senza modifiche), parla la stessa sintassi CLI e comprende nativamente il concetto di pod, gruppo di container che condividono rete e storage, esattamente come in Kubernetes.

Installazione su Linux


Podman è disponibile nei repository ufficiali di tutte le principali distribuzioni. Non servono PPA esterni o script di terze parti.

Debian / Ubuntu (20.10+) e Linux Mint:

sudo apt-get update
sudo apt-get install -y podman

Fedora / CentOS Stream / RHEL 8+:
sudo dnf install -y podman

openSUSE:
sudo zypper install podman

Arch / Manjaro:
sudo pacman -S podman

Dopo l’installazione, verificare con:
podman --version
podman info

Un rapido smoke test per assicurarsi che tutto funzioni:
podman run hello-world

Se si ottiene il messaggio di conferma, Podman è operativo.

Comandi di base: la compatibilità con Docker è quasi totale


La CLI di Podman rispecchia quella di Docker comando per comando. Chi conosce Docker si trova subito a proprio agio. Ecco i comandi più usati:

# Shell interattiva in un container Ubuntu
podman run -it ubuntu bash

# Container in background (Nginx su porta 8080)
podman run -d --name web -p 8080:80 nginx

# Elenco container in esecuzione
podman ps

# Elenco di tutte le immagini locali
podman images

# Stop e rimozione
podman stop web
podman rm web

Per chi vuole una transizione trasparente, è possibile creare un alias:
alias docker=podman

Oppure installare il pacchetto podman-docker, che fornisce uno shim che reindirizza automaticamente i comandi docker a Podman.

Le differenze che contano davvero


La maggior parte dei comandi funziona identica, ma ci sono differenze che emergono quando si lavora con volumi e SELinux. La più comune riguarda i bind mount in modalità rootless: i namespace utente e il mapping subuid/subgid possono causare problemi di ownership. Sui sistemi con SELinux attivo è necessario aggiungere il suffisso :Z ai volumi:

podman run -v /host/path:/container/path:Z myimage

La z minuscola condivide il volume tra più container; la Z maiuscola lo etichetta come privato per un singolo container. Altre differenze da tenere a mente:
  • L’accesso GPU rootless per NVIDIA richiede nvidia-container-toolkit e la configurazione CDI.
  • Docker Secrets e alcune configurazioni di rete non hanno un mapping diretto.
  • I container rootless usano porte superiori a 1024 per default (limite del kernel per utenti non root).

Nessuna di queste differenze è un blocco, ma richiedono un test esplicito prima di assumere che la migrazione sia trasparente.

Integrazione con systemd: i Quadlet


Questo è forse il punto di forza più significativo di Podman per un amministratore di sistema. Invece di lasciare un demone attivo, è possibile affidare i container a systemd tramite i Quadlet: file dichiarativi con estensione .container che Podman trasforma automaticamente in unit systemd.

Per un servizio utente rootless, creare il file in ~/.config/containers/systemd/. Esempio minimale per Nginx:

[Container]
ContainerName=web
Image=docker.io/library/nginx:latest
PublishPort=8080:80

[Install]
WantedBy=default.target

Ricaricare systemd e avviare il servizio:
systemctl --user daemon-reload
systemctl --user start web

Aggiungendo l’etichetta AutoUpdate=registry, Podman scaricherà automaticamente le immagini aggiornate e riavvierà il servizio tramite timer, senza alcun tool esterno:
podman auto-update

Migrazione da Docker Compose


Chi ha ambienti basati su Docker Compose ha due strade. La prima è continuare a usare Compose puntando al socket di Podman, abilitandolo con:

systemctl --user enable --now podman.socket

I file docker-compose.yml esistenti funzionano senza modifiche. La seconda opzione è convertire i Compose in Quadlet usando podlet, uno strumento che legge un docker-compose.yml e genera i corrispondenti file Quadlet. La curva di apprendimento c’è, ma il risultato è un’integrazione più pulita con il sistema.

Quando Docker rimane la scelta migliore


Podman offre sicurezza migliore e un’integrazione più nativa con Linux. Ma Docker ha un ecosistema più maturo: Docker Swarm, strumenti CI/CD che assumono la presenza del comando docker, e team già standardizzati su determinati workflow. Se si parte da zero su un server Linux, Podman è la scelta più pulita. Se si ha già un’infrastruttura Docker consolidata, la migrazione va pianificata e testata con attenzione.

Podman è un’alternativa concreta e matura a Docker, non un esperimento di nicchia. L’assenza del demone root, l’integrazione nativa con systemd tramite Quadlet e la compatibilità quasi totale con la CLI Docker lo rendono una scelta solida per chiunque gestisca container su Linux. L’installazione richiede un singolo comando, i comandi quotidiani sono identici a Docker, e i vantaggi in termini di sicurezza arrivano senza configurazioni complesse. Vale la pena provarlo.

Fonte: Docker Alternative: Podman on Linux – LinuxBlog.io


Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

Afam, da Mur oltre 100 milioni di euro per i dottorati di ricerca

@scuola

corriereuniv.it/afam-da-mur-ol…

Più risorse per i dottorati AFAM. Sale a 17 milioni di euro l’anno, per un totale di oltre 100 milioni di euro fino al 2031, il finanziamento destinato alle borse di dottorato di ricerca delle Istituzioni statali

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

i vent'anni di gammm


gammm.org/2026/06/29/20-anni-d…

a A.B.

tra mezzanotte precisa e mezzanotte e tre minuti del 29 giugno 2006, comparivano uno dopo l’altro in rete (al tempo, sulla piattaforma blogsome) i primi quattro post di GAMMM: blog che poi avrebbe avuto una sua attività fitta, forse non ininfluente sulle vicende degli ultimi due decenni di letteratura italiana.

da alcuni mesi era già in attività la collana chapbooks (gammm.org/chap/), curata da Michele Zaffarano e Gherardo Bortolotti.
a tre anni di distanza, novembre 2009, usciva Prosa (lelettere.it/libro/97888608730…) in prosa (ticedizioni.com/products/prosa…), nella collana fuoriformato che Andrea Cortellessa dirigeva per Le Lettere. il libro a suo modo formalizzava (e magari anche giocava con) alcune modalità di scrittura poco usuali, ancor meno identificabili, quasi per niente italiane, che si sarebbero ancor meglio precisate o magari invece confuse grazie alla serie di incontri EX.IT – Materiali fuori contesto, ad Albinea (Reggio Emilia), a partire dal 2013, l’anno in cui nascono pure due collane, Benway Series e Syn _ scritture di ricerca.

qui di séguito si ripropongono i suddetti primi quattro post: Debord, Cage, Heissenbüttel, Derksen; e si brinda ai prossimi tempi, lunghi o brevi che saranno, del sito.

gammm.org/2026/06/29/r-_-la-so…

gammm.org/2026/06/29/r-_-john-…

gammm.org/2026/06/29/r-_-da-te…

gammm.org/2026/06/29/r-_-da-tr…

reshared this

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

if you haven't signed #CourageFoundation's petition to protect #FrancescaAlbanese yet , you should do it NOW:

Sign it, sign it, sign it:

petition.qomon.org/0b54a0b8-de…

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

The public debate on the military support that the #Meloni government has provided to the #USA in the #IRANWar is heavily influenced and kept within authorized parameters, so that the Italian public won't understand #Italy's role in the #IRANWar and the risk our country faces
Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Since March 6 (less than 1 week after #USA attacked #IRAN   ),I’ve been analyzing open-source data,which reveals an undeniable FACT:

The #Meloni govt has assisted #Trump's #WarOnIRAN

Open source data abt #Aviano & #Sigonella speak for themselves

The consequences are immense

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

per quale ragione il governo #Meloni non vuole far conoscere la comunicazione con il governo USA nel 2008, in cui il governo #Berlusconi chiese agli USA di desecretare accordo quadro Italia-USA del 1954: il #BilateralInfrastructureAgreement (#BIA)?
Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

dopo che,dal buio del segreto di Stato,qualcuno fece uscire leak autorizzato che #Crosetto aveva negato #Sigonella a bombardieri #USA per #GuerraIRAN,c'era chi tra i giornalisti era amareggiato perché lo *scoop* era andato al Corriere: cani da riporto, NON da guardia del Potere
Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

il dibattito pubblico sul sostegno militare che il governo #Meloni assicura agli #USA nella #guerraIRAN viene pesantemente influenzato e tenuto nei binari autorizzati.

L'opinione pubblica non deve capire il nostro ruolo nella #guerraIRAN e il rischio che corre il nostro Paese

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

dal 6 marzo scorso(meno di 1 settimana dopo attacco #USA all'#IRAN   📷) analizzo le fonti aperte che posso, che rivelano un FATTO innegabile:

il governo #Meloni assiste #USA nella #guerraIRAN. I dati sulle basi di #Aviano e #Sigonella parlano.

Le conseguenze sono immense

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

solidarietà a #SigfridoRanucci

e

a tutto il suo team di #ReportRAI3:

dalla lawfare dei politici (querele e attacchi legali usati come arma) siamo ormai alle bombe dei criminali.

Chi sono i mandanti delle bombe?

ilfattoquotidiano.it/2026/06/3…

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

L'inversione temporale di un fenomeno fisico non è il "filmino al contrario". Semplicemente perché non possiamo essere certi di quale fosse il "verso giusto". La freccia del tempo, come il bello, è negli occhi di chi osserva.

Questo video geniale (di 11 anni fa, ma che ho scoperto proprio adesso) ne è la prova.

youtu.be/D-eDNDfU3oY?si=Xs9iYj…

reshared this

Protected: Il Centro Nexa su Internet & Società annuncia la comunità Nexa 2026-2027

Le notizie dal Centro Nexa su Internet & Società del Politecnico di Torino su @Etica Digitale (Feddit)

There is no excerpt because this is a protected post.
The post Protected: Il Centro Nexa su Internet & Società annuncia la comunità Nexa 2026-2027 appeared first on Nexa Center for Internet & nexa.polito.it/2026-2027-comun…

Protected: The Nexa Center for Internet & Society announces the 2026-2027 community

Le notizie dal Centro Nexa su Internet & Società del Politecnico di Torino su @Etica Digitale (Feddit)

There is no excerpt because this is a protected post.
The post Protected: The Nexa Center for Internet & Society announces the 2026-2027 community appeared first on Nexa Center for Internet & nexa.polito.it/2026-2027-commu…

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

📢 Siete pronti per il DevConf Italia?

🚩 A Pavia, il 7 e 8 Luglio del 2026, presso il Learning Space Cravino in Via Agostino Bassi 2 si terrà il primo convegno nazionale, a cadenza biennale, denominato Dev. Conference Italia.
Verranno affrontati numerosi temi quali: sicurezza, sviluppo applicazioni, didattica, fediverso, libertà e sovranità digitali che potete trovare sul programma.

@devconf

Venite a scoprire di cosa parleremo, vi aspettiamo numerosi!

devconf.it

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

oggi, 30 giugno, “exit poetry” @ studio campo boario, nel festival “nuova mistycanza”


Oggi, martedì 30 giugno, EXIT POETRY @ Studio Campo Boario – Roma –
presentazione h. 19:30, in occasione del festival Nuova mistycanza:
differx.noblogs.org/2026/06/28…

L’incontro su facebook:
facebook.com/events/2000813437…

L’incontro su mobilizon:
mobilizon.it/events/1ea19831-9…

I tre giorni del festival:
slowforward.net/2026/06/27/28-…
#ExitPoetry #LaNaveDiTeseo #NuovaMistycanza #poesia #presentazione #reading #StudioCampoBoario


28-29-30 giugno: “nuova mistycanza”, frequenze anomale, letture, immagini & installazioni @ studio campo boario


Dal 28 al 30 giugno 2026 lo Studio Campo Boario ospita Nuova Mistycanza, un progetto che riunisce artiste e artisti del suono, della parola e dell’immagine che provengono da percorsi differenti, perché condividano lo stesso spazio e lo stesso tempo di ascolto.
Il titolo dell’iniziativa richiama l’idea della misticanza come mescolanza fertile: non una semplice successione di eventi, ma… […] la descrizione continua QUI

*

PROGRAMMA DEI TRE GIORNI

28 giugno programma nuova mistycanza
cliccare per ingrandire

29 giugno programma nuova mistycanza
cliccare per ingrandire

30 giugno, programma nuova mistycanza
cliccare per ingrandire

è gradita un’offerta libera


*

Cliccare qui per il comunicato stampa

lo Studio Campo Boario

evento mobilizon:
mobilizon.it/events/fc327b72-f…

evento fb:
facebook.com/events/8394809623…

evento facebook a cura di artisti§innocenti:
facebook.com/events/1806515013…

logo dello Studio Campo Boario
#AlbertoDAmico #AlessandroAnil #AnnaSettevendemmie #AntonioAmendola #AntonioFrancescoPerozzi #AntonioLoBue #artistiInnocenti #audio #BarbaraCarle #BarbaraGiuliani #BrunoLoTurco #cambioDiParadigma #CameliaMirescu #ChiaraSerani #ClaudiaCiceroni #collanaSynScrittureDiRicerca #CorradoVulcano #CristianPerniciano #DamianoAbeni #DomenicoAdriano #DomenicoVuoto #DonaAmati #DonatellaMei #DonatellaPinocci #EdizioniIkonaLíber #EdoardoFerri #ElisaDavoglio #EmanueleFranceschetti #ExitPoetry #FabioPoggi #FedericoItaliano #FiammettaCirilli #FilippoAbrate #FrancaRovigatti #FrancescaProietti #FrancescoDalessandro #FrancescoPaoloMemmo #FrancescoToiati #GabriellaPace #GiancarloBusso #GiancarloFederico #GildaPolicastro #GinevraDAngelo #GiorgioRafaelli #GiovanniCianchini #GisellaBlanco #GuidoMazzoni #IkonaLíber #IlLabirinto #incontri #IreneSabetta #IvanoDattini #JonidaPrifti #LauraCingolani #LedaMazzariello #letture #LidiaPopolano #LidiaRiviello #lirica #LucianaPreden #LuigiGiuliani #MarcelloFraioli #MarcoAriano #MarcoConti #MarcoGiovenale #MarcoSilvi #MariaGraziaCalandrone #MarinaNovelli #MartaBiuso #MassimoNapoli #MassimoRodini #MelissaLohman #MoiraEgan #musica #musicisti #NuovaMistycanza #PaymanDanaSeresht #performance #poesia #poete #poeti #poetiAssertivi #poetiLirici #presentazioni #reding #RiikkaVainio #RitaIacomino #RobertaMelasecca #RobertaSirignano #RobertoSandrucci #SalvatoreMRuggiero #SamueleMaffei #SaraDavidovics #scritturaAssertiva #scritturaDiRicerca #scritturaNonAssertiva #scrittureAssertive #scrittureDiRicerca #scrittureNonAssertive #SilviaLanzalone #SimonaMenicocci #StefanoDeBerardinis #StefanoVenditti #StudioCampoBoario #SynScrittureDiRicerca #teatro #TommasoGiartosio #UgoMagnanti #video #VincenzoOstuni #ViolaLoMoro


Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

According to the Supreme Court, the independent authorities are not, nor should they be, really independent. The last fig leaf for the EU commission has flown away.


‼️⚖️ The US Supreme Court has declared all independent authorities unconsitutional – effectively blowing up the EU-US deal on data transfers.

Click the link below for noyb's full assessment of the situation, and prepare for a Schrems III case!

noyb.eu/en/us-supreme-court-ju…


reshared this

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Critical Microsoft 365 RCE Flaw CVE-2025-60727 Exploitable via Malicious Excel Files — Patch Now
#CyberSecurity
securebulletin.com/critical-mi…
Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Russia’s Turla APT Deploys STOCKSTAY Backdoor Against Ukrainian Government and Military Targets
#CyberSecurity
securebulletin.com/russias-tur…
Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Malicious ClawHub Skills Compromise AI Agents With Hidden Backdoors — 247,000 Installs, $2.3M Stolen
#CyberSecurity
securebulletin.com/malicious-c…
Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Hackers Actively Exploit CVE-2026-46817 in Oracle E-Business Suite — 456 Attacks Recorded in 24 Hours
#CyberSecurity
securebulletin.com/hackers-act…
Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

The media in this post is not displayed to visitors. To view it, please go to the original post.

✨ Mustang Panda colpisce il governo indiano: ZOHOMURK usa Zoho WorkDrive come canale C2 segreto
#CyberSecurity
insicurezzadigitale.com/mustan…

@informatica


Mustang Panda colpisce il governo indiano: ZOHOMURK usa Zoho WorkDrive come canale C2 segreto


Si parla di:
Toggle

Il gruppo APT cinese Mustang Panda ha colpito reti governative indiane e il settore idroelettrico con un toolkit malware completamente rinnovato, abusando di Zoho WorkDrive come canale di comando e controllo. La scoperta, firmata da Acronis Threat Research Unit in collaborazione con il CERT-In indiano, rivela come gli attori statali stiano sempre più sfruttando servizi cloud legittimi per mimetizzare il traffico malevolo all’interno delle reti bersaglio.

Il contesto: Mustang Panda e l’India


Mustang Panda — noto anche come Earth Preta, BRONZE PRESIDENT, RedDelta, STATELY TAURUS e CAMARO DRAGON — è uno dei gruppi di cyberspionaggio più attivi nell’orbita dell’intelligence cinese. Attivo almeno dal 2012, il gruppo ha storicamente preso di mira governi del Sud-Est asiatico, istituzioni religiose, ONG e — con crescente frequenza — obiettivi indiani legati alle dispute territoriali e alle partnership geopolitiche di New Delhi.

Il precedente attacco significativo contro l’India risale all’aprile 2026, quando Acronis aveva attribuito al gruppo l’uso del backdoor LOTUSLITE contro il settore bancario indiano e circoli policy sudcoreani, già allora con infrastruttura cloud come relay. Prima ancora, nel 2021, la campagna RedEcho — attribuita a attori cinesi da Recorded Future — aveva preso di mira le centrali elettriche dell’India con ShadowPad. Il pattern è chiaro: la Cina ha un interesse strategico consolidato nelle infrastrutture energetiche indiane.

Le due campagne di giugno 2026


Acronis TRU ha identificato due campagne parallele con beaconing attivo rilevato tra il 12 e il 22 giugno 2026 su macchine usate da personale amministrativo di alto livello. I bersagli sono stati selezionati con precisione chirurgica:

  • Campagna A: obiettivo il settore idroelettrico indiano, con lure a tema cooperazione su impianti idroelettrici.
  • Campagna B: obiettivo enti governativi indiani coinvolti in accordi di cooperazione (MOU) con istituzioni taiwanesi.

Entrambe le campagne sono state consegnate tramite archivi ZIP contenenti una DLL malevola marcata come file nascosto. Il vettore di accesso iniziale è ritenuto lo spear-phishing: il documento esca risultava contestualmente credibile per il destinatario, aumentando drasticamente la probabilità di esecuzione.

Il toolkit: SHARDLOADER, MINIRECON e ZOHOMURK


Il cuore tecnico dell’operazione risiede in tre componenti inediti o fortemente rielaborati:

SHARDLOADER


E’ il loader iniziale, eseguito tramite DLL sideloading da un binario legittimamente firmato. Nella campagna A, il binario ospite e’ un eseguibile di Solid PDF Creator; nella campagna B viene utilizzato un binario di Citrix Receiver. La tecnica sfrutta la fiducia del sistema operativo nei confronti dei binari firmati per caricare codice arbitrario senza triggerare alert standard degli EDR. SHARDLOADER funge da stager, deployando uno degli altri due implant a seconda del target.

MINIRECON


Si tratta di una variante rielaborata del backdoor Toneshell, gia’ documentato da IBM X-Force come strumento tipico di Mustang Panda. La novita’ principale e’ il protocollo di beaconing: MINIRECON comunica con i server C2 tramite connessione WebSocket su HTTPS, rendendo il traffico indistinguibile da normali sessioni web cifrate. Il cambio di protocollo rispetto alla versione originale di Toneshell rappresenta un aggiornamento operativo significativo, pensato per eludere i sistemi di ispezione profonda del traffico di rete.

ZOHOMURK: il C2 nascosto nel cloud aziendale


Questo e’ l’elemento piu’ sofisticato e originale dell’operazione. ZOHOMURK e’ un implant che porta hardcoded le credenziali OAuth di Zoho, utilizzate per autenticarsi su un account WorkDrive controllato dagli attaccanti. Il meccanismo di C2 e’ implementato come un classico dead drop:

  • Inbox folder: i comandi impartiti dagli operatori vengono scritti in questa cartella dall’attaccante.
  • Outbox folder: i dati esfiltrati dalla vittima vengono scritti dall’implant in questa cartella, dove l’attaccante li recupera periodicamente.

La scelta di Zoho WorkDrive non e’ casuale: e’ una piattaforma ampiamente adottata nel settore governativo indiano. Il traffico verso i server Zoho e’ quindi whitelistato per definizione nelle policy di rete delle organizzazioni bersaglio. Non c’e’ alcun dominio C2 sospetto da bloccare: tutto il traffico di comando e controllo appare come normale utilizzo di un servizio SaaS autorizzato. E’ esattamente il tipo di Living-off-the-Cloud (LoC) che rende inutili le soluzioni di blocco basate su reputazione dei domini.

Attribution e OPSEC: gli errori che hanno tradito il gruppo


Nonostante la sofisticazione del toolkit, Mustang Panda ha mostrato lacune significative nella sicurezza operativa. Acronis ha potuto attribuire l’attivita’ con alta confidenza grazie a piu’ elementi convergenti: la sovrapposizione di codice con Toneshell gia’ legato al gruppo da IBM X-Force; un typo ricorrente negli implant — la chiave di registro “RunOnece” (anziche’ “RunOnce”) — che funge da fingerprint involontario; l’infrastruttura C2 ospitata nello stesso netblock gia’ associato al gruppo; token OAuth hardcoded e identificatori in plaintext che hanno facilitato l’analisi statica e la notifica a Zoho per la chiusura degli account malevoli.

Indicatori di Compromissione (IoC)

# Persistenza -- chiave di registro Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\RunOnece

# Scheduled Task
Nome task: SolidPDFPcl2Bmp

# Dominio C2
couldinstallup[.]com

# Anomalia da monitorare (behavioural)
- Processi non-browser che aprono connessioni verso workdrive.zoho.com
- User-Agent Zoho rilevato su processi senza legittima ragione di accesso a WorkDrive

# DLL sideloading -- binari legittimi da monitorare
- Solid PDF Creator che carica DLL inattese dalla stessa directory
- Citrix Receiver che carica DLL inattese dalla stessa directory

Implicazioni geopolitiche e due righe per i difensori


La selezione dei target rivela con precisione gli interessi strategici di Pechino. La campagna focalizzata sull’idroelettrico si inserisce nel contesto della storica rivalita’ sino-indiana sulle risorse idriche himalayane, dove la Cina controlla le sorgenti di fiumi vitali per l’India. La campagna contro gli enti che gestiscono accordi con Taiwan segue invece la logica del monitoraggio delle alleanze diplomatiche di New Delhi.

Questo attacco non si contrasta con patch o aggiornamenti software: il vettore e’ l’ingegneria sociale e l’abuso di strumenti legittimi. Le difese piu’ efficaci comprendono: sandbox email configurate per detonare ZIP con DLL nascoste anche se firmate; regole EDR/XDR per rilevare sideloading da Solid PDF Creator e Citrix Receiver; monitoraggio del traffico cloud su processi non-browser verso WorkDrive; threat hunting su chiavi Run con errori ortografici e scheduled task con nomi inusuali; awareness del personale su lure geopolitiche ricevute via email.


Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

Sono super orgogliosa del mio dialetto, parlo veneto spesso e volentieri e non lo ho mai ritenuto un segno di scarsa cultura. ANZI.

Non entro nel merito del dibattito "è una lingua, non è una lingua", anche se credo vada comunque mantenuto e spiegato a partire dalla scuola perché mostra chiaramente la storia di una regione. Nei modi di dire, nelle singole parole, anche in come vengono coniugati i verbi, per non parlare delle locuzioni tipiche - ogni zona ne ha una.

In italiano "sto facendo, ho intenzione di fare". In francese "je suis en train de faire, je vais faire". In dialetto "son drìo far, vao far"

Perché ci sia "drìo" che vuol dire "dietro" non ho idea se abbia una motivazione di assonanza o metaforica, ma deriva dal gallicismo francese che paragona il fattore tempo al treno e la direzione (andare verso, o essere nel viaggio di compiere l'azione) tanto è vero che un'azione appena fatta è "je viens de faire". Vengo dal fare.

Poi alcune parole che in italiano cambiano anche genere grammaticale - "la lepre" in francese "le lièvre" in veneto "el lièvaro"

Ma quello che mi fa parecchio incazzare è il sessismo, del dialetto; non tanto i modi di dire, perché quelli purtroppo vengono spesso e volentieri da una cultura contadina in cui le donne stavano in cucina e non avevano alcun potere decisionale sul resto.

Ma quanto siamo in poche donne ad amare il dialetto e parlarlo.

SPOILER: non è perché ci sono modi di dire sessisti che le donne spesso non lo parlano, ma perché viene concepito come qualcosa di poco elegante.

Non so come sia la questione nelle altre regioni, a questo punto sono curiosa.

#dialetto #italia #lingue

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

Sto pensando da un po' che mi piacerebbe farmi lo #yogurt da solo.

Ne consumo 4-5 vasetti da 125-150g a settimana, quindi sarebbe una "produzione" molto limitata.

Qualcuno di voi lo fa?

Ha senso farmelo, considerato che ne consumo così poco?

Il sapore è diverso dallo yogurt intero che si compra?

in reply to Max - Poliverso 🇪🇺🇮🇹

ogni tanto lo faccio. All'inizio impazzivo a cercare i fermenti in farmacia o in negozi specializzati, ma è una cosa che vanifica il risparmio.
Per cui usa un vasetto di yogurt comprato e mischialo al latte, per la prima volta. Poi per in tot di volte puoi riutilizzare parte dello yogurt autoprodotto. Dopo un po' di volte consiglio di ripartire con un vasetto acquistato.
Riguardo la quantità: nessuno ti impedisce di produrne solo mezzo kg o quanto ne serve a te.
La yogurtiera scalda solo.
in reply to Max - Poliverso 🇪🇺🇮🇹

guarda bene i vari elettrodomestici che hai in casa, potresti scoprire di averne già con la funzione per fare lo yogurt. Io ho la pentola a pressione elettrica, il microonde combinato, e la macchina del pane che hanno una funzione apposita. Poi un thermos portapranzo aveva anch'esso le istruzioni per fare lo yogurt, visto che in fondo si tratta di tenere il tutto ad una temperatura specifica, non altissima, per un po' di ore
Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

Sembrano innocue, eppure le correnti di risacca sono tra i pericoli più insidiosi che si possono incontrare in mare.

Questi stretti flussi d'acqua scorrono dalla spiaggia verso il largo e possono allontanare rapidamente anche nuotatori esperti. Imparare a riconoscerle può fare la differenza.

Nel nostro blog spieghiamo come si formano le correnti di risacca, come individuarle e soprattutto cosa fare se ci si trova coinvolti in una di esse.
buff.ly/Y3gzCrp

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

La Federal Trade Commission statunitense potrebbe non essere più indipendente: si profila una SchremsIII?


Lunedì, la Corte Suprema degli Stati Uniti ha stabilito, nel caso Trump contro Slaughter, che la Federal Trade Commission (FTC) statunitense potrebbe non essere più indipendente. Dal 2000, l'UE si è affidata alla FTC, considerata "indipendente", per garantire l'applicazione degli accordi UE-USA in materia di dati personali. Secondo il diritto dei trattati UE, tale supervisione deve essere indipendente. Nell'attuale accordo UE-USA, la Commissione europea si affida alla FTC ben 259 (!) volte. Max Schrems ha dichiarato: " Dato che negli Stati Uniti non esistono più autorità indipendenti, chiediamo alla Commissione europea di ritirare ordinatamente la decisione di adeguatezza relativa agli Stati Uniti ".


Il post di @noybeu

noyb.eu/en/us-supreme-court-ju…

@privacypride

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

The media in this post is not displayed to visitors. To view it, please go to the original post.

30 giugno, il programma di nuova mistycanza di oggi


30 giugno, programma nuova mistycanza
cliccare per ingrandire

.

#NuovaMistycanza #oggi

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

Sostegno, autorizzati oltre 30mila percorsi di specializzazione

@scuola

corriereuniv.it/sostegno-autor…

Sono 30.241 i posti complessivamente disponibili per l’XI ciclo dei percorsi di specializzazione per le attività di sostegno didattico agli alunni con disabilità, relativi all’anno accademico 2025/2026. Il ministro

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

Liceo matematico, via alla sperimentazione nazionale

@scuola

corriereuniv.it/liceo-matemati…

Con il Decreto ministeriale n. 104 del 10 giugno 2026, il ministero dell’Istruzione e del Merito ha autorizzato la sperimentazione nazionale del Liceo Matematico, che prenderà avvio dall’anno scolastico 2026/2027. Si tratta di un passaggio di grande

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

Umoja è l'istanza italiana generalista, con un regolamento semplice e senza censure, che si trova anche fisicamente in Italia. Dal nulla in pochi giorni siamo già in 13. Chi si aggiunge oggi? L'obiettivo è raddoppiare di numero entro stasera.

social.umoja.it/auth/sign_in

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

Torino, al Mauto la mostra "Vespa. Icona italiana"
https://youtube.com/watch?v=XFJTwXIDUps&utm_source=flipboard&utm_medium=activitypub

Pubblicato su VIDEO @video-SkyTG24

reshared this

Poliversity - Università ricerca e giornalismo ha ricondiviso questo.

Ludwigshafen, città senza memoria. Chiamano dinamismo la quantità di cantieri aperti, ma mi pare un vezzeggiativo per una tendenza urbanistica suicida.

Avevano un municipio avveniristico, con la fermata di tram nel sotterraneo ed un capolinea di autobus sul suo lato. Se proprio non volevano tenere lì il municipio, potevano convertire gli ambienti ad uso abitativo, data l'emergenza abitativa di quest'area.
Non lontano da lì c'era un vecchio bunker con una installazione sulla sommità.
Stanno smantellando tutto per barattare tutto ciò con una arteria autostradale che si immette in un ponte già esistente che collega Ludwigshafen a Mannheim.