The increasing dominance of lithium cells in the market place leave our trusty NiMH cells in a rough spot. Sure, you can still get a chargers for the AAs in your life, but it’s old tech and not particularly stylish. That’s where [Maximilian Kern] comes in, whose SPINC project was recently featured in IEEE Spectrum— so you know it has to be good.

With the high-resolution LED, the styling of this device reminds us a little bit of the Pi-Mac-Nano— and anything that makes you think of a classic Macintosh gets automatic style points. There’s something reminiscent of an ammunition clip in the way batteries are fed into the top and let out the bottom of the machine.

[Maximilian] thought of the, ah, less-detail-oriented amongst us with this one, as the dedicated charging IC he chose (why reinvent the wheel?) is connected to an H-bridge to allow the charger to be agnostic as to orientation. That’s a nice touch. An internal servo grabs each battery in turn to stick into the charging circuit, and deposits it into the bottom of the device once it is charged. The LCD screen lets you monitor the status of the battery as it charges, while doubling as a handy desk clock (that’s where the RP2040 comes in). It is, of course, powered by USB-C-PD as all things are these days. Fast-charging upto 1A is enabled, but you might want to go slower to keep your cells lasting as long as possible. Firmware, gerbers and STLs are available on GitHub under a GPL-3.0 license– so if you’re still using NiCads or want to bring this design into the glorious lithium future, you can consider yourself welcome to.

We recently featured a AA rundown, and for now, it looks like NiMH is still the best bang for your buck, which means this project will remain relevant for a few years yet. Of course, we didn’t expect the IEEE to steer us wrong.

Thanks to [George Graves] for the tip.

hackaday.com/2025/11/19/charge…

La portata della fuga di notizie, descritta da un team dell’Università di Vienna, dimostra quanto possa essere pericolosa la familiare funzione di ricerca contatti delle app di messaggistica più diffuse.

WhatsApp ha sempre enfatizzato la facilità di aggiunta di nuove persone: basta inserire un numero di telefono nella propria rubrica e il servizio rivela immediatamente se la persona è registrata sull’app, rivelandone nome, foto e profilo parziale. Tuttavia, questa semplicità è diventata la base per una delle più grandi raccolte di dati utente della storia, e tutto ciò è avvenuto senza hackeraggi o aggirando barriere tecniche.

Ricercatori austriaci hanno deciso di testare se la ricerca automatizzata di numeri di telefono potesse rivelare esattamente chi stava usando WhatsApp. Hanno avviato il processo e, nel giro di poche ore, è diventato chiaro che non c’erano praticamente limiti. Il servizio consentiva un numero illimitato di richieste tramite la versione web e, di conseguenza, il team è stato in grado di creare un database di 3,5 miliardi di numeri, raccogliendo essenzialmente informazioni su ogni utente WhatsApp del pianeta. Per quasi il 57% dei record, sono stati in grado di ottenere foto del profilo e per quasi un terzo, stati testuali, che molte persone usano come breve presentazione di sé.

Secondo gli stessi ricercatori, questa sarebbe stata la più grande fuga di dati di numeri di telefono ed elementi di profili pubblici mai registrata se i dati non fossero stati raccolti esclusivamente per scopi accademici. Hanno segnalato la scoperta in primavera e cancellato l’intero set di dati, ma il sistema è rimasto completamente vulnerabile fino a ottobre, il che significa che un’operazione simile avrebbe potuto essere eseguita da chiunque, dagli spammer alle agenzie governative che monitorano le attività indesiderate sui propri cittadini.

Nonostante le rassicurazioni di Meta sull’implementazione di misure di sicurezza sempre più efficaci contro la raccolta massiva di dati, il team di Vienna afferma di non aver effettivamente riscontrato alcuna limitazione. Hanno sottolineato che WhatsApp aveva segnalato un problema simile già nel 2017: il ricercatore olandese Laurent Kloese aveva descritto un sistema per la verifica massiva dei numeri e aveva dimostrato che poteva raccogliere non solo le informazioni del profilo, ma anche il tempo trascorso online. Anche allora, l’azienda aveva affermato che tutto funzionava nel rispetto delle impostazioni di privacy standard .

Confrontando i risultati attuali con quelli di otto anni fa, si nota quanto sia aumentato il rischio. Mentre in precedenza c’erano decine di milioni di record potenzialmente accessibili, ora più di un terzo della popolazione mondiale utilizza il servizio e il numero stesso ha da tempo cessato di essere casuale. I ricercatori sottolineano che un numero di telefono non può fungere da identificatore segreto: gli intervalli di numeri sono limitati, il che significa che gli attacchi brute-force sono sempre possibili, a meno che non vi siano limiti rigorosi al numero di richieste.

Il team ha anche studiato le caratteristiche dei profili per Paese. Negli Stati Uniti, dei 137 milioni di numeri raccolti, il 44% degli utenti aveva foto pubbliche, mentre circa un terzo aveva stati testuali. In India, dove WhatsApp è significativamente più utilizzato, il 62% dei profili su 750 milioni era pubblico. In Brasile, la cifra era quasi la stessa: il 61% su 206 milioni. Più il servizio è popolare, meno persone modificano le proprie impostazioni sulla privacy e più ampia è la cerchia di coloro che rendono pubbliche le proprie immagini e descrizioni.

Di particolare preoccupazione è stata la scoperta di milioni di numeri di telefono in Paesi in cui WhatsApp è ufficialmente bloccato. I ricercatori hanno trovato 2,3 milioni di tali record in Cina e 1,6 milioni in Myanmar. Queste informazioni consentono alle autorità locali di rintracciare le persone che aggirano i divieti e, in alcuni casi, di utilizzarle come base per un’azione penale. Ci sono segnalazioni di persone detenute in Cina semplicemente per aver utilizzato l’app.

Durante l’analisi delle chiavi utilizzate nel protocollo di crittografia end-to-end per recuperare i messaggi, il team ha notato un’altra anomalia: un numero significativo di valori duplicati. Alcune chiavi sono state utilizzate centinaia di volte e circa due dozzine di numeri di telefono americani erano associati a una chiave nulla. I ricercatori sospettano che si tratti di client WhatsApp di terze parti non ufficiali, utilizzati attivamente da gruppi di truffatori. Ciò è indicato anche dal comportamento di alcuni account con chiavi duplicate: sembravano chiaramente strumenti per frodi o messaggi di massa.

L'articolo WhatsApp, maxi–fuga di dati: 3,5 miliardi di numeri “rubati” dai ricercatori dell’Università di Vienna proviene da Red Hot Cyber.

La polizia olandese ha riferito di aver condotto un’operazione su larga scala contro un servizio di hosting “a prova di bomba” non meglio identificato, confiscando circa 250 server fisici nei data center dell’Aia e di Zoetermeer.

Migliaia di server virtuali sono stati successivamente disattivati. I media ritengono che si tratti di hosting CrazyRDP. Le forze dell’ordine non hanno rivelato il nome del servizio, ma è operativo dal 2022 ed è stato coinvolto in oltre 80 indagini sulla criminalità informatica, sia nei Paesi Bassi che all’estero.

Secondo gli investigatori, la società di hosting offriva ai propri clienti l’anonimato e garantiva la non collaborazione con la polizia. Le sue risorse ospitavano ransomware, botnet, campagne di phishing e persino contenuti relativi ad abusi sessuali su minori.

Gli investigatori stanno attualmente conducendo un’analisi forense delle apparecchiature sequestrate per identificare gli operatori e i clienti del servizio.

Questo servizio offriva ai clienti servizi VPS e RDP senza KYC o registri, e la registrazione richiedeva solo nome utente e password. La pubblicazione sottolinea che veniva spesso raccomandato come affidabile sul darknet.

Il 12 novembre, tutti i post sul canale Telegram ufficiale di CrazyRDP sono stati cancellati e gli iscritti sono stati reindirizzati a un nuovo canale che discuteva dell’improvvisa chiusura del servizio. I clienti hanno segnalato che alcuni di loro avevano oltre 30 server ospitati sulla piattaforma.

Molti hanno sospettato un exit scam: il supporto tecnico di CrazyRDP ha inizialmente segnalato problemi al data center, ma poi ha semplicemente smesso di rispondere.

L'articolo La polizia olandese smantella servizio di hosting ‘a prova di bomba’ per cybercriminali proviene da Red Hot Cyber.

Difficile mantenere la sanità mentale con tutto quello che succede in giro...

spreaker.com/episode/dk-10x11-…

Il 18 novembre 2025, alle 11:20 UTC, una parte significativa dell’infrastruttura globale di Cloudflare ha improvvisamente cessato di instradare correttamente il traffico Internet, mostrando a milioni di utenti di tutto il mondo una pagina di errore HTTP che riportava un malfunzionamento interno della rete dell’azienda.

L’interruzione ha colpito una vasta gamma di servizi – dal CDN ai sistemi di autenticazione Access – generando un’ondata anomala di errori 5xx. Secondo quanto riportato da Cloudflare che lo riporta con estrema trasparenza, la causa non è stata un attacco informatico ma un errore tecnico interno, scatenato da una modifica alle autorizzazioni di un cluster database.

Cloudflare ha precisato fin da subito che nessuna attività malevola, diretta o indiretta, è stata responsabile dell’incidente. L’interruzione, come riporta il comunicato di post mortem, è stata innescata da un cambiamento a un sistema di permessi di un database ClickHouse che, per un effetto collaterale non previsto, ha generato un file di configurazione anomalo utilizzato dal sistema di Bot Management.

Tale “feature file”, contenente le caratteristiche su cui si basa il modello di machine learning anti-bot dell’azienda, ha improvvisamente raddoppiato le sue dimensioni a causa della presenza di numerose righe duplicate.

Questo file, aggiornato automaticamente ogni pochi minuti e propagato rapidamente a tutta la rete globale di Cloudflare, ha superato il limite previsto dal software del core proxy, causando un errore critico.

Il sistema che esegue l’instradamento del traffico – noto internamente come FL e nella sua nuova versione FL2 – utilizza infatti limiti rigidi per la preallocazione di memoria, con un massimo fissato a 200 feature. Il file corrotto ne conteneva più del doppio, facendo scattare un “panic” del modulo Bot Management e interrompendo l’elaborazione delle richieste.

Nei primi minuti dell’incidente, l’andamento irregolare degli errori ha portato i team di Cloudflare a sospettare inizialmente un massiccio attacco DDoS: il sistema sembrava infatti riprendersi spontaneamente per poi ricadere nel guasto, un comportamento insolito per un errore interno.

Questa fluttuazione era dovuta alla natura distribuita dei database coinvolti. Il file veniva generato ogni cinque minuti e, poiché solo alcune parti del cluster erano state aggiornate, il sistema produceva alternativamente file “buoni” e file “difettosi”, propagandoli istantaneamente a tutti i server.

Nell blog si legge :

“Ci scusiamo per l’impatto sui nostri clienti e su Internet in generale. Data l’importanza di Cloudflare nell’ecosistema Internet, qualsiasi interruzione di uno qualsiasi dei nostri sistemi è inaccettabile. Il fatto che ci sia stato un periodo di tempo in cui la nostra rete non è stata in grado di instradare il traffico è profondamente doloroso per ogni membro del nostro team. Sappiamo di avervi deluso oggi“.

Con il passare del tempo, l’intero cluster è stato aggiornato e le generazioni di file “buoni” sono cessate, stabilizzando il sistema nello stato di errore totale. A complicare ulteriormente la diagnosi è intervenuta una coincidenza inaspettata: il sito di stato di Cloudflare, ospitato esternamente e quindi indipendente dall’infrastruttura dell’azienda, è risultato irraggiungibile nello stesso momento, alimentando il timore di un attacco coordinato su più fronti.

La situazione ha iniziato a normalizzarsi alle 14:30 UTC, quando gli ingegneri hanno individuato la radice del problema e interrotto la propagazione del file corrotto. È stato quindi distribuito manualmente un file di configurazione corretto e forzato un riavvio del core proxy. La piena stabilità dell’infrastruttura è stata ripristinata alle 17:06 UTC, dopo un lavoro di recupero dei servizi che avevano accumulato code, latenze e stati incoerenti.

Diversi servizi chiave hanno subito impatti significativi: il CDN ha risposto con errori 5xx, il sistema di autenticazione Turnstile non riusciva a caricarsi, Workers KV restituiva errori elevati e l’accesso alla dashboard risultava bloccato per la maggior parte degli utenti. Anche il servizio Email Security ha visto diminuire temporaneamente la propria capacità di rilevare lo spam a causa della perdita di accesso a una fonte IP reputazionale. Il sistema di Access ha registrato un’ondata di fallimenti di autenticazione, impedendo a molti utenti di raggiungere le applicazioni protette.

L’interruzione ha evidenziato vulnerabilità legate alla gestione distribuita della configurazione e alla dipendenza da file generati automaticamente con aggiornamenti rapidi. Cloudflare ha ammesso che una parte delle deduzioni del suo team durante i primi minuti dell’incidente si è basata su segnali fuorvianti – come il down del sito di stato – che hanno ritardato la corretta diagnosi del guasto. L’azienda ha promesso un piano di intervento strutturato per evitare che un singolo file di configurazione possa nuovamente bloccare segmenti così ampi della sua rete globale.

Cloudflare ha riconosciuto con grande trasparenza la gravità dell’incidente, sottolineando come ogni minuto di interruzione abbia un impatto significativo sull’intero ecosistema Internet, dato il ruolo centrale che la sua rete svolge.

L’azienda ha annunciato che questo primo resoconto sarà seguito da ulteriori aggiornamenti e da una revisione completa dei processi interni di generazione delle configurazioni e gestione degli errori di memoria, con l’obiettivo dichiarato di evitare che un evento simile possa ripetersi.

L'articolo Cloudflare blackout globale: si è trattato di un errore tecnico interno. Scopriamo la causa proviene da Red Hot Cyber.

A cura di Carl Windsor, Chief Information Security Officer di Fortinet

Le pratiche secure-by-design rappresentano un cambiamento fondamentale nello sviluppo software: la sicurezza non viene più considerata un’aggiunta successiva, ma è integrata fin dalle basi, nel DNA stesso del prodotto. Questa filosofia è ampiamente riconosciuta nel settore come best practice, ma non è ancora obbligatoria, né applicata in modo uniforme o pienamente compresa dai clienti. Tuttavia, adottare un approccio secure by design è sempre più cruciale, poiché le infrastrutture digitali si trovano ad fronteggiare una velocità e un volume senza precedenti di minacce sofisticate. Cybercriminali, sia inesperti che altamente qualificati, sfruttano nuove risorse – dall’acquisto di exploit kit nel dark web all’uso di strumenti automatizzati – per colpire vulnerabilità su larga scala.

Alla RSA Conference 2024, la Cybersecurity and Infrastructure Security Agency (CISA) ha presentato il proprio Secure by Design Pledge, un’iniziativa volta a innalzare il livello minimo di sicurezza informatica in tutto il settore tecnologico, integrando pratiche sicure alla base dello sviluppo dei prodotti e riducendo il rischio sistemico nell’ecosistema digitale. Fortinet è orgogliosa di essere stata tra i primi firmatari di questo impegno, e il nostro Jim Richberg ha avuto un ruolo chiave nella sua definizione.
Carl Windsor, Chief Information Security Officer di Fortinet
Sebbene Fortinet sia da tempo in prima linea nell’adozione e nella promozione delle migliori pratiche di cybersecurity, il Secure by Design Pledge rappresenta un passo avanti significativo nel definire e promuovere politiche che impongano a tutti i produttori di software standard più rigorosi. Il Pledge individua sette obiettivi principali, focalizzati sull’integrazione della sicurezza lungo l’intero ciclo di vita dello sviluppo dei prodotti, offrendo ai fornitori di software linee guida concrete per progredire verso tali traguardi.

Adozione e avanzamento dei principi Secure-by-Design in Fortinet

Fortinet adotta molti di questi principi da decenni e, in più occasioni, ha illustrato i progressi compiuti nell’implementazione e nel perfezionamento di tali standard. Di seguito una panoramica delle azioni intraprese da Fortinet per rispondere agli obiettivi del Pledge:

Obiettivo n.1: Dimostrare azioni volte ad aumentare in modo misurabile l’uso dell’autenticazione a più fattori (MFA) nei prodotti del produttore.
Risultato Fortinet: Fortinet ha abilitato l’MFA per gli account cloud dei clienti, con il 95% di questi che utilizza effettivamente questa misura di sicurezza.

Obiettivo n.2: Dimostrare progressi misurabili nella riduzione delle password predefinite nei prodotti del produttore.
Risultato Fortinet: Le password predefinite sono state eliminate nella Fortinet Secure Development Lifecycle Policy e rimosse da tutti i prodotti, imponendo agli utenti la creazione di credenziali uniche durante l’installazione.

Obiettivo n.3: Dimostrare azioni volte a ridurre in modo significativo e misurabile la presenza di una o più classi di vulnerabilità nei prodotti del produttore.
Risultato Fortinet: Fortinet ha intrapreso la rimozione delle vulnerabilità di tipo SQL injection e buffer overflow. Si tratta di un processo continuo che proseguirà nelle future versioni.

Obiettivo n.4: Dimostrare azioni intraprese dai clienti per aumentare in modo misurabile l’installazione di patch di sicurezza.
Risultato Fortinet: Fortinet ha compiuto importanti progressi in questo ambito grazie all’introduzione della funzionalità di auto-update, che ha aggiornato oltre un milione di dispositivi dalla sua implementazione, contribuendo in modo sostanziale alla sicurezza dei clienti.

Obiettivo n.5: Pubblicare una Vulnerability Disclosure Policy (VDP).
Risultato Fortinet: Fortinet è membro del Forum of Incident Response and Security Teams (FIRST), che consente ai suoi oltre 600 membri in più di 100 Paesi di condividere obiettivi, idee e informazioni relative alla gestione degli incidenti di sicurezza e allo sviluppo di programmi di risposta. Fortinet applica le conoscenze acquisite attraverso FIRST per garantire una comunicazione costante con i propri clienti. Inoltre, Fortinet pubblica la propria VDP sulla pagina dedicata al Product Security Incident Response Team (PSIRT) e tramite un file Security.txt.

Obiettivo n.6: Dimostrare trasparenza nella segnalazione delle vulnerabilità.
Risultato Fortinet: Fortinet ha implementato da tempo un programma di trasparenza radicale nella pubblicazione e comunicazione delle Common Vulnerabilities and Exposures (CVE), includendo già i campi Common Weakness Enumeration (CWE) e Common Platform Enumeration (CPE) in ogni CVE. Inoltre, Fortinet è impegnata a divulgare in modo proattivo e trasparente le vulnerabilità attraverso il suo solido programma PSIRT.

Obiettivo n.7: Dimostrare un incremento misurabile della capacità dei clienti di raccogliere evidenze di intrusioni informatiche che coinvolgono i prodotti del produttore.
Risultato Fortinet: A partire dalla versione 7.4.4 di FortiOS, sono state introdotte nuove funzionalità di controllo dell’integrità del file system per rilevare e registrare modifiche o aggiunte non autorizzate ai file. Fortinet continuerà ad aggiungere nuove funzioni con il rilascio delle versioni successive di FortiOS.

Oltre il Pledge: le iniziative aggiuntive di Fortinet

Fortinet adotta ulteriori misure che vanno oltre quanto previsto dal CISA Secure by Design Pledge, tra cui:

• Esecuzione regolare di test e audit approfonditi del codice, oltre a test di penetrazione condotti da terze parti.
• Obiettivi di performance (Management by Objectives) legati alla qualità del codice.
• Lancio di un programma pubblico di bug bounty.
• Collaborazione continua con diverse alleanze di cybersecurity, tra cui la Network Resilience Coalition, la Joint Cyber Defense Collaborative (JCDC) e la Cyber Threat Alliance (CTA), per condividere informazioni sulle minacce e sviluppare strategie volte a migliorare la resilienza cibernetica.

Guardando al futuro

Fortinet continua a lavorare su iniziative volte a incoraggiare i clienti a implementare patch e aggiornamenti, monitorando al contempo l’impatto di tali miglioramenti di sicurezza. Riconosciamo l’importanza di un’adozione su larga scala dei principi secure-by-design per costruire un ecosistema digitale più resiliente – un obiettivo che richiede un forte impegno e collaborazione tra settore pubblico e privato.

Fortinet continuerà a sostenere gli sforzi di organizzazioni come CISA e MITRE, introducendo e rispettando standard solidi che rafforzano la resilienza informatica a beneficio di tutti.

Per ulteriori informazioni dettagliate sul nostro impegno nel promuovere i principi secure-by-design, visita:

• Fortinet Reaffirms Its Commitment to Secure Product Development Processes and Responsible Vulnerability Disclosure Policies
• Proactive, Responsible Disclosure Is One Crucial Way Fortinet Strengthens Customer Security
• Fortinet’s Progress on Its Secure-by-Design Commitments
• Secure by Design: A Continued Priority in 2025 and Beyond

L'articolo Il Pledge ‘Secure by Design’ di CISA: un anno di progresso nella sicurezza informatica proviene da Red Hot Cyber.

A gastroscopy is a procedure that, in simple terms, involves sticking a long, flexible tube down a patient’s throat to inspect the oesophagus and adjacent structures with a camera fitted to the tip. However, modern technology has developed an alternative, in the form of a camera fitted inside a pill. [Aaron Christophel] recently came across one of these devices, and decided to investigate its functionality.

[Aaron’s] first video involves a simple teardown of the camera. The small plastic pill is a marvel of miniaturization. Through the hemispherical transparent lens, we can see a tiny camera and LEDs to provide light in the depths of the human body. Slicing the camera open reveals the hardware inside, however, like the miniature battery, the microcontroller, and the radio hardware that transmits signals outside the body. Unsurprisingly, it’s difficult to get into, since it’s heavily sealed to ensure the human body doesn’t accidentally digest the electronics inside.

Unwilling to stop there, [Aaron] pushed onward—with his second video focusing on reverse engineering. With a little glitching, he was able to dump the firmware from the TI CC1310 microcontroller. From there, he was able to get to the point where he could pull a shaky video feed transmitted from the camera itself. Artists are already making music videos on Ring doorbells; perhaps this is just the the next step.

Smart pills were once the realm of science fiction, but they’re an increasingly common tool in modern medicine. Video after the break.

youtube.com/embed/pf_eOLRd6B4?…

youtube.com/embed/qEIW5gOLzIs?…

hackaday.com/2025/11/18/hackin…

Questo è il quinto di una serie di articoli dedicati all’analisi della violenza di genere nel contesto digitale, in coincidenza con la Giornata Internazionale per l’Eliminazione della Violenza contro le Donne del 25 novembre . Il focus qui è sulla Misoginia 2.0 e l’impatto dell’odio di genere online sul dibattito democratico.

Il panorama digitale, essenziale per la libertà di espressione, è tristemente divenuto l’ecosistema predominante per la proliferazione dei discorsi d’odio. Tra le manifestazioni più virulente si annovera l’odio misogino online o Online Sexist Hate Speech, un fenomeno che colpisce in modo mirato le donne, in particolare quelle in ruoli di visibilità pubblica, minacciando non solo la loro dignità ma anche l’integrità del dibattito democratico. La rete, infatti, garantisce l’anonimato e una diffusione trans-giurisdizionale che complica notevolmente ogni azione repressiva.

Il silenziamento democratico

La violenza di genere veicolata online non è un fenomeno marginale; i dati evidenziano una prevalenza allarmante tra le giovani donne. L’effetto più insidioso di questa violenza sistematica è il cosiddetto chilling effect, o dinamica di silenziamento.

Donne e persone non conformi al genere sono quotidianamente esposte a minacce online, spesso estreme, che culminano nell’autocensura e nell’esclusione digitale. Per paura dell’abuso, le vittime si trovano nell’impossibilità di partecipare pienamente ed esprimersi online, venendo di fatto estromesse dal dibattito pubblico e dalla vita politica.

L’odio misogino online cessa così di essere un mero attacco alla reputazione individuale e si configura come un attacco diretto ai principi fondamentali di libertà di manifestazione del pensiero (Art. 21 Cost.) e di parità democratica (Art. 3 Cost.). Se metà della popolazione è strutturalmente impedita dal partecipare al principale spazio di dibattito, l’integrità democratica ne è minata.

Il contesto europeo e la lacuna nell’ordinamento giuridico nazionale

Negli ultimi tempi si registra un aumento di discorsi, anche veicolati attraverso la rete, motivati in qualche modo dall’odio, dal disprezzo nei confronti dell’altro, verso il debole, verso il diverso.

Tuttavia, in questo contesto generale, l’odio di genere, e in particolare la misoginia digitale, emerge con una specifica virulenza, amplificando l’esclusione delle donne dal dibattito pubblico e rendendo la loro discriminazione un caso emblematico della necessità di adeguamento normativo.

Tale fenomeno, comunemente indicato con l’espressione hatespeech, pur non essendo specifico di internet, esprime il massimo della lesività proprio attraverso lo strumento telematico e ciò per una serie di ragioni.

In primo luogo perché attraverso la rete posso raggiungere chiunque dovunque si trovi, quindi un bacino di utenza illimitato. In secondo luogo perché il messaggio può travalicare i confini nazionali, rendendo necessaria, per la punibilità dell’autore, una cooperazione internazionale non sempre agevole o possibile. A ciò si aggiunga, soprattutto, che anche se rimosso, un dato messaggio d’odio può riapparire nel tempo in un’altra parte della rete, rendendosi praticamente “eterno”.

Da un punto di vista giuridico si tende ad evidenziare come l’hatespeech si caratterizzi da un lato per la volontà del soggetto agente di discriminare taluno o un gruppo per la sua razza, religione, orientamento sessuale o altro; dall’altro per la reale capacità del messaggio di determinare tale discriminazione e magari il concretizzarsi di azioni violente che da tale messaggio traggono linfa. È appena il caso di sottolineare come anche i messaggi d’odio veicolati in rete finiscono per avere effetti, talvolta gravissimi, nel reale. Pensiamo, ad esempio, alle persone che sono state spinte a tentare il suicidio a seguito di vere e proprie campagne di odio.

Su come considerare l’hatespeech, orientamenti diversi si registrano negli Stati Uniti ed in Europa. Se, infatti, nel primo ci si rifà al Primo Emendamento e quindi in sostanza si cerca di evitare qualunque restrizione alla manifestazione del pensiero, a livello europeo si predilige l’impostazione per cui la libera manifestazione del pensiero non può essere illimitata, per cui si parla di responsabilità di parola.

Per quanto riguarda l’hatespeech telematico importanti indicazioni provengono dal Protocollo addizionale alla Convenzione di Budapest sulla criminalità informatica, relativo all’incriminazione di atti di natura razzista e xenofobica commessi a mezzo di sistemi informatici, che obbliga gli Stati aderenti ad adottare sanzioni penali per punire la diffusione di materiale razzista e xenofobo attraverso i sistemi informatici.

Di estremo interesse è anche il Digital Service Act, che si propone esplicitamente di garantire un ambiente on line sicuro, responsabilizzando il più possibile i provider e le piattaforme digitali che veicolano contenuti e, quindi, anche quelli che esprimono odio e discriminazione.

In Italia, se da un lato l’art. 21 della Costituzione fissa come principio fondamentale quello della libera manifestazione del pensiero, dall’altro la stessa trova dei limiti nel buon costume, nella riservatezza e onorabilità delle persone, nel segreto di Stato, nel segreto giudiziario e, infine, nell’apologia di reato.

Ciò posto, e considerata la copertura costituzionale non illimitata alla libertà di parola, l’espressioni di odio che tendono ad una discriminazione assumono rilevanza giuridica in virtù di quanto statuito dalla legge n.205/1993 (c.d. legge Mancino), che punisce oggi, attraverso l’Art. 604-bis c.p., l’istigazione alla discriminazione e alla violenza per motivi razziali, etnici o religiosi, escludendo, tuttavia, esplicitamente le discriminazioni basate sul genere.

In vero, da tempo si discute in merito a una possibile estensione della norma ai reati basati sulla discriminazione in base all’orientamento sessuale e all’identità di genere, ma allo stato non si è pervenuti a un allargamento delle ipotesi previste, né tanto meno all’introduzione di una legge specifica da più parti auspicata, lasciando così l’odio misogino online senza un’adeguata e specifica cornice sanzionatoria.

L’obbligo di adeguamento europeo

Il quadro italiano è destinato a mutare radicalmente con l’adozione della Direttiva (UE) 2024/1385, che stabilisce norme minime per la lotta alla violenza contro le donne e alla violenza domestica.

L’Articolo 8 della Direttiva impone un obbligo di risultato stringente. Gli Stati membri devono punire esplicitamente l’istigazione alla violenza o all’odio nei confronti di un gruppo di persone definito con riferimento al genere, se tale istigazione è diffusa tramite tecnologie dell’informazione e della comunicazione (TIC).

Il confronto diretto tra l’Art. 8 UE e l’Art. 604-bis c.p. rivela il gap normativo che non è più sostenibile. L’inclusione del genere nel 604-bis c.p. non è più una facoltà oggetto di dibattito politico, ma un imperativo legale di origine sovranazionale. La riforma che ne deriverà deve consentire al sistema legale di punire l’odio misogino per la sua intrinseca capacità di minare l’uguaglianza, al di là del danno specifico causato alla singola vittima.

La strategia integrata contro la misoginia

La gestione del fenomeno è complessa, sia per il confine mobile tra diffamazione individuale e odio collettivo, sia per le sfide procedurali.

Le indagini sui discorsi d’odio in rete presentano notevoli difficoltà. La natura dinamica e volatile della comunicazione online ostacola l’acquisizione forense dei dati, che possono essere rimossi velocemente dall’autore o dalle piattaforme. Il reperimento e la conservazione delle prove necessitano del ricorso a competenze specialistiche in digital forensics.

La Polizia Postale, in collaborazione con l’OSCAD (Osservatorio per la Sicurezza Contro gli Atti Discriminatori), svolge un lavoro cruciale, ma i dati aggregati, che nel 2023 hanno visto 2.712 casi trattati per discriminazione e odio, nascondono una sottostima sistemica (underreporting). Le vittime non denunciano per timore di ritorsioni o sfiducia nel sistema.

Per rafforzare la tutela e affrontare la Misoginia 2.0 occorre, a mio avviso, agire su più fronti.

• Innanzitutto, investire nella formazione specialistica per le Forze dell’Ordine e le Autorità Giudiziarie sul riconoscimento del chilling effect come danno concreto e sulle tecniche avanzate di digital forensics.
• Inoltre, bisogna rafforzare il monitoraggio e l’applicazione sanzionatoria nei confronti degli operatori digitali che non adempiono agli obblighi di moderazione e rimozione di contenuti illegali, in linea con il Digital Services Act e la Direttiva UE.
• Infine,vi è necessità di implementare misure di protezione, assistenza specialistica e valutazione individuale delle esigenze di sicurezza per aumentare la fiducia delle vittime ed incentivare le segnalazioni.

La Misoginia 2.0 esige di essere equiparata all’odio razziale, non per similitudine, ma per l’identico potenziale lesivo della parità democratica. Il sistema giudiziario non può più permettersi l’alibi di una tutela frammentata, che subordina la libertà di espressione delle donne alla mera lesione dell’onore individuale.

L'articolo Misoginia 2.0: l’istigazione all’odio che zittisce le donne proviene da Red Hot Cyber.

Google ha rilasciato nuovi aggiornamenti per il suo browser Chrome nel mezzo di una nuova ondata di attacchi in cui gli aggressori sfruttano una falla nel motore V8. L’azienda ha riconosciuto che una delle vulnerabilità scoperte è già utilizzata in incidenti reali, quindi le patch sono state rilasciate immediatamente.

Il problema principale era il CVE-2025-13223, con severity di 8,8. Si tratta di un bug che può portare alla corruzione della memoria. In uno scenario di successo, un aggressore remoto potrebbe eseguire codice arbitrario tramite una pagina HTML appositamente creata.

Il problema è stato segnalato da Clement Lessin del team Threat Analysis Group, che ha identificato il problema il 12 novembre. L’azienda non ha rivelato chi potrebbe essere stato preso di mira dagli attacchi né la loro portata, ma conferma che esiste già uno strumento antimalware funzionante.

Questo bug è diventato la terza anomalia attiva di questa classe nella V8 di quest’anno, unendosi a CVE-2025-6554 e CVE-2025-10585 . È stato risolto anche un problema simile nel motore, CVE-2025-13224. È stato scoperto dall’agent di intelligenza artificiale interno di Google, Big Sleep .

Entrambi i bug hanno ricevuto lo stesso livello di gravità a causa del rischio di esecuzione di azioni arbitrarie nel sistema.

L’azienda ricorda che, inclusa la versione di novembre, il numero di vulnerabilità zero-day risolte in Chrome dall’inizio dell’anno ha raggiunto quota sette. L’elenco include CVE-2025-2783 , CVE-2025-4664 , CVE-2025-5419 , CVE-2025-6554 , CVE-2025-6558 e CVE-2025-10585 .

Per ridurre i rischi, consigliamo di installare le versioni più recenti di Chrome: 142.0.7444.175 o .176 per Windows, 142.0.7444.176 per macOS e 142.0.7444.175 per Linux.

È possibile verificare la presenza di aggiornamenti andando su Aiuto > Informazioni su Google Chrome e riavviando il browser. Anche gli utenti di Edge, Brave, Opera e Vivaldi dovrebbero attendere il rilascio degli aggiornamenti corrispondenti nelle loro build.

L'articolo Google Chrome, un altro bug critico risolto. Basta una pagina HTML contraffatta per sfruttarlo proviene da Red Hot Cyber.

There’s been a bit of a virtualization revolution going on for the last decade or so, where tools like Docker and LXC have made it possible to quickly deploy server applications without worrying much about dependency issues. Of course as these tools got adopted we needed more tools to scale them easily. Enter Kubernetes, a container orchestration platform that normally herds fleets of microservices in sprawling cloud architectures, but it turns out it’s perfectly happy running on a tiny computer stuffed in a cat carrier.

This was a build for the recent Kubecon in Atlanta, and the project’s creator [Justin] wanted it to have an AI angle to it since the core compute in the backpack is an NVIDIA DGX Spark. When someone scans the QR code, the backpack takes a picture and then runs it through a two-node cluster on the Spark running a local AI model that stylizes the picture and sends it back to the user. Only the AI workload runs on the Spark; [Justin] also is using a LattePanda to handle most of everything else rather than host everything on the Spark.

To get power for the mobile cluster [Justin] is using a small power bank, and with that it gets around three hours of use before it needs to be recharged. Originally it was planned to work on the WiFi at the conference as well but this was unreliable and he switched to using a USB tether to his phone. It was a big hit with the conference goers though, with people using it around every ten minutes while he had it on his back. Of course you don’t need a fancy NVIDIA product to run a portable kubernetes cluster. You can always use a few old phones to run one as well.

youtube.com/embed/XudewmfourQ?…

hackaday.com/2025/11/18/kubern…

18 novembre 2025 – Dopo ore di malfunzionamenti diffusi, l’incidente che ha colpito la rete globale di Cloudflare sembra finalmente vicino alla risoluzione. L’azienda ha comunicato di aver implementato una correzione e di essere ora nella fase di monitoraggio attivo, dopo una giornata caratterizzata da disservizi, errori intermittenti e problemi sui servizi applicativi e di sicurezza.

L’incidente, iniziato alle 11:48 UTC, ha coinvolto varie componenti dell’infrastruttura Cloudflare, generando rallentamenti, timeout e blocchi a livello globale, con impatti anche su CDN, API, autenticazione e dashboard di gestione.

Di seguito la ricostruzione completa della giornata.

Timeline dell’incidente Cloudflare

11:48 UTC – Inizio dell’incidente
Cloudflare segnala un degrado interno del servizio. Diversi servizi risultano instabili a livello globale e viene avviata l’analisi del problema.

12:03 UTC – Indagine in corso
Cloudflare conferma che alcuni servizi continuano a essere colpiti da errori intermittenti.

12:21 UTC – Prime evidenze di ripristino parziale
Cloudflare osserva miglioramenti, ma i clienti sperimentano ancora errori più elevati del normale.

12:37 UTC – Indagine ancora attiva
Persistono anomalie diffuse sulla rete.

12:53 UTC – Indagine ancora in corso
I tecnici continuano a lavorare senza individuare ancora una soluzione definitiva.

13:04 UTC – Disattivato temporaneamente l’accesso WARP a Londra
Durante i tentativi di mitigazione, Cloudflare disattiva WARP nella region di Londra. Gli utenti locali non riescono a connettersi tramite il servizio.

13:09 UTC – Problema identificato
Cloudflare comunica di aver individuato la causa dell’incidente e di aver iniziato a implementare una soluzione.

13:13 UTC – Ripristino parziale di Access e WARP
Cloudflare ripristina Access e WARP, riportando i livelli di errore alla normalità.
WARP Londra torna operativo. Si continua a lavorare sui restanti servizi applicativi.

13:35 UTC – Problemi ancora presenti
I servizi applicativi non sono ancora stati ripristinati completamente.

13:58 UTC – Lavori in corso
Continuano gli interventi per riportare online i servizi rimanenti.

14:22 UTC – Ripristino dashboard
La dashboard Cloudflare torna operativa, anche se i servizi applicativi mostrano ancora instabilità.

14:34 UTC – Continuano i lavori di ripristino
Il team tecnico prosegue con le attività necessarie a ripristinare tutti i servizi.

14:42 UTC – Cloudflare: “Incidente risolto, monitoraggio in corso”
Cloudflare annuncia di aver implementato una correzione definitiva. Tutti i servizi dovrebbero tornare progressivamente alla normalità, ma rimane attivo il monitoraggio post-incident.

Impatti dell’incidente

L’incidente ha avuto un impatto rilevante su scala globale. Molti siti web serviti da Cloudflare (tra cui redhotcyber.com) hanno mostrato rallentamenti, pagine non raggiungibili, errori 502, 522 e 526, oltre a problemi di caching e routing.

I servizi di sicurezza e autenticazione, come Cloudflare Access e WARP, sono stati fortemente colpiti nella prima fase. In alcune regioni gli utenti non hanno potuto autenticarsi o accedere alle risorse protette.

Anche Downdetector ha mostrato malfunzionamenti, rendendo difficile monitorare l’ampiezza dell’incidente e contribuendo alla percezione di un blackout molto esteso.

L’infrastruttura globale Cloudflare ha registrato rallentamenti e instabilità, con ripercussioni a catena su servizi non direttamente ospitati sulla piattaforma.

Che cos’è Cloudflare WARP

Cloudflare WARP è un servizio sviluppato da Cloudflare con l’obiettivo di migliorare la sicurezza e le prestazioni della connessione Internet degli utenti. A differenza delle VPN tradizionali, che puntano principalmente a fornire anonimato instradando tutto il traffico attraverso server remoti, WARP è progettato per rendere la navigazione più veloce, stabile e protetta, senza appesantire la connessione.

Come funziona

WARP utilizza il protocollo WireGuard, noto per essere leggero, rapido e altamente sicuro. Il traffico viene instradato attraverso la rete globale di Cloudflare, che funge da “strato protettivo” tra l’utente e il web. Questo permette di:

• criptare le connessioni su reti non sicure (come Wi-Fi pubblici),
• ridurre la latenza grazie alla rete globale Cloudflare,
• filtrare automaticamente traffico malevolo o sospetto,
• proteggere da intercettazioni e attacchi man-in-the-middle.

Non mira all’anonimato totale come una VPN classica, ma si concentra su sicurezza e stabilità della connessione.

La differenza tra WARP e WARP+

Cloudflare offre due versioni del servizio:

• WARP: gratuito, utilizza la rete standard Cloudflare.
• WARP+: a pagamento, instrada parte del traffico tramite la tecnologia Argo Smart Routing, che sceglie dinamicamente il percorso più veloce tra i server Cloudflare, migliorando ulteriormente la velocità.

Situazione attuale

Secondo l’ultimo aggiornamento, la correzione è stata applicata con successo e i servizi stanno tornando alla normalità. Cloudflare è ora nella fase di monitoraggio attivo e nelle prossime ore potrebbero verificarsi residui di instabilità durante l’assestamento della rete

L'articolo Cloudflare va giù nel magnifico Cloud! incidente globale in fase di risoluzione proviene da Red Hot Cyber.

“Build a better mousetrap and the world will beat a path to your door,” so goes the saying, but VHS beat Betamax and the world hasn’t been the same since. In any case, you might not get rich building a better mousetrap, but you can certainly create something more humane than the ol’ spring’n’snap, as [nightcustard] demonstrates.

The concept is the same as many humane mousetraps on the market. The mouse is lured into a confined cavity with the use of bait, and once inside, a door closes to keep the mouse inside without injuring it. [nightcustard] achieved this by building a plastic enclosure with plenty of air holes, which is fitted with a spring-loaded door. When a mouse walks through an infra-red break beam sensor, a Raspberry Pi Pico W triggers a solenoid which releases the door, trapping the mouse inside. This design was chosen over a passive mechanical solution, because [nightcustard] noted that mice in the attic were avoiding other humane traps with obvious mechanical trigger mechanisms.

As a bonus, the wireless connectivity of the Pi Pico W allows the trap to send a notification via email when it has fired. Thus, you can wake up in the morning and check your emails to see if you need to go and release a poor beleaguered mouse back into the wild. This is critical, as otherwise, if you forget to check your humane trap… it stops being humane pretty quickly.

If you’re looking for more inspiration to tackle your mouse problems, we can help. We’ve featured other traps of this type before, too. Meanwhile, if you’ve got your own friendly homebrew solutions to pesky pest problems, don’t hesitate to hit up the tipsline.

hackaday.com/2025/11/18/humane…

Perhaps the biggest hurdle to starting a home blacksmithing operating is the forge. There’s really no way around having a forge; somehow the metal has to get hot enough to work. Although we might be imagining huge charcoal- or gas-fired monstrosities, [Shake the Future] has figured out how to use an unmodified, standard microwave oven to get iron hot enough to melt and is using it in his latest video to cast real, working tools with it.

In the past, [Shake the Future] has made a few other things with this setup like an aluminum pencil with a graphite core. This time, though, he’s stepping up the complexity a bit with a working tool. He’s decided to build a miniature bench vice, which uses a screw to move the jaws. He didn’t cast the screw, instead using a standard size screw and nut, but did cast the two other parts of the vice. He first 3D prints the parts in order to make a mold that will withstand the high temperatures of the molten metal. With the mold made he can heat up the iron in the microwave and then pour it, and then with some finish work he has a working tool on his hands.

A microwave isn’t the only kitchen appliance [Shake the Future] has repurposed for his small metalworking shop. He also uses a standard air fryer in order to dry parts quickly. He works almost entirely from the balcony of his apartment so he needs to keep his neighbors in mind while working, and occasionally goes to a nearby parking garage when he has to do something noisy. It’s impressive to see what can be built in such a small space, though. For some of his other work be sure to check out how he makes the crucibles meant for his microwave.

youtube.com/embed/56JHC8Jw8IE?…

hackaday.com/2025/11/18/castin…

The magnetic loop antenna is a familiar sight in radio amateur circles as a means to pack a high performance HF antenna into a small space. It takes the form of a large single-turn coil made into a tuned circuit with a variable capacitor, and it provides the benefits of good directionality and narrow bandwidth at the cost of some scary RF voltages and the need for constant retuning. As [VK3YE] shows us though, magnetic loops are not limited to HF — he’s made a compact VHF magnetic loop using a tin can.

It’s a pretty simple design; a section from the can it cut out and made into a C shape, with a small variable capacitor at the gap. The feed comes in at the bottom, with the feed point about 20 % of the way round the loop for matching. The bandwidth is about 100 MHz starting from the bottom of the FM broadcast band, and he shows us it receiving broadcast, Airband, and 2 meter signals. It can be used for transmitting too and we see it on 2 meter WSPR, but we would have to wonder whether the voltages induced by higher power levels might be a little much for that small capacitor.

He’s at pains to point out that there are many better VHF antennas as this one has no gain to speak of, but we can see a place for it. It’s tiny, if you’re prepared to fiddle with the tuning its high Q gets rid of interference, and its strong side null means it can also reduce unwanted signals on the same frequency. We rather like it, and we hope you will too after watching the video below.

youtube.com/embed/JYIU0Nxn8fg?…

hackaday.com/2025/11/18/a-vhf-…

For the Component Abuse Challenge, we asked you to do the wrong thing with electrical parts, but nonetheless come out with the right result. It’s probably the most Hackaday challenge we have run in a long time, and you all delivered! The judging was tight, but in the end three projects rose up to the top, and will each be taking home a $150 DigiKey gift certificate, but that doesn’t mean you shouldn’t give all of the projects a look.

So without further ado, let’s check out the winners and all the others that tickled the hacky regions of our judges’ brains.

Prize Winners

[Miroslav Hancar]’s LED Candles was a shoe-in, at least if you watched the video demo. It presents itself as a simple LED on a round PCB with a coin cell, but then when [Miroslav] lights it with an actual lighter, it starts glowing. (And maybe smoking just a little bit.) He makes both single-LED and quad-LED varieties, and they’re both gems.

The component misuse is an old favorite: the diode’s forward voltage drop depends on the temperature, and if you measure the voltage across the current-limiting resistor, you can read this voltage and determine when someone is setting fire to your LED. A bonus of the single-LED configuration is that if you touch the LED’s leads, your finger shunts some of the current, and you can “snuff” the LEDs out. And while we’ve seen similar LED hacks before, the addition of actual fire to this one seems to have warmed our judges’ hearts.

[Luke J. Barker]’s Need an Electrical Slip Ring? is simplicity itself, and appears to have been born of the mother of invention. [Luke] was making a VertiBird helicopter toy, which spins around on the desk and rises and falls with joystick control. And for that, he needed a slip ring. Enter the humble audio jack, which fills the job nicely, transmitting power to the rotating helicopter without twisting up wires in the process. There’s not much magic here, but it’s a fantastic idea when you need something to spin.

On the other end of the spectrum, [Craig D]’s Boosting voltage with a cable looks like it shouldn’t work at first, but it does. In most step-up-voltage setups, you’re storing the energy in either a capacitor or inductor, and switching it in and out of the circuit to hop the voltage up. Here, the energy isn’t ever really “stored” as much as it’s “in flight”.

A circuit sends a pulse down a long length of coaxial cable that is left open at the other end. The pulse reflects off the open end and heads back toward the voltage driver, which then fires off another pulse at just the right time to make the travelling wave a little bit bigger, and this continues. It’s like pushing a swing – adding a little extra oomph at just the right time can build up. There’s a lot of cool physics here, a nice simulation that actually ends up corresponding very well with reality, and in the end the pulse timing isn’t rocket science, but rather figuring out the resonant frequency along the coax. And it works well enough to light up two neon bulbs in series (~140 V) off of a 15 V power supply.

Honorable Mentions

We got way more cool entries than we have prizes, so we try to round them up into categories and give them a little time in the sun.

Out of Spec

Normally, a 555 timer oscillator circuit relies on filling up a capacitor with a current that’s throttled through a resistor. How can you make it go faster? Make the capacitor smaller and the resistor less resistive. What happens when you get rid of them both entirely, relying on stray capacitance and the resistance of whatever wire you’re using? That’s what [MagicWolfi] aimed to find out with his Ludicrous 555 project.

The IC-Abusing Diode Tester is an absolutely horrible circuit. Nothing in it works like it should. The only reason the IC doesn’t burn up is that it’s more robust than the datasheet promises, and the battery used has such a high internal resistance that it can’t source that much current anyway. Parts are powered by leakage current, and below their minimum voltage. [Joseph Eoff] counts seven values that are out of spec in this single historical circuit, so that’s gotta count for something.

Junk Box Substitutions

You need GPIO lines, but you have a UART. [Ken Yap] proposes repurposing the DSR, DTR, RTS, and CTS lines as inputs and outputs, and he writes code to make them do his bidding.

Or maybe you’re working on self-assembling robots and you need some magic glue to hold different modules together. [Miana]’s Low-melt-solder connected robots is half research project, and half hack. Resistors are used to melt solder, magnets align the parts together, and when it all cools down, it’s as if two modules are brazed together. This one’s a lot more than a hack, but we’re honored to have it entered in the contest anyway!

Bizarro World

We honestly thought we’d get more entries that made use of the duality of most sensors / emitters. Instead, we got two. [Nick]’s Better Than Bluetooth does the LED-as-photosensor trick, and concludes that it’s better than Bluetooth if expense, limited range, and frustration are what you’re looking for in a data link. Meanwhile, [Kauz] proves that electromagnets are also pickups by building a guitar pickup out of six relays.

Side Effects

Everything is a fuse if you run enough current through it. [JohnsonFarms] pushed conductive filament to the melting point, and calibrated it along the way. While roasting a hotdog with mains voltage and a couple forks, [Ian Dunn] discovered that if you stick some LEDs in it, they light up.

Most old op-amps oscillate out of control when given feedback, unless you damp it down a bit with a capacitor. [Adrian Freed] found an op-amp lousy enough that would do this at audio frequencies, and used it to reimagine a classic noisemaker.

Finally, while you should probably avoid the metastable middle-zones between digital one and zero, [SHAOS] combines unbuffered NAND and NOR gates to tease out a third logic state. [Bob Widlar] would be proud.

Thanks All!

As always, we had more great entries that we could feature here, so head on over to Hackaday.io and check them out. And thanks again to DigiKey for providing our top three with $150 gift certificates. If you’re looking for your chance to show off a project that you’re working on, hang on for a while because we’ll be starting up a new contest in early 2026.

TinkerCAD had its first release all the way back in 2011 and it has come a long way since then. The latest release has introduced a raft of new, interesting features, and [HL ModTech] has been nice enough to sum them up in a recent video.

He starts out by explaining some of the basics before quickly jumping into the new gear. There are two headline features: intersect groups and smooth curves. Where the old union group tool simply merged two pieces of geometry, intersect group allows you to create a shape only featuring the geometry where two individual blocks intersect. It’s a neat addition that allows the creation of complex geometry more quickly. [HL ModTech] demonstrates it with a sphere and a pyramid and his enthusiasm is contagious.

As for smooth curves, it’s an addition to the existing straight line and Bézier curve sketch tools. If you’ve ever struggled making decent curves with Bézier techniques, you might appreciate the ease of working with the smooth curve tool, which avoids any nasty jagged points as a matter of course.

While it’s been gaining new features at an impressive rate, ultimately TinkerCAD is still a pretty basic tool — it’s not the sort of thing you’d expect to see in the aerospace world or anything. ut it’s a great way to start whipping up custom stuff on your 3D printer.

youtube.com/embed/nMDNAysi5EE?…

hackaday.com/2025/11/18/a-quic…

I’m sitting in front of an old Sayno Plasma TV as I write this on my media PC. It’s not a productivity machine, by any means, but the screen has the resolution to do it so I started this document to prove a point. That point? Plasma TVs are awesome.

Always the Bridesmaid, Never the Bride

An Egyptian god might see pixels on an 8K panel, but we puny mortals won’t. Image “Horus Eye 2” by [Jeff Dahl]The full-colour plasma screens that were used as TVs in the 2000s are an awkward technological cul-de-sac. Everyone knows and loves CRTs for the obvious benefits they offer– bright colours, low latency, and scanlines to properly blur pixel art. Modern OLEDs have more resolution than the Eye of Horus, never mind your puny human orbs, and barely sip power compared to their forbearers. Plasma, though? Not old enough to be retro-cool, not new enough to be high-tech, plasma displays are sadly forgotten.

It’s funny, because I firmly believe that without plasma displays, CRTs would have never gone away. Perhaps for that I should hate them, but it’s for the very reasons that Plasma won out over HD-CRTs in the market place that I love them.

What You Get When You Get a Plasma TV

I didn’t used to love Plasma TVs. Until a few years ago, I thought of them like you probably do: clunky, heavy, power-hungry, first-gen flatscreens that were properly consigned to the dustbin of history. Then I bought a house.

The house came with a free TV– a big plasma display in the basement. It was left there for two reasons: it was worthless on the open market and it weighed a tonne. I could take it off the wall by myself, but I could feel the ghost of OSHA past frowning at me when I did. Hauling it up the stairs? Yeah, I’d need a buddy for that… and it was 2020. By the time I was organizing the basement, we’d just gone into lockdown, and buddies were hard to come by. So I put it back on the wall, plugged in my laptop, and turned it on.

I was gobsmacked. It looked exactly like a CRT– a giant, totally flat CRT in glorious 1080p. When I stepped to the side, it struck me again: like a CRT, the viewing angle is “yes”.

How it Works

None of this should have come as a surprise, because I know how a Plasma TV works. I’d just forgotten how good they are. See, a Plasma TV really was an attempt to get all that CRT goodness in a flat screen, and the engineers at Fujitsu, and later elsewhere, really pulled it off.

Like CRTs, you’ve got phosphors excited to produce points of light to create an image– and only when excited, so the blacks are as black as they get. The phosphors are chemically different from those in CRTs but they come in similar colours, so colours on old games and cartoons look right in a way they don’t even on my MacBook’s retina display.

Unlike a CRT, there’s no electron beam scanning the screen, and no shadow mask. Instead, the screen is subdivided into individual pixels inside the flat vacuum panel. The pixels are individually addressed and zapped on and off by an electric current. Unlike a CRT or SED, the voltage here isn’t high enough to generate an electron beam to excite the phosphors; instead the gas discharge inside the display emits enough UV light to do the same job.

Each phosphor-filled pixel glows with its own glorious light thanks to the UV from gas discharge in the cell.
Image based on “Plasma-Display-Composition.svg” by [Jari Laamanen].Still, if it feels like a CRT, and that’s because the subpixels are individual blobs of phosphors, excited from behind, and generating their own glorious light.

It’s Not the Same, Though

It’s not a CRT, of course. The biggest difference is that it’s a fixed-pixel display, with all that comes with that. This particular TV has all the ports on the back to make it great for retrogaming, but the NES, or what have you, signal still has to be digitally upscaled to match the resolution. Pixel art goes unblurred by scanlines unless I add it in via emulation, so despite the colour and contrast, it’s not quite the authentic experience.

For some things, like the Atari 2600, the scanline blur really doesn’t matter. Image: “Atari 2600 on my 42 inch plasma TV” by [Jeffisageek] The built-in upscaling doesn’t introduce enough latency for a filthy casual like me to notice, but I’ll never be able to play Duck Hunt on the big screen unless I fake it with a Wii. Apparently some Plasma TVs are awesome for latency on the analog inputs, and others are not much better than an equivalent-era LCD. There’s a reason serious retro gamers pay serious money for big CRTs.

Those big CRTs don’t have to worry about burn in, either, something I have been very careful in the five years I’ve owned this second-hand plasma display to avoid. I can’t remember thinking much about burn-in with CRTs since we retired the amber-phosphor monitor plugged into the Hercules Graphics card on our family’s 286 PC.

The dreaded specter of burn-in is plasma’s Achilles heel – more than the weight and thickness, which were getting much better before LG pulled the plug as the last company to exit this space, or the Energy Star ratings, which weren’t going to catch up to LED-backlit LCDs, but had improved as well. The fear of burn-in made you skip the plasma, especially for console gaming.

This screen is haunted by the ghost of CNN’s old logo. Burning in game graphics was less common but more fun. Ironically, it’s an LCD. Image: “logo of CNN burnt on a screen” by [Nate]Early plasma displays could permanently damage the delicate phosphors in only a handful of hours. That damage burnt the unmoving parts of an image permanently into the phosphors in the form of “ghosting”, and unless you caught it early, it was generally not repairable. The ghosting issue got better over time, but the technology never escaped the stigma, and the problem never entirely went away. If that meant that after a marathon Call-of-Duty session the rest of the family had to stare at your HUD on every movie night, Dad wasn’t going to buy another plasma display.

By the end, the phosphors improved and various tricks like jiggling the image pixel-by-pixel were found to avoid burn-in, and it seems to have worked: there’s absolutely no ghosting on my model, and you can sometimes find late-model Plasma TVs for the low, low cost of “get this thing off my wall and up the stairs” that are equally un-haunted. I may grab another, even if I have to pay for it. It’s a lot easier to hide a spare flatscreen than an extra CRT, another advantage to the plasma TVs, and in no case do phosphors last forever.

But Where’s the Hack?

Is “grab an old flat screen instead of hunting around for an impossible CRT” a hack? Maybe it’s not, but it’s worth considering, though, because Plasma TVs don’t get the love they deserve. (And seriously, you’re not going to find the mythical 43-inch CRT, even if it technically existed. And you’ll never find a tube that could match the 152” monster Panasonic put out to claim the record back in the day.)

In the mean time, I’m going to enjoy the contrast ratio, refresh rate, and the bonus space heater. I’m in Canada, and winter is coming, so it’s hard to get too overworked about waste heat when there’s frost on your windowpanes.

Featured image: “IFA 2010 Internationale Funkausstellung Berlin 124” by [Bin im Garten].

hackaday.com/2025/11/18/in-pra…