L'uso dell'automobile è 'libertà', ma la libertà del più forte (e questo è il motivo per cui servono i limiti a 30 nelle strade frequentate da persone a piedi e in bicicletta)
Licenziamenti, contratti a termine, sicurezza. I quesiti promossi dalla #Cgil spiegati da Lorenzo Fassina, responsabile dell’Ufficio giuridico e vertenze.
L’ #informatica sta completamente esplodendo nell’ultima settimana… ciò è molto buffo, ma anche #preoccupante. E siamo appena a sabato mattina… c’è tutto il tempo per far andare storto anche qualcos’altro! Siamo messi veramente di cacca. 😬️
Prima è uscito fuori un #bug che colpisce tutte le CPU Apple Silicon, simile a cosa fu Spectre anni fa, quindi ovviamente #hardware, e chissà se sarà o meno patchabile via software in realtà in futuro (ma in tal caso, il vostro bel #computer con la mela girerà 3 volte peggio, soldi buttati). Fanno proprio schifo ‘sti #processori#moderni, tutti indistintamente, finiscono sempre per avere una caterva di #falle strane perché implementano #hack bruttissime a livello di progettazione per girare più veloci… dovremmo tornare onestamente al 6502. Il sito ufficiale è https://gofetch.fail, e #LowLevelLearning ha ovviamente parlato della cosa: https://youtube.com/watch?v=-D1gf3omRnw 🍎️
Poi una #falla di incremento dei privilegi a livello kernel in #Linux… è complicatissimo, ma un #ProofOfConceptè stato pubblicato qui (assieme al #writeup), e in pratica si può sfruttare un #problemino nello stack di rete per diventare #root… mi chiedo se si potrà magari utilizzare per rootare sistemi embedded ristretti (telefonini coff coff, ma non solo), anche se dice di colpire tra v5.14 e v6.6 quindi non ho molte speranze. Qui un #video se vi interessa comprendere il #glitch in modo umano: https://youtube.com/watch?v=ixn5OygxBY4 💣️
E infine, #notizia di ieri, cosa estremamente grave perché è stata fatta apposta, è stata inserita una #backdoor nella libreria di compressione #XZ. Lo ha scoperto un certo #AndresFreund, che non è un ricercatore di #sicurezza, ma era semplicemente diventato estremamente salty dopo aver visto che i suoi login ad SSH facevano schizzare alle stelle l’uso di risorse del sistema, oltre ad essere stranamente più lenti. Quindi ha scavato un po’, pensando ci fosse qualche #problema benigno, ma in realtà ha scoperto che qualche stronzo ha inserito #malware nel processo di build della libreria, nascondendolo tra le cose relative al testing. Mi sarebbe piaciuto navigare tra #issue e pull request per vedere l’utente che ha mandato ‘sta merda al progetto, ma GitHub come al solito si dimostra la piattaforma di condivisione di codice più stupida al mondo, e ha sospeso tutte le repo per “violazione dei Termini di Servizio”… razza di scimmie imbananate che non siete altro, ma credete davvero che i mantenitori di #Tukaani abbiano fatto entrare codice malevolo nelle loro repo consapevolmente? È ovvio che nessuno se n’è accorto, che bisogno c’è di punire chi non ha colpa allora? (Tra l’altro, il loro sito era ospitato lì, quindi ora manco quello è più online… almeno hanno un mirror Git, ma è solo source lì). Mi piacerebbe proprio tanto fare una chiacchierata con il vero colpevole, e di persona, sia ben chiaro, non dietro una tastiera dove questo si crederebbe ovviamente Dio… “eh ma io so fare gli exploit io so programmare meglio di te io io” sei un coglione, questo sei se fai queste cose, scommetto che non riusciresti nemmeno a parlare faccia a faccia. Persino io con le mie manie di protagonismo non mi sognerei mai di fare qualcosa per garantirmi una backdoor nei server #SSH di tutto il mondo, e che cazzo… 💀️
Se non l’avevate sentito giorni fa, beata la vostra ignoranza, #Nintendo ha preso così e lanciato una #causa legale a #Yuzu, #emulatore di #NintendoSwitch. Per qualche giorno non si è saputo nulla… e poi, #notizia di stasera, di qualche ora fa, è che, non potendo gli sviluppatori andare in tribunale (giustamente, è un progetto #opensource, non un prodotto commerciale), o quantomeno dubitando fortemente di vincere senza soldi, hanno firmato il patto col diavolo: pagare 2.4 milioni di dollari e “distruggere” (mamma mia i termini legali che roba da pazzi) tutto il lavoro. Questo include anche #Citra, emulatore #3DS, tra l’altro. 🍃
Eviterò ora il papiro per raccontare come mai stavolta #Ninty ha superato davvero il limite e io sono veramente incazzatissima, lo vedete anche voi che questo è bullismo e c’è poco da dire. Il problema ora è che, a parte che ora il clima diventa terribile per tutti i #software di questo tipo, e che lo #sviluppo di questi 2 in particolare non continuerà, tutte le repository di codice e i binari ufficiali sono stati cancellati. ☠️
Non sarò sola in questo, anche altra gente si starà mobilitando, ma anche io per #sicurezza voglio fare il mio e cercare di raccogliere da varie repo forkate e siti di distribuzione tutte le eventuali cose, per tenere anche dei #mirror personali. Grande #lungimiranza quella di creare #softwarelibero: gli sviluppatori dei due #emulatori sanno bene che, nonostante ora loro sono fuori dal gioco, tutto ciò che hanno fatto non verrà perso, e probabilmente qualcuno addirittura continuerà lo sviluppo. Vedrò di creare tutte le copie idealmente necessarie, e metto i link su questa pagina (già ha qualcosina): https://octospacc.altervista.org/paste/2798/?ppt=e2a1eedb58cc9643e82ec9d82ff59ef2e26e0b4a237c4da74eae4328d1ad56d2 ✝️
Ormai gli amministratori che hanno a che fare con questa storia stanno iniziando a pensare che gli sviluppatori li stiano prendendo per il culo… e non posso fare altro che empatizzare: questa è proprio la cosa che io, da developer, farei per trollare eventuali sysadmin, che dovrebbero poi correre appresso al mio eventuale codice mal scritto, in un programma che dal nulla gli fa uscire a sorpresa in home in color rosso sangue “Aggiornamento critico di sicurezza disponibile!“, ma non offre purtroppo nessuna funzione di aggiornamento con 1 click (al contrario di robe come WordPress). 🦧
Purtroppo, scherzi e #lagne a parte, è una cosa specialmente #brutta perché, se in Mastodon si stanno trovando così tante #falle, chissà in piattaforme #fedi meno popolari e quindi meno controllate e testate… a meno che non sia un caso di impigrimento dei dev, ma su questo non posso fare grandi #ipotesi. 😩
💡 Vulnerabilità in Mastodon
Nelle ultime ore è stata individuata una seria vulnerabilità Mastodon e gli amministratori delle istanze hanno reagito prontamente. https://gomoot.com/vulnerabilita-in-mastodon
Al bar vedo passare in tv la notizia di un operaio travolto da un treno alla stazione di Chiari. Lavorava per una ditta esterna e "probabilmente non ha visto il treno per la nebbia".
Io ieri sera ho guidato da Pavia a Lodi e non ho fatto la solita strada perché c'era troppa nebbia. Io che qui nella bassa sono cresciuta e che non ho paura di nebbia, neve, ghiaccio. Cresciuta in autoscuola e che da 17 anni guido per tutti gli amici.
Era lui che doveva vedere il treno? O ditta e stazione che dovevano interrompere il lavoro perché non sussistevano le condizioni di sicurezza?
Ah, ma quando un comune mortale muore sul lavoro è una tragedia, mica un omicidio di classe accaduto per aumentare i profitti.
Non so chi lo ricorda (lo accennai in #138), ma uno dei motivi per cui avevo deciso di spostare il #MicroBlog primariamente qui sul mio #sito venendo da Telegram, era questo: una serie di miei requisiti, che un #canale TG pubblico avrebbe soddisfatto, non riusciva a combaciare con il mio dover tenere privato quel canale… perché c’era troppo di frequente un influsso di #bot pericolosi, che nel migliore dei casi facevano #spam nel #gruppo collegato, e nel peggiore effettuavano #manipolazioni alle mie statistiche (in non so bene che modo). 👿️
A quanto pare, diversa gente ora si trova costretta a rendere privati i propri #canali per lo stesso problema, nonostante gli #svantaggi (ci arrivo in un attimo) per loro e per i lettori. Volevo allora fare un qualche tipo di grafico o tabella per illustrare dei possibili cambiamenti che chiunque potrebbe apportare alla propria configurazione di pubblicazione, senza abbandonare Telegram… ma, provandoci, ho iniziato ad andare totalmente mentale, cercando di pensare a che razza di formato dovrei usare per dire quello che voglio. Le relazioni tra le #opzioni che si possono #scegliere sono fin troppo complesse, anche perché le #combinazioni possibili sono troppe. Quindi, mi devo limitare ad illustrare i soli #punti salienti. 🧵️
Per prima cosa, il metodo drastico, attuabile a sua volta per diverse strade, ma che sicuramente non va bene per tutti: ⚡️
Scegliendo (come me) di postare da un sito #WordPress: 🗜️
Senza rogne si hanno: lettura pubblica, condivisione con linkback, accesso #Web, #ActivityPub, RSS, e via API JSON.
Eventuali bot malevoli possono arrivare solo qualora si lascino i #commenti aperti, e si usi WP self-hosted; io ho scelto di lasciare chiusi i commenti del sito, facendo apparire però quelli lasciati dal #Fediverso.
Si può cross-postare su Telegram facendo apparire i post come nativi; potenziale problematica è la modifica dei messaggi, a quanto so nessun bot RSS la implementa (ma sarebbe fattibile), forse qualche #plugin “da WP a Telegram” lo fa.
Scrivendo da una piattaforma che non sia WordPress e non sia #Telegram, si possono in teoria avere tutti i vantaggi di WP, con (quasi) tutti i vantaggi di TG qualora si faccia #crossposting, ma dipende un po’: 😮💨️
Avendo un profilo pubblico sulle piattaforme di #microblogging del Fediverso, ci sono in potenza tutti i vantaggi di WordPress per questo scopo, ma entrano in gioco fattori secondari. Mi vengono in mente le politiche d’istanza, e il fatto che il feed del proprio profilo sarà gestito diversamente da quello di un microblog isolato: dipende dal software, ma il #feed da cui un bot Telegram può cross-postare potrebbe essere pieno di risposte decontestualizzate, reblog fuori posto, ecc…; tutto filtrabile in teoria, ma se l’obbiettivo è il “just works”, è lecito porsi il problema (e al momento non so bene dire quale piattaforma #fedi generi il miglior feed #RSS).
Si possono usare generatori di siti statici o altri CMS, ma non è un’opzione per deboli di cuore, ergo ora non ve la accenno nemmeno.
E ok… ma volendo evitare di usare #strumenti esterni, ed aggiungere casino a quello che si fa, si può pensare: se con soltanto Telegram pubblico si hanno tanti #vantaggi ma lo svantaggio dei bot, e con il privato si hanno tanti svantaggi ma il vantaggio della #sicurezza, la #soluzione potrebbe essere l’unire queste 2 cose? E allora, la seguente è la soluzione che consiglierei a tutti, invece, perché non cambia di una virgola il #workflow… ♻️
Anche solo in questo caso, troppe possibili #variazioni, quindi descrivo solo la più vantaggiosa (se provaste per conto vostro a ricombinare gli elementi della mia premessa per immaginare #configurazioni diverse, ammesso che la mia mente non sia incappata in un errore di runtime, dovreste trovare meno vantaggi): 💣️
1️⃣️ Si rende #privato il canale che si è sempre usato (seguito da tutti gli utenti storici, e a cui è collegato il gruppo commenti che si è sempre usato).
2️⃣️ Si crea un secondo canale, #pubblico, senza commenti attivi, il cui scopo è fare da “proxy”.
3️⃣️ Si fa uso di un bot per collegare i due canali, che legga i messaggi inviati dagli admin su uno dei due (a piacere), per riprodurli (e cancellarli, quando necessario) sull’altro.
Idealmente, il bot deve ricomporre i messaggi, non inoltrarli, così che sia possibile la sincronizzazione di qualunque modifica. All’inizio o alla fine di ogni messaggio, il bot inserirebbe, in base al caso, un link alla variante dello stesso post sul canale #alternativo (i post del privato linkano al pubblico per chi ha bisogno di condividere/aprire all’esterno, i post del pubblico linkano al privato per permettere agli #utenti legittimi di arrivare da fuori al punto di discussione).
ℹ️ Unico punto di #crisi: le reazioni. Bisogna sceglierle se tenerle attive in entrambi i canali (avendole così per chiunque ma “non sincronizzate”, sconsiglierei), tenerle attive solo sul principale privato (quello che consiglio), o solo sul secondario pubblico (sconsiglio).
Tutte queste belle congetture però ora finiscono: quale botto telegrammico esiste già che faccia questa cosa, in modo così ideale, e gratuitamente? Statisticamente, credo che debbia già esistere, è un #concetto molto #semplice… però non lo conosco. A tutti voi che cercate di fuggire dagli #userbot spammoni, fatemi sapere se adottereste una soluzione del genere per il vostro canale; eventualmente aggiungete le vostre idee alla questione. Se questo #crossposter esiste già, lo troveremo; se non esiste, credo di poterlo realizzare con qualche scarsa centinaia di riga di codice, e ospitarlo #aggratis. 🙀️
Il tema della #sicurezza stradale - soprattutto a Milano - è fondamentale oggi, alla luce dei tanti incidenti che avvengono sulle nostre strade. Ma anche una mobilità pulita e green è indispensabile #benessereesalute#mobilitàsostenibile#greenplanner
@ildisinformatico
Grazie! Bell'esempio di come la #prevenzione è centrale! Gestione delle emergenze, ma anche #sicurezza sul lavoro sono altri ambiti in cui applicare!
Dare consigli sulla #privacy e sulla #sicurezza digitale significa anche andare incontro alle persone nel punto in cui si trovano, consigliando strumenti familiari e semplici da usare ma con meno traccianti per la riduzione del danno.
Usare #Protonmail, #Brave, #Bitwarden, #LibreY o #Presearch, aiutano le persone ad uscire facilmente da Google, Gmail, Chrome e dal loro gestore password perchè trovano soluzioni complete e affidabili su cui migrare facilmente.