Cioè Signal sta sul Cloud di Amazon
Uncategorized
62
Posts
9
Posters
0
Views
-
@ju @valhalla @Uilebheist
Era questo il problema di amicə, ha capito come fare per risolvere
-
@ju @valhalla @Uilebheist
Era questo il problema di amicə, ha capito come fare per risolvere -
@kappazeta @lorcon @ju ah, per metà degli utenti sul mio server io sono riuscita con le minacce “se vuoi ricevere foto di gatto da me devi installarti conversations”
e l'altra metà sono nerd flossari, e quindi già consapevoli dell'esigenza
però le minacce unite ad aiuto tecnico hanno funzionato, e intanto c'è un tot di gente in più che usa xmpp, anche se continuano ad usare anche whatsapp
Tutto giusto detto ciò vi pregherei di considerare un fatto ipotetico ma basato su di esperienze reali successe negli ultimi dieci anni: se devo comunicare con una persona che si trova nella condizione di essere profuga, poniamo un dissidente politico siriano all'apice della guerra civile, l'unico modo per farlo è usare una piattaforma che salta a piè pari tutti i passaggi che richiedono una comunità locale in grado di fornire un sistema tecnologico complesso. Perché questa persona una comunità di riferimento che possa fare queste cose non ce l ha. Strumenti centralizzati come signal funzionano perché bastano uno smartphone, una sim e una connessione. Sono tre condizioni che sono date per la maggioranza dell'umanità. Lo smanettone di riferimento ce lo abbiamo noi, non uno yazida in fuga dall isis.
-
@ju capisco perfettamente il punto, ma ci vogliono persone disponibili a dedicare il proprio tempo a imparare strumenti diversi e creare una relazione diversa con la tecnologia. a parte una cerchia ristretta, intorno a me questa non esiste proprio come esigenza. se persone a me vicine esprimono forme di disagio rispetto alla tecnologia, allora trovo un canale aperto su cui lavorare, altrimenti zero. non è che posso imporre un'alfabetizzazione tecnologica (peraltro più che necessaria) a gente a cui di questo non interessa nulla. (o magari sì, ma la mia esperienza dice il contrario) @valhalla @lorcon
-
@ju capisco perfettamente il punto, ma ci vogliono persone disponibili a dedicare il proprio tempo a imparare strumenti diversi e creare una relazione diversa con la tecnologia. a parte una cerchia ristretta, intorno a me questa non esiste proprio come esigenza. se persone a me vicine esprimono forme di disagio rispetto alla tecnologia, allora trovo un canale aperto su cui lavorare, altrimenti zero. non è che posso imporre un'alfabetizzazione tecnologica (peraltro più che necessaria) a gente a cui di questo non interessa nulla. (o magari sì, ma la mia esperienza dice il contrario) @valhalla @lorcon
No, no, imporre no, per carità.
Dico solo che la radice del problema è lì e anche se non ho idea di come risolverlo so che se non risolvi i problemi alla radice, di solito continuano a ripresentrarsi.
Insomma non ho soluzioni da proporre al momento, mi limito a dire che è meglio riflettere di più o magari fare dei passi piccoli piuttosto che fare qualcosa magari di grosso ma nella direzione sbagliata.
CC: @valhalla@social.gl-como.it @lorcon@mastodon.bida.im
-
Tutto giusto detto ciò vi pregherei di considerare un fatto ipotetico ma basato su di esperienze reali successe negli ultimi dieci anni: se devo comunicare con una persona che si trova nella condizione di essere profuga, poniamo un dissidente politico siriano all'apice della guerra civile, l'unico modo per farlo è usare una piattaforma che salta a piè pari tutti i passaggi che richiedono una comunità locale in grado di fornire un sistema tecnologico complesso. Perché questa persona una comunità di riferimento che possa fare queste cose non ce l ha. Strumenti centralizzati come signal funzionano perché bastano uno smartphone, una sim e una connessione. Sono tre condizioni che sono date per la maggioranza dell'umanità. Lo smanettone di riferimento ce lo abbiamo noi, non uno yazida in fuga dall isis.
Beh, è pieno di server XMPP pubblici ed aperti alle iscrizioni e si fa direttamente dal client quando lo scarichi.
CC: @valhalla@social.gl-como.it @kappazeta@mastodon.bida.im @ju@nugole.it
-
Beh, è pieno di server XMPP pubblici ed aperti alle iscrizioni e si fa direttamente dal client quando lo scarichi.
CC: @valhalla@social.gl-como.it @kappazeta@mastodon.bida.im @ju@nugole.it@lorenzo @lorcon @valhalla @kappazeta @ju anche io non vedo come il fatto di essere centralizzato lo renda più accessibile per lo yazida.
Lo yazida installa un client, crea un account e chatta. Se gli sequestrano il telefono si crea un altro account e ricomincia a chattare.
Il server Signal ce lo mette Moxie e basta. Il server XMPP ce lo mette mezzo mondo tra cui gente con reputazione non disprezzabile, come Autistici, Disroot ecc ecc. Gente sul pezzo da ben prima che Signal esistesse. Volendo, con poca spesa e sforzo, il server lo puo pure mettere su qualcuno affine a qualche movimento yazida. Anzi, il fatto di dover dare il mio numero di telefono (che in Italia ed altri paesi non è anonimo) a un servizio su internet per poter chattare mi sembra una cosa orwelliana.Non dico che Signal sia peggio, ma sicuramente non meglio, dal punto di vista dell'accessibilità. E' solo piu utilizzato, che è lo stesso argomento che possono vantare Whatsapp o Telegram. Il che ha l'indubbio e solo vantaggio che probabilmente lo yazida conosce qualcunə che gia lo usa e sa come funziona.
-
@lorenzo @lorcon @valhalla @kappazeta @ju anche io non vedo come il fatto di essere centralizzato lo renda più accessibile per lo yazida.
Lo yazida installa un client, crea un account e chatta. Se gli sequestrano il telefono si crea un altro account e ricomincia a chattare.
Il server Signal ce lo mette Moxie e basta. Il server XMPP ce lo mette mezzo mondo tra cui gente con reputazione non disprezzabile, come Autistici, Disroot ecc ecc. Gente sul pezzo da ben prima che Signal esistesse. Volendo, con poca spesa e sforzo, il server lo puo pure mettere su qualcuno affine a qualche movimento yazida. Anzi, il fatto di dover dare il mio numero di telefono (che in Italia ed altri paesi non è anonimo) a un servizio su internet per poter chattare mi sembra una cosa orwelliana.Non dico che Signal sia peggio, ma sicuramente non meglio, dal punto di vista dell'accessibilità. E' solo piu utilizzato, che è lo stesso argomento che possono vantare Whatsapp o Telegram. Il che ha l'indubbio e solo vantaggio che probabilmente lo yazida conosce qualcunə che gia lo usa e sa come funziona.
Il fatto di essere centralizzato e *standardizzato* e intuitivo nell'uso è un grosso vantaggio in termini di utilizzabilità in situazioni critiche in cui sei un tizio da solo in fuga in un territorio ostile. Tempo due minuti te lo installi.
Poi intendiamoci: so benissimo quali sono i limiti di Signal (questione numero di telefono, centralizzazione aka single point of failure) e infatti uso anche altri protocolli e sistemi verso cui mi sento anche più affine. Mi da però molto fastidio questa mentalità da crociata che sto riscontrando in certi post. E la trovo proprio scollegata dai casi d'uso reale di un sistema di IM. -
Il fatto di essere centralizzato e *standardizzato* e intuitivo nell'uso è un grosso vantaggio in termini di utilizzabilità in situazioni critiche in cui sei un tizio da solo in fuga in un territorio ostile. Tempo due minuti te lo installi.
Poi intendiamoci: so benissimo quali sono i limiti di Signal (questione numero di telefono, centralizzazione aka single point of failure) e infatti uso anche altri protocolli e sistemi verso cui mi sento anche più affine. Mi da però molto fastidio questa mentalità da crociata che sto riscontrando in certi post. E la trovo proprio scollegata dai casi d'uso reale di un sistema di IM.@lorcon @agitacion @lorenzo @valhalla @kappazeta @ju
Comunque, considerato che sul server (come è verificato e verificabile dal codice del client) il numero di telefono arriva solo come hash, da cui non è possibile risalire al numero reale, secondo me non è un downside, o meglio può esserlo solo in casi molto particolari, il fatto che all'installazione si debba ancora dare il numero di telefono, ora che già dall'installazione o subito dopo è possibile anche impostare Signal perché lo usi solo perché chi ha Signal e il tuo numero in rubrica possa scoprire che sei su Signal senza che tu gli debba dare l'handle alfanumerico che puoi impostare.
Poi certo, se fosse possibile non darlo proprio sarebbe meglio anche secondo me, e credo che tecnicamente sarebbe possibile; non so perché il "gotha" di Signal non l'ha già voluto rendere possibile, fattivamente. -
@lorcon @agitacion @lorenzo @valhalla @kappazeta @ju
Comunque, considerato che sul server (come è verificato e verificabile dal codice del client) il numero di telefono arriva solo come hash, da cui non è possibile risalire al numero reale, secondo me non è un downside, o meglio può esserlo solo in casi molto particolari, il fatto che all'installazione si debba ancora dare il numero di telefono, ora che già dall'installazione o subito dopo è possibile anche impostare Signal perché lo usi solo perché chi ha Signal e il tuo numero in rubrica possa scoprire che sei su Signal senza che tu gli debba dare l'handle alfanumerico che puoi impostare.
Poi certo, se fosse possibile non darlo proprio sarebbe meglio anche secondo me, e credo che tecnicamente sarebbe possibile; non so perché il "gotha" di Signal non l'ha già voluto rendere possibile, fattivamente.@jones @lorcon @lorenzo @valhalla @kappazeta @ju non mi risulta che funzioni così. Signal il numero di telefono lo riceve eccome e lo memorizza pure in cleartext.
Altrimenti sarebbe impossibile mandarti il messagino SMS. Lo memorizzano a quanto pare sul loro DynamoDB che gira su AWS, e lo conosce pure il servizio di terze parti che usano per mandare i messaggi (Twilio, che nell'estate 2022 a causa di un phishing ha esposto la lista dei numeri di telefono che si erano registrati a Signal).
La cosa è esplicitata anche nelle risposte che danno alle richieste dati da parte delle forze dell'ordine.
Questo, unito al fatto che che il cosiddetto "Sealed Sender" viene reputato inutile da parecchia gente del settore, crea una falla che io trovo abbastanza inquietante. -
Tutto giusto detto ciò vi pregherei di considerare un fatto ipotetico ma basato su di esperienze reali successe negli ultimi dieci anni: se devo comunicare con una persona che si trova nella condizione di essere profuga, poniamo un dissidente politico siriano all'apice della guerra civile, l'unico modo per farlo è usare una piattaforma che salta a piè pari tutti i passaggi che richiedono una comunità locale in grado di fornire un sistema tecnologico complesso. Perché questa persona una comunità di riferimento che possa fare queste cose non ce l ha. Strumenti centralizzati come signal funzionano perché bastano uno smartphone, una sim e una connessione. Sono tre condizioni che sono date per la maggioranza dell'umanità. Lo smanettone di riferimento ce lo abbiamo noi, non uno yazida in fuga dall isis.
@lorcon @kappazeta @ju infatti avevo scritto “certo, ci sono parti del mondo dove sarebbe un problema, ma l'italia non è fra queste”
sono convinta che una soluzione basata su xmpp si possa trovare anche per i profughi, ma magari quella non è pronta *oggi*, e intanto si può continuare ad usare quello che c'è.
ma per tutti gli altri per cui la soluzione c'è, pronta, usabile, non vedo perché si debba lavorare attivamente per convertire utenti a signal, anziché fare lo stesso sforzo attivo, ma direttamente con xmpp.
-
@jones @lorcon @lorenzo @valhalla @kappazeta @ju non mi risulta che funzioni così. Signal il numero di telefono lo riceve eccome e lo memorizza pure in cleartext.
Altrimenti sarebbe impossibile mandarti il messagino SMS. Lo memorizzano a quanto pare sul loro DynamoDB che gira su AWS, e lo conosce pure il servizio di terze parti che usano per mandare i messaggi (Twilio, che nell'estate 2022 a causa di un phishing ha esposto la lista dei numeri di telefono che si erano registrati a Signal).
La cosa è esplicitata anche nelle risposte che danno alle richieste dati da parte delle forze dell'ordine.
Questo, unito al fatto che che il cosiddetto "Sealed Sender" viene reputato inutile da parecchia gente del settore, crea una falla che io trovo abbastanza inquietante.@agitacion @lorcon @lorenzo @valhalla @kappazeta @ju
Boh, io avevo letto questo post sul blog ufficiale di Signal, https://signal.org/blog/private-contact-discovery/, risalente a fine settembre 2017, dove dice che Signal ha sempre e solo mandato hash sha256, per giunta troncati, al server, e che stavano cercando modi per migliorare, dal punto di vista funzionale, questo metodo, e che ne avevano uno in beta, allora, il cui codice era consultabile, ovviamente, come tutto il resto del codice.
Poi può darsi che le cose siano cambiate, ma mi parrebbe strano; però se davvero sono come dici, sarebbe grave, e se hai link che appoggiano quello che hai scritto passali, per favore --- anche se quello che hai scritto mi pare non verificabile, perché se il codice attuale ufficiale e open source del server *non* fa quel che dici, bisognerebbe verificare che il software server che gira sui server di Signal sia in realtà diverso da quello pubblicato e consultabile (il che è vero anche per tutti i server XMPP).(1/2)
-
@agitacion @lorcon @lorenzo @valhalla @kappazeta @ju
Boh, io avevo letto questo post sul blog ufficiale di Signal, https://signal.org/blog/private-contact-discovery/, risalente a fine settembre 2017, dove dice che Signal ha sempre e solo mandato hash sha256, per giunta troncati, al server, e che stavano cercando modi per migliorare, dal punto di vista funzionale, questo metodo, e che ne avevano uno in beta, allora, il cui codice era consultabile, ovviamente, come tutto il resto del codice.
Poi può darsi che le cose siano cambiate, ma mi parrebbe strano; però se davvero sono come dici, sarebbe grave, e se hai link che appoggiano quello che hai scritto passali, per favore --- anche se quello che hai scritto mi pare non verificabile, perché se il codice attuale ufficiale e open source del server *non* fa quel che dici, bisognerebbe verificare che il software server che gira sui server di Signal sia in realtà diverso da quello pubblicato e consultabile (il che è vero anche per tutti i server XMPP).(1/2)
@agitacion @lorcon @lorenzo @valhalla @kappazeta @ju
In altre parole: ci sta che all'installazione il server riceva, e solo in quella circostanza, il numero per poterti mandare l'SMS di attivazione (ma è ancora così realmente?), però ci sta che il codice ufficiale del server mostri che quel numero non viene salvato da nessuna parte o che venga cancellato subito dopo che la verifica del numero è stata effettuata, oppure, se non viene effettuata, dopo un tot di tempo (tipo che so, 24 ore); e in quel caso però non possiamo escludere che il codice del software server che gira sui server di Signal sia diverso da quello pubblicato (cosa che non possiamo escludere nemmeno per qualsiasi server XMPP).
(2/2)
-
@agitacion @lorcon @lorenzo @valhalla @kappazeta @ju
In altre parole: ci sta che all'installazione il server riceva, e solo in quella circostanza, il numero per poterti mandare l'SMS di attivazione (ma è ancora così realmente?), però ci sta che il codice ufficiale del server mostri che quel numero non viene salvato da nessuna parte o che venga cancellato subito dopo che la verifica del numero è stata effettuata, oppure, se non viene effettuata, dopo un tot di tempo (tipo che so, 24 ore); e in quel caso però non possiamo escludere che il codice del software server che gira sui server di Signal sia diverso da quello pubblicato (cosa che non possiamo escludere nemmeno per qualsiasi server XMPP).
(2/2)
@jones @lorcon @lorenzo @valhalla @kappazeta @ju cosi al volo qui vedo qualche fonte https://security.stackexchange.com/questions/272982/does-signal-store-mobile-phone-numbers-server-side-in-plain-text ma se trovo di meglio le giro.
A questo va aggiunta la questione Sealed Sender, che non fa quello che si propone di fare (proteggere i numeri di telefono e gli IP):
https://sanesecurityguy.com/articles/signal-knows-who-youre-talking-to/
e oltre
https://arxiv.org/abs/2305.09799
Il fatto di trafficare con i numeri di telefono della gente apre una superficie di attacco abnorme, che incrociata con gli IP e con il traffico a due vie delle chat fa il disastro.
Questo credo sia un problema della sicurezza nelle chat in generale: in alcuni scenari di attacco è piu debole un singolo enorme DB dove fare comodamente analisi rispetto a un sistema federato che non ha mai completa vista sul sistema, in altri il sistema federato è peggio perche deve fare viaggiare piu metadati tra i nodi (punto superdebole di Matrix).
Riguardo alla verificabilità di quello che gira sui server dei servizi che usiamo ho una obiezione: sul _mio_ server lo so cosa gira, e ho anche solide informazioni al riguardo sui server XMPP su cui sono ospitati alcuni miei contatti :)
Non è molto ma meglio che niente o che AWS. -
@jones @lorcon @lorenzo @valhalla @kappazeta @ju cosi al volo qui vedo qualche fonte https://security.stackexchange.com/questions/272982/does-signal-store-mobile-phone-numbers-server-side-in-plain-text ma se trovo di meglio le giro.
A questo va aggiunta la questione Sealed Sender, che non fa quello che si propone di fare (proteggere i numeri di telefono e gli IP):
https://sanesecurityguy.com/articles/signal-knows-who-youre-talking-to/
e oltre
https://arxiv.org/abs/2305.09799
Il fatto di trafficare con i numeri di telefono della gente apre una superficie di attacco abnorme, che incrociata con gli IP e con il traffico a due vie delle chat fa il disastro.
Questo credo sia un problema della sicurezza nelle chat in generale: in alcuni scenari di attacco è piu debole un singolo enorme DB dove fare comodamente analisi rispetto a un sistema federato che non ha mai completa vista sul sistema, in altri il sistema federato è peggio perche deve fare viaggiare piu metadati tra i nodi (punto superdebole di Matrix).
Riguardo alla verificabilità di quello che gira sui server dei servizi che usiamo ho una obiezione: sul _mio_ server lo so cosa gira, e ho anche solide informazioni al riguardo sui server XMPP su cui sono ospitati alcuni miei contatti :)
Non è molto ma meglio che niente o che AWS.@agitacion @lorcon @lorenzo @valhalla @kappazeta @ju
Grazie, tutta roba interessante, il problema è che ora non ho tempo di leggermela, e so per certo che, in questo campo più che in tutti gli altri dell'informatica, ci sono guerre "di religione" che portano tanta gente e spesso a spalare merda sulla tecnologia diversa da quella per cui tifano, e non di rado è pure gente "prezzolata" da quelli per cui tifano. Quindi insomma per risponderti a ragion veduta dovrei leggermi le quintalate di roba e ora non ho proprio tempo, sono in partenza, può darsi che lo faccia nei prossimi giorni, può anche darsi di no e che magari lo farò più in là, mi limito per ora a ribadire quello che ho già scritto qui, https://todon.nl/@jones/115407757192860510, che, mi pare, resta tutto vero.
-
@agitacion @lorcon @lorenzo @valhalla @kappazeta @ju
Grazie, tutta roba interessante, il problema è che ora non ho tempo di leggermela, e so per certo che, in questo campo più che in tutti gli altri dell'informatica, ci sono guerre "di religione" che portano tanta gente e spesso a spalare merda sulla tecnologia diversa da quella per cui tifano, e non di rado è pure gente "prezzolata" da quelli per cui tifano. Quindi insomma per risponderti a ragion veduta dovrei leggermi le quintalate di roba e ora non ho proprio tempo, sono in partenza, può darsi che lo faccia nei prossimi giorni, può anche darsi di no e che magari lo farò più in là, mi limito per ora a ribadire quello che ho già scritto qui, https://todon.nl/@jones/115407757192860510, che, mi pare, resta tutto vero.
@jones @lorcon @kappazeta @agitacion @ju @lorenzo ragioni che, a quanto ne so, arrivano dalle comunicazioni degli autori di signal, che sono altrettanto di parte e propensi a spalare merda sulle altre tecnologie.
per dirne una, no, far fare un audit di sicurezza all'anno non è il modo in cui la stragrande magioranza dei progetti di software libero si occupa di verificare la propria sicurezza, perché è un modo estremamente inefficiente di usare le risorse limitate a disposizione del progetto.
-
@jones @lorcon @kappazeta @agitacion @ju @lorenzo ragioni che, a quanto ne so, arrivano dalle comunicazioni degli autori di signal, che sono altrettanto di parte e propensi a spalare merda sulle altre tecnologie.
per dirne una, no, far fare un audit di sicurezza all'anno non è il modo in cui la stragrande magioranza dei progetti di software libero si occupa di verificare la propria sicurezza, perché è un modo estremamente inefficiente di usare le risorse limitate a disposizione del progetto.
@valhalla @lorcon @kappazeta @agitacion @ju @lorenzo
Per chi ha i soldi per farli, gli audit di terze parti mi sembrano un metodo più tutelante lə utentə rispetto a quelli interni alla comunità, che per altro non ho mai visto.
-
@valhalla @lorcon @kappazeta @agitacion @ju @lorenzo
Per chi ha i soldi per farli, gli audit di terze parti mi sembrano un metodo più tutelante lə utentə rispetto a quelli interni alla comunità, che per altro non ho mai visto.
@jones @lorcon @kappazeta @agitacion @ju @lorenzo ah, certo, se uno può farli sono utili, ma dire che altri sistemi non sono sicuri perché non hanno fatto un audit di sicurezza è quantomeno fuorviante -
@jones @lorcon @kappazeta @agitacion @ju @lorenzo ah, certo, se uno può farli sono utili, ma dire che altri sistemi non sono sicuri perché non hanno fatto un audit di sicurezza è quantomeno fuorviante
@valhalla @lorcon @kappazeta @agitacion @ju @lorenzo
Io non ho detto che altri sistemi di controllo del codice non sono sicuri, ho detto solo che se quelli di protocolli come xmpp, e di tutti i tanti client e server che lo implementano, sono controlli fatti suppergiù dalla stessa comunità che li sviluppa, mi pare che siano meno sicuri, poi non so se sono questi i sistemi cui ti riferisci, è un'ipotesi che faccio, se mi dici come funziona il controllo del codice delle app e dei server xmpp, con qualche link di esempio, sono contento e magari cambio idea.
(Non so se sia vero che la comunità dellə utent* di Signal sia "religiosa", io guardo quasi soltanto il blog e i post deə dev sul forum, spero che tu non ti riferisca a me comunque quando dici che sono "religiosi", perché ho scritto a più riprese in questo thread che penso che Signal potrebbe migliorare assai se prendesse esempio da xmpp per quanto riguarda la federabilità dei server, ecc., anche se continuo a reputarlo più sicuro già allo stato attuale rispetto a xmpp, poi magari quando e se leggerò i link girati da calmapiatta cambierò idea). -
@valhalla @lorcon @kappazeta @agitacion @ju @lorenzo
Io non ho detto che altri sistemi di controllo del codice non sono sicuri, ho detto solo che se quelli di protocolli come xmpp, e di tutti i tanti client e server che lo implementano, sono controlli fatti suppergiù dalla stessa comunità che li sviluppa, mi pare che siano meno sicuri, poi non so se sono questi i sistemi cui ti riferisci, è un'ipotesi che faccio, se mi dici come funziona il controllo del codice delle app e dei server xmpp, con qualche link di esempio, sono contento e magari cambio idea.
(Non so se sia vero che la comunità dellə utent* di Signal sia "religiosa", io guardo quasi soltanto il blog e i post deə dev sul forum, spero che tu non ti riferisca a me comunque quando dici che sono "religiosi", perché ho scritto a più riprese in questo thread che penso che Signal potrebbe migliorare assai se prendesse esempio da xmpp per quanto riguarda la federabilità dei server, ecc., anche se continuo a reputarlo più sicuro già allo stato attuale rispetto a xmpp, poi magari quando e se leggerò i link girati da calmapiatta cambierò idea).
Gli ultimi otto messaggi ricevuti dalla Federazione
-
@Uilebheist che bontà!!
-
what do you think about trusting trust? wanna hear your reflections
-
@omar @vermaden I agree with your opinion about Vermaden, especially as a person using a Mac Silicon laptop with a BSD Cafe sticker 😆
-
È la prima volta che provo questo stato d'animo .
Come un vitello al macello
In silenzio come uno che non ha nulla da perdere .
-
@alex yikes!
-
@lasolitaLaura_ SI anch'io ho preparato tutto per la cena, devo solo finire di cucinare.
Spiacerebbe non aver tempo di mangiarlo.
Domani va bene anche a me.[Io invece cena indiana con curry, riso basmati e Naan. Quest'ultima deve finire di lievitare ma manca poco]
-
@Uilebheist facciamo domani per favore
che stasera ho preparato le trofie con le patate e i fagiolini e anche una teglia di focaccia
-
@G3rt capito grazie.
