Piero Bosio Social Web Site Personale

È possibile che questa notizia farà il giro dei social nei prossimi giorni, accompagnata dai soliti commenti su come nessuna app sia davvero sicura e sulla presunta inaffidabilità della crittografia end-to-end. Invece, prima di trarre conclusioni affrettate, conviene capire cosa è successo davvero. Perché Signal, in questa storia, c’entra fino a un certo punto.Cosa è successo realmenteL’FBI è riuscita a recuperare messaggi Signal in arrivo dall’iPhone di un imputato, anche se l’app era stata cancellata dal dispositivo. Il caso riguarda un gruppo accusato di vandalismo e lancio di fuochi d’artificio presso la struttura di detenzione ICE Prairieland in Texas. Gli investigatori non hanno bucato la crittografia di Signal né hanno trovato una falla nel protocollo dell’app. Hanno estratto i dati dal database interno delle notifiche push di iOS, dove Apple salva le anteprime degli avvisi mostrati nella schermata di blocco e nel Centro Notifiche.Il punto centrale è questo: quando un messaggio arriva su Signal, iOS può mostrarne un’anteprima nella notifica. Quell’anteprima viene salvata nella memoria del telefono. Anche cancellando l’app, quei dati restano nel database di sistema finché non vengono sovrascritti. L’FBI ha accesso a strumenti forensi in grado di estrarre quel contenuto, e lo ha fatto.Come funziona davvero Signal e come proteggersihttps://mastodon.world/@Mer__edith/111563866152334347La presidente della Signal Foundation, Meredith Whittaker, aveva già chiarito nel 2023 come funzionano le notifiche push su Signal: non contengono alcun contenuto del messaggio né informazioni sul mittente. Sono semplicemente un segnale che dice all’app di svegliarsi e scaricare il messaggio dal server. Le notifiche vengono elaborate interamente sul dispositivo. Questo significa che se Signal non mostrasse anteprime nelle notifiche, il database di iOS non avrebbe nulla da salvare.Ed è esattamente quello che accade se si cambia un’impostazione. Dentro Signal, in Impostazioni sotto Contenuto notifiche, si può selezionare “Nessun nome o contenuto”. In questo modo la notifica diventa un semplice avviso senza testo leggibile, e il database di iOS non memorizza anteprime utilizzabili.Il problema, quindi, non è Signal o la sua crittografia. È il comportamento di iOS, che salva localmente le anteprime delle notifiche di qualsiasi app le generi. WhatsApp, Telegram, le app di messaggistica native: tutte quelle che mostrano contenuti nelle notifiche sono esposte allo stesso rischio. È una questione di sistema operativo, non di protocollo crittografico.La lezione, semmai, è un’altra: la crittografia end-to-end protegge i messaggi in transito, ma non protegge ciò che il tuo sistema operativo decide di salvare in chiaro sul dispositivo. Due cose diverse, che vale la pena non confondere. SOURCE:// lifehacker.com SOURCE:// 9to5mac.com SOURCE:// theverge.com SOURCE:// mastodon.world Supporta Yoota · link affiliatoConsiglio€20 di credito in omaggioPassa sopra / Tocca

SimpleX Chat aggiorna la propria piattaforma con una funzionalità che potrebbe cambiare il modo in cui gli utenti interagiscono su questa rete di messaggistica focalizzata sulla privacy. La versione 6.5.0-beta.7.1 introduce i canali pubblici basati su chat relay, attualmente disponibili in fase beta.Questa novità rappresenta un passo significativo per SimpleX, che finora si era concentrata principalmente su comunicazioni peer-to-peer private. I canali pubblici permettono ora di creare spazi di discussione accessibili a chiunque, mantenendo comunque l’architettura decentralizzata che caratterizza il progetto. Il sistema si basa sui chat relay, infrastrutture che facilitano la connessione senza rivelare indirizzi IP o metadati sensibili.Dai primi test emerge un quadro chiaro delle possibilità offerte per ora: ogni canale genera un link pubblico di iscrizione, piuttosto lungo e non facilmente memorizzabile e un codice QR per l’accesso rapido. Gli amministratori possono visualizzare il numero e il nome degli iscritti, impostare un’immagine pubblica identificativa e configurare la durata automatica dei messaggi, con opzioni che vanno dall’eliminazione immediata fino a un anno. L’impostazione predefinita è di una settimana.Alcuni screenshot di un canale creato come testÈ possibile aggiungere un messaggio di benvenuto che viene inviato automaticamente a chi si iscrive e selezionare quali relay SimpleX devono ospitare il canale. Il supporto include testo, immagini, video e file di vario tipo. Una caratteristica distintiva è la natura broadcast: solo l’amministratore pubblica, gli iscritti ricevono ma non possono rispondere direttamente.Oltre ai canali pubblici, l’aggiornamento porta miglioramenti prestazionali concreti. Secondo gli sviluppatori il consumo di memoria si è ridotto di circa il 30 per cento, mentre le connessioni iniziali risultano più rapide e stabili, specialmente su reti con qualità scarsa. Queste ottimizzazioni toccano sia la versione desktop che quella mobile.Su desktop gli utenti possono ora selezionare il testo nei messaggi, inviare messaggi vocali e godersi una riproduzione audio e video più stabile. Una correzione risolve anche il problema di navigazione verso messaggi citati durante ricerche o filtraggio contenuti.Su Android e desktop vige una limitazione da tenere presente: le app mobili possono collegarsi solo con versioni desktop identiche. Chi aggiorna su un dispositivo dovrà assicurarsi che anche l’altro lato della comunicazione sia allineato alla stessa versione.SimpleX Chat rimane un progetto open source, con aggiornamenti regolari disponibili sul repository GitHub. La natura beta dei canali pubblici suggerisce che ulteriori affinamenti arriveranno nelle prossime settimane, con possibili cambiamenti basati sul feedback della comunità.Per chi cerca alternative alle piattaforme di messaggistica mainstream, questa evoluzione dimostra come sia possibile bilanciare apertura e privacy senza compromessi architetturali. SOURCE:// github.com Supporta Yoota · link affiliatoConsiglioEmail privata, senza tracciamento scontata al 50%Passa sopra / Tocca

Pi-hole ha rilasciato un aggiornamento su tutti e tre i suoi componenti principali, FTL v6.6, Web v6.5 e Core v6.4.1, con un’immagine Docker taggata come 2026.04.0. L’aggiornamento è principalmente di sicurezza e chi gestisce un’installazione esposta anche solo sulla rete locale farebbe bene ad aggiornare senza aspettare.Le vulnerabilità corretteNell’interfaccia web sono stati chiusi diversi problemi di XSS e iniezione HTML, segnalati da tre ricercatori che hanno scelto di notificare il problema privatamente al team prima di renderlo pubblico. I componenti coinvolti includono la gestione delle query, la pagina Rete e la Dashboard.Nel Core è stata corretta un’escalation di privilegi locale: il file /etc/pihole/versions veniva importato direttamente dagli script di Pi-hole eseguiti come root, con la possibilità, in uno scenario post-compromissione, di eseguire codice arbitrario. La correzione sostituisce quel meccanismo con un parser che accetta solo chiavi conosciute e valori validati.In FTL, invece, è stato risolto un bypass dell’autorizzazione sull’endpoint /api/teleporter: le sessioni API da riga di comando, concepite come sola lettura, riuscivano ad importare archivi Teleporter aggirando i controlli previsti. Separato ma altrettanto delicato, un difetto nella gestione dei parametri di configurazione: FTL non verificava correttamente la presenza di caratteri di interruzione riga nei valori DNS e DHCP. Un parametro artefatto poteva così introdurre contenuto aggiuntivo nel file di configurazione, interpretato poi come istruzione valida, con possibilità di esecuzione di codice da remoto.Novità e fix di affidabilitàSul piano della stabilità, FTL ora attende il completamento di un aggiornamento della gravity (il database dei domini bloccati) in corso prima di riavviarsi, evitando la finestra in cui Pi-hole poteva temporaneamente smettere di rispondere alle query DNS. È anche disponibile la nuova opzione resolver.macNames per controllare la risoluzione dei nomi host tramite indirizzo MAC, utile in reti con segmentazione di livello 2.Corretti inoltre un underflow intero che faceva apparire il log delle query con un numero assurdo di pagine, un contatore dei client gonfiato dal rate limiter, e una crescita incontrollata della memoria quando l’importazione dei grafici storici era disabilitata.Come sempre, prima di aggiornare con pihole -up conviene esportare la configurazione con Teleporter. SOURCE:// pi-hole.net SOURCE:// github.com Supporta Yoota · link affiliatoConsiglioLa tua email, davvero privataPassa sopra / Tocca

TRASPARENZA: Questo articolo contiene link di affiliazione. Se acquisti tramite questi link potremmo ricevere una piccola commissione senza costi aggiuntivi per te. Questo ci aiuta a mantenere il sito gratuito e indipendente. Le nostre opinioni rimangono imparziali.Gli Spaces, una delle funzioni più attese dagli utenti di Element X, sono ora disponibili ufficialmente. Annunciati alla Matrix Conference e descritti in anteprima mesi fa, arrivano come parte del processo di modernizzazione che punta a rendere Element X il rimpiazzo definitivo dei client “classici”.L’idea degli Space è di avere le conversazioni vengono raggruppate in contenitori tematici navigabili invece di una lista infinita di stanze. Si può filtrare la lista chat per Space direttamente dall’alto, passando in un tap dal canale del team tecnico alle notizie aziendali, senza perdersi nel rumore di fondo.La nuova scheda Spaces funziona anche da punto di scoperta: mostra gli Space a cui si è iscritti, permette di trovare stanze ancora non raggiunte e offre agli amministratori controlli diretti per gestire accessi e struttura. A questo si aggiunge la possibilità di assegnare una stanza a uno Space già al momento della creazione, e un’anteprima degli inviti che mostra descrizione e numero di membri prima di accettare.Chi usa Element Server Suite Pro può anche automatizzare l’assegnazione degli utenti agli Space giusti in base alla struttura organizzativa, con permessi configurati fin dall’ingresso.Per chi gestisce server Matrix in autonomia, soluzioni di hosting come Hetzner offrono un buon punto di partenza per tenere tutto sotto controllo.Per accedere agli Spaces basta aggiornare l’app all’ultima versione disponibile. SOURCE:// element.io Supporta Yoota · link affiliatoConsiglioLa tua newsletter, indipendente ed europeaPassa sopra / Tocca

@DigiDavidex@iusondemand @yoota ECCOMI

TRASPARENZA: Questo articolo contiene link di affiliazione. Se acquisti tramite questi link potremmo ricevere una piccola commissione senza costi aggiuntivi per te. Questo ci aiuta a mantenere il sito gratuito e indipendente. Le nostre opinioni rimangono imparziali.Le grandi piattaforme digitali profilano gli utenti fin dall’infanzia, raccogliendo dati comportamentali prima ancora che i minori siano consapevoli delle implicazioni. Proton ha annunciato una funzionalità che ribalta questo approccio: la possibilità di riservare indirizzi email per i propri figli senza attivare alcuna forma di sorveglianza.Il sistema funziona in modo semplice. I genitori possono bloccare un indirizzo email desiderato per il figlio, che rimane preservato fino a 15 anni senza disattivazione automatica per inattività. L’inbox resta completamente sigillata: nessun dato raccolto, nessun log di attività, nessun profilo costruito. Quando e se questo vorrà essere davvero attivato, i genitori utilizzeranno un voucher sicuro per attivare l’account. Se il voucher viene smarrito, è possibile richiederne uno sostitutivo senza complicazioni.Per prevenire abusi o frodi, Proton chiede una piccola donazione a partire da un dollaro. L’importo sostiene il lavoro della Proton Foundation nella difesa della privacy digitale a livello globale e contribuisce a proteggere la prossima generazione. Non si tratta di un costo per il servizio, ma di un contributo per mantenere l’infrastruttura sostenibile.Un’alternativa che molti utenti esperti preferiscono rimane comunque il dominio personale. Registrare un proprio dominio permette di cambiare fornitore in futuro senza perdere l’identità digitale. È una strategia un po’ più complessa ma offre indipendenza totale dai singoli provider, inclusi quelli più rispettosi della privacy.La scelta dipende dalle priorità: comodità immediata con Proton o controllo completo con dominio personale. Entrambe le strade portano verso la stessa direzione, allontanandosi dal modello di business basato sulla sorveglianza. FONTE proton.me FONTE account.proton.me

@raccoon @yoota ti capisco anche se io in realtà di Proton mi fido abbastanza tanto da usare i loro servizi. Però la loro VPN la utilizzo principalmente perché è inclusa nel pacchetto che già pago ma se dovessi sceglierne una da zero al 99% sceglierei proprio Mullvad VPN. Mi rimane comunque comodo il port forwading che Mullvad non offre più mentre Proton continua a offrire

TRASPARENZA: Questo articolo contiene link di affiliazione. Se acquisti tramite questi link potremmo ricevere una piccola commissione senza costi aggiuntivi per te. Questo ci aiuta a mantenere il sito gratuito e indipendente. Le nostre opinioni rimangono imparziali.Hai mai provato a chiederti quanta parte dell’infrastruttura del tuo sito o del tuo servizio online passa davvero per server europei? Hosting, DNS, certificati SSL, analytics, dipendenze esterne: ognuno di questi elementi può fare capo a un provider americano senza che tu te ne accorga, o senza che tu abbia mai avuto motivo di verificarlo.Cloud Infra Atlas è uno strumento gratuito che fa esattamente questa analisi. Basta inserire un URL nella barra di ricerca e in pochi secondi il tool restituisce una panoramica dell’infrastruttura del dominio, voce per voce: dove gira l’hosting, chi gestisce i DNS (i server che traducono i nomi di dominio in indirizzi IP), da dove arriva il certificato SSL (il protocollo che cifra le connessioni), se ci sono servizi di analytics collegati e quali dipendenze esterne carica la pagina. Il tutto viene sintetizzato in un “punteggio di sovranità europea”.Se gestisci un sito, un’associazione, una piccola impresa o anche solo un progetto personale e ti interessa capire quanto sei dipendente da infrastrutture non europee, questo sito può essere un punto di partenza rapido. Non serve essere tecnici: il risultato è leggibile anche senza sapere cosa sia un record MX o una CDN (Content Delivery Network, cioè la rete di server distribuiti che velocizza la consegna dei contenuti).Lo strumento non si limita al punteggio: per ogni componente che risulta fuori dall’Europa propone alternative sovrane, cioè servizi equivalenti con sede e infrastruttura nel Vecchio Continente. Per chi volesse migrare, ad esempio, la posta elettronica verso un provider europeo, soluzioni come Proton Mail o Infomaniak Mail rientrano esattamente in questo tipo di ecosistema.Cloud Infra Atlas non è uno strumento di audit professionale e i suoi risultati vanno presi come punto di partenza, non come verdetto definitivo. Ma per farsi un’idea veloce, o per iniziare a ragionare su dove finiscono i dati della propria infrastruttura, è uno di quei tool che vale la pena tenere a portata di mano. FONTE cloudinfraatlas.eu

CoMaps, l’app di navigazione offline open source basata su OpenStreetMap, ha rilasciato la versione stabile v2026.03.09-18 con dati cartografici aggiornati al 7 marzo e una manciata di novità concrete.La più curiosa riguarda la visualizzazione dei costi per l’utilizzo di alcune strutture: selezionando un punto di interesse, l’app può ora mostrare informazioni come “2 EUR/100l acqua”, utile soprattutto per chi viaggia in camper o fa escursioni lunghe. Sempre nella scheda informativa dei luoghi, compare ora anche la popolazione per città e paesi, un dettaglio piccolo ma che dà subito un’idea di dove ci si trova.Foto F-DroidSul fronte della mobilità elettrica, sono stati aggiunti i connettori “Type 1 combo” per le colonnine di ricarica. Risolto anche un problema che causava la visualizzazione degli articoli Wikipedia nella lingua sbagliata, e corretti i percorsi della metropolitana in diverse città.Su Android arriva una piccola comodità: toccando il tempo stimato di arrivo nel pannello di navigazione, si vedono ora anche la distanza e l’orario di arrivo alla prossima tappa intermedia. Migliorato anche il menu “Gestisci percorso” e risolto un bug che impediva occasionalmente la registrazione delle tracce.Su iOS la versione si concentra soprattutto sull’organizzazione: le impostazioni sono state ristrutturate con l’aggiunta di icone, e CarPlay riceve due fix, uno sul pulsante di zoom mancante e uno sulla posizione della freccia di navigazione. Chi usa dispositivi di input esterni (tastiere, trackpad) può ora fare zoom sulla mappa anche su iOS.CoMaps è disponibile su Google Play, App Store, F-Droid e Flathub. Per chi cerca un’alternativa a Google Maps che non raccoglie dati e funziona senza connessione, vale la pena tenerla d’occhio. FONTE codeberg.org FONTE comaps.app FONTE en.wikipedia.org FONTE f-droid.org

@Imprinted @yoota Non so chi ne sia stato promotore, chi abbia implementato il tutto ecc.Ma sono risorse valide se davvero hanno trasferito tutto e tutto funziona bene; risorse che dovrebbero essere tenute in considerazione ed "esportate" nelle altre regioni /Stato ecc.

@rresoli @yoota 🔥

TRASPARENZA: Questo articolo contiene link di affiliazione. Se acquisti tramite questi link potremmo ricevere una piccola commissione senza costi aggiuntivi per te. Questo ci aiuta a mantenere il sito gratuito e indipendente. Le nostre opinioni rimangono imparziali.Gli occhiali smart con fotocamera integrata, come i Ray-Ban di Meta, si stanno diffondendo rapidamente. Il problema è che sono praticamente indistinguibili da un paio di occhiali normali, e chi li indossa può registrare video e scattare foto senza che nessuno se ne accorga.Yves Jeanrenaud, sociologo all’Università di Monaco di Baviera e sviluppatore per passione, ha creato Nearby Glasses: un’app Android gratuita e open source che rileva la presenza di occhiali smart nelle vicinanze attraverso i segnali Bluetooth che questi dispositivi emettono costantemente.Come funzionaTutti i dispositivi Bluetooth trasmettono in continuazione piccoli segnali che contengono, tra le altre cose, un codice che identifica il produttore. Nearby Glasses intercetta questi segnali e cerca quelli riconducibili a Meta, Snap e Luxottica, le aziende dietro i principali occhiali smart in commercio.Quando rileva un segnale compatibile entro un raggio di circa 10-15 metri all’aperto (3-10 metri in ambienti chiusi o affollati), l’app invia una notifica. Non raccoglie dati personali, non mostra pubblicità e non trasmette nulla a server esterni.I falsi positivi sono possibili: un visore per la realtà virtuale dello stesso produttore può far scattare l’allarme. Ma come fa notare Jeanrenaud, se non si vedono visori VR nelle vicinanze, le probabilità che si tratti effettivamente di occhiali smart sono piuttosto alte.L’app è disponibile sul Google Play Store e su GitHub per chi preferisce evitare Google. Per ora funziona solo su Android, una versione per iOS non è ancora prevista a causa delle limitazioni imposte da Apple sulla scansione Bluetooth in background.Il tempismo non è casuale.Poche settimane fa il New York Times ha riportato che Meta sta lavorando a una funzione di riconoscimento facciale per i suoi occhiali, che permetterebbe di identificare le persone inquadrate in tempo reale. Una prospettiva che rende strumenti come Nearby Glasses sempre più rilevanti, per quanto imperfetti. Come ammette lo stesso Jeanrenaud: “Non voglio che le persone si sentano falsamente al sicuro. È ancora imperfetto, ma lo considero un piccolo pezzo di resistenza contro la tecnologia di sorveglianza.”Per chi cerca alternative più strutturali alla sorveglianza delle big tech, vale la pena ricordare che anche la scelta del browser e dei servizi quotidiani fa la differenza. Un buon punto di partenza è un servizio DNS che blocchi tracker e pubblicità invasiva, come AdGuard DNS o NextDNS. FONTE github.com FONTE play.google.com FONTE 404media.co FONTE helpnetsecurity.com

@stedieang @yoota questa intanto è sviluppata ufficialmente dal Tor Project (Orbot se non sbaglio è "solo" approvata o controllata da loro mi pare). Inoltre questa utilizza Arti e dovrebbe quindi essere molto più veloce e stabile soprattutto una volta che uscirà dalla beta!

TRASPARENZA: Questo articolo contiene link di affiliazione. Se acquisti tramite questi link potremmo ricevere una piccola commissione senza costi aggiuntivi per te. Questo ci aiuta a mantenere il sito gratuito e indipendente. Le nostre opinioni rimangono imparziali.Farsi generare una password da ChatGPT, Claude o Gemini sembra una buona idea. Il risultato ha tutto l’aspetto di una password robusta: lettere maiuscole e minuscole, numeri, caratteri speciali. Peccato che, secondo una ricerca della società di sicurezza informatica Irregular, quelle password siano tutt’altro che sicure.I modelli di linguaggio, difatti, non sanno essere casuali. Irregular ha chiesto a ciascun modello di generare 50 password da 16 caratteri e ha scoperto che tutti e tre seguivano schemi ripetitivi e prevedibili. Claude di Anthropic, ad esempio, iniziava quasi sempre con una “G” maiuscola seguita dal numero “7”, e riutilizzava lo stesso ristretto gruppo di caratteri in tutte le password. ChatGPT faceva lo stesso partendo quasi sempre da “v”, mentre Gemini preferiva la lettera “K”.Perché è un problema concretoLa sicurezza di una password dipende da quanto è difficile indovinarla provando tutte le combinazioni possibili. Una password davvero casuale di 16 caratteri richiederebbe milioni di miliardi di tentativi. Le password generate dai modelli di linguaggio, secondo i ricercatori, sono circa 2 miliardi di volte più facili da forzare rispetto a quanto dovrebbero essere, proprio perché i pattern ripetitivi riducono drasticamente le combinazioni da provare.I ricercatori hanno anche trovato questi stessi schemi in password già pubblicate su GitHub e in altri documenti tecnici, il che significa che ci sono app e servizi protetti da password che un attaccante potrebbe violare senza troppa fatica.Irregular non pensa che il problema si possa risolvere con aggiornamenti o modifiche ai modelli. I sistemi di linguaggio sono progettati per produrre risultati plausibili e coerenti, che è esattamente l’opposto di quello che serve per generare una password sicura.Il consiglio resta lo stesso di sempre: affidarsi a un gestore di password dedicato. Strumenti come Proton Pass generano password con algoritmi pensati per la casualità reale, non per la plausibilità. FONTE gizmodo.com FONTE irregular.com

@ufficiozero @yoota decisamente! Microsoft è la migliore pubblicità per Linux 😂