1. 4

    Mi sono fatto una cultura sulla secret detection, la sicurezza dei repository git e come si riconoscono le password nel codice. Interessantissimo.

    1. 1

      Sembra molto interessante, hai dei link per approfondire?

      1. 2

        Ho tutto sul PC del lavoro e sono in ferie, mi ricordo solo il nome dei due tool che ho usato alla fine: gitleaks e detect-secrets. Però ce n’erano diversi altri, se cerchi su Google “git secret detection” ti si apre un mondo.

    1. 3

      Occhio che è un contratto pirata, una roba da evitare

      1. 3

        Ovvero? Ho trovato pochissime info a riguardo

      1. 1

        Si ma “fatto in casa” in che senso? Non mi pare che abbiamo restrizioni di commercio con la Cina. Se ho ragione credo che semplicemente assembleranno i componenti. Rimango comunque curioso di vedere come sarà fatto.

        1. 3

          Credo ci sia anche la progettazione “made in Cuba”. Insomma, disegnano a Cuba, acquistano i componenti dalla Cina e poi se li assemblano. Sono molto curioso invece per la questione software, siccome non credo proprio che il governo cubano sia d’accordo col far girare gli spyware di Google o Apple sul loro smartphone locale…

          1. 1

            Interessante tral’altro che non hanno scelto harmony os

        1. 1

          https://twitter.com/lastknight/status/1404346815361728513

          DarkTrace che ha ispezionato il database parla della aggregazione di oltre 150 siti violati durante il 2020. E il database è alla fine stato venduto e l’asta si è chiusa.

          1. 1

            https://twitter.com/mcarli/status/1404363646084517890

            A quanto mi risulta le 150 fonti non sono relative al dump dei 7,4M di utenti venduti, ma si riferiscono alla collection “Open Data” rilasciata dal solito utente qualche giorno fa. All’interno di questa vi sono circa 1200 siti web violati, tra i quali circa 160 italiani

            Immagino che con “solito” intenda “stesso”, anche perché in quest’intervista si parla di date del 2021.

          1. 2

            Sto riprendendo in mano Selenium per scriptare un po’ di roba da interfaccia web che le API vorrebbero farmi fare a mano.

            1. 3

              Ti potrebbe interessare puppeteer. Mille volte meglio come DX per lavorarci sopra.

              1. 2

                Ormai ho quasi finito, me lo segno per il prossimo giro…

            1. 9

              Sto imbastendo un remake di Tabboz Simulator con Vue.js e 98.css con protagonista non un tabbozzo ma un consulente imbrutito. Sono ancora ad una fase di studio e prototipazione però, quindi aspettative basse.

              1. 1

                Le mie aspettative sono già altissime, però. Voglio giocarlo.

              1. 4

                Provato di recente per entrare in contatto con TWC, inutile dire che sono rimasto colpito. Mi piacerebbe lo usassero al mio lavoro, magari in combo con Jitsi, invece di basarsi su una strana combinazione di MS Teams e Google Hangout/Chat/Meet… Se non proprio l’intera azienda, gradirei che almeno il mio team prendesse le distanze da soluzioni FAAMG. È bello sognare.

                1. 2

                  Prova a proporlo, sai mai…

                  La soluzione hostata da Zulip stessa ha l’integrazione con Jitsi, quindi suppongo si possa fare con uno sbatti contenuto anche per le versioni self-hosted

                  1. 2

                    Infatti. Io ad esempio su un paio di progetti ho introdotto Mattermost, ci siamo trovati benissimo in quanto ci servivano anche i webhook per le notifiche automatiche, oltre che per chattare tra di noi del team di progetto. Mentre il resto dell’azienda continuava ad usare quegli obrobri di Lync/Teams, noi eravamo avanti.

                1. 2

                  Sto continuando ad affinare il mio progetto di self hosting, ora a Grocy si sono aggiunti Booksonic (che sto popolando) e Ubooquity (che va a schifo… Per me ho sbagliato una configurazione).

                  Poi vorrei aggiungere alcune funzionalità alla mia crestomazia RSS, ma per ora Pug oppone troppa resistenza.

                  1. 2

                    Rassicurante… Proprio ora che stavo superando la mia paura di volare…

                    1. 2

                      Allora: “cronnato” non si può senti’! 😄

                      Per il resto: lascia perdere docker-compose, se proprio non vuoi andare su kubernetes (che sarebbe la cosa migliore) usa docker swarm che puoi alimentare con gli stessi file.

                      Per i pigri:

                      docker stack init
                      docker stack deploy -f docker-compose.yml nomestack
                      

                      so’ due righe ed hai un orchestratore che può funzionare anche su un cluster, quindi in HA.

                      Che VPN usi? Io ultimamente sono passato a WireGuard, è una bomba! Non capisco a cosa ti serve il server aggiuntivo per la VPN. Con le VPN P2P come WireGuard, ZeroTier, ecc. non hai bisogno di server accessori.

                      1. 3

                        Per il resto: lascia perdere docker-compose

                        Come mai? Io mi ci trovo bene, più che altro perchè è una buona via di mezzo tra “lanciare docker run a mano” e “scrivere 50 righe di config YAML per Kubernetes per lanciare un’applicazioncina”.

                        1. 2

                          Per me sono due use case diversi:

                          • Kubernetes va bene per della roba in produzione, in HA e con un cluster sotto. Insomma, roba grossa e seria.
                          • docker-compose per roba interdipendente (nel mio caso, deve passare tutto dalla stessa istanza di SWAG) su una macchina singola.

                          Nel caso che ho descritto (tirare su una manciata di webapp, ognuna sulla sua macchina per isolare i dati), avrei dovuto creare un cluster per ogni macchina coinvolta…

                          1. 2

                            Perché con lo stesso file di compose puoi usare Docker Swarm che in più ha l’orchestrazione, le reti overlay, l’alta affidabilità, i secret, ecc.

                            Condivido comunque quanto dici: io lavoro con Docker da più di 6 anni, uso Docker Swarm sin da quando era ancora in beta collaborando attivamente con Docker e l’ho sempre trovato molto semplice ed immediato contrariamente a Kubernetes dove bisogna scrivere molto YAML.

                            Tuttavia, per esigenze di mercato, altrimeti rischiavamo di essere tagliati fuori, siamo passati a Kubernetes. Supportiamo ancora Swarm per i nostri clienti, ma ormai i nuovi sviluppi li facciamo direttamente su Kubernetes.

                            E devo dire che dopo l’impatto iniziale è molto più flessibile di Swarm, ha un approccio diverso, ma ormai non tornerei più indietro. Anche Docker, che ora si chiama Mirantis, ha aggiunto Kubernetes come orchestratore in parallelo a Swarm per il loro offering Enterprise.

                            Gli YAML: per far partire un servizio esposto all’esterno, servono ingress, service e deployment. I primi due sono poche righe, sempre le stesse, fatto uno fatti tutti. I deployment, un po’ più roba da scrivere, ma anche lì, nulla che uno sviluppatore non sia in grado di riempire ed usare come template per gli altri deployment.

                          2. 1

                            Per il resto: lascia perdere docker-compose, se proprio non vuoi andare su kubernetes (che sarebbe la cosa migliore) usa docker swarm che puoi alimentare con gli stessi file.

                            Devo provare, ma sono abituato a docker compose e, soprattutto, non sto usando cluster ma più roba per macchina (e vorrei tenere quella divisione).

                            La VPN mi serve per far parlare le due macchine “domestiche” (una sulla mia rete privata e una a casa dei miei), senza esporre nulla al mondo. Per 1€/mese mi pare ne valga la pena.

                            1. 1

                              Io ultimamente sono passato a WireGuard, è una bomba!

                              Sempre per i pigri: Streisand.

                              Comunque WireGuard lo uso da un paio di anni e in termini di velocità è veramente una scheggia (anche l’iOS client).

                            1. 4

                              Retorica fascistoide, esagerato culto del lavoro, esaltazione del libero mercato e della concorrenza portando come esempio Facebook e Netflix (monopoli), e per concludere una bella cascata di buzzword che significano tutto e niente.

                              Apperò.

                              1. 2

                                Sì, forse avrei dovuto mettere un cappello su sta cosa, però è il primo articolo che vedo uscire da un dipendente INPS che parli del lato Tech.

                                Fa cagare, ma è il massimo di insight che sono riuscito ad ottenere su qualcosa (lo sviluppo software della PA) che dovrebbe essere pubblico. Tocca leggerselo comunque.

                                1. 1

                                  Piuttosto che insight mi sembra tech marketing di bassissima lega. Che poi dall’articolo sembra che abbiano smesso di subappaltare tutto alla consulenza selvaggia, quindi c’è pure un po’ di pubblicità ingannevole di mezzo.

                              1. 3

                                Sto smaltendo un brutto burnout, ma appena mi riprendo torno sul mio progetto di home cloud con Docker Compose.

                                1. 3

                                  In bocca al lupo per ogni cosa

                                1. 2

                                  Era il 1996 e tutto quanto, per carità, ma per me “l’azienda ha iniziato un programma di bonus supersegreto il cui importo dipende dal lavoro di gente che non ne sa nulla e non vedrà una lira” è un ottimo motivo per andarsene. Io me ne sono andato per molto meno.

                                  1. 2

                                    Particolarmente interessante inquietante la conclusione a cui arriva (e che immagino vedremo presto riapparire):

                                    The blockchain ledger on which Bitcoin transactions are recorded is an underutilized forensic tool that can be used more widely by law enforcement and the intelligence community to identify and dis-rupt illicit activities. Put simply, blockchain analysis is a highly effective crime fighting and intelligence gathering tool.

                                    1. 1

                                      Sì ma posso vedere i post senza metterci mezz’ora per scaricarli? Perché tutti i social network distribuiti così hanno il problema che hanno una UX terrificante.

                                      1. 2

                                        Peró c’è da dire che con ActivityPub (e affini) se ti va giu un server non leggi piu nulla dei post locali di quell’istanza. Secondo me risolvono use-cases diversi.

                                        E poi su SSB c’è: git-ssb!

                                        1. 1

                                          Non ho ancora provato, ma temo che dipenda dal volume dei post. Quindi la soluzione è essere asociali.

                                        1. 3

                                          Censura imposta invece dell’educazione ad un uso consapevole di Internet. Complimenti! Se stanno cercando di allevare i pornomani del futuro, questa è la strada giusta.

                                          1. 3

                                            Censura imposta

                                            Imposta, a maglie larghissime e tecnicamente irrealizzabile. La ricetta del disastro.

                                            1. 3

                                              a maglie larghissime e tecnicamente irrealizzabile

                                              Bel caso di “fare qualcosismo”.

                                              C’è un problema, qualcuno faccia qualcosa! Eccoti qualcosa. Giote gente, abbiamo fatto qualcosa.

                                              Questo senza nemmeno passare a discutere del senso educativo della cosa e dei possibili (e probabili) abusi.

                                              1. 3

                                                possibili (e probabili) abusi

                                                Dopo la storia di Project Gutenberg, direi che gli abusi sono una certezza, più che una possibilità.

                                          1. 1

                                            Potrebbe avere dei risvolti positivi: finalmente tutti avranno una VPN.

                                            1. 3

                                              C’è già l’inganno prima della legge: VPN hub, come al solito il porno è sempre un passo avanti

                                              1. 2

                                                Beh oddio, se poi il VPN provider vende (come spesso accade) i logs siamo scemi come prima, solo con connessioni meno performanti di quello che già sono in linea di massima.

                                                Poi vabbè tornando seri, mi sembra una cagata bella e buona. Chiedere agli amici UK nel caso servisse una prova recente di ciò :)

                                              1. 2

                                                Assumiamo, per semplicità di ragionamento, che la totalità della popolazione installi questa app di “contact tracing”. Considerato che WhatsApp (l’app più installata al mondo) è presente sui cellulari di meno del 60% della popolazione italiana, si tratta di una assunzione estremamente improbabile nella nostra penisola. Purtuttavia è possibile che in determinate zone del territorio nazionale, le popolazioni locali aderiscano in massa a questo surreale piano di contenimento del virus.

                                                Considerato che l’Islanda (mi pare, era uno di quei posti al nord) è riuscita a malapena ad arrivare al 40% di installazioni avendo una popolazione tendenzialmente disponibile all’iniziativa e avendo lanciato l’app settimane prima di Immuni (e comunque pure i casi in cui è davvero servita si sono rivelati pochissimi pure per i numeri del Paese), quando l’allarme era molto più alto, per me questa è la pietra tombale del progetto. Tra l’altro è almeno un mese che vedo girare queste considerazioni (la prima volta per mano di un’amica che era bloccata in un camper in mezzo al deserto australiano da settimane: qualcuno che avesse visto più persone che canguri durante il dibattito ci sarebbe dovuto arrivare prima).

                                                Perché se una cosa funziona si può discutere di aspetti delicati come la privacy o il bisogno di fare più tamponi, ma se non funziona non funziona. E’ come metterci a discutere dei problemi di privacy dell’andare da un medium per farsi dare i numeri del lotto: ok, è un problema, ma ne hai uno ancora più grosso a monte.

                                                1. 2

                                                  Il problema è che la percentuale di installazioni varierà notevolmente nei diversi territori.

                                                  In alcuni territori non se la filerà nessuno. Altrove la installeranno tutti.

                                                  Ed è dove verrà installata di più, che sarà più dannosa per la salute pubblica.

                                                  1. 1

                                                    Io invece credo che (non) sarà installata in modo abbastanza uniforme. Da quello che sto vedendo in giro, lo scetticismo verso Immuni è piuttosto uniforme in tutto il territorio nazionale.

                                                    1. 3

                                                      Da quello che sto vedendo in giro, lo scetticismo verso Immuni è piuttosto uniforme in tutto il territorio nazionale.

                                                      Secondo me lo è per infondati motivi di privacy, mentre il problema qui è soprattutto tecnologico, come ha giustamente fatto notare più volte @Shamar.

                                                      Dico infondati perché l’app non mina la privacy più di quanto non facciano già le altre app installate sui cellulari.

                                                      Avete mai visto la sfilza di cose che chiede l’app di Facebook che addirittura spesso si trova preinstallata su alcuni smartphones? Ve la posto qua sotto, scusate la lunghezza ma non è colpa mia. Scommetto che gli scettici sono gli stessi che postano su facebook dal cellulere dicendo che non installeranno immuni perché viola la privacy.

                                                      This app (Facebook) has access to:
                                                      Identity
                                                      
                                                          read your own contact card
                                                          find accounts on the device
                                                          add or remove accounts
                                                      
                                                      Photos/Media/Files
                                                      
                                                          modify or delete the contents of your USB storage
                                                          read the contents of your USB storage
                                                      
                                                      Phone
                                                      
                                                          directly call phone numbers
                                                          read phone status and identity
                                                      
                                                      Device ID & call information
                                                      
                                                          read phone status and identity
                                                      
                                                      Storage
                                                      
                                                          modify or delete the contents of your USB storage
                                                          read the contents of your USB storage
                                                      
                                                      Wi-Fi connection information
                                                      
                                                          view Wi-Fi connections
                                                      
                                                      Location
                                                      
                                                          approximate location (network-based)
                                                          precise location (GPS and network-based)
                                                      
                                                      Device & app history
                                                      
                                                          retrieve running apps
                                                      
                                                      Calendar
                                                      
                                                          add or modify calendar events and send email to guests without owners' knowledge
                                                          read calendar events plus confidential information
                                                      
                                                      Contacts
                                                      
                                                          read your contacts
                                                          find accounts on the device
                                                          modify your contacts
                                                      
                                                      Microphone
                                                      
                                                          record audio
                                                      
                                                      Camera
                                                      
                                                          take pictures and videos
                                                      
                                                      Other
                                                      
                                                          download files without notification
                                                          receive data from Internet
                                                          read TV channel/program information
                                                          write TV channel/program information
                                                          full network access
                                                          read battery statistics
                                                          run at startup
                                                          draw over other apps
                                                          control vibration
                                                          modify system settings
                                                          install shortcuts
                                                          send sticky broadcast
                                                          prevent device from sleeping
                                                          pair with Bluetooth devices
                                                          connect and disconnect from Wi-Fi
                                                          read sync settings
                                                          control Near Field Communication
                                                          create accounts and set passwords
                                                          view network connections
                                                          toggle sync on and off
                                                          access Bluetooth settings
                                                          change your audio settings
                                                          change network connectivity
                                                          read Google service configuration
                                                      
                                                      1. 3

                                                        “eh ma allora Facebook e Google” non regge come argomentazione, c’è una bella differenza tra azienda privata e stato. In ogni caso io disinstallo sempre l’app di FB :P

                                                        1. 3

                                                          Appunto, ancora peggio! La gente si lamenta di dare un ID allo Stato Italiano che già sa dove abiti, con chi vivi, quanto guadagni e dove lavori ma accetta bellamente di regalare tutta la sua vita personale ad un privato che ha già avuto problemi legali per la diffusione dei dati personali.

                                                          Non voglio toccare il tema della sorveglianza di massa sulla quale non sono d’accordo in quanto evoca scenari Orwellinani dai quali sarà difficile uscirne.

                                                          Io comunque non l’ho installata e non penso di farlo, né per me, né per la mia famiglia. Per motivi tecnici perché sono anch’io convinto che non possa mai funzionare, non per problemi di privacy.

                                                          1. 2

                                                            Ma infatti è sbagliato anche dare tutti quei dati a Facebook, una cosa non esclude l’altra. Facebook però non controlla l’esercito (per ora)

                                                          2. 2

                                                            c’è una bella differenza tra azienda privata e stato

                                                            Non quando quell’azienda privata è legata mani e piedi ad almeno uno stato

                                                          3. 1

                                                            E’ un tipico caso di “doing the right thing for the wrong reasons”.

                                                    1. 1

                                                      si connette al server esterno tramite router di casa o tramite rete cellulare? Nel primo caso, cosa succede se blocchi il traffico verso quel server?

                                                      1. 1

                                                        Se ho capito correttamente (ma a questo punto mi sa che finirò per tampinare anche Vimar), il flusso funziona così:

                                                        1. Il “centro di controllo” casalingo parla con i vari componenti via cavo murato
                                                        2. Il “centro di controllo” casalingo esce verso i server di Vimar su una sua rete (che, dagli schemi che ho trovato, pare cablata anch’essa)
                                                        3. App e simili passano dai server di Vimar per parlare con casa
                                                        1. 2

                                                          Una prima prova da fare sarebbe guardare con Wireshark il traffico del “centro di controllo” verso l’esterno, e quindi impedirgli di parlare con Vimar e vedere che succede. Se chiama “vimar punto com” aggiungi nel firewall del router il divieto di quel sito. Se tutta la domotica continua a funzionare tutto per almeno un paio di settimane, direi che il problema è risolto. Altrimenti cominciano i guai. Nel senso che se in caso di “stranezze”, in futuro, non saprai con chi prendertela. Se Vimar si fa accidentalmente “hackerare dagli haxx0rzzz”, non puoi passare giorni di panico o peggio buttar tempo e soldi per “proteggere” il sistema.

                                                          Se c’è un apparecchio con SIM basterà togliere la SIM e vedere se tutto il resto funziona. Nel dubbio, metti una SIM scaduta. Pensa che io conservo un paio di SIM scadute da anni proprio per quest’evenienza: l’apparecchio non può dire “SIM assente” se la SIM è valida ma disconosciuta dall’operatore.

                                                      1. 2

                                                        Da metà di settimana scorsa sto dando la caccia a informazioni interne della nostra piattaforma. Mi aspettavo di metterci due giorni, ma al momento ho già dovuto chiamare in causa:

                                                        • due cluster MySQL per un totale di 3 DB
                                                        • un SQL Server
                                                        • un cluster Elasticsearch (3 indici)

                                                        E sento che ne manca ancora…