C'è questo nuovo browser, un fork di Firefox, in giro da non molto tempo. Si chiama Zen Browser, si basa su BetterFox, e in breve tempo ha collezionato 11mila stelle su GitHub in brevissimo tempo (per capirci Brave Browser ne ha 17mila). Non che le stelle di GitHub siano sinonimo di qualità chiaramente.

Si basa sull'ultima versione di Firefox (quindi non sull'ESR) ed è pensato per avere un po' di funzionalità in più come le tab verticali, la "split views" e altre cose interessanti.

Sul forum di PrivacyGuides mettevano un po' la pulce all'orecchio (parlando addirittura di honeypot) sul fatto che parliamo di un dominio creato pochissimi giorni fa, che ha avuto un boom abbastanza strano su GitHub e che divesi commit su GitHub sono bizzarri test.

Nell'articolo dedicato alle alternative a Spotify ho aggiunto questo front-end con una bella grafica e con alcune opzioni interessanti che si chiama Bloomee (alle volte scritto anche BloomeeTunes).

Un’altra alternativa per ascoltare musica presa da piattaforme come YouTube e Jio Saavn (una piattaforma indiana di streaming). Anche questa ha molte caratteristiche interessanti tra cui l’assenza di pubblicità e di traccianti, la possibilità di sincronizzare i testi, scaricare la musica per un ascolto offline, timer personalizzato e molto altro.

È prevista in futuro una versione per iOS e raccomandazioni personalizzate grazie all’IA. Esiste sia per Android che per desktop (Windows e Linux).

Per provarla: IzzyOnDroid | APK e versione computer

• Articolo sulle alternative a Spotify

• Codice sorgente

Una puntata di parecchi anni fa di Mai dire Gol del Lunedì dove Elio e le storie Tese fanno un clamoroso medley delle sigle di Mai dire Gol in versione partenopea.

Video YouTube | Video Invidious

A quanto pare le Yubikey con firmware fino al 5.7 sono clonabili in pochi minuti se si riesce ad averne accesso fisico.

Ecco una parte dell'articolo tradotta in automatico

Gli elementi sicuri sono piccoli microcontrollori il cui scopo principale è generare / archiviare segreti e quindi eseguire operazioni crittografiche. Subiscono il più alto livello di valutazioni di sicurezza esistenti (criteri comuni) e sono spesso considerati inviolabili, anche negli scenari di attacco nel peggiore dei casi. Quindi, complessi sistemi sicuri costruiscono la loro sicurezza su di loro.

I token hardware FIDO sono forti fattori di autenticazione per accedere alle applicazioni (qualsiasi servizio web che supporti FIDO); spesso incorporano un elemento sicuro e il protocollo FIDO utilizza l'algoritmo di firma digitale Elliptic Curve (ECDSA in breve) come primitivo crittografico principale. Serie YubiKey 5 sono certamente i token hardware FIDO più diffusi, il loro elemento sicuro è un Infineon SLE78.

Questo documento mostra come – trovare una piattaforma aperta JavaCard (il Feitian A22) basato su un Infineon simile SLE78 – abbiamo compreso l'implementazione di Infineon ECDSA, trovato una vulnerabilità del canale laterale e progettato un pratico attacco del canale laterale. L'attacco viene quindi dimostrato su a YubiKey 5Ci. Infine, mostriamo che la vulnerabilità si estende al più recente Infineon Optiga Trust M e Infineon Optiga TPM microcontrollori di sicurezza.

Il nostro lavoro rileva una vulnerabilità a canale laterale nella libreria crittografica di Infineon Technologies, uno dei maggiori produttori di elementi sicuri. Questa vulnerabilità – che è passata inosservata per 14 anni e circa 80 valutazioni di certificazione dei criteri comuni di più alto livello – è dovuta a un'inversione modulare non a tempo costante.

L'attacco richiede l'accesso fisico all'elemento sicuro (poche acquisizioni elettromagnetiche locali sul canale laterale, ovvero pochi minuti, sono sufficienti) al fine di estrarre la chiave segreta ECDSA. Nel caso del protocollo FIDO, ciò consente di creare un clone del dispositivo FIDO.

Tutti tutti Serie YubiKey 5 (con la versione del firmware inferiore a 5.7) sono influenzati dall'attacco e in effetti tutti i microcontrollori di sicurezza Infineon (inclusi i TPM) che eseguono la libreria crittografica Infineon (per quanto ne sappiamo, qualsiasi versione esistente) sono vulnerabili all'attacco. Questi microcontrollori di sicurezza sono presenti in una vasta gamma di sistemi sicuri – spesso basati su ECDSA – come passaporti elettronici e portafogli hardware in criptovaluta ma anche auto o case intelligenti. Tuttavia, non abbiamo ancora verificato che l'attacco EUCLEAK si applichi a nessuno di questi prodotti.

In queste ore dovrebbe essere distribuita a tutti la versione 130.0 di Firefox che porta con sé alcune novità:

• AI Chatbot è possibile abilitare tra le impostazioni di Firefox Labs una barra laterale con un Chatbox AI. Si potrà scegliere tra diversi modelli: Anthropic Claude, ChatGPT, Google Gemini, HuggingChat e Le Chat Mistral.

• Picture-in-Picture: auto-open on tab switch, anche questo attivabile in Firefox Labs permette di mantenere attivo e in primo piano il "Picture-in-Picture" mentre si cambia scheda.

• Per gli utenti Linux: le animazioni di overscroll sono abilitate di default per le aree scrollabili.

Su Android invece le prestazioni di caricamento delle pagine sono migliorate consentendo il download simultaneo di un maggior numero di file ed è disponibile una nuova funzione di generatore di password per la creazione di password forti e casuali. Inoltre, questo aggiornamento risolve un problema di mancata attivazione a intermittenza delle voci del menu contestuale copia e incolla, include traduzioni aggiornate e apporta altre modifiche minori e correzioni di bug.

Da Pezzoni di ROCKIT

I Subsonica non sono mai un errore

Ci sono canzoni che dal vivo esplodono con una forza diversa. È il caso di Tutti miei sbagli, punta di diamante di un disco pazzesco di una discografia ancora più pazzesca. Stiamo parlando dei Subsonica (anche il loro disco più recente, Realtà aumentata, è clamoroso), non a caso battezzata "la migliore live band italiana". Sabato 7 settembre la band torinese arriva all'Idroscalo per il penultimo appuntamento estivo con Cuori Impavidi, la rassegna di MI AMI e Circolo Magnolia (biglietti qui). Sarà una grande festa, come solo loro sono capaci di mettere in piedi. E con una colonna sonora che ha ben pochi rivali dalle nostre parti.

Link YouTube | Link Invidious

Ascolta la playlist Verdisempre su Spotify

Clode vuole mollare il passato

Di come Clode sia finita a fare la musicista vi abbiamo ben raccontato poco tempo fa. Intanto le sue canzoni continuano a crescere, conferma che qua c'è qualcosa di parecchio interessante che si sta muovendo. Prendiamo un pezzo come Funi, per esempio, un canto di dolore dove un trauma consumatosi in passato continua a manifestarsi nel presente: mentre la strumentale elettronica carica di tensione, la voce di Clode è ancora imprigionata da una sofferenza mai sopita, capace di sprigionarsi con forza anche adesso e anche su chi si trova solo ad ascoltare. Quando le corde emotive diventano le Funi del titolo, è già troppo tardi per liberarsi.

Link YouTube | Link Invidious

Ascolta la playlist CBCR su Spotify

I Bee Bee Sea non vogliono lavorare

Il cartello che accoglie all'interno di Castel Goffredo, nel mantovano, avvisa subito che si sta entrando nel "centro internazionale della calza". Quello che invece dovrebbe dire è che il paese è la casa dei Bee Bee Sea, trio garage rock che spinge più di un martello pneumatico in mano a Superman. Lo sanno bene anche all'estero, dove la band si trova spesso a girare. Mica a caso: quando uno sente canzoni come la frenetica Daily Jobs, col suo continuo rimbalzo dal ritmo forsennato della strofa e dalla disperazione del working man che prende il sopravvento nel ritornello, come fa a non perdere la testa?

Link YouTube | Link Invidious

Ascolta la playlist King of Provincia su Spotify

Maria Chiara Argirò sogna di ritrovarsi

Quando si parla di fuga di cervelli, Maria Chiara Argirò è uno di quei nomi che dovrebbe venire subito in mente. E anche se ci piacerebbe averla più vicina a casa, il fatto che lei abbia trovato in Londra la città da cui far decollare la propria arte mostra quanto questa musicista meriti davvero. Così come Closer, il suo ultimo disco, fatto di scenari onirici e sussurri, un terreno sognante tra ambient e dance dove, più che perdersi beatamente, è facile ritrovare sé stessi senza neanche rendersene conto. Un processo introspettivo meraviglioso, in cui vale la pena scivolare anche e soprattutto se si pensa di non avere più niente di nascosto a noi stessi.

Link YouTube | Link Invidious

Ascolta la playlist Musica Italiana Fatta Bene su Spotify

Un amore tra Napoli e il dancefloor

Su quel filo incredibile che unisce Napoli e Berlino si trova anche Zodyaco, il progetto del producer partenopeo Pellegrino che nulla ha da invidiare ai colleghi Nu Genea. In Morphé, suo disco del 2020, c'è un brano meraviglioso dal titolo Amaremai, dove un saltellante arrangiamento disco funk maschera il mal d'amore cantato nel testo. E guida nella notte anche il più pesante dei cuori, per fargli ritrovare la sua naturale leggerezza sulla pista da ballo.

Link YouTube | Link Invidious

Ascolta la playlist Real Italian Gaso su Spotify

Ladybird, per chi non dovesse conoscere il progetto, è la nascita di un nuovo browser con un motore diverso da quello di Mozilla e da quello di Chrome.

L'idea è quindi molto eccitante e sta ricevendo, anche se piano piano, alcuni finanziamenti tra cui 200.000$ da parte di Futo, 100.000$ da Shopify, 50.000$ da Ahrefs e speriamo molti altri in futuro. È, chiaramente, un progetto ancora in alpha ma che sta andando avanti discretamente bene e velocemente.

Vi lascio il link per la newsletter di agosto dove si parla di:

• Welcoming new sponsors
• Web Platform Tests
• Sticky positioning
• Drag and drop
• Skia now powers SVG and 2D canvas
• HarfBuzz for text layout and RTL support
• Retained display lists
• Towards CSS Typed OM
• Alpha premultiplication
• Input selection API
• New Security Policy
• Credits

Link a video position: sticky demo for August 2024 newsletter: YouTube | Invidious

Link a newsletter: https://buttondown.com/ladybird/archive/this-month-in-ladybird-august-2024/

Link al progetto: https://ladybird.org/

Wired (statunitense) qualche giorno fa ha pubblicato una bella e lunga intervista a Meredith Whittaker, attuale CEO di Signal.

Wired Italia l'ha tradotta e io non posso che girarla qui per farla leggere.

Da Wired

Dieci anni fa, Wired US raccontava che due app di comunicazioni crittografate poco conosciute e un po' sgangherate, RedPhone e TextSecure, stavano per fondersi in una nuova creatura, Signal. Da quel luglio del 2014, Signal è passato dall'essere un curioso esperimento cypherpunk – creato da un programmatore anarchico, gestito da un caotico gruppo di lavoro in una stanza di San Francisco, e diffuso grazie al passaparola tra hacker paranoici – in un vero e proprio fenomeno mainstream della comunicazione crittografata. Centinaia di milioni di persone hanno scaricato l'app e altri miliardi di utenti utilizzano i suoi protocolli di crittografia all'interno di piattaforme come WhatsApp.

Questa storia forse può sembrare il cliché tipico delle startup. Ma Signal è, per molti versi, l'esatto contrario del modello della Silicon Valley. È un'azienda senza scopo di lucro che non ha mai accettato investimenti, che mette a disposizione il suo prodotto gratuitamente, che non ha pubblicità e non raccoglie praticamente nessuna informazione sui suoi utenti, pur competendo con i giganti della tecnologia (e, spesso, vincendo). In un mondo in cui Elon Musk sembra aver dimostrato che praticamente nessun forum di comunicazione privato è al sicuro dai capricci di un miliardario, Signal va in direzione contraria: è la prova che il venture capital e il capitalismo della sorveglianza non sono le uniche strade per il futuro della tecnologia.

Negli ultimi dieci anni, nessun leader di Signal ha incarnato questa filosofia iconoclasta in modo più evidente di Meredith Whittaker. La presidente di Signal, in carica dal 2022, è una delle principali critiche del mondo tecnologico: quando lavorava a Google, ha guidato scioperi contro le pratiche discriminatorie del colosso e si è opposta ai suoi contratti con l’industria militare. Ha co-fondato l'AI Now Institute per discutere delle implicazioni etiche dell'intelligenza artificiale ed è diventata una voce di spicco nel movimento che ritiene che AI e sorveglianza siano intrinsecamente legate tra loro. Da quando ha assunto la presidenza della Signal Foundation, Whittaker ha capito che il suo compito principale era quello di trovare una fonte di finanziamento a lungo termine per mantenere in piedi Signal nei decenni a venire – senza compromessi o intrighi aziendali – in modo che possa rappresentare un modello di un nuovo ecosistema tecnologico.

Whittaker si è trasferita a Parigi per l'estate, ma l'ho incontrata durante una breve visita nella sua città natale, New York. In un bar di Brooklyn, abbiamo finito per approfondire un argomento di cui, nonostante la sua solita schiettezza, parla raramente: se stessa e il suo strano percorso che l'ha potata dall'essere una manager di Google a diventare una spina nel fianco della Silicon Valley.

Lei è anche molto più presente in pubblico di quanto non lo sia mai stato nessuno di Signal.

Sì, è vero. Anche per Signal siamo in una fase diversa.

In che senso?

Tanto per cominciare, Signal è nato 10 anni fa come un progetto hacker virtuoso che si opponeva a un paradigma dominante che all'epoca era quasi universalmente celebrato.

Quale paradigma?

La sorveglianza. Il modello di business della sorveglianza.

Giusto. E in quale fase si trova ora Signal?

Ora Signal ha creato un'infrastruttura di importanza critica per i militari, per i dissidenti, per i giornalisti, per gli amministratori delegati, per chiunque abbia informazioni private riservate. Quindi credo che ci troviamo in una fase diversa, in cui dobbiamo essere presenti. La nostra storia non può essere raccontata da terzi. È ora di definirla da soli.

Bene, prima di arrivare a questa storia: lei ha trascorso l'estate a Parigi. Perché l'Europa? Perché la Francia? È stata una decisione per Meredith o per Signal?

È una cosa per Signal. Ci stiamo concentrando sull'Unione europea, sulla crescita del nostro mercato e sulla ricerca di potenziali partner.

Sta dicendo che state cercando delle exit strategy, nel caso di una seconda amministrazione Trump?

È più di questo. Ci sono molti possibili futuri sul tavolo in questo momento.

Mi permetta di chiederglielo in questo modo: ci sono le elezioni negli Stati Uniti. State pensando a una nuova amministrazione – Democratica o Repubblicana che sia – e alla possibilità che Signal debba trovare una nuova casa?

La mia risposta è che credo che siamo sempre consapevoli delle sabbie mobili della politica. Dato che i governi degli Stati Uniti e di altri paesi non sono sempre stati acritici nei confronti della crittografia, stiamo guardando a un futuro in cui avremo una certa flessibilità giurisdizionale.

Ha davvero senso cercare questo tipo di flessibilità in Europa, quando il fondatore di Telegram Pavel Durov è stato appena arrestato in Francia? È una cosa che spinge a riflettere sul futuro di Signal nell'Ue?

Beh, per cominciare Telegram e Signal sono applicazioni molto diverse con casi d'uso molto diversi. Telegram è un'app di social media che consente a un utente di comunicare con milioni di persone contemporaneamente e non garantisce una privacy significativa né crittografia end-to-end. Signal è un'applicazione dedicata esclusivamente a comunicazioni private e sicure, senza funzioni di social media. Quindi stiamo già parlando di due cose diverse.

E ad oggi [27 agosto 2024, nda] ci sono semplicemente troppe domande senza risposta e troppe poche informazioni concrete sulle motivazioni specifiche dietro l'arresto di Durov perché io possa darvi un'opinione informata. Per quanto riguarda la questione più ampia, siamo realisti: non c'è nessuno stato al mondo che abbia trascorsi ineccepibili in materia di crittografia. Ovunque nel mondo ci sono anche sostenitori delle comunicazioni private, tra cui molti nel governo francese e in Europa. Coloro che si battono da tempo per la privacy riconoscono che si tratta di una battaglia continua, con alleati e avversari dovunque. Cercare di dare priorità alla flessibilità non significa idealizzare una o l'altra giurisdizione. Siamo consapevoli delle acque in cui dobbiamo navigare, ovunque si trovino. Vediamo un'enorme quantità di sostegno e di opportunità in Europa.

L'intervista continua su Wired

Tra le altre alternative nell'articolo dedicato al tenere traccia delle proprie spese.

GreenStash è una semplice, ma bella, alternativa open source (con licenza MIT). Non serve propriamente a gestire le spese ma è più utile per creare obiettivi di risparmio e per prendere l’abitudine al risparmio. Disponibile su F-Droid, IzzyOnDroid, GitHub e anche Play Store.

Il browser Vivaldi, che si basa su Chromium, si aggiorna alla versione 6.9 con alcune novità. È ora possibile rinominare facilmente le schede e l'insieme di schede con un nome qualsiasi per migliorarne l'organizzazione.

C'è anche una nuova funzionalità di trascinamento dal pannello dei download: è ora possibile trascinare i file direttamente dal pannello dei download sul desktop, in una cartella o direttamente in un'email o in un documento.

Ci sono poi altri miglioramenti sempre per quel che riguarda le schede, se utilizzate Vivaldi su più dispositivi desktopc con la versione 6.9, si ottiene una nuova panoramica strutturata di tutte le schede aperte direttamente nel Pannello di Windows. Quando si apre il Pannello di Windows è possibile vedere esattamente quali schede sono aperte sugli altri dispositivi desktop, organizzate ordinatamente in una struttura ad albero. La nuova struttura separa i dispositivi e gli spazi di lavoro.

Trovate qui tutto il changelog, in attesa della versione 7.0!

Come spesso avviene Filen ci ragguaglia sulle novità e sugli aggiornamenti dell'ultimo periodo. L'articolo sul blog è abbastanza lungo e i capitoli sono questi:

• Finanza
• Investimenti in infrastrutture
• Il nuovo client desktop
• Cosa succede dopo?
• La nuova unità web di Filen
• Beta “ufficiale” della CLI
• La nostra API documentata pubblicamente e l'SDK
• Vendita del venerdì nero
• Decisioni sul certificato
• Apparizioni pubbliche
• Marketing e affiliazione
• DOMANDE E RISPOSTE
• Valutazione del sondaggio
• Parole finali / Conclusione

Si parla di un nuovo client desktop completamente riscritto da zero e alcune novità, estetiche ma non solo, per il client web. È ora disponibile pubblicamente la beta per testare Filen CLI e vengono anticipate alcune possibili offerte per il Black Friday: "sì, ci sarà una vendita del Black Friday. Inizierà probabilmente tra la mezzanotte delle 0:00 e le 3:00 (CET, UTC+1,2) del Black Friday e durerà almeno una settimana. Come negli anni precedenti, offriremo ancora piani a vita a prezzi interessanti. Tuttavia, è possibile che quest'anno limiteremo la quantità di piani più grandi. Pubblicheremo informazioni più dettagliate non appena ci avvicineremo al periodo.".

Insomma se utilizzate il loro cloud o se avete intenzione di farlo penso sia una buona lettura perché si parla anche di infrastrutture, finanziamenti e futuro.

Status Update 26.08.2024