18 May 2014
Sono le tre e mezza di notte, e io mi trovo in un posto molto pittoresco. Probabilmente il posto più pittoresco in cui un hacker (un hacker civico, per giunta, cribbio) possa essere: il Parlamento. O meglio, non esattamente: sto dando una mano a coordinare Code4Italy @ Montecitorio, l’hackathon della Camera dei Deputati che mette a disposizione l’expertise dello Stato agli hacker che vogliono utilizzare i dati della Camera, e al contempo permette al gestore dell’infrastruttura di portare a termine un’operazione di controllo qualità notevole.
Sinceramente, non mi aspettavo una partecipazione come quella che invece c’è stata, data l’istituzione presente che fa sempre un po’ paura: è notevole invece l’impegno di alcune persone, che sono rimaste persino a programmare sino a quest’ora pur di portare a termine il loro progetto.
Tra i risultati di questa prima giornata di hackathon possiamo annoverare parecchia polpa:
- Bug squashing dei dati: da alcune persone sono state scoperte alcune piccole incongruenze all’interno del dataset. Chiaramente le riporteremo e queste verranno corrette. Bug reporting dal vivo!;
- Sono già disponibili degli esempi di query SPARQL relativi all’endpoint della Camera: prima dell’hackathon non c’erano, e sicuramente è una buona occasione per cominciare a raccogliere le richieste e a rendere molto più fruibile quello che c’è;
- Idee interessanti in ambito applicativo. Ma non le scriverò adesso, sarebbe un bello spoiler, anche se guardando nel posto giusto potete scoprire tante cose interessanti;
- Hai voglia a controllare, siamo finalmente riusciti a sdoganare il mito e ci siamo tolti la giacca senza che gli assistenti parlamentari piombassero su di noi come falchi. Forma over sostanza.
È emozionante come ci stiamo devastando in una sede simile. Nonostante l’austerità di un luogo come la Camera, non esitiamo a farci venire delle borse sotto gli occhi da paura, e poi mescolare un’istituzione così rigida e con meccaniche così stringenti con un ambito quasi “facilone” come quello degli hackathon è decisamente divertente. Domani ci saranno le presentazioni dei risultati finali (grossomodo…), e sono orgoglioso dei developer che sono rimasti svegli con me: possiamo dire di esserci presi il Parlamento, anche se solo per una notte.
Saluti.
Un assonnato Ale
10 May 2014
That’s not going to happen. That’s not who we are at Mozilla.
Stimo molto Mozilla, e una delle cose che durante gli scorsi mesi mi ha lasciato stupefatto è stata proprio la decisione di mandare in pensione la politica di non sponsorizzazione (per così dire) di alcunché al fine di favorire l’afflusso di denaro alla fondazione tramite il - secondo me - becero meccanismo del piazzare delle pubblicità nella schermata relativa alle nuove schede di Firefox.
Quello che mi ha stupito molto poco invece, chiaramente, è stato il feedback parecchio negativo degli utenti nei confronti di questo tentativo di bravata da parte del team di sviluppo. Nel giro di poco, Mozilla ha ridiscusso la cosa (passo che credo faccia parte dell’iter attraverso cui deve passare ogni feature) e proprio oggi Johnathan Nightingale, VP di Firefox, ha rilasciato un comunicato dove non solo viene ufficializzato il dietro-front, ma vengono anche avanzate quelle che potrebbero essere considerate scuse.
We’ll experiment on Firefox across platforms, and we’ll talk about what we learn before anything ships to our release users. And we’ll keep listening for feedback and suggestions to make this work better for you. Because that’s who we are at Mozilla.
Questo non significa solo che noi utenti banalmente non saremo costretti a doverci sorbire della pubblicità anche “dentro casa” per così dire, ma anche che ancora una volta uno dei baluardi del software Open Source si è tirato fuori con eleganza da una morsa capitalista che ora più che mai è inutile, mostrando ancora una volta quanto sia importante la sostenibilità di un progetto, piuttosto che il profitto che ne viene ricavato.
Ben fatto Mozilla. Adesso ho di nuovo fiducia in te.
Photo courtesy of conwest_john
10 May 2014
Nonostante DigitalOcean mi offra un servizio più che soddisfacente, non mi piacciono più di tanto i canoni annui: è per questo che già da un po’ di tempo cercavo un momento per mettermi a tavolino e dare una chance a CloudAtCost, che con i suoi piani “lifetime” è davvero allettante. In pratica, il servizio che viene offerto è simile a quello di DigitalOcean, con un pannello di controllo meno bello ma con la possibilità di scegliere tra il pagamento mensile o un pagamento una tantum per la propria istanza.
I prezzi per il pagamento a vita non sono nemmeno malvagi: se avete necessità di una VPS, tutti i piani su CloudAtCost sono scontati del 25%, e il piano Big Dog 3 (quello più ciccione) è in saldo al 50%. Secondo me sono prezzi pazzi: con qualche spiccio in più di un centinaio d’euro ho preso per la vita un serverino con 2GB di RAM e 40GB di storage SSD. A vita.
Mica male no? Mi riservo di provarlo per un bel po’ di tempo, per poi sfornare (almeno, spero di ricordarmi) una comparativa approfondita. Chiaramente al momento del mio acquisto DigitalOcean, verde di invidia, ha lanciato il primo batch di IPv6; ma è così che funziona il libero mercato no? :D
Photo courtesy of incredibleguy
09 May 2014
Sembra incredibile ma non lo è: a quanto pare nella prossima release di Fedora vedremo GNOME girare su Wayland, almeno in via sperimentale. Sinceramente, ho molte perplessità su questa decisione, tant’è che non solo penso che Wayland non sia ancora realmente pronto per un utilizzo del genere, ma ritengo che a maggior ragione Fedora 21 subirà un cambiamento di rotta relativamente a questo punto.
Nonostante quella che è solo una mia mera opinione, comunque, il FESCo ha “appena” approvato il ticket, che è stato riportato nella minuta dell’ultimo meeting. Fedora 21 quindi accresce il suo grado di complessità, e proprio per la grande sfida che tutto il team di sviluppo sta affrontando, ogni giorno cresce anche il mio interesse verso il loro prodotto finale.
Mi lascia perplesso un punto: potrò giocare con la mia macchina (hint: probabilmente no)? O dovrò ridurmi a utilizzare i driver liberi? Nel secondo caso probabilmente cambierei (ancora) distribuzione, ma non posso che ammirare chi si impegna così fortemente per il futuro di Linux. Davvero.
Photo courtesy of pjen
05 May 2014
Finalmente sto iniziando a guardare i primi vagiti di LibreSSL su altre piattaforme, e pur non avendone scritto qui la questione Heartbleed è stata un bel bailamme da seguire, dato che ha tirato in ballo una serie di questioni notevoli sul futuro del software open source e sulla presunzione di sicurezza di alcuni sistemi.
Sempre per parlare di presunzione di sicurezza, Insane Coder durante un piccolo processo di review di alcuni port di LibreSSL ha effettivamente dimostrato come il grado di sicurezza di LibreSSL diminuisca a seconda della piattaforma utilizzata (il che è anche colpa delle prassi di porting di alcune funzioni); questo non è solo un problema di SSL, ma è anche un campanello di allarme che dovrebbe farci riflettere sulla sicurezza delle piattaforme che usiamo di solito e su cui siamo abituati a sviluppare.
There’s a couple of other significant mistakes I’m expecting to see appear in LibreSSL ports, but have not seen yet. These probably already exists in ports I haven’t reviewed, or will exist in the wild soon enough. Chief among them is implementing timingsafe_bcmp(). I’m expecting to see implementations which directly wrap to regular bcmp(), which unlike the former, is not performed in constant-time, and can expose the application to timing attacks.
Insomma: non è che adesso c’è LibreSSL ed è tutto a posto. Dobbiamo continuare a tenere gli occhi aperti, perché anche se aggiustiamo un anello della catena ci sono due tipi di criticità che si presentano a questo punto.
- Aggiustare un anello non significa aggiustare tutta la catena: la sicurezza di un particolare strato non assicura che il resto della piattaforma sia a prova di bomba;
- Inserire un anello nuovo in una catena di tipo diverso è difficile e dev’essere fatto nel modo giusto, garantendo che il risultato non sia troppo debole.
Photo courtesy of Patrick H.
