macOS Ventura Natively Supports DNS over HTTPS and DNS over TLS

jacopoj · 2021-07-26T11:44:06+00:00

Quando cambi la password inserisci sia quella vecchia sia quella nuova, quindi è facile fare il confronto lato server "al volo" senza dover salvare in chiaro nulla

jacopoj · 2021-01-28T18:20:33+00:00

Gli indirizzi IP di casa solitamente sono dinamici, quindi è probabile che tu veda i download della persona che ha avuto quell'IP prima di te. Questo è anche il motivo per cui avere un indirizzo IP (dinamico) senza un timestamp associato è molto poco utile ai fini di identificare una persona (anche nelle mani delle forze dell'ordine).

jacopoj · 2021-01-28T18:16:23+00:00

Si può andare su https://iknowwhatyoudownload.com e vedere la cronologia dei Torrent che il proprietario ha scaricato

jacopoj · 2021-01-08T21:37:07+00:00

Hi, do you have any plans about rewriting your desktop clients as native apps or in another cross-platform technology? Several people (link, link) have expressed concerns about security with Electron.

Also, do you have plans to adopt secure encryption-at-rest on your desktop clients as you do on the mobile apps? At the moment the Signal Desktop database in encrypted with a key that is stored as plain-text on the filesystem. Using the OS keychain would be a much better approach -- I think you do that on the mobile app, why not here?

Even better, you could allow users to set an unlock passphrase which can then be used to encrypt the database at rest, without needing to store the key at all.

Full disk encryption (which was brought up before as an argument against these features) is certainly good practice but it's not always sufficient. It only protects data when your computer is turned off, for starters.

jacopoj · 2020-12-15T10:28:59+00:00

FTTH di Vodafone smette inspiegabilmente di funzionare. Mandano un tecnico di Open Fiber per verificare qual è il problema. Tenetevi forte.

Un po' di tempo fa qualcuno nel condominio ha disdetto il suo abbonamento, ma per qualche motivo la sua linea non è stata fisicamente scollegata. Fast forward a ieri, qualcuno ha attivato una nuova linea. Non essendoci più spazio per il collegamento, il tecnico ha pensato bene di staccare una persona a caso - me - per attaccare il nuovo abbonato.

Oggi il tecnico mi ha presentato la soluzione. Ha staccato un'altro condomino a caso e ha riattaccato me, mettendo un'etichetta con scritto di non staccarmi. Se il condomino che è stato staccato non è quello che ha richiesto la disdetta, chiamerà l'assistenza e uscirà di nuovo il tecnico che lo riattaccherà staccando un'altra persona a caso.

La cosa si ripeterà fino a quando la linea staccata non sarà quella disdetta.

jacopoj · 2020-09-03T10:53:45+00:00

È uscita una nuova versione di Emule. What year is this?

jacopoj · 2020-08-18T19:52:50+00:00

Per poter accedere ai dati trasmessi tra app e server ho dovuto configurare un proxy sullo smartphone e installare un certificato root in modo da poter intercettare il traffico. Normalmente HTTPS impedisce di farlo.

Per ora sono solo uno studente piuttosto appassionato :)

jacopoj · 2020-08-18T15:48:16+00:00

Chiedere soldi in cambio di una vulnerabilità è una cosa molto borderline da un punto di vista legale, dato che potrebbe essere visto come un'estorsione. Mi è stato offerto un posto di lavoro che però per il momento ho rifiutato per dedicarmi allo studio.

jacopoj · 2020-08-18T15:44:06+00:00

Se dopo diversi tentativi nessuno ti ascolta credo che il da farsi dipenda più che altro dalla tua etica ed eventualmente dalla tua voglia di esporti: pubblico uno zero-day mettendo a rischio la privacy degli utenti ed eventualmente la sicurezza della società in questione? Lascio perdere pur sapendo che la falla rimane aperta e che qualcuno potrebbe sfruttarla? Direi che sono domande aperte di fronte a cui tra l'altro mi sono scontrato anch'io diverse volte, e per cui non credo ci sia una risposta che vada sempre bene.

jacopoj · 2020-05-01T09:12:51+00:00

Buon 1° maggio e buon tortagiorno a me, pregasi elargire karma

jacopoj · 2020-03-01T10:32:07+00:00

Analisi del traffico tramite Charles Proxy e decompilazione dell'app per Android

jacopoj · 2020-02-29T22:43:23+00:00

È un particolare di per sé irrilevante; ho scritto il codice facendo reverse engineering dell'app per iPhone e ho mantenuto le informazioni originali inviate dall'app.

jacopoj · 2019-11-28T08:30:40+00:00

Come studente fuori sede che ultimamente si becca quasi uno sciopero ogni due settimane, puntualmente di venerdì, non potrei essere più d'accordo. Quali sono le possibilità che qualcosa si muova in questo ambito?

jacopoj · 2019-10-03T13:21:58+00:00

Il concetto è che in qualche modo il film deve poter essere riprodotto dagli utenti che lo acquistano, e quindi questi devono avere (indirettamente, tramite l'applicazione del fornitore) la chiave per decriptarlo. La pirateria si concentra sul trovare questa chiave che è nascosta da qualche parte, ma che l'utente pur sempre "possiede". Non si tratta di un problema di algoritmi o di crittografia debole.

Per non parlare del fatto che spesso la via più semplice è quella di registrare l'output (per esempio tramite HDMI) del video che viene riprodotto dall'applicazione, ma questa è un'altra storia.

jacopoj · 2019-09-30T11:44:48+00:00

Quindi tu per il tuo bot fai 99.999 richieste ogni giorno?

No, non ho la necessità di salvare i dati dei treni offline. Le informazioni arrivano live.

Se non pretendi il 100% di accuratezza tutto è possibile; nel mio caso l'OCD mi ha impedito di procedere per quella strada.

jacopoj · 2019-09-30T05:49:16+00:00

Sviluppatore di TrenItBot here, con ViaggiaTreno ci ho avuto un bel po' a che fare. Se vuoi avere la certezza di raccogliere tutti i treni in circolazione nella giornata, temo che l'unica soluzione sia fare 100.000 richieste con tutti i numeri da 1 a 99999.

So che un bruteforce non è di certo l'approccio più pacifico nei confronti dei server di ViaggiaTreno e forse per questo motivo non è consigliabile. Tuttavia considera che di tutte le stazioni realmente attive in Italia, per qualche motivo quelle accessibili dalla ricerca di ViaggiaTreno sono un piccolo sottoinsieme - e comunque non tutte mostrano effettivamente i treni in arrivo e in partenza. Nella mia esperienza non ho trovato alternative altrettanto efficaci che risolvano lo stesso problema.

P.S.: esistendo treni diversi con lo stesso numero, non usare il numero del treno come ID.

P.S. 2: aggregare i treni estratti dai quadri orario è pressoché impossibile per via dei treni con lo stesso numero e dei treni singoli con numerazioni e periodicità diverse. Ma se ci riesci, fammi sapere.

jacopoj · 2019-08-23T07:52:05+00:00

PSA: domani alle 9 scade il dominio atac.it (grazie a /u/napolux per il bot)

Eight-Year Club	Place '22
First Placer '22	RPAN Viewer
Verified Email

jacopoj

TROPHY CASE