Ed ecco per noi la Web Key Directory!

Giugno 20th, 2022 by tilde

–> English version at the bottom <–
–> Español abajo <—

[ITA]

Visto che PGP/GPG è ancora usato (e usabile) per la crittazione della posta, abbiamo deciso di facilitarne l’utilizzo: adesso è possibile associare la propria chiave GPG al proprio account di posta, rendendola “scopribile” automaticamente dai corrispondenti.

Dal vostro pannello utente, dopo il login, troverete modo di caricare la vostra chiave GPG: https://www.autistici.org/docs/userpanel#pgp

Che significa in pratica? Mediante il protocollo WKD (per maggiori dettagli vedi https://wiki.gnupg.org/WKD) un corrispondente può trovare la chiave per, per esempio, utente@autistici.org, facendo una richiesta HTTPS e delegando in pratica la discovery delle chiavi a chi gestisce l’infrastruttura della posta (siamo noi! yeah). Questo meccanismo fornisce un’alternativa ai classici keyserver PGP, che da tempo non godono di buona salute.

Noi abbiamo fatto una parte, ora sta a voi creare la vostra chiave GPG, se non ne avete già una, scegliere un client di posta che vi permetta di cifrare, per esempio Thunderbird, e caricare le vostre chiavi pubbliche sui nostri server.

Vi ricordiamo che questo è solo un pezzo della vostra sicurezza e vi tocca sempre stare all’occhio prima alla vostra sicurezza fisica e poi a dove appoggiate le vostre risorse per la comunicazione, quindi nei vostri device una cura particolare alla scelta di un sistema operativo open e poi attenzione ad i comportamenti collettivi che tenete online. Ma questo ve lo abbiamo già detto altre volte.

Per i più smanettoni qui trovate il codice del servizio che abbiamo implementato, sviluppato in collaborazione con i compagni/e di sindominio.net: https://git.autistici.org/ai3/tools/wkd, nella speranza sia utile anche ad altri gestori di server radicali.

A/I

 


[EN]

Since PGP/GPG is still used (and usable) for mail encryption, we decided to make it easier to use: it is now possible to associate your GPG key with your mail account, making it “discoverable” automatically by correspondents.

From your user panel, after logging in, you will find a way to upload your GPG key: https://www.autistici.org/docs/userpanel#pgp

What does this mean in practice? By means of the WKD protocol (see https://wiki.gnupg.org/WKD for more details) a correspondent can find the key for, say, utente@autistici.org, by making an HTTPS request and basically delegating key discovery to those who manages the mail infrastructure (that’s us! yeah). This mechanism provides an alternative to classic PGP keyservers, which have been long been in poor health.

We’ve done a part, now it’s up to you to create your own GPG key, if you don’t already have one, choose a mail client that allows you to encrypt, for example Thunderbird, and upload your public keys to our servers.

We remind you that this is just one piece of your security, and you always have to be on the lookout first for your physical security and then for where you back up your communication resources, so in your devices, special care to choose an open operating system and then attention to the collective behaviors you keep online. But we’ve told you this before.

For the more geeky ones here is the code for the service we implemented, developed in collaboration with fellow members of sindominio.net: https://git.autistici.org/ai3/tools/wkd, in the hope that it will be useful to other radical server operators as well.

A/I


[ES]

Visto que PGP/GPG todavía se usa (y se puede usar) para el cifrado del correo electrónico, hemos decidido facilitar su uso: ahora es posible asociar tu clave PGP a tu cuenta de correo electrónico, haciéndola “descubrible” automáticamente a tu correspondencia.

Desde el panel de usuario, después de iniciar sesión, encontraréis el modo de subir vuestra clave GPG: https://www.autistici.org/docs/userpanel#pgp

¿Qué significa en la práctica? Mediante el protocolo WKD (para más detalles ver https://wiki.gnupg.org/WKD) alguien con quien te escribes podrá encontrar tu clave, por ejemplo usuario@autistici.org, haciendo una petición HTTPS y delegando el descubrimiento de claves a quien gestiona la infraestructura del correo (somos nosotros! yeah). Este mecanismo ofrece una alternativa a los servidores clásicos PGP, que desde hace tiempo no gozan de buena salud.

Nosotros hemos hecho una parte, ahora os toca a vosotrxs crearos una clave GPG si no tenéis todavía, elegir un cliente de e-mail que permita el cifrado, por ejemplo Thunderbird, y subir vuestra clave a nuestros servidores.

Os recordamos que esto sólo es una parte de vuestra seguridad y que siempre debéis estar atentxs primero a vuestra seguridad física y luego a donde ponéis vuestros recursos para la comunicación, así que tened especial cuidado de elegir un sistema operativo abierto para vuestros dispositivos y luego prestad atención al comportamiento colectivo que tenéis en línea. Pero esto ya os lo hemos dicho otras veces.

Para lxs más avanzadxs, aquí está el código fuente que hemos implementado, desarrollado en colaboración con lxs compas de sindominio.net:
https://git.autistici.org/ai3/tools/wkd, con la esperanza que sea útil para otrxs gestores de servidores radicales.
A/I

Migrazione del servizio di chat / Instant messaging service migration

Maggio 2nd, 2022 by blallo

[English below]

In breve

In data 2022-05-07 faremo un aggiornamento del nostro servizio jabber. In conseguenza di ciò si perderà la storia delle comunicazioni di tutte le chat room.

Un po’ di dettaglio

È da un po’ di tempo che siamo insoddisfatti dello stato del nostro servizio di chat jabber (uno dei servizi che offriamo, compresi nell’account di posta). Provando ad essere sintetici, il motivo è legato alla scelta, forse inadeguata per noi, del tipo di server con cui offriamo questo servizio. Attualmente usiamo ejabberd che, pur essendo un’interessante pezzo di software, è risultato di difficile configurazione e gestione. Un’alternativa esiste: prosody. Abbiamo lavorato nelle ultime settimane ad un piano di migrazione, che comprende anche la migrazione della lista di contatti (il cosiddetto roster) e dei messaggi offline. Speriamo non ci siano intoppi. Posteremo aggiornamenti sullo stato della migrazione alla fine di questo articolo.


[English version]

TL;DR

On 2022-05-07 we will migrate our jabber service. Because of that, the history of all chat rooms will be lost.

Some more detail

It has been a while now that we feel uncomfortable with the state of our chat jabber service (it’s one of the services we offer, together with the email account). Trying to explain in short: the reason is related to the choice we made of the kind of software we use to offer such service. Currently, we are using ejabberd that, although being an interesting piece of software, is tricky to manage and configure. There is an alternative: prosody. Recently, we have worked to a migration plan, that includes the transfer of the roster (the list of known contacts) and of the offline messages. We hope the transition will be smooth. We will post updates at the bottom of this article.


Aggiornamento 1 [2022-05-08]: la migrazione è cominciata con un giorno di ritardo; stiamo procedendo e sistemando alcuni problemi che non permettono l’autenticazione degli utenti al servizio.

Update 1 [2022-05-08]: the migration started one day later; we are fixing some issues that prevent users from authenticating.

Aggiornamento 2 [2022-05-08]: la migrazione è terminata; se incontrate problemi scrivete a help@autistici.org

Update 2 [2022-05-08]: the migration just concluded; in case of any problem, write to help@autistici.org

Sì, abbiamo cambiato la home di noblogs! – yes, we changed the home page of noblogs!

Aprile 28th, 2022 by tilde

Ciao vecchia home… bye bye old home..

http://web.archive.org/web/20170427104505/https://noblogs.org/

 

L’integrità della memoria

Marzo 2nd, 2022 by cavallette
[English version below]
Riceviamo spesso mail di avvocati prezzolati che ci intimano di rimuovere materiali sulla base di interpretazioni discutibili di leggi e regolamenti
Abbiamo accumulato un certo livello di esperienza in materia e in molti casi si tratta di tentativi che sconfinano nell’ambito di veri e propri abusi di potere, finalizzati allo scopo di ripulire reputazioni di persone e aziende.
Quando questo accade ci soffermiamo a pensare come questo tipo di pressione sia efficace in modo inversamente proporzionale alle risorse umane ed economiche di chi riceve richieste del genere, specialmente quando non si tratta di utenti anonimi. È un pensiero che ci dà fastidio oltre a provocare irritazione, anche perché questa dimensione è poco nota ai non addetti ai lavori e quindi spesso sottovalutata, se non completamente sconosciuta.
Non avendo a disposizione le competenze in materia o i mezzi economici per farsi consigliare ed eventualmente difendere è facile cedere alla pressione, spesso per paura di conseguenze legali, e ancora piu’ spesso senza essere certi del fatto che una diffida iniziale possa poi di fatto diventare una vera e propria azione giudiziaria. Ci chiediamo anche come questo tipo di pressione venga gestito dai “giganti” del web. Quale livello di integrità hanno in queste situazioni, in cui la libertà di parola o di dissenso vengono minacciate? Quali distinguo fanno? A parte le tante notizie che denunciano una gestione scandalosa, non abbiamo a disposizione molti altri esempi di metodo applicato in questi contesti. Sappiamo pero’ come spesso, non avendo voglia di porsi domande di tipo etico o di dedicare tempo e/o soldi a possibili problemi legali, si preferisca senz’altro accogliere in maniera acritica le richieste di occultamento di articoli o di chiusura degli account (un esempio recente). La libertà di espressione non è un diritto, specie quando l’utente non è un cliente ma il prodotto da vendere a terzi sotto forma di dati personali. I social networks sono per natura evanescenti…
La nostra promessa è sempre stata quella di mantenere online i contenuti pubblicati dai nostri utenti, indicizzati e fruibili da chiunque voglia informarsi su qualsiasi argomento specifico che un nostro blog o sito voglia affrontare. Come difendere questi materiali dallerosione del tempo? Come fare per mantenere una memoria collettiva dei movimenti? Come tenere fede alla nostro manifesto di (R)esistenza degli anni passati? E sopratutto: come affrontare questo problema collettivamente?
Queste sono domande alle quali forse avevamo dato una possibile, decente risposta oltre 20 anni fa, con Indymedia. Ma nonostante i migliori entusiasmi e un grande ma temporaneo successo, oggi possiamo constatare come in quel caso non abbiamo risolto il problema in modo definitivo.
Alcuni anni dopo avevamo pensato che i blog potessero essere uno strumento in grado di rispondere altrettanto bene a quel tipo di bisogno, in modo esclusivamente tecnico. Stavamo sottovalutando però alcuni aspetti importanti. La cultura legata alla comunicazione è una risorsa collettiva, condivisa e caratterizzata da una forte componente di affinità e fiducia. È un processo fondamentalmente biunivoco: la fiducia deve essere condivisa oppure non c’è. È per questo molto difficile che la fiducia sia il risultato di una soluzione puramente tecnica, cosa peraltro sicuramente impossibile nel caso di una soluzione commerciale. Soprattutto sul lungo periodo.
Questo invece e’ il bisogno a cui pensiamo di essere riuscite a rispondere: quello di garantire l’esistenza di una piattaforma in cui sia le finalità che gli strumenti tecnici siano caratterizzati da un rapporto di fiducia (umana) reciproca. In particolare non una forma di fiducia automatizzata, opportunistica e legata al bisogno di instaurare un rapporto clientelare (siamo volontari e non abbiamo bisogno di utenti), ma una forma di fiducia basata su affinità politica, con l’ambizione di mantenersi intatta nel tempo. In effetti 20 anni non sono pochissimi. Ne parliamo anche con fierezza, ma non solo di orgoglio si tratta: è interessante notare come una iniziativa come la nostra, con finalità prettamente politiche e senza scopi commerciali, sia riuscita a mantenere contenuti online per così lungo tempo. Stiamo diventando, per certi versi, una sorta di archivio storico comune. Il che non è un risultato scontato per un organizzazione come la nostra. Anche per questo ringraziamo gli utenti che ci sostengono economicamente tramite donazioni.
Ci preme mantenere fruibili le pagine internet abbandonate dai progetti che le hanno animate, o aiutare le organizzazioni che hanno difficoltà a mantenere le proprie pagine accessibili e funzionanti nel tempo. Il rischio per questi contenuti è la loro vulnerabilità: la pressione della censura, nelle sue diverse forme, non diminuisce col passare degli anni.
Il nostro impegno per la preservazione dei contenuti storici quindi si concentra su questi tre fronti: fare da argine alle richieste di rimozione dei contenuti, fornire strumenti di pubblicazione sicuri che siano affidabili sul lungo periodo, mantenere un archivio. 
Da qualche tempo abbiamo costruito https://archive.autistici.org/, un archivio storico con annessa Wayback Machine, dove archiviamo automaticamente i siti che risultano abbandonati da molto tempo, per garantirne la sopravvivenza tecnica, la cultura storica e la memoria (esempi: 1, 2, 3).
—-
English version
We often receive emails from hired “mercenary” lawyers ordering us to remove online content based on questionable interpretations of laws and regulations. We have accumulated a certain level of experience on the subject and in many cases these are attempts that border to being real abuses of power aimed at the purpose of revisiting and refreshing personal or enterprise reputations.  When this happens, we stop to think about how this type of pressure is effective in proportion to the resources available to those who make such requests, especially when these threatening letters are aimed at not-so-anonymous users. It is a thought that bothers us and causes us some irritation, also because this dimension is relatively unknown to people not working in this branch and therefore often underestimated (if not completely unknown). Not having the necessary knowledge about the subject or the economic means to get advice and possibly legal defence, it is easy to give in to pressure because of fear of legal consequences, often without being aware of the fact that an initial warning will seldomly become a real judicial action. We also wonder how this kind of pressure is handled by the “giants” of the web. What level of integrity do they have in these situations, where freedom of speech (or dissent) is under threat? Where do they draw the line? Apart from the many news reports that denounce a scandalous management, we have few other examples of the method applied in these contexts. Often, not having the desire to ask themselves ethical questions or to devote time and / or money to possible legal problems, they certainly prefer to conceal articles or close accounts. Freedom of expression is not a right, especially when the user is not a customer but the product to be sold to third parties in the form of personal data. Social networks are ephemeral by nature…
 
Our promise has always been to keep online the contents published by our users, indexed and usable by anyone who wants to find out about any specific topic that one of our blogs or sites wants to address. How to protect these materials from the erosion of time? How to keep a collective memory of the movements? How to keep faith with our manifesto of (R)existence of the past years? And above all: how to address this problem collectively? 
These are questions we may have given a possible, decent answer to over 20 years ago with Indymedia. But despite the best enthusiasm and a great (but temporary) success, today we can see that in that case we did not solved the problem permanently. A few years later we thought that blogs could be a technical tool capable of responding equally well to that type of need, but we underestimated some important aspects. The culture linked to communication is a collective resource, shared and characterized by a strong component of affinity and trust. It is fundamentally a two-way process: trust must be shared or it doesn’t exist. This is why it is very difficult to obtain trust from a purely technical artifact, and certainly impossible in the case of a commercial solution. Especially in the long run. 
The need we think we answered to is in fact securing the existence of a platform in which both the purposes and the technical tools are characterized by a relationship of (human) mutual trust. In particular, not an automatic, opportunistic form of trust linked to the need to establish a customer relationship (we are volunteers and we do not need our users), but a form of trust based on political affinity that has the ambition to remain untouched over time. In fact over 20 years is not a very short time. We also talk about it with pride, but it is maybe more interesting to note how an initiative like ours, with political and non-commercial purposes, has managed to keep content online for such a long time. We became, in some ways, a sort of shared historical archive. This is not common for an organization like ours, and again we have to thank the users who support us financially with their donations. 
We also want to keep usable the internet pages abandoned by the projects that initally produced them, and to help organizations that have difficulties in keeping their pages accessible and functioning over time. The risk for these historical political materials lays in their vulnerability: the pressure of censorship, in its various forms, does not diminish over the years.  Our commitment to the preservation of historical content focuses therefore on these three fronts: acting as a barrier to the requests for content removal, providing safe publishing tools that are reliable in the long term, maintaining an archive.  For some time we have built https://archive.autistici.org/, an historical archive with an attached Wayback Machine, where we automatically preserve sites that have been abandoned for a long time, to guarantee their technical survival, save their historical and cultural value (examples: 1, 2, 3).

Newsletter Autistici / Inventati – 2021

Dicembre 28th, 2021 by ale

[EN / ES versions below]

Rieccoci qua, un altro anno è passato e possiamo festeggiare la nostra buona salute e speriamo anche la vostra.

Siamo ancora travolte da una situazione che da emergenziale sta diventando stabile, una nuova normalità che tutto sommato è purtroppo molto simile alla precedente, solo un po’ peggio. Una realtà fatta di dovute protezioni, ma spesso dedicate più alla salvaguardia del sistema produttivo che non delle persone.

Assistiamo un po’ sgomente al proliferare di distorsioni dell’immaginario della rete come criptomonete ed NFT, o concetti inesistenti come il Web3 o il metaverso, speculazioni che rendono evidente come il vero problema sia sempre il capitalismo che si insinua nelle nostre vite e replica le sue peculiarità. Ma chi spera di guadagnare sul nulla non sta costruendo nulla.

In tutto questo noi continuiamo a fornire strumenti a chi vuole opporsi, lottare, a chi semplicemente non si piega, resiste, a chi non vuole cedere e cerca di costruire qualcosa.

Tutto questo lo facciamo nella speranza che i legami si rinsaldino, che migliori la qualità delle comunicazioni che ci avvolgono e ci aiuti a comprendere meglio l’esistente, perché se è vero che è importante ascoltare molte voci, è altrettanto importante evitare le narrazioni tossiche, e questo si ottiene frequentando i posti dove queste sono tenute lontane. È il motivo per cui esistono i nostri paletti: non vogliamo dare spazio a chi non incarna i principi in cui crediamo, pur garantendo una molteplicità di punti di vista che alle volte mette alla prova la nostra pazienza.

Selezionare i soggetti fidati, quelli di cui riconosciamo il valore delle parole che usano, è un processo indispensabile, complicato dalla velocità e dalla massa di informazioni che riceviamo. Costruire reti fiduciali e mantenerle attive è un processo costante che aiuta a sentirci meno soli e meno sole, aiuta ad arricchire le nostre conoscenze e a gettare le basi per relazioni mutualistiche che sono indispensabili per poter immaginare un futuro migliore.

Le risorse per informarci con il web oggi sono infinite anche se spesso presentano diversi livelli di accessibilità (sia tecnologica che culturale). Aggiungiamo a ciò che alcuni luoghi (come i social network) stanno da tempo semplificando, polarizzando e inquinando le discussioni con informazioni false, sia per malafede da intervento umano sia a causa di precisi comportamenti algoritmici.

Qui di seguito vi forniamo alcune risorse, da noi selezionate, sperando che possano aiutarvi a sviluppare un vostro pensiero critico su alcuni temi di corrente discussione:

* il lavoro, internet, le piattaforme:
https://www.valigiablu.it/grandi-dimissioni-lavoro/
ttps://blog.robutti.me/introduzione-alla-politica-dei-tech-worker

* web3, criptomonete, social network:
https://www.usenix.org/publications/loginonline/web3-fraud
https://www.stephendiehl.com/blog/web3-bullshit.html
https://kylechayka.substack.com/p/essay-digital-nostalgia

* consigli di lettura: un libro, con molti riferimenti alla storia
dell’attivismo digitale in Italia:
http://neural.it/it/2021/12/alessandra-renzi-hacked-transmissions-technology-and-connective-activism-in-italy/

Dal punto di vista gestionale è stato un anno senza scossoni. Non abbiamo avuto grane legali memorabili, ed il lavoro tecnico degli ultimi anni ha
continuato a garantire la stabilità dei servizi offerti.
I servizi attivati l’anno scorso per offrire strumenti di comunicazione durante la fase più dura della pandemia (https://vc.autistici.org per le videoconferenze e https://live.autistici.org per gli streaming) resteranno attivi in quanto ancora regolarmente utilizzati. Abbiamo appena aggiornato il sistema di autenticazione per cui ora è di nuovo
possibile usare le chiavette hardware come dispositivo di login (vedi https://cavallette.noblogs.org/2021/12/9697). Stiamo lavorando per rinnovare un po’ Noblogs e abbiamo qualche idea per nuovi servizi, ma per questo ci risentiremo eventualmente nel 2022.

E per finire ricordatevi che il lavoro per tenere in piedi questa allegra baracca è volontario e volentieri continueremo a farlo, almeno finché continuerete a darci una mano per pagare i server e la banda necessaria per far funzionare questo progetto libero, autogestito, indipendente.

https://www.autistici.org/donate

Un abbraccio

Collettivo Autistici-Inventati


[English version]

Here we go again, another year gone by but we can still celebrate our good health and hopefully yours too.

We’re all still overwhelmed by a situation that is evolving from an emergency to regular day to day life. A state of normality that looks closer to the previous one, but worse. A reality made of necessary constraints and
protections, but which mostly seem to safeguard the stability of the productive system, rather than the safety of people.

We’re astonished at the proliferation of ridiculous distortions of the imaginary of the Net like crypto-coins and NFTs, or vaporware ideas like Web3 and the metaverse. Speculations that demonstrate how capitalism is the underlying issue, infiltrating our lives, replicating its disfunctionalities. But this greed is built on nothing.

Through all this, we keep offering tools to those who want to fight, those who are not resigned, who want to resist, and who want to build something.

We do it in the hope that the ties between us will grow stronger. That the quality of the communication flows around us will improve, helping us to understand better the reality that surrounds us. If it’s true it is important to listen to many voices, it is also important to avoid toxic narratives, and this can be achieved by participating the places where those are kept at bay. This is the reason for our policy: we don’t want to provide space to those who do not share our principles, even while maintaining a diversity of perspectives that sometimes tests our patience.

To select trusted entities, the ones whom we acknowledge the value of the words they use, it’s an essential process, which is complicated by rate and amount of information we receive. To build trusted networks and keep them active is a constant process that
helps to feel less alone, it helps to enrich our knowledge and start new mutualistic relations which are needful to be able to build a better future. The resources to get informed via web today are infinite even though they propose different levels of accessibility (either technological and cultural). On top of this there a places (like the social networks) that are since too long simplifying, polarizing and polluting the debates with false information, either for bad faith from a human intervention or by way of definite algorithmic behaviour.

Here are some resources that we selected, hoping to contribute to inform you on some issues near and dear to our collective hearts:

* work, Internet, big platforms:
https://www.valigiablu.it/grandi-dimissioni-lavoro/ [IT]
https://blog.robutti.me/introduzione-alla-politica-dei-tech-worker [IT]

* web3, cryptocurrencies, social network:
https://www.usenix.org/publications/loginonline/web3-fraud
https://www.stephendiehl.com/blog/web3-bullshit.html
https://kylechayka.substack.com/p/essay-digital-nostalgia

* suggested reading: a book with many interesting references to the history of
digital activism in Italy:
http://neural.it/it/2021/12/alessandra-renzi-hacked-transmissions-technology-and-connective-activism-in-italy/

For the collective, it has been a mostly quiet year. We haven’t had memorable legal issues, and the technical work done in the last few years has paid off by ensuring a smooth operation most of the time.
We have introduced a couple of new services last year, meant to support communications during the hardest part of the pandemic: https://vc.autistici.org for video conferences, and https://live.autistici.org for live streaming. These are being actively used, so we intend to keep them running for the foreseeable future.
We also updated our authentication systems, which now fully support hardware tokens (U2F/FIDO) as a second authentication factor (https://cavallette.noblogs.org/2021/12/9697).
We’re also working a bit to improve Noblogs, and have a few ideas about new services, but you’ll hear more in 2022 about that!

Finally, we’d like to remind you that the work to keep everything running is on a volunteer basis, at least as long as you’ll help us pay for the servers and the bandwidth necessary to keep this project free, self-managed and independent.


[Versión en castellano]

Aquí vamos de nuevo, otro año que se va pero todavía podemos celebrar que gozamos de buena salud y esperamos que tú y los tuyos también.

Seguimos agobiados por una situación que ha pasado de ser una emergencia a hacer parte de la vida cotidiana. Se trata de un estado de normalidad que parece estar muy cerca del anterior, pero es mucho peor: se trata de una realidad en la que las necesarias restricciones y medidas de protección están dedicadas mucho más a la salvaguarda de la estabilidad del sistema productivo que a la seguridad de las personas.

Estamos asombrados ante la proliferación de ridículas distorsiones de los imaginarios de la Red, como las criptomonedas, los NFT o ventas de humo como la Web3 y el ‘metaverso’. Estas son especulaciones que demuestran hasta qué punto el Capitalismo es la cuestión de fondo, cómo infiltra nuestras vidas y de qué formas replica sus disfuncionalidades. Sin embargo, esta codicia está construida sobre la nada y no construirá tampoco nada.

A pesar de esto, seguimos ofreciendo herramientas a quienes quieren luchar, a quienes no se resignan, a quienes quieren resistir y a quienes quieren construir algo nuevo. Lo hacemos con la esperanza de fortalecer los lazos entre nosotros y mejorar la calidad de la comunicación que fluye a nuestro alrededor para ayudarnos a comprender mejor lo existente. Esto, porque si bien es importante escuchar múltiples voces, también lo es evitar narrativas tóxicas y esto solo lo podemos lograr frecuentando los espacios donde estas son mantenidas a raya.

Este es el motivo por el creamos una política de uso apropiado para nuestros servicios: no queremos proveer alojamiento a aquellos que no comparten los principios en los que creemos, pero garantizamos una multiplicidad de puntos de vista aunque esto ponga a prueba nuestra paciencia algunas veces.

Saber en quiénes confiar y distinguir en esas personas y grupos el valor que le dan a las palabras que usamos resulta indispensable, pero a la vez complicado por la velocidad y la cantidad masiva de información que recibimos. Construir redes confiables y mantenerlas activas es un proceso constante que nos ayuda a sentirnos menos solos y menos solas, a enriquecer nuestra conciencia y a sentar las bases de las relaciones mutualistas que son indispensables para imaginar un futuro mejor.

Hoy, los recursos para informarse a través de la Red son prácticamente infinitos, aunque propongan diferentes niveles de accesibilidad, tanto tecnológica como cultural. En la cima de esto existen lugares, como las redes sociales, en los que desde hace tiempo se nos presentan las cosas de una manera que simplifica, polariza y contamina los debates con información falsa, ya sea por mala fe en la intervención humana o por causa de un preciso comportamiento algorítimico.

Estos son algunos recursos que hemos seleccionado con la esperanza de contribuir a la construcción de pensamiento crítico y para que te informes sobre asuntos cercanos a nuestros corazones colectivos:

* Trabajo, Internet, grandes plataformas:
https://www.valigiablu.it/grandi-dimissioni-lavoro/  [IT]
https://blog.robutti.me/introduzione-alla-politica-dei-tech-worker  [IT]

* Web3, criptomonedas, redes sociales:
https://www.usenix.org/publications/loginonline/web3-fraud
https://www.stephendiehl.com/blog/web3-bullshit.html
https://kylechayka.substack.com/p/essay-digital-nostalgia

* [Lectura sugerida] Un libro con muchas referencias interesantes sobre la historia del activismo digital en Italia:
http://neural.it/it/2021/12/alessandra-renzi-hacked-transmissions-technology-and-connective-activism-in-italy/

Para este colectivo ha sido un año casi tranquilo: no hemos enfrentado pleitos legales memorables y el trabajo técnico realizado durante los años anteriores ha garantizado la estabilidad de los servicios que ofrecemos. Asimismo, hemos lanzado algunos nuevos servicios para ofrecer herramientas de comunicación durante la parte más dura de la pandemia: https://vc.autistici.org para videoconferencia y https://live.autistici.org para transmisión en vivo (live streaming). Estos han sido usadas activamente hasta ahora, por lo cual intentaremos mantenerlos funcionando en el futuro. Además, actualizamos nuestros sistemas de autenticación, de forma que ahora soportan tokens de hardware (U2F/FIDO) como un segundo factor de autenticación (https://cavallette.noblogs.org/2021/12/9697). Por si fuera poco, estamos trabajando para mejorar Noblogs y tenemos varias ideas para crear nuevos servicios, ¡pero te contaremos más sobre esto en 2022!

Finalmente, nos gustaría recordarte que el trabajo para mantener todo funcionando está basado en voluntariado, al menos mientras gente como tú nos ayude a pagar por los servidores y el ancho de banda necesario para mantener este proyecto libre, autogestionado e independiente.

2FA

Dicembre 7th, 2021 by ale

[IT]

Oggi abbiamo aggiornato i servizi di autenticazione di A/I. Con questo aggiornamento abbiamo modernizzato il supporto per un secondo fattore di autenticazione hardware (hardware token), che è stato purtroppo semi-rotto per lungo tempo, ed ora è invece nuovamente funzionale al 100%. Con questo aggiornamento sono state anche introdotte delle lievi modifiche all’aspetto del form di login, non vi allarmate!

Le chiavi 2FA hardware sono ormai diventate relativamente economiche, ed offrono il migliore livello di protezione contro phishing e furto di credenziali attualmente disponibile, quindi vi incoraggiamo caldamente ad utilizzarle.

Per associare un token hardware al proprio account, dal pannello si può selezionare “Gestione Account” > “Abilita 2FA” > “Registra un nuovo token hardware“.

 

[EN]

Today we updated A/I’s authentication services to modernize our support for hardware tokens as a second factor for authentication (2FA). The support for hardware tokens had been broken for a long while, but it’s now once again 100% functional. With this change we’ve also introduced some small changes to the layout of the login form – do not be alarmed, this is expected.

Hardware tokens have become relatively affordable, and they offer the best available level of protection against phishing and credential theft, so we strongly encourage you to use one for your account.

To register a new hardware token, from A/I’s user panel select “Account Management” > “Enable 2FA” > “Register a new hardware token“.

Server maintenance

Ottobre 11th, 2021 by ale

Edit: Problema risolto/Issue solved

[IT] Uno dei nostri server ha avuto un piccolo problema hardware. Mentre il problema viene risolto, alcune caselle di posta risultano irraggiungibili. Cercheremo di risolvere al più presto.

[EN] One of our servers is having a bit of hardware issues. While the issues are being resolved, some email accounts will be unreachable. We’re trying to get this solved as soon as possible.

Dismissione dell’Hidden Service Tor / Deprecating our Tor Hidden Service

Giugno 29th, 2021 by blallo

English version below

[IT]

Cosa sta succedendo?

Presto smetteremo di offrire i nostri servizi anche su un Hidden Service Tor dedicato. Non vi preoccupate! Riuscirete ancora ad usare Tor con A/I, solo non passando per l’Hidden Service.

Abbiamo dovuto riconoscere che da un po’ di tempo non stiamo gestendo al meglio il nostro Hidden Service, e che non possiamo permetterci lo sforzo abbastanza considerevole di migliorare questa gestione. Questa decisione è stata ampiamente discussa all’interno del collettivo e siamo giunti alla conclusione che la soluzione migliore per noi e per i nostri utenti sia la dismissione dell’Hidden service.

Le ragioni che sottendono questa decisione sono squisitamente tecniche e le spieghiamo in dettaglio più avanti nel post, per quell@ abbastanza interessat@, ma si riducono a questo: abbiamo costruito la nostra infrastruttura di autenticazione in un modo che rende complicato supportare contemporaneamente “lo spazio dei nomi internet” e “lo spazio dei nomi .onion“. Questo sistema di autenticazione è fondamentale, perché offre una serie di meccanismi di sicurezza implementati dai browser moderni che riteniamo importante avere. Farli funzionare in entrambi i “mondi” ci richiederebbe un considerevole impegno a fronte di quello che crediamo sia un miglioramento limitato.

Potete ancora usare Tor con A/I (e vi incoraggiamo a farlo), visitando direttamente i nostri servizi www.autistici.org, mail.autistici.org o il nome appropriato, invece di usare il nostro vecchio indirizzo .onion, ricordando però di validare il certificato SSL!

Per la spiegazione tecnica dettagliata, continuate a leggere!

Perché ora?

Nessuno dei problemi di cui discuteremo più avanti è una novità, sono già stati ampiamente discussi e le persone che lavorano con Tor ne sono ben al corrente. Quindi perché questa decisione da parte nostra proprio adesso? In effetti il momento coincide con la dismissione dei vecchi Hidden Service V2, condizione che ci ha fatto valutare nuovamente la condizione del nostro Hidden Service che è stato ampiamente trascurato a seguito dell’ultima revisione architetturale dei nostri servizi di qualche tempo fa. Il nostro Hidden Service era in pessime condizioni: la sovrapposizione che ha con il layer SSL incoraggiava gli utenti a tenere pratiche di sicurezza malsane (ad esempio, ignorare completamente tale layer), e comunque il sito web non era utilizzabile attraverso l’indirizzo .onion. Abbiamo deciso di sistemare definitivamente questa situazione.

Qual è il problema?

In ciò che segue, assumiamo che abbiate una certa familiarità con concetti tecnici quali HTTP, cookie, funzionamento interno del browser, ecc.

Il cuore del problema nasce dallo stretto accoppiamento tra il dominio di sicurezza del browser e lo spazio dei nomi (quello internet e quello .onion accennato prima) usato per accedere ai servizi. La problematica nasce quando si prova a servire entrambi gli spazi di nomi contemporaneamente come nel caso di gruppi che, come noi, offrono gli stessi servizi via Internet e via Hidden Service.

Consideriamo il sistema di autenticazione che stiamo usando. Esso fornisce una funzionalità di single sign-on e, come molti servizi simili, si basa molto fortemente sui cookie e, ancora più problematicamente, sui redirect HTTP. Se l’endpoint che deve essere autenticato non ha cognizione dello spazio di nomi utilizzato per raggiungerlo, esso redirigerà ciecamente l’utente non autenticato verso il servizio di login su Internet (e non su quello .onion), commettendo una violazione di dominio che potrebbe essere molto indesiderata per l’utente. Aggiungere questa logica (la capacità di distinguere lo spazio dei nomi di origine) ad ogni endpoint autenticato necessita di una quantità di lavoro molto significativa da parte nostra, senza contare l’aumento di complessità del sistema. La conseguenza sarebbe di finire con due sistemi di autenticazione separati (e fondamentalmente incompatibili, come spiegato più avanti).

Questo stesso sistema di autenticazione offre la possibilità (e incoraggia) ad usare dei cosiddetti hardware token (dispositivi fisici) per l’autenticazione a due fattori. Anche questi dispositivi sono strettamente legati al dominio del sito visitato, quindi un utente dovrebbe registrare il proprio hardware token due volte per i due spazi di nomi. Ma questo non è possibile, perché all’atto della prima registrazione il sistema avrebbe già associato un hardware token all’account [to be clarified], quindi per poter fare il login adesso via Hidden Service c’è bisogno di un hardware token legato allo spazio dei nomi in chiaro. Problemi simili li avrebbero i password manager.

Al momento quindi fornire i nostri servizi via Hidden Service non è praticabile. Questa necessità di duplicare completamente il sistema di autenticazione risulterebbe in un sistema mal funzionante nel migliore dei casi e in uno insicuro nel peggiore. Ci siamo chiesti, di fronte alla considerevole quantità di lavoro necessaria per affrontare i problemi illustrati poc’anzi, se ne valesse la pena. Negli ultimi 10 anni l’ecosistema SSL delle Certification Authority è significativamente migliorato, sia perché molte più persone si affidano all’integrità dell’infrastruttura di certificazione sia grazie alla nascita di servizi come Letsencrypt. Forse affidarsi ad SSL è diventato meno irragionevole di un tempo.

Considerando le nostre risorse limitate, preferiamo non supportare il caso d’uso dell’Hidden Service, piuttosto che farlo in maniera impropria o errata. Questa decisione non è stata presa a cuor leggero, alcun@ di noi sono avid@ utenti di Tor.

Ritorneremo periodicamente su questa decisione e sui compromessi affrontati prima, e saremo felici di riconsiderare la nostra decisione, se le circostanze (tecniche e non solo) cambieranno in futuro. Se per esempio il naming layer API venisse nativamente supportato da Tor e da Tor Browser Bundle, potremmo più facilmente riconsiderare la nostra posizione.

Grazie per la pazienza e per il supporto.

Domanda: posso ancora usare Tor per connettermi ai vostri servizi?

Certamente! Stiamo solo sospendendo il nostro Hidden Service (servito su .onion). Sui vostri client che usano Tor, potete benissimo continuare ad usare i nostri servizi, solo sostituendo il .onion con i nomi dominio internet www.autistici.org, mail.autistici.org o il nome appropriato, e ricordando di validare i certificati SSL.

Domanda: e per quel che riguarda i servizi non web

L’obiezione è lecita: perché ritirare l’Hidden Service anche per quei servizi che non usano HTTP come trasporto (come ad esempio la chat XMPP e i servizi mail via IMAP/SMTP)? La dimensione del problema qui è minore, ma alcuni dei problemi menzionati prima si applicano anche in questo caso, in maggior parte a causa della sovrapposizione tra il layer SSL e quello Hidden Service per la gestione della fiducia. Preferiamo avere un unico approccio consistente nell’uso dei nostri servizi via Tor.


[EN]

What is happening

We will soon stop offering our services on a dedicated Tor Hidden Service address. Don’t worry, you will still be able to use Tor with A/I, just without the Hidden Service!

We’ve come to recognize that for a while now we haven’t been doing a great job at running Hidden Services, and that we can’t afford the (considerable) effort to do it well. This decision has been debated for some time in the collective, and we came to the conclusion that dismissing the Hidden Service is the best way forward for us and for our users.

The reasons behind this decision are technical and are explained in detail below, for those interested enough, but they boil down to this: we have built our authentication system in such a way that it would be difficult and cumbersome to support both “the Internet name space” and “the .onion name space”. We consider the authentication system very important, it offers a lot of modern browser safety features we care about. Making it function properly in both “worlds” would take considerable amount of work, for what we think would be very little gain.

You can, and should, still use Tor with A/I, just by using www.autistici.org, mail.autistici.org or the appropriate service name in place of the old .onion address, and remembering to validate the associated SSL certificates.

For the detailed technical explanation, see below!

Why now?

None of the following issues are new, as they all have been discussed already and the people working with Tor are familiar with them. So why are we taking this decision now? Well, the timing is coincidental with the deprecation of V2 Hidden Services, which made us consider again the state of our Hidden Service, which had been largely neglected since our latest architectural changes of a few years ago. This state wasn’t good: the overlap of Hidden Services and SSL encouraged the adoption by users of bad security practices (by ignoring the SSL layer), and the web site wasn’t functional at all. We decided that this situation had to be cleared up.

What is the problem

We’re going to assume familiarity with the technical concepts discussed here such as HTTP, cookies, inner workings of the browser, etc.

The problematic issues stem from the strict coupling between the browser’s security domains, and the namespace used to access the websites (the Internet one, or the .onion one). The issues arise once one tries to serve both namespaces at once, as it is the case for groups like ours who are offering the same services both on the Internet and on a Hidden Service.

Let’s consider the authentication system we are using. It provides single sign-on functionality, and like many similar systems, it relies heavily on cookies and, more problematically, on HTTP redirects. If the endpoint under authentication is not aware of the namespace used to reach it, it will blindly redirect the user to a non-onion login server, committing a domain violation which may be very undesirable for the user. Adding this awareness logic to each and every authenticated endpoint is a significant amount of work, and a noticeable increase in the overall complexity of the system. We would fundamentally end up with two separate (and largely incompatible, see below!) authentication systems.

The same authentication system makes use (and encourages) of hardware tokens for 2FA. These are also strictly bound to the web site’s domain name, so a user would need to register the same hardware token twice, once on the public site, once on the onion site. Except that they won’t, because now there’s a hardware token required for the second login, which can’t be validated on the other site yet! Password managers will have a similar problem.

Another surprising aspect in which namespace binding breaks our single sign-on system concerns logouts: the duplication of authentication systems would mean that, if you are logged in on both the public web site and the onion one, logging out from one will not log a user out from the other. This is not surprising if one considers that there is nothing that says that these two authentication systems are in fact related to the same website.

So, at the moment, serving our website over Hidden Service is not really an option. This complete duplication of the authentication system would result in a badly-functioning system at best, an insecure one at worst. When facing the considerable amount of work that it would take to solve the above-mentioned issues, and even if one is willing to ignore the impact of the associated increased complexity, it is worth asking if it would be worthwhile at all? In the last decade the SSL ecosystem of Certification Authority has significantly improved, both because a lot more people rely on the integrity of the certificate infrastructure and because of the appearance of services like Letsencrypt, so perhaps relying on SSL is less unreasonable now than it used to be.

Considering our limited resources, we prefer to not support the Hidden Service use case for the time being, rather than doing it badly and in a broken fashion. This decision has not been taken lightheartedly. Some of us are avid Tor users and support this technology.

We will periodically re-evaluate the trade-offs mentioned above, and will happily reconsider our decision if the circumstances (technical or otherwise) change in the future. For example, we will reconsider our decision if the naming layer API is supported natively by Tor and the Tor Browser Bundle.

Thanks for your patience and support.

Q: Can I still use Tor to connect to your services?

Absolutely yes! We are just suspending the .onion Hidden Service. Just use the Internet names for our services, www.autistici.org, mail.autistici.org or the appropriate service name in place of the old .onion address, with any Tor-enabled client, and remember to validate the associated SSL certificates.

Q: What about non-web services

The objection is legit: why take away the hidden service endpoint for those services that are not HTTP-based (like, for example, the XMPP chat service or the IMAP/SMTP email services). The problem space here is simpler, but some of the concerns mentioned above apply to these services too, mostly due to the overlap of the Hidden Service and SSL trust layers. And we would like to have one single consistent approach for using our services over Tor.

Manutenzione Noblogs / Noblogs Maintenance

Maggio 15th, 2021 by lucha

[IT]

Aggiornamento: La manutenzione è terminata, Noblogs è di nuovo in funzione.

Nei giorni del 15 e 16 maggio 2021 ci saranno degli aggiornamenti a Noblogs che ci obbligano a sospendere temporalmente la possibilità di pubblicare nuovi articoli. Anche la lettura dei blog potrebbe non funzionare per alcune ore, ed in generale vi consigliamo di non accedere finché la manutanzione non sarà terminata.

Vi terremo aggiornat* sull’andamento dei lavori. Per favore, aspettate almeno fino al giorno 17 maggio per segnalarci dei problemi con Noblogs: non ci bombardate di segnalazioni mentre ci stiamo lavorando sopra!

[EN]

Update: Maintenance is over, Noblogs is up and running once more!

During the days of May 15th and 16th 2021 we are planning an update to Noblogs that will force us to temporarily suspend the publishing of new blog posts. Expect generalal unavalaibility of the service during these days, and please avoid accessing it until the manteinance is over.

We will keep you updated. Please, wait until May 17th before contacting us about any issue you are facing with Noblogs: we are most probably working on it, and it might get fixed soon.

[ES]

Actualización: Hemos terminado la manutención, Noblogs ya está funcionando normalmente!

En los días del 15 y 16 de Mayo 2021 vamos a efectuar una actualización de Noblogs, que nos obliga a suspender temporalmente la posibilidad de creare nuevas entradas y posts. Es también posible que para unas horas no sea posible acceder al servicio de ninguna forma (ni siquiera solamente para leer), así que os aconsejamos de no usarlo hasta que la manutención se haya terminado.

Os vamos a tener informad*s sobre el estado de la situación. Por favor, esperar al día 17 para contactarnos sobre eventuales problemas con Noblogs, ya que es probable que ya estamos trabajando en ellos!

25 Aprile 2021

Aprile 25th, 2021 by bombo

Come ogni anno ci preme ricordare questa data, promessa di liberazione dal fascismo in parte avverata. In parte perche’ purtroppo ancora oggi abbiamo troppi esempi di ignoranza fascista nelle nostre strade e nei palazzi.
Del resto i partigiani erano molto pochi rispetto agli antifascisti del dopo guerra, molti han goduto dell’eroismo di pochi.
Noi, per non dimenticare quei pochi, proponiamo dal nostro archivio le loro memorie a questo indirizzo: https://live.autistici.org/#25aprile.

Questo l’elenco di materiali che andranno in loop durante la giornata: