Mastodon Feed
Reblogged by jsonstein@masto.deoan.org ("Jeff Sonstein"):
openculture@toot.community ("Open Culture (Official)") wrote:
How David Lynch Got Creative Inspiration? By Drinking a Milkshake at Bob’s Big Boy, Every Single Day, for Seven Straight Years
https://www.openculture.com/2018/08/how-david-lynch-got-creative-inspiration.html
Mastodon Feedjsonstein@masto.deoan.org ("Jeff Sonstein") wrote:
have finally figured out how to completely replace apache w my seekret project, going to test the code Real Soon Now. dev steps are going slower, as our Housepanther has inoperable cancer. Oscar has stopped drinking water & stopped eating kibble. he cannot swallow without discomfort.
we have been hand-feeding him baby food every hour or two, just to get some water & nourishment into him. the culturing results are back, and we are waiting to hear from the Vet on how fast he is likely to go. 💦
Mastodon FeedReblogged by jsonstein@masto.deoan.org ("Jeff Sonstein"):
jeff@newsie.social ("Jeff (of the internet)") wrote:
This is the situation.
Mastodon Feedjsonstein@masto.deoan.org ("Jeff Sonstein") wrote:
strongly agree
Mastodon FeedReblogged by jsonstein@masto.deoan.org ("Jeff Sonstein"):
Nonya_Bidniss@infosec.exchange ("Nonya Bidniss :CIAverified:") wrote:
The U.S.A.
A country packed to the gills with tremendous dumbfucks who've chosen to invite corruption the likes of which the earth has never seen, chosen to have all social safety nets, as well as probably bank accounts robbed under their noses, chosen in a fit of pique a bloody tsunami of suffering, hate, lawlessness, and violence.
When your neighbors and coworkers you know to be MAGA shits-for-brains start complaining bitterly that "he's not hurting the people he's supposed to hurt" I hope you have a snappy rejoinder prepared.
Mastodon FeedReblogged by jsonstein@masto.deoan.org ("Jeff Sonstein"):
QasimRashid ("Qasim Rashid, Esq.") wrote:
Absolutely wild to watch billionaires lined up behind Trump at the inauguration. MAGAs actually believe a billionaire who has never struggled a day in his life, and got elected with support from the worlds wealthiest and most exploitative billionaires, will actually do anything to serve them. smh
Mastodon Feedpzmyers@octodon.social ("pzmyers 🦑") wrote:
Another memecoin on top of all the horrible things he proposes by executive order, like declaring there are only two sexes and killing DEI and sending the army to end immigration. He's evil, plain and simple.
https://freethoughtblogs.com/pharyngula/2025/01/20/i-have-got-to-turn-off-the-news-now/
Mastodon Feedjsonstein@masto.deoan.org ("Jeff Sonstein") wrote:
okay, I can live with that... threads.net has been blocked by my server admin for a$$holishness, and I have lost 4 connections:
potus@threads.net
gtconway3@threads.net
vincedmonroy@threads.net
ben.werdmuller@threads.net
Mastodon FeedReblogged by jsonstein@masto.deoan.org ("Jeff Sonstein"):
Meanwhile, Trump is expected to issue a record number of executive orders on his first day in office. Under Obama, Conservatives counted every EO and screamed it was a sign he was an undemocratic leader. Now, MAGA welcomes it.
Nothing about this is politics as usual. It's difficult to imagine what the next four years will be like. Protect yourself and those you love.
Mastodon Feedjsonstein@masto.deoan.org ("Jeff Sonstein") wrote:
Fook Snow
Winter's heavy drifts,
Endless shoveling ahead,
Muscles ache, hearts warm.
Mastodon FeedReblogged by keul@fosstodon.org ("Luca Fabbri"):
cybersecurity@poliverso.org ("Cybersecurity & cyberwarfare") wrote:
Attacco Al Comune di Ferrara: Intervista a Massimo Poletti. Quando La Trasparenza fa la Differenza
In Italia, la gestione degli incidenti di sicurezza informatica è spesso avvolta da un velo di reticenza e silenzi imbarazzanti. La mancata trasparenza verso clienti e stakeholder, percepita da alcuni come una strategia di protezione, rischia di trasformarsi rapidamente in una trappola: un’ondata di diniego e sfiducia che può colpire duramente la reputazione di un’organizzazione. In questo contesto, il caso di Massimo Poletti emerge come un esempio virtuoso e raro, dove la trasparenza ha fatto notizia rispetto ad un mare di riserbo.
Nel 2023, Poletti ha saputo affrontare con grande integrità e chiarezza una delle crisi più complesse nella storia del Comune di Ferrara colpito da un attacco ransomware sferrato dai criminali di Rhysida: un grave attacco informatico che ha paralizzato i sistemi dell’amministrazione. La sua decisione di adottare una comunicazione trasparente, coinvolgendo cittadini e partner in ogni fase della gestione dell’emergenza, ha rappresentato un cambio di paradigma per il settore. In un Paese dove spesso si preferisce nascondere il problema, Poletti ha dimostrato che solo affrontando apertamente queste sfide si può ripristinare la fiducia e costruire relazioni solide.
Non sorprende, quindi, che il suo operato sia stato riconosciuto a livello nazionale con il premio di Miglior CISO, assegnato per il suo approccio innovativo e coraggioso. In questa intervista esclusiva di Red Hot Cyber, ripercorriamo con Massimo Poletti i momenti salienti della sua gestione degli incidenti al Comune di Ferrara, esplorando le sfide affrontate, le decisioni prese e il messaggio che il suo esempio può dare a tutte le organizzazioni che si trovano ad affrontare l’imprevedibile.
Su queste pagine spesso abbiamo affrontato il tema del “crisis management” applicato agli attacchi informatici, evidenziando come una crisi possa trasformarsi in un’opportunità. In Italia, questa disciplina rimane ancora poco conosciuta in ambito cybersecurity, ma rappresenta un elemento chiave per gestire e mitigare le conseguenze di un attacco. Inoltre, analizzare a fondo lo svolgimento di un attacco consente a tutti di trarre preziose “lessons learned”, contribuendo a migliorare la resilienza collettiva.
Prepariamoci a immergerci in un “incidente di rilievo”, narrato direttamente da chi lo ha vissuto in prima persona. Una testimonianza che dimostra come la “comunicazione trasparente” possa trasformarsi in una strategia efficace a supporto della sicurezza informatica, offrendo preziose lezioni per affrontare le sfide del cybercrime.
L’intervista a Massimo Poletti
1 – RHC: Ing. Poletti, innanzitutto, la ringraziamo per aver accettato questa intervista. Sappiamo quanto possa essere difficile raccontare di un attacco informatico subito, ma crediamo che questa sia una straordinaria dimostrazione di responsabilità e di condivisione. La sua esperienza rappresenta un’occasione unica per permettere ad altre aziende e pubbliche amministrazioni di comprendere meglio cosa è accaduto, quali errori evitare e quali lezioni trarre. In Italia, purtroppo, manca ancora una vera cultura del “lesson learned”, ma riteniamo che parlare apertamente di episodi come questo sia essenziale per far luce sulle dinamiche degli incidenti e contribuire al miglioramento dell’intero sistema Paese. Secondo lei quanto è importante parlare degli attacchi subiti?
Massimo Poletti: La primissima fase dell’incidente è spesso decisiva per i successivi sviluppi nel recupero dei dati e nel ripristino dei servizi. La condivisione permette, e me lo hanno confermato molti colleghi, di avere le idee più chiare su come muoversi nel caso di un evento infausto di questo tipo. Dal punto di vista degli stakeholder (cittadini o clienti ma anche utenti interni, da non trascurare) la trasparenza e una comunicazione costante, opportunamente gestita tenendo conto di quanto deve rimanere riservato, permette di fare capire che sta sempre succedendo qualcosa e che la situazione di giorno in giorno migliorerà. Questo creerà un senso di fiducia reciproca utile per tutti. Infine, le lezioni apprese specie in un evento complesso quale il nostro che ha richiesto per la sua risoluzione completa, comprendendo il rapporto con l’Autorità Garante per la Tutela dei Dati Personali, circa nove mesi rappresentano secondo me un patrimonio informativo che i colleghi possono utilizzare per aumentare la consapevolezza e magari per adattarlo alle proprie situazioni.2 – RHC: Al momento delle sue dichiarazioni sul cyber attacco, qual è stata la reazione al Comune di Ferrara? Si sono irrigiditi o le hanno chiesto di aspettare prima di comunicare?
Massimo Poletti: Opero in un Comune dove la comunicazione è molto curata. Con i nostri comunicatori c’è stata subito una piena sintonia e una suddivisione dei compiti. Io ho fatto informazione tecnica su LinkedIn, loro sui canali social e ovviamente sul sito istituzionale, misura quest’ultima sempre richiesta dal Garante.
È stato subito chiaro che dovevamo avere noi il pallino in mano, quindi già nella mattina dell’incidente è uscito il primo comunicato stampa. Sarebbe stato evidente in breve tempo che qualcosa non andava, non potevamo permetterci di lasciare a terzi il primo lancio della notizia.3 – RHC: Ora che è passato del tempo, possiamo affrontare il tema con maggiore chiarezza: la cyber gang Rhysida, che vettore di attacco hanno usato? Un RDP esposto? Una email di Phishing? Sapere queste informazioni, dal punto di vista tecnico, a nostro avviso servono tanto a rafforzare le nostre difese informatiche. Ci racconti tecnicamente.
Massimo Poletti: Generalmente nei playbook da seguire nelle risposte agli incidenti si dice di disconnettere i dispositivi dalla rete e di non spegnerli in attesa di un esame forense. Tuttavia io dovevo fare ripartire rapidamente i servizi e quindi non è stato possibile individuare il paziente zero. Da evidenze rilevate su diversi sistemi analizzati il team forense è giunto alla conclusione che la causa sia stato un phishing che ha permesso di installare un malware il quale, tramite movimenti laterali, ha compromesso il dominio. Teniamo presente che il dominio AD, come spessissimo si rileva, è frutto di numerosi aggiornamenti che partono da Windows 2000 o addirittura NT. Inoltre negli anni 2000 molti applicativi non funzionavano se l’utente locale non era anche amministratore per cui una di queste persistenze ha permesso all’utente di installare il malware.4 – RHC : quanto è stato difficile convincere tutti che la trasparenza fosse la strategia giusta? In Italia, spesso, prevale la reticenza nel comunicare gli incidenti di sicurezza. Pensa che il suo approccio possa segnare (o aiutare a segnare) una svolta?
Massimo Poletti: Non avevamo un piano predefinito nel senso di un playbook, avevamo tuttavia un buon livello culturale che ci ha permesso di fare i passi ragionevolmente giusti. Per fortuna io cerco di rimanere costantemente aggiornato e sulla gestione incidenti avevo letto parecchie cose che poi ho applicato.5 – RHC: Quando Rhysida si è manifestato, come vi hanno contattato? Solo tramite una ransom note o anche via email o altri canali? Ha notato un approccio diverso rispetto ad altri attacchi noti?
Massimo Poletti: La gang si è palesata solamente con una schermata sui sistemi che sono stati cifrati e un file pdf sul disco. L’approccio è stato quindi quello classico minimale.6 – RHC: Quanto tempo è stato necessario per ripristinare completamente i sistemi e tornare alla piena operatività? Ci sono stati dei momenti critici durante il processo di ripristino?
Massimo Poletti: Il vero momento critico è stata la scoperta che i backup erano stati compromessi. Si mette in evidenza che i backup non erano in line, bensì presso la in house e la console di gestione era raggiungibile solo tramite VPN. Ebbene, in qualche modo sono state esfiltrate le credenziali della VPN e vi garantisco che il mio sistemista non fa file di password né mette post it sul monitor. Evidentemente nel dwell time sono stati installati dei keylogger. Putroppo in quel periodo non era disponibile la 2FA per raggiungere il sistema di backup, né la modalità immutabile. Ora questa carenza è stata sanata. Per i tempi posso dire che a seguito dell’attacco il 12 luglio per fine mese avevamo tutti i servizi con alcune stazioni di lavoro bonificate e funzionanti mentre per inizio settembre tutte le oltre 1000 postazioni erano in esercizio. Il periodo di ferie ha sicuramente mitigato i possibili disservizi.7 – RHC: Quali servizi del Comune sono stati maggiormente colpiti dall’attacco? Per quanto riguarda la continuità operativa, le persone riuscivano comunque a lavorare o ci sono state interruzioni significative?
Massimo Poletti: Fortunatamente il lavoro di spostamento degli applicativi in cloud (sia SaaS puro che ibrido presso la in house) iniziato nel 2019 ben prima dell’avviso PNRR ha fatto sì che dal punto di vista applicativo si sia fermato ben poco. Solo un server non ancora migrato era in esercizio nel datacenter interno.
I servizi applicativi erano quindi quasi tutti funzionanti per gli accessi da internet. Ovviamente essendo la rete interna bloccata lo era tutto il backoffice. Le prime stazioni di lavoro sono state attrezzate in modo da accedere a internet tramite modalità alternative, specialmente per l’applicativo documentale e quello del personale. Il blocco completo è durato solo alcuni giorni.8 – RHC: In alcuni post LinkedIN di fine 2023, ha affermato, ringraziando, di aver ricevuto supporto da ACN e CSIRT Italia, per la fase di recupero dati. Ci può fornire qualche dettaglio a tale proposito ed indicare quali siano ad oggi, se presenti, i rapporti tra ente Comune di Ferrara e ACN / CSIRT (come ad esempio analisi di IoC di attacchi noti o altro)?
Massimo Poletti: Ho ritenuto, benchè non obbligatorio e anche poco noto, di fare la segnalazione dell’incidente ad ACN. Con mia sorpresa, lo confesso, sono stato immediatamente contattato dal loro CSIRT il quale ha iniziato un’interlocuzione con un mio sistemista che ha portato al recupero completo dei dati. Se oggi andiamo sul sito nomoreransom.org troviamo il decryptor anche per Rhysida. Per cui consiglio sempre a tutti di fare la segnalazione. Se ACN può aiutare lo farà. Per gli enti nel perimetro di sicurezza cibernetica nazionale interviene anche in loco con una task force, per gli altri lo fa da remoto o fornisce dei tool. Oggi il rapporto è terminato ma come è noto sono nati i CSIRT regionali che hanno preso in carico gli enti del territorio. Qui in Emilia-Romagna il CSIRT è gestito da regione e in house Lepida Scpa, io faccio parte del comitato tecnico. Eroga diversi servizi ai soci, per il momento gratuitamente in quanto finanziati dal PNRR. Tra questi il servizio di pronto intervento a seguito di attacco e l’analisi constante e la segnalazione delle vulnerabilità.9 – RHC: È stato chiesto un riscatto? Se sì, a quanto ammontava la richiesta? Avete considerato di pagare o è stato escluso sin da subito?
Massimo Poletti: Il riscatto è stato chiesto, tuttavia anche su consiglio della Polizia Postale non abbiamo contattato la gang. Il pagamento di un riscatto è stato escluso fin dal primo momento, e non solo per motivi legali ma anche etici.10 – RHC: Dopo l’attacco, quali sono stati i principali miglioramenti o cambiamenti che avete avviato per rafforzare la sicurezza informatica del Comune? Avete coinvolto esperti esterni o formato maggiormente il personale interno?
Massimo Poletti: Devo dire che siamo stati sfortunati, ma Murphy è sempre in agguato. Avevamo pronto un progetto sulla sicurezza (piattaforma, sonda, SOC, EDR, VPN 2FA, assistenza remota, ecc.) per il budget 2024 ma siamo stati attaccati prima. A quel punto, superata la fase di ripristino, il progetto è stato attivato in tempi brevi.
Ritengo però che il principale miglioramento sia stato il ricreare da zero tutta l’infrastruttura di dominio e le policy di firewall. In questo modo abbiamo eliminato tutta la sporcizia: utenze amministrative e policy obsolete, utenti amministratori del proprio PC, ecc. I servizi sono stati affidati a società di provata esperienza e reputazione utilizzando per la maggior parte convenzioni di acquisto. Il personale interno è molto bravo ma a mio parere è sottodimensionato. Questo però è un problema comune a tantissime PA e non solo.11 – RHC: Alla luce della vostra esperienza, cosa consiglierebbe di fare ad altri comuni per prepararsi a un attacco informatico, considerando che non è una questione di “se accadrà”, ma di “quando”?
Massimo Poletti: Per non fare una lunga lista indico in prima battuta:
- avere un contratto che permetta di attivare il Response Team (devono arrivare al massimo in un paio d’ore)
- tenere pronto e accessibile un inventario di sistemi, procedure, servizi, fornitori, apparati di rete, ecc.
- stabilire priorità nel ripristino dei sistemi. Da noi la prima priorità è stata il pagamento degli stipendi
12 – RHC: Qual è stato il punto più critico durante la gestione dell’incidente e come siete riusciti a superarlo? Ha avuto il supporto di tutto il team o ci sono stati attriti?
Massimo Poletti: Il punto più critico è stato apprendere che i backup erano compromessi. Per fortuna dopo qualche giorno di angoscia abbiamo potuto iniziare il recupero dei dati.13 – RHC: Come ha gestito la comunicazione con i cittadini e gli stakeholder durante questa crisi? C’è stato un momento in cui ha temuto che la trasparenza potesse ritorcersi contro di voi?
Massimo Poletti: Il rapporto con gli stakeholder è stato gestito dall’ufficio comunicazione con il quale ho lavorato a stretto contatto forte di un solido rapporto. Insieme abbiamo deciso cosa comunicare e loro come e dove comunicarlo. Per quanto riguarda la comunicazione sul sito istituzionale abbiamo anche concordato con il DPO alcune comunicazioni agli interessati. Francamente non ho mai pensato che la trasparenza potesse ritorcersi contro di noi.14 – RHC: Ritiene che il suo approccio trasparente abbia contribuito a migliorare la percezione e la fiducia verso il Comune di Ferrara? Ha ricevuto feedback positivi dai cittadini o dalle istituzioni come ad esempio il premio come Miglior CISO da noi ripreso. Una onorificenza davvero importante a nostro avviso.
Massimo Poletti: Credo che il nostro approccio abbia migliorato la nostra reputazione e spesso veniamo indicati come esempio di buona gestione di un incidente. Un riscontro positivo lo si può rilevare dalla bassissima quantità di accessi agli atti che c’è stata da parte dei cittadini. Evidentemente si è creato un clima di fiducia che ha portato a fidarsi di quanto abbiamo comunicato. Ovviamente nei casi più delicati c’è stata una comunicazione ad personam. Oltre al premio di miglior CISO, assegnatomi da una giuria di settore, personalmente è stato graditissimo il premio di “Ferrarese dell’anno 2024” che mi è stato assegnato nel tradizionale sondaggio che un quotidiano locale tiene alla fine di ogni anno. Il fatto che un informatico abbia battuto diverse personalità cittadine dà grande orgoglio e mi permette di sottolineare che è un premio per tutto il mio team e per tutta la comunità IT che lavora nell’invisibilità15 – RHC: Se dovesse riassumere in tre consigli pratici come affrontare un attacco ransomware, quali potrebbero essere?
Massimo Poletti: 1) Agire con decisione, mantenendo nella comunicazione un tono tranquillo di chi sa perfettamente cosa fare. Il leader determinato è rassicurante 2) Suddividere il coordinamento della parte tecnica da quello della parte gestionale-organizzativa. Nel nostro caso io mi sono occupato della seconda, mentre il mio Team Leader ha gestito la parte tecnica. I tecnici devono essere disaccoppiati dall’esterno 3) Organizzare un comitato di crisi ristretto, che possa prendere rapidamente decisioni e dare disposizioni all’interno dell’azienda16 – RHC: Anche alla luce delle lessons learned, c’è qualcosa che avrebbe voluto fare diversamente nella gestione di questo attacco o che avrebbe preferito avere predisposto prima dell’attacco per ridurne gli effetti? Con il senno di poi, cambierebbe qualche decisione presa pre o post attacco?
Massimo Poletti: Francamente stavamo già facendo passi avanti. Lo spegnimento del datacenter e l’implementazione del nuovo pacchetto sicurezza erano già previsti per il 2024.
Posso solo dire che mi è dispiaciuto dovere revocare le ferie a collaboratori che avevano già le prenotazioni fatte e che hanno perso l’unica occasione che avevano per andare in ferie con la famiglia, ma non avrei potuto fare altrimenti.17 – RHC: ringraziamo molto l’Ing. Poletti per questa intervista e le rinnoviamo ancora la stima per aver fatto quello che in Italia è ritenuto come il male ovvero essere trasparenti all’interno di una gestione di un incidente di Sicurezza informatica. C’è qualcosa che vuole dire i nostri lettori?
Massimo Poletti: Posso solo aggiungere che nel corso del 2025 raggiungerò i limiti di età per il collocamento a riposo. Mi auguro innanzitutto che l’Amministrazione della mia città possa programmare un brillante futuro per il mio servizio. Per quanto riguarda il mio futuro cercherò nuove modalità per continuare a diffondere la cultura digitale in generale e della sicurezza in particolare. Non finirò certamente sul divano!L'articolo Attacco Al Comune di Ferrara: Intervista a Massimo Poletti. Quando La Trasparenza fa la Differenza proviene da il blog della sicurezza informatica.
Mastodon Feedpzmyers@octodon.social ("pzmyers 🦑") wrote:
Inauguration day! Are you excited?
https://freethoughtblogs.com/pharyngula/2025/01/20/its-inauguration-day/
Mastodon FeedReblogged by andreu@andreubotella.com ("Andreu Botella :verified_enby:"):
webhackfest@floss.social ("Web Engines Hackfest") wrote:
📅 Save the dates! The Web Engines Hackfest 2025 will take place June 2-4 in A Coruña, Galicia (Spain).
Check more details at: https://webengineshackfest.org/
Mastodon Feedmastodonmigration@mastodon.online ("Mastodon Migration") wrote:
Looking for something to do tomorrow?
How about, turn off the TV, ignore the news, skip social media.
Get outside. Maybe go to a beach or take a walk in the woods. Listen to the wind. Feel the sun.
It's a amazing planet we all live on. The problems will still be there on Tuesday, but perhaps it's a good time to appreciate just being here.
Mastodon Feedskykiss@sfba.social ("Kailee ♾️ Voting Midterms God") wrote:
From the Halls of #Congress, The truth will set you free:
Mastodon Feedvioletblue ("Violet Blue") wrote:
Trust me when I say this book will come in handy. Chapter 1 is titled "Resist."
Options:
- https://www.adafruit.com/product/3532
- https://www.digitapub.com/products/how-to-be-a-digital-revolutionary
- https://www.amazon.com/How-Digital-Revolutionary-Violet-Blue/dp/1521338280
Mastodon Feedjensorensen ("Jen Sorensen") wrote:
This panel from a comic I drew in June 2024 has aged pretty well.
Mastodon Feedheidilifeldman ("Heidi Li Feldman") wrote:
I'm much calmer tonight than I thought I would be. Some thoughts on the verge of a Republican Fascist regime: https://heidi-says.ghost.io/resolve/.
Mastodon FeedBREAKING: I will be ignoring the internet, and specifically "the news", on Monday, Jan 20, 2025. Whatever stupid shit happens, I will learn about in *abbreviated* digest form on Tuesday, rather than following along with whatever mortifying nonsense happens in realtime elevated-heart-rate horror. If it is important, it will come back.
This is self-care and I strongly urge you to consider it.
Mastodon FeedComicContext@mstdn.social ("Comics Outta Context") wrote:
Mastodon FeedRadicalGraffiti@todon.eu ("Radical Graffiti") wrote:
"You can't shoot a fire, so why does LAPD get over 25% of our budget"
Poster spotted in Los Angeles
Mastodon FeedRadicalGraffiti@todon.eu ("Radical Graffiti") wrote:
Anti-surveillance sticker spotted in Clearwater, Florida.
We've got a bunch of copies of this sticker and numerous other designs.If you're interested in buying a mix pack of radical slaps, check out: https://radicalstickers.bigcartel.com/
Mastodon FeedReblogged by cstanhope@social.coop ("Your friendly 'net denizen"):
rek@merveilles.town ("R E K") wrote:
First entry for Goblin Week!
Meet Arnar!
Mastodon Feedslightlyoff@toot.cafe ("Alex Russell") wrote:
This kind of rubber-hitting-the-road proposal is where you'll see the most furious push-back from folks more attached to power and status than improving the ecosystem. The idea of incubation venues like WICG (et. al.) make Apple folks (e.g.) Big Mad because they create the risk they won't be able to bottle up progress as effectively. It's incredibly telling when you know what you're looking at.
Mastodon Feedslightlyoff@toot.cafe ("Alex Russell") wrote:
What's the alternative? Separating design from standardisation as much as possible.
Different, focused rooms with only the people trying to solve specific problems in them tend to make very fast progress by comparison, so create those spaces, and make the job of formal WGs what SDO's process docs claim they are: IP and compat re-risking processes. The less that changes in a design between incubation and final WG signoff, the better. WGs should serve as clearing houses, not design salons.
Mastodon Feedslightlyoff@toot.cafe ("Alex Russell") wrote:
The true chef-kiss version of this co-opts generous and hopeful developers into serving as "invited experts", lending an aura of accomplishment and reputational affinity to them, and bringing them into the (artificially exclusive) room where they will feel special.
It takes real guts to stand up and say true things in those venues, and schedules are managed such that there isn't even much opportunity.
And nobody outside will hear if/when they do.
The perfect way to de-fang critique.
Mastodon Feedslightlyoff@toot.cafe ("Alex Russell") wrote:
So if you want to scuttle progress as an implementer, your best tactics are:
- minimally (but consistently) attend formal WGs with terrible track records
- communicate loudly that you won't engage anywhere else
- delay in committee anything you don't want, but string along as "on the right track" (usually buys 3+ years)
- loudly announce anything you deign to let through
- claim anyone who wants faster progress is reckless in ways that are hard to falsify
Sound like anyone in particular?
Mastodon Feedslightlyoff@toot.cafe ("Alex Russell") wrote:
That web developers keep falling for the same shit, year after year, is proof that there is such a thing as too much patience. All of the platform's core languages are defended by similar processes, often with no relationship to the technical merits of proposals or the market urgency for solutions. But people keep going to meetings, which looks like doing the job. When they deliver late, they can claim earlier proposals were "bad", safe in the knowledge survivorship bias will cover their tracks
Mastodon Feedslightlyoff@toot.cafe ("Alex Russell") wrote:
This process laundering of low ambitions has two goals, and only one beneficiary.
The goals? To preserve the status of the folks in the room as deliverers of progress in the minds of folks who aren't, and to insulate them from challenge by processes that would falsify their blame to the credulous.
The beneficiary? The implementer with the least interest in spending money to fix platform problems.
Mastodon Feedslightlyoff@toot.cafe ("Alex Russell") wrote:
One of the worst failure modes of web standards is that many folks are easily convinced that we should accept the rate of progress that large, old WGs deign to bless as, somehow, the natural or correct pace – and often cite fig leafs like invited experts to claim that they are in touch. It's tragedy repeated until it comes back as farce.
