Dziś dowiedziałem się o istnieniu strony, która pokazuje odpowiedź na tytułowe pytanie. Można by pomyśleć, że nieźli fanatycy piłki nożnej w tej Hiszpanii. Być może, ale ponownie, nie o to chodzi. Chodzi o wyrok sądu, który nakazuje największym hiszpańskim ISP blokadę… określonych IP CDNów w trakcie trwania transmisji niektórych rozgrywek. Na stronie hayahora.futbol jest opisane^[2], czemu blokada na poziomie IP, a nie DNS lub podobnej. Czyli cenzura, sankcjonowana przez prawo, pod hasłem ochrony własności intelektualnej i walki z piractwem.

W Polsce też mamy coś podobnego, za sprawą ustawy antyhazardowej. Co prawda obejście naszego wariantu jest trywialne, ale istnieje od wielu lat. I jest umocowany prawnie. Całkiem niedawno były próby wykorzystania listy tworzonej przez CERT Polska w podobnym celu. Tym razem nieudane.

I tak sobie myślę, że wydaje nam się, że w Europie, w XXI w. cieszymy się wolnością, nie to co [tu wstaw dowolną dyktaturę czy państwo wyznaniowe], a tymczasem wcale wiele się nie różnimy. Motywacja może trochę inna, ale metody jakby podobne.

[1] Jeszcze obustronne znaki zapytania by się przydały, jednak nie przesadzajmy.
[2] Jest, nieco mało widoczny, przełącznik języka. Do wyboru hiszpański i angielski.

Artykuł Czy teraz futbol? pochodzi z serwisu Pomiędzy bitami.

Jeśli chodzi o opakowania i ochronę towaru, to naprawdę słabe doświadczenie miałem tylko raz. Zakup wentylatora pionowego na Allegro, zapakowanego w pojedynczy karton. Kurier dostarczył połamany. Sprzedawca stwierdził, że to częste zjawisko i zaproponował wysłanie kolejnego, zapakowanego tak samo. Ponieważ niespecjalnie interesuje mnie generowanie odpadów, to wybrałem zwrot pieniędzy (bez problemu). Wentylator kupiłem w Lidlu, też online. Zapakowali w… podwójny karton, co tworzyło całkiem solidną konstrukcję.

Ale chodzi o coś innego. Ostatnio kupiłem parę rzeczy na Amazonie. Mam kupiony Prime, w sumie co prawda bardziej do filmów, ale ponieważ Allegro darmową dostawę ze Smart daje dopiero od wyższej kwoty, to w praktyce drobiazgi z Amazon wychodzą taniej. To, co zwraca uwagę przy zakupach z Amazona, to sposób pakowania. Jest minimalistyczne i ekologiczne. Może kwestia zamawianych rzeczy, ale praktycznie zawsze jest to tylko kartonowa koperta od Amazon. Wystarczy oderwać niezbyt mocno, choć pewnie trzymającą się naklejkę oraz pasek z klejem od zamknięcia i można wrzucać do makulatury. Oczywiście czasem sam towar ma jeszcze własne, fabryczne opakowanie – to już kwestia producenta.

Kolejnym etapem jest Allegro i większość sklepów online. Tu króluje folia bąbelkowa plus karton. Czasem, przy większych przesyłkach, dodatkowo jest jeszcze stretch, ale folię bąbelkową spotkamy nawet przy drobiazgach. Jeśli nie oddzielną, to w formie koperty bąbelkowej. Z takiej koperty trudno zerwać naklejkę. Przy większych przesyłkach często w ogóle nie ma naklejki, tylko kieszonka z folii przyklejona bardzo mocno do przesyłki, z włożoną kartką z adresem. Zwykle dodatkowo użyta jest gdzieś taśma samoprzylepna przezroczysta lub brązowa. Czyli jest to pakowane podobnie jak zrobiłbym to ja, nie mając żadnego doświadczenia, pakuję przesyłki.

Teoretycznie w przypadku koperty bąbelkowej można oddzielić folię od papieru, ale jest to trudne. A część z łączeniem zawsze jest trwałym połączeniem obu materiałów. Czasem – raczej w sklepach online, nie na Allegro – spotykam worek foliowy do którego jest włożony towar.

Ostatni rodzaj opakowania to chińskie koperty bąbelkowe, znane z zakupów na Aliexpress. Dziwny twór z trudnego do sklasyfikowania materiału, z czymś na kształt folii bąbelkowej wewnątrz. Naklejki nieusuwalne, bąbelki trwale połączone z wierzchnią częścią koperty. Wg mnie niesortowalne w żaden sposób, w żadnej części i tylko do odpadów zmieszanych się nadaje. Wg mnie najmniej ekologiczne.

Zastanawiam się, ile czasu zajmie pozostałym dotarcie do poziomu Amazon. Pamiętam, że Allegro nawet przy zakupach we własnym sklepie stosowało zwykłe kartony. Z wypełnieniem. Bo często kartony były o wiele za duże w stosunku do zamawianych przedmiotów. Nie wiem czy jest tak nadal – dawno ze sklepu Allegro nic nie zamawiałem.

Zastanawiam się też na ile na opakowanie zwracają kupujący. Ja tylko tyle, że po wielu latach zakupów online powstał ten wpis. Jak pisałem, uważam, że wpływu nie mam, a i zakupów online nie robię aż tak dużo, żeby to miało jakieś istotne znaczenie. Jednak ziarnko do ziarnka…

Artykuł Opakowania pochodzi z serwisu Pomiędzy bitami.

Co to w ogóle jest HTC-1? Jest to tani zegarek LCD przeznaczony do użytku wewnętrznego, z funkcją pomiaru wilgotności i temperatury. Zasilany jest jedną baterią AAA^[1], na której działa długo. Nie posiada żadnej łączności zdalnej, czyli nie sczytamy sobie wskazań do komputera. Ot, po prostu wyświetla godzinę, temperaturę i wilgotność. Posiada także alarm, ale z niego nie korzystam. Zgaduję, że nazwa HTC-1 pochodzi od humidity, temperature, clock.

O ile wskazania zegarka są OK, przynajmniej w moim egzemplarzu, to temperaturę pokazuje tylko z grubsza poprawnie. O wilgotności lepiej w ogóle nie wspominać[2]. No ale w zastosowaniu łazienkowym, czyli wyświetleniu czasu i przy okazji sugestii, czy dogrzać lub przewietrzyć pomieszczenie, jest OK, więc działa od lat.

Baterie wymienia się rzadko, ale – jak pisałem na wstępie – zawsze zapominam, jak ustawić datę i godzinę, zatem dla pamięci:

Ustawianie daty i godziny oraz trybu wyświetlania czasu (12/24h) na HTC-1

Korzystamy tylko z dwóch przycisków: MODE oraz ADJ.

• Przytrzymujemy przycisk MODE przez 2 sekundy, aż cyfry zaczną migać.
• Używamy przycisku ADJ aby zmienić wartość.
• Kolejne krótkie naciśnięcie MODE przenosi do ustawiania kolejnej pozycji.
• Ostatnie naciśnięcie MODE powoduje powrót do wyświetlenia zegara i normalnego działania.

Ustawianie alarmu w HTC-1

Alarm w HTC-1 ustawiamy analogicznie. Jedyna różnica jest taka, że najpierw przechodzimy w tryb alarmu raz krótko naciskając przycisk MODE.

Zupełne włączenie i wyłączenie alarmu osiągniemy poprzez naciskanie przycisku ADJ w trybie alarmu.

Źródło: HTC-1 instructions.

[1] Akumulator AAA działa równie dobrze i tak właśnie korzystam.
[2] Porównania w firmie, gdzie było suche powietrze. Profesjonalne mierniki miały wskazania inne, szybciej i zbieżne między sobą.

Artykuł HTC-1 skócona instrukcja pochodzi z serwisu Pomiędzy bitami.

Wydaje mi się, że autorzy trochę wyolbrzymiają. Co się dzieje technicznie? Na stronie LinkedIn jest javascript, którego zadaniem jest zebranie informacji o zainstalowanych rozszerzeniach w Chome^[1]. Jest to robione przy pomocy paru technik. Najważniejsza z nich opiera się o predefiniowaną listę rozszerzeń i obecnych w nich plików. Skrypt próbował czytać kolejne pliki i – w przypadku sukcesu – zapamiętywał informację, że dane rozszerzenie jest obecne (i aktywne). Tak zebrane informacje były wysyłane do właściciela LinkedIn, czyli Microsoftu. Nie ma natomiast mowy o przeszukiwaniu komputera, co sugeruje nagłówek autorów znaleziska. Aktywność jest ograniczona do plików rozszerzeń.

Autorzy znaleziska argumentują, że za sprawą rozszerzeń w przeglądarce można określić przekonania polityczne, religijne, zdrowotne i dotyczące zatrudnienia. Jestem w stanie się zgodzić, że w specyficznych przypadkach^[2] faktycznie da się określić je z wysokim prawdopodobieństwem. I – ponieważ użytkownik jest zalogowany – skorelować z konkretną osobą.

Zatem oburzenie na Microsoft jest słuszne. Czemu jednak jest ograniczone tylko do tej jednej firmy, a Google i twórcy rozszerzeń są tu pominięci? Cała technika możliwa jest tylko dlatego, że przeglądarka Google, podobnie jak wszystkie pochodne Chromium, stosują stałe lokalne identyfikatory rozszerzeń. Nie jest to żadna tajemnica. Nie jest to też norma wśród przeglądarek. Firefox na przykład stosuje losowe identyfikatory lokalne. Takie działanie uniemożliwia stronie próbę odczytu znanego pliku z rozszerzenia, więc technika nie zadziała.

Dodatkowo, twórcy rozszerzenia muszą w manifeście jawnie zezwolić stronie^[3] na dostęp do plików przy pomocy dyrektywy web_accessible_resources. Ładny opis, łącznie z tym, że Chrome nie ma losowych identyfikatorów znajdziemy na stronie Mozilli.

Czemu nie ma oburzenia na twórców Chromium, którzy nie randomizują lokalnych ID rozszerzeń? Ani na samych twórców rozszerzeń pozwalających na ustalenie wrażliwych danych, że pozwalają na czytanie plików rozszerzenia stronom^[4]? No i w końcu zastanawia mnie, czy to jedyna strona, która tak działa?

Sama funkcjonalność odczytu plików rozszerzeń nie jest nowa i była znana wielu osobom (tak, znałem). Zastosowanie jest… interesujące. Mi masowe skanowanie rozszerzeń nie przyszło do głowy. Może dlatego, że nie mam zastosowania dla tych danych? Czy za sprawą Browsergate będzie mała rewolucja w świecie rozszerzeń i podejściu do prywatności? Zobaczymy.

[1] Tak naprawdę w pochodnych Chromium.
[2] Wymieniają te przypadki i są to konkretne rozszerzenia, których obecność Microsoft celowo sprawdza.
[3] Lub stronom, możliwe wildcardy.
[4] No dobrze, nie zawsze może dać się uniknąć dostępu do plików, zapewne zależy od tego, co dane rozszerzenie robi.

Artykuł Browsergate pochodzi z serwisu Pomiędzy bitami.

Zachęcony recenzją i informacją o serialu, odświeżyłem. Przyznaję, że ten serial to całkiem zgrabna konstrukcja, choć kontekst zginął po drodze w wielu miejscach i raczej może być niezrozumiały dla dzisiejszej młodzieży.

Wszystko o serialu jest we wspomnianym wpisie^[1], dodać tylko mogę, że jakość po rekonstrukcji jest naprawdę dobra. Sam serial jest dla mnie – z perspektywy – dobrym serialem młodzieżowym. Trochę uproszczeń, stereotypów, sporo humoru i mrugania okiem. Jedyne, co mnie wkurzyło, to podejście do zwierząt w ostatnim odcinku. Zdecydowanie mamy do czynienia z rzucaniem kotami i napis nie ucierpiało żadne zwierzę się nie należy. Ale to też znak czasów.

No i bardzo dobra ścieżka dźwiękowa. Poza utworem tytułowym^[2], jest kilka innych mocnych pozycji, świetnie pasujących i do serialu, i będących samodzielnymi utworami. Mam wrażenie, że teraz takie rzeczy nie powstają. Jeśli się mylę, to proszę o wyprowadzenie z błędu.

W każdym razie, obejrzenie serialu, pierwotnie z kronikarskiego obowiązku, okazało się zaskakująco dobrą rozrywką. Bo obecnymi produkcjami, w stylu netfliksowego Wiedźmina, jestem zmęczony.

[1] Jakby komuś było mało, to jest jeszcze artykuł na Wikipedii, warto zerknąć.
[2] Chodzi o tytuł wpisu, nie serialu.

Artykuł Jestem zmęczony pochodzi z serwisu Pomiędzy bitami.

W skrócie, LLMosceptycy wpadli na pomysł, żeby ludzie zaczęli dodawać plik JSON, w którym będą wskazywać URLe do innych treści (stron) tworzonych przez ludzi. Do tego dodatek do przeglądarki, który pokaże ilu ludzi wskazało odwiedzaną stronę na tworzoną przez człowieka i jaka jest odległość (ilu pośredników) względem naszej strony.

Czyli – cytując wytłuszczenia ze strony projektu – autor strony deklaruje się jako człowiek i umieszcza plik. Następnie poręcza za inne strony. I rozszerza scope poręczeń.

Jeśli komuś się z czymś to kojarzy, to – jeśli jeszcze nie zorientował się na podstawie tytułu wpisu – jest to w założeniu bardzo podobne do PageRank stworzonego przez Google. Może i Google stwierdziło, że to nie działa dobrze, jest podatne na manipulacje SEO i wycofało się z projektu, ale tym razem się uda. OK, jest różnica, bo aktualnie human.json nie uwzględnia wag. Ale to wczesna wersja, więc możliwe, że wszystko przed nami.

Wersja Google była o tyle lepsza/prostsza, że nie wymagała osobnego pliku i używała po prostu linków ze strony. Ale to nic, wiadomo, że wszyscy ludzie są techniczni, tu sobie nagłówek dopiszą, tam plik wygenerują. Na ironię zakłada wybór formatu JSON, który jest pomyślany jako przetwarzalny przez automaty i niezbyt przyjazny ludziom.

Dalsze wady pomysłu? Ależ proszę bardzo. Rozwiązanie jest podatne na manipulację. Nie ma żadnego problemu, żeby kupić kilka(-naście, -set) stron, umieścić na nich human.json, który będzie linkować do pozostałych. Zapewne będą miały wyższą ilość potwierdzeń, niż wiele stron tworzonych przez ludzi.

Kolejny problem to założenie, że wszyscy pieczołowicie będą utrzymywać swoje pliki. O ile z dodaniem pliku nie ma większego problemu, to z czasem domeny wygasają, zmieniają właścicieli. Po kilku latach może być na nich zupełnie inna treść. Znam to doskonale i z linków na blogu, i z czytnika RSS. W przypadku PageRank był jeden opiekun, który dbał o jakość wskaźnika.

Czy to koniec problemów? Na pewno nie. Na pewno znajdą się chętni do „wymiany linków” tj. wzajemnego potwierdzenia swojego człowieczeństwa. Pamiętacie sprzedaż linków? Gdyby pomysł jakimś cudem się przyjął (w co nie wierzę) to handel linkami powróci w wielkim stylu. Tym razem linkami w human.json.

Czym więc jest human.json, albo jakie widzę jego niezamierzone skutki? Przede wszystkim jest deklaracją nie lubię LLM. Do tego oczywiście każdy ma prawo. Ale czy człowiek musi polegać na automatycznym, algorytmicznym wskaźniku z przeglądarki, żeby ocenić czy treść jest wartościowa? Wydaje mi się to dziwne.

Ostatni niezamierzony skutek, który widzę, to tworzenie kolejnego bąbelka. Bo czy strony ludzi, z których poglądami się nie zgadzamy, trafią do human.json równie często, jak tych, z którymi się zgadzamy? Szczerze w to wątpię.

Artykuł HumanRank pochodzi z serwisu Pomiędzy bitami.

Chodzi o możliwość zakupu alkoholu, wyrobów tytoniowych, ostatnio do towarów dostępnych tylko dla pełnoletnich zostały dodane energetyki. Podobnie jest z głosowaniem – czynne prawo wyborcze przysługuje od ukończenia 18 lat. Bierne – jeszcze później.

Tymczasem podnoszony jest argument, że tak nie można, bo prywatność, bo anonimowość, bo wolność. Zastanawiam się jednak, czy anonimowość – czy też: przyzwolenie na nią – mieliśmy do tej pory. Czy możliwość względnej anonimowości pojawiła się dopiero wraz z pojawieniem się Internetu. Przecież idąc do sklepu czy lokalu wyborczego nie jesteśmy anonimowi. Widać, kto kupuje (nawet niekoniecznie towary dostępne od 18 roku życia). W lokalu wyborczym sprawdzana jest tożsamość (i pośrednio wiek) osoby głosującej.

Co więcej, zakaz utrudniania (nawet nie: uniemożliwiania) identyfikacji osoby występuje – już teraz – także w miejscach, gdzie w przypadku uczestnictwa nie ma wymogu ukończenia określonego wieku. Na przykład ustawa o bezpieczeństwie imprez masowych mówi:

Art. 57a. Kto w miejscu i w czasie trwania masowej imprezy sportowej używa
elementu odzieży lub przedmiotu w celu uniemożliwienia lub istotnego utrudnienia rozpoznania osoby, podlega karze ograniczenia wolności albo grzywny nie niższej niż 2000 zł.

Czyli nie można anonimowo kibicować drużynie sportowej. I jakoś nikt nie robi o to afery, prawda?

Podobnie jest z rejestracją kart SIM. Obowiązek rejestracji mamy od około dekady. Jest to ograniczenie anonimowego dostępu do komunikacji telefonicznej, internetu oraz SMSów. Oraz niejawny wymóg weryfikacji wieku. Osoba poniżej 18 roku życia może zarejestrować kartę SIM, o ile ukończyła 13 lat i posiada dowód osobisty. Ten uprawniający do rejestracji karty SIM można mieć po ukończeniu 13 roku życia ale… za zgodą rodziców.

Realny, odczuwalny wpływ w przypadku kart SIM? Dla przytłaczającej większości obywateli żaden. Anegdotycznie, słyszałem, że po wprowadzeniu obowiązku rejestracji kart SIM, osoba zarządzająca w branży budowlanej przestała dostawać telefony z pogróżkami w weekendy od niekoniecznie trzeźwych expracowników.

Dyskusja nt. weryfikacji wieku online mogłaby być znacznie bardziej konstruktywna, gdybyśmy przestali stosować podwójne standardy…

Artykuł Podwójne standardy pochodzi z serwisu Pomiędzy bitami.

Generalnie większość ludzi jest zgodna, że faktycznie tak jest i LLMy „ciekną” sekrety. Trochę zeszło na no ale tu wyraźne instrukcje były, żeby tego nie robił. Czyli klasyczne, że nie LLMy się nie nadają do danego zastosowania, tylko, a może zły prompt, a może zły model, a może tory złe…

Widzę to nieco inaczej, a różnica jest fundamentalna. Podobnie jak w LLMy nie kłamią trzeba przestać traktować LLMy jak maszyny deterministyczn czy myślące. W zamian trzeba cały czas pamiętać, że pod spodem jest to jednak złożony, ale proces stochastyczny.

Dlatego instrukcje, które dajemy LLMom nie są przepisem na ciasto, który zostanie odtworzony przez człowieka. Nie są algorytmem/programem, który zostanie wykonany precyzyjnie w określony, zawsze taki sam sposób, jak ma to miejsce w tradycyjnych programach. Czyli nie są dla „odbiorcy”, czyli modelu LLM ścisłą instrukcją, choć wydaje nam się, że są.

Czym zatem są? Wydaje mi się, że najbliższą analogią, którą znamy z życia są… przykazania religijne. Wg twórcy są precyzyjne, nie ma problemu z ich przestrzeganiem i powinny być przestrzegane. W praktyce jest z tym różnie. Mogą być różnie zrozumiane, zinterpretowane, czy wreszcie po prostu zignorowane. Nawet jeśli większość wyznawców ich przestrzega, to znajdą się przypadki, gdy nie są przestrzegane. Analogicznie zachowują się LLMy. Co któreś uruchomienie, w odpowiednich okolicznościach, znajdzie się taka instancja LLMa, która „złamie”^[2] otrzymane instrukcje. I według mnie należy to po prostu przyjąć jako cechę rozwiązań opartych o LLMy.

[1] Bo ważne jest, z kim się rozmawia, nie gdzie.
[2] Cudzysłów, bo złamanie oznaczałoby konieczność zrozumienia, co nie zachodzi.

Artykuł Instrukcje były niejasne pochodzi z serwisu Pomiędzy bitami.

Mimo zmian w używanym szyfrowaniu, po EncFS została jedna dziura: dyski zdalne typu Dropbox czy Google drive. Miło by było móc z nich korzystać „normalnie”, ale tak, żeby dane na tych dyskach były zaszyfrowane. LUKS tu nie pomoże, bo działa dla dysków lokalnych. Szyfrowanie przez GPG dla pojedynczych plików jest niewygodne, a pakowanie w jakieś archiwa jest dobre do backupów, nie do normalnego korzystania. EncFS jako overlay dostępny poprzez FUSE ze swoim szyfrowaniem per katalog był idealny. Nie trzeba z góry określać rozmiaru szyfrowanych danych, dostęp online do pojedynczych plików, z zachowaniem ich struktury.

Okazuje się, że jest godny następca dla EncFS i nazywa się gocryptfs. Nie wiem czemu nie znalazłem go wcześniej. Może odrzuciłem, bo był świeży i w golang? Może przeważył brak realnej potrzeby?

W każdym razie: jest i wygląda bardzo dobrze. Przeczytałem opis projektu i zasadę działania. Posiada sensowne założenia, był audytowany, brak przypadłości EncFS. Do tego jest bardzo szybki. Instalacja w Debianie z pakietu – żadnych kompilacji. Do tego świetna dokumentacja, proste użycie i… dopracowanie. Oczywiście open source. Działa na Linuksie, macOS, istnieją nieoficjalne porty dla Windows i Androida.

Żeby przybliżyć o czym mowa. Weźmy takie utworzenie szyfrowanego katalogu. Jedno proste polecenie, podajemy hasło, powtarzamy je i… dostajemy master key, wraz z przeznaczeniem i jak się z nim obchodzić. Aż pokażę^[2], bo na stronie tego nie ma:

$ gocryptfs -init cipher/
Choose a password for protecting your files.
Password:
Repeat:

Your master key is:

d28966ae-f39ff48a-695993f9-a5e354eb-
3d31e7a1-29c834c5-31b2cb3b-b38b6cec

If the gocryptfs.conf file becomes corrupted or you ever forget your password, there is only one hope for recovery: The master key. Print it to a piece of paper and store it in a drawer. This message is only printed once.
The gocryptfs filesystem has been created successfully.
You can now mount it using: gocryptfs cipher MOUNTPOINT

Prawda, że piękne? Bardzo możliwe, że przyda się i wkrótce wrócę do tematu zdalnych dysków.

[1] Moje zastosowania: nie będą mi dyski sieciowe w stylu Dropbox grzebać po plikach, nawet jeśli nic tajnego tam nie ma.
[2] Jakby ktoś zaczynał panikować, że „ojej, master key podał” to spieszę donieść, że to z testowego katalogu utworzonego na potrzeby tego wpisu, żadnych danych tam nie ma i nie będzie.

Artykuł gocryptfs pochodzi z serwisu Pomiędzy bitami.

Wizualnie i funkcjonalnie sprzęt mi się podoba. Taki mocny chromebook właśnie. Tylko cena jest nieporozumieniem. Neo obecnie kosztuje w X-kom 2999 zł. Tymczasem za 3799 zł mamy tam Air M2 i zupełnie nie widzę powodu, by w tej sytuacji kupić Neo. Air M2 jest podobnie pozycjonowany (uczeń/student), ma praktycznie identyczne gabaryty (ta sama waga, góra 1 cm różnicy. Oszczędzając 800 zł stracimy połowę RAM, szybszy procesor, podświetlanie klawiatury, szybkie ładowanie, większą baterię, lepszy touchpad, głośniki, magsafe…

Więc w tej cenie Neo jest zupełnie bez sensu. I możliwe, że jednak się przyjmie na rynku, z uwagi na marketing Apple. Reklam jest tyle, że nawet ja je zauważyłem, choć zupełnie nie interesuję się sprzętem Apple. Zaś zupełnie poważnie, to uważam, że gdyby był połowę, czy chociaż jedną trzecią tańszy, to mógłby być to całkiem ciekawy sprzęt dla fanów macOS.

Artykuł Chromebook od Apple pochodzi z serwisu Pomiędzy bitami.