To, nad czym się zastanawiam to czy faktycznie jest nieprawidłowo? Albo czy mogło być inaczej? I nie chodzi mi tylko o oprogramowanie, ale o tworzenie ogólnie. Jak to ładnie zostało powiedziane na wykładzie, ludzi czasem coś swędzi i wtedy tworzą. Tworzą różne rzeczy: muzykę, poezję, opowiadania, wpisy na blogach, oprogramowanie. Ogólnie: dzieła, czyli kulturę. Ba, nie tylko tworzą, ale udostępniają to innym.

Tworzą i udostępniają często niezależnie od wynagrodzenia. Z powodu tego swędzenia, czyli jakiegoś rodzaju wewnętrznego przymusu, powstają rzeczy, które inni mogą obejrzeć/przeczytać/wykorzystać. Wykorzystać jako pożywkę dla umysłu, czasem także do samodzielnego tworzenia. Przy czym odbiorcy niekoniecznie chcą płacić za te twory. Co jest zrozumiałe z ekonomicznego punktu widzenia – po co płacić więcej, niż to konieczne^[1]? Argument jeśli nie będziecie płacić, to nie będzie muzyki/filmów/książek/oprogramowania jest fałszywy. Muzycy, pisarze czy twórcy open source co do zasady^[2] i tak zarabiają grosze. Bo i tak tworzą. Jak nie oni, to inni. Jest co czytać, co oglądać, co uruchomić.

To, ile kosztują dzieła i jaki jest model wynagradzania, to inna sprawa. Firmy fonograficzne, wydawnictwa, serwisy streamingowe – owszem, zarabiają. W przypadku open source, zarabiają firmy, które wykorzystują open source. I one płacą twórcom/kontrybutorom, ale znowu, zwykle tylko tyle, ile muszą. Oczywiście, zawsze istnieje niewielka grupa twórców dobrze zarabiających. Nawet za życia^[3]. Eksponowanych.

Nie zgadzam się z autorem wykładu, że ten model jest nie do utrzymania. Ten model funkcjonuje od wieków. Kiedyś artyści zbierali do kapelusza, albo, jeśli mieli szczęście, znajdowali mecenasa, który mógł się pochwalić ich dziełami. Dziś pokazanie jednego twórcy, który zarabia miliony dolarów motywuje miliony innych twórców do pracy za dolara. Co oczywiście jest pośrednikom na rękę^[4]. Nie zmienia to faktu, że poza gwiazdami jest masa twórców, którzy poziomem artystycznym odbiegają od gwiazd o rzędy wielkości mniej, niż wynagrodzeniem.

Projekty open source nie są tu wyjątkiem. Mamy masę drobnicy tworzonej za darmo oraz większe projekty, które są w praktyce rozwijane przez firmy, według ich zasad i wytycznych. Chętnie korzystających z darmowej pracy chętnych. Masa użytecznych projektów, nie odbiegających aż tak bardzo od dużych, choć czasem mniej złożona, jest niefinansowana. Tworzona/udostępniana w celu podrapania się. Podobnie jak wkład w duże projekty, niejednokrotnie z dużym narzutem po stronie kontrybutora, typu zaznajomienie z wytycznymi w projekcie, analiza i zaakceptowanie Contributor License Agreement itp.

Zasłyszana kiedyś definicja kultury, którą lubię to jest to coś, co się uprawia. I mamy w takim przypadku chyba zawsze dramatyczną dysproporcję w finansowaniu uprawiających kulturę pomiędzy wąskim gronem na szczycie, a całą resztą. W dowolnej formie: sport, książki, film, muzyka, open source. Jeśli komuś udało by się rozwiązać problem finansowania w dowolnym z tych obszarów, to wydaje mi się, że rozwiązanie pasowałoby do wszystkich innych. I w każdym przypadku spotka się ono z oporem dotychczasowych beneficjentów. Pośredników, którzy czerpią zyski z pracy twórców, dostarczając wytwory odbiorcom.

[1] Dowód anegdotyczny: rok temu uruchomiłem możliwość postawienia mi kawy przez odbiorców i wyłączyłem reklamy. I co? I roczny dochód z kawy jest mniejszy, niż miesięczny z reklam. Ten z reklam końcowym okresie, po spadku. To nie jest zachęta do stawiania kawy teraz ani gorzkie żale, to obserwacja rzeczywistości.
[2] W rozumieniu percentyla ludzi, którzy zarabiają wyłącznie z tworzenia i poziomu ich dochodów. Pewnie warto rozciągnąć tu określenie twórcy nieco szerzej, także na wykonawców czy sportowców, stąd tytuł, wyjaśnienie jest dalej w treści.
[3] Tu powinna być lista malarzy, kompozytorów, pisarzy, którzy przytłaczającą większość życia żyli skromnie lub wręcz klepali biedę, a zostali docenieni i zaczęli zarabiać u jego schyłku. Czy wręcz po śmierci.
[4] Tu warto zauważyć, że w obronie praw (czyt: dochodów) twórców nie występują zwykle sami twórcy, tylko pośrednicy. Jeśli są to sami twórcy, to warto poskrobać czy nie ma lobby pośredników pod spodem.

Artykuł Kultura pochodzi z serwisu Pomiędzy bitami.

Trochę miałem do czynienia z rozwiązaniami do detekcji botów, wydaje mi się, że widzę, w czym rzecz. Nowatorstwo rozwiązania nie jest w QR-code. Nie jest w konieczności użycia drugiego urządzenia do odczytania danych z pierwszego. To wszystko można oprogramować i zasymulować i zrobić na tym samym urządzeniu, automatycznie.

Prawdziwa natura nowego rozwiązania jest wg mnie widoczna w niepozornym fragmencie: By correlating telemetry across the entire lifecycle, our unified trust model identifies complex, multi-stage fraud campaigns that disconnected point solutions miss. This holistic view has demonstrated […] Wytłuszczenia moje.

Zmierzamy do tego, że poprawne rozwiązanie CAPTCHA, tj. bycie słusznie uznanym za człowieka, będzie opierało się na tym, że przynajmniej na jednym z urządzeń – o ile nie na obu – trzeba będzie wyrazić zgodę na telemetrię. Czyli pozwolić dostawcy – tu: Google – na pobieranie masy danych z urządzenia i o urządzeniu. O położeniu (geolokalizacj), o IP, o stanie baterii, zainstalowanych kodekach, fontach, o tym, jak i kiedy się porusza (akcelerometry). Wreszcie metadane o tym, które urządzenia były powiązane z którymi. I nie, nie na chwilę, tylko holistycznie przez cały cykl życia (cokolwiek ma to znaczyć).

A jeśli nie wyrazimy zgody? No cóż, w najlepszym wypadku stracimy więcej czasu na częstsze skanowanie lub rozwiązywanie innych form CAPTCHA. W najgorszym? Zostaniemy uznani za boty i pozbawieni dostępu do usług.

Czy będzie to skuteczne? Cóż, na początku pewnie tak. Czy da się obejść? Pewnie tak, ale wątpię, by obejście zyskało masową popularność. Ale masa danych, łatwych do skorelowania i niosących wiele informacji nie wprost trafi do dostawcy (tu: Google).

Dlatego mam szczerą nadzieję, że rozwiązanie spotka się z bojkotem użytkowników. Zarówno tych, którzy mieliby rozwiązywać CAPTCHA, jak i tych, którzy wybierają rozwiązanie, które wykorzystują. Zawsze zamiast rozwiązywać CAPTCHA można zrezygnować z dostępu/zakupu i zamiast tego zgłosić problem z dostępem do danych na stronie.

UPDATE: Nie padło to w pierwotnej wersji wpisu, ale oczywiście chodzi o umacnianie monopolu Google (ew. duopolu, bo jeszcze Apple). Weryfikacja na systemie Android wymaga telefonu z Google Play.

Artykuł Nowa reCAPTCHA pochodzi z serwisu Pomiędzy bitami.

Przyznaję, że początkowo miałem wrażenie, że u nas będzie podobnie. W dużych sklepach, w dużym mieście, nie miałem problemów ze zwrotem. Automaty działały, nie było kolejek. Lidl przyjmuje także niekaucjowane^[1]. Wypłacać pieniędzy nie miałem potrzeby, bo zwroty przy okazji zakupów robiłem, po kilka sztuk. Ale podobno też działa bez problemu.

Ostatnio miałem okazję się przekonać, że nie trzeba być rowerzystą, by zauważyć braki systemu kaucyjnego. W trakcie majówki wylądowałem w plenerze ze znajomymi na dłuższym posiedzeniu. W trakcie postanowiliśmy kupić coś do jedzenia i picia. Wzięliśmy puszki i udaliśmy się do sklepu z zielonym płazem w logo. A tam:opakowań nie przyjmujemy gdyż automat jest pełen, a sklepy o powierzchni poniżej 200 m kw. nie mają obowiązku przyjmowania. Kiedy będzie opróżniony? Dzisiaj to już nie. To co możemy zrobić? Można spróbować w innym sklepie z zielonym płazem w logo. Oczywiście nie przeszkodziło to sprzedawcy naliczyć kaucji za kolejne puszki…

Także jednak mamy patologię. Raz, że nie wszystkie opakowania, zarówno plastikowe, jak i szklane, są kaucjowane. Dwa, że właściciele małych sklepów grają przeciw klientom, zmuszając ich do płacenia kolejnych kaucji i nie przyjmując zwrotów. Czyli albo wyrzucasz opakowania do śmieci i tracisz pieniądze, albo bawisz się w zbieractwo i noszenie do dużych punktów. Cwaniaczek właściciel cieszy się, że jego mały automacik jest pełen i teraz to nie jego problem, bo on nie ma obowiązku. A pieniądze za kaucję zostają u nie go w kasie, hehe.

Jak długo będzie się cieszył? Przypuszczam, że niezbyt długo. Ludzie nie lubią czuć się kantowani, więc będą wybierać sklepy, które ze zwrotem nie robią problemów. Bo może i sklep nie ma obowiązku przyjmowania opakowań, ale ja nie mam obowiązku robienia zakupów tam, gdzie czuję, że mnie olewają i biorą ode mnie pieniądze pod pozorem kaucji. Bo skoro jednocześnie nie mogę oddać identycznych opakowań w miejscu, gdzie kupuję, w momencie zakupu, to nie jest kaucja, tylko opłata.

Chodzić do innego sklepu tylko po to, żeby oddać opakowania raczej nie będzie się ludziom chciało. Zresztą, zapewne na to stawia od dawna Lidl, przyjmując także opakowania bez kaucji. Raz, żeby przyciągnąć ludzi do przyjścia, dwa, żeby budować pozytywne skojarzenia z marką. Czy zaraz będzie płacz, jak to „małe, lokalne” punkty upadają, bo, duże, złe markety^[2] je wykańczają?

Po drugie wierzę, że wkrótce miłościwie nam panujący wpadną na prosty sposób uzdrowienia systemu w postaci wprowadzenia obowiązku przyjmowania opakowań tego samego typu i ilości, czyli „na wymianę” przez wszystkie punkty. Bo nie chodzi o to, żeby obciążać małe sklepy obowiązkiem przyjmowania hurtowych ilości opakowań kupionych gdzie indziej np. w trakcie majówki. Ale jeśli sprzedają dwie puszki z kaucją, to co najmniej tyle powinni przyjąć na wymianę. Przy okazji można jeszcze rozszerzyć obowiązek kaucyjny na wszystkie opakowania szklane i będzie to w miarę funkcjonowało.

[1] W sumie tylko jednej mi nie przyjął, po kwasie chlebowym, choć wcześniej przyjął tego typu. No ale to był inny producent kwasu.
[2] Że niby Żabka to mała firma, ta, jasne…

Artykuł Kaucje pochodzi z serwisu Pomiędzy bitami.

Zacznę od narzekania. Strona Sesji Linuksowej to dziwny twór, z którym miałem problemy. Zaczęło się od tego, że jedna z przeglądarek (Firefox Focus) w ogóle nie pokazywała agendy. Druga pokazała, więc wzruszyłem ramionami. I tak by zostało i zapomniałbym o sprawie, gdyby nie dziwne godziny pokazane na desktopie (Firefox), gdy sprawdzałem pociągi pod kątem wyjazdu. Stwierdziłem, że z rozwiązaniem do agendy jest coś nie tak. Zacząłem walczyć z ustawieniami Focusa i… nie udało mi się wyświetlić treści agendy. Doszło do dość absurdalnej sytuacji, gdy miałem 4 różne przeglądarki, na 2 różnych systemach (Android, Linux). Z których jedna nie pokazywała agendy, a druga miała inne godziny, niż dwie pozostałe. Za każdym razem problem był na przeglądarce robionej przez Mozillę.

Owszem, dobrzy ludzie zwrócili mi później uwagę, że jest napisane System informatyczny Confreg wyświetla godziny w strefie czasowej zażądanej przez przeglądarkę. W przypadku używania funkcji ResistFingerprinting, godziny pokazują się w UTC. Wykłady zaczynają się o godzinie 9:00 czasu środkowoeuropejskiego letniego. Drobny problem polegał na tym, że było to napisane za agendą. A mnie interesował pierwszy wykład z uwagi na godzinę rozpoczęcia i kupno biletu. Ach, gdyby tylko można było wyświetlić godzinę korzystając z lokalnego czasu konferencji lub podać wprost strefę czasową, a nie zgadywać na podstawie strefy przeglądarki… Niby nic, ale naprawdę mało brakowało, żebym zrezygnował z przyjazdu. Dotarcie na siódmą rano w sobotę trochę mi się nie uśmiechało. Ostatecznie pewność zyskałem przy użyciu macOS z Chrome, bez dodatków. Czyli chwalmy open source i prywatność, ale jak coś trzeba zrobić, to… niekoniecznie się to sprawdza.

Na obronę systemu agendy powiem jedynie, że całkiem zgrabnie wg mnie pokazywał, w którym miejscu w agendy jesteśmy w danej chwili. Niby tylko czerwona linia, a bardzo ułatwiała korzystanie.

Byli sponsorzy ze stoiskami oraz konkursy. Korbank, którego znam z sieci ze starych czasów, ma teraz swoją kolokację i VPSy. W ramach konkursu można było złożyć serwer (prawdziwy) na czas^[1] i dostać talon na VPS i balon^[2]. Niby niezłe ceny, bo od 10 zł/m-c z VAT za najmniejszą maszynkę (10 GB dysku, 2 GB RAM, 1 vCPU), ale… wygląda, że do normalnego korzystania trzeba dokupić adres IPv4 za 5 zł/m-c, bo w standardzie jest IPv6. Jeśli wszystko pójdzie dobrze to uruchomię wkrótce i dam znać, czy da się korzystać bez IPv4. Tzn. czy i na ile jest to w praktyce problematyczne.

Drugi konkurs, w którym wziąłem udział, był „konferencyjny” i w przypadku niektórych zadań także dawał dostęp do VPSów. Też takich wyposażonych wyłącznie w IPv6, choć bez możliwości dokupienia IPv4. Chodzi o mikr.us, którym trochę chciałem się pobawić już wcześniej, a trochę nie widziałem sensu, skoro istnieją darmowe alternatywy, z lepszymi warunkami. No ale skoro można było się pobawić i sprawdzić w konkursie^[3], to niech będzie. Ku mojemu zdziwieniu, talon jest na całkiem mocną maszynę (wariant 3.5, czyli 4GB RAM, 40 GB dysk) i na rok. Nawet mam pomysł do czego go wykorzystam, choć pewnie starczyłaby połowa zasobów.

Powrót chciałem rozpocząć tramwajem, ale… Google maps stwierdziło, że tramwaj, którym przyjechałem, nie jeździ na dworzec. Pokazywało same autobusy. To skłoniło mnie do opcji numer dwa, czyli spaceru, który pierwotnie był przewidziany także na dotarcie na Sesję. Faktycznie, nie jest daleko, w czasie poniżej pół godziny spokojnie dało się dojść. Piękna pogoda, więc spacer po Wrocławiu zaliczony z przyjemnością. Pociąg punktualnie i w zasadzie bez niespodzianek, jeśli nie liczyć braku wagonu, w którym miałem miejsce. Okazało się, że dopiero je doczepią po podstawieniu, ale mogłoby to być zaznaczone na bilecie. Nie tylko ja byłem zaskoczony sytuacją i szukałem nieistniejącego jeszcze wagonu.

Wykłady z dnia drugiego – postaram się obejrzeć. Niestety, średnio lubię nagrania prezentacji ogólnie, a „scenicznych” szczególnie. Zwykle najwyżej średnia jakość dźwięku jest i nie wszystko dobrze widać. Choć sprawdziłem właśnie na YouTube nagrania z niedzieli i przyznaję, że jest zrobione profesjonalnie. Nie zmienia to faktu, że za rok i tak postaram się powtórzyć wypad.

[1] Oj, wyszedłem z wprawy, faktem jest, że ładnych parę lat nie składałem takiego sprzętu.
[2] To pomysł twórców, nie mój.
[3] Trochę miałem wyrzuty, bo dla grających w CTFy zadanie było proste. Jednak stwierdziłem, że po pierwsze nie mam żadnych powiązań z organizatorami, po drugie każdy może zrobić, po trzecie, wyjątkowo mam laptopa na konferencji, po czwarte, będzie okazja pobawić się VPSem.

UPDATE: Talon od Korbanku to zniżka (30%), nie doładowanie (30zł). Chęć na testy trochę mi spadła, zwłaszcza, że nie mam działającego IPv6 w tej chwili dostępnego od ręki. W dobie wszechobecnych free tier u dużych dostawców – jestem lekko zdziwiony.

Artykuł Sesja Linuksowa cz. 2 pochodzi z serwisu Pomiędzy bitami.

Wyjazd z Poznania o 7:30, przyjazd przed 9:00. Teoretycznie kwadrans tramwajem i jestem na miejscu, planowy start wykładów jest o 9:05, czasem jest poślizg, więc prawie powinienem zdążyć… Co może pójść źle? Wiele rzeczy… Ale udało się i zdążyłem na wykład o SSH niemal w całości. Myślałem, że temat nie będzie mnie w stanie specjalnie zaskoczyć, tymczasem sporo ciekawych zastosowań i możliwości. I to już na pierwszym wykładzie. A teraz kilka słów o wybranych^[2] wykładach.

Dziwnostki rozwoju kernela – ciekawe, trochę znałem, trochę nie. Fajnie pokazuje, jak jednak^[3] duże rzeczy działają, choć działają… dziwnie. Bo przysyłanie patchy mailem, zamiast pull requstów w systemie kontroli wersji, wygląda na spore utrudnienie.

Ciekawy wykład o Velvet OS, czyli instalacji Linuksa (Debiana) na chromebookach i nie tylko. Fajnie, że takie rzeczy się dzieją. Choć sam na chromebooku korzystam z ChromeOS. Zaskoczyło mnie, ile jest różnic, ograniczeń i problemów.

Wykład Ile tritów ma trajt – dość luźny, ale ciekawy, sporo historii komputerów – przypomniał mi niedawną dyskusję o tym, jak reprezentacja binarna wpływa na pojmowanie świata. I okazuje się – o czym nie wiedziałem – że może logika trójwartościowa być może wróci, bo jest przyjazna sieciom neuronowym i LLMom.

Ukryte koszty wolności – bardzo ciekawy, nietechniczny wykład o modelach rozwoju open source, problemach z finansowaniem i tym, że kiedyś były czasy… A teraz to fundacje, federacje, rządzą nimi korporacje. Celnie, choć pesymistycznie.

Tyle połowy. I połowy SL, i połowy opisu, bo na drugi dzień Sesji Linuksowej się nie wybieram w tym roku^[4]. Ale Wy możecie, wg mnie warto, więc szybko ten wpis, może ktoś się zdecyduje, a druga część… wkrótce.

A gdyby ktoś nie chciał jechać lub miał daleko, to jest streaming live. O którym nie wiedziałem, ale nie żałuję wycieczki. Tym bardziej, że osobiście nie przepadam za słuchaniem streamingów.

C.D.N.

[1] Były też warsztaty, ale zupełnie nie miałem na nie weny. To jednak w założeniu miał być relaks i miłe spędzenie czasu, bez większego wysiłku intelektualnego.
[2] Nie najlepszych, nie najciekawszych, wybranych. Wszystkie inne też prowadzone przynajmniej dobrze i ciekawe.
[3] A może właśnie dlatego?
[4] Niestety; wyłącznie logistyka i plany, nie jakość konferencji.

Artykuł Sesja Linuksowa, połowa pochodzi z serwisu Pomiędzy bitami.

Skrzynka email była u dostawcy poczty z „no log policy”, więc nie wróżyłem sukcesów. Zasugerowałem w pierwszej kolejności zmianę hasła do poczty, ustawienie tam 2FA (nie było). Konto LinkedIn zostało zablokowane, chcą weryfikacji dokumentem. Użytkownik ma opory przed przesłaniem go do firmy trzeciej. Trochę rozumiem, trochę nie.

Nie znam charakterystyki wykorzystania komputera, ani nawyków. Te sama hasła w różnych miejscach? Raczej wyciek czy raczej stealer? Użytkownik zrobił jakieś skany antywirusem (nic wyraźnego nie znalazło), zmienił hasła w innych usługach^[2] i ustawiał 2FA (dobry pomysł).

Timeline ataku:

• 12:58 – pierwszy mail z kodem,
• 13:00 – zmiana hasła do konta LinkedIn,
• 13:02 – drugi mail z kodem (zapewne atakujący loguje się nowymi danymi),
• 13:05, 13:08, 13:10 – dodane własne maile przez atakującego (czemu aż 3?).

LinkedIn wysyła sześcioznakowy kod na maila w celu potwierdzenia logowania. Nie wygląda na łatwe do brute force, kod był generowany tylko jeden za każdym razem. Czyli wszystko wskazuje na to, że atakujący miał dostęp do skrzynki. Ba, może nawet w ogóle najpierw uzyskał dostęp do skrzynki, zobaczył, że powiązana z kontem LinkedIn i je zaatakował? Dość długie odstępy pomiędzy kolejnymi krokami. Czyżby ręczne działanie?

W każdym razie pożar ugaszony. Pozostało obserwować, czy coś dziwnego się nie dzieje i ewentualnie odzyskać konto LinkedIn.

Jednak użytkownik jest niezadowolony. Narzeka, że LinkedIn nie rozpoznał ataku, a przecież IP było nietypowe, z innego kraju. Działania nietypowe. Narzeka, że chcą dokumentów. Trochę rozumiem, trochę nie.

Bo przecież z punktu widzenia użytkownika wszystko było w oczywisty sposób nietypowe. A z punktu widzenia LinkedIn? I ich skali?

Z perspektywy LinkedIn było to prawdopodobnie „czyste” logowanie. Prawidłowe hasło podane za pierwszym razem. Kod został wysłany na maila i potwierdzony. Zapewne także od razu. IP z innego kraju? To od lat bardzo słaba wskazówka. Masa ludzi korzysta teraz z VPNów, wielu urządzeń, wielu ludzi po prostu podróżuje.

Wyobraźmy sobie, że jesteśmy na urlopie w dalekim kraju, dostajemy sygnał od znajomych, że dziwne rzeczy dzieją się z naszym kontem w jakimś serwisie. Logujemy się, potwierdzamy kod z maila, chcemy zmienić hasło do serwisu. A skoro atakujący potwierdzali kod, to może problem jest ze skrzynką email? Chcemy zmienić inną, zaufaną, tam, gdzie mamy 2FA i wiemy, że wszystko jest OK. No i co, serwis miałby nie pozwolić? Kazać weryfikować się dokumentem? Nie wyobrażam sobie tego – ludzie by ich zjedli.

Blokada konta do czasu weryfikacji dokumentu jest jakby standardem. Nie jest idealna, ale działa dla wszystkich^[3], niezależnie czy ktoś płacił, czy zmieniał telefon, adres itp. Prosta procedura, bez wyjątków i warunków, to dobra procedura. Atakujący nie przekona pracownika, żeby sprawdził akurat coś, nad czym akurat ma kontrolę.

Uważam, że część winy ponosi tu ślepe zachwalanie prywatności. Obrońcy prywatności krzyczą, że fingerprinting urządzeń zły^[4], że trzeba się bronić. AI złe bo przetwarza dane nie wiadomo jak, trzeba się nie zgodzić. No log policy ma świadczyć o poszanowaniu prywatności, a VPN „zwiększa prywatność i bezpieczeństwo”. Ludzie może nie do końca rozumieją o czym mowa i dlaczego, ale wierzą. Wierzą reklamom, wierzą autorytetom. O tym, że nie wszystko jest dobre dla każdego, łatwo zapomnieć i mało kto to podkreśla. Wierzę, że agitatorzy prywatności nie mają złych intencji. Ale zapominają o poziomie wiedzy odbiorców i zakładają, że użytkownik jest w stanie sam skutecznie zadbać o bezpieczeństwo. Tymczasem niekoniecznie.

Czy gdyby fingerprinting był możliwy i powszechny, ludzie nie korzystaliby z VPNów tylko z „normalnych” IP, to serwisy lepiej chroniłyby użytkowników, lepiej rozpoznawały anomalie i byłoby bezpieczniej? Niekoniecznie. I raczej się tego nie dowiemy. Bo zabezpieczenia to koszt, czym innym jest profilowanie użytkownika dla większego zysku z reklam, a czym innym dla poprawy bezpieczeństwa. Za to wiemy, że teraz po prostu nie mają możliwości tego robić. Nie sensownie^[5], nie w dużej skali.

[1] Dlatego maile czy SMSy nie są dobrym 2FA. Oczywiście lepszy rydz, niż nic, ale 2FA powinno być na innym urządzeniu i niemożliwe przechwycenia.
[2] Niekoniecznie dobry pomysł, bo jeśli to stealer, to skrajnie może doprowadzić do pogorszenia sytuacji poprzez wycieku danych logowania do większej ilości serwisów.
[3] Żeby zrozumieć pewne rzeczy, potrzeba czasu, bo przecież sam narzekałem kiedyś na procedurę w Allegro. No, ale tam chodziło jednak trochę o coś innego, nie o sam fakt żądania dokumentu.
[4] Wystarczy przypomnieć ostatnią aferę, choć tam nie do końca o fingerprinting szło, a sprawy poszły za daleko.
[5] Dla jasności, systemy wykrywające anomalie nadal istnieją i działają. Skuteczność jest… różna. I jednak czym innym jest oznaczenie zdarzenia jako podejrzanego, a czym innym automatyczna blokada.

Artykuł Prywatność przeciw bezpieczeństwu pochodzi z serwisu Pomiędzy bitami.

Dziś dowiedziałem się o istnieniu strony, która pokazuje odpowiedź na tytułowe pytanie. Można by pomyśleć, że nieźli fanatycy piłki nożnej w tej Hiszpanii. Być może, ale ponownie, nie o to chodzi. Chodzi o wyrok sądu, który nakazuje największym hiszpańskim ISP blokadę… określonych IP CDNów w trakcie trwania transmisji niektórych rozgrywek. Na stronie hayahora.futbol jest opisane^[2], czemu blokada na poziomie IP, a nie DNS lub podobnej. Czyli cenzura, sankcjonowana przez prawo, pod hasłem ochrony własności intelektualnej i walki z piractwem.

W Polsce też mamy coś podobnego, za sprawą ustawy antyhazardowej. Co prawda obejście naszego wariantu jest trywialne, ale istnieje od wielu lat. I jest umocowany prawnie. Całkiem niedawno były próby wykorzystania listy tworzonej przez CERT Polska w podobnym celu. Tym razem nieudane.

I tak sobie myślę, że wydaje nam się, że w Europie, w XXI w. cieszymy się wolnością, nie to co [tu wstaw dowolną dyktaturę czy państwo wyznaniowe], a tymczasem wcale wiele się nie różnimy. Motywacja może trochę inna, ale metody jakby podobne.

[1] Jeszcze obustronne znaki zapytania by się przydały, jednak nie przesadzajmy.
[2] Jest, nieco mało widoczny, przełącznik języka. Do wyboru hiszpański i angielski.

Artykuł Czy teraz futbol? pochodzi z serwisu Pomiędzy bitami.

Jeśli chodzi o opakowania i ochronę towaru, to naprawdę słabe doświadczenie miałem tylko raz. Zakup wentylatora pionowego na Allegro, zapakowanego w pojedynczy karton. Kurier dostarczył połamany. Sprzedawca stwierdził, że to częste zjawisko i zaproponował wysłanie kolejnego, zapakowanego tak samo. Ponieważ niespecjalnie interesuje mnie generowanie odpadów, to wybrałem zwrot pieniędzy (bez problemu). Wentylator kupiłem w Lidlu, też online. Zapakowali w… podwójny karton, co tworzyło całkiem solidną konstrukcję.

Ale chodzi o coś innego. Ostatnio kupiłem parę rzeczy na Amazonie. Mam kupiony Prime, w sumie co prawda bardziej do filmów, ale ponieważ Allegro darmową dostawę ze Smart daje dopiero od wyższej kwoty, to w praktyce drobiazgi z Amazon wychodzą taniej. To, co zwraca uwagę przy zakupach z Amazona, to sposób pakowania. Jest minimalistyczne i ekologiczne. Może kwestia zamawianych rzeczy, ale praktycznie zawsze jest to tylko kartonowa koperta od Amazon. Wystarczy oderwać niezbyt mocno, choć pewnie trzymającą się naklejkę oraz pasek z klejem od zamknięcia i można wrzucać do makulatury. Oczywiście czasem sam towar ma jeszcze własne, fabryczne opakowanie – to już kwestia producenta.

Kolejnym etapem jest Allegro i większość sklepów online. Tu króluje folia bąbelkowa plus karton. Czasem, przy większych przesyłkach, dodatkowo jest jeszcze stretch, ale folię bąbelkową spotkamy nawet przy drobiazgach. Jeśli nie oddzielną, to w formie koperty bąbelkowej. Z takiej koperty trudno zerwać naklejkę. Przy większych przesyłkach często w ogóle nie ma naklejki, tylko kieszonka z folii przyklejona bardzo mocno do przesyłki, z włożoną kartką z adresem. Zwykle dodatkowo użyta jest gdzieś taśma samoprzylepna przezroczysta lub brązowa. Czyli jest to pakowane podobnie jak zrobiłbym to ja, nie mając żadnego doświadczenia, pakuję przesyłki.

Teoretycznie w przypadku koperty bąbelkowej można oddzielić folię od papieru, ale jest to trudne. A część z łączeniem zawsze jest trwałym połączeniem obu materiałów. Czasem – raczej w sklepach online, nie na Allegro – spotykam worek foliowy do którego jest włożony towar.

Ostatni rodzaj opakowania to chińskie koperty bąbelkowe, znane z zakupów na Aliexpress. Dziwny twór z trudnego do sklasyfikowania materiału, z czymś na kształt folii bąbelkowej wewnątrz. Naklejki nieusuwalne, bąbelki trwale połączone z wierzchnią częścią koperty. Wg mnie niesortowalne w żaden sposób, w żadnej części i tylko do odpadów zmieszanych się nadaje. Wg mnie najmniej ekologiczne.

Zastanawiam się, ile czasu zajmie pozostałym dotarcie do poziomu Amazon. Pamiętam, że Allegro nawet przy zakupach we własnym sklepie stosowało zwykłe kartony. Z wypełnieniem. Bo często kartony były o wiele za duże w stosunku do zamawianych przedmiotów. Nie wiem czy jest tak nadal – dawno ze sklepu Allegro nic nie zamawiałem.

Zastanawiam się też na ile na opakowanie zwracają kupujący. Ja tylko tyle, że po wielu latach zakupów online powstał ten wpis. Jak pisałem, uważam, że wpływu nie mam, a i zakupów online nie robię aż tak dużo, żeby to miało jakieś istotne znaczenie. Jednak ziarnko do ziarnka…

Artykuł Opakowania pochodzi z serwisu Pomiędzy bitami.

Co to w ogóle jest HTC-1? Jest to tani zegarek LCD przeznaczony do użytku wewnętrznego, z funkcją pomiaru wilgotności i temperatury. Zasilany jest jedną baterią AAA^[1], na której działa długo. Nie posiada żadnej łączności zdalnej, czyli nie sczytamy sobie wskazań do komputera. Ot, po prostu wyświetla godzinę, temperaturę i wilgotność. Posiada także alarm, ale z niego nie korzystam. Zgaduję, że nazwa HTC-1 pochodzi od humidity, temperature, clock.

O ile wskazania zegarka są OK, przynajmniej w moim egzemplarzu, to temperaturę pokazuje tylko z grubsza poprawnie. O wilgotności lepiej w ogóle nie wspominać[2]. No ale w zastosowaniu łazienkowym, czyli wyświetleniu czasu i przy okazji sugestii, czy dogrzać lub przewietrzyć pomieszczenie, jest OK, więc działa od lat.

Baterie wymienia się rzadko, ale – jak pisałem na wstępie – zawsze zapominam, jak ustawić datę i godzinę, zatem dla pamięci:

Ustawianie daty i godziny oraz trybu wyświetlania czasu (12/24h) na HTC-1

Korzystamy tylko z dwóch przycisków: MODE oraz ADJ.

• Przytrzymujemy przycisk MODE przez 2 sekundy, aż cyfry zaczną migać.
• Używamy przycisku ADJ aby zmienić wartość.
• Kolejne krótkie naciśnięcie MODE przenosi do ustawiania kolejnej pozycji.
• Ostatnie naciśnięcie MODE powoduje powrót do wyświetlenia zegara i normalnego działania.

Ustawianie alarmu w HTC-1

Alarm w HTC-1 ustawiamy analogicznie. Jedyna różnica jest taka, że najpierw przechodzimy w tryb alarmu raz krótko naciskając przycisk MODE.

Zupełne włączenie i wyłączenie alarmu osiągniemy poprzez naciskanie przycisku ADJ w trybie alarmu.

Źródło: HTC-1 instructions.

[1] Akumulator AAA działa równie dobrze i tak właśnie korzystam.
[2] Porównania w firmie, gdzie było suche powietrze. Profesjonalne mierniki miały wskazania inne, szybciej i zbieżne między sobą.

Artykuł HTC-1 skócona instrukcja pochodzi z serwisu Pomiędzy bitami.

Wydaje mi się, że autorzy trochę wyolbrzymiają. Co się dzieje technicznie? Na stronie LinkedIn jest javascript, którego zadaniem jest zebranie informacji o zainstalowanych rozszerzeniach w Chome^[1]. Jest to robione przy pomocy paru technik. Najważniejsza z nich opiera się o predefiniowaną listę rozszerzeń i obecnych w nich plików. Skrypt próbował czytać kolejne pliki i – w przypadku sukcesu – zapamiętywał informację, że dane rozszerzenie jest obecne (i aktywne). Tak zebrane informacje były wysyłane do właściciela LinkedIn, czyli Microsoftu. Nie ma natomiast mowy o przeszukiwaniu komputera, co sugeruje nagłówek autorów znaleziska. Aktywność jest ograniczona do plików rozszerzeń.

Autorzy znaleziska argumentują, że za sprawą rozszerzeń w przeglądarce można określić przekonania polityczne, religijne, zdrowotne i dotyczące zatrudnienia. Jestem w stanie się zgodzić, że w specyficznych przypadkach^[2] faktycznie da się określić je z wysokim prawdopodobieństwem. I – ponieważ użytkownik jest zalogowany – skorelować z konkretną osobą.

Zatem oburzenie na Microsoft jest słuszne. Czemu jednak jest ograniczone tylko do tej jednej firmy, a Google i twórcy rozszerzeń są tu pominięci? Cała technika możliwa jest tylko dlatego, że przeglądarka Google, podobnie jak wszystkie pochodne Chromium, stosują stałe lokalne identyfikatory rozszerzeń. Nie jest to żadna tajemnica. Nie jest to też norma wśród przeglądarek. Firefox na przykład stosuje losowe identyfikatory lokalne. Takie działanie uniemożliwia stronie próbę odczytu znanego pliku z rozszerzenia, więc technika nie zadziała.

Dodatkowo, twórcy rozszerzenia muszą w manifeście jawnie zezwolić stronie^[3] na dostęp do plików przy pomocy dyrektywy web_accessible_resources. Ładny opis, łącznie z tym, że Chrome nie ma losowych identyfikatorów znajdziemy na stronie Mozilli.

Czemu nie ma oburzenia na twórców Chromium, którzy nie randomizują lokalnych ID rozszerzeń? Ani na samych twórców rozszerzeń pozwalających na ustalenie wrażliwych danych, że pozwalają na czytanie plików rozszerzenia stronom^[4]? No i w końcu zastanawia mnie, czy to jedyna strona, która tak działa?

Sama funkcjonalność odczytu plików rozszerzeń nie jest nowa i była znana wielu osobom (tak, znałem). Zastosowanie jest… interesujące. Mi masowe skanowanie rozszerzeń nie przyszło do głowy. Może dlatego, że nie mam zastosowania dla tych danych? Czy za sprawą Browsergate będzie mała rewolucja w świecie rozszerzeń i podejściu do prywatności? Zobaczymy.

[1] Tak naprawdę w pochodnych Chromium.
[2] Wymieniają te przypadki i są to konkretne rozszerzenia, których obecność Microsoft celowo sprawdza.
[3] Lub stronom, możliwe wildcardy.
[4] No dobrze, nie zawsze może dać się uniknąć dostępu do plików, zapewne zależy od tego, co dane rozszerzenie robi.

Artykuł Browsergate pochodzi z serwisu Pomiędzy bitami.