W końcu spokojny weekend. Spokojny w tym sensie, że nie zamierzam w jego trakcie grzebać we wnętrznościach żadnej aplikacji. Czasami trzeba zrobić sobie przerwę i wolny czas wykorzystać na coś innego.
Tematy różne, inne niż XSSy i SQLi
Mam w kolejce kilka książek do przeczytania, kilka innych do kupienia i, niespodzianka, książki te też z moją pracą w sposób bezpośredni nie są związane. Przykładowo na liście książek do przeczytania znajduje się Zakupologia. Z czego to wynika? Uważam, że znaczna część (większość?) osób technicznych, w tym i ja, cierpi na deficyt umiejętności miękkich. Doszedłem do wniosku, że braki te trzeba powoli uzupełniać, a przynajmniej zdobyć wiedzę teoretyczną w tym temacie. Dodatkowo jednym z zajmujących mnie tematów jest manipulowanie ludźmi, innym, w pewnym stopniu z nim związanym, zrozumienie mechanizmów kierujących ich (naszym) postępowaniem.
Dlaczego mnie to interesuje? Jeśli chodzi o manipulowanie ludźmi, to głównie z tego powodu, że... nie lubię być manipulowany. Chcę wiedzieć w jaki sposób ktoś może próbować mną manipulować. Może to się przydać w wielu sytuacjach, od irytujących reklam, aż po poważne negocjacje czy spotkania biznesowe.
Temat drugi, czyli mechanizmy postępowania, podejmowania decyzji (i kilka innych, których nie wymienię, bo nawet nie wiem, jak je nazwać) interesuje mnie dlatego, że nie do końca rozumiem otaczająca mnie rzeczywistość.
Przykładem sytuacji, której nie do końca rozumiem, jest zaciekła, emocjonalna obrona Romana Polańskiego. Mówię tu o aspektach, które nie są związane z "jakością" jego procesu przed 30 laty oraz dyskusjami winny/niewinny. Bardziej interesująca jest obserwacja tego, kto i dlaczego występuje w obronie Polańskiego. Ciekawe jest antropologiczne uzasadnienie tej obrony, w której solidarność wewnątrz grupy (grupa zawodowa, grupa narodowa) jest mechanizmem ukształtowanym ewolucyjnie, który ma zapewnić sukces danej grupy w populacji. Mechanizmem tak głęboko zakorzenionym, że pierwszą reakcją jest obrona "naszych" przed atakiem "obcych", bez głębszej refleksji nad tym, czy sytuacja przedstawia się rzeczywiście tak, jak to się wydaje.
Jest jeszcze jeden powód, który sygnalizowałem w Man vs. Machine:
Cóż, (pen)testerzy też są tylko ludźmi a ich działania obarczone są prawdopodobieństwem błędu. Nobody's perfect all of the time. W tym kontekście automaty mają kilka zalet. Są niedoskonałe, ale przynajmniej powtarzalne.
Chodzi mi właśnie o te błędy, które może popełnić człowiek w trakcie testów bezpieczeństwa. Konkretnie o te błędy, które wynikają z tego, że jest (tylko) człowiekiem. Nikt nie jest doskonały, każdy może popełnić (i popełnia) błędy. Ważne jest, by zrozumieć z czego one wynikają i podjąć działania, które prawdopodobieństwo popełnienia takich samych błędów w przyszłości zmniejszą. To właśnie o tym pisałem we wpisie Czas na zmiany. Obiecuję, że w końcu wrócę do tego tematu, choć wpisy popełnione w tak zwanym międzyczasie, zwłaszcza przykład z "oczywistą podatnością" nie są bezcelowe :)
