Wampiryczny blog

Ciekawe: Can’t Touch This: Cloning Any Android HCE Contactless Card (slajdy). Przyznam, że początkowo liczyłem na coś nieco innego, ale i tak jest ciekawie. Liczy się threat model i ten scenariusz zdecydowanie ma sens.

Przy okazji - ponownie okazuje się, że podejście Apple może mieć więcej sensu. Jeśli pewne rzeczy są osadzone bezpośrednio w procesorze wówczas "proste" kopiowanie plików nie wystarczy. Z drugiej strony ciągle pozostaje pytanie czy aby na pewno sekret jest wystarczająco dobrze chroniony i czy wymaga świadomej akcji użytkownika, której malware nie jest w stanie w prosty sposób zasymulować / wymusić.

P.S. Dodam jedną rzecz na koniec - w przypadku takich rozwiązań (karta w telefonie) warto zadać sobie pytanie czy nowe rozwiązanie jest bezpieczniejsze, niż to, co dostępne jest już obecnie. To dość ciekawy eksperyment myślowy. Przykładowo kilka lat temu starałem się porównać płatności zbliżeniowe z noszeniem przy sobie gotówki. Wyglądało to całkiem sensownie przy założeniu, że po przekroczeniu pewnej kwoty dla płatności zbliżeniowych konieczne będzie podanie kodu PIN. Od tego czasu minęło już ładnych kilka lat i do tej pory nigdy nie zdażyło mi się podawać PIN przy płatnościach poniżej 50 PLN. Z drugiej strony pozytywnie zostałem zaskoczony w sytuacji, gdy starałem zmienić się dane karty w Amazon. Przy wymianie karty dane karty (numer) pozostał ten sam, natomiast CVV i data ważności uległy zmianie. Zachowanie Amazon w tej sytuacji bynajmniej nie było intuicyjne i... błyskawicznie zadzwonił do mnie mój bank informując mnie o nietypowej aktywności na mojej karcie.

Tak, mój Nexus wrócił z serwisu z wymienioną płytą główną. Na razie jednak zostaję przy iPhone jako głównym telefonie z dość prozaicznych przyczyn - mimo backupu telefonu (zarówno do chmury, jak i przez adb backup) i tak sporo ustawień trzeba zrobić od nowa. I to jest właśnie jeden z obszarów, w którym Google (i Android) nieco mnie irytuje.

Nie, nie interesuje mnie stosowanie rozwiązań typu Titanium Backup. Akurat są rzeczy, które po prostu powinny być, dobry backup/restore się do tych rzeczy zalicza.

W tym kontekście tak mi się skojarzyło: Is Apple’s Cloud Key Vault a crypto backdoor? Dlaczego? Bo jednym z bardziej wkurzających etapów odtwarzania telefonu z Androidem jest konfigurowanie (na nowo) kont.

Nie lubię zmiany czasu, a od dzisiaj mam ku temu kolejny powód. To już naprawdę nie chodzi o to "śpimy o godzinę krócej/dłużej", ale o dezorientację rano. Patrzysz na zegarek, jest godzina 8. Starego, czy nowego czasu? Coraz więcej urządzeń automatycznie aktualizuje czas, ale problem zaczyna się wtedy, gdy czas aktualizują również te urządzenia, których by się o to nie posądzało. Jeśli widzisz, że takie urządzenie i Twój telefon pokazują ten sam czas, jakoś łatwiej jest założyć, że to telefon się nie przestawił :).

Szkolenie z "pisania maili" uważam za jedno z najbardziej użytecznych, jeśli nie najbardziej użyteczne w mojej pracy. Kilka prostych zasad naprawdę pozwala znacząco poprawić efektywność komunikacji. Dodatkowo, pisząc "starannie" okazujemy również szacunek odbiorcy.

Dlaczego o tym wspominam? Dlatego, że otrzymuję wiadomości od rekruterów i często mam wrażenie, że ja z większą starannością czytam te wiadomości, niż oni je piszą. Zresztą nie tylko ja to zauważam. Przykłady? Proszę bardzo.

Rozumiem, że dobrze jest mieć szablon maila, to usprawnia pracę. Ale warto sprawdzić, czy aby na pewno szablon został dostosowany do odbiorcy. Wcale nie tak rzadko "pan" niespodziewanie staje się "panią", choć chyba jednak częściej "pani" zmienia się w "pana".

A co powiedzieć o sytuacji, gdy w tytule pojawia się "czy to oferta dla Ciebie", a w treści mamy "czy Pan byłby (...)"? Nie wiem, co razi mnie bardziej, brak spójności, czy forma "ty" w tytule, od którego lektura wiadomości się zaczyna. Może się nie znam, może już jestem stary...

Jeśli nadawca prosi mnie o kontakt w przypadku zainteresowania ofertą, dlaczego potem dziwi się, że nie otrzymuje żadnej odpowiedzi? Tak ciężko jest wywnioskować, że oferta mnie nie zainteresowała?

Generalnie mam wrażenie, że zagraniczni rekruterzy pod tym względem prezentują wyższy poziom. Większość wiadomości, które otrzymuję jest spersonalizowana, a z ich treści wynika, że ktoś przynajmniej zadał sobie trud przeczytania mojego profilu na LinkedIn. W przypadku naszych lokalnych rekrutacji to niestety nie jest normą. Kiedyś spędziłem sporo czasu przeglądając swój własny profil by ustalić, który z jego elementów sugerował, że jestem programistą i mogę być zainteresowany rolą programisty Javy. Bezskutecznie.

Tak, wygląda na to, że mój Nexus 5x padł ofiarą bootloop. Problem zaczął się po ostatniej aktualizacji zabezpieczeń (sam system to 7.1.1), choć wcale nie musi być z nią związany. Wygląda to dziwnie, bo telefon daje się uruchomić w trybie fastboot, ale przejście do trybu recovery udaje się sporadycznie. Sporadycznie również udaje się załadować system, ale po kilku(nastu) minutach pracy następuje restart i powtórka z rozrywki.

Cóż, na razie przesiądę się na telefon zapasowy, a potem zobaczę. Generalnie Google sobie grabi i coraz bardziej skłaniam się do przesiadki na iPhone. Planowałem zaczekać do iPhone 7s (lub cokolwiek to będzie), ale zobaczymy.

Jeśli chodzi o moje eksperymenty z iPhone, to rezultaty są mieszane, ale na tyle pozytywne, by przesiadki na iOS nie wykluczyć. W sumie najbardziej brakuje mi czegoś podobnego do BeyondPod w wersji dla iOS. Próbowałem kilku aplikacji na iOS, ale na razie żadna nie ujęła mnie jakoś specjalnie. Jeśli nie będę miał lepszej opcji prawdopodobnie zostanę przy Overcast, ale będzie to wybór na zasadzie mniejszego zła.