Paweł Goleń, blog

Ostatni raz iPada zmieniałem ponad 5 lat temu i już wtedy było to dość proste doświadczenie. Ostatnio postanowiłem odświeżyć nieco swój sprzęt i zdecydowałem się na iPad Pro 11". Wrażenia z konfiguracji nowego sprzętu? Magia. Konfiguracja praktycznie w całości przeniesiona ze starego urządzenia z minimalną interakcją wymaganą z mojej strony. Naprawdę jestem pod wrażeniem UX tego procesu.

Wiele razy miałem okazję występować w roli osoby prowadzącej rekrutację, w tym także w ostatnim czasie. W dalszym ciągu widzę te same trzy głównie typy reakcji w przypadku, gdy kandydat otrzymuje pytanie, na które nie zna odpowiedzi:

• mówi wprost, że nie wie,
• mówi, że nie wie, ale próbuje odpowiedzieć na pytanie,
• halucynuje „jak ChatGPT”.

Zacznę od opcji „halucynacji”. Chodzi mi o sytuację, w której kandydat z pewnością udziela odpowiedzi, która jest kompletnie niepoprawna. Jeśli jest to jednostkowy przypadek, to nie jest to problemem, każdy może się mylić i każdy może być przekonany o poprawności udzielonej odpowiedzi. Gorzej, jeśli ten schemat jest powtarzalny.

Zdecydowanie wolę pierwsze dwa przypadki, przy czym cenię jednak osoby, które próbują odpowiedzieć wykorzystując w tym swoją wiedzę, doświadczenie i intuicję. W takim przypadku często podpowiadam, staram się naprowadzić. Dlaczego? Bo ciężko jest znaleźć kogoś, kto wie wszystko. Moim celem jest zawsze znalezienie kogoś, kto już ma sporą wiedzę, ale jednocześnie jest w stanie efektywnie się uczyć, wnioskować. I ta umiejętność jest dla mnie często ważniejsza, niż sama wiedza „tu i teraz”.

A dlaczego martwi mnie „zła odpowiedź udzielana z dużą pewnością”? Cóż, mam doświadczenia z kilkoma osobami, które nie były w stanie oddzielić tego, co rzeczywiście wiedziały od tego, co im się wydawało. Czasem łatwiej jest nauczyć kogoś czegoś od początku, niż skorygować kogoś święcie przekonanego o swojej racji.

Wniosek? Nawet jeśli nie znasz wprost odpowiedzi na pytanie, warto próbować do niej dojść. Ale jeśli czegoś nie wiesz, lub nie jesteś pewny, warto powiedzieć o tym otwarcie.

Po roku od Z serii "człowiek uczy się całe życie" przeszedłem z microk8s na k3s. Dlaczego?

Both ARM64 and ARMv7 are supported with binaries and multiarch images available for both. K3s works great on something as small as a Raspberry Pi to an AWS a1.4xlarge 32GiB server.

I to rzeczywiście da się zauważyć. W przypadku microk8s miałem problemy z brakiem pamięci. Przy k3s dość konsekwentnie mam 1GiB dostępnej pamięci, przy takiej samej konfiguracji. Dzięki temu cały czas "mieszczę się" na ODROID-C4 z 4GiB RAM.

HRejterzy ostatnio opublikowali historię wymownie zatytułowana Rajesh - security researcher, ethical hacker. Film ten jest absolutnie genialny przez swoją autentyczność. Rajesh jest personifikacją zjawiska, które osoby mające udział w przetwarzaniu raportowanych błędów (niekoniecznie bezpieczeństwa) prawie na pewno mieli okazję zaobserwować. Ale czemu się tu dziwić?

Tak, wiele osób żyje z bug bounty i to żyje całkiem dobrze. Oczywiście wypłata jest (a przynajmniej powinna być) adekwatna do raportowanej podatności. Znalezienie podatności wymaga czasu, inwestycji w siebie. Ostatecznie może to nie jest dziwne, że te gorzej płatne podatności wymagające mniejszych umiejętności, zgłaszane są często z krajów, gdzie wartość pieniądza jest inna. Do tego dochodzi to, że angielski może być tam specyficzny, a i różnice kulturowe dają o sobie znać.

Efekt? Masa raportów wyglądających jak ten Rajesha. JA jestem SECURITY RESEARCHER. JA znalazłem WIELKĄ DZIURĘ, chcę PIENIĄDZE, bo inaczej.... (...). Inne raporty może nie są tak nachalne/agresywne, ale wciąż trudne do zrozumienia. Często raport dotyczy czegoś, co ma działać właśnie tak jak działa, albo rzeczywistej słabości, która jednak może nie mieć praktycznego przełożenia na ryzyko lub ryzyko to jest znane i zaakceptowane. Wtedy rozmowy mogą stać się trudne, bo komuś może być trudno zrozumieć, że brak Secure lub HTTPOnly na cookie analitycznym nie skutkuje w session hijacking.

Łatwo jest wrzucić wszystkie takie raporty do kosza z napisem "Rajesh", ale może zdarzyć się również tak, że zgłaszany błąd jest prawdziwy i z istotnym wpływem na ryzyko. A jedynym problemem jest to, że osoba zgłaszająca nie miała tyle szczęścia w życiu, by nauczyć się w miarę poprawnego języka angielskiego. I jest tak bardzo "zmotywowana", bo nawet te 50$ mogą realnie zmienić jej życie.

Tylko ciężko jest stwierdzić, czy zgłoszenie ma sens, jeśli jedynym komunikatem jest "znalazłem coś, daj mi 1000$, to powiem co to".

Polecam ciekawą dyskusję w tym wątku na LinkedIn. Zrobiły się rozważania o różnicach między PRNG i CRNG. A wszystko zaczęło się od kilku wykresów pokazujących dystrybucję funkcji random(), random(random()), random(random(random())), (...).