Paweł Goleń, blog

Jak zwykle miałem problem z wymyśleniem tytułu wpisu, więc użyłem stwierdzenia, używanego często przez mojego znajomego, a którego znaczenia nie podejmuję się wytłumaczyć. Nie, nie chodzi tutaj o znaczenie bezpośrednie, ale o kontekst, w którym jest ono używane.

Do rzeczy. Bardzo spodobał mi się wpis Tomka – Od Maca do Booka. Od dłuższego czasu używam na zmianę Dell XPS 13 oraz MacBook Pro 13”, model z 2015 roku. Części problemów opisanych przez Tomka nie doświadczyłem (choćby klawiatura), części tak (patrz Staingate). Jeśli chodzi o przegrzewanie się to większe problemy mam z moim XPS, może to czas zanieść go do serwisu, przeczyścić, (...).

Ale do rzeczy. Coraz bardziej jest mi wszystko jedno, którego systemu akurat używam. Lepiej czuję się pod Windows, znam go lepiej, ale praca na MacBooku nie jest wcale traumatycznym przeżyciem. Natomiast najistotniejsze jest to, że coraz większy udział w czasie spędzonym „przed komputerem” ma iPad, który jest wystarczająco dobry, jest cichy, ma bardzo przyzwoity czas pracy na baterii, a w przypadku potrzeby napisania większej ilości tekstu – pod ręką mam klawiaturę.

Gdyby ktoś mnie zapytał jaki będzie mój kolejny laptop – nie wiem. Natomiast najbliższym nabytkiem prawdopodobnie będzie nowszy iPad, i to wcale nie Pro – „zwykły” jest wystarczająco dobry.

Oryginał tego wpisu dostępny jest pod adresem I’m agnostic to (...)

Autor: Paweł Goleń

Ostatnio zmieniałem ISP, tym razem światłowód. Cóż, to dość dziwne uczucie, gdy kabel, który sam zaciskałeś dość dawno temu okazuje się powodem ograniczenia przepustowości łącza. Tak, obecnie moje łącze to ponad 100Mbps, a kabel, który był słabo zaciśnięty, ograniczał przepustowość do 100Mbps. Wcale nie jest wykluczone, że ten kabel zaciskałem w czasie, gdy łącze, z którego korzystałem miało zawrotną przepustowość 512kbps...

P.S. Tym razem mam swoją skrzynkę z krosownicą. Udało się nie stracić żadnych palców przy zabawie z kabelkami.

Oryginał tego wpisu dostępny jest pod adresem Czasy się zmieniają

Autor: Paweł Goleń

Tak, udało się, tym razem łączny dystans to 1200 kilometrów. W tym roku dystans nie był celem samym w sobie, chodziło mi przede wszystkim o utrzymanie nawyku i to udało się zrealizować. Trzy razy w tygodniu (z reguły – poniedziałek, środa i piątek) czuję wewnętrzną presję by pójść pobiegać. Oczywiście zdarzały się tygodnie, gdy nie udało się tego osiągnąć, ale to były raczej odstępstwa od reguły, zwykle spowodowane „obiektywnymi trudnościami”.

Czytaj dalej...

No dobrze, więc co z tą kartą / Apple Pay? Rozważmy dwa scenariusze:

  1. Znajdujesz kartę, jaka jest szansa, że wpisując losowy PIN trafisz w ten prawidłowy?
  2. Znajdujesz telefon, jaka jest szansa, że odcisk Twojego palca zostanie rozpoznany jako prawidłowy?

PIN karty to typowo 4 cyfry. Daje to 10 000 możliwych kodów PIN. Do tego z reguły są trzy próby, czyli szansa powodzenia to (mniej więcej) 1 / 3 333. W praktyce można byłoby pokusić się o sprawdzenie najczęściej występujących kodów PIN co szanse powodzenia zwiększyłoby jeszcze bardziej (patrz: PIN analysis). Można jeszcze dyskutować, czy kody PIN do kart są wybierane przez użytkowników, czy ustawiane w sposób losowy przez bank, jak często klienci korzystają z opcji zmiany PINu (jeśli taka jest udostępniana), ale nie jest to istotne dla tej dyskusji.

Co z biometrią? W tym przypadku kluczowy jest parametr FAR (False Acceptance Rate lub False Match Rate – patrz: biometrics). W przypadku czytników wykorzystywanych obecnie w telefonach parametr ten ma wartość 1:50000, czyli zaczynamy z nieco lepszego poziomu, niż w przypadku PIN. No właśnie, zaczynamy. W przypadku biometrii też mamy kilka prób (trzy), więc można mówić o szansie mniej więcej na poziomie 1 / 16 666. Całość pogarsza się jeszcze, gdy dodany jest więcej niż jeden odcisk palca.

Warto też zwrócić uwagę na to, jak w tym kontekście wypada FaceID.

Oryginał tego wpisu dostępny jest pod adresem To co z tą kartą?

Autor: Paweł Goleń

Załóżmy, że gubisz:

  • Kartę kredytową (wymagającą kodu PIN);
  • iPhone z aktywnym Apple Pay.

Pytanie, co jest bardziej prawdopodobne:

  • stracić pieniądze przez kartę (zakładając, że konieczne jest użycie kodu PIN);
  • stracić pieniądze przez Apple Pay?

Oryginał tego wpisu dostępny jest pod adresem Zagadka (karta vs. Apple Pay)

Autor: Paweł Goleń

Wspominałem już, że regularnie słucham różnych podcastów, bo pozwala mi to „odzyskać” trochę czasu przez robienie dwóch rzeczy na raz. Jednym z podcastów, które słucham, jest Hackable. Słucham, ale coraz częściej staje się on wypełniaczem czasu niż czymś, czego słucham uważnie. Dlaczego? Poziom. Podcast zwykle zaczyna się budującą napięcie sceną z jakiegoś znanego filmu lub serialu (oczywiście z hackerem w tle), a potem? Potem jest gorzej.

Właśnie, z tym gorzej mam pewien dylemat – nie wiem, czy problemem jest podcast (jego zawartość merytoryczna), czy raczej ja. Przykładem może być najnowszy epizod, Prying Eyes. Mamy rok 2018 a tematem przewodnim tego odcinka jest szyfrowanie (dysku w laptopie), a wielkim odkryciem jest to, że niezaszyfrowany dysk można podłączyć do innego komputera i uzyskać dostęp do danych. Szok! Brakowało tylko stwierdzenia, że kiedy usuwamy pliki z dysku to nie usuwamy ich naprawdę.

Po krótkiej refleksji – podcast jest w miarę OK, jest po prostu adresowany do innego odbiorcy niż ja. Jeśli ktoś z Was szuka podcastu poruszającego podstawowe tematy związane z bezpieczeństwem, Hackable to całkiem niezły wybór.

Oryginał tego wpisu dostępny jest pod adresem Hackable

Autor: Paweł Goleń

W tym roku nawet szybciej niż w ubiegłym (patrz też: 1103).

Oryginał tego wpisu dostępny jest pod adresem 1000 (2018)

Autor: Paweł Goleń

...i na razie rozbijam się o ścianę. Obiekt testów wybrałem niezbyt ambitny – swój własny blog. Pierwsze zadanie – crawling (patrz: Burp's new crawler). Niestety, do tej pory nie udało mi się doczekać końca tego zadania (kilka podejść w kilku kolejnych wersjach beta). Crawler wysyła ponad 20k requestów i nadal końca nie widać.

Dla porównania:

  • OWASP Zap – 14453 URLi, 2541 unikalnych;
  • Burp 1.7.x – 4652 requestów, 2208 unikalnych URLi.

Kompletnie pomijając kwestię dokładności oraz czas trwania – w przypadku starszej wersji Burp oraz OWASP ZAP najistotniejsze jest to, że spidering się kończy.

Oryginał tego wpisu dostępny jest pod adresem Próbuję nowego Burpa i...

Autor: Paweł Goleń

Korzystam z wielu usług oferowanych przez Google. Korzystam, ale im nie ufam. Nie, nie chodzi o to, że ktoś czyta moje maile albo przegląda wydarzenia w kalendarzu. Chodzi o to, że usługa, z której korzystam może sobie zniknąć. Ot tak.

Tym razem chodzi o Inbox. Korzystam z tej usługi od kiedy tylko było to możliwe i pasuje mi dużo bardziej niż Gmail. Mówię to przede wszystkim o aplikacji mobilnej. I co? I to:

Inbox by Gmail is going away at the end of March 2019. Use the new Gmail to help you get more done and continue your conversations without interruption.

Oryginał tego wpisu dostępny jest pod adresem Google znowu to zrobi(ło)

Autor: Paweł Goleń

Dawno, dawno temu pisałem, że byłbym w stanie zapłacić za usługę polegającą na doborze i prezentowaniu interesujących mnie treści. Dobór miałby polegać na merytorycznej weryfikacji zawartości, prezentacja – cokolwiek (to były jeszcze zamierzchłe czasy gdy RSS był nowy i trendy). Cóż, dalej czekam na taką usługę.

Usług oferujących feed newsów jest sporo, wystarczy wymienić Google News (Wiadomości Google), czy Wiadomości (Microsoft), do tego taki feed jest oferowany w przeglądarkach (choćby Chrome, Edge). W dalszym ciągu to nie to.

Po pierwsze jakość informacji – przeraźliwie niska. Nie, nie jest dobrze, gdy 50%25 kanału “Nauka i technika” stanowią artykuły o grach komputerowych. Do tego informacje o nowych telefonach/tabletach/zegarkach oraz “spadochroniarze” typu “Kandydat na prezydenta ugodzony nożem” (przykład błędnej klasyfikacji treści). Podobnie w innych kategoriach. W zasadzie nie – w porównianiu z innymi kategoriami “Nauka i technika” nie wypada tak źle.

Po drugie duplikacja treści - OK, rozumiem, ten sam temat może być poruszany w wielu źródłach, wolałbym jednak, by w takich przypadkach następowało grupowanie treści. Niby próby są podejmowane, ale wciąż daleko temu do używalności (nie mówiąc o doskonałości).

Po trzecie niedopasowanie treści do odbiorcy - zarówno Microsoft jak i Google mają mnie dość dobrze sprofilowanego (w to nie wątpię). Czy nie można tej wiedzy wykorzystać do tego, by przestać prezentować mi treści, które mnie nie zainteresują? Co więcej, mimo możliwości oznaczania w aplikacji artykułów, które mnie (nie)interesują nie widzę wielkiego wpływu takich działań na prezentowanie później treści.

Po czwarte głupie pomysły EU wygoda użytkowania - nie, nie podoba mi się to, że po otwarciu strony z artykułem muszę się przeklikać przez kilka okienek informacyjnych o cookies, danych osobowych i tak dalej. Tak wiem, obowiązki informacyjne i tak dalej...

(....) i jest tego więcej...

Oryginał tego wpisu dostępny jest pod adresem Newsy są coraz gorsze

Autor: Paweł Goleń