Paweł Goleń, blog

Coraz bardziej zastanawiam się nad kolejnym telefonem. Już kiedyś pisałem, że najprawdopodobniej będzie to iPhone, ale ciągle 100%25 pewności nie mam. Coraz bardziej natomiast mam sprecyzowane wymagania. Chcę telefon z wyświetlaczem w rozmiarze 4.7” (maksymalnie 5”), ale z w miarę nowoczesnymi wnętrznościami. A to wcale nie jest takie oczywiste, bo większość telefonów “urosła” ponad te graniczne 5”, więc wybór jest mocno ograniczony.

Kolejne wymaganie – system powinien być czysty, bez “udogodnień” producenta telefonu, a to w zasadzie przekreśla Androida. Google Pixel 2 podobno ma być dostępny w Polsce, podobno rozmiar ekranu będzie mieścił się w założonych przeze mnie granicach, czyli jest jeden potencjalny kandydat. Teoretycznie jest również seria Android One, ale umówmy się, że na teraz nie widzę tam nic ciekawego (temat dostępności tych telefonów w Polsce pominę).

A co jeśli iPhone? Cóż, od dłuższego czasu używam iPhone 6 i telefon oraz system generalnie dają radę, choć jest kilka otwartych tematów:

• Nie mogę zmusić aplikacji Google do takiego samego działania jak na Androidzie, choć według dokumentacji powinno to być możliwe; chodzi o takie rzeczy jak karty w aplikacji Google (Google Now), czy pokazywanie kolejnych spotkań w Google Maps;
• Sposób wyświetlania powiadomień na iOS powoduje, że dość często zdarza mi się coś przeoczyć lub zareagować z opóźnieniem;

...i w zasadzie to tyle. Oczywiście iOS i Android bardzo się różnią, więc gdyby się skupić na niuansach lista byłaby dużo dłuższa, ale w zasadzie tylko te punkty wymienione wyżej robią mi zauważalną różnicę. Zauważalną, ale można z nią żyć.

A jeśli miałby to być iPhone, to może iPhone SE? Tak, ekran ma mniejszy od założonych parametrów, komponenty może nieco przestarzałe (choć to się może zmienić przy iPhone SE2), ale może być wystarczająco dobry.

P.S. iPhone, z którego korzystam, ma tylko 16GB pamięci i to jest jednym z głównych “motywatorów”, by po prezentacji kolejnych telefonów Apple podjąć decyzję co dalej.

Oryginał tego wpisu dostępny jest pod adresem Następny telefon

Autor: Paweł Goleń

Generalnie nie mam czasu prawie na nic, ale są wyjątki. Na przykład słucham sobie podcastów i od czasu do czasu robię notatki czemu warto się przyglądnąć, kiedy odrobina czasu się pojawi. Jedną z pozycji na liście od dawna był OWASP Juice Shop Project. Jedną z ważnych cech tego projektu jest to, że wykorzystuje on AngularJS.

Ostatnio trafiła się okazja, by przyjrzeć się Juice Shop nieco bliżej, właśnie z uwagi na wykorzystanie AngularJS. W skrócie – mimo tego, że nie zajmuję się aktywnie testowaniem aplikacji od pewnego czasu, nieskromnie powiem, że nadal potrafię szybko się nauczyć jak coś psuć.

Polecam do zabawy!

Oryginał tego wpisu dostępny jest pod adresem Do zabawy: Juice Shop

Autor: Paweł Goleń

Wszystko zaczęło się od Jabra Sport Wireless+, które wyzionęły ducha. W zamian dostałem Jabra Sport Pace, które wyzionęły ducha. Były jednak na tyle miłe, by wyzionąć ducha jeszcze w trakcie gwarancji. Dostałem za nie kolejny raz Jabra Sport Pace, które właśnie wyzionęły ducha... Już jest po gwarancji, więc...

Trzy egzemplarze dwóch różnych typów. Wniosek? Następne słuchawki będą innej firmy.

Oryginał tego wpisu dostępny jest pod adresem Ach te słuchawki sportowe

Autor: Paweł Goleń

Nigdy nie przemawiała do mnie koncepcja wielu pulpitów. Kilka razy próbowałem (jedno z podejść – Desktops v2.0), ale nie przekonałem się, z różnych powodów, głównie chyba dlatego, że nie widziałem konkretnych zysków dla mnie (wygoda pracy, efektywność) z takiego rozwiązania.

Obecnie Windows 10 oferuje wirtualne pulpity, które działają całkiem dobrze, ale cały czas nie do końca mnie przekonują, ale próbuję się do nich przekonać (może po zmianie ustawień domyślnych będzie ciut lepiej). Bardziej podoba mi się to, co jest dostępne w Mac OS, gdzie mogę stworzyć taki “desktop” maksymalizując aplikację i wygodnie przełączać się między nimi używając gestów.

Oryginał tego wpisu dostępny jest pod adresem Wirtualne pulpity

Autor: Paweł Goleń

Lubię czytać. Czasami mam takie dziwne uczucie, kiedy jestem w miejscu, o którym czytałem, i które było tak odległe. Przykład? Karol May pisał nie tylko książki o Dzikim Zachodzie, część z jego powieści rozgrywało się w Afryce. O ile mnie pamięć nie myli, w cyklu W kraju Mahdiego wspomniana była przeprawa przez katarakty nilowe. Mając na uwadze, że cykl ten czytałem świeżo po upadku PRL, to miejsce było tak odległe. Było, bo płynąłem Nilem, a mniejszą łódką płynąłem przez kataraktę (pierwszą).

Pamiętam też jak palcem po mapie śledziłem akcję Dzieci kapitana Granta. Zresztą nie tylko tej książki, ale akurat ta pod tym względem była fascynująca, podróż dookoła świata znając tylko szerokość geograficzną.

W tych czasach nie było Google Maps, nie było Google Earth. W większości wypadków najlepszymi mapami były te w atlasach szkolnych...

A teraz zmiana tematu, choć nie taka całkowita. David Morrell i Trylogia Bractwa (Bractwo Róży, Bractwo Kamienia, Bractwo Nocy i Mgły). Znów, moja pamięć może być zawodna, ale we wstępie/prologu do jednej z powieści tego cyklu wspomniany był... terror. Terror, w którym chodziło nie o to, by osiągnąć coś innego poza strachem. Bo właśnie o to chodzi w terrorze. I wiecie co, terroryści wygrywają. Boimy się. Krok po kroku oddajemy swoją wolność, niezależność, prywatność po to, by ktoś (państwo, służby) nas chronił. Kolejne środki bezpieczeństwa kosztują, a nie są w pełni bezpieczne. I nigdy nie będą, bo nie mogą być. Obrońcy są na z góry przegranej pozycji, nie mogą ochronić nas przed wszystkim. A jeśli ktoś twierdzi, że mogą – czy naprawdę chcielibyście żyć w świecie, który w którym to jest możliwe?

Oryginał tego wpisu dostępny jest pod adresem Dawne czasy, i teraz

Autor: Paweł Goleń

Po instalacji Creators Update mój system zaczął czasami zamierać. Konkretnie zamiera tylko w przypadku używania touchpad, problem pojawia się niedeterministycznie po pewnym czasie używania systemu. Mam podejrzenia, że problem powodują sterowniki do touchpad, więc postanowiłem je odinstalować. Wszystko działa, ale w pewnej chwili Windows postanawia poprawić moje zaniedbanie i radośnie instaluje te sterowniki dla mnie (tak, mogę to wyłączyć, ale z tego co wiem – globalnie, chyba nie mogę wyłączyć automatycznej instalacji tego jednego konkretnego sterownika).

Cóż, po co się kopać z koniem. W takim razie może wyłączyć sterowniki / serwisy związane z tym sterownikiem? Liczyłem się z tym, że ten eksperyment może zakończyć się pewnymi problemami, na przykład tym, że touchpad nie będzie wcale działał. Miałem rację, ale okazuje się, że w bonusie dostałem... niedziałającą klawiaturę. Super.

Skończyło się na dobraniu się do systemu plików, podmontowaniem rejestru w innym systemie (w zasadzie to w WindowsPE czy jak to się tam teraz nazywa), modyfikacja ustawień sterownika (automatyczny start). Tak, zdecydowanie należy przenieść mnie do sekcji gimnastycznej...

P.S. W ramach dalszej diagnostyki zamierzam zmienić sterownik od Della na (nowszy) sterownik bezpośrednio z Synaptics.

Oryginał tego wpisu dostępny jest pod adresem Jak strzelić sobie z łuku w kolano

Autor: Paweł Goleń

W ramach przypomnienia:

• Nimda
• Code Red
• Slammer
• Blaster

W takim kontekście nie do końca jestem w stanie zrozumieć twierdzeń o “największym, skoordynowanym ataku hackerskim”. Jakoś słowo “skoordynowany” w tym wypadku mi nie pasuje, największy outbreak to też nie był.

P.S. A jak tam Wasze backupy offline?

Oryginał tego wpisu dostępny jest pod adresem WannaCry

Autor: Paweł Goleń

Ciekawe: Can’t Touch This: Cloning Any Android HCE Contactless Card (slajdy). Przyznam, że początkowo liczyłem na coś nieco innego, ale i tak jest ciekawie. Liczy się threat model i ten scenariusz zdecydowanie ma sens.

Przy okazji – ponownie okazuje się, że podejście Apple może mieć więcej sensu. Jeśli pewne rzeczy są osadzone bezpośrednio w procesorze wówczas “proste” kopiowanie plików nie wystarczy. Z drugiej strony ciągle pozostaje pytanie czy aby na pewno sekret jest wystarczająco dobrze chroniony i czy wymaga świadomej akcji użytkownika, której malware nie jest w stanie w prosty sposób zasymulować / wymusić.

P.S. Dodam jedną rzecz na koniec – w przypadku takich rozwiązań (karta w telefonie) warto zadać sobie pytanie czy nowe rozwiązanie jest bezpieczniejsze, niż to, co dostępne jest już obecnie. To dość ciekawy eksperyment myślowy. Przykładowo kilka lat temu starałem się porównać płatności zbliżeniowe z noszeniem przy sobie gotówki. Wyglądało to całkiem sensownie przy założeniu, że po przekroczeniu pewnej kwoty dla płatności zbliżeniowych konieczne będzie podanie kodu PIN. Od tego czasu minęło już ładnych kilka lat i do tej pory nigdy nie zdażyło mi się podawać PIN przy płatnościach poniżej 50 PLN. Z drugiej strony pozytywnie zostałem zaskoczony w sytuacji, gdy starałem zmienić się dane karty w Amazon. Przy wymianie karty dane karty (numer) pozostał ten sam, natomiast CVV i data ważności uległy zmianie. Zachowanie Amazon w tej sytuacji bynajmniej nie było intuicyjne i... błyskawicznie zadzwonił do mnie mój bank informując mnie o nietypowej aktywności na mojej karcie.

Oryginał tego wpisu dostępny jest pod adresem HITB: Cloning Any Android HCE Contactless Card

Autor: Paweł Goleń

Tak, mój Nexus wrócił z serwisu z wymienioną płytą główną. Na razie jednak zostaję przy iPhone jako głównym telefonie z dość prozaicznych przyczyn – mimo backupu telefonu (zarówno do chmury, jak i przez adb backup) i tak sporo ustawień trzeba zrobić od nowa. I to jest właśnie jeden z obszarów, w którym Google (i Android) nieco mnie irytuje.

Nie, nie interesuje mnie stosowanie rozwiązań typu Titanium Backup. Akurat są rzeczy, które po prostu powinny być, dobry backup/restore się do tych rzeczy zalicza.

W tym kontekście tak mi się skojarzyło: Is Apple’s Cloud Key Vault a crypto backdoor? Dlaczego? Bo jednym z bardziej wkurzających etapów odtwarzania telefonu z Androidem jest konfigurowanie (na nowo) kont.

Oryginał tego wpisu dostępny jest pod adresem Powrót Nexusa

Autor: Paweł Goleń