Paweł Goleń, blog

Tak, mój Nexus wrócił z serwisu z wymienioną płytą główną. Na razie jednak zostaję przy iPhone jako głównym telefonie z dość prozaicznych przyczyn – mimo backupu telefonu (zarówno do chmury, jak i przez adb backup) i tak sporo ustawień trzeba zrobić od nowa. I to jest właśnie jeden z obszarów, w którym Google (i Android) nieco mnie irytuje.

Nie, nie interesuje mnie stosowanie rozwiązań typu Titanium Backup. Akurat są rzeczy, które po prostu powinny być, dobry backup/restore się do tych rzeczy zalicza.

W tym kontekście tak mi się skojarzyło: Is Apple’s Cloud Key Vault a crypto backdoor? Dlaczego? Bo jednym z bardziej wkurzających etapów odtwarzania telefonu z Androidem jest konfigurowanie (na nowo) kont.

Oryginał tego wpisu dostępny jest pod adresem Powrót Nexusa

Autor: Paweł Goleń

Nie lubię zmiany czasu, a od dzisiaj mam ku temu kolejny powód. To już naprawdę nie chodzi o to “śpimy o godzinę krócej/dłużej”, ale o dezorientację rano. Patrzysz na zegarek, jest godzina 8. Starego, czy nowego czasu? Coraz więcej urządzeń automatycznie aktualizuje czas, ale problem zaczyna się wtedy, gdy czas aktualizują również te urządzenia, których by się o to nie posądzało. Jeśli widzisz, że takie urządzenie i Twój telefon pokazują ten sam czas, jakoś łatwiej jest założyć, że to telefon się nie przestawił :).

Oryginał tego wpisu dostępny jest pod adresem Zmiana czasu

Autor: Paweł Goleń

Szkolenie z “pisania maili” uważam za jedno z najbardziej użytecznych, jeśli nie najbardziej użyteczne w mojej pracy. Kilka prostych zasad naprawdę pozwala znacząco poprawić efektywność komunikacji. Dodatkowo, pisząc “starannie” okazujemy również szacunek odbiorcy.

Dlaczego o tym wspominam? Dlatego, że otrzymuję wiadomości od rekruterów i często mam wrażenie, że ja z większą starannością czytam te wiadomości, niż oni je piszą. Zresztą nie tylko ja to zauważam. Przykłady? Proszę bardzo.

Rozumiem, że dobrze jest mieć szablon maila, to usprawnia pracę. Ale warto sprawdzić, czy aby na pewno szablon został dostosowany do odbiorcy. Wcale nie tak rzadko “pan” niespodziewanie staje się “panią”, choć chyba jednak częściej “pani” zmienia się w “pana”.

A co powiedzieć o sytuacji, gdy w tytule pojawia się “czy to oferta dla Ciebie”, a w treści mamy “czy Pan byłby (...)”? Nie wiem, co razi mnie bardziej, brak spójności, czy forma “ty” w tytule, od którego lektura wiadomości się zaczyna. Może się nie znam, może już jestem stary...

Jeśli nadawca prosi mnie o kontakt w przypadku zainteresowania ofertą, dlaczego potem dziwi się, że nie otrzymuje żadnej odpowiedzi? Tak ciężko jest wywnioskować, że oferta mnie nie zainteresowała?

Generalnie mam wrażenie, że zagraniczni rekruterzy pod tym względem prezentują wyższy poziom. Większość wiadomości, które otrzymuję jest spersonalizowana, a z ich treści wynika, że ktoś przynajmniej zadał sobie trud przeczytania mojego profilu na LinkedIn. W przypadku naszych lokalnych rekrutacji to niestety nie jest normą. Kiedyś spędziłem sporo czasu przeglądając swój własny profil by ustalić, który z jego elementów sugerował, że jestem programistą i mogę być zainteresowany rolą programisty Javy. Bezskutecznie.

Oryginał tego wpisu dostępny jest pod adresem Jak nie pisać maili

Autor: Paweł Goleń

Tak, wygląda na to, że mój Nexus 5x padł ofiarą bootloop. Problem zaczął się po ostatniej aktualizacji zabezpieczeń (sam system to 7.1.1), choć wcale nie musi być z nią związany. Wygląda to dziwnie, bo telefon daje się uruchomić w trybie fastboot, ale przejście do trybu recovery udaje się sporadycznie. Sporadycznie również udaje się załadować system, ale po kilku(nastu) minutach pracy następuje restart i powtórka z rozrywki.

Cóż, na razie przesiądę się na telefon zapasowy, a potem zobaczę. Generalnie Google sobie grabi i coraz bardziej skłaniam się do przesiadki na iPhone. Planowałem zaczekać do iPhone 7s (lub cokolwiek to będzie), ale zobaczymy.

Jeśli chodzi o moje eksperymenty z iPhone, to rezultaty są mieszane, ale na tyle pozytywne, by przesiadki na iOS nie wykluczyć. W sumie najbardziej brakuje mi czegoś podobnego do BeyondPod w wersji dla iOS. Próbowałem kilku aplikacji na iOS, ale na razie żadna nie ujęła mnie jakoś specjalnie. Jeśli nie będę miał lepszej opcji prawdopodobnie zostanę przy Overcast, ale będzie to wybór na zasadzie mniejszego zła.

Oryginał tego wpisu dostępny jest pod adresem Nexus 5x i bootloop

Autor: Paweł Goleń

Jednym ze sposobów leczenia fobii jest konfrontacja z nimi (choćby tak jak to jest opisane tutaj: Arachnofobia jest wyleczalna). Od jakiegoś czasu stosuję to podejście odnośnie produktów Apple. Skutki – różne.

Jak do tej pory jestem szczęśliwym posiadaczem jednego produktu – iPad Air, ale mam możliwość eksperymentowania z innymi – w szczególności z MacBook Pro oraz różnymi wersjami iPhone.

Samego iPad uważam za genialny sprzęt i zaczynam się zastanawiać nad kupnem kolejnego egzemplarza, jakiś iPad 4 Mini z LTE chodzi mi po głowie. iPad Pro z kolei chyba jednak przegrałby z czymś z rodziny Microsoft Surface, ale to trochę oddzielny temat.

Do MacBooka powoli się przyzwyczajam. Podkreślam – powoli. Na przykład uporczywie wzbraniam się przed mapowaniem prawego cmd , w związku z czym polskie litery cały czas stanowią dla mnie pewne wyzwanie. Przyzwyczaiłem się natomiast do touchpada i doszło do tego, że do mojego XPS zacząłem podpinać myszkę(!). Do samego systemu przyzwyczajam się nieco wolniej. Tak wiem, mogę zainstalować coś innego, ale nie o to chodzi. Jeśli zdecydowałbym się na przejście na MacBooka, to z całym dobrodziejstwem inwentarza.

iPhone... Z tym mam najwięcej problemów. Do pewnego stopnia przejście z Androida na iOS byłoby dla mnie większym wyzwaniem, niż przejście z Windows na MacOS. Z drugiej jednak strony zmiana podejścia Google do linii Nexus i to, co niesie ze sobą Pixel jest dla mnie motywacją do zmiany. Ale uwaga – nie chcę instalować iTunes na moim Windows... I tutaj dochodzimy do ostatniej ważnej kwestii – produkty Apple dobrze czują się razem. Chyba jeszcze trochę czasu muszę się z nimi pooswajać :)

Oryginał tego wpisu dostępny jest pod adresem Oswajanie fobii: używam produktów Apple

Autor: Paweł Goleń

Stare wpisy – Mój kubeczek to ile filiżanek?, Robienie (sobie) herbaty to nie jest proste zadanie... Teraz trochę się zmieniło:

  • już nie piję herbaty z tego kubeczka (choć ciągle go mam);
  • generalnie nie słodzę herbaty;
  • unikam herbaty w torebkach.

Poza tym na mojej półce stoi kilka różnych gatunków herbaty:

  • zielona (jakaś odmiana senchy lub gunpowder);
  • żółta (najbardziej odpowiada mi Kekecha);
  • biała (tutaj Pai Mu Tan);
  • czerwona (po prostu Pu-erh Superior, bez kombinowania);
  • jakiś oolong, jakaś odmiana czarnej herbaty...

Tak, na starość ludzie robią się dziwni :P

Oryginał tego wpisu dostępny jest pod adresem Herbaty

Autor: Paweł Goleń

Ostatnio zdecydowałem się spróbować rozwiązać problem niedostatecznego zasięgu WiFi w niektórych rejonach mieszkania. Zdecydowałem się spróbować wykorzystać do tego urządzenie TP-Link TL-WA850RE. W skrócie – nie jestem zadowolony z rezultatu.

Czytaj dalej...

Jakoś nie mam szczęścia do słuchawek sportowych Jabra. Najpierw zepsuły mi się Jabra Sport Wireless+, które zostały wymienione na Jabra Sport Pace. Na początku byłem trochę sceptycznie nastawiony do tej zmiany (między innymi kształt słuchawek), ale przyzwyczaiłem się do nowego modelu, nawet polubiłem. A teraz powtórka z rozrywki – mimo, że słuchawki się wyłączają, dioda LED nadal się świeci, bateria się rozładowuje. Zgłosiłem kolejną reklamację, zobaczymy co z tego wyjdzie.

Oryginał tego wpisu dostępny jest pod adresem Jabra Sport Pace

Autor: Paweł Goleń

Ostatnio na “czołowych portalach informacyjnych i blogach” można było natknąć się na informacje o tym, jak strasznie źle jest z bezpieczeństwem bankowości mobilnej (np.:Czy aplikacje mobilne polskich banków są bezpieczne?, Test (nie)bezpieczeństwa mobilnych aplikacji do obsługi kont bankowych, Bezpieczeństwo mobilnych aplikacji polskich banków, Korzystasz z mobilnych aplikacji bankowych? Uważaj – wiele z nich było niezabezpieczonych, Horror. Wchodzisz na konto przez smartfona? Oni sprawdzili które apki są najbardziej “dziurawe”). Wszystko przez raport PGS Software. Cóż, jak zwykle – autorzy tych artykułów mają tendencję do wyolbrzymiania znaczenia znalezisk. Fakt, niektóre z nich były ciekawe, ale dobrze należałoby się zastanowić nad rzeczywistym ryzykiem (czytaj – prawdopodobieństwem zrealizowania całego scenariusza ataku).

Tak, nie należy pewnych rzeczy logować (dość powszechny błąd), ale jak to z tych logów odczytać. Tak, jest to możliwe technicznie, ale jakie jest prawdopodobieństwo takiego zdarzenia? Ile warunków wstępnych musi być spełnionych by rzeczywiście dało się zobaczyć czyjś wniosek lub przejąć czyjąś sesję?

Ciekawszy jest fragment o bezpieczeństwie komunikacji. Problem w tym, że z raportu nie wynika wprost, czy brak było jakiejkolwiek walidacji certyfikatu serwera (jeśli tak – trupy, zagłada, przemoc), czy jedynie brak dodatkowego zabezpieczenia w postaci certificate pinning (ciągle problem, ale jednak mniejszy). Poza tym bezpieczeństwo komunikacji to temat nieco szerszy, raport nie wspomina choćby o wspieranych protokołach i szyfrach. Sama weryfikacja certyfikatu jest też bardzo szerokim tematem (np. daty ważności certyfikatów w ścieżce, sprawdzanie CRL).

Kolejny interesujący, choć niestety fatalnie opisany problem, to “łączenie się z serwisem działającym w tle”. Co to konkretnie znaczy? Czy jest to komunikacja między komponentami z użyciem mechanizmu broadcastów bez odpowiedniego ograniczenia (uprawnienia, globalny sendBroadcast vs. LocalBroadcastManager)? A może coś jeszcze innego?

Modyfikacja zachowania aplikacji przez modyfikację plików konfiguracyjnych? Super, a jak te pliki mają być modyfikowane? Bo albo jest to do zrobienia z poziomu innych aplikacji bez naruszania modelu bezpieczeństwa systemu Android (źle), albo najpierw trzeba ten model naruszyć – czyli mamy już większy problem, bo czy w tym przypadku można ufać samej aplikacji?

Nie widzę też, by raport poruszał temat przechowywania danych lokalnie, uwierzytelnienia klienta i autoryzacji transakcji. A szkoda, ciekawy jestem na przykład, czy jedna z badanych aplikacji nadal szyfruje lokalną bazę przy pomocy klucza wygenerowanego na podstawie PIN użytkownika, a obok tej bazy nadal leży SHA1 z tego PIN.

Sam raport (dla mnie trochę mało techniczny) jest tutaj: Niebezpieczeństwa mobile bankingu. Miłej lektury!

Oryginał tego wpisu dostępny jest pod adresem Ach te nieszczęsne błędy w bankowości mobilnej!

Autor: Paweł Goleń

Ciekawe, nie powiem:

Załącznik (VirusTotal).

Oryginał tego wpisu dostępny jest pod adresem Ciekawe adresy IP tam mają

Autor: Paweł Goleń