Paweł Goleń, blog

Wiele razy miałem okazję występować w roli osoby prowadzącej rekrutację, w tym także w ostatnim czasie. W dalszym ciągu widzę te same trzy głównie typy reakcji w przypadku, gdy kandydat otrzymuje pytanie, na które nie zna odpowiedzi:

  • mówi wprost, że nie wie,
  • mówi, że nie wie, ale próbuje odpowiedzieć na pytanie,
  • halucynuje „jak ChatGPT”.

Zacznę od opcji „halucynacji”. Chodzi mi o sytuację, w której kandydat z pewnością udziela odpowiedzi, która jest kompletnie niepoprawna. Jeśli jest to jednostkowy przypadek, to nie jest to problemem, każdy może się mylić i każdy może być przekonany o poprawności udzielonej odpowiedzi. Gorzej, jeśli ten schemat jest powtarzalny.

Zdecydowanie wolę pierwsze dwa przypadki, przy czym cenię jednak osoby, które próbują odpowiedzieć wykorzystując w tym swoją wiedzę, doświadczenie i intuicję. W takim przypadku często podpowiadam, staram się naprowadzić. Dlaczego? Bo ciężko jest znaleźć kogoś, kto wie wszystko. Moim celem jest zawsze znalezienie kogoś, kto już ma sporą wiedzę, ale jednocześnie jest w stanie efektywnie się uczyć, wnioskować. I ta umiejętność jest dla mnie często ważniejsza, niż sama wiedza „tu i teraz”.

A dlaczego martwi mnie „zła odpowiedź udzielana z dużą pewnością”? Cóż, mam doświadczenia z kilkoma osobami, które nie były w stanie oddzielić tego, co rzeczywiście wiedziały od tego, co im się wydawało. Czasem łatwiej jest nauczyć kogoś czegoś od początku, niż skorygować kogoś święcie przekonanego o swojej racji.

Wniosek? Nawet jeśli nie znasz wprost odpowiedzi na pytanie, warto próbować do niej dojść. Ale jeśli czegoś nie wiesz, lub nie jesteś pewny, warto powiedzieć o tym otwarcie.

Oryginał tego wpisu dostępny jest pod adresem Jak nie wiesz, to nie wiesz

Autor: Paweł Goleń

Po roku od Z serii “człowiek uczy się całe życie” przeszedłem z microk8s na k3s. Dlaczego?

Both ARM64 and ARMv7 are supported with binaries and multiarch images available for both. K3s works great on something as small as a Raspberry Pi to an AWS a1.4xlarge 32GiB server.

I to rzeczywiście da się zauważyć. W przypadku microk8s miałem problemy z brakiem pamięci. Przy k3s dość konsekwentnie mam 1GiB dostępnej pamięci, przy takiej samej konfiguracji. Dzięki temu cały czas “mieszczę się” na ODROID-C4 z 4GiB RAM.

Oryginał tego wpisu dostępny jest pod adresem Z microk8s na k3s

Autor: Paweł Goleń

HRejterzy ostatnio opublikowali historię wymownie zatytułowana Rajesh – security researcher, ethical hacker. Film ten jest absolutnie genialny przez swoją autentyczność. Rajesh jest personifikacją zjawiska, które osoby mające udział w przetwarzaniu raportowanych błędów (niekoniecznie bezpieczeństwa) prawie na pewno mieli okazję zaobserwować. Ale czemu się tu dziwić?

Tak, wiele osób żyje z bug bounty i to żyje całkiem dobrze. Oczywiście wypłata jest (a przynajmniej powinna być) adekwatna do raportowanej podatności. Znalezienie podatności wymaga czasu, inwestycji w siebie. Ostatecznie może to nie jest dziwne, że te gorzej płatne podatności wymagające mniejszych umiejętności, zgłaszane są często z krajów, gdzie wartość pieniądza jest inna. Do tego dochodzi to, że angielski może być tam specyficzny, a i różnice kulturowe dają o sobie znać.

Efekt? Masa raportów wyglądających jak ten Rajesha. JA jestem SECURITY RESEARCHER. JA znalazłem WIELKĄ DZIURĘ, chcę PIENIĄDZE, bo inaczej.... (...). Inne raporty może nie są tak nachalne/agresywne, ale wciąż trudne do zrozumienia. Często raport dotyczy czegoś, co ma działać właśnie tak jak działa, albo rzeczywistej słabości, która jednak może nie mieć praktycznego przełożenia na ryzyko lub ryzyko to jest znane i zaakceptowane. Wtedy rozmowy mogą stać się trudne, bo komuś może być trudno zrozumieć, że brak Secure lub HTTPOnly na cookie analitycznym nie skutkuje w session hijacking.

Łatwo jest wrzucić wszystkie takie raporty do kosza z napisem “Rajesh”, ale może zdarzyć się również tak, że zgłaszany błąd jest prawdziwy i z istotnym wpływem na ryzyko. A jedynym problemem jest to, że osoba zgłaszająca nie miała tyle szczęścia w życiu, by nauczyć się w miarę poprawnego języka angielskiego. I jest tak bardzo “zmotywowana”, bo nawet te 50$ mogą realnie zmienić jej życie.

Tylko ciężko jest stwierdzić, czy zgłoszenie ma sens, jeśli jedynym komunikatem jest “znalazłem coś, daj mi 1000$, to powiem co to”.

Oryginał tego wpisu dostępny jest pod adresem Rajesh Penetrator

Autor: Paweł Goleń

Polecam ciekawą dyskusję w tym wątku na LinkedIn. Zrobiły się rozważania o różnicach między PRNG i CRNG. A wszystko zaczęło się od kilku wykresów pokazujących dystrybucję funkcji random(), random(random()), random(random(random())), (...).

Oryginał tego wpisu dostępny jest pod adresem random(random())

Autor: Paweł Goleń

Kiedyś wyjeżdżało się na wakacje do “ciepłych krajów”. Teraz to ja poproszę do tych raczej zimniejszych...

Dobrze, może mój poziom tolerancji jest relatywnie niski, ale takie twierdzenia nie wydają mi się nieuzasadnione: Climate change making Earth ‘uninhabitable’ Guterres warns.

Oryginał tego wpisu dostępny jest pod adresem Masakra

Autor: Paweł Goleń

Tak, trudno się z tym nie zgodzić. Ignorancja jest bronią. A nawet błogosławieństwem. Bo po co sobie zaśmiecać głowę wiedzą i rzeczywistością, lepiej przecież tkwić w błogiej otchłani swojej niewiedzy. Wygodniej. Bezpieczniej.

Dla przypomnienia, znaczenie tego słowa:

ignorancja «brak podstawowej wiedzy, nieznajomość czegoś»

Ale kto by się przejmował, że ignorancja i ignorowanie to nie jedno i to samo, prawda?

ignorować «celowo nie zauważać lub nie brać pod uwagę»

I nie, fakt, że język “żyje” nie uzasadnia mylenia znaczenia słów.

Oryginał tego wpisu dostępny jest pod adresem “Ignorancja to najlepsza broń (...)”

Autor: Paweł Goleń

Może najpierw należałoby zdefiniować pojęcie “już”. Już w 2023 roku czy już w kontekście tego, czym się teraz zajmuję? W sumie to chyba po trochu i jedno, i drugie.

Czytaj dalej...

Mija kilka miesięcy od czasu używania przeze mnie nowej zabawki i pod względem sprzętu jestem zachwycony. Nawet przyzwyczaiłem się do klawiatury i jestem w stanie pisać polskie znaki bez mapowania klawiszy. Co podoba mi się najbardziej? Chyba to, że zapomniałem o potrzebie ładowania laptopa. Fakt, ostatnio nie pracuję zbyt długo na komputerze, a jeśli już to raczej “lekkie” rzeczy. Nie zmienia to faktu, że komputer do zasilacza podłączany jest raz na tydzień, lub rzadziej.

Jeśli chodzi o system operacyjny to zachwycony nie jestem (jeszcze?). Jest OK, ale po tylu latach pod Windows pewne nawyki są bardzo głęboko zakorzenione. Podobnie jak kwestie estetyczne. Windows 10 czy Windows 11 jest dość ładny. Miejscami, bo systemy Microsoftu są wciąż niespójne graficznie. Nie mówię, że MacOS jest brzydki, ale niektóre konwencje graficzne bardziej pasują mi w systemie Windows. To po prostu kwestia przyzwyczajenia i pewnie przejdzie z czasem.

Pod względem aplikacji jest tak, jak przypuszczałem – praktycznie nie widzę różnicy. Większość aplikacji, które używam, ma swoje wersje na MacOS i one po prostu działają. Może są drobne smaczki w niektórych przypadkach, które wyglądają i działają nieco inaczej, ale generalnie jest OK. Chyba jedynym obecnie irytującym mnie przypadkiem jest Winbox, który generalnie nie działa. To znaczy czasem działa, a czasami wisi w tle. No ale to nie jest aplikacja, która ma swoją wersję na MacOS, ale aplikacja uruchamiana przez Wine.

...a jeśli chodzi o shell, to zainstalowałem sobie PowerShell i czuje się jak w domu. I nie chodzi o to, że jestem jakimś wymiataczem w nim, ale czuję się w tej konsoli jak w domu.

Oryginał tego wpisu dostępny jest pod adresem Kilka miesięcy z MacBookiem Air

Autor: Paweł Goleń

W ostatnim czasie pojawił się trend “poprawiania” popularnych książek w taki sposób, by usunąć z nich treści “niepoprawne politycznie”. I mam z tym problem. Dlaczego? Dlatego, że literatura z określonego okresu oddaje w sobie stan społeczeństwa, wiedzy, świadomości społecznej z tego okresu właśnie. Tak, wiąże się to z tym, że w książkach pojawiają się treści obecnie uznawane za rasistowskie, seksistowskie, homofobiczne, (...). Ale tak wyglądała nasza historia i udawanie, że tak nie było jest złe.

Książka napisana 100 czy 200 lat temu nie będzie prezentowała tego samego stopnia “świadomości” oraz “wrażliwości”, co obecna twórczość. Uważam, że pozostawienie książki w oryginale i wyjaśnienie co bardziej wrażliwych i kontrowersyjnych tematów jest lepszym rozwiązaniem. Poprzez “wygładzanie” treści tak naprawdę zapominamy własną historię, zakłamujemy ją. A fakty są takie, że wyraz “Murzyn” funkcjonował w języku polskim przez długi czas, że kobiety uzyskały prawa wyborcze relatywnie niedawno, że “histeria” jest w sumie pojęciem seksistowskim, że (...). I w sumie nawet stwierdzenie, że obecnie ma miejsce wybielanie literatury, jest (uważane za) rasistowskie (na tej samej zasadzie na której pojęcie whitelisting zostało zastąpione przez allowlisting).

Oryginał tego wpisu dostępny jest pod adresem “Gdybym wiedział to co wiem (...)”

Autor: Paweł Goleń

W ramach zaprzyjaźniania się z moim nowym laptopem uczę się skrótów klawiaturowych. Idzie mi chyba nie najgorzej i zaczynam się przyzwyczajać do używania łamańców (nawet nie jest tak źle, jest dość wygodnie) zamiast klawiszy Home, End, Pg Up, Pg Dn i tak dalej. Przy okazji zauważyłem, że zaczynam używać dodatkowych skrótów, których nie używałem na Windows, typu otwarcie nowej zakładki, przejście do paska adresu, otwarcie nowej zakładki w terminalu, zamykanie okna lub zakładki...

Oryginał tego wpisu dostępny jest pod adresem Uczę się skrótów

Autor: Paweł Goleń