Paweł Goleń, blog

Najpierw wprowadzenie do tematu: Microsoft Teams stores auth tokens as cleartext in Windows, Linux, Macs.

“Upon review, it was determined that these access tokens were active and not an accidental dump of a previous error. These access tokens gave us access to the Outlook and Skype APIs.”

OK, i...? Bo z opisu tutaj (Undermining Microsoft Teams Security by Mining Tokens) trochę niewiele wynika:

(...) Next, we needed the access token. We used the SQLite engine. SQLite does not require installation, so the exploit downloads SQLite to a local folder and executes it to read the Cookies DB, where we extract the Skype Access token required for sending messages.

Jakoś nie mogę znaleźć informacji jak ten exploit jest uruchamiany, więc zakładam, że w inny niezwiązany z tematem sposób. Tylko w takim razie jak rozumieć to:

(...) Use the web-based Teams client inside Microsoft Edge, which has multiple OS-level controls to protect token leaks. Fortunately, the Teams web application is robust and supports most features enabled through the desktop client, keeping organization productivity impacts to a minimum.

Oryginał tego wpisu dostępny jest pod adresem Teams i token(y) – ale, że o co chodzi?

Autor: Paweł Goleń

Nie uwierzę dopóki nie sprawdzę, tak mam. To nie jest tak, że „wszyscy kłamią”, ale z założenia nie akceptuję stwierdzenia “nie da się”, jeśli nie jest poparte dowodami. Oczywiście, czasami się rzeczywiście “nie da”, bo wszystko ma swoje ograniczenia i swój zakres stosowania. Nie lubię jednak sytuacji, gdy ktoś, zamiast sprawdzić czemu coś nie działa, domyślnie przyjmuje założenie, że “się nie da, bo (...)”.

Czytaj dalej...

W oryginale było co prawda o zdrowiu, ale ja bardziej przyziemnie – o lewym klawiszu CTRL. Tak się składa, że robię notatki. Moje notatki często powstają przy pomocy copy & paste i bardzo często mają postać mindmapy. Ciągle ciężko mi jest znaleźć lepsze narzędzie niż Freeplane. To znaczy prawdopodobnie istnieją inne, równie funkcjonalne narzędzia do mindmappingu, ale ciężko jest mi znaleźć coś innego, co mindmappingiem nie jest. Ale ja nie o tym, nie o tym...

Dzisiaj nagle zamiast skopiowanego tekstu zaczęło pojawiać mi się złowrogie v. Tak, część skrótu CTRL+V. I tak, tak naprawdę skopiowanego tekstu nie było, bo przecież CTRL+C również korzysta z klawisza CTRL, który nagle przestał działać. I to boli. Co prawda jest inny skrót, SHIFT + INSERT, ale o ile mi wiadomo nie ma skrótu funkcjonalnie tożsamego z CTRL + C. Jest skrót SHIFT + DEL, który jest funkcjonalnym odpowiednikiem CTRL + X, ale to nie to.

Jak korzystacie z CTRL + ? Bo dla mnie większość ze skrótów jest leworęczna. OK, może CTRL + B oraz CTRL + I są dwuręczne, ale pozostałe obsługiwane są lewą dłonią. Skróty SHIFT + INSERT oraz SHIFT + DEL są albo dwuręczne, albo trzeba przestawić się na prawą rękę, co przy układach klawiatur (zwłaszcza na laptopie) może być karkołomne i, o zgrozo, w niektórych przypadkach i tak może angażować drugą rękę do klawisza Fn.

Dlaczego przejście na prawą rękę jest złe? Bo myszką operuję równiez prawą ręką, czyli przeklejenie tekstu ze źródła do notatki w praktyce wymaga przeniesienia ręki z myszki na klawiaturę, z klawiatury na myszkę, a potem jeszcze raz z myszki na klawiaturę. Prawy klawisz myszki nie robi roboty, bo jednak tej nawigacji myszą trzeba zrobić więcej...

Tak, rozkręciłem klawiaturę. Nie, problemem nie jest zabrudzenie. Tak, klawiatura jest membranowa, a nie mechaniczna. Co robić, jak żyć?

Tak, wiem. Temat jest z gatunku “problemów pierwszego świata”, ale czy aby na pewno? Oczywiście, mogę kupić nową klawiaturę (lub używaną i z dwóch zrobić jedną), ale ewidentnie nie mogę naprawić klawiatury przez wymienienie uszkodzonej części. Szkoda. I nie chodzi mi tu tylko o koszt nowej (lub używanej) klawiatury, ale o (nazwijmy to) wpływ na środowisko, bo co zrobię ze starą jeśli kupię nową? Wyrzucę (throw away)? Nie ma “away”, to “away” to będzie jakieś miejsce na planecie Ziemia... Tak, wiem, recycling i te sprawy. Ale mimo wszystko prościej byłoby wymienić uszkodzoną część (membranę), a nie kombinować.

Z innych pomysłów mam jeszcze przemapowanie skrótów (PowerToys na to pozwalają), albo ewentualnie... przerzucenie sie na obsługę myszki lewą ręką i używanie skrótów SHIFT + DEL oraz SHIFT + INSERT prawą ręką.

...nie oszukujmy się, ostatecznie kupię nową klawiaturę.

Oryginał tego wpisu dostępny jest pod adresem (...) aż się zepsujesz

Autor: Paweł Goleń

Z pewnym takim zdziwieniem czytam o brakach cukru na półkach. Głównie dlatego, że jest mi doskonale wszystko jedno. Nie pamiętam, kiedy kupowałem ostatni raz cukier, praktycznie go nie używam (innymi słowy – nie słodzę). Z nawykiem słodzenia skończyłem, gdy przerzuciłem się na smaczne herbaty. Takie, których kiepskiego smaku nie trzeba zabijać cukrem.

ALE, znowu mam flashback z głębokiego PRL, kiedy rzeczywiście z cukrem był problem (ach te kolejki do sklepu GS, bo cukier mają rzucić) i radość, gdy udało się kupić w hurtowni worek 50kg cukru...

P.S. Dodatkowo, jeśli zdarzy się w domu szaleństwo w postaci “pieczenia placków” zamiast cukru używany jest ksylitol. Bo tak.

Oryginał tego wpisu dostępny jest pod adresem Cukier – o jej, o jej

Autor: Paweł Goleń

Tak sobie właśnie pomyślałem, że zabawa ze SmartHome zaczyna nabierać więcej sensu patrząc na (prognozowane) ceny energii elektrycznej. Innymi słowy oszczędności w zużyciu prądu mogą uzasadnić zakup urządzeń potrzebnych do automatycznego włączenia/wyłączenia części urządzeń.

Ale jeśli weźmie się pod uwagę te najbardziej prądożerne urządzenia, to raczej sens ma zmiana nawyków. SmartHome nie pomoże, na przykład, z gotowaniem pełnego czajnika wody tylko po to, by 75% jego objętości wystygło.

I tutaj taki flashback z przeszłości – pamietam jakie wrażenie robiła na mnie wiele, wiele lat temu zabawa z grzałką w gotowanie wody uzupełniona obliczeniami odnośnie czasu potrzebnego do jej zagotowania (inspiracja – fizyka, szkoła podstawowa, ciepło właściwe i te sprawy). Zobaczenie wrzenia wody (mniej więcej) zgodnie z obliczeniami na leżącej obok kartce papieru pokazywało, że ta cała nauka to jednak taka całkiem oderwana od rzeczywistości nie jest.

Oryginał tego wpisu dostępny jest pod adresem SmartHome vs. ceny prądu

Autor: Paweł Goleń

Taka ciekawostka – pisałem o termometrach zewnętrznych, które podpiąłem przez rtl_433. Ostatnio było dość ciepło i zaobserwowałem ciekawe zjawisko – dla jednego z termometrów sygnał gubił się w okolicach 30 stopni. Pierwsza moja myśl była taka, że popsułem coś w konwersji danych, ale jednak nie – brak było jakichkolwiek aktualizacji odebranych przez rtl_433. Jednocześnie wiedziałem, że termometr działa prawidłowo, bo odczyty temperatury zewnętrznej pojawiały się na stacji pogodowej.

W takim razie prawdopodobnie problemem był dekoder, który napisałem (patrz: Flex Decoder). I rzeczywiście, spędziłem trochę czasu dostosowując poszczególne parametry i ostatecznie udało mi się osiągnąć zadowalający efekt – ciągły odczyt temperatury. Z minimalnymi przekłamaniami, co widać na wykresie poniżej. Termometry umieszczone są w dwóch różnych miejscach, dlatego temperatura nie pokrywa się idealnie. Problem z “pomijaniem” odczytów widać 30 czerwca. Przekłamania, o których wspominam, widać 2 sierpnia. Czasami jest tak, że jakiś inny sygnał “załapie się” na dekoder, ale w obecnych ustawieniach zdarza się to naprawde sporadycznie.

BTW: strefy temperatur (te kolory tła na wykresie) są na podstawie How To Run In The Blistering Heat.

Oryginał tego wpisu dostępny jest pod adresem Za gorąco było

Autor: Paweł Goleń

Jak to było, everything old is new again czy jakoś tak? Przy czym nie chodzi tutaj o modę, a o pewne umiejętności. Temat jest nawet szerszy, jeśli ktoś siedzi w branży security wystarczająco długo może zauważyć, że niektóre klasy podatności “odżywają” po części dlatego, że zmienia się technologia, a po części dlatego, że następuje rotacja ludzi. Starsi, którzy już nauczyli się już na swoich błędach, idą dalej. Młodsi – muszą się dopiero nauczyć.

To samo dotyczy również testowania. Coś się intensywnie testuje, bo każdy wie, że “tam żyją smoki”. Z czasem smoki idą gdzie indziej, a dany obszar jest w miarę sensowny. Czas mija, ktoś zagląda w to samo miejsce i... smoki wróciły.

Czytaj dalej...

Tworzysz dokumentacje/instrukcje/cokolwiek i myślisz, że wszystko opisane jest w sposób jasny i zrozumiały. Czyżby? A może zapytaj kogoś “z zewnątrz”?

Przykład od strony “użytkownika” – postanowiłem zamontować lampę. Sprawdziłem opis i wyłączyłem obwód, który był opisany jako “oświetlenie” i... wysadziłem bezpieczniki. Dlaczego? Dlatego, że ten konkretny punkt był podpięty jednak pod gniazda a nie pod oświetlenie. I, po zastanowieniu, ma to nawet sens. Ale dla mnie z perspektywy “użytkownika” lampa jest lampa, więc “oświetlenie”. Proste?

Oryginał tego wpisu dostępny jest pod adresem Myśl, jak zostaniesz zrozumiany

Autor: Paweł Goleń

Temat mylący. Tak naprawdę chodzi mi o program do organizacji zadań. Obecnie używam Microsoft ToDo i generalnie się sprawdza, aczkolwiek miewa problemy z synchronizacją, ostatnio pojawiły mi się jakieś niewykonane zadania z 2019 roku(!). W takim przypadku pomyślałem o Todoist, popularny, dojrzały, pozytywne recenzje. I minimalistyczny, a przynajmniej można go używać w minimalistyczny sposób. Super. Tylko... płacić $3 miesięcznie za przypomnienia to trochę przesada. Więc jako krakowski centuś (napływowy, ale zawsze) zostaję przy ToDo.

Oryginał tego wpisu dostępny jest pod adresem What to do?

Autor: Paweł Goleń

W nawiązaniu do pytania Jakiego koordynatora ZigBee (...) informacyjne – przechodzę z rozwiązania opartego na CC2531 na ConBee II. Dlaczego? Częściowo po lekturze Supported Adapters. Moja sieć się rozrosła o kilka urządzeń i zaczęły pojawiać się problemy, koordynator lubił się zawiesić.

Teoretycznie można było zmieniać firmware na nowszy, ale nie jest to trywialne i wymaga dodatkowego sprzętu. ConBee II znajduje się na liście rekomendowanych urządzeń w Zigbee2mqtt, a dodatkowo zmiana/aktualizacja firmware jest trywialna.

Oryginał tego wpisu dostępny jest pod adresem SmartHome: ConBee II

Autor: Paweł Goleń