Paweł Goleń, blog

“Za moich czasów” wstyd było się przyznać, że czegoś się nie udało zrobić. Oczywiście, czasami się nie udawało, ale przynajmniej człowiek próbował. Patrzenie na problem było chyba również bardziej zadaniowe, coś w stylu “potrzebuję zrobić X”. A teraz?

(...) Ponieważ nie ma narzędzia “X” użytego w poprzednim teście, nie udało się zrobić retestu “Y”. (...)

No dobrze, czasami ma to sens, ale zastanówmy się nad takim prostym przykładem – SSRF. W poprzedniej iteracji tester użył netcat by zobaczyć, czy serwer wysyła request na podany adres. Czy brak netcat uniemożliwia retest? No oczywiście, że nie, kilka możliwości:

• Python i http.server
• PowerShell i na przykład taki skrypt: powershell-web-server.ps1
• Burp Suite i listener z forwarderem
• (...)

Czy naprawdę tak trudno jest pomyśleć najpierw co trzeba zrobić, a potem znaleźć sposób, by to zrobić? A może to dawno zapomniana sztuka tajemna? Wyuczona bezradność górą?

Oryginał tego wpisu dostępny jest pod adresem Nieporadność mnie męczy

Autor: Paweł Goleń

Przez lata unikałem PowerShella tak bardzo, jak to tylko możliwe. Nieźle mi to szło mając na uwadze, że PowerShell pojawił się w 2006 roku. Dlaczego go unikałem? Bo jakoś nie mam sentymentu do języków, w których pojawia się $ bo w końcu Perl, PHP, (...). Ostatecznie jednak powoli do PowerShella w roli shella właśnie się powoli przekonuję i powoli dochodzę do wniosku, że po oswojeniu się ze znaczeniem $_, %, oraz ? nie jest już tak źle.

Oryginał tego wpisu dostępny jest pod adresem PowerShell

Autor: Paweł Goleń

Zainstalowałem sobie Windows 11 w ramach Windows Insider, wersję z kanału Dev, bo mój stary XPS nie jest (oficjalnie) wspierany. Całość działa przyzwoicie i (w miarę) stabilnie. Do kilku rzeczy trzeba się będzie przyzwyczaić, dość spora rewolucja (z mojego punktu widzenia) następuje w menu kontekstowych co zmusi mnie do zmiany przyzwyczajeń.

Oryginał tego wpisu dostępny jest pod adresem Windows 11

Autor: Paweł Goleń

Czas leci, to było w 2019 roku: Google deprecates XSS Auditor for Chrome. Dzisiaj X-XSS-Protection to w zasadzie zabytek. Dlaczego o tym piszę? Bo śmiesznie się czyta o tym nagłówku w rekomendacjach w raportach.

Oryginał tego wpisu dostępny jest pod adresem X-XSS-Protection no more

Autor: Paweł Goleń

W nawiązaniu do poprzedniego wpisu (“Marsjanin” po raz trzeci) – jest postęp, właśnie zaczynam(y) Project Hail Mary (novel).

Oryginał tego wpisu dostępny jest pod adresem Project Hail Mary

Autor: Paweł Goleń

Właśnie skończyłem czytać Marsjanina po raz trzeci. Najwyraźniej mój młody to umysł ścisły, lubi książki, które już raz słyszał...

Oryginał tego wpisu dostępny jest pod adresem “Marsjanin” po raz trzeci

Autor: Paweł Goleń

W związku z wiadomo czym masowo pojawiają się artykuły z następującym stwierdzeniem:

(...) Troy Hunt, znany ekspert ds. bezpieczeństwa oraz były pracownik Microsoftu. (...)

Najwyraźniej fakt pracy dla Microsoftu jest tak bardzo wstydliwy, że Troy ukrywa go w swoim profilu w LinkedIn, pomija na swoim blogu w swoich wpisach i w sekcji About Me, płaci mi za rozpowszechnianie fake news... (ups, wydało się).

Zakładam, że chodzi o to – Microsoft Regional Director. Cóż, dłuższa lista tutaj – Microsoft Regional Directors, oraz opis programu, w szczególności:

No, Regional Directors are not employed by Microsoft. In some cases, Regional Directors or their companies may have contracts to deliver goods or services to Microsoft but they are not employees.

Oryginał tego wpisu dostępny jest pod adresem Facebook i “były pracownik Microsoftu”

Autor: Paweł Goleń

Miałem napisać o tym, jak to pandemia negatywnie wpłynęła na moją formę pod postacią dodatkowych kilogramów. Po sprawdzeniu okazało się, że akurat tutaj zmiany rok do roku nie ma. Oznacza to tyle, że już rok temu w pierwszy lockdown wszedłem z kilkoma kilogramami więcej, niżbym chciał, ale wciąż ze zdrowym BMI (i tak, zdaję sobie sprawę z ograniczeń tego wskaźnika). Mam nadzieję, że w tym roku uda mi się nadwyżkę zgubić.

A skoro już mowa o pandemii – pamiętacie jak wyglądała rzeczywistość rok temu? Kolejki do wejścia do sklepu, rękawiczki, dystans? A wszystko przy ilości przypadków liczonych w dziesiątkach. Obecnie mamy kolejny lockdown, przypadki (wykrywane) liczone są w dziesiątkach tysięcy, a zasady bezpieczeństwa są powszechnie ignorowane, z różnych powodów. Pominę tutaj wszelkie teorie spiskowe (typu – wirusa nie ma) oraz naszą narodową przekorę. Dwa kluczowe powody , z mojej perspektywy:

• chaos informacyjny – całościowo;
• reakcje nieadekwatne do sytuacji pozbawione racjonalnych podstaw (patrz – zamknięte lasy).

Rozumiem, że ten wirus jest nowy, nie boli mnie to, że zalecenia zmieniały się w zależności od stanu wiedzy w danym momencie. Uciążliwe było natomiast to, że informacje o “obostrzeniach” (już sam nazwa jest strzałem w stopę) były podawane w sposób niespójny (patrz: Jak wygląda komunikacja w sytuacji kryzysowej), a egzekwowanie zasad albo nie istniało (najczęściej tam, gdzie ryzyko rzeczywiście istniało), albo było absurdalne (dylemat typu “czy mogę zmienić opony na letnie”, “czy mogę umyć samochód”).

A pamiętacie prezentację, która mówiła o tym jakie akcje będą podejmowane w zależności od tego, jak będzie się kształtowała ilość wykrytych przypadków? Tak, było coś takiego. Nie, nie jest to realizowane, choć nie przypominam sobie, by ktokolwiek ten plan oficjalnie odwołał. Ale kto by się przejmował szczegółami, prawda?

Jednakże o wiele istotniejszą przyczyną manipulowania przeszłością jest ochrona nieomylności Partii. Należy zatem ustawicznie aktualizować przemówienia, statystykę i wszelkie zapisy, aby służyły za dowód, iż sprawdzają się wszystkie partyjne prognozy. Nie wolno się także przyznać do jakiejkolwiek zmiany dotyczącej politycznych sojuszy lub spraw doktrynalnych. Każda bowiem zmiana czy to poglądów, czy choćby polityki uchodzi za przejaw słabości. Jeśli na przykład obecnie wrogiem jest Eurazja, to była nim zawsze. Jeżeli z faktów wynika co innego, fakty należy zmienić. Tak więc ciągle tworzy się historię na nowo.

Tak mi się skojarzyło z 1984, zupełnie bez powodu.

Oryginał tego wpisu dostępny jest pod adresem (Przed)pandemiczne kilogramy

Autor: Paweł Goleń