OpenHab posiada Cloud Connector, który pozwala na dostęp do swojej instancji zdalnie. I wszystko działa pięknie przez większość czasu. Bo oczywiście wtedy, gdy taki zdalny dostęp jest najbardziej potrzebny, coś przestaje działać.
Ciąg dalszy "Heartbeat" »Sunday, February 12. 2023
Thursday, February 2. 2023
Piekło zamarzło, czyli kupuję sobie MacBook
Od zawsze byłem raczej użytkownikiem Windows na desktopie. Bo poza desktopem, to różnie, bo różne systemy nadają się do różnych zastosowań. Natomiast nigdy nie mogłem przekonać się do macOS. Nie mam problemu z iOS czy iPadOS, lubię korzystać zarówno z iPhone, jak i iPad, do tej pory jednak broniłem się przed macOS. Ale przyszła pora na zmiany.
Dlaczego przyszła pora na zmiany? Bez konkretnego powodu, po prostu zacząłem zastanawiać się nad unowocześnieniem sprzętu, moje dwa laptopy, z których korzystam (Dell XPS 13 9333 i Dell Latitude E7450) nie są już pierwszej nowości. Dają radę, nawet z Windows 11 (tak, bez oficjalnego wsparcia) i do większości rzeczy są dla mnie wystarczające. Mimo wszystko jednak czułem potrzebę jakiegoś odświeżenia sprzętu i doszedłem do wniosku, że może pora spróbować czegoś innego. Innego, bo nie tylko Apple, ale również Apple silicon. Ostatecznie zdecydowałem się na MacBook Air z procesorem M1 świadomie rezygnując z M2, bo doszedłem do wniosku, że różnice nie uzasadniają różnicy w cenie (dla mnie, żeby było jasne). Choć chyba to nie tylko moja opinia, za MacBook Air (Apple silicon):
(...) The price increase over the M1 model was noted, with most concluding that the M1 model was a better value.
Poza chęcią spróbowania czegoś nowego jest jeszcze jeden ważny powód dla tej decyzji. Po zrobieniu inwentaryzacji programów, z których korzystam okazało się, że tak naprawdę 99% z nich ma swoje wersje na macOS. A te, które nie mają, mają dobre zamienniki jak KeePassXC.
Zobaczę, czy za kilka tygodni zweryfikuję swoje założenia i oczekiwania. Na razie spodziewam się zmiany raczej mało bolesnej. Otwartą kwestią pozostaje to, czy dobrej.
Thursday, December 29. 2022
Bitcoin. Teoria spiskowa
Oczywiście jest to "teoria spiskowa", której nie należy traktować poważnie. Raczej jest to pewnego rodzaju eksperyment myślowy. A więc do dzieła.
Co jest główną cechą Bitcoin? Anonimowość? Nie. Bitcoin nie jest anonimowy. Jest to dobrze opisane na stronie projektu Zerocoin:
The Bitcoin payment network offers a highly decentralized mechanism for creating and transferring electronic cash around the world. Unfortunately, Bitcoin suffers from a major limitation: since transactions are stored in a public ledger (called the “block chain”) it may be possible to trace the history of any given payment — even years after the fact. Worse, since the Bitcoin ledger is public, any party can recover this information and data mine to identify users and patterns in the transactions. In other words: Bitcoin transactions are conducted in public.
Alternatywnie polecam lekturę tego wpisu: Zerocoin: making Bitcoin anonymous. I tak, ten wpis został opublikowany w roku 2013 co sprawia, że czuję się staro.
Na początku swojej kariery zawodowej miałem przyjemność pracować w departamencie bezpieczeństwa jednego z banków. Departament ten zajmował się wieloma różnymi ciekawymi rzeczami, IT wcale nie było główną i najbardziej istotną domeną. Istotne było również bezpieczeństwo fizyczne (oddzielne historie) czy pranie brudnych pieniędzy. I właśnie tutaj ciekawym doświadczeniem było podpatrywanie pracy osób zajmujących się tematem "przeciwdziałania praniu brudnych pieniędzy" korzystających z narzędzi do wizualizacji powiązań między kontami i przepływów pieniędzy.
I teraz wiele lat później coraz częściej można usłyszeć o wynikach analizy transaction ledger, często z Chainanalysis w tle. Koncepcyjnie praktycznie to samo, co kiedyś. Z jedną różnicą - zasięg jest globalny.
W ramach ciekawostek - można też o takich śledztwach poczytać w książce TRACERS IN THE DARK: The Global Hunt for the Crime Lords of Cryptocurrency albo posłuchać tutaj: EP 131: WELCOME TO VIDEO.
No więc kim jest Satoshi Nakamoto? Może to ONI stworzyli Bitcoina i przekonali ludzi, że Bitcoin jest czymś (w sensie - oferuje coś), czym w rzeczywistości nie jest. Potem cierpliwie czekali, a teraz...
Abstrakcja? Pewnie tak, ale hej - co z Dual_EC_DRBG? ;)
Tuesday, December 27. 2022
LastPass - a nie mówiłem?
Tak czytam sobie Notice of Recent Security Incident i mam dziwne przebłyski z przeszłości. Mniej więcej 10 lat temu (konkretnie, w 2011 roku) LastPass również informowało o potencjalnym incydencie. W efekcie powstał wpis Najpierw miało być o LastPass, a potem mnie poniosło.
Wiele się zmieniło od czasu powstania tamtego wpisu, choćby to:
To further increase the security of your master password, LastPass utilizes a stronger-than-typical implementation of 100,100 iterations of the Password-Based Key Derivation Function (PBKDF2), a password-strengthening algorithm that makes it difficult to guess your master password. You can check the current number of PBKDF2 iterations for your LastPass account here.
Nie zmienia to jednak mojej rezerwy odnośnie modelu LassPass. Nie chodzi mi nawet o sam fakt przechowywania zaszyfrowanych baz haseł w chmurze. Boli mnie natomiast możliwość wprowadzenia niewielkich modyfikacji do kodu LastPass, które w efekcie mogą spowodować wyciek masterpassword. Cytując samego siebie:
Z perspektywy ZŁEGO zdecydowanie bardziej efektywnym sposobem uzyskania dostępu do danych użytkowników byłoby wprowadzenie delikatnej zmiany w kodzie (np. aplikacji internetowej) tak, by hasło użytkownika jednak było przesyłane na serwer.
A uzupełniając fragment "a nie mówiłem", to zwracam uwagę, że teraz również główną słabością (potencjalną) są hasła użytkowników. Bo AES-256 to jedno, a i tak wszystko sprowadza się do klucza bo...
(...) Sam algorytm to nie wszystko, ważny jest jeszcze jego klucz i sposób, w jaki został uzyskany...
Thursday, November 24. 2022
Ciągle musisz znać swój kontekst
13 lat temu pisałem, że encoding musi być dostosowany do kontekstu, w którym dane mają być użyte: Znaj swój kontekst. Dokładnie to samo można przeczytać w OWASP Cross Site Scripting Prevention Cheat Sheet. I co? I dalej można spotkać się z sytuacjami, gdy ktoś uważa, że jedna magiczna funkcja problem XSS rozwiązuje raz i na zawsze, w każdym możliwym przypadku. I oczywiście w dalszym ciągu przychodzą Źli Ludzie™ i pokazują, jak bardzo się ktoś myli...
Ciąg dalszy "Ciągle musisz znać swój kontekst" »