Ventura

Trochę późno, bo dopiero wczoraj zaktualizowałem system do wersji Ventura. Biorąc pod uwagę mój stosunek do aktualizacji macOS, ta była wyjątkowo sprawna. Szczególnie biorąc pod uwagę rozmiar. Jednak w sumie nie widzę zmian godnych uwagi – trochę inne kolory, ot co.

Skoro jednak jest już pretekst, do wpisu, to przetestowałem nową wersję hashcata (v6.2.6-320-g9acfc26d8) na nowej wersji systemu. W stosunku do poprzedniej wersji, jest szybciej. Istotnie szybciej, nawet o 50% w niektórych przypadkach:

METAL API (Metal 306.3.5)
=========================
* Device #1: Apple M1 Pro, skipped

OpenCL API (OpenCL 1.2 (Dec 16 2022 20:37:40)) - Platform #1 [Apple]
====================================================================
* Device #2: Apple M1 Pro, GPU, 960/21845 MB (2048 MB allocatable), 16MCU

Benchmark relevant options:
===========================
* --optimized-kernel-enable

-------------------
* Hash-Mode 0 (MD5)
-------------------

Speed.#2.........:  6542.3 MH/s (0.97ms) @ Accel:64 Loops:1024 Thr:256 Vec:1

----------------------
* Hash-Mode 100 (SHA1)
----------------------

Speed.#2.........:  2718.3 MH/s (2.35ms) @ Accel:128 Loops:1024 Thr:128 Vec:1

---------------------------
* Hash-Mode 1400 (SHA2-256)
---------------------------

Speed.#2.........:   983.4 MH/s (6.52ms) @ Accel:64 Loops:1024 Thr:256 Vec:1

No i jeszcze md5crypt:

------------------------------------------------------------------------------
* Hash-Mode 500 (md5crypt, MD5 (Unix), Cisco-IOS $1$ (MD5)) [Iterations: 1000]
------------------------------------------------------------------------------

Speed.#2.........:  2516.6 kH/s (1.13ms) @ Accel:128 Loops:1000 Thr:64 Vec:1

Twitter wyłącza 2FA

Przepraszam za clickbaitowy tytuł, ale tak podobno zostały odebrane ostatnie działania i wiadomości wysyłane przez ten serwis. Zatem, gwoli ścisłości nie 2FA, tylko jedną z metod 2FA (SMS) i nie wyłącza, a udostępnia jedynie w płatnej wersji usługi. Nadal można mieć na Twitterze 2FA, za darmo, w dodatku w teoretycznie bezpieczniejszej wersji.

Wiadomość od Twittera w sprawie SMS Źródło: https://twitter.com/jsrailton/status/1626791204238008320

Motywacja jest oczywista. Chodzi o pieniądze. Wszyscy się przyzwyczailiśmy, że SMSy są darmowe, w pakiecie lub abonamencie. Bo taka jest rzeczywistość, przynajmniej w Polsce i dla SMSów wysyłanych w kraju. Tyle, że sytuacja z puntku widzenia serwisu internetowego wygląda nieco inaczej – korzystają z zewnętrznych dostawców, wysyłają do różnych krajów. To jest usługa, która kosztuje i to zapewne niemało. Czyli SMSy to taki rodzaj 2FA, gdzie całość kosztu ponosi serwis. No chyba, że przerzuci ten koszt na użytkownika, co Twitter właśnie zrobił.

Przy okazji, SMSy to jeden z najsłabszych rodzajów 2FA. Dla przeciętnego użytkownika Twittera być może nie ma to praktycznego znaczenia[1], ale istnieją ataki pozwalające na obejście tej metody komunikacji. Jak widać były w praktyce stosowane, także do przejmowania kont na Twitterze. Co gorsza, ofiara, czyli właściciel konta z takim 2FA praktycznie nie ma wpływu na skuteczność tych ataków. Atak odbywa się bowiem na dostawcę sieci komórkowej, a w zasadzie na jego pracowników obsługi klienta.

Dygresja: jeśli korzystamy z serwisu na telefonie i odbieramy SMS służące do 2FA na tym samym telefonie, to czy to jest jeszcze drugi składnik zaczyna być mocno dyskusyjne. Zależy od zagrożenia, przed którym chcemy się bronić. Dla kradzieży hasła czy sesji np. przez XSS wystarczy, dla malware na telefonie czy kradzieży telefonu – niekoniecznie. Dotyczy to także innych metod 2FA, jak email czy TOTP w Google Authenicator[2] czy aplikacji.

Niezależnie od motywacji, zapewne przypadkiem, Twitter został pionierem rewolucji w security na miarę walki Orange ze spamem przez zablokowanie wysyłki maili na porcie 25. Jest to pierwszy duży serwis, który odsyła przestarzałe 2FA via SMS tam, gdzie jego miejsce. Tj. do fanaberii typu papierowa faktura w usługach masowych. Tu od dawna mamy mniej lub bardziej zawoalowane opłaty za wystawianie papierowych faktur. Zwykle w formie „będzie 5 zł taniej, warunkiem skorzystania z promocji jest wyrażenie zgody na faktury elektroniczne”. I jakoś nikt z tym nie ma problemu. Chociaż faktury elektroniczne są także tańsze dla firm. Ale lepsze, bo nie marnujemy papieru i środków na jego transport.

Jeśli ktoś chce nadal korzystać za darmo z 2FA dla konta na Twitterze, to nadal ma dostępne takie opcje:

Opcje 2FA na Twitterze. Źródło: https://twitter.com/mkusiciel/status/1626851994097922048

Według mnie marginalizacja 2FA via SMS to dobra zmiana i będę kibicował innym serwisom, które się zdecydują na jej wprowadzenie. O wadach i zaletach poszczególnych metod 2FA może napiszę innym razem.

[1] Przykro mi, nikomu nie zależy na przejęciu naszych kont. A przynajmniej nie jest to warte ryzyka i/lub kilkuset złotych.
[2] Upraszczam, nie tylko Google Authenticator to oferuje. Tak naprawdę to trywialny algorytm, ale ta implementacja jest najbardziej znana i chyba najpopularniejsza.

Recenzja słuchawek Mozos M700BT

Niby mam słuchawki, niby wolę na kablu. Ale od pewnego czasu chodzą za mną słuchawki na Bluetooth. Żona ma od lat Sony WH-CH510. To świetne słuchawki, funkcjonalne, wygodne, z bardzo dobrym czasem pracy na baterii (do 35h) i umiarkowaną ceną (ok. 150 zł normalnie, bywają 30-40 zł taniej w promocji). Kupiłbym je już dawno, ale brakuje mi w nich jednej rzeczy – możliwości podłączenia kabla i korzystania przewodowo.

Słuchawki Mozos M700BT
Mozos M700BT Źródło: https://mozos.pl/sklep/mozos-m700bt-sluchawki-nauszne-bezprzewodowe-bt5-0/

Po co kabel? Ano niektóre urządzenia nie mają BT. Choćby piecyk do gitary. Poza tym, jeśli siedzę w pracy przy komputerze, to wolę mieć wpięty kabel kabel, niż pamiętać o ładowaniu. Dodam jeszcze, że chodzi mi wyłącznie o słuchanie muzyki, w wersji na kablu nie potrzebuję mikrofonu. Zresztą w obecnie używanych do komputera Sony MDR-ZX110 też nie ma mikrofonu.

Dodatkowo niedawno w ręce wpadły mi przypadkiem jeszcze tanie słuchawki Bluetooth znane jako B39, kosztujące ok. 25-40 zł i o ile jakość materiałów, wykonania i parametry pozostawiały nieco do życzenia, to grały całkiem znośnie[1]. Dlatego gdy zobaczyłem pozytywne opinie o tytułowych Mozos M700BT, że grają poprawnie, ale jakość wykonania bardzo dobra w tej cenie, zacząłem się zastanawiać. Do 16h pracy na baterii może nie zachwyca, ale… dają możliwość podłączenia kablem.

Mozos M700BT na bluetooth

Zamówiłem słuchawki M700BT (60 zł), zamówiłem od razu kabel. Przyjechały. Rozpakowałem – jakość faktycznie na oko przyzwoita. Podłączyłem do komputera i telefonu, posłuchałem – grają OK. Zasięg również bez problemu. Dodatkowo dobrze przylegały i miło przytłumiały otoczenie[2]. Cecha przeze mnie pożądana, ale niewymagana. Generalnie jako słuchawki bluetooth – przyzwoite, do rozważenia.

Kabel do słuchawek

Stwierdziłem, że pora na podłączenie kablem i… tu zaczęły się schody. Niektórzy sprzedawcy piszą wprost o możliwości podłączenia kablem jack 3,5 mm, inni o możliwości podłączenia kablem. Sam producent na stronie produktu pisze tak:

Co warte odnotowania słuchawki mogą łączyć się również przewodowo za pomocą standardu jack 3.5 mm (przewód należy dokupić oddzielnie).

Tyle, że w słuchawkach nie ma gniazda jack! Jest USB C, to samo, które służy do ładowania. No dobra. Nie jestem szczęśliwy, ale jeszcze nie ma dramatu. Kabel można dokupić. Niestety, okazało się to nie takie proste, na jakie wygląda. Większość kabli to przejściówki z USB C na jack. Czyli źródłem jest np. telefon, a odbiornikiem np. radio z gniazdem mini jack. Jakoś nie wierzyłem w dwukierunkowość tego typu rozwiązań, tym bardziej, że wszyscy producenci i sprzedawcy pokazywali i opisywali jasno sugerując kierunek nadawania sygnału.

Zapytałem producenta i szybko uzyskałem odpowiedź, że należy dokupić kabel do słuchawek Bluedio. Zatem cytowany powyżej opis z jednej strony jest prawdziwy, z drugiej nie, Zależy na który koniec kabla spojrzeć. Szybko poszukałem co to takiego Bluedio i okazało się, że Mozos M700BT to rebrandowane Bluedio BT5, a przynajmniej wszelkie znaki na niebie i ziemi na to wskazują. Kabel był trochę drogawy, bo 30 zł to połowa ceny słuchawek. Stwierdziłem jednak, że dam szansę.

Mozos M700BT na kablu

Dałem i jestem głęboko rozczarowany. Jakość dźwięku na kablu jest tragiczna. Dźwięk jakby zniekształcony, totalny brak basów, wręcz trudno rozpoznać utwory. Sprawdzone na dwóch komputerach. Skojarzenia z rozmową przez telefon jak najbardziej na miejscu. Być może od biedy nada się to do telekonferencji, ale nie sprawdzałem, bo nie o to chodzi. Nie wiem, czy to kwestia egzemplarza, czy coś jest zepsute, czy to po prostu broken by design.

Cieszę się, że kupiłem ze Smart! na Allegro, bo do tej pory nie miałem nigdy problemów ze zwrotem[3]. Zastanawiałem się, czy oddać sam kabel, czy także słuchawki. Bowiem jako słuchawki bezprzewodowe oceniam je jako przyzwoite. Jednak po namyśle stwierdziłem, że jeśli mam kupować, to takie, które naprawdę pozwalają zarówno na działanie po bluetooth, jak i na kablu.

Jeśli więc czytelnicy są w stanie wskazać sprawdzone, niedrogie, nauszne słuchawki bluetooth, które potrafią zmienić się w przewodowe i grać na kablu, to poproszę.

[1] Odwołuję. Przymierzyłem i jest to jako-tako. Widocznie w pierwszym wrażeniu zachwyciłem się, że jest jakiś bas, a nie kartony. Bo jakiś jest, ale sztuczny i zbyt mocny. Ale to detal, w porównaniu z tym, że nie grają normalnego, oddzielnego stereo. Na testach, gdzie normalnie gra jeden głośnik, w nich grają oba. Nie przypuszczałem, że takie coś może w ogóle mieć miejsce.
[2] Niektórzy narzekali, że słabo wygłuszają, bo są przerwy między słuchawkami a głową. Jestem w stanie zrozumieć – to słuchawki z montażem „na sztywno”, bez żadnej swobody, więc może się zdarzyć, że komuś nie do końca przypasują do głowy.

UPDATE: [3] Zwroty bez problemu. Zapakowałem, odesłałem, po paru dniach pieniądze były z powrotem na koncie.