Pomiędzy bitami - Techno, porno i duszno. Blog niezupełnie technologiczny.

7 maja, 20267 maja, 2026

Nowa reCAPTCHA

Pojawiło się doniesienie o wprowadzeniu przez Google nowej wersji reCAPTCHA. Nazwa jest piękna Google Cloud Fraud Defense. Od razu wiadomo, jak opakowana została zmiana, w imię której będziemy poświęcać wolność. Walka z nadużyciami, bezpieczeństwo. W artykule jest security, safety, trust i fraud. Oczywiście pojawia się też AI.

Trochę miałem do czynienia z rozwiązaniami do detekcji botów, wydaje mi się, że widzę, w czym rzecz. Nowatorstwo rozwiązania nie jest w QR-code. Nie jest w konieczności użycia drugiego urządzenia do odczytania danych z pierwszego. To wszystko można oprogramować i zasymulować i zrobić na tym samym urządzeniu, automatycznie.

Prawdziwa natura nowego rozwiązania jest wg mnie widoczna w niepozornym fragmencie: By correlating telemetry across the entire lifecycle, our unified trust model identifies complex, multi-stage fraud campaigns that disconnected point solutions miss. This holistic view has demonstrated […] Wytłuszczenia moje.

Zmierzamy do tego, że poprawne rozwiązanie CAPTCHA, tj. bycie słusznie uznanym za człowieka, będzie opierało się na tym, że przynajmniej na jednym z urządzeń – o ile nie na obu – trzeba będzie wyrazić zgodę na telemetrię. Czyli pozwolić dostawcy – tu: Google – na pobieranie masy danych z urządzenia i o urządzeniu. O położeniu (geolokalizacj), o IP, o stanie baterii, zainstalowanych kodekach, fontach, o tym, jak i kiedy się porusza (akcelerometry). Wreszcie metadane o tym, które urządzenia były powiązane z którymi. I nie, nie na chwilę, tylko holistycznie przez cały cykl życia (cokolwiek ma to znaczyć).

A jeśli nie wyrazimy zgody? No cóż, w najlepszym wypadku stracimy więcej czasu na częstsze skanowanie lub rozwiązywanie innych form CAPTCHA. W najgorszym? Zostaniemy uznani za boty i pozbawieni dostępu do usług.

Czy będzie to skuteczne? Cóż, na początku pewnie tak. Czy da się obejść? Pewnie tak, ale wątpię, by obejście zyskało masową popularność. Ale masa danych, łatwych do skorelowania i niosących wiele informacji nie wprost trafi do dostawcy (tu: Google).

Dlatego mam szczerą nadzieję, że rozwiązanie spotka się z bojkotem użytkowników. Zarówno tych, którzy mieliby rozwiązywać CAPTCHA, jak i tych, którzy wybierają rozwiązanie, które wykorzystują. Zawsze zamiast rozwiązywać CAPTCHA można zrezygnować z dostępu/zakupu i zamiast tego zgłosić problem z dostępem do danych na stronie.

5 maja, 20265 maja, 2026

Kaucje

Cieszyłem się na wieść, że będą kaucje na butelki plastikowe i puszki. I automaty do oddawania. Wieki temu widziałem ten system za granicą. Po prostu wrzucało się np. butelki plastikowe, ale grubsze, wielorazowe, dostawało kwitek i można było albo zapłacić za zakupy, albo wypłacić pieniądze w kasie. Zero pytań, zero problemów, zero narzutu. Nawet nie trzeba było iść specjalnie do kasy „z człowiekiem”, bo kas automatyczncyh jeszcze nie było. Z mojego punktu widzenia wszystko po prostu działało.

Przyznaję, że początkowo miałem wrażenie, że u nas będzie podobnie. W dużych sklepach, w dużym mieście, nie miałem problemów ze zwrotem. Automaty działały, nie było kolejek. Lidl przyjmuje także niekaucjowane^[1]. Wypłacać pieniędzy nie miałem potrzeby, bo zwroty przy okazji zakupów robiłem, po kilka sztuk. Ale podobno też działa bez problemu.

Ostatnio miałem okazję się przekonać, że nie trzeba być rowerzystą, by zauważyć braki systemu kaucyjnego. W trakcie majówki wylądowałem w plenerze ze znajomymi na dłuższym posiedzeniu. W trakcie postanowiliśmy kupić coś do jedzenia i picia. Wzięliśmy puszki i udaliśmy się do sklepu z zielonym płazem w logo. A tam:opakowań nie przyjmujemy gdyż automat jest pełen, a sklepy o powierzchni poniżej 200 m kw. nie mają obowiązku przyjmowania. Kiedy będzie opróżniony? Dzisiaj to już nie. To co możemy zrobić? Można spróbować w innym sklepie z zielonym płazem w logo. Oczywiście nie przeszkodziło to sprzedawcy naliczyć kaucji za kolejne puszki…

Także jednak mamy patologię. Raz, że nie wszystkie opakowania, zarówno plastikowe, jak i szklane, są kaucjowane. Dwa, że właściciele małych sklepów grają przeciw klientom, zmuszając ich do płacenia kolejnych kaucji i nie przyjmując zwrotów. Czyli albo wyrzucasz opakowania do śmieci i tracisz pieniądze, albo bawisz się w zbieractwo i noszenie do dużych punktów. Cwaniaczek właściciel cieszy się, że jego mały automacik jest pełen i teraz to nie jego problem, bo on nie ma obowiązku. A pieniądze za kaucję zostają u nie go w kasie, hehe.

Jak długo będzie się cieszył? Przypuszczam, że niezbyt długo. Ludzie nie lubią czuć się kantowani, więc będą wybierać sklepy, które ze zwrotem nie robią problemów. Bo może i sklep nie ma obowiązku przyjmowania opakowań, ale ja nie mam obowiązku robienia zakupów tam, gdzie czuję, że mnie olewają i biorą ode mnie pieniądze pod pozorem kaucji. Bo skoro jednocześnie nie mogę oddać identycznych opakowań w miejscu, gdzie kupuję, w momencie zakupu, to nie jest kaucja, tylko opłata.

Chodzić do innego sklepu tylko po to, żeby oddać opakowania raczej nie będzie się ludziom chciało. Zresztą, zapewne na to stawia od dawna Lidl, przyjmując także opakowania bez kaucji. Raz, żeby przyciągnąć ludzi do przyjścia, dwa, żeby budować pozytywne skojarzenia z marką. Czy zaraz będzie płacz, jak to „małe, lokalne” punkty upadają, bo, duże, złe markety^[2] je wykańczają?

Po drugie wierzę, że wkrótce miłościwie nam panujący wpadną na prosty sposób uzdrowienia systemu w postaci wprowadzenia obowiązku przyjmowania opakowań tego samego typu i ilości, czyli „na wymianę” przez wszystkie punkty. Bo nie chodzi o to, żeby obciążać małe sklepy obowiązkiem przyjmowania hurtowych ilości opakowań kupionych gdzie indziej np. w trakcie majówki. Ale jeśli sprzedają dwie puszki z kaucją, to co najmniej tyle powinni przyjąć na wymianę. Przy okazji można jeszcze rozszerzyć obowiązek kaucyjny na wszystkie opakowania szklane i będzie to w miarę funkcjonowało.

[1] W sumie tylko jednej mi nie przyjął, po kwasie chlebowym, choć wcześniej przyjął tego typu. No ale to był inny producent kwasu.
[2] Że niby Żabka to mała firma, ta, jasne…

28 kwietnia, 20262 maja, 2026

Sesja Linuksowa cz. 2

W poprzednim wpisie było o tym, jak pojechałem na Sesję Linuksową i co mi się podobało. W tym będzie o powrocie, konkursach i trochę ponarzekam.

Zacznę od narzekania. Strona Sesji Linuksowej to dziwny twór, z którym miałem problemy. Zaczęło się od tego, że jedna z przeglądarek (Firefox Focus) w ogóle nie pokazywała agendy. Druga pokazała, więc wzruszyłem ramionami. I tak by zostało i zapomniałbym o sprawie, gdyby nie dziwne godziny pokazane na desktopie (Firefox), gdy sprawdzałem pociągi pod kątem wyjazdu. Stwierdziłem, że z rozwiązaniem do agendy jest coś nie tak. Zacząłem walczyć z ustawieniami Focusa i… nie udało mi się wyświetlić treści agendy. Doszło do dość absurdalnej sytuacji, gdy miałem 4 różne przeglądarki, na 2 różnych systemach (Android, Linux). Z których jedna nie pokazywała agendy, a druga miała inne godziny, niż dwie pozostałe. Za każdym razem problem był na przeglądarce robionej przez Mozillę.

Owszem, dobrzy ludzie zwrócili mi później uwagę, że jest napisane System informatyczny Confreg wyświetla godziny w strefie czasowej zażądanej przez przeglądarkę. W przypadku używania funkcji ResistFingerprinting, godziny pokazują się w UTC. Wykłady zaczynają się o godzinie 9:00 czasu środkowoeuropejskiego letniego. Drobny problem polegał na tym, że było to napisane za agendą. A mnie interesował pierwszy wykład z uwagi na godzinę rozpoczęcia i kupno biletu. Ach, gdyby tylko można było wyświetlić godzinę korzystając z lokalnego czasu konferencji lub podać wprost strefę czasową, a nie zgadywać na podstawie strefy przeglądarki… Niby nic, ale naprawdę mało brakowało, żebym zrezygnował z przyjazdu. Dotarcie na siódmą rano w sobotę trochę mi się nie uśmiechało. Ostatecznie pewność zyskałem przy użyciu macOS z Chrome, bez dodatków. Czyli chwalmy open source i prywatność, ale jak coś trzeba zrobić, to… niekoniecznie się to sprawdza.

Na obronę systemu agendy powiem jedynie, że całkiem zgrabnie wg mnie pokazywał, w którym miejscu w agendy jesteśmy w danej chwili. Niby tylko czerwona linia, a bardzo ułatwiała korzystanie.

Byli sponsorzy ze stoiskami oraz konkursy. Korbank, którego znam z sieci ze starych czasów, ma teraz swoją kolokację i VPSy. W ramach konkursu można było złożyć serwer (prawdziwy) na czas^[1] i dostać talon na VPS i balon^[2]. Niby niezłe ceny, bo od 10 zł/m-c z VAT za najmniejszą maszynkę (10 GB dysku, 2 GB RAM, 1 vCPU), ale… wygląda, że do normalnego korzystania trzeba dokupić adres IPv4 za 5 zł/m-c, bo w standardzie jest IPv6. Jeśli wszystko pójdzie dobrze to uruchomię wkrótce i dam znać, czy da się korzystać bez IPv4. Tzn. czy i na ile jest to w praktyce problematyczne.

Drugi konkurs, w którym wziąłem udział, był „konferencyjny” i w przypadku niektórych zadań także dawał dostęp do VPSów. Też takich wyposażonych wyłącznie w IPv6, choć bez możliwości dokupienia IPv4. Chodzi o mikr.us, którym trochę chciałem się pobawić już wcześniej, a trochę nie widziałem sensu, skoro istnieją darmowe alternatywy, z lepszymi warunkami. No ale skoro można było się pobawić i sprawdzić w konkursie^[3], to niech będzie. Ku mojemu zdziwieniu, talon jest na całkiem mocną maszynę (wariant 3.5, czyli 4GB RAM, 40 GB dysk) i na rok. Nawet mam pomysł do czego go wykorzystam, choć pewnie starczyłaby połowa zasobów.

Powrót chciałem rozpocząć tramwajem, ale… Google maps stwierdziło, że tramwaj, którym przyjechałem, nie jeździ na dworzec. Pokazywało same autobusy. To skłoniło mnie do opcji numer dwa, czyli spaceru, który pierwotnie był przewidziany także na dotarcie na Sesję. Faktycznie, nie jest daleko, w czasie poniżej pół godziny spokojnie dało się dojść. Piękna pogoda, więc spacer po Wrocławiu zaliczony z przyjemnością. Pociąg punktualnie i w zasadzie bez niespodzianek, jeśli nie liczyć braku wagonu, w którym miałem miejsce. Okazało się, że dopiero je doczepią po podstawieniu, ale mogłoby to być zaznaczone na bilecie. Nie tylko ja byłem zaskoczony sytuacją i szukałem nieistniejącego jeszcze wagonu.

Wykłady z dnia drugiego – postaram się obejrzeć. Niestety, średnio lubię nagrania prezentacji ogólnie, a „scenicznych” szczególnie. Zwykle najwyżej średnia jakość dźwięku jest i nie wszystko dobrze widać. Choć sprawdziłem właśnie na YouTube nagrania z niedzieli i przyznaję, że jest zrobione profesjonalnie. Nie zmienia to faktu, że za rok i tak postaram się powtórzyć wypad.

[1] Oj, wyszedłem z wprawy, faktem jest, że ładnych parę lat nie składałem takiego sprzętu.
[2] To pomysł twórców, nie mój.
[3] Trochę miałem wyrzuty, bo dla grających w CTFy zadanie było proste. Jednak stwierdziłem, że po pierwsze nie mam żadnych powiązań z organizatorami, po drugie każdy może zrobić, po trzecie, wyjątkowo mam laptopa na konferencji, po czwarte, będzie okazja pobawić się VPSem.

UPDATE: Talon od Korbanku to zniżka (30%), nie doładowanie (30zł). Chęć na testy trochę mi spadła, zwłaszcza, że nie mam działającego IPv6 w tej chwili dostępnego od ręki. W dobie wszechobecnych free tier u dużych dostawców – jestem lekko zdziwiony.