rozie – Pomiędzy bitami

Luty 22, 2019

Zmiana przeglądarki używanej do chrome custom tabs w Android 7.0

Niedawno dowiedziałem się, że istnieje coś takiego jak mechanizm chrome custom tabs. Wszystko za sprawą appki mobilnej Allegro. Do tej pory kliknięcie zewnętrznego URLa, np. link do trackingu przesyłki, kończyło się pytaniem, w jakiej przeglądarce otworzyć (i czy zapamiętać wybór). Zwykle, a może i zawsze(?) wybierałem Firefox Focus o którym kiedyś wspomniałem i który zdecydowanie przypadł mi do gustu. Ostatnio jednak pozmieniało się i URLe otwierały się w czymś innym, podobnym do Chrome. Niezbyt mi się to spodobało.

Zasięgnąłem języka i okazało się, że chodzi o chrome custom tabs. Sama idea zmiany mi się nawet podoba tylko… wolałbym, żeby te linki otwierały się w Firefox Focus. Okazało się, że da się to zrobić, wystarczy ustawić Firefox Focus jako domyślną przeglądarkę w systemie.

W Android 7.0 Można to zrobić na dwa sposoby. Jeden opisuje Mozilla, a drugi, bardziej uniwersalny, bo działający dla wszystkich przeglądarek to wybranie:
Settings -> Apps -> kółko zębate -> Browser app, a tam Firefox Focus.

Przyznaję, że jak dla mnie, to trochę zbyt mocno schowane.

Styczeń 20, 2019Luty 9, 2019

Ile prądu zużywają żarówki LED?

W poprzednim wpisie pisałem o kalkulatorze zwrotu inwestycji w urządzenia energooszczędne. W tym wpisie będzie o tym, że kalkulować trzeba ostrożnie i nie takie LEDy fajne, jak je piszą.

Zaczęło się niewinnie – kupiłem okazyjnie (jakieś 4 zł/szt.) na Allegro żarówki Ledlumen, które na papierze prezentowały się całkiem obiecująco, szczególnie zważywszy na to, że używane dotychczas z IKEA mają już swoje lata. Coś mnie podkusiło, żeby sprawdzić przy pomocy watomierza, ile faktycznie pobierają prądu. Porównałem też jak jasno świecą przy pomocy aplikacji na telefonie, ale tego nie opisuję, bo mało dokładny czy powtarzalny pomiar (dochodzi światło otoczenia, ułożenie lampki i telefonu). W każdym nowe Ledlumen razie świecą jaśniej od tych używanych z IKEA, co zresztą widać gołym okiem. Natomiast wyniki pomiaru prądu okazały się na tyle ciekawe, że przetrzepałem różne rodzaje żarówek, które miałem w domu.

Pomiar za każdym razem przeprowadzałem tak samo – wkręcenie zimnej żarówki do lampki, odczyt kilka sekund po włączeniu, kolejny po minucie. Główni bohaterowie to:

żarówki z IKEA, używane, nazwy nie pamiętam, kupowane w różnym okresie. Zwykle paroletnie. Moc znamionowa 6,3 W.
żarówki Ledlumen, zakupione na Allegro, ok. 4 zł/szt. Nowe. Moc znamionowa 6 W
żarówki Ryet z IKEA, kupione w promocji za 4 zł/szt. Nowe. Moc znamionowa 5 W
żarówki Anslut z Jula. Nowe. Moc znamionowa 5,8 W

Poniżej dane z pomiarów w formie

opis żarówki, moc znamionowa, pobór po włączeniu, pobór po minucie od włączenia
IKEA 6,3 7,4 6,5
IKEA 6,3 6,5 6,6
IKEA 6,3 6,5 6,6
IKEA 6,3 7,4 6,5
IKEA 6,3 6,5 6,6
IKEA 6,3 6,7 6,8
Ledlumen 6,0 7,0 7,1
Ledlumen 6,0 7,1 7,2
Ledlumen 6,0 7,2 7,3
Ryet IKEA 5,0 4,5 4,5
Ryet IKEA 5,0 5,4 4,5
Anslut Jula 5,8 5,5 5,5
Anslut Jula 5,8 6,4 6,4
whitenergy 5,0 4,3 4,3
noname 3,0 1,8 1,8

Z powyższego daje się wyciągnąć kilka wniosków. Po pierwsze, niby takie same, nowe żarówki potrafią znacznie różnić się poborem prądu między sobą, co widać na Ryet i Anslut. Po drugie, pobór prądu nieco się zmienia po rozgrzaniu się żarówki. Po trzecie i najważniejsze, wartości deklarowane to… wartości deklarowane, a różnice sięgają nawet 10%. I rzadko są to różnice na korzyść użytkownika, przynajmniej jeśli chodzi o zużycie energii.

UPDATE Pojawił się świetny wpis traktujący o zużywaniu się i zmianach w żarówkach LED (ang.) – warto przeczytać.

Styczeń 6, 2019Styczeń 6, 2019

Kalkulator okresu zwrotu wymiany urządzeń elektrycznych

Jakoś rok czy dwa temu wdałem się w dość bezsensowną dyskusję, czy warto przechodzić z żarówek zwykłych na LED, albo – szerzej – czy pobór prądu przez urządzenie (np. router) może być przesłanką do jego wymiany. Oczywiście stałem na stanowisku, że może, bo zdarzyło mi się to już policzyć i choćby router między innymi z tego powodu wymienić. Argumenty drugiej strony były, że ludzi nie stać na żarówki LED, że to inwestycja i że zwraca się długo. Tu nie ma co dyskutować i gdybać, to można zwyczajnie zmierzyć i policzyć.

Wpadłem wtedy na pomysł, że warto zrobić kalkulator ułatwiający tego typu szacunki[1], bo to pięć minut roboty, a będzie można łatwo porównać i żarówki, i router, i dowolne inne urządzenie. A także łatwo sprawdzić przed zakupem, czy bardziej opłaca się w określonym horyzoncie czasowym kupić tańszy sprzęt AGD klasy A czy droższy A++, co również zdarzało mi się liczyć, zgrubnie[2].

Okazało się, że roboty jest znacznie więcej, niż pięć minut, jeśli się nie zna JavaScriptu. Całość działała, ale wyglądała bardzo koślawo i… zapomniałem o tym mini projekcie. Dziś, korzystając z zapowiedzianych podwyżek cen energii, które nie spowodują wzrostu wydatków na energię (haha) uznałem, że kalkulator opłacalności wymiany urządzeń elektrycznych warto odświeżyć, czyli doprowadzić do stanu pozwalającego na jego publikację. Nadal nie jest to zgrabne, ale da się używać bez bólu oczu. Pewnie będą drobne aktualizacje.

Jednocześnie chciałem, żeby wpis o kalkulatorze oszczędności energii i zaletach LED pojawił się chronologicznie wcześniej, niż nadchodzący wielkimi krokami wpis o różnicach między deklarowanymi wartościami poboru prądu żarówek LED, a zużyciem rzeczywistym.

Użycie jest proste – podajemy ile średnio godzin dziennie używane jest urządzenie, podajemy aktualną cenę 1 kWh (wraz z przesyłem), cenę zakupu urządzeń (jeśli już posiadamy, podajemy zero). W odpowiedzi otrzymujemy miesięczny koszt użytkowania urządzeń oraz okres zwrotu. W przypadku wartości ułamkowych należy użyć kropki jako separatora dziesiętnego.

W przykładzie, po otwarciu strony jest żarówka zwykła 60W za 1 zł oraz 6W LED za 10 zł. Przy użyciu 2h dziennie i cenie 55gr/kWh (jakoś tak teraz jest) zwraca się w 5 m-cy. Ogólnie jeśli ktoś chce oszczędzać pieniądze, to warto wymienić wszystkie istniejące żarówki starego typu, zupełnie nie przejmując się częstotliwością zapalania i gaszenia…

Korzystając z okazji przypomnę adres mojego nieco zapuszczonego bloga dotyczącego realnego poboru prądu przez różne urządzenia.

[1] Oczywiście działający po stronie przeglądarki, napisany w JavaScript – nie pobieram żadnych danych na serwer. Mocno poza strefą komfortu, jeśli chodzi o język. Totalnie zmarnowane szanse na produktyzację. Ale uważam, że tak się powinno robić tego typu kalkulatory.

[2] Wtedy wyszło mi, że w perspektywie pięciu lat, bo na tyle szacowałem żywotność sprzętu, nie ma sensu dopłacać kilkuset zł za urządzenie bardziej energooszczędne.

Grudzień 22, 2018Grudzień 22, 2018

Skutki wycieku danych z Morele.net

Jakiś czas temu ze sklepu internetowego Morele.net wyciekły dane. W sieci zaroiło się od reakcji, dość skrajnych. Od psioczenia na słabe zabezpieczenia i „jak tak można było” i „pójdę z tym do sądu” po „nie stało się nic„.

Wyciekły maile, imiona, nazwiska, numery telefonów dla 2,2 mln kont. Oraz prawdopodobnie, dodatkowo, jak twierdzi włamywacz, a czemu zaprzeczyły Morele.net, numery PESEL oraz skany dowodów osobistych dla kilkudziesięciu tysięcy kont, a włamywacz ujawniał kolejne szczegóły na Wykopie (konto już usunięte).

Moim zdaniem prawda leży, jak to często bywa, gdzieś pośrodku. Na pewno wyciek jest ważny ze względu na skalę – 2,2 mln rekordów w skali Polski to bardzo dużo[1], w dowolnym aspekcie – czy to do wysyłki spamu, czy do ataków phishingowych przy pomocy SMSów, czy wreszcie jako baza haseł, zarówno do próby bezpośredniego wykorzystania ich w innych serwisach, jak i do analizy i budowy słowników w kolejnych atakach.

W informacjach o wycieku poruszony był aspekt niezłego hashowania haseł. Niestety te niezłe hashe w praktyce niewiele wnoszą – być może nie uda się złamać, w sensownym czasie i sensownym kosztem, najtrudniejszych haseł, ale najsłabsze ok. 20% można złamać na CPU na pojedynczym komputerze w ciągu pojedynczych godzin.

Jeśli informacja o wycieku skanów dowodów jest prawdziwa, to jest to dla ofiar spory problem – możliwości do nadużcia spore, PESEL w zasadzie niezmienialny, a wymiana dowodu kłopotliwa. Przypuszczam, że chodzi tu tylko o kupujących na raty.

Pozostałe 2,2 mln niespecjalnie ma powody do zmartwień, jeśli tylko nie stosuje schematycznych haseł oraz ma osobne hasła do różnych serwisów. W tym miejscu gorąco polecam programy do przechowywania haseł w stylu Keepass.

Jeśli hasła są różne w różnych serwisach to nawet ich siła nie ma specjalnego znaczenia, o ile w serwisie są tylko dane z bazy, nie można zrobić zakupu itp. OK, atakujący dostanie się do konta w sklepie internetowym. Co zobaczy, czego jeszcze nie wie? Historię zakupów? Ironizuję, ale zakładam, że nie jest w stanie robić zamówień itp. bez dodatkowego potwierdzenia. Mógł za to usunąć konto, jednym kliknięciem, bez potwierdzania. Cóż, to strata głównie dla sklepu – jeśli ktoś potrzebuje to założy nowe konto…

Jeśli chodzi o maile, to jest spora szansa, że już wcześniej trafiły do baz spamerów i marketerów. Chyba, że ktoś stosuje oddzielne aliasy do serwisów, ale wtedy zupełnie nie ma problemu – wystarczy usunąć alias. Podobnie z numerami telefonów. A jeśli ktoś chce mieć święty spokój, to przypominam, że usługi GSM tanieją i numer telefonu płatny w formie prepaid można mieć już za 5 zł rocznie i używać go w różnych mniej istotnych miejscach. Oczywiście można to zrobić w nowocześniejszy sposób.

Tu dochodzimy do sedna: czy do zakupu w każdym sklepie internetowym faktycznie potrzebne jest zakładanie konta? Niektóre sklepy wymuszają założenie konta, ale staram się takich unikać, a z paru zakupów zdarzyło mi się zrezygnować z tego powodu. Jeśli już zakładamy konto, to dobrze by było, żeby wymagane było podawanie jak najmniejszej ilości danych. Zupełnie dobrze by było, gdyby serwisy pozwalały na ustawienie po jakim czasie nieaktywności usunąć konto lub chociaż cyklicznie przypominać mailem o takiej możliwości.

[1] Kolejny duży polski wyciek, który kojarzę to ~700 tys. z Filmweb. Oczywiście polskie konta występują też na wyciekach światowych i będą to porównywalne ilości.

UPDATE: Wpis nieco przeleżał jako szkic i został ostatecznie opublikowany w formie nieco pociętej. Mimo tematu, który pozostał z wersji oryginalnej, celowo pominąłem m. in. spekulacje nt. skutków dla Morele.net i chciałbym, aby tak pozostało, również w komentarzach.

Grudzień 1, 2018

Advent of Code

Dowiedziałem się, że jest coś takiego jak Advent of Code. Czyli kalendarz adwentowy, tylko zamiast łakoci są zadania programistyczne do rozwiązania. Dwa dziennie, liczy się i fakt rozwiązania, i czas. Rozwiązywać można w dowolnym języku, weryfikacja rozwiązania jest przez podanie wyniku.

Podobno maja być z różnych dziedzin i o różnym poziomie trudności – dziś były bardzo proste. Zrobiłem w Pythonie, potem lepszą wersję, potem jedno w Perlu, jako krótki oneliner.

Jest rywalizacja globalna, ale można też tworzyć prywatne rywalizacje i porównywać się ze znajomymi. Ja bawię się z ludźmi z pracy, choć sporo z nich utrudniło sobie wyzwanie i poznaje przy okazji nowy język. Ale ja nie jestem programistą… 😉

Trochę skojarzenie z konkursami programistycznymi, którymi bawiłem się na studiach. Żeby nie było samych zalet – mimo, że każdy uczestnik ma inne dane wejściowe, to czas rozwiązania liczy się od publikacji zadania, które ma miejsce o północy w dziwnej strefie czasowej, co pewnie faworyzuje niektóre lokalizacje geograficzne. Ale nie ma to większego znaczenia w przypadku zabawy ze znajomymi.

Polecam zerknięcie – można sobie odświeżyć umiejętności programistyczne, poćwiczyć i przede wszystkim pobawić się.

Listopad 28, 2018

SEO przy zmianie domeny bloga

To ostatni wpis nawiązujący do Blox, przynajmniej techniczny, bo być może pojawi się jeszcze jeden o tym, jak Agora ma w głębokim poważaniu wolność słowa (określając to górnolotnie) i że ważniejsze jest parę złotych.

Po przeniesieniu bloga, o którym nieco pisałem, przyszedł czas na przeniesienie pozycjonowania w Google w nowe miejsce, czyli zabawę z SEO, aby ludzie wchodząc z wyszukiwarki trafiali w nowe miejsce. Przyznaję, że motywację miałem nikłą – nie zarabiam na wejściach, bo ani nie służy on do sprzedaży produktu, ani nawet nie ma podpiętych innych, pośrednich form zarobku.

Po przeniesieniu treści postanowiłem poczekać. Zwyczajnie i po prostu, nie robiąc nic, poza daniem informacji Google, że blog jest i jak interpretować zawarte na nim dane. Zresztą akurat miałem co innego na głowie. Znaczy ograniczyłem się do wypełnienia Data Highliter z Webmaster Tools. Stan taki trwał jakiś miesiąc albo dwa.

Z braku kontroli nad nagłówkami pomysł przekierowania w nowe miejsce przy pomocy kodu odpowiedzi 301 odpadł w przedbiegach, choć to najprostsza, automatyczna i zalecana – także z punktu widzenia SEO – forma przekierowania ruchu w nowe miejsce.

Trochę czasu minęło, ilość wejść na nową lokalizację była szczątkowa, choć miałem nadzieję, że Google zacznie ogarniać sytuację samodzielnie. Niestety tak się nie stało, więc postanowiłem zacząć działać, choć miałem świadomość, że to praca, która się nie automatyzuje. Pierwsze co przyszło mi do głowy, to ustawienie link canonical dla wybranych, najczęściej odwiedzanych wpisów z nową lokalizacją jako celem. I tu okazało się, że Blox przewidział sytuację i… stosowne elementy HTML znikają po dodaniu ich w edycji źródła[1].

Z braku lepszych pomysłów dodałem w najpopularniejszych wpisach namiar na nowe miejsce, poprawiłem też linki do bloga w większości miejsc, gdzie były one umieszczone i… postanowiłem jeszcze poczekać. Poczekałem kwartał, ale nie wydarzyło się nic specjalnego. Statystyki wg Webmaster Tools wyglądały na koniec kwartału następująco:

ostanie 28 dni: impr: 2250, CTR 0,84%, avg pos 33,7. 130 wizyt

Delikatnie mówiąc szału nie ma.

Postanowiłem więc podziałać inaczej. Skoro nie mogę przekierować wyszukiwarki Google, to postanowiłem przekierować przynajmniej żywych ludzi, licząc, że Google w jakiś sposób to zauważy i odpowiednio zinterpretuje. Skoro nic nie działa, to co zadziała na pewno i czego nie można zablokować? Oczywiście JavaScript. Malware korzystający z niego ma się dobrze dzięki obfuskacji, zablokować całkowicie wykorzystania JS na stornie nie bardzo można, bo masa funkcjonalności z niego korzysta. Użyłem następującej wersji przekierowania z jednej lokalizacji na drugą (dla najpopularniejszych wpisów):

<script>
window.location.replace('https://zakr.es/blog/2017/09/goodbye-yanosik/');
</script>

Oczywiście powyższy JS był tylko w odpowiadającym wpisie na starym blogu, a URL w skrypcie to URL na nowym blogu.

Zadziałało nadspodziewanie dobrze. Nadspodziewanie, bo przy wejściu na URL kategorii zawierającej wyświetlany wpis z przekierowaniem, także przekierowywało. Co gorsza przekierowywało przy wejściu na stronę główną, bo także znalazł się tam wpis z przekierowaniem. Może i więcej ruchu przez to, ale niezupełnie o to chodziło i mało to precyzyjne… Dla wpisów z głównej dokonałem więc stosownej korekty w stylu:

<script>
var stringPathName = window.location.pathname;
if (stringPathName == "/2018/02/Waze-jako-nawigacja.html") {
  window.location.replace('https://zakr.es/blog/2018/02/waze-jako-nawigacja/');
}
</script>

Poczekałem miesiąc, wyniki w statystykach były zauważalne, zacząłem więc dodawać tego typu przekierowania dla kolejnych, popularnych linków. Po dwóch miesiącach od dodania przekierowań w JS, wyniki wyglądały następująco:

28 dni: impr: 10450, CTR 4,46%, avg pos 18.8, 490 wizyt

Jak widać wzrost wszędzie. Uznałem, że jest sukces, zacząłem – dla pewności – usuwać większość treści wpisów na starym blogu. Nie było negatywnego wpływu, nastąpił nawet dalszy, równie znaczący wzrost wskaźników, choć zakładam, że wynika on po prostu z upływu czasu.

Największym zaskoczeniem jest dla mnie, że Google przy pozycjonowaniu uwzględnia JS do tego stopnia. Wiedziałem, że radzi sobie z treścią w JS i umie odczytać URLe, ale w tym przypadku wygląda, że poprawnie interpretowany jest fakt przekierowania.

Co można było zrobić lepiej lub inaczej? Całość działań można było zamknąć w mniej niż dwa miesiące, gdybym od razu wiedział co robić i działał zdecydowanie. Oczywiście lepsze efekty byłyby, gdyby zmiany dotyczyły wszystkich wpisów, ale jest to żmudna, ręczna praca, której poświęcałem kilka minut dziennie przy porannej kawie. Powyższy sposób przekierowania nie jest jedynym dostępnym w JS, miałem w planach sprawdzenie różnych, ale ten sprawdziłem jako pierwszy i zadziałał powyżej oczekiwań, więc nie testowałem innych.

Na koniec jeszcze garść cyferek. Ingerowałem ręcznie w ww. sposób w 40 wpisów. Wg Matomo nowy blog ma obecnie ok. 4-5 razy większą ilość wizyt, niż stary. Czyli ładny podział zgodnie z zasadą Pareto.

Co dalej? Dodawanie przekierowań w kolejnych wpisach i usuwanie z nich treści. Ostatecznie pewnie usuwanie przekierowanych wpisów, ale póki co nie mam na to ciśnienia.

[1] Tu zniknęła moja wątpliwość w celowość działań Blox w celu przywiązania użytkowników do swojej platformy. Przypominam: technicznie mają kontrolę nad nagłówkami i domeną – to jakby naturalne i cena za korzystanie ze współdzielonej platformy. Do tego wyłączyli parę lat temu – rzekomo tymczasowo – API. Ale jak widać dodatkowo jeszcze celowo ingerują w treść HTML.

Listopad 26, 2018

Wrocław (Hala Stulecia)

Zupełnie na przyczepkę w trakcie urlopu, którego głównym punktem było wrocławskie zoo było w planie krótkie zwiedzanie Ogrodu Japońskiego oraz Hali Stulecia. W obu przypadkach zakończone porażką – pierwszy z obiektów nie jest dostępny do zwiedzania od końca października, choć z zewnątrz wygląda akceptowalnie. Bonusowo: całą drogę były drogowskazy, o godzinach otwarcia można się dowiedzieć dopiero po dotarciu na miejsce. Nie jest to problem, bo to raptem kilkaset metrów, a trasa ładna, ale koncepcyjnie fail.

Zwiedzanie Hali Stulecia wewnątrz było niemożliwe z powodu trwającej próby do przedstawienia. Na osłodę obejrzeliśmy z zewnątrz oraz ciekawą wystawę poświęconą Hali Stulecia. Co ciekawe, nadal widoczne są kompleksy(?) związane z niemieckim, militarnym charakterem Hali. Nie tylko na wystawie, która okres nazizmu podczas II WŚ pomija na filmie dosłownie jednym zdaniem, ale również na Wikipedii, gdzie wersja polska mówi jedynie o układzie hali i krzyżu greckim:

Układ hali jest w rzucie kolisty, oparty symetrycznie na greckim krzyżu, na którego trzech końcach znajdują się małe hale wyjściowe, a na zachodnim, skierowanym w stronę centrum miasta – dwupoziomowa owalna hala wejściowa.

Natomiast wersja angielska wspomina już o motywie Żelaznego Krzyża na sklepieniu.

Photos taken looking up at the centre of the structure without the fabric covering clearly show the Iron Cross motif.

Czy to nadinterpretacja? Niekoniecznie, bo odznaczenie to zostało ustanowione właśnie w okresie upamiętnionym powstaniem hali. Nieźle oddaje to zdjęcie linkowane przez Wikipedię:

hala stulecia wnetrze — Źródło: http://4.bp.blogspot.com/-CNG4fQkG0k8/Ue-1V0wPnbI/AAAAAAABEeI/KuXdT02PUCQ/s1600/hala+stulecia+wnetrze.jpg

Z drugiej strony ciężko zrobić sklepienie z ośmioma żebrami, które nie będzie się – przy minimalnym wysiłku – z krzyżem kojarzyć.

Warto o tym wiedzieć, bo ciekawie jest oglądać zdjęcia z okresu PRL z różnymi elementami zasłaniającymi sklepienie – wygląda, że wtedy również raczej doszukiwano się nawiązującej do Żelaznego Krzyża interpretacji.

Gdyby ktoś z czytelników miał wrażenie deja vu, to tak, poprzedni wpis podzieliłem na dwa.

Listopad 15, 2018Listopad 26, 2018

Wrocław (zoo)

Korzystając z zalegającego urlopu oraz sprzyjającej prognozy pogody postanowiliśmy odwiedzić Wrocław. W zasadzie wypad stał pod znakiem zoo, ale nieco miasta liznęliśmy.

Coś mi się kołatało w głowie, że Wrocław to korki i słabo się po nim jeździ samochodem. Co prawda początki z Poznaniem miałem takie, że stwierdziłem, że auto w nim to nieporozumienie, więc liczyłem, że może być tylko lepiej, ale… chyba nie jest lepiej. Mimo dnia powszedniego i jazdy poza szczytem, korki gdzieniegdzie były. Kierowcy jeżdżą raczej agresywnie – kilka stłuczek plus częste klaksony. Wolę nie sprawdzać jak to wygląda w godzinach szczytu. Na szczęście tramwaje jeżdżą często i nie trzeba się przejmować biletami – wszystkie tramwaje, którymi jechaliśmy mają kasowniki zintegrowane z czytnikiem kart płatniczych, czyli nie trzeba kupować żadnej karty PEKA czy biletów, można płacić bezpośrednio. Bilety są na przejazd i czasowe.

Na zwiedzanie wrocławskiego zoo warto sobie zaplanować cały dzień. Teren nie jest tak rozległy, jak w Poznaniu, ale atrakcji jest wiele. Chodziliśmy ile sił starczyło, czyli od 10:00 do 15:30. Pogoda też dopisała – niby listopad, ale warunki raczej jak we wrześniu – i w miarę ciepło, i trochę słońca. Dodatkowo poza sezonem we wrocławskim zoo było raczej niewielu ludzi, co oznacza spokój i dobry dostęp do wszystkiego. Znaczy idealnie.

Afrikarium wypadło bardzo dobrze. Co prawda spotkałem się z opiniami, że przereklamowane, ale IMO robi robotę. I to nawet nie sam tunel, ale już same szyby umożliwiające zajrzenie pod wodę są rewelacyjne. Zaskoczyła mnie głębokość zbiorników – do tej pory spotkałem się z podglądem powiedzmy 1-1,5 metra od lustra wody, natomiast tu szyby znajdują się znacznie głębiej – stawiałbym na ok. 3 metry. Efekt jest rewelacyjny, zarówno jeśli chodzi o ryby, jak i inne zwierzęta – kotiki i manaty też wyglądają ciekawie. W ogóle jeśli chodzi o „foki”, to oglądanie ich tylko z góry, jak w poznańskim zoo jest w porównaniu zwyczajnie słabe. I ponownie podkreślę, że brak tłumu przy szybach zdecydowanie poprawia efekt i odbiór, więc warto tę część zoo zwiedzać poza sezonem lub w odpowiednich, mało tłocznych godzinach. Przykładowy pingwin:

pingwin we wrocławskim zoopingwin we wrocławskim zoo — Źródło: fot. własna

Jeszcze jedna rzecz – karmienie zwierząt. Samodzielnie zwierząt nie można karmić (wyjątkiem są pawiany i automat z odpowiednią karmą), natomiast są podane godziny podawania posiłków. Harmonogram był napięty, więc generalnie odpuściliśmy, albo – jak w przypadku rekinów – nie trafiliśmy, bo karmienie nie jest codziennie, natomiast byliśmy na karmieniu kotików i… bardzo je polecam. Spodziewałem się co prawda jakiejś interakcji, natomiast to co zobaczyłem to był praktycznie cyrkowy pokaz.

Nieuchronnie pojawia się pytanie czemu zoo ma służyć. Z jednej strony rozrywka dla zwiedzających, z drugiej strony jest to miejsce, gdzie zwierzęta po prostu żyją. Niektóre bez szans na inną egzystencję, bo w środowisku naturalnym gatunek przestaje występować. We wrocławskim zoo aspekt ten jest podkreślany przez wszechobecne tablice dotyczące stanu zagrożenia gatunku i powodu wymierania. Jeśli chodzi o rozrywkę dla zwiedzających, wrocławskie zoo wygrywa zdecydowanie, jeśli zaś chodzi o warunki dla zwierząt, wydaje mi się, że poznańskie jest lepsze. Po prostu zwierzęta mają więcej przestrzeni.

gnu we wrocławskim zoo — Źródło: fot. własna

Szczególnie dotyczy to starej części wrocławskiego zoo. W pamięci utkwił mi pawilon szympansów, z grubymi kratami. Jeden z szympansów darł się rozdzierająco i kiwał w przód i tył, następnie urządził bieg przez różne klatki, trzaskając kratami (są otwierane). Skojarzenia z więzieniem lub raczej szpitalem psychiatrycznym pogłębiała wystawa prac szympansów w postaci rysunków. Zdaję sobie sprawę, że zamysł wystawy był pewnie inny, a ja mogę źle interpretować zachowanie szympansów. Zdecydowanie lepiej jednak oglądało się zwierzęta pływające w przestronnych basenach czy na dużych wybiegach.

Z innych rzeczy – udało się zaliczyć wyspy na Ostrowie Tumskim wieczorową porą, ładnie podświetloną katedrę i trochę rynek. Bardziej przy okazji posiłków, niż zwiedzając, ale było na co popatrzeć – gdybym miał określić jednym słowem, to Wrocław prezentuje się przyjemnie. Wydawało mi się, że Poznań się poprawił, ale po latach, architektonicznie, jako miasto Wrocław przemawia do mnie nadal znacznie bardziej. Zwiedzanie krasnali odpuściliśmy – co prawda kilka znaleźliśmy, ale bez nastawiania się na nie.

Część dotyczącą Hali Stulecia przenoszę do kolejnego wpisu. Dodałem zdjęcia robione smartfonem. Wiem, fatalnie wychodzą, ogólnie aparat to pięta achillesowa tego modelu. Raczej ze względu na RMSowy kontekst robione i dodane. 😉

Listopad 13, 2018

Chromium w Debianie unstable nie startuje

Gdyby komuś w Debianie unstable przestało działać chromium, a przy uruchomieniu polecenia w konsoli pokazywało się coś takiego:

$ chromium 
[4278:4278:1113/085947.509811:FATAL:zygote_host_impl_linux.cc(116)] No usable sandbox! Update your kernel or see https://chromium.googlesource.com/chromium/src/+/master/docs/linux_suid_sandbox_development.md for more information on developing with the SUID sandbox. If you want to live dangerously and need an immediate workaround, you can try using --no-sandbox.
#0 0x562ca49ba9ee <unknown>
#1 0x562ca492699c <unknown>
#2 0x562ca55b8f90 <unknown>
#3 0x562ca45f9365 <unknown>
#4 0x562ca45fe5ce <unknown>
#5 0x562ca45f7e5a <unknown>
#6 0x562ca2d09e95 ChromeMain
#7 0x7fbb5a4f6b17 __libc_start_main
#8 0x562ca2d09d3a _start

Received signal 6
#0 0x562ca49ba9ee <unknown>
#1 0x562ca49b9433 <unknown>
#2 0x562ca49ba965 <unknown>
#3 0x7fbb633dc8e0 <unknown>
#4 0x7fbb5a509f3b gsignal
#5 0x7fbb5a50b2f1 abort
#6 0x562ca49ba905 <unknown>
#7 0x562ca4926a76 <unknown>
#8 0x562ca55b8f90 <unknown>
#9 0x562ca45f9365 <unknown>
#10 0x562ca45fe5ce <unknown>
#11 0x562ca45f7e5a <unknown>
#12 0x562ca2d09e95 ChromeMain
#13 0x7fbb5a4f6b17 __libc_start_main
#14 0x562ca2d09d3a _start
r8: 0000000000000000 r9: 00007ffe7d2f0920 r10: 0000000000000008 r11: 0000000000000246
r12: 00007ffe7d2f0da0 r13: 00007ffe7d2f0f60 r14: 000000000000016b r15: 00007ffe7d2f0ba0
di: 0000000000000002 si: 00007ffe7d2f0920 bp: 00007ffe7d2f0b70 bx: 0000000000000006
dx: 0000000000000000 ax: 0000000000000000 cx: 00007fbb5a509f3b sp: 00007ffe7d2f0920
ip: 00007fbb5a509f3b efl: 0000000000000246 cgf: 002b000000000033 erf: 0000000000000000
trp: 0000000000000000 msk: 0000000000000000 cr2: 0000000000000000
[end of stack trace]
Calling _exit(1). Core file will not be generated.

to sprawa jest znana, błąd jest zgłoszony i wystarczy doinstalować pakiet chromium-sandbox.

Październik 9, 2018Grudzień 10, 2018

Trzy lata, sześć miesięcy i dwa tygodnie

Rzadko coś mnie zadziwia do tego stopnia i wielowymiarowo, jak to, o czym dowiedziałem się dziś. Chodzi oczywiście o błąd w Google+. No dobrze, nie sam błąd mnie zadziwił, bo ten był raczej mizerny. Poszło o to, że jeśli użytkownik Google+ udostępnił jakiejś aplikacji dostęp do danych publicznych swojego konta Google+, to aplikacja miała też dostęp do danych prywatnych. Z bardziej krytycznych – w świetle choćby RODO – do adresu email, imienia, nazwiska.

Chodzi o 500 tys. użytkowników, dane nie są super wrażliwe, udostępnione tylko aplikacjom. Oczywiście błąd pozostaje błędem, ale ten w dodatku został wykryty samodzielnie, nie na skutek wycieku. Ogólnie niezły potencjał na opowieść, którą nawet jeśli nie można się pochwalić, to nie ma się co wstydzić.

I tu pojawiają się tytułowe trzy lata, sześć miesięcy i dwa tygodnie, które jeżą włos na głowie. No dobrze, nie wszystkie. Trzy lata, to czas, kiedy podatność była dostępna. Tak naprawdę, powinny być dwa i pół, ale lepiej pasowało do clikcbaitowego tytułu. W dodatku zupełnie nie ma znaczenia ile czasu podatność była obecna – prawdopodobieństwo wykrycia nie rośnie z każdym dniem.

Ciekawe są dwie kolejne wartości. Sześć miesięcy to czas, przez który Google zataiło informację o podatności, bojąc się reakcji opinii publicznej. Wykryto ją w marcu 2018, ogłoszono wczoraj. W dodatku twierdzą, że w sumie nie wiedzą, czy podatność została wykorzystana, bo logi API mają z tytułowych dwóch tygodni, a nie trzymają ich dłużej, bo szanują prywatność użytkowników. Poważnie tak uzasadnili, w informacji o wycieku, która jest niejako przy okazji. Bardzo ładne zagranie PR-owe, ale jedyny komentarz, który przychodzi mi do głowy to:

Prędzej uwierzyłbym, że nie mają tych logów, bo im się na dyskach nie mieściły. 😉

Nie wiem, czy tak właśnie wygląda the right thing w świecie security, ale po graczu wielkości Google spodziewałem się jednak większej transparentności.

Kolejne zaskoczenie to reakcja rynku. Czy też może właśnie brak tej reakcji. Akcje Alphabet symbolicznie spadły, szybko odrobiły. Nie stało się nic… Przynajmniej na razie, zobaczymy jeszcze jak zareagują urzędy regulujące różnej maści, ale póki co wszystko wskazuje na to, że ani prywatność, ani transparentność nie są dzisiaj w cenie.

UPDATE: Po dokładniejszym zbadaniu, 10 grudnia, Google oznajmiło, że chodzi o 52 mln użytkowników więcej. Tzn. tylu więcej podobno dotyczył bug. O logach ani słowa. 😉

Październik 6, 2018

Lynis – narzędzie do audytu bezpieczeństwa systemów Linux

Czasem zdarza się, że znajdę jakieś stare, fajne narzędzie, którego nie znałem wcześniej. Tak jest w przypadku Lynis – programu open source napisanego przez CISOfy służącego do audytu bezpieczeństwa systemu na podstawie bieżących ustawień. Przypadkiem, na komórce w tramwaju mignął mi wpis o nim gdzieś w sieci, opis był ciekawy, więc postanowiłem dać szansę, choć od dłuższego czasu nie interesowałem się podobnymi programami. Kiedyś, na początku przygody z Linuksem bawiłem się Bastille Linux i to w zasadzie wszystko, jeśli chodzi o automaty.

Działanie Lynis sprawdzałem tylko na Debianie i Ubuntu – działa bardzo sprawnie, generuje sensowne raporty z uwzględnieniem specyfiki dystrybucji. Przy każdym raporcie jest link do krótkiego opisu z wytłumaczeniem danej opcji. Dla początkujących jest to dobra okazja do poczytania nt. ustawień i ich wpływu na bezpieczeństwo systemu, dla zaawansowanych automat, który sprawdzi, czy czegoś nie przeoczyliśmy lub nie zapomnieliśmy włączyć np. po testach.

Program jest dostępny jako pakiet, więc instalacja sprowadza się do:

apt-get install lynis

Uruchomienie audytu również jest proste:

lynis audit system

Polecam dodanie przełącznika -Q. Program jedynie generuje raport, niczego nie zmienia w systemie, więc uruchomienie jest bezpieczne. Wynik wyświetla na ekran oraz do logu, znajdziemy tam zarówno znalezione błędy, ostrzeżenia, jak i wskazówki do hardeningu systemu.

Narzędzie ma zastosowanie raczej dla systemów, prywatnych, utrzymywanych ręcznie – te konfigurowane automatycznie raczej nie mają miejsca na powstanie błędu, a forma raportu jest raczej przyjazna dla ludzi, niż maszyn.

Oczywiście przy domyślnej konfiguracji zgłosi także odstępstwa od normy, które są zamierzone albo nieistotne, więc wynik będzie nieco przegadany. Mimo to polecam wypróbowanie samodzielnie.

Wrzesień 30, 2018

Jak wykręcić 500+?

Nie mogłem się powstrzymać przed clickbaitowym tytułem, ale tym razem nie będzie o państwowych dotacjach na dzieci, tylko podsumowanie sezonu rowerowego.

W maju zapowiadałem, że biorę udział w wyzwaniu Kręć kilometry. Właśnie sobie uświadomiłem, że dziś jest ostatni dzień września, a wyzwanie zostało zaliczone już jakiś czas temu. Znaczy mam taką nadzieję, bo pisze, że 100%, ale czy kilkuset metrów nie brakuje – nie mam pojęcia. W każdym razie za ostatni rok pokazuje mi 512 km, a było parę km przejechanych bez rejestracji, stąd plus w tytule.

Wyzwanie okazało się prostsze, niż myślałem. We wrześniu już prawie nie jeździłem – przejechane raptem 27 km. Przeważyły względy logistyczne – nie mogłem brać swojego roweru, a Nextbike to jednak nie to samo.

Nie ukrywam też, że mam problem z pogodą i była głównym czynnikiem powodującym, że jeździłem mniej, niż bym mógł. Nie lubię jeździć ani jak jest bardzo gorąco, ani jak jest zimno. Dlatego odpuszczałem dojazd rowerem w największe upały, wybierając śmierdzące wówczas tramwaje – smutne, ale niektórzy mają problem z higieną, a w upały się to potęguje. Z kolei wrzesień to już chłody. Ręce jeszcze nie kostnieją, ale w uszy zimno. Być może rozwiązaniem są nauszniki, jakoś nie sprawdziłem.

Natomiast największym sprzymierzeńcem był nawyk. Do pracy jeździ się całkiem miło i poza częścią urlopową i paroma dniami deszczowymi mógłbym jeździć niemal codziennie, co oznacza, że teoretycznie mógłbym celować nawet w dystans dwukrotnie dłuższy…

Skutek uboczny: zacząłem trochę biegać. Weekendowe bieganie dobrze się łączy z dojazdami do pracy rowerem w tygodniu. Taka powiedzmy synergia.

Wrzesień 23, 2018Wrzesień 23, 2018

Banana Pi i ekran LCD podłączony po i2c

Dawno temu NAS został wyłączony, ale zmierzam do jego reaktywacji. Po głowie chodziło mi zamknięcie wszystkiego (zasilacz, dysk, Banana Pi) w zgrabnej, tym razem dedykowanej do elektroniki, obudowie.

Trochę z myślą o programie do przełączania łącza internetowego, a trochę o pomiarze temperatury przy pomocy komputera, przyszedł mi pomysł, by sygnalizować stan różnych rzeczy w sposób nie wymagający łączności sieciowej, czyli najdoskonalszy, analogowy: migając diodą. Oczywiście szybko doszedłem do wniosku, że jedna dioda nie wystarczy, wbudowane diody to trochę mało, ale przecież w Raspbery Pi i analogach mamy GPIO, możemy tych LEDów podłączyć kilka…

Nie wiem jak dokładnie doszło do tego, ale podczas poszukiwań szybko wpadłem na ekrany LCD z serii 1602, które również można podłączyć przez GPIO. Skoro tak, to pomyślałem, że nie ma się co ograniczać. Zamiast prostej sygnalizacji stanu i konieczności pamiętania która kombinacja co oznacza można po prostu wyświetlać dowolny tekst. Niezbyt długi, ale nadal jest to znacznie większa ilość informacji, niż z kilku czy nawet kilkunastu LEDów. W dodatku cena takiego jest bardzo przystępna, czego o różnych ekranach dotykowych czy e-ink powiedzieć nie można.

Pierwotnie chciałem podłączyć LCD do Orange Pi zero, ale niestety, nie ma on pinów GPIO – są wyprowadzenia, ale trzeba by lutować, co pewnie docelowo zrobię, ale bardziej chodziło mi o sprawdzenie sterowania, a mam pod ręką Banana Pi. Gdy szukałem schematu jak podłączyć ekran do Banana Pi, natknąłem się na coś znacznie ciekawszego – wersję ekranu LCD ze sterownikiem podłączanym przez interfejs i2c. Dzięki podłączenie temu jest bardzo proste – raptem cztery przewody, nawet nie trzeba lutować, o ile używa się gotowych przewodów z końcówkami. Dodatkowo – i to najlepsza część – całością daje się w elegancki sposób sterować za pomocą Pythona.

Efekt końcowy wygląda tak:

Zdjęcie zrobione telefonem, po ciemku. Z tyłu płytki jest potencjometr pozwalający na regulację kontrastu. Poziom podświetlenia jest stały, można tylko włączyć i wyłączyć LED, zarówno hardware’owo (zworka), jak i programowo. Ekran LCD bierze bardzo mało prądu – przy pomocy watomierza nie udało mi się zarejestrować różnicy, czyli całość zużywa poniżej 0,1 W.

Jak to zrobić? Powtórzę instrukcje, z których korzystałem. Instalujemy dodatkowe pakiety:

apt-get install i2c-tool python-smbus

Następnie podłączamy ekran i sprawdzamy adres przy pomocy polecenia:

i2cdetect -y 1

Otrzymaną wartość należy wpisać w skrypcie (stała ADDRESS, linia 29 w przytoczonym przykładzie).

Następnie możemy sterować ekranem z poziomu języka Python. Na przykład wywołanie efektu widocznego na ekranie można zrobić przy pomocy polecenia:

python test_lcd.py "Pomiedzy bitami" "https://zakr.es/"

Gdzie test_lcd.py ma zawartość:

import sys

from i2c_lcd import *

display = lcd()
display.lcd_display_string(sys.argv[1], 1)
display.lcd_display_string(sys.argv[2], 2)

Biblioteka pozwala na dużo więcej, między innymi na własne znaki, ale tym się póki co nie bawiłem. Wyświetlony tekst pozostaje na ekranie po zakończeniu programu do momentu wpisania nowego lub skasowania poprzedniego. Jeśli do ekranu będzie dostarczone napięcie, to wyłączenie Banana Pi nie wpływa na wyświetlany tekst. Dlatego jeśli chcemy monitorować, czy nasz komputer się nie zawiesił, musimy zmieniać okresowo tekst – w innym wypadku zawartość LCD nie świadczy o niezawieszeniu się komputera.

Sterowanie włączaniem i wyłączaniem podświetlania to:

display.backlight_on(False)
display.backlight_on(True)

Wyświetlać można cokolwiek – temperaturę, zajętość dysku, opóźnienia/straty na sieci, kurs BTC (pozdro dla L.!), adres IP (po starcie!), informacje o nowych mailach…

Pozostało mi wymyślenie, w jaki sposób zrobić sensowne sterowanie. Po głowie chodzi mi demon, który będzie pobierał informacje do wyświetlenia z jakiejś kolejki, w zależności od ich priorytetu, czasu ostatniego wyświetlenia i pory dnia sterował oświetleniem i wyświetlał informacje. A może już jest coś takiego?

I garść linków pomocnych przy tworzeniu ww. rozwiązania AKA źródła:

UPDATE Dla zainteresowanych kupnem – ekran z modułem do komunikacji i2c kosztuje ok. 12 zł na Allegro. Na zdjęciu jest wersja zielona, ale istnieją też wersje niebieskie, gdzie tło jest ciemne, a napisy jasne.

Wrzesień 4, 2018

Polecenie su – zmiany

Jakiś czas temu zauważyłem, że mój Debian unstable na domowym desktopie zmienił zachowanie. Na koncie root przestał działać skrypt do aktualizacji systemu i usypianie.

Szybko sprawdziłem i oczywiście chodziło o PATH. Dopisałem pełne ścieżki do poleceń i prawie zapomniałem o sprawie, przypuszczając, że chodzi o jakiś chwilowy błąd w którymś z pakietów.

Jednak problem nie zniknął, więc postanowiłem sprawdzić dokładnie, co się wydarzyło. Na pierwszy ogień poszło sprawdzenie /etc/profile, w którym znalazłem spodziewane:

if [ "`id -u`" -eq 0 ]; then
PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
else
PATH="/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games"

Również w /etc/login.defs wszystko wyglądało poprawnie:

# *REQUIRED* The default PATH settings, for superuser and normal users.
#
# (they are minimal, add the rest in the shell startup files)
ENV_SUPATH PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
ENV_PATH PATH=/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games

Skończyły mi się pomysły, więc udałem się na kanał #debian-next z pytaniem, czy to błąd, czy może były ostatnio jakieś zmiany. I okazuje się, że zmiany były, grubsze, dotyczące polecenia su.

Uprzednio, wydanie „gołego” polecenia su zmieniało użytkownika na root oraz ustawiało należną mu ścieżkę. Obecnie należy podawać su – (forma niezalecana) lub, lepiej, su -l, aby osiągnąć ten efekt.

I jeszcze co ciekawsze fragmenty dokumentacji (man su). Było:

The current environment is passed to the new shell. The value of $PATH is reset to /bin:/usr/bin for normal users, or /sbin:/bin:/usr/sbin:/usr/bin for the
superuser. This may be changed with the ENV_PATH and ENV_SUPATH definitions in /etc/login.defs.
[...]
-, -l, --login
Provide an environment similar to what the user would expect had the user logged in directly.

Aktualnie jest:

For backward compatibility, su defaults to not change the current directory and to only set the environment variables HOME and SHELL (plus USER and LOGNAME
if the target user is not root). It is recommended to always use the --login option (instead of its shortcut -) to avoid side effects caused by mixing envi-
ronments.
[...]
-, -l, --login
Start the shell as a login shell with an environment similar to a real login:
o clears all the environment variables except TERM
o initializes the environment variables HOME, SHELL, USER, LOGNAME, and PATH
o changes to the target user's home directory
o sets argv[0] of the shell to '-' in order to make the shell a login shell

Więc gdyby komuś w jakiejś debianopodobnej dystrybucji niebawem su przestało ustawiać PATH, to najprawdopodobniej chodzi o tę zmianę.