Pomiędzy bitami - Strona 19 z 276 - Techno, porno i duszno. Blog niezupełnie technologiczny.

19 lutego, 202319 lutego, 2023

Twitter wyłącza 2FA

Przepraszam za clickbaitowy tytuł, ale tak podobno zostały odebrane ostatnie działania i wiadomości wysyłane przez ten serwis. Zatem, gwoli ścisłości nie 2FA, tylko jedną z metod 2FA (SMS) i nie wyłącza, a udostępnia jedynie w płatnej wersji usługi. Nadal można mieć na Twitterze 2FA, za darmo, w dodatku w teoretycznie bezpieczniejszej wersji.

Wiadomość od Twittera w sprawie SMS Źródło: https://twitter.com/jsrailton/status/1626791204238008320

Motywacja jest oczywista. Chodzi o pieniądze. Wszyscy się przyzwyczailiśmy, że SMSy są darmowe, w pakiecie lub abonamencie. Bo taka jest rzeczywistość, przynajmniej w Polsce i dla SMSów wysyłanych w kraju. Tyle, że sytuacja z puntku widzenia serwisu internetowego wygląda nieco inaczej – korzystają z zewnętrznych dostawców, wysyłają do różnych krajów. To jest usługa, która kosztuje i to zapewne niemało. Czyli SMSy to taki rodzaj 2FA, gdzie całość kosztu ponosi serwis. No chyba, że przerzuci ten koszt na użytkownika, co Twitter właśnie zrobił.

Przy okazji, SMSy to jeden z najsłabszych rodzajów 2FA. Dla przeciętnego użytkownika Twittera być może nie ma to praktycznego znaczenia^[1], ale istnieją ataki pozwalające na obejście tej metody komunikacji. Jak widać były w praktyce stosowane, także do przejmowania kont na Twitterze. Co gorsza, ofiara, czyli właściciel konta z takim 2FA praktycznie nie ma wpływu na skuteczność tych ataków. Atak odbywa się bowiem na dostawcę sieci komórkowej, a w zasadzie na jego pracowników obsługi klienta.

Dygresja: jeśli korzystamy z serwisu na telefonie i odbieramy SMS służące do 2FA na tym samym telefonie, to czy to jest jeszcze drugi składnik zaczyna być mocno dyskusyjne. Zależy od zagrożenia, przed którym chcemy się bronić. Dla kradzieży hasła czy sesji np. przez XSS wystarczy, dla malware na telefonie czy kradzieży telefonu – niekoniecznie. Dotyczy to także innych metod 2FA, jak email czy TOTP w Google Authenicator^[2] czy aplikacji.

Niezależnie od motywacji, zapewne przypadkiem, Twitter został pionierem rewolucji w security na miarę walki Orange ze spamem przez zablokowanie wysyłki maili na porcie 25. Jest to pierwszy duży serwis, który odsyła przestarzałe 2FA via SMS tam, gdzie jego miejsce. Tj. do fanaberii typu papierowa faktura w usługach masowych. Tu od dawna mamy mniej lub bardziej zawoalowane opłaty za wystawianie papierowych faktur. Zwykle w formie „będzie 5 zł taniej, warunkiem skorzystania z promocji jest wyrażenie zgody na faktury elektroniczne”. I jakoś nikt z tym nie ma problemu. Chociaż faktury elektroniczne są także tańsze dla firm. Ale lepsze, bo nie marnujemy papieru i środków na jego transport.

Jeśli ktoś chce nadal korzystać za darmo z 2FA dla konta na Twitterze, to nadal ma dostępne takie opcje:

Opcje 2FA na Twitterze. Źródło: https://twitter.com/mkusiciel/status/1626851994097922048

Według mnie marginalizacja 2FA via SMS to dobra zmiana i będę kibicował innym serwisom, które się zdecydują na jej wprowadzenie. O wadach i zaletach poszczególnych metod 2FA może napiszę innym razem.

[1] Przykro mi, nikomu nie zależy na przejęciu naszych kont. A przynajmniej nie jest to warte ryzyka i/lub kilkuset złotych.
[2] Upraszczam, nie tylko Google Authenticator to oferuje. Tak naprawdę to trywialny algorytm, ale ta implementacja jest najbardziej znana i chyba najpopularniejsza.

4 lutego, 202317 lutego, 2023

Recenzja słuchawek Mozos M700BT

Niby mam słuchawki, niby wolę na kablu. Ale od pewnego czasu chodzą za mną słuchawki na Bluetooth. Żona ma od lat Sony WH-CH510. To świetne słuchawki, funkcjonalne, wygodne, z bardzo dobrym czasem pracy na baterii (do 35h) i umiarkowaną ceną (ok. 150 zł normalnie, bywają 30-40 zł taniej w promocji). Kupiłbym je już dawno, ale brakuje mi w nich jednej rzeczy – możliwości podłączenia kabla i korzystania przewodowo.

Słuchawki Mozos M700BT — Mozos M700BT Źródło: https://mozos.pl/sklep/mozos-m700bt-sluchawki-nauszne-bezprzewodowe-bt5-0/

Po co kabel? Ano niektóre urządzenia nie mają BT. Choćby piecyk do gitary. Poza tym, jeśli siedzę w pracy przy komputerze, to wolę mieć wpięty kabel kabel, niż pamiętać o ładowaniu. Dodam jeszcze, że chodzi mi wyłącznie o słuchanie muzyki, w wersji na kablu nie potrzebuję mikrofonu. Zresztą w obecnie używanych do komputera Sony MDR-ZX110 też nie ma mikrofonu.

Dodatkowo niedawno w ręce wpadły mi przypadkiem jeszcze tanie słuchawki Bluetooth znane jako B39, kosztujące ok. 25-40 zł i o ile jakość materiałów, wykonania i parametry pozostawiały nieco do życzenia, to grały ~~całkiem znośnie~~^[1]. Dlatego gdy zobaczyłem pozytywne opinie o tytułowych Mozos M700BT, że grają poprawnie, ale jakość wykonania bardzo dobra w tej cenie, zacząłem się zastanawiać. Do 16h pracy na baterii może nie zachwyca, ale… dają możliwość podłączenia kablem.

Mozos M700BT na bluetooth

Zamówiłem słuchawki M700BT (60 zł), zamówiłem od razu kabel. Przyjechały. Rozpakowałem – jakość faktycznie na oko przyzwoita. Podłączyłem do komputera i telefonu, posłuchałem – grają OK. Zasięg również bez problemu. Dodatkowo dobrze przylegały i miło przytłumiały otoczenie^[2]. Cecha przeze mnie pożądana, ale niewymagana. Generalnie jako słuchawki bluetooth – przyzwoite, do rozważenia.

Kabel do słuchawek

Stwierdziłem, że pora na podłączenie kablem i… tu zaczęły się schody. Niektórzy sprzedawcy piszą wprost o możliwości podłączenia kablem jack 3,5 mm, inni o możliwości podłączenia kablem. Sam producent na stronie produktu pisze tak:

Co warte odnotowania słuchawki mogą łączyć się również przewodowo za pomocą standardu jack 3.5 mm (przewód należy dokupić oddzielnie).

Tyle, że w słuchawkach nie ma gniazda jack! Jest USB C, to samo, które służy do ładowania. No dobra. Nie jestem szczęśliwy, ale jeszcze nie ma dramatu. Kabel można dokupić. Niestety, okazało się to nie takie proste, na jakie wygląda. Większość kabli to przejściówki z USB C na jack. Czyli źródłem jest np. telefon, a odbiornikiem np. radio z gniazdem mini jack. Jakoś nie wierzyłem w dwukierunkowość tego typu rozwiązań, tym bardziej, że wszyscy producenci i sprzedawcy pokazywali i opisywali jasno sugerując kierunek nadawania sygnału.

Zapytałem producenta i szybko uzyskałem odpowiedź, że należy dokupić kabel do słuchawek Bluedio. Zatem cytowany powyżej opis z jednej strony jest prawdziwy, z drugiej nie, Zależy na który koniec kabla spojrzeć. Szybko poszukałem co to takiego Bluedio i okazało się, że Mozos M700BT to rebrandowane Bluedio BT5, a przynajmniej wszelkie znaki na niebie i ziemi na to wskazują. Kabel był trochę drogawy, bo 30 zł to połowa ceny słuchawek. Stwierdziłem jednak, że dam szansę.

Mozos M700BT na kablu

Dałem i jestem głęboko rozczarowany. Jakość dźwięku na kablu jest tragiczna. Dźwięk jakby zniekształcony, totalny brak basów, wręcz trudno rozpoznać utwory. Sprawdzone na dwóch komputerach. Skojarzenia z rozmową przez telefon jak najbardziej na miejscu. Być może od biedy nada się to do telekonferencji, ale nie sprawdzałem, bo nie o to chodzi. Nie wiem, czy to kwestia egzemplarza, czy coś jest zepsute, czy to po prostu broken by design.

Cieszę się, że kupiłem ze Smart! na Allegro, bo do tej pory nie miałem nigdy problemów ze zwrotem^[3]. Zastanawiałem się, czy oddać sam kabel, czy także słuchawki. Bowiem jako słuchawki bezprzewodowe oceniam je jako przyzwoite. Jednak po namyśle stwierdziłem, że jeśli mam kupować, to takie, które naprawdę pozwalają zarówno na działanie po bluetooth, jak i na kablu.

Jeśli więc czytelnicy są w stanie wskazać sprawdzone, niedrogie, nauszne słuchawki bluetooth, które potrafią zmienić się w przewodowe i grać na kablu, to poproszę.

[1] Odwołuję. Przymierzyłem i jest to jako-tako. Widocznie w pierwszym wrażeniu zachwyciłem się, że jest jakiś bas, a nie kartony. Bo jakiś jest, ale sztuczny i zbyt mocny. Ale to detal, w porównaniu z tym, że nie grają normalnego, oddzielnego stereo. Na testach, gdzie normalnie gra jeden głośnik, w nich grają oba. Nie przypuszczałem, że takie coś może w ogóle mieć miejsce.
[2] Niektórzy narzekali, że słabo wygłuszają, bo są przerwy między słuchawkami a głową. Jestem w stanie zrozumieć – to słuchawki z montażem „na sztywno”, bez żadnej swobody, więc może się zdarzyć, że komuś nie do końca przypasują do głowy.

UPDATE: [3] Zwroty bez problemu. Zapakowałem, odesłałem, po paru dniach pieniądze były z powrotem na koncie.

31 stycznia, 202331 stycznia, 2023

Tidal

Całkiem niedawno pisałem o Spotify, a tu nagle wpis o Tidal? Ano bywa i tak. Wszystko za sprawą opisywanej na Pepper okazji. Nadal aktywnej, zresztą. W skrócie: na każdym numerze w Plus (także karta!) można aktywować Tidal HiFi^[1]na… rok. Za darmo, no strings attached^[2].

Za darmo to uczciwa cena^[3], więc stwierdziłem, że wypróbuję. Co prawda zarówno Tidal, jak i Spotify oferują pełną wersję za darmo na próbę, ale znam się na tyle, że wiem, że dłużej zajmie mi składanie playlisty. O ewentualnych zabawach z API nie wspominając. Kupiłem kartę SIM, przedłużyłem ważność, aktywowałem. Zadziałało od razu.

Po zalogowaniu zostałem odpytany o lubianą muzykę. Niestety, nie poświęciłem temu należytej ilości czasu, a szkoda. Nie znalazłem bowiem żadnego sposobu, by wrócić do uczenia, i trochę mnie zbąbelkowało. Powoli rozszerzam bąbel, ale… właśnie powoli. Zauważyłem, że serwis wygląda praktycznie identycznie jak Spotify. Sterowanie podobne, ceny podobne, funkcje podobne. Nawet podobne rozmieszczenie elementów, przynajmniej w web playerze.

Tidal wydał mi się jednak bardziej logiczny i intuicyjny. Np. funkcja trwałego pomijania utworu dostępna jest w web playerze na widoku, w postaci ikony przypominającej znak zakazu. Można wybrać blokadę utworu lub artysty. Jest to funkcja, której brakowało mi w Spotify, więc jak tylko zobaczyłem, że jest w Tidal, to poszukałem dokładniej. Okazało się, że i w Spotify jest! Nawet w podobnym miejscu, tyle, że ukryta dodatkowo warstwę głębiej w menu za „trzykropkiem”^[4].

Jeśli chodzi o API to nie bawiłem się jeszcze w żadnym przypadku, ale z pobieżnego rozpoznania wyszło mi, że Tidal ma szczątkowe, Spotify niezłe, z całą oficjalną dokumentacją dla developerów. W najbliższym czasie mam zamiar przyjrzeć się możliwości synchronizacji playlist między serwisami, wtedy pewnie napiszę więcej. Zwłaszcza, jeśli nie znajdę gotowca.

Wersja family w obu przypadkach kosztuje tyle samo – 30 zł. Spotify miewa wsparcie w sprzęcie (np. głośniki WiFi) i daje możliwość sterowania różnymi urządzeniami z aplikacji. Nie wiem, czy Tidal także to oferuje i nie sprawdziłem, czy sprzęt korzysta z jakiegoś wspólnego standardu. Jeśli tylko ficzer obecny tylko w Spotify, bo byłby kolejny argument za wyborem tego właśnie serwisu.

Spotify to także większa ilość playlist. Znalazłem i coś w stylu wczoraj w Radio Nowy Świat, i podobną wersję dla Radio 357. Próżno tego szukać na Tidal.

Czyli teoretycznie wszystko przemawia za Spotify. Jednak prawda jest taka, że odkąd włączyłem Tidal, to zupełnie nie ciągnie mnie do powrotu do Spotify.

Tak czy inaczej, w kościach czuję, że nie da się zrobić automatycznej synchronizacji między nimi, więc serwis agnostyczne słuchanie raczej nie nastąpi i coś będę musiał wybrać. Prawdopodobnie wybiorę właśnie Spotify. A Tidal? Może zostanie tymczasowo muzą do pracy, w stylu osobnej playlisty?

[1] Czyli zwykły płatny pakiet, normalnie kosztujący 19,99 zł/m-c. Jest jeszcze dwukrotnie droższy HiFi Plus z niby jeszcze lepszą jakością i dodatkowymi bajerami.
[2] Jakby się kto pytał o zdanie, to czuję, że któraś z firm chce sobie szybko nabić ilość klientów. Np. przed sprzedażą.
[3] Niezupełnie za darmo, bo musiałem najpierw kupić starter za 5 zł, następnie przedłużyć mu ważność za kolejne 5 zł. No ale to pomijalne.
[4] Jakby te kropki były kreseczkami, to byłby, w gwarze frontendowców, hamburger. Jak się ten twór nazywa – nie wiem. Hamburger dietetyczny? Lód (gałkowy)? Kapanie?