Hasło Alert

CERT Orange uruchomił nową usługę o nazwie Hasło Alert. W zasadzie idea jest podobna jak Have I Been Pwned, ale stwierdziłem, że przetestuję. Zawsze jest szansa, że będą mieli dostęp do lokalnych wycieków, które na HIBP nie trafiły. Czy tak jest w istocie? Nie wiem, jest wyłącznie informacja o autorskim rozwiązaniu. Nie ma żadnych informacji o źródłach ani ewentualnej współpracy z innymi podmiotami.

Pierwsza rzecz, która rzuca się w oczy to podtytuł Sprawdź czy Twój mail nie wyciekł. W tytule strony hasło, w podtytule email, przypuszczam, że osoby mniej zorientowane mogą się pogubić. Tym bardziej, że nie widzę by było to wytłumaczone gdzieś dokładniej. Oczywiście chodzi o pary email i hasło w wyciekach. Ani sam email, ani samo hasło nie zostaną zgłoszone. Wynika to z zasady działania serwisu, o czym za chwilę. Czyli podajemy adres email, a dostajemy hasła, które wyciekły z serwisów dla konta z podanym tym adresem email.

To co mi się podoba, to fakt, że sprawdzenie, czy dany adres email pojawił się w wycieku wymaga dostępu do konta email sprawdzanego adresu. Aby przeszukać wycieki, trzeba kliknąć linka z potwierdzeniem zlecenia wyszukania. Same wyniki również są odsyłane mailem. Zapobiega to możliwości sprawdzania wycieków dla kont, które nie należą do nas. Zdecydowany plus, jeśli chodzi o prywatność.

Z samymi wynikami jest już znacznie gorzej. Porównując z HIBP, wyników jest mało. I nie chodzi tu wyłącznie o różnego rodzaju kompilacje wycieków. Z czego to wynika? Nie wiem. Może chodzić o zawężenie czasowe[1], może chodzić o dostęp do źródeł.

Jeśli chodzi o wyniki, to otrzymujemy zamaskowane hasło i datę. W haśle widoczna jest pierwszy i ostatni znak, oraz ilość liter, przy założeniu, że każda gwiazdka odpowiada jednej literze. Jest też jakaś data. Niestety nie jest wyjaśnione czy jest to data pobrania danych do wycieku, data publikacji wycieku, data pozyskania zbioru czy jeszcze jakaś inna. Zdecydowanie przydałoby się tu wyjaśnienie. Tym bardziej, że wyciek z LinkedIn z roku 2012, który został opublikowany w 2016, podawany jest jako… styczeń 2023.

Przede wszystkim brakuje jednak źródła wycieku, co czyni usługę w zasadzie bezwartościową. Zalecenia są słuszne, ale skoro nie wiadomo, do którego serwisu hasło zmienić, to mało przydatne w praktyce. A zmiana wszystkich haseł, bo gdzieś jakieś podobno wyciekło to chyba overkill. No chyba, że ktoś używa tego samego hasła w wielu miejscach, ale wtedy ma większy problem. I nie potrzebuje sprawdzać, czy wyciekło, tylko od razu może zmienić hasła ustawiając różne dla różnych serwisów.

Ponieważ korzystam z managera haseł, postanowiłem – mimo braku podanego źródła – sprawdzić, które moje hasła wyciekły. I tu zaskoczenie, bo w większości przypadków nie udało mi się znaleźć pasujących kandydatów. Nawet biorąc pod uwagę tylko pierwszy i ostatni znak, bez ilości liter. Dziwne, bo i niektóre wycieki świeże, i manager haseł przechowuje nie tylko bieżące hasło, ale także poprzednie. Czyli nawet gdybym zmienił hasło po informacji o wycieku, to powinienem mieć je zapisane w managerze.

Niestety nie wiem, czy jest to błąd po stronie systemu, błąd w wycieku, czy jednak zmieniłem hasło więcej niż raz. I bez źródła danych nie jestem w stanie tego określić.

Podsumowując – Hasło Alert to ciekawa inicjatywa, ale w tej chwili wg mnie mało użyteczna. Przede wszystkim brakuje źródła wycieku, ale przydało by się też nieco więcej objaśnień. Liczę, że wkrótce pojawią się zmiany w tym zakresie.

[1] Najstarsza data, którą widziałem to 2019.

Blog questions challenge 2025

W moim bąbelku zaczął Bobiko, ale o akcji dowiedziałem się z tego wpisu. Zastanawiałem się, czy brać w ogóle udział, bo w sumie na większość pytań już gdzieś kiedyś odpowiedziałem, ale niech tam! Do pytań!

Pytania są następujące:

  1. Dlaczego w ogóle zacząłeś blogować?
  2. Z jakiej platformy korzystasz do zarządzania swoim blogiem i dlaczego ją wybrałeś?
  3. Czy prowadziłeś już bloga na innych platformach?
  4. Jak piszesz swoje posty?
  5. Kiedy czujesz największą inspirację do pisania?
  6. Czy publikujesz natychmiast po napisaniu, czy też zostawiasz wersję roboczą jako wersję roboczą?
  7. Jaki jest Twój ulubiony post na Twoim blogu?
  8. Jakieś plany na przyszłość dotyczące Twojego bloga?

Dlaczego w ogóle zacząłeś blogować?

Nie pamiętam dokładnie. Z pierwszego wpisu widzę, że namówili mnie ludzie ze SzLUUG czyli Szczecin Linux Unix Users Group. Wiele osób tam miało wtedy blogi. Nie wiem czemu to miało dokładnie służyć. Wymianie wiedzy? Porządkowaniu jej? Tworzeniu społeczności?

Z jakiej platformy korzystasz do zarządzania swoim blogiem i dlaczego ją wybrałeś?

Aktualnie WordPress na własnym VPS. Czemu tak? Najtaniej, przy moich umiejętnościach i największa kontrola, bo żadna gotowa platforma, a zwłaszcza połączona z brakiem własnej domeny nie daje pełni własności treści/kontroli nad nią. Z drugiej strony WordPress jest bardzo popularny, dość dopracowany i pozwala na dynamiczne komentarze. Ale statyczne generatory bloga kuszą (od lat), tym bardziej, że w okolicach WordPressa nie dzieje się dobrze, ale to temat na inny wpis.

Czy prowadziłeś już bloga na innych platformach?

Tak. Pierwszy był Jogger.pl. Potem Blox.pl. Teraz jest WordPress. Jest pewna ciągłość, bo cała treść jest nadal dostępna online. Poza tym, na pobocznych projektach były/są jeszcze Pelican oraz Tumblr. O mikroblogach nawet nie wspominam.

Jak piszesz swoje posty?

Z tym było różnie, kiedyś często były zapisane jakieś myśli, fragmenty czy szkice w edytorze tekstu w terminalu i potem tworzyłem z tego wpis. Teraz coraz częściej piszę w edytorze WordPressa i albo publikuję od razu, albo zapisuję jako szkic. Zawsze jednak jest to komputer i klawiatura, żadnych smartfonów ani innych metod wprowadzania tekstu.

Kiedy czujesz największą inspirację do pisania?

Nie ma reguły.

Czy publikujesz natychmiast po napisaniu, czy też zostawiasz wersję roboczą jako wersję roboczą?

Zależy od wielu czynników. Od tego, ile mam czasu, od tego, czy chcę coś jeszcze dodatkowego znaleźć i umieścić wpisie, od tego, jak duży jest wpis. Procentowo nie liczyłem i nie mam pomysłu jak to szybko sprawdzić, ale stawiałbym okolice 50/50. O zalegających szkicach szykuje się wpis.

Jaki jest Twój ulubiony post na Twoim blogu?

Nie mam takiego. Zdarzało mi się wrócić po czasie do wielu z nich, z różnych powodów, i każdy z nich cieszył lub był przydatny.

Jakieś plany na przyszłość dotyczące Twojego bloga?

Brak planów. Cały czas chodzi mi po głowie przejście na statyczny generator, ale wiązałoby się to prawdopodobnie albo z wyłączeniem komentarzy, albo z kolejnym genialnym rozwiązaniem naklepanym na kolanie[1]. A ja lubię komentarze.

[1] Jestem prawie pewien, że aktualnie poszedłbym w stronę formularza, który wyśle maila, którego odbiorę, przeczytam i dodam (lub nie) jako komentarz. Tylko to już nie będzie statyczny blog, bo coś musi wysłać treść mailem… Skoro obecne rozwiązanie działa, a tamto spowoduje wiele problemów do rozwiązania, takich jak zabezpieczenia przed spamem to… nie widzę sensu.

Radio internetowe – powrót

Radio 357 kiedyś doczekało się wpisu. Radio Nowy Świat – nigdy, choć pewnie powinno. W każdym razie w ostatnich latach praktycznie przestałem słuchać obu tych stacji. Więcej słuchałem audio ze streamingu.

Słyszałem, że trochę odwilż z Trójką, część prowadzących wróciła tam, więc postanowiłem sprawdzić, jak wygląda sytuacja po roszadach personalnych. Od kilkunastu tygodni staram się dawać szansę obu stacjom. Już samo sformułowanie staram się dawać szansę sugeruje, że szału nie ma.

Faktycznie, w obu przypadkach jest – jak dla mnie – średnio. Generalnie za dużo „gadania”, za mało audycji z muzyką i o muzyce. Co gorsza, często jest tak, że „gadana” audycja jest w obu stacjach jednocześnie. Wtedy wjeżdża streaming i raczej przez przynajmnije parę godzin do słuchania radia już nie wracam.

Słyszałem, że trochę upadły ideały w Radio 357. Wbrew początkowym zapowiedziom pojawiły się reklamy. Może nie takie typowe, w trakcie audycji, a tylko czasem na początku streamu. Nie wierzyłem, sprawdziłem. I faktycznie, bardzo rzadko, ale się zdarza. Plus, już od bardzo dawna, mają – z rzadka – audycje sponsorowane (np. lista noworoczna).

W Radio 357 jest też to, co kiedyś mnie drażniło, czyli audycje z wpuszczaniem słuchaczy na antenę. No nie przepadam, szczególnie jeśli słuchacze próbują wypowiadać się merytorycznie. Gdyby to były tylko pozdrowienia, to jeszcze może by uszło.

Z drażniących rzeczy: dużo o „patronizowaniu”. A czemu to dobry pomysł. A zostań patronem. A kup komuś. A jakieś statystyki. A wpływ inflacji. Tu zdaje się przoduje RNŚ. Nie mam statystyk, bo jak się zaczyna, to od razu przełączam stację. Rozumiem, że z tego żyją, ale… chyba wolałbym reklamy.

Ogólnie mam trochę wrażenie, że pewne rzeczy zatrzymały się na etapie sprzed paru lat, krótko po powstaniu stacji i dla fanów. I jak dla mnie się to nie broni, może dlatego, że nigdy nie byłem fanem i nie uważałem żadnej z tych stacji za „swoją”. I – dla jasności – nie byłem patronem. Trochę brakuje mi tu mechanizmu, który podsumowywałby, których audycji słuchałem, pozwalał dawać lajki gdy mi się podobało i jakieś mikropłatności a’la Flattr czy rozdzielanie pieniędzy z reklam, jak kiedyś było w Brave na koniec miesiąca.

Bo właśnie, stacje jako całość mi nie podchodzą, ale niektóre audycje czy prowadzących lubię. Więc pewnie nie przyjmie się słuchanie „ciągle”, ale może ustawię przypomnienia w kalendarzu, by słuchać wybranych audycji? Zobaczymy.

Na koniec jeszcze jedna ciekawa obserwacja. Kiedyś wolałem – i bardziej kibicowałem – RNŚ, teraz w praktyce raczej wybieram Radio 357. Oczywiście nie zawsze, ale proporcja się jakby odwróciła.