Archiwa: prywatność - Pomiędzy bitami

26 maja, 202430 maja, 2024

Zmiany algorytmów Google

W wielu miejscach ludzie narzekają, że Google zmieniło algorytmy, ich strony spadły w rankingu, choć stosowali się do zaleceń Google, a biznes upada. To oczywiście smutne, tylko nie do końca widzę w tym winę Google. Oparcie biznesu o jednego partnera było świadomą decyzją. Stosowanie się do zaleceń Google w sprawach SEO nigdy nie dawało gwarancji, że zawsze będzie dobrze, prawda? Gwarancji, że te zalecenia się nie zmienią też nie było. Gdyby tylko w jakiś sposób dało się przewidzieć, że gigant będzie kierował się wyłącznie własnym zyskiem…

Zmiany i błędy

Błędy się zdarzają. Zmiany też. Uzależnianie się od jednego dostawcy zawsze jest poważnym ryzykiem. Nawet, jeśli dostawca wydaje się duży i solidny^[1]. Zresztą, akurat Google od dawna pokazuje apetyt na to, by korzystać z czyjegoś dorobku, niekoniecznie dzieląc się zyskiem. Pamiętacie Accelerated Mobile Pages? Już wtedy twórcy treści narzekali, że ruch klientów nie trafia do nich i tracą zyski z reklam. Reklam Google, oczywiście. No ale skoro Google mogło dostarczyć ludziom wynik wyszukiwania AKA content, w dodatku od siebie, to po co miałoby przekierowywać klienta na źródło i płacić za wyświetlenia/kliknięcia w reklamy? A jeszcze osoba, która szukała gotowa dodać stronę do bookmarków i nie skorzystać następnym razem z wyszukiwarki, gdzie Google może mu wyświetlić reklamy w wynikach wyszukiwania… No czysta strata przecież.

Błędy zdarzają się i grubszego kalibru, nawet przy płatnych usługach. Bo indeksowanie i pokazywanie w wyszukiwarce jest bezpłatne i bez żadnych dwustronnych umów i gwarancji. A przecież zdarzyło się zablokowanie i usunięcie usług, za które płacono. Oczywiście z danymi^[3].

AI

Przeżywamy właśnie zachłyśnięcie się AI^[2], które pakowane jest dosłownie wszędzie. Czy ma to sens, czy nie. Jest to symbol/synonim nowoczesności, więc pewne było, że wyniki wyszukiwania też będą to wykorzystywać. Zresztą, Bing zrobił to już dawno. Głośno robi się o błędach wyszukiwarek opartych o AI. Oczywiście, takie błędy są. I pewnie będą, szczególnie, że wiemy, że LLMy lubią halucynować. Ale… w tradycyjnych wyszukiwaniach też były. Tylko po prostu nikt raczej nie robił afery, gdy link był nieadekwatny czy zawierał błędne informacje. No chyba, że w wynikach wyszukiwania, tłumaczenia albo na Google Maps znalazło się coś godzącego w znaną osobę lub instytucję. Wtedy było trochę śmiechu i szybka korekta. I jakoś nikt nie robił afery.

W sumie zastanawiam się, kiedy do ludzi dotrze, że LLMy są niezłe odtwórczo, ale niespecjalnie są w stanie coś nowego wymyślić. I tak naprawdę żerują na tym, co ludzie wymyślili wcześniej. I bez dostępu do tych danych są niczym. Można obserwować bunt twórców treści w serwisie Stack Overflow. Ciekawe kiedy powstanie zdecentralizowana, szanująca autorów alternatywa…

Zmiany algorytmów Google

Dla jasności – sam obserwuję zmiany algorytmów w Google u siebie na blogach. Pozycje i liczby odsłon w Google webmaster tools zmieniły się istotnie, liczba wejść – mierzona niezależnie – spadła. Też istotnie. Wszystko to zaczęło się w ostatniej dekadzie kwietnia 2024. Odnotowuję z kronikarskiego obowiązku, bo nie ma to dla mnie żadnego znaczenia. I po części pewnie kwestia pogody.

Wyszukiwarki

I na zakończenie nie całkiem nie na temat: DuckDuckGo nie działało podczas awarii Bing. Wiedziałem, że korzystają z ich wyników (od czasu rozwiązania/zawieszenia współpracy z Yandex – chyba już tylko z nich), ale w obecnej sytuacji poszukam jakiejś alternatywy dla podstawowej wyszukiwarki. Świata to nie zmieni, bo i tak jestem multiwyszukiwarkowy – często sprawdzam wyniki w 2-3, poza tym, na różnych komputerach mam różną domyślną, ale spróbować można. Póki co silnym typem jest Qwant – działający na europejskich, bardziej sprzyjających prywatności, zasadach.

[1] A może „zwłaszcza”? Jak głosił slogan z pewnej reklamy duży może więcej. Podmioty o dużym udziale na rynku będą miały tendencję do monopolu/oligopolu, bo taki jest naturalny trend ekonomiczny. A że monopol nie służy klientom, to wiemy. Pytanie tylko czy i kiedy taki duży dostawca zechce skorzystać ze swojej pozycji.
[2] Gdzie chwilowo AI = LLM, co do prawdziwej sztucznej inteligencji ma się nijak.
[3] Już po opublikowaniu tego wpisu Google zamieściło oficjalne stanowisko w tej sprawie. Są pewne rozbieżności, np. podobno backupy nie zostały usunięte. Ale mimo to do przywrócenia wykorzystano zewnętrzne backupy. Hm!

UPDATE: Dodany link do stanowiska Google w sprawie usunięcia usług.

11 sierpnia, 202211 sierpnia, 2022

Publiczne Wi-Fi a bezpieczeństwo

Wczoraj ukazał się artykuł o tym, czy korzystanie z publicznego Wi-Fi jest bezpieczne. Uważam, że prezentowane tam podejście jest dość optymistyczne. Nie uważam obcych sieci za tak bezpiecznie, jak pisze autor. Wszystko zależy od tego, czego się obawiamy. I naszego poziomu paranoi.

Na pewno podłączanie do sieci Wi-Fi, jeśli zakładamy złe zamiary jej właściciela lub innych użytkowników jest bezpieczniejsze, niż podłączanie kablem ethernetowym. Ot, nikt nie poda wysokiego napięcia na kablu i nie spali nam urządzenia. No ale żarty na bok.

Publiczne Wi-Fi – zagrożenia

Podłączając się do cudzej lub publicznej sieci ujawniamy informacje o swoim urządzeniu i systemie. Np. syngatury urządzenia typu adres MAC czy hostname. W pewnych przypadkach dane te mogą zostać wykorzystane do… powiedzmy przypisania nam pewnych działań. Ale to bardziej naruszenie prywatności niż realny atak. Pójdźmy dalej.

Podłączając się do sieci eksponujemy nasze urządzenie na bezpośrednie połączenia. OK, jeśli ktoś ma firewall lub nie udostępnia żadnych usług innym komputerom w sieci lokalnej, to problemu nie ma. Ale już udostępnienie zasobu chronionego prostym hasłem z laptopa w sieci domowej, gdzie bezpośredni dostęp miały tylko nasze urządzenia może okazać się zgubne. W naszej sieci przed atakami z internetu mógł chronić router (NAT).

Nie taki HTTPS wspaniały

Wspomniany w artykule HSTS ma dwie wady. Po pierwsze, adopcja. Zwyczajnie nie wszystkie strony z niego korzystają. Żeby daleko nie szukać, tamten artykuł zamieszczony jest na stronie bez HSTS. I pewnie ktoś przytomnie zauważy, że przecież to tylko blog, a nie bank. To polecam samodzielne sprawdzenie, czy, ew. które polskie banki korzystają z HSTS na stronach. O HSTS z preload litościwie nie wspominam.

Po drugie, jest to mechanizm TOFU. Tzn. nie zapewnia bezpieczeństwa przy pierwszym połączeniu. Owszem, przeglądarka w kolejnych połączeniach do strony, przez zwykle długi okres ważności, będzie już korzystać z HTTPS. Ale jeśli jest to nowa strona lub otwierana w nowej przeglądarce to HSTS nic nie daje.

Dodatkowo autor wspomina o powszechnych przekierowaniach HTTP -> HTTPS. Tylko niestety taki mechanizm nie zapewnia bezpieczeństwa. OK, może je podnosić w szczególnym przypadku, jeśli jest stosowany łącznie z HSTS. Bez tego raczej zapewnia złudzenie bezpieczeństwa. Bowiem jeśli pierwszy request jest wykonywany po HTTP, to nadal DNS spoofing jest groźny. Atakujący może dowolnie rozwiązać nazwę domeny do której próbujemy się połączyć. Np. na swój serwer. I tam wykonać przekierowanie HTTP. Redirect (301) może być na cokolwiek. Także na domenę z poprawnym HTTPS. Tyle, że niekoniecznie tę, na którą chcieliśmy się połączyć. Tylko np. na domenę homograficzną, albo domenę o zbliżonej nazwie. Ot, choćby wchodząc na http://mojbank.pl możemy skończyć na https://mojbark.pl, o wyglądzie identycznym jak https://mojbank.pl. I z poprawnym certyfikatem HTTPS i „kłódeczką”.

No i ostatecznie nawet połączenie HTTPS z poprawnym hostem nie gwarantuje jeszcze, że jest w pełni bezpiecznie. W niektórych przypadkach, na które użytkownik nie ma wpływu, nadal możliwe mogą ataki na HTTPS. OK, w przeciwieństwie do DNS spoofingu są trudniejsze do wykonania.

Jak korzystać bezpieczniej z publicznych Wi-Fi?

Czy to znaczy, że zupełnie nie zgadzam się z autorem? Niekoniecznie. Zgadzam się, że jest o wiele bezpieczniej, niż kiedyś. Generalnie jeśli ktoś naprawdę musi skorzystać z Wi-Fi i miałbym dać tylko jedną radę to byłoby to: włącz DoH w przeglądarce i wpisuj adresy w pasku adresu przeglądarki „z palca”, korzystając z podpowiedzi. No wiem, to w zasadzie dwie rady. Ale przyjmijmy, że jedna, tylko złożona.

Czemu tak? DoH zapewni nam odporność na DNS spoofing, a dodatkowo da bonus w postaci podwyższenia prywatności. Potencjalny podsłuchujący nie dostanie adresów odwiedzanych stron „na tacy” w postaci nieszyfrowanych zapytań DNS. W części przypadków w ogóle nie będzie w stanie ustalić z jakim serwisem się łączymy.

Wpisywanie domen w pasku adresu, z wykorzystaniem podpowiedzi uchroni przed kliknięciem w podobną domenę i zwiększy szansę na wykorzystanie protokołu HTTPS już od pierwszego requestu.

19 grudnia, 202119 grudnia, 2021

Szczepienia po raz pierwszy

Kolejna fala pandemii to dobry pretekst do wpisu o tym, jak społeczeństwo się polaryzuje. W tej chwili jest tak, że zaszczepieni są zaszczepieni, niezaszczepieni szczepić się nie chcą, wprowadzane są kolejne obostrzenia, które… raczej nie zmienią sytuacji.

Pamiętam, że na na samym początku pandemii rozmawiałem z jedną osobą z pracy. Moim stanowiskiem było, że „teraz zamkniemy się na 3-4 tygodnie i wyeliminujemy chorobę (globalnie)”. Znajomy natomiast stał na stanowisku, że „mleko się rozlało, to poszło za szeroko, będziemy z tym żyć”. Czas pokazał, że byłem naiwny i nie miałem racji.

Mam wrażenie, że podobną naiwnością wykazują się obecnie tzw. proszczepionkowcy^[1]. Argumentują, że to przez nieszczepiących się wirus mutuje, że to im zawdzięczamy kolejne fale itd. Czyli klasyczne „mamy winnego/wroga” i podział na „my i oni”. Tyle, że praktyka pokazuje, że mimo szczepień nie udało się globalnie wyeliminować chorób, na które od dziesięcioleci przeprowadzane są powszechne szczepienia. Odra, różyczka, gruźlica, polio – wszystko to występuje nadal. Mimo szczepienia praktycznie całej populacji, kilkukrotnie w ciągu życia.

Jest jedna choroba, którą udało się wyeliminować globalnie – ospa prawdziwa. I oczywiście powszechne szczepienia miały w to swój wielki wkład. Jednak jest to wyjątek, pozostałe patogeny nadal funkcjonują, mutują, zarażają. Mimo szczepień i leczenia. Albo i dzięki nim, jak w przypadku lekoopornej gruźlicy.

Co nie znaczy, że szczepionki nie działają czy nie mają sensu. Generalnie jest to jedna z lepszych metod minimalizacji wpływu choroby na ludzkość. Tyle, że nie działają zerojedynkowo. Ani zaszczepienie nie daje gwarancji odporności, ani nie jest w 100% bezpieczne. Każda szczepionka to jakieś ryzyko i jakaś odporność. Dlatego niektóre szczepionki podaje się tylko w miarę potrzeb, np. przy wyjazdach do krajów, w których dana choroba jest obecna.

Tymczasem proszczepionkowcy próbują przymusić sceptyków do szczepienia, na przykład próbując ograniczyć dostęp do usług. Wydaje mi się, że mocno przy tym zapominając o rzeczach ważniejszych, takich jak równość obywateli, ochrona prywatności i okolice. Przykładem są lokale, które wymagają okazania certyfikatu szczepienia przy wejściu.

Czemu uważam, że to złe? Ano dlatego, że certyfikat zawiera i dane osobowe^[2], i informację o przebytych chorobach. OK, jednej chorobie. Nadal, nic właścicielowi lokalu czy pracodawcy do tego. Dodatkowo, przetwarzanie tych danych odbywa się – wnioskując po zdjęciach – na losowych urządzeniach, być może nawet prywatnych smartfonach pracowników firm. Jeśli komuś wydaje się, że „to tylko odczytanie QR-code, na chwilę” to… niekoniecznie. Absolutnie nic nie stoi na przeszkodzie, by te dane zapisać. Choć może to tylko moje zboczenie zawodowe.

Nie miałem okazji testować osobiście, więc nie wiem, czy dodatkowo należy się wylegitymować dowodem tożsamości. Z jednej strony, bez tego okazywanie certyfikatu nie ma sensu, bo może być ważny i poprawny ale… w zasadzie czyjkolwiek, byle z grubsza wiek i płeć się zgadzały. Z drugiej, rodzi kolejne problemy, bo czy losowa osoba ma prawo nas wylegitymować? Dane z okazywanego dowodu łatwo skopiować choćby ukrytą kamerą i mogą posłużyć do późniejszych nadużyć.

Na sam koniec dodam, że fakt bycia zaszczepionym rodzi fałszywe poczucie bezpieczeństwa. Znacie „po co nam maseczki, przecież jesteśmy zaszczepieni”, albo „skoro pracownicy są zaszczepieni, to niech pracują na miejscu”? Ja znam. Tymczasem zaszczepieni także chorują i przenoszą chorobę, zaś skuteczność szczepionek przeciw covid-19 nie jest ani dobrze zbadana, ani rzetelnie komunikowana. Ale o tym może w kolejnym wpisie…

Mam wrażenie, że zaczynamy – jako społeczeństwo – gubić poczucie solidarności, wspólnoty, tolerancję i głębszy sens. Zamiast tego następują próby narzucania światopoglądu i polaryzacja.

[1] I bardziej chodzi tu o pewną postawę światopoglądową, nie o sam fakt szczepienia lub nie, czy „wiarę” w działanie szczepionek lub jej brak.
[2] Imię, nazwisko, datę urodzenia. Tu można przeczytać, co i jak zapisane zawiera dokładnie certyfikat covidowy.