Skutki wycieku danych z Morele.net

Jakiś czas temu ze sklepu internetowego Morele.net wyciekły dane. W sieci zaroiło się od reakcji, dość skrajnych. Od psioczenia na słabe zabezpieczenia i „jak tak można było” i „pójdę z tym do sądu” po „nie stało się nic„.

Wyciekły maile, imiona, nazwiska, numery telefonów dla 2,2 mln kont. Oraz prawdopodobnie, dodatkowo, jak twierdzi włamywacz, a czemu zaprzeczyły Morele.net, numery PESEL oraz skany dowodów osobistych dla kilkudziesięciu tysięcy kont, a włamywacz ujawniał kolejne szczegóły na Wykopie (konto już usunięte).

Moim zdaniem prawda leży, jak to często bywa, gdzieś pośrodku. Na pewno wyciek jest ważny ze względu na skalę – 2,2 mln rekordów w skali Polski to bardzo dużo[1], w dowolnym aspekcie – czy to do wysyłki spamu, czy do ataków phishingowych przy pomocy SMSów, czy wreszcie jako baza haseł, zarówno do próby bezpośredniego wykorzystania ich w innych serwisach, jak i do analizy i budowy słowników w kolejnych atakach.

W informacjach o wycieku poruszony był aspekt niezłego hashowania haseł. Niestety te niezłe hashe w praktyce niewiele wnoszą – być może nie uda się złamać, w sensownym czasie i sensownym kosztem, najtrudniejszych haseł, ale najsłabsze ok. 20% można złamać na CPU na pojedynczym komputerze w ciągu pojedynczych godzin.

Jeśli informacja o wycieku skanów dowodów jest prawdziwa, to jest to dla ofiar spory problem – możliwości do nadużcia spore, PESEL w zasadzie niezmienialny, a wymiana dowodu kłopotliwa. Przypuszczam, że chodzi tu tylko o kupujących na raty.

Pozostałe 2,2 mln niespecjalnie ma powody do zmartwień, jeśli tylko nie stosuje schematycznych haseł oraz ma osobne hasła do różnych serwisów. W tym miejscu gorąco polecam programy do przechowywania haseł w stylu Keepass.

Jeśli hasła są różne w różnych serwisach to nawet ich siła nie ma specjalnego znaczenia, o ile w serwisie są tylko dane z bazy, nie można zrobić zakupu itp. OK, atakujący dostanie się do konta w sklepie internetowym. Co zobaczy, czego jeszcze nie wie? Historię zakupów? Ironizuję, ale zakładam, że nie jest w stanie robić zamówień itp. bez dodatkowego potwierdzenia. Mógł za to usunąć konto, jednym kliknięciem, bez potwierdzania. Cóż, to strata głównie dla sklepu – jeśli ktoś potrzebuje to założy nowe konto…

Jeśli chodzi o maile, to jest spora szansa, że już wcześniej trafiły do baz spamerów i marketerów. Chyba, że ktoś stosuje oddzielne aliasy do serwisów, ale wtedy zupełnie nie ma problemu – wystarczy usunąć alias. Podobnie z numerami telefonów. A jeśli ktoś chce mieć święty spokój, to przypominam, że usługi GSM tanieją i numer telefonu płatny w formie prepaid można mieć już za 5 zł rocznie i używać go w różnych mniej istotnych miejscach. Oczywiście można to zrobić w nowocześniejszy sposób.

Tu dochodzimy do sedna: czy do zakupu w każdym sklepie internetowym faktycznie potrzebne jest zakładanie konta? Niektóre sklepy wymuszają założenie konta, ale staram się takich unikać, a z paru zakupów zdarzyło mi się zrezygnować z tego powodu. Jeśli już zakładamy konto, to dobrze by było, żeby wymagane było podawanie jak najmniejszej ilości danych. Zupełnie dobrze by było, gdyby serwisy pozwalały na ustawienie po jakim czasie nieaktywności usunąć konto lub chociaż cyklicznie przypominać mailem o takiej możliwości.

[1] Kolejny duży polski wyciek, który kojarzę to ~700 tys. z Filmweb. Oczywiście polskie konta występują też na wyciekach światowych i będą to porównywalne ilości.

UPDATE: Wpis nieco przeleżał jako szkic i został ostatecznie opublikowany w formie nieco pociętej. Mimo tematu, który pozostał z wersji oryginalnej, celowo pominąłem m. in. spekulacje nt. skutków dla Morele.net i chciałbym, aby tak pozostało, również w komentarzach.

Szybkość polskich stron internetowych cz. 2

Opisywany w poprzednim wpisie nt. badania szybkości polskich stron internetowych system trochę okrzepł, skończył się miesiąc, więc pora na konkrety. Co prawda listę badanych serwisów było widać na zrzucie ekranu, ale nie było dostępu do danych , więc teraz to naprawiam.

Zdecydowałem, że nie będę się bawił w wyciąganie średnich miesięcznych itp.  Jeśli ktoś jest zaintersowany, to w historii są linki do danych źródłowych (CSV), można sobie wyciągnąć samodzielnie. O ile ktoś będzie potrzebował, bo to, co domyślnie daje GTmetrix, z ładną wizualizacją, jest IMO w zupełności wystarczające.

Tak więc badanie wywoływane jest dla 10 wybranych serwisów (najpopularniejsze polskie oraz ecommerce, przy czym znaczenie miała domena) co 12h,  wykonywane z Londynu, przy pomocy Chrome, bez AdBlocka i na nielimitowanym paśmie.

Oto serwisy, po kliknięciu linka dostęp do wszelkich zebranych danych:

Jest jeszcze pomysł na uruchomienie testów za pośrednictwem innego serwisu, ale pozostaje to w sferze pomysłów, póki co bez planów na implementację.

UPDATE: Pomysł wyglądał fajnie, ale tylko przez miesiąc. Po pierwsze, okazało się, że dostępne są dane tylko z miesiąca, mimo obiecujących wartości „1y” i „all” w historii. Po drugie, skrypt wymaga poprawki – przez parę dni dane się nie zbierały, potem samoistnie zaczęły. Pewnie do poprawy obsługa wyjątków plus dodanie wysłania powiadomienia, choć założenie, że mógłbym coś zrobić i że by mi się chciało jest mocno optymistyczne. Po trzecie i najważniejsze, zmieniły się linki do raportów, powyższe już nie działają, co oznacza, że nawet wersja miesięczna jest średnio używalna dla kogokolwiek poza mną. Pomyślę jak to wszystko rozwiązać, pewnie skończy się na powrocie do oryginalnego pomysłu i zbierania danych samodzielnie.

Pomiar szybkości polskich stron internetowych

Podczas pewnej dyskusji nt. kondycji stron internetowych powołane zostało jako argument badanie szybkości stron internetowych robione przez firmę Hostersi. Jest to ciekawe badanie, prowadzone od lat ale… ma wady.

Pomiarów niby jest dużo, ale są one przeprowadzane przy pomocy autorskiego narzędzia uruchamianego ad hoc, przez tydzień, samo badanie publikowane raz na rok. Wszystko to powoduje, że wyniki trudno jest weryfikować samodzielnie, a jakaś zmiana na stronie obecna w danym tygodniu, czy chwilowe problemy wydajnościowe serwisu mogą zaburzać wyniki dla całego roku. Co widać nawet w raporcie po niektórych dziwnych danych.

Dla jasności – szanuję wykonaną pracę, ale gdyby to zależało ode mnie, wolałbym mieć dane częściej, choć może rzadziej zbierane. I tak narodził się pomysł, żeby zbierać i publikować w miarę na bieżąco dane dotyczące szybkości działania polskich stron internetowych samodzielnie, hobbystycznie, w sposób umożliwiający każdemu chętnemu samodzielną weryfikację wyników pomiarów.

Stawianie własnej infrastruktury oczywiście odpadło w przedbiegach. Zbyt zasobochłonne, zarówno jeśli chodzi o koszt, jak i o samą czasochłonność utrzymania. Poza tym, odpadnie możliwość peer review. Jednak serwis GTmetrix daje ciekawe możliwości badania szybkości ładowania stron i daje API, postanowiłem z niego skorzystać, co sprowadza pracę do napisania prostych skryptów w Pythonie. Dodatkowo pozwala dzielić się zebranymi danymi przy pomocy udostępniania unikatowych URLi.

Niestety, w wersji darmowej można robić tylko 20 zapytań po API dziennie, co wymusiło ograniczenie się do jednej lokalizacji (Londyn, jako najbliższy Polsce), jednej przeglądarki (Chrome bez AdBlocka), okrojenia liczby badanych serwisów do 10 (wybrane na podstawie raportu Hostersi z najpopularniejszych i ecommerce) i wykonywania dla każdego 2 testów dziennie. Wybrałem okolice godziny 8 rano oraz 20. Z doświadczenia o 8 jest już jakiś – choć niewielki – ruch w sieci, a 20 to szczyt. Wyniki planuję publikować co miesiąc, jako średnie wartości z danego miesiąca.

Badane strony w GTmetrix

Póki co, uruchomiłem skrypt, który przy pomocy crona robi „taktowanie”, czyli zleca uruchomienie testów. Dane zbierają się od paru dni. Pomyślę jeszcze, czy zamieszczać jakieś statystyki co miesiąc, czy po prostu ograniczyć się do zbierania. Raczej stanie na tym drugim… Stay tuned!

Jak wysyłać powiadomienia o nowych wpisach na blogu do blabler.pl

Z serwisu blabler.pl, będącego następcą Blip.pl, aktywnie nie korzystam od dłuższego czasu, a nawet bardzo rzadko czytam. Jedyne co tam trafiało, to powiadomienia o nowych wpisach na blogu, realizowane skryptem w Perlu – zawsze to dotarcie do paru czytelników.

Skrypt był dostosowany do RSS z Blox, z paroma naleciałościami, więc po migracji na WordPressa przestał działać. Stwierdziłem, że to świetna okazja by zapoznać się – bardzo pobieżnie – z mechanize (odpowiednik genialnego WWW::Mechanize z Perla) w Pythonie.

Tak powstał skrypt umożliwiający śledzenie wordpressowego RSS i wysyłający informację o nowym wpisie na blogu do serwisu blabler.pl. Do użycia z crona. Raczej nie planuję rozwoju, pomijając naprawę ew. błędów, a takie mogą się zdarzyć, zwł. dotyczące kodowania pl-znaków, bo zupełnie tego nie testowałem, ale może się komuś przyda.

Feedburner wymaga IPv6

Od jakiegoś czasu w zadaniach do zrobienia miałem następujące zadanie związane z migracją bloga w nowe miejsce: poprawić RSS Feedburner. Teoretycznie to są trzy kliknięcia, ale przy próbie zmiany źródła feeda dostawałem niewiele mówiący komunikat:

An error occurred connecting to the URL: unknown error

W logach serwera brak jakiejkolwiek informacji połączenia, komunikat enigmatyczny, myślałem, że coś po stronie Google, jakiś cache, DNS, coś takiego. Chciałem nawet napisać do supportu, ale Feedburner nie posiada takowego – jak widać Google niezbyt dba o ten serwis. Są nawet głosy, żeby przenieść się z Feedburnera – może niebawem, póki co zostaje jak jest.

Sprawa była niezbyt pilna – tam gdzie mi zależało najbardziej, podałem bezpośredni URL do feedu RSS. Część ludzi ma jednak podany stary feed, tak też kieruje stary blog i zapowiadałem, że będzie on aktualny, więc wypadało naprawić.

Dziś zrobiłem test SSL i w oczy rzuciło mi się, że serwer słucha tylko na IPv4. Zamierzona zaszłość. Teoretycznie przy braku łączności po IPv6 w większości popularnych implementacji powinno nastąpić połączenie po IPv4 (mechanizm Happy Eyeballs), ale jak widać Feedburner tego nie robi i wymaga serwera słuchającego na adresie IPv6, jeśli tylko domena bloga posiada rekord AAAA.

Błędu nie zgłoszę, skoro Google nie chce. Poprawiłem konfigurację serwera, by słuchał na IPv6 i feed działa. W sumie mój błąd, że nie odpaliłem sniffera od razu przy diagnostyce, ale odrobinę lepszy komunikat błędu, np. connection to ADRES_IP failed wyjaśniał by wszystko.

Uciec, ale dokąd?

Chwytliwy tytuł nie jest związany z filmem. Pod koniec zeszłego roku w komentarzu u Boniego wyraziłem przypuszczenie, że roku 2018 nie skończę na Blox i… stało się. Równia pochyła była widoczna od dłuższego czasu, najpierw wyłączane były funkcjonalności (API), potem doszły problemy ze stabilnością naprawiane… długo i nie do końca, bo błąd 503 się pojawia – relatywnie niski wynik Blox na mojej stronie ze statystykami nie jest przypadkiem. Zapowiadanych nowych funkcjonalności nie ma – nowy panel nie został nigdy ukończony, nowe szablony są nadal trzy na krzyż, mimo zapowiedzi. O HTTPS można zapomnieć, co oznacza, że wkrótce blogi na Blox będą oznaczone jako niezaufane w przeglądarkach, pewnie za jakiś czas polecą w dół w indeksach Google. Nawet blog o Blox nie jest już od dłuższego czasu aktualizowany. Znaczy, że przyszłość rysuje się niewesoło, było wiadomo od dłuższego czasu.

Zamknięcie serwisów blog.pl oraz bloog.pl na początku roku (Onet i WP, odpowiednio) pewnie dodało Agorze odwagi w wyciskaniu zysków z upadającej platformy i postanowiono dołożyć reklamy. O tym, że mogą zamieszczać reklamy, było wiadomo od dawna, bo jest to napisane w regulaminie odkąd pamiętam. I reklamy były serwowane na nieaktualizowanych blogach.

Jednak tym, co przelało czarę goryczy nie jest fakt zamieszczenia reklam, tylko forma. Zarówno forma reklamy, totalnie nieestetycznej, rozwalającej wygląd szablonu, wklejonej na samej górze (wiadomo, co jest najważniejsze… żeby żaden user nie zapomniał przypadkiem kliknąć, a blog to taka przylepka do reklamy), w dodatku dynamicznej (animacja), zasłaniającej jakieś 75% ekranu na moim smartfonie, jak i forma komunikacji zmian użytkownikom.

Otóż komunikacji nie było żadnej. A jak już użytkownicy zauważyli reklamę i zapytali na forum co jest grane, to usłyszeli:

Jednak koszty utrzymania platformy Blox.pl wzrosły i wprowadziliśmy zmianę – nieinwazyjne reklamy są wyświetlane teraz na wszystkich blogach.

Wolne żarty. Nie lubię zaglądać komuś do kieszeni, ale koszty hostingu, łącz i sprzętu komputerowego regularnie spadają. W tym ostatnim przypadku rośnie wydajność sprzętu/pojemność dysków, przy zachowaniu cen. Oczywiście Agora może sobie dowolnie księgować koszty i zapewne na papierze koszt utrzymania platformy wzrósł, niemniej można to ująć po prostu chcemy więcej zarabiać na Blox (i mamy w głębokim poważaniu, co sądzą o tym użytkownicy, albowiem silna nasza pozycja[1]). O „nieinwazyjności” reklamy było wyżej.

W każdym razie będę stąd znikał. Nie wiem jeszcze dokąd pójdę i kiedy dokładnie, ale znikam na pewno. Jestem w tej komfortowej sytuacji[1], że mam i backup bloga, i narzędzie do migracji z Blox do WordPressa (gdyby ktoś był zainteresowany, polecam kontakt jak w dziale kontakt; TANSTAAFL). Choć nie wiem, czy akurat na WordPressa chciałbym się przenieść. Z jednej strony de facto standard i wygodny, z drugiej statyczne generatory bloga (tu: Pelican) nadal kuszą… Tylko jest problem z komentarzami. Z drugiej strony chyba połowa komentarzy to spam lub krytpospam i usuwam, więc… Tak czy inaczej, dojrzałem do self hosted bloga, tym razem.

W każdym razie nie należy spodziewać się tu wielu nowych wpisów – energia idzie w migrację. Na pierwszy ogień idzie blog BKS, przy okazji pewnie nieco zaktualizuję treść. Można spodziewać się zmian związanych z przekierowaniem użytkowników w nowe miejsce i stopniowego(?) znikania treści. Jeśli korzystasz z kanału RSS innego, niż ten, to polecam aktualizację w czytniku RSS – dołożę starań, by zachować ciągłość. Dla tych, co bez RSS w – razie czego będzie mnie można znaleźć przez Planetę Joggera. Wpis na ostateczne pożegnanie też jest planowany, ale to jeszcze nie teraz.

[1] Trzeba przyznać, że wyłączenie API, plus właścicielstwo domeny, plus niezłe pozycjonowanie, plus brak kontroli nad nagłówkami przez użytkowników stawiają Agorę na mocnej pozycji, bo migracja dla przeciętnego użytkownika jest IMO niewykonalna, chyba, że ktoś będzie ręcznie wpisy przenosił… No ale o tym, że prawdziwe własność daje własna domena wiadomo nie od dziś.

18. urodziny Allegro – darmowa dostawa do paczkomatów

Allegro obchodzi osiemnaste urodziny, w związku z tym jednym z wydarzeń jest darmowa dostawa do paczkomatów. Szerzej jest to opisane na stronie InPostu, a tak w skrócie trzeba szukać oznaczonych aukcji, przy czym chyba wszystkie przedmioty o wartości ponad dziesięć złotych u sprzedawców oferujących dostawę za pośrednictwem Paczkomatów są objęte promocją.

Uważam, że promocja jest ciekawa bo końcu można kupić te wszystkie drobiazgi, przy których normalnie koszt dostawy przekreśla sens zakupu, a które trzeba dostarczyć paczkomatem[1]. Albo i tańsze, o ile sprzedawca ma jakieś inne interesujące nas przedmioty objęte promocją. W moim przypadku była to m. in. trzecia ręka do lutowania – w przypadku mniejszych elementów bardzo mi jej brakowało. Tak, trochę pokłosie ostatniego zainteresowania się elektroniką (czyt.: miganiem diodą), a trochę po prostu mi brakowało ręki przy zwykłym lutowaniu też. 😉

Słowo wyjaśnienia, bo uważni czytelnicy pewnie pamiętają, że zlikwidowałem konto na Allegro, po tym, jak odmówiono mi możliwości resetu hasła. Owszem. Tyle, że nie spowodowało to zupełnego zaprzestania zakupów – pewne rzeczy najwygodniej kupić na Allegro, albo wręcz ciężko znaleźć alternatywę, zwł. dla używanych. A wysyłanie żonie za każdym razem linka, żeby coś mi kupiła było średnio wygodne.

Poza tym, wszystko się zmienia, Allegro też. Na przykład procedura została poprawiona, w tej chwili nie można dodać konta w sposób uniemożliwiający reset hasła.

Owszem, są Chiny, ale… Czas oczekiwania w przypadku Allegro i paczkomatu to zwykle 2-3 dni. W przypadku dostaw z Chin typowo są to jednak 3 tygodnie. O produktach spożywczych (kawa, yerba) można zapomnieć, o produktach w języku polskim też. Wszystkie większe/cięższe rzeczy mają już słono płatną przesyłkę. Jedyne co uparcie ściągam z Chin to większa elektronika w postaci klonów Raspberry Pi (czyt.: Orange Pi, Banana Pi). I wybór w tym przypadku lepszy, i ceny.

[1] Paczkomaty trochę siadły z jakością w stosunku do tego, co było na początku usługi, bo i krótszy czas na odbiór, i samowolne zmiany paczkomatu do którego jest dostarczana przesyłka, ale nadal jest to IMO jedna z najlepszych form dostawy. Z podobnych form lubię jeszcze różnej maści odbiory w punkcie. Co prawda nie są 24/7, ale nie jest to krytyczne. Ostatnio jeszcze kurier wieczorową porą wygląda bardzo ciekawie.

Smogly – miernik poziomu smogu

Dużo ostatnio mówi się w mediach o smogu i zanieczyszczeniu powietrza, widzę też, że pomału wśród znajomych popularne stają się różnego rodzaju, mniej lub bardziej DIY, mierniki poziomu zanieczyszczeń powietrza. Niezależnie od tego, co słychać w mediach, istnieją oddolne obywatelskie inicjatywy, mające na celu monitorowanie zanieczyszczenia powietrza w miastach. Przykładem jest Smogly AKA EnviroMonitor.

Czym jest Smogly?

Celem projektu jest stworzenie otwartego, zarówno sprzętowo, jak i programowo, przystępnego cenowo rozwiązania do monitoringu zanieczyszczenia powietrza, zbudowanie społeczności zainteresowanej jakością powietrza i finalnie zbieranie danych z wielu punktów pomiarowych w celu tworzenia pełnego obrazu jakości powietrza, nie tylko w Polsce, choć większość twórców – o ile nie wszyscy – pochodzi z Polski.

Istnieją co prawda podobne rozwiązania, ale brakuje im przekrojowości. Przykładowo w Poznaniu są dwa czujniki zanieczyszczeń dostępne online – jeden na obrzeżach miasta, drugi w okolicach centrum, ale zanieczyszczenia potrafią się różnić znacząco między poszczególnymi rejonami miasta, nawet między sąsiednimi dzielnicami.

Projekt Smogly składa się z kilku części. Zasadniczą jest sam miernik jakości powietrza. Potrafi on mierzyć ciśnienie, wilgotność, temperaturę oraz zanieczyszczenie pyłami PM 2.5 oraz PM 10. Czujnik przeznaczony jest do samodzielnego montażu (DIY) i wysyła dane do serwera łącząc się z internetem przy pomocy WiFi. Można skorzystać z własnego serwera lub – co jest lepszym rozwiązaniem – wysyłać dane do serwera utrzymywanego przez twórców projektu.

Koszt części (bez obudowy) szacowany jest na ok. 150-200 zł. Nie jest to dużo, biorąc pod uwagę, że – jak
zapewniają twórcy – pomiary były konfrontowane z wykonywanymi przez WIOŚ i różnice w przypadku wersji z grzałką, zapewniającą osuszenie powietrza przed pomiarem zanieczyszczeń, są na poziomie kilku procent.

Kolejne elementy układanki to wspomniany serwer, odbierający dane z sensorów, frontend, prezentujący dane w
przeglądarce oraz obudowa. Sonda badająca jakość powietrza musi być zamontowana na zewnątrz, do zasilania wystarcza zasilacz o prądzie 1A.

Czemu Smogly?

Wyróżniki Smogly na tle „konkurencji” są następujące:

  • montaż zewnętrzny, zapewniający realne dane nt. stanu powietrza w okolicy
  • grzałka, zapewniająca poprawne działanie także w warunkach zwiększonej wilgotności
  • usieciowienie, czyli zbieranie danych z różnych punktów do wspólnej bazy, możliwość odczytu wyników za pomocą np. smartfona
  • otwarty projekt, pozwalający na swobodne ulepszanie i dający nadzieję na utrzymanie i rozwój

Jak pomóc?

W tej chwili najpotrzebniejszą rzeczą są ochotnicy, którzy zbudują i zamontują czujki. Ambicją twórców projektu są 2-3 sensory w każdej dzielnicy, żeby zapewnić miarodajne wyniki. Na pewno projektowi przyda się nagłośnienie, więc jeśli macie znajomych interesujących się ochroną środowiska albo geeków interesujących się Arduino, to dajcie im znać. Podobnie dajcie znać znajomych zainteresowanych kupnem gotowego miernika – prawdopodobnie taniej mogą mieć urządzenie dokładniejsze, o większych możliwościach i bardziej użyteczne społecznie.

Przyłączyć się można za pośrednictwem GitHuba – standardowy flow pracy, czyli zgłaszanie issues,
forkowanie i pull requesty. Projekt korzysta również ze Slacka, dostępnego na zaproszenie – automat zapraszający dostępny jest tutaj.

Na koniec garść linków na temat pyłów PM10 i PM2.5:

  1. O pyłach PM2.5 i PM10 https://airnow.gov/index.cfm?action=aqibasics.particle
  2. Artykuł na Wikipedii https://en.wikipedia.org/wiki/Particulates
  3. Strona projektu Smogly https://github.com/EnviroMonitor
  4. Wpływ zanieczyszczeń na zdrowie http://smog.imgw.pl/content/health
  5. Dopuszczalne normy zanieczyszczeń powietrza http://smog.imgw.pl/content/norm
  6. Poziomy zanieczyszczeń PM2.5 i PM10 online: http://aqicn.org/

Żegnaj Twitterfeed, witaj dlvr.it!

Serwis Twitterfeed.com (nie linkuję, bo pewnie zaraz dead link będzie) ogłosił, że z końcem bieżącego roku kończy działalność. Zamknięcie wzorowe – jest dużo wcześniej, jest komunikacja mailowa i informacja na stronie. W mailu są wskazane alternatywy (buffer.com i dlvr.it).

Rzuciłem okiem na strony polecanych serwisów i stwierdziłem, że przenoszę się na ten drugi serwis. Strona wyglądała zachęcająco – wszystko przejrzyste, logicznie poukładane i dobrze opisane, więc się zarejestrowałem.

Pierwszy zgrzyt – wystarczy podać maila i hasło, by założyć konto w serwisie. Żadnego potwierdzania rejestracji mailem, klikania w URL. Z jednej strony fajnie, bo szybciej i łatwiej – klik, klik i już możemy dodawać feed. Z drugiej nawet hasła nie trzeba podawać dwa razy – ciekawe ile drugich logowań zaczyna się od przypomnienia hasła.

Drugi zgrzyt – podanie URLa do feedu, rozpoznanie i… wykryty tytuł to Pomiędzy bitami Hell, yeah, XXI w. Na szczęście tytuł można edytować (co nie jest standardem). Zobaczymy co będzie z treścią… Oczywiście to poniekąd wina Blox, który nadal nie korzysta z UTF-8, ale charset jest poprawnie zadeklarowany…

Trzeci zgrzyt – skracanie URLi nie jest już tak fajne jak kiedyś. IIRC Twitterfeed.com pozwalał na dodanie bit.ly tak po prostu. w dlvr.it nie ma tak dobrze. Bit.ly można dodać, ale tylko po zalogowaniu, a nie przypominam sobie, bym kiedykolwiek zakładał tam konto. Ani rejestrować się tam nie chcę. Więc chwilowo wszystkie jajka blogowo-twitterowe lądują w jednym koszyku z napisem dlvr.it. Dobrze, że nie potrzebuję tego jakoś poważniej…

W każdym razie pora na test. Ten wpis powinien pojawić się na Twitterze dwa razy – po staremu i po nowemu. I zobaczmy jak to wygląda w praktyce…

Debian over Tor

Z lekkim opóźnieniem, ale nadal news godny uwagi: Debian jest dostępny po sieci Tor. Najwidoczniej pozazdrościli Facebookowi, o którym wspominałem opisując uruchomienie strony w sieci Tor. 😉 Uzasadnienie uruchomienia jest następujące (i ładne):

The freedom to use open source software may be compromised when access to that software is monitored, logged, limited, prevented, or prohibited. As a community, we acknowledge that users should not feel that their every action is trackable or observable by others.

Dodatkowo, Tor zapewnia niezależne od zewnętrznych źródeł, „wbudowane” uwierzytelnianie i szyfrowanie treści – powiedzmy, że taki wbudowany HTTPS. Pełen katalog serwisów Debiana dostępnych via Tor dostępny jest tutaj, ale najważniejsze są chyba repozytoria pakietów.

Tor logoŹródło: https://media.torproject.org/image/official-images/2011-tor-logo-flat.svg

Przy okazji dowiedziałem się o load balancerze dla serwisów Tor.

Wpis jest pokłosiem dodania do czytnika RSS nowego serwisu Debiana, czyli micronews, który swoją drogą też wygląda ciekawie i być może pod względem technicznym będzie cegiełką do uruchomienia kolejnego projekciku…

Rowery miejskie cztery lata później

Pozmieniało się… Po pierwsze, zmieniło mi się miejsce pracy. Oczywiście można dojeżdżać tramwajem, ale ponieważ pogoda ciągle jeszcze dopisuje, trochę się trzeba ruszać, a na Kręć Kilometry można wygrać nagrody, postanowiłem wrócić do wypożyczania rowerów. Teoretycznie mogłem korzystać z domowego roweru, ale właścicielka korzysta i ma opory, więc jednak nie.

Rowery miejskie w Poznaniu

Rowery miejskie Nextbike w Poznaniu. Źródło: fot. własna.

Po drugie, wiele się w Nextbike’u zmieniło. Jak patrzę na stare wpisy, to jest lepiej. Przede wszystkim w końcu w Poznaniu jest dość sensowna ilość stacji. Oczywiście zawsze mogłoby być więcej, ale w stosunku do początkowych kilku, jest bajka – jak widać na mapie, centrum jest pokryte nieźle, obrzeża jako tako. Wpis o rowerach miejskich w Szczecinie jest praktycznie nieaktualny, bo to też już Nextbike. Doczekaliśmy się zniżek dla posiadaczy kart PEKA[1], z tego co czytałem na FB ma też być zrobiona integracja wypożyczeń z PEKA. Jedno co się nie zmieniło, to możliwość sprawdzenia stanu rowerów miejskich każdym z miast na poszczególnych stacjach w lekkiej formie.

Trochę wyluzowałem (to tak ogólnie z wiekiem chyba…) i przywykłem do długich zwrotów i tego, że coś nie działa. Tzn. często zdarza mi się, że stacja nie działa albo wystąpi inny wyjątek w systemie, ale IVR jest przyzwoity, z dodzwonieniem się na infolinię nie ma problemu, a obsługa jest miła i pomocna. Jedyne co bywa nie do przeskoczenia, to brak prądu na stacji i rowery wpięte elektrozamkiem. Raz prawie mi się zdarzyło. Prawie, bo kilka było przypiętych tylko linką. Podobno appka na Androida też jest fajna i bardzo ułatwia, ale jeszcze jej nie testowałem.

W Poznaniu przybyło ścieżek rowerowych i… nawet da się jeździć. Co prawda ścieżki momentami są mocno nieoczywiste, kręte, momentami trudno dojść czy są jedno- czy dwukierunkowe a oznaczenia są… niekoniecznie czytelne, ale da się przywyknąć. Doszedłem do tego, że warto jeździć, rozglądać się za znakami (często ścieżka znika, a pojawia się dopuszczony ruch rowerowy na chodniku) i patrzeć, co robią inni rowerzyści. Dzięki temu można poznać trochę knyfów, gdzie warto przeskoczyć na drugą stronę ulicy, zamiast stać na światłach po „właściwej” itp. Niestety, mocno to wszystko nieoczywiste i w niektórych miejscach rowerzyści jeżdżą co prawda po ścieżce, ale pod prąd. Pakując się pod auta, które się ich tam nie spodziewają, szczególnie jeśli kierowca sam jest rowerzystą i wie, jak w tym miejscu jechać.

Zauważyłem też ciekawą manierę wśród poznańskich rowerzystów – z konsekwencją godną lepszej sprawy omijają studzienki telekomunikacyjne obecne gdzieniegdzie na ścieżkach. Nie wiem o co chodzi – studzienki są równe i stabilne. Jakieś wypadki były o których nie wiem?

Skoro o samochodach i rowerach mowa, ostatnio widziałem mem mówiący, żeby rowerzyści zwalniali przy przejazdach/skrzyżowaniach, bo kierowcy samochodów ich nie widzą. I mam mieszane uczucia. Z jednej strony jakby jechać rowerem, stać na każdych światłach (to i tak trzeba…) i jeszcze zwalniać do prędkości – jak rozumiem – pieszego przy każdym przejeździe, to cała przyjemność z jazdy i sens poruszania się rowerem ginie. I ciśnie się na klawiaturę sam sobie kierowco zwalniaj, żebyś miał czas się rozejrzeć. Z drugiej strony wiem o co chodzi, bo widuję rowerzystów mijających z pełną prędkością (tak ~30 km/h i więcej) samochody z włączonym kierunkowskazem sygnalizującym zamiar przekroczenia ścieżki. OK, nie mają pierwszeństwa, ale… to skrzyżowanie i szczególna ostrożność dotyczy wszystkich uczestników ruchu. Więc fajnie, jakby i kierowcy, i rowerzyści zwalniali tam, gdzie ich drogi się krzyżują.

Jeszcze uwaga do rowerzystów: jak jest ciemno, to was nie widać i bierzcie to proszę pod uwagę. Pomijam całkiem nieoświetlonych albo tylko z odblaskami, ale nawet zwykłe oświetlenie rowerowe wypada w porównaniu ze światłami samochodów, latarniami ulicznymi i reklamami… blado.

Na koniec krótko o Kręć Kilometry – zainteresowałem się późno, bo we wrześniu, ale wygląda, że parę wyzwań uda mi się zrealizować. Appka prosta, dokładność przyzwoita, choć jak to z GPS – nie jest idealnie. W sumie i tak starałem się rejestrować aktywność typu bieganie czy jazda na rolkach (choć innymi narzędziami), a tu jest zabawa, wyzwania, dodatkowa motywacja do dziś rower, nie tramwaj i szansa na nagrody. Więc czemu nie?

[1] Mam wrażenie, że ta informacja nie jest należycie nagłośniona. Co prawda był wpis na stronie i FB, ale nie ma jej w cenniku, a wpis jest „schowany” w archiwum.

Drobne zmiany na planecie

Tak jest zawsze. Wszystko może działać od wieków stabilnie, ale jeśli tylko zrobię restart maszynki, mając mało czasu, to wychodzą kwiatki. Tak było i wczoraj z routerem (o tym kiedyś…), tak było i dziś z planetą Joggera. Restart dedyka przed wyjściem do pracy (o dziwo wstał bez problemu), bo już trochę długo działał i kernel stary, a ciągle zapominałem, odpalam stronę w tramwaju w drodze do pracy i… już gdzieś to widziałem.

Okazało się, że skrypt zaciągnął stare wpisy z jednego z feedów[1]. Początkowo podejrzewałem czyszczenie cache planety, który leżał w /tmp albo cache lighttpd (w ramach motywacji: wkrótce przejście na nginx), ale szybko wykluczyłem tę drugą możliwość. Cache planety był w /tmp i z tym nic nie zrobię, bo /tmp jest czyszczony przy restarcie, więc pomyślałem, że trudno i wkrótce się wyrówna.

Ale po powrocie do domu siadłem jednak do debugu. Na oko dziwna struktura feedu, który lądował na początku, ale validatory mówią, że tak może być i generalnie feed poprawny. Jedyne co się rzuca w oczy to lastBuildDate równe z datą pobrania pliku. Nie wiem, czy błąd, czy home made SEO, w każdym razie w połączeniu z brakiem informacji o dacie publikacji poszczególnych postów skutecznie chwilowo popsuło planetę[2].

W ramach mitygacji (nie kalkując z angielskiego: łagodzenia) zrobiłem dwie rzeczy. Po pierwsze, liczba postów na planecie z danego feedu jest ograniczona do trzech. Po drugie (i tego w repo nie będzie), cache wylądował poza /tmp. Czy się sprawdzi? Pożyjemy, zobaczymy. Gdyby ktoś zauważył jakieś problemy z ilością wpisów z feedu – proszę o kontakt.

[1] Dokładnie http://karbownicki.com/rss.xml

[2] Jeśli to możliwe, proszę o poprawienie tej daty.

IPv6 w 2016 – zmiany w tunelach

Pierwszego kwietnia SixXS wysłał do swoich użytkowników maila, w którym poinformował, że

We are now fully stopping accepting signups and tunnel & subnet requests.

Czyli że ograniczają świadczenie usług do istniejących klientów i usług. Decyzja jest motywowana brakiem czasu oraz tym, że część ISP uważa, że darmowe tunele IPv6 są dla nich alibi do nie wdrażania IPv6 swoim klientom końcowym.

Unfortunately it seems a large number of ISPs think that our service is
a free pass for them to not deploy IPv6, as they direct their (paying)
customers who want IPv6 to our service.

Trudno się z tym nie zgodzić. Wdrożenia IPv6 są rzadkością, także – czy może raczej: zwłaszcza – w Polsce (tu ciekawa prezentacja z Orange z komentarza do innego wpisu, dzięki za podrzucenie).

Piszę o tym z dwóch powodów. Po pierwsze, gogoNET ogłosił, że się zamykają:

After 5 years we are closing down gogoNET on April 23, 2016.  Freenet6 will continue to work for some time but we can’t guarantee for how long.

Po drugie, umknęła mi dość istotna akcja pt. zadzwoń do ISP po IPv6. Jest też uruchomiona wiki, gdzie można wpisywać co udało się osiągnąć w sprawie IPv6.

Nie jestem do końca przekonany, czy rewolucję należałoby faktycznie zaczynać od ISP, ale faktem jest polscy dostawcy treści nadal nie dystrybuują treści po IPv6 (brak rekordów AAAA, źródło ww. prezentacja), a IPv6 w większości przypadków jest poruszane jedynie od święta, na spotkaniach branżowych typu PLNOG.

Warto w tym momencie przypomnieć (nieco zbyt ambitne IMO) stanowisko prezesa UKE, zakładające, że końcowi użytkownicy otrzymają publiczne adresy IPv6 od stycznia 2012 (stacjonarni, mobilni rok później). Tymczasem otwarte pozostaje pytanie kiedy nadejdzie era IPv6?

To co, „zadzwonimy” do ISP? Wpisujcie na wiki i w komentarzach, co usłyszeliście. A cudzysłów, bo może być zgłoszenie emailem czy zapytanie w social media. Kto wie, czy to ostatnie nie jest najlepsze…

Zamknięcie serwisu jogger.pl

Wczoraj przeczytałem ogłoszenie o planowanym zamknięciu serwisu jogger.pl. Mimo wszystko smutno, bo było to miejsce, gdzie znalazłem wiele ciekawych blogów (czyt.: ludzi), a przede wszystkim miejsce, gdzie zacząłem przygodę z blogowaniem. Więc trochę wspomnień jest. Nawet myślałem o tym niedawno, bo nie dalej jak parę dni temu wpisałem w CV w zdolnościach komunikacyjnych ponad dziesięć lat pisania blogów… No i cała otoczka sieciowa, od składni HTML przez Markdown i jakiekolwiek pojęcie o standardach dotyczących stron WWW, zawdzięczam Joggerowi.

Tak czy inaczej, wiadomo było, że ten moment nastąpi. Żaden serwis nie może stać w miejscu – albo się rozwija, albo – prędzej czy później – umiera. Widać było, że czasu i chęci na rozwój i utrzymanie brakuje coraz bardziej, a autorzy mają opory przed opublikowaniem kodu as is. Była co prawda propozycja przepisania Joggera, czyli wersji 3.0, ale jak pisałem, i za późno, i nie tędy droga.

Dawno temu porównywałem Joggera i Blox, nawet dwa razy. Pod wieloma względami Jogger miał bardzo ciekawe rozwiązania (integracja z jabberem, poziomy wpisów, możliwość dynamicznych feedów RSS, ciekawy, dający bardzo dużą kontrolę nad blogiem, system szablonów). Udało się też przyciągnąć ciekawie piszących ludzi. TBH nadal regularnie czytam parę osób z Joggera. W pewnym momencie coś nie wypaliło/coś się posypało (tak pobieżnie patrząc, to stała pięta achillesowa Joggera, czyli kontrola nad komentarzami i spamem…). IMHO ciekawy temat do analizy, swoją drogą.

Pisałem już o tym w komentarzu (podkreślam, nie negując w żaden sposób praw właścicieli do kodu i domeny), ale powtórzę, bo to nie jest IMO dobre zamknięcie, a stamtąd zaraz zniknie:

  1. Mało czasu na wyniesienie się. Pięć tygodni przy braku narzędzi i planu, to niewiele. Nie widać powodu, czemu akurat teraz i tak nagle (oczywiście może być coś, o czym autorzy nie chcą/nie mogą pisać), więc można by ten czas wydłużyć.
  2. Można było rozważyć przejście do wersji archiwalnej – read only, bez możliwości komentowania. Przypuszczam, że całość obecnie dostępnej treści to raptem małe kilkaset GB, więc koszt utrzymania i nakład pracy są minimalne, podejrzewam, że aktualnie używający chętnie się zrzucą.
  3. Można w końcu uwolnić kod źródłowy – jest tam parę osób technicznych, może ktoś się skusi na kontynuację, może pohostuje innym…
  4. Można sprzedać serwis bez danych osobistych. Wystarczy nie eksportować/usunąć wpisy na poziomie 3 i wyższych.
  5. Nieszczęśnikom, którzy nie korzystali z własnych domen można udostępnić subdomeny na prawach domeny.
  6. No i w końcu: można było zapytać ludzi, jakie widzą rozwiązania.

Tak czy inaczej, kolejny serwis z którego korzystałem umiera (wcześniej zniknął blip.pl), i trochę żal. Szeroko rozumianej ekipie z Joggera dziękuję za wszystko.

UPDATE Administratorzy Joggera jednak nie planują po prostu trzasnąć drzwiami, a kwiecień nie jest datą ostateczną, po prostu kod jest stary, utrzymanie pracochłonne stąd pomysł wyłączenia serwisu w dotychczasowej formie. Prawdopodobnie zostanie zachowana jakaś forma statyczna strony, archiwum i zbiór linków do miejsc, w których autorzy będą utrzymywać swoje blogi.

UPDATE2 Statyczny mirror bloga na Joggerze można zrobić przy pomocy opisywanego kiedyś sposobu na backup bloga przy pomocy wget. Efekt działania wersji statycznej można zobaczyć tutaj.