Wordle

Był taki moment, że był boom na grę Wordle. Nie pamiętam, kiedy dokładnie, kojarzy mi się z okolicami pandemii. W każdym razie, w mojej bańce na Twitterze trochę ludzi wrzucało wyniki. Zaciekawiło mnie to, pobawiłem się i… stwierdziłem, że trochę nie dla mnie – za mały zasób słów itp.

Przeróbek, wariacji i podobnych programów było sporo, śledziłem je jednym okiem. Spodobało mi się passwordle. Choć nie dojdę teraz łatwo, które, bo projekty o tej nazwie są dwa. Ale też tylko na chwilę. Były też programy do rozwiązywania Wordle i w ogóle cała otoczka. Jednym słowem hype.

Potem zapomniałem o Wordle. Sądząc po ilości wpisów na jej temat – nie tylko ja. Popularność spadła, a przynajmniej ludzie przestali chwalić się wynikami.

Po dłuższym czasie coś mi o Wordle przypomniało. Zrobiłem raz i drugi – bez problemu. Zacząłem nieregularnie grywać dla rozruszania mózgownicy. Grywam sporadycznie, ale teraz praktycznie zawsze udaje mi się odgadnąć słowo. A przecież nie trenowałem słówek. Nawet czasem odgaduję słowo, którego nie znam. I dopiero później sprawdzam znaczenia. Taka ciekawostka.

UPDATE: Strona Wikipedii poświęcona Wordle – trochę ciekawostek o rozwiązywaniu.

Social, czyli gra Elona

Kolejna „awaria” Twittera. Lub też skutek niefrasobliwego zarządzania, zależy jak spojrzeć. Co tym razem? Ludzie się skarżą, że nie mogą czytać postów. Dlaczego? Bo wprowadzono zmiany…

Główne zmiany to limit przeglądanych tweetów, w pierwszej wersji wynoszący 600 dla kont niezweryfikowanych. Czytaj: kont darmowych. Jeszcze mniej dla kont świeżych. Płacący dostają dziesięć razy więcej. Nie jest to jednak jedyna zmiana. Aktualnie nie można przeglądać wpisów na Twitterze, jeśli nie jest się zalogowanym. Oficjalny powód zmian? Scrapowanie treści. Znaczy czytanie. Ktoś umieścił coś w sieci, inni czytają, a właścicielowi platformy się to nie podoba.

Przypuszczam, że gdyby czytający płacili, problemu by nie było i właścicielowi by się podobało. Wydaje mi się bowiem, że Twitter dla Elona to taka zabawka, która służy do zabawy w grę „ile pieniędzy można wycisnąć z platformy”. I zupełnie nie mają znaczenia inne aspekty, typu wolność słowa, użyteczność platformy, czy liczba użytkowników.

Oczywiście zaczęło się wieszczenie „trzeciego końca Twittera”. Ludzie komentują kolejny wzrost rejestracji kont na Mastodonie. Przypuszczam, że sprawa za moment rozejdzie się po kościach. Elon pokręci gałeczką, z 600 zrobi się 1000, albo i trochę więcej. Jak poprzednio, część użytkowników odejdzie, część uzna, że warto zapłacić.

Uważam, że na Twitterze zmierzamy wprost, szybciej lub wolniej, do modelu z regularnym paywallem. Model znany i w Polsce choćby w wykonaniu Agory. Jakieś szczątkowe dostępy za darmo, a jak chcesz czytać, to płać. Jedyna różnica jest taka, że Agora płaci autorom, a na Twitterze ludzie będą płacili za dostęp do treści tworzonych przez znajomych. Niemożliwe? Nic podobnego, przecież to nie rewolucja, tylko klasyczne gotowanie żaby.

Powiedzmy sobie wprost, Mastodon jest w tym równaniu pomijalny. Liczba zarejestrowanych kont to 10 mln na koniec marca, obecnie ok. 13 mln. Zarejestrowanych, nie aktywnych. Zresztą, miałem o tym notkę. Dla porównania, Twitter to jakieś 400 mln, z czego połowa korzysta codziennie. Przypuszczam, że dodatkowy milion czy dwa założonych kont na Mastodonie jest zupełnie pomijalny. Zwłaszcza, jeśli po zmianach wzrośnie nieco ilość zweryfikowanych kont na Twitterze, a użytkownicy nie przeniosą się, usuwając konta na Twitterze, tylko założą obok.

Zresztą Mastodon ma swoje problemy. Jeden to UX, drugi to… brak wsparcia dla fediwersum u „dużych”. Pamiętacie jak na początku Tumblr zapowiadał, że zaraz wprowadzi wsparcie dla fediwersum? „Zaraz” trwa już osiem miesięcy, a temat ucichł. Spiskowa teoria mówi, że Automattic, czyli właściciel WordPress.com i Tumblr wcale nie przejął wtyczki activypub po to, by ją rozwijać, a tylko po to, by kontrolować, żeby się nie rozwinęła. Bo wolne, zintegrowane ze sobą social media ktoś mógł uznać za zagrożenie dla ww. platform blogowych. Zresztą pewnie słusznie.

Na koniec cebulowa porada dla użytkowników Twittera. Jeśli korzystacie z tego portalu w przeglądarce, to okazuje się, że wtyczka uBlock origin nie tylko blokuje reklamy na Twitterze, ale też pozwala obejść limity. Nie liczyłem oczywiście czytanych tweetów, ale wczoraj korzystałem dość intensywnie i żadnych blokad nie zauważyłem. Przez moment mignął mi komunikat o limicie, ale ledwo go zauważyłem, bo zniknął i posty się wczytały.

Twitter wyłącza 2FA

Przepraszam za clickbaitowy tytuł, ale tak podobno zostały odebrane ostatnie działania i wiadomości wysyłane przez ten serwis. Zatem, gwoli ścisłości nie 2FA, tylko jedną z metod 2FA (SMS) i nie wyłącza, a udostępnia jedynie w płatnej wersji usługi. Nadal można mieć na Twitterze 2FA, za darmo, w dodatku w teoretycznie bezpieczniejszej wersji.

Wiadomość od Twittera w sprawie SMS Źródło: https://twitter.com/jsrailton/status/1626791204238008320

Motywacja jest oczywista. Chodzi o pieniądze. Wszyscy się przyzwyczailiśmy, że SMSy są darmowe, w pakiecie lub abonamencie. Bo taka jest rzeczywistość, przynajmniej w Polsce i dla SMSów wysyłanych w kraju. Tyle, że sytuacja z puntku widzenia serwisu internetowego wygląda nieco inaczej – korzystają z zewnętrznych dostawców, wysyłają do różnych krajów. To jest usługa, która kosztuje i to zapewne niemało. Czyli SMSy to taki rodzaj 2FA, gdzie całość kosztu ponosi serwis. No chyba, że przerzuci ten koszt na użytkownika, co Twitter właśnie zrobił.

Przy okazji, SMSy to jeden z najsłabszych rodzajów 2FA. Dla przeciętnego użytkownika Twittera być może nie ma to praktycznego znaczenia[1], ale istnieją ataki pozwalające na obejście tej metody komunikacji. Jak widać były w praktyce stosowane, także do przejmowania kont na Twitterze. Co gorsza, ofiara, czyli właściciel konta z takim 2FA praktycznie nie ma wpływu na skuteczność tych ataków. Atak odbywa się bowiem na dostawcę sieci komórkowej, a w zasadzie na jego pracowników obsługi klienta.

Dygresja: jeśli korzystamy z serwisu na telefonie i odbieramy SMS służące do 2FA na tym samym telefonie, to czy to jest jeszcze drugi składnik zaczyna być mocno dyskusyjne. Zależy od zagrożenia, przed którym chcemy się bronić. Dla kradzieży hasła czy sesji np. przez XSS wystarczy, dla malware na telefonie czy kradzieży telefonu – niekoniecznie. Dotyczy to także innych metod 2FA, jak email czy TOTP w Google Authenicator[2] czy aplikacji.

Niezależnie od motywacji, zapewne przypadkiem, Twitter został pionierem rewolucji w security na miarę walki Orange ze spamem przez zablokowanie wysyłki maili na porcie 25. Jest to pierwszy duży serwis, który odsyła przestarzałe 2FA via SMS tam, gdzie jego miejsce. Tj. do fanaberii typu papierowa faktura w usługach masowych. Tu od dawna mamy mniej lub bardziej zawoalowane opłaty za wystawianie papierowych faktur. Zwykle w formie „będzie 5 zł taniej, warunkiem skorzystania z promocji jest wyrażenie zgody na faktury elektroniczne”. I jakoś nikt z tym nie ma problemu. Chociaż faktury elektroniczne są także tańsze dla firm. Ale lepsze, bo nie marnujemy papieru i środków na jego transport.

Jeśli ktoś chce nadal korzystać za darmo z 2FA dla konta na Twitterze, to nadal ma dostępne takie opcje:

Opcje 2FA na Twitterze. Źródło: https://twitter.com/mkusiciel/status/1626851994097922048

Według mnie marginalizacja 2FA via SMS to dobra zmiana i będę kibicował innym serwisom, które się zdecydują na jej wprowadzenie. O wadach i zaletach poszczególnych metod 2FA może napiszę innym razem.

[1] Przykro mi, nikomu nie zależy na przejęciu naszych kont. A przynajmniej nie jest to warte ryzyka i/lub kilkuset złotych.
[2] Upraszczam, nie tylko Google Authenticator to oferuje. Tak naprawdę to trywialny algorytm, ale ta implementacja jest najbardziej znana i chyba najpopularniejsza.