Debian over Tor – HOWTO

Jakiś czas temu dowiedziałem się, że Debian oficjalnie zapewnia dostęp do wielu swoich zasobów poprzez sieć Tor, jako zasoby wewnętrzne tejże sieci. Tutaj dostępna jest lista usług Debiana dostępna poprzez Tor wraz z adresami, a poniżej przykład zastosowania, czyli zmiana konfiguracji apt tak, aby pobierał pakiety za pośrednictwem Tora.

Po pierwsze, należy zainstalować pakiet umożliwiający aptowi korzystanie z Tora:

apt-get install apt-transport-tor

Po drugie, należy usunąć istniejące wpisy dotyczące repozytoriów i zastąpić je wersją dla sieci Tor:

deb  tor+http://vwakviie2ienjx6t.onion/debian          stretch            maindeb  tor+http://vwakviie2ienjx6t.onion/debian          stretch-updates    maindeb  tor+http://sgvtcaew4bxjd7ln.onion/debian-security stretch/updates    main

Jak widać zmiana dotyczy zarówno adresu, jak i dodania przed adresem prefiksu tor+.

Nie jest to jedyny sposób, można także ustawić proxy HTTP przekierowujace ruch na Tor i zostawić wpisy bez prefiksu tor+, ale z wpisami .onion, albo przekierować cały ruch HTTP przez sieć Tor, jednak rozwiązanie z instalacją transportu jest najprostsze.

Tutoriale (patrz źródła) zalecają dodanie mirrora lub fallbacka dla repozytoriów security, ale IMO zależy do czego jest używana maszyna i jak wykonywane są update’y. Jeśli robisz je ręcznie i sprawdzasz powodzenie, można sobie odpuścić.

Pozostaje pytanie, po co komu coś takiego. Nie ukrywam, że trudno mi sobie wyobrazić wiarygodny scenariusz, kiedy takie rozwiązanie mogłoby być przydatne w naszych realiach. Być może w innych krajach wygląda to trochę inaczej i są np. obostrzenia w zakresie systemów, których wolno używać. Niemniej rozwiązanie działa i możliwość pobierania pakietów Debiana przez Tor istnieje.

Źródła:

Gotowanie żaby

Dziś będzie o gotowaniu żaby, czyli jak my, obywatele, oddajemy bezczynnie coraz więcej swojej wolności państwu. Po małym kawałeczku. Wpis jest zainspirowany dyskusją na kanale IRC o tym, jak to my, społeczeństwo bez protestu przyjmujemy to, co wymyśla rząd AKA miłościwie nam panujący.

Poszło o rządową cenzurę stron przy pomocy DNS. O sprawie pisał DI, pisała też Fundacja Panoptykon. Oczywiście, sprawa nikogo nie dotyczy – mało kogo interesuje hazard przez Internet, poza tym, co to za zabezpieczenie przez blokadę w DNS, skoro można zmienić DNS? No i mamy Tora i VPNy, łatwo można obejść ustawę za parę euro miesięcznie, jak pisałem. Zresztą na innych portalach branżowych również są instrukcje dotyczące czy to zmiany serwerów DNS, czy zdobycia łatwego VPNa. Niby nie ma sprawy.

Tyle, że powstało pozwolenie na pewną czynność i pewien mechanizm. Czynność to blokowanie dostępu do stron WWW czyli informacji na rozkaz państwa. Przy pomocy centralnego rejestru. Oczywiście na razie to tylko hazard i tylko nieskuteczna blokada DNS, ale… jaki problem rozszerzyć za jakiś czas indeks stron zakazanych o strony porno? Porno złe! I nikt nie będzie protestował. Albo krytykujące miłościwie nam panującego prezydenta. Albo równie miłościwie nam panujący rząd? Krytyka zła! I nikt nie będzie protestował.

Na razie mechanizm blokady jest nieskuteczny i prosty do obejścia, więc się godzimy na niego. Ale jaki problem za jakiś czas poprawić go? Omijają kontrolowane przez rząd DNSy? Wymuśmy, by ISP – nieodpłatnie rzecz jasna – przekierowywał każdy ruch DNS na nie. Używają Tora? Wiadomo do czego! Zablokujmy Tora! Nikt nie zaprotestuje. Używają dnscrypt i VPNów? Wiadomo do czego! Zablokujmy! Nie da się w DNSach? To nic, doda się obowiązek utrzymywania blokowania po IP. Nawet prostszy w implementacji… Nikt nie zaprotestuje.

Zwrócono w dyskusji uwagę, że przy ACTA były protesty na ulicach i że ten język rządzący rozumieją. Bo czy ten wpis, czy linkowane wyżej artykuły Panoptykonu czy DI, czy opinie Ministerstwa Cyfryzacji spływają po miłościwie nam panujących jak po kaczce. Teraz nie ma żadnych działań.

Nie chodzi o tę jedną ustawę, oczywiście. Przypominam, że powstaje (albo już powstał) ogólnopolski projekt monitorowania ruchu internetowego. Oczywiście znowu w imię walki z przestępczością i terroryzmem. Potem wystarczy dorzucić, że próby obejścia rządowej blokady są przestępstwem, wytypować korzystających z Tora, VPNów itp. i… z głowy. A wiadomo, że służby muszą mieć sukcesy. I że jak się ma młotek, to wszystko wygląda jak gwóźdź…

Inne, podobne: pamiętacie obowiązek rejestracji kart SIM, wprowadzony w imię walki z terroryzmem? Niektórzy zastanawiali się, co z niezarejestrowanymi. Niektórzy nie wierzyli jak pisałem, że po prostu za jakiś czas każą operatorom zablokować wszystkie niezarejestrowane karty. Że prawo nie może działać wstecz, że umowa, że operator się nie zgodzi. Otóż Plus już zmienił regulaminy:

Klienci zawierający umowę o świadczenie usług telekomunikacyjnych od dnia 25 lipca 2016 r. będą zobowiązani do dokonania rejestracji powyższych danych oraz umożliwienia ich weryfikacji z dokumentem potwierdzającym tożsamość przed zawarciem umowy i rozpoczęciem korzystania z usług.

Abonenci Na Kartę, którzy zawarli umowę o świadczenie usług telekomunikacyjnych przed dniem 25 lipca 2016 r. obowiązani są podać powyższe dane i umożliwić ich weryfikację najpóźniej do dnia 1 lutego 2017 r. Zgodnie z ustawą o działaniach antyterrorystycznych niedokonanie rejestracji powyższych danych będzie skutkowało całkowitym zaprzestaniem świadczenia usług z dniem 2 lutego 2017 r.

Nikt nie protestuje, nikogo to nie dotyczy, jaki problem zarejestrować kartę?

Temperatura wody rośnie, żaba nie reaguje…

Kraizm

Mapa świata

Źródło: https://commons.wikimedia.org/wiki/File:BlankMap-World6.svg

Wyobraźmy sobie, że ktoś w cywilizowanym świecie otwiera sklep/oferuje usługę i zabrania korzystania z niego ludziom o określonym kolorze skóry. Na przykład salon fryzjerski albo kino, z napisem Murzynów nie obsługujemy. Albo wyznającym określoną religię. Ewentualnie określonej narodowości. Albo w drugą stronę – sklep/usługa tylko dla białych. Albo Nur für Deutsche… Myślicie, że by przeszło? Ja myślę, że zdecydowanie nie.

To może coś mniej oczywistego. Sklep internetowy (albo usługa…) o podobnych ograniczeniach korzystania. Co prawda trochę trudniej weryfikować, ale zawsze można próbować posiłkować się danymi z social media, czyli wymagać logowania przez Facebooka, a jeśli płeć albo kolor skóry właściciela na zdjęciach się nie spodoba, to odmawiamy dostępu do usług. Ewentualnie można wymagać zdjęcia dowodu tożsamości i próbować określić na tej podstawie. Technicznie wykonalne, z rozsądną pewnością. Myślicie, że to by przeszło? Nie jestem już taki pewny, jak w poprzednim przypadku, ale nadal mam wrażenie, że nie.

Natomiast w sieci każdego dnia spotykamy się z dokładnie taką segregacją ludzi na podstawie domniemania kraju, w którym aktualnie przebywają. Chodzi oczywiście o ograniczanie dostępu do kultury/rozrywki (muzyka, film) przy pomocy DRM, czy to za sprawą regionów DVD, czy innych, podobnych technik. Wystarczy wejść na YouTube – część utworów jest w danym kraju niedostępna (Google, don’t be evil…).

Generalnie o ile nie uznajemy segregowania na podstawie płci, rasy, koloru skóry, religii czy narodowości za właściwe, to już segregacja na podstawie (domniemania) kraju przebywania jest raczej akceptowana. Przynajmniej w sieci. Nawet, jeśli nie wynika ona wprost z przepisów obowiązujących w danym kraju. Swoją drogą, prawa sankcjonujące dyskryminację ze względu na religię/narodowość/kolor skóry/płeć też istniały, więc to żaden argument.

Zastanawiałem się, czy już ktoś użył tego określenia, ale szukając po countrism znajduję tylko countrist, o zbliżonym znaczeniu, ale jednak w trochę innym kontekście. Do rozważań na ten temat bezpośrednio skłoniła mnie sytuacja z Netflix, który co prawda otworzył się na różne rynki, ale jednocześnie dołączył do firm wykorzystujących DRM i zapowiedział blokadę proxy/VPN w celu uzyskania dostępu do treści, ale problem jest oczywiście szerszy.

Chromium pobiera zamknięty, potencjalnie naruszający prywatność kod

Do niedawna Chromium w Debianie pobierało niewolny, zamknięty, binarny fragment kodu po instalacji. Jest to oczywiście zachowanie sprzeczne z Umową społeczną Debiana. Co więcej charakter modułu i sposób jego działania (Chrome Hotword Shared Module – obsługa mikrofonu, rozpoznawanie mowy) nie wykluczają, że mogło dojść do naruszenia prywatności użytkowników tej dystrybucji, tym bardziej, że jest on pokrewny „podsłuchowi przez Google”, który opisywano na początku roku.

Jeszcze ciekawszy jest fakt, na który zwrócono uwagę, że nawet wyłączenie w opcjach przeglądarki tej funkcjonalności nie zapobiega ładowaniu czy uruchomieniu niewolnego modułu. Pojawiły się też pytania o to, w jaki sposób oprogramowanie wykorzystujące takie metody dystrybucji pojawiło się w Debianie oraz o to, czy Google powinno w ogóle być upstreamem. Pojawiły się też głosy, że zjawisko tego typu pojawia się coraz częściej.

W Debianie problem został poprawiony w najnowszej wersji pakietu.

Sam fakt pobierania binarnego dodatku nie jest ograniczony do Debiania, wywodzi się to z upstreamu Chromium w wersji 43, więc dotyczy wszystkich dystrybucji Linuksa z tą wersją. Zostało to zgłoszone do upstream Google.

Źródła:

  1. http://www.theregister.co.uk/2015/06/17/debian_chromium_hubbub/
  2. https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=786909
  3. https://code.google.com/p/chromium/issues/detail?id=491435

Na kogo głosować czyli Latarnik Wyborczy DIY

W poprzednim wpisie pokazałem, czemu nie należy zbytnio sugerować się wynikami zwracanymi przez Latarnika Wyborczego. Postanowiłem zrobić własną wersję algorytmu, która będzie wolna od opisanych wad. Z różnych względów (zajęcia poza kompem, cisza wyborcza, która jest bez sensu i pewnie nie ma zastosowania, ale dmucham na zimne) zeszło mi więcej czasu z publikacją, niż planowałem, więc wypuszczam as is. Całość zajęła nie 45 minut, tylko bardziej 1,5h (bardziej myślenie, niż klepanie), po poprawkach błędów różnych.

Założenia

  • KISS
  • Brak odpowiedzi na pytanie jest traktowany tak samo jak neutralność w danej kwestii lub nie mam zdania.
  • Wynik jest wartością -100% do 100% (lub, w wersji drugie, bardziej zgodnej z LW 0-100%).
  • Waga pytania nie powoduje drastycznej zmiany wyniku

Rozwiązanie

Stwierdziłem, że tak naprawdę da się to sprowadzić do liczenia korelacji. Czyli nie programowanie, tylko arkusz kalkulacyjny. Zresztą łatwiej debugować błędy. Kwestię prostoty i neutralności łatwo osiągnąć przez przypisanie wartości -1 (nie), 0 (brak zdania), 1 (tak). Zarówno dla odpowiedzi kandydatów, jak i odpowiadających. Ciocia matematyka zapewni, że zwykły iloczyn użytkownika i kandydata da 1 dla zgodności, -1 dla wartości przeciwnych i 0, jeśli którakolwiek ze stron nie ma zdania.

Powstał wiec arkusz z czterema zakładkami

Odpowiedzi kandydatów

Przepisane żywcem z wyników zebranych i publikowanych przez Latarnika Wyborczego (prośba o sprawdzenie, przepisywanie do arkusza to nudna część i łatwo o pomyłkę, więc nie wykluczam błędów, choć starałem się wypełnić rzetelnie). Część stała, nie wymaga żadnej ingerencji.

Odpowiedzi i istotność

To jest część, którą tak naprawdę wypełnia użytkownik odpowiadając na pytania w Latarniku Wyborczym. Brzydka forma, bo nie o UI mi chodziło. Dla każdego pytania podawana jest odpowiedź [-1, 0, 1] oraz istotność (po prostu mnożnik, zakres tak naprawdę dowolny[1], intencją był zakres 0-2, przyjąłem zmianę o 20%, nie musi być równa dla wszystkich pytań). Pola wypełnione na żółto wypełnia użytkownik (w arkuszu wypełnione są przykładowymi, losowymi danymi).

Obliczenia wyników

Tu zaszyty jest algorytm. Prosty, bo po prostu jest to iloczyn uzyskanego wyniku (suma ilorazów wagi, odpowiedzi kandydata i użytkownika) i maksymalnej teoretycznej zgodności[1]. Część stała, nie wymaga ingerencji.

Wynik

Tu jest to, co użytkownik dostaje na koniec. Podaję w dwóch równoważnych wersjach, różnią się tak naprawdę tylko zakresem. Pierwszy to -100% (zdanie przeciwne do kandydata dla każdego pytania) do 100% (wszystkie odpowiedzi jak kandydat), 0% oznacza wynik neutralny. Drugi wariant to po prostu rzutowanie na 0-100%. 50% oznacza brak jakiejkolwiek zbieżności poglądów z kandydatem, 0% – poglądy dokładnie przeciwne, 100% – poglądy zupełnie zgodne. Mniej więcej odpowiednik tego, co jest teraz w Latarniku Wyborczym (dla neutralnej wagi pytań). Część stała, nie wymaga ingerencji.

Sposób użytkowania

Pobrać arkusz ze strony (format ods, działa w darmowym Libre Office), uruchomić. Przejść do arkusza Odpowiedzi i istotność, wypełnić żółte pola. Po wypełnieniu wynik odczytujemy w zakładce Wynik. Oczywiście całość jest open source, czyli każdy może wprowadzić swoje poprawki i modyfikacje. Oraz poszukać błędów, których nie wykluczam.

Uwagi proszę zgłaszać w komentarzach pod wpisem. Spam, także wyborczy AKA agitacja będzie tępiony.

[1] I tu, kończąc wpis, widzę pierwszy błąd mojego rozwiązania. Powinienem jeszcze przemnożyć odpowiedzi kandydatów przez mnożnik podany przez użytkownika, gdy liczę maksymalny wynik dla kandydata. Teraz możliwe jest uzyskanie wyniku ponad 100%, zwł. dla wyższych mnożników. Błąd znany, poprawka trywialna, ale nie chce mi się teraz tego robić, jak będzie zainteresowanie to poprawię.

Diaspora* w użyciu

Patrzyłem na projekt Diaspora* od dłuższego czasu i cały czas uważałem, że nie jest skończony i gotowy. Opis instalacji na Debianie przyprawia lekko o ból głowy, znajomi nie bardzo korzystają… Ale po zniknięciu plum.me (nadal niewyjaśnionym, wygląda jakby wyparowały wszystkie zabawki A. jednocześnie) powstała pustka, więc stwierdziłem, że spróbuję.

Diaspora logo

Źródło: https://en.wikipedia.org/wiki/Diaspora_%28social_network%29

Nie stawiałem swojej instancji Diaspory, tylko skorzystałem z porównywarki podów Diaspory i wybrałem diasp.eu – ma sporo użytkowników, jest SSL, bardzo dobry uptime, stoi w Niemczech. Pierwsze wrażenie: ten klon Facebooka nawet działa! I są jacyś ludzie! Można normalnie korzystać z hashtagów (obserwować je) i po chwili okazało się, że znalazłem polskich znajomych z netu. Całych dwóch, ale zawsze.

Posty zamieszczane na Diasporze formatuje się przy pomocy Markdown – nie jestem fanem, ale jest prosty i można przywyknąć, szczególnie, że jest prosta ściągawka dostępna od ręki. Możliwości bardzo podobne do HTML, tylko bardziej dla ludzi. Załączanie obrazków czy video działa. Są hashtagi.

Są  też – znane z FB – ignorowanie użytkowników, zgłaszanie postów, możliwość ustawienia avatara, wiadomości prywatne i ankiety. Można przypisywać użytkowników do grup oraz tworzyć własne grupy. Można zintegrować Diasporę z Twitterem, Facebookiem, Tumblr czy WordPressem. Nie testowałem, ale zdaje się (opis potwierdza), że chodzi o to, że robimy wpis na Diasporze i mamy możliwość jednoczesnego wysłania go na (wybrane?) serwisy. Jest możliwość eksportu zdjęć i treści.

Wszystko to oczywiście oparte o wolne oprogramowanie, z możliwością postawienia na własnym serwerze, szyfrowane (SSL), odporne na cenzurę wielkich portali i niezależne od nich (nie ma śledzenia, profilowania, reklam). Itd., itp. 😉

Dodatkowo w Diasporze jest funkcja, która może zastąpić bloga (w minimalnym wymiarze). I nie jestem pewien, czy do tego Diaspora* nie nadaje się najlepiej. Mianowicie posty oznaczone jako publiczne dostępne są w formie strony WWW z wygenerowanym kanałem RSS. Czyli tak naprawdę blog, gdzie komentować mogą wyłącznie zalogowani.

Wady Diaspory:

  • Brak API. Nie żartuję, projekt open source, mocno programistyczny i póki co nie ma API. Ewidentny strzał w stopę, bo bez API słabo da się zrobić sensowne klienty (zwł. mobilne).
  • Niezbyt intuicyjny interfejs. Bardzo subiektywne, niby jest ładnie i standardowo, ale jak raz mi mignął link do kanału RSS z publicznymi wpisami, to potem się go naszukałem… Chwilowe i szybko mija.
  • Soft niby działa i jest good enough, ale używając czuć, że nie jest w 100% skończony i doszlifowany. Niekrytyczne.
  • Mała popularność. Trochę samonapędzająca się wada, ale nie mogłem pominąć…
  • Brak edycji wpisu po zamieszczeniu. Oczywiście można usunąć i dodać jeszcze raz, ale trochę overkill, jeśli chodzi tylko o usuwanie literówek.

Wygląda, że Diaspora zastąpi mi plum.me, bo możliwości większe, a nie wszystko nadaje się na bloga/Twittera/FB. Kiedyś przedstawiano – przynajmniej takie miałem wrażenie – Diasporę jako nadchodzącą wielką wolną alternatywę dla FB. IMO nic z tych rzeczy – zwykły serwis i social network, trochę mniej dopracowany, trochę bardziej wolny. Jest łatwa, więc IMO warto spróbować.

UPDATE: Dodany brak edycji w wadach.

Owoc żywota twojego je ZUS?

Niecały tydzień pozostał do zakończenia najważniejszego IMO w tym roku głosowania w Polsce. Chodzi oczywiście o wybór pomiędzy OFE a ZUS. Jest to jedna z niewielu okazji do opowiedzenia się jasno za lub przeciw polityce rządu (o mądrym niegłosowaniu w tradycyjnych wyborach pisałem wcześniej). Rządu, który najpierw dał możliwość wyboru miejsca, gdzie lokujemy – niestety obowiązkowo – zarobione pieniądze, a następnie tę możliwość odebrał, zabierając połowę odłożonych przez nas składek do ZUS.

Nie ma co mieć złudzeń. Na efekt końcowy, czyli wysokość emerytury, wybór jednej lub drugiej opcji jest praktycznie pomijalny. W najbardziej pesymistycznym wariancie możemy stracić 15% składki emerytalnej. Najbardziej optymistyczny wariant trudno przewidzieć. Skuteczność inwestowania i gospodarność ZUS jest znana, więc OFE naprawdę IMO musiałyby się postarać, by wypaść gorzej. Z drugiej strony tego typu zagrywki rządu i zmiana otoczenia ekonomicznego nie poprawiają OFE warunków działania.

Niemniej, jak pisałem wcześniej, decyzja dla większości jest głównie polityczna. Kontrowersji wokół sprawy jest więcej. Nie chodzi tylko o zabranie połowy pieniędzy z OFE do ZUS. Dochodzi do tego wariant domyślny czyli zmiana dokonanego przez obywateli wyboru (pomijam tych, którzy nie wybierali OFE, tylko zdali się na losowanie). OFE otrzymały również zakaz reklamowania możliwości pozostawienia u nich składek. Czyli mamy cenzurowanie prywatnych przedsiębiorstw i podejście rządu wybory będą powtarzane tak długo, aż wybierzecie co chcemy. Bo może zapomnicie wybrać, a wtedy wybieracie nasz wariant.

Decyzja podejmowana nie jest na zawsze. Będzie można zmienić wybór za 2 lata, a potem co kolejne 4 lata. Natomiast aby jasno uzyskać efekt sprzeciwu przeciw polityce rządu należałoby zagłosować już teraz. Brak dokonania wyboru do końca lipca oznacza przeniesienie wszystkich składek do ZUS. Nie warto czekać do ostatniego dnia. Do tej pory wyboru dokonała tylko niewielka liczba uprawnionych osób, co może oznaczać kolejki w urzędach ZUS, szczególnie pod koniec miesiąca.

Po szczegóły typu wyliczenia, wzór deklaracji i inne źródła odsyłam do subiektywnego, ale solidnego wpisu OFE czy ZUS. Większość danych na końcu ww. wpisu plus bardzo dobra „bibliografia”, czyli odnośniki do innych źródeł w temacie.

Microsoft blokuje No-IP

Krótka lekcja nt. neutralności sieci w praktyce. Zaglądając na stronę popularnego operatora domen, w szczególności jednego z bardziej znanych dostawców darmowych domen dla osób z dynamicznym IP, można dziś zobaczyć taki komunikat:

 No-IP warning

Pod pretekstem wykorzystywania domen przez twórców malware (co z pewnością miało miejsce, malware korzysta z czego się da…), na mocy nakazu sądowego, Microsoft zajął 22 domeny. Zgodnie z tym, co pisze No-IP, nie było żadnego wcześniejszego kontaktu w celu usunięcia „złych” domen. Co ciekawe, No-IP utrzymuje aktywny zespół abuse, ma surową politykę przeciwko nadużyciom i… ma historię dobrej współpracy z Microsoftem w reagowaniu na podobne nadużycia.

Najwyraźniej komuś nie zależało, by z tego skorzystać. Duży może więcej.

Poniżej kopia oświadczenia wydanego przez No-IP w tej sprawie (stan na godzinę 8:00):

We want to update all our loyal customers about the service outages that many of you are experiencing today. It is not a technical issue. This morning, Microsoft served a federal court order and seized 22 of our most commonly used domains because they claimed that some of the subdomains have been abused by creators of malware. We were very surprised by this. We have a long history of proactively working with other companies when cases of alleged malicious activity have been reported to us. Unfortunately, Microsoft never contacted us or asked us to block any subdomains, even though we have an open line of communication with Microsoft corporate executives.

We have been in contact with Microsoft today. They claim that their intent is to only filter out the known bad hostnames in each seized domain, while continuing to allow the good hostnames to resolve. However, this is not happening. Apparently, the Microsoft infrastructure is not able to handle the billions of queries from our customers. Millions of innocent users are experiencing outages to their services because of Microsoft’s attempt to remediate hostnames associated with a few bad actors.

Had Microsoft contacted us, we could and would have taken immediate action. Microsoft now claims that it just wants to get us to clean up our act, but its draconian actions have affected millions of innocent Internet users.

Vitalwerks and No­-IP have a very strict abuse policy. Our abuse team is constantly working to keep the No-­IP system domains free of spam and malicious activity. We use sophisticated filters and we scan our network daily for signs of malicious activity. Even with such precautions, our free dynamic DNS service does occasionally fall prey to cyber scammers, spammers, and malware distributors. But this heavy-handed action by Microsoft benefits no one. We will do our best to resolve this problem quickly.

UPDATE: Wpis dotyczący sprawy na blogu no-ip.com został parę razy zaktualizowany. Z tego co zauważyłem, moje domeny zaczęły działać wczoraj, czyli downtime w granicach 36h. Zdarzenie jest przykładem kluczowej roli DNS (domeny, serwery), a w kontekście bezpieczeństwa warto zwrócić uwagę na to, z jakich domen się korzysta.

Odchudzanie

Wiadomo, wiosna, więc pora zrzucić zbędny balast. Ale nie każdy człowiek ma ten problem. Ja nie mam (i tej wersji będę się trzymał!). Tym razem chodzi o odchudzanie innego rodzaju i czego innego. Ale po kolei. Przedwczoraj w czytniku RSS dotarłem do wpisu o porzuceniu WordPressa na rzecz statycznego generatora bloga. Pomysł nie jest nowy, nawet kiedyś przymierzałem się do czegoś podobnego, tyle że w Perlu[1]. Ba, nawet kilka testowych wpisów mam wygenerowanych gdzieś tak. Główna zaleta – minimalne wymagania dot. zasobów i szybkość działania po stronie czytelników. Z funkcjonalnością jest gorzej (zwłaszcza brak komentarzy mnie zniechęca), ostatecznie zdecydowałem się na gotowe, utrzymywane na zewnątrz rozwiązanie. Ale sam pomysł nadal mi się bardzo podoba.

Dodatkowo tak się złożyło, że w ostatnim wpisie na temat Disqus został poruszony temat dodatku do przeglądarki o nazwie Ghostery. Zainstalowałem tenże dodatek i trochę mina mi zrzedła. Otóż na tym blogu było wykorzystanych osiem różnych serwisów, które są uznawane za potencjalnie naruszające prywatność. OK, jeśli ktoś ma AdBlocka czy NoScript, to efektywna liczba „szpiegów” mogła być niższa, a przynajmniej użytkownik miał możliwość kontroli, no ale mimo wszystko sporo. A przecież nie o taki Internet walczyliśmy

Piórkiem, pod którym załamał się wielbłąd było jednak spojrzenie dziś rano w konto AdSense, całe 80 zł, średnio 2,5 zł miesięcznie. W tym tempie już za 7 lat będę mógł wypłacić środki. O ile znowu nie zwiększą progu – IIRC jak zakładałem konto, to było 200 zł, teraz jest 300 zł. Co prawda nigdy do zarobku nie miało to służyć, a raczej do tzw. bycia w temacie co w sieci piszczy, dodatkowo mogłem liczyć średnią z trochę za długiego okresu, ale to szczegóły. Nawet przy 5 zł/m-c byłyby to 3 lata do wypłaty i sponsorowanie Google w tym czasie. Chyba rozum postradali.

W każdym razie po zainstalowaniu Ghostery popatrzyłem na inne blogi, gdzie wynik oscylował w okolicy zera, no, czasem w porywach 2 czy 3 „śledzących” serwisów i zadałem sobie pytanie po co to wszystko? Stwierdziłem, że nie ma sensu, bo są jakieś priorytety, a social widgety czy nabijanie kasy Google’owi się do nich nie zaliczają. Zrobiłem więc porządki, najpierw rano testowo na starym blogu, potem, po południu na tym. Sporo rzeczy poleciało…

Po kolei (tylko z tego bloga):

  • Facebook i przycisk like pod wpisem – czasem ktoś kliknie, ale głównie służyło do dawania znać o nowych wpisach na blogu. W sumie mogę puścić linka jako wpis na FB (nie każdy korzysta z czytnika RSS, niestety), to nawet bardziej do znajomych dotrze. Zresztą znajomi z FB stanowią niszową grupę czytelników (lub mają czytnik RSS).
  • Przycisk Wykop, podobnie jak Facebook zintegrowany w Blox. Odkąd włączyłem, nikt nigdy nie użył. Poprzednie doświadczenia wskazują, że jak będzie coś ciekawego, to ludzie dodadzą i bez przycisku.
  • LinkWithin, czyli namiary na podobne wpisy na tym blogu. Niby fajne i estetyczne, ale użycie (wg statystyk) nie było znaczące, poza tym, to samo robi Folskr (został i nie jest rozpoznawany przez Ghostery, poza tym to nisza i znam autora). Że tekstowo? Tak miało być. Zresztą kiedyś robiłem porównanie i Folksr wypadł lepiej.
  • Widget G+. Nawet było parę kliknięć. Dosłownie parę, więc bez żalu do /dev/null.
  • Reklamy AdSense – opisałem wcześniej.

Pora na krótkie podsumowanie efektów. Do badania korzystałem z dwóch narzędzi, które wydają mi się dobre do pomocy przy optymalizacji stron. Pierwszym jest Web Page Test (sporo szczegółowych danych, spory rozrzut pomiędzy kolejnymi testami), drugim Insights od Google (trzeba zwracać uwagę na monopolistę, prawda?; bardzo syntetyczny wynik). Poza tym, zwracałem uwagę co mówi Ghostery. Jeszcze wcześniej korzystałem z PageSpeed do wskazówek na temat optymalizacji stron, ale jakkolwiek nadal jest w tym zastosowaniu przydatne, to nie podaje już syntetycznego wyniku.

W przypadku tego bloga[2] początkowy wynik w Web Page Test to 91/100, czas pierwszego ładowania strony 6,5 sekundy, odświeżenia 4,3 sekundy. Odpowiednio 452 i 143 kB przesyłanych danych. Google Insights prędkość 51 mobilnie, 95 wygląd, dla desktopu ocena 80. 8 widgetów wg Ghostery. Po odchudzaniu jest to odpowiednio 88/100 (spadek? chyba z rozrzutu między pomiarami wynika…), czas ładowania 3,3 sekundy dla pierwszego wczytania i 3,9 dla odświeżenia (ewidentnie coś nie tak, pierwsze ładowanie powinno być wolniejsze). Przesyłane dane to 219 i 54 kB. Google Insights 51 prędkość mobilnie, 96 wygląd mobilnie. Wzrost dla destkopu do 83. Ghostery pokazuje 4 widgety. Został Gemius (serwowany przez Blox, nie mam wpływu), Google Tag Manager (chyba to samo, sam chętnie się dowiem, skąd to się bierze… – GA wstawione przez Blox). Ze swojej strony zostawiłem i mojego Piwika, i statystyki stat4u, które są „od zawsze” i IMHO są niegroźne. Poza tym, moja ciekawość wygrywa. 😉

Czy było warto? Chyba tak, przynajmniej na razie podoba mi się. Popatrzę jeszcze chwilę, prawdopodobnie zrobię jeszcze jedno bardziej hardcore’owe podejście (sprzątanie i minify CSS). Pewnie za jakiś czas znowu coś dodam, w ramach zabawy, ale na ten moment pozostanie odchudzona wersja.

Zauważyłem jedną ciekawą rzecz – wyniki serwisów do optymalizacji bardzo zwracają uwagę na dobre praktyki, ale minimalną na realny czas ładowania strony czy ilość przesłanych bajtów. O ile dobre praktyki pomagają w zmniejszeniu ilości przesłanych bajtów i co za tym idzie czasu ładowania, to ostatecznie dobry wynik w tego typu testach jak widać wcale nie musi oznaczać poprawy dla użytkownika końcowego i strona ze słabą oceną, czyli „z błędami”, w praktyce może być dużo przyjemniejsza i lżejsza, niż „zoptymalizowana” strona z dużą ilością dodatków.

[1] Chodzi o Chronicle.

[2] NFM: Stary blog 2,5 i 1,8 sek, 267 i 84 kB przed, 1,5 i 1,2 sek, 72 i 45 kB po, Insights bez zmian.

Bez Disqusji!

Od dłuższego czasu popularność na różnych blogach zdobywa Disqus[1], czyli niezależny od platformy blogowej system komentowania. Nie dziwi mnie to specjalnie, bo Disqus jest dość wygodny. Zalogować się do systemu można przez „wielką trójkę”, czyli Twittera, Facebooka i Google. Oczywiście można też mieć osobne konto tylko na Disqus. Można w końcu komentować jako gość. Dodatkowo komentarze ułożone są w estetyczny i sensowny sposób, z wątkowaniem. Na deser jest jeszcze głosowanie, udostępnianie komentarzy w mediach społecznościowych, możliwość otrzymywania powiadomień o odpowiedziach mailem czy ustawienia moderacji. Cud, miód i orzeszki po prostu. Szczególnie, jeśli porówna się to z wynalazkami wymyślonymi odnośnie komentarzy przez niektóre serwisy blogowe. Rozwiązanie fajne do tego stopnia, że np. Tumblr w ogóle nie ma komentarzy na blogach i Disqus jest jedyną opcją na komentarze tamże. Przyznam, że i ja się skusiłem na moim tumblrowym blogu na to rozwiązanie.

Do niedawna[2] nie zwracałem na to szczególnej uwagi, ale postanowiłem dodać komentarz na blogu Łukasza Bromirskiego. Komentarz zawierał sporo URLi do polskich około technicznych blogów pracowicie wygrzebanych z mojego czytnika RSS (nie wiem co Łukasz planuje, ale możecie podrzucić blogi, których nie ma na liście, czy Łukaszowi, czy tutaj w komentarzu). Ponieważ od jakiegoś czasu nie ograniczam się do podpisu, tylko loguję, na koniec edycji postanowiłem się zalogować. Nawet się udało, tyle, że cała treść komentarza zniknęła. Uśmiechnąłem się tylko, bo przecież od dawna na takie okazj mam Lazarusa (polecam!). I zonk! Lazarus nie radzi sobie z Disqus. Pewnie dlatego, że Disqus to nie typowy formularz na stronie, a javascript. W każdym razie musiałem przepisywać.

Potem było tylko weselej. Wysyłam komentarz i nie ma. Nie wiadomo, czy błąd po stronie Disqusa i komentarz należy uznać za MIA, nie przeszedł przez wbudowany antyspam (w końcu bardzo dużo linków w treści, szczególnie patrząc na stosunek linki/treść) czy po prostu nie przeszedł przez moderację. W każdym razie napisałem i nie ma. I tak jakoś trzy razy (przyznaję, cierpliwy jestem).

Zacząłem się zastanawiać nad tematem i doszedłem do wniosku, że korzystanie z Disqus powoduje implikacje dotyczące wolności i prywatności. Ameryki w tym momencie nie odkrywam, bo część jest opisana w artykule na Wikipedii w części dotyczącej kontrowersji Disqus. Zatem do ograniczeń wolności i prywatności przez Disqus[3]:

  • Obecność na wielu stronach powoduje możliwość śledzenia użytkowników, nie tylko komentujących, ale po prostu odwiedzających strony. Dodatkowo w przypadku komentujących możliwe jest łatwe śledzenie ich zainteresowań i poglądów. Jeśli chodzi o odwiedzających, można to minimalizować przy pomocy wtyczek do przeglądarek typu NoScript, Adblock czy Ghostery. Śledzącym może być Disqus, ale może też chodzić o śledzenie wszystkich komentarzy jednego użytkownika przez innego.
  • Możliwość cenzurowania komentarzy, zarówno w momencie ich zamieszczania, jak i wstecznie. Czy to po słowach kluczowych, autorze, IP z którego jest zamieszczany komentarz… W sumie, w skrajnym wypadku, możliwa byłaby nawet zmiana treści i mamy gotową sytuację z Rok 1984 – szybko można zmienić treść czyjegoś komentarza, by odzwierciedlał obecnie poprawną linię. Można oczywiście podpisywać komentarze przy pomocy PGP. Przynajmniej dopóki Disqus nie odrzuci ich z automatu. 😉
  • Brak możliwości backupu bloga z komentarzami. Proste rozwiązania do backupu bloga nie zadziałają, a przynajmniej nie w 100%. Nie udało mi się pobrać przy pomocy wget tak, by mój komentarz z linkami był widoczny.
  • Zamknięcie Disqus (albo nawet prosta zmiana typu modny ostatnio paywall) spowoduje, że komentarze na wielu stronach, które IMO w przypadku blogów są istotną częścią strony, bezpowrotnie znikną. Obejściem jest regularne robienie backupu komentarzy przez administratora strony. W XML, Disqus way.

I co w związku z tym? W sumie nic, nie przestałem korzystać z Disqus jako autor bloga (skoro już się pojawił kiedyś), nie zlikwidowałem konta na Disqus. Nawet nie zapowiem, że nic nie skomentuję przy jego pomocy. Ale szanse na użycie przeze mnie tego systemu komentarzy drastycznie spadły. Na pewno (na 99,9%) nie wykorzystam go w kolejnym projekcie. Jak widzę, że wpis jest na blogu z podpiętym Disqus, to generalnie nie komentuję. A ponieważ komentowanie (a przynajmniej jego możliwość) jest dla mnie istotną częścią blogowania, to będzie to uwzględnione przy następnej czystce feedów RSS.

[1] Taki eufemizm, bardziej można by go nazwać monopolistą – Wikipedia podaje badanie wskazujące na 75% udziału na stronach wykorzystujących zewnętrzne (3rd party) systemy komentowania. Aż dziwne, że znaleźli niszę, w końcu Facebook takes it all. Przy czym do tej pory kojarzyłem go raczej na zachodnich blogach, ostatnio patrząc w RSS zwróciłem uwagę i na polskich też się rozpanoszył.

[2] No dobra, nie tak niedawna, bo chodziło o ten wpis (BTW chyba nic nie wynikło, a szkoda) – jak widać prawie pół roku połowiczny szkic tej notki przeleżał…

[3] Będzie czarnowidztwo i paranoizowanie, przynajmniej chwilami. Zostaliście ostrzeżeni.

Wolność w Mozilla Foundation

Albo raczej jej brak. Po tym jak Brendan Eich został CEO Mozilla Foundation, ludzie przekopali jego przeszłość i odkryli, że w roku 2008 dokonał darowizny w wysokości tysiąca dolarów na rzecz poparcia zmiany prawa tak, by małżeństwa osób tej samej płci nie były możliwe w Kalifornii. I zaczęła się nagonka ze strony środowisk LGBT, która zakończyła się ustąpieniem ze stanowiska (prywatnie uważam, że niekoniecznie z własnej nieprzymuszonej woli).

Jak to ma się do wolności przekonań politycznych, religijnych, moralnych i światopoglądowych? Legalne poparcie legalnych instytucji (nie mówimy tu przecież o jakichś bojówkach), ze środków prywatnych, owocuje atakiem medialnym. W moim odczuciu atakiem z powodu prywatnych przekonań, bo Brendan Eich jasno dał do zrozumienia, że w zakresie Mozilla Foundation nic się nie zmienia i pozostają nadal otwarci na różnych ludzi, niezależnie od rasy, płci, religii i orientacji seksualnej.

Uważam, że działaniom środowisk LGBT blisko w tym momencie do dyskryminacji z powodu przynależności partyjnej, religijnej itd. IMO Mozilla niebezpiecznie zbliża się do stanowiska szanujemy wolność wypowiedzi i przekonań, pod warunkiem, że są to przekonania zgodne z oficjalną linią partii. Ciekawe kiedy wpadną na pomysł wprowadzenia mechanizmów cenzury w ramach obrony wolności wypowiedzi?

W każdym razie Mozilla sporo straciła w moich oczach. O ruchu LGBT nie wspominając.

Blokowanie dostępu do The Pirate Bay bez efektu

Byli tacy, którzy wierzyli i utrzymywali, że blokowanie p2p itp. jest możliwe i faktycznie działa (na przykładzie Szwecji). Wbrew faktom, naginając rzeczywistość do swoich teorii. I wspomagając się ignorancją w interpretacji wykresów ruchu sieciowego. Bywa.

Jakiś czas temu odcinanie od sieci wprowadziła Holandia. I teraz się z tego wycofuje, tj. kolejni ISP przestają blokować. Dlaczego? Ano dlatego, że są badania pokazujące, że blokada nie ma wpływu na zachowania użytkowników. W razie gdyby miało zniknąć lokalny mirror.

Trochę smutne, że do ludzi nie dociera, że informacja to żywioł, nad którym ciężko zapanować. I który każdą blokadę będzie próbował ominąć. Zwykle skutecznie.

Nowy Piwik, czyli po co komu statystyki na blogu?

Dziś Piwik powiadomił mnie, że jest dostępna wersja 2.0.1. Lekko się zdziwiłem, bo pojawienie się 2.0.0 jakoś mi umknęło. Uznałem, że to dobry moment na podsumowanie statystyk, tym bardziej, że z Piwika korzystam od kwartału.

Pierwsze wrażenie – jest znacznie szybciej, ale kolorystyka mniej mi się podoba. Upgrade bardzo bezproblemowy, z dokładnością do tego, że upgrade bazy zrobiłem z CLI, bo przywitała mnie biała strona. Ale wszystko jest ładnie opisane w FAQ. Zdecydowanie polecam upgrade, jeśli ktoś z Piwika korzysta.

No właśnie… Czy ktoś potrzebuje Piwika? Od bardzo dawna korzystam ze statystyk stat4u.pl i przyznam, że owszem, Piwik jest ładniejszy, daje trochę więcej informacji, ale… nie odczułem jakiejś wielkiej poprawy. Jedyne co warto odnotować, to informacja, które strony na blogu są odwiedzane częściej. Szału nie ma.

Czy ktoś potrzebuje statystyk Piwik na stronie? Po odzewie na moją propozycję darmowych statystyk sądzę, że nie. Odzew wynosił okrągłe zero, co przyznam, lekko mnie zdziwiło. Ja się lubię bawić, szczególnie, że wysiłek zerowy, a dane jakby mało krytyczne. Tj. jakby mi zależało, to często gęsto jestem w stanie dość dokładnie oszacować ilość wejść na czyjegoś bloga czy najpopularniejsze wpisy. Ale jakoś mi nie zależy.

W ogóle uważam, że Google dość drastycznie zmienia obraz statystyk i ogólnie rynku reklamy w sieci. I bardziej wiąże do siebie ludzi. I stawiam, że robią to z premedytacją i będzie się to pogłębiać. Po pierwsze, wymuszenie HTTPS i idące za tym ukrycie fraz z wyszukiwarki utrudnia autorom stron analizę, czego szukają ludzie (no chyba, że ktoś korzysta z Google webmaster tools, wtedy jak najbardziej ma dostęp do danych). Po drugie, ostatni ruch czyli cache’owanie obrazków w gmailu też wpływa na rynek spa^H^H^Hmarketingu email. I nie mam złudzeń, że nie chodzi im o prywatność użytkowników, tylko przymierzają się do kolejnego kawałka tortu.

Polityka prywatności

Na blogu, w bocznej szpalcie, pojawiła się polityka prywatności. Głównie dlatego, że zauważyłem, że parę osób chwaliło się ostatnio, że u nich nie ma ciasteczek[1]. No i pojawiły się moje statystyki, czyli ten element, gdzie mogę dać użytkownikowi jakiś wybór i swobodę. Nie, żeby sam nie mógł jej wcześniej wziąć, ale OK, AdBlock to nadal dla wielu magia.

[1] Co w praktyce nic, poza dobrym samopoczuciem, nie zmienia, bo jest wiele innych metod śledzenia. A nie, przepraszam, wszędzie gdzie nie ma cookies jest mniej lub bardziej obcięta funkcjonalność.