Karol „Zal” Zalewski

Tak, jak ostatnio wspominałem, zabrałem się za napisanie prostego narzędzia do migracji z Joggera (wymagany plik XML z eksportem) do WordPressa (wymagany dostęp do bazy danych) w wersji 2.8.*. JoggerLaunch, bo o nim mowa, pozwala obecnie na przeniesienie do WP wszystkich swoich wpisów oraz komentarzy do nich. Niestety, nie obsługuje jeszcze przenoszenia tagów oraz kategorii do jakich należały wpisy. Funkcjonalność ta z pewnością niedługo się pojawi.

Do napisania skryptu wykorzystałem Rubiego. Powodem, dla którego wybrałem ten język jest fakt tego, iż nigdy wcześniej nie miałem z nim do czynienia. Bo czemu nie? Kod wygląda upiornie, ale przetestowałem go na ponad 5 mebibajtowym XML-u i daje poprawne rezultaty.

Gdyby ktoś miał ochotę dorzucić do niego funkcjonalność, lub poprawić kod i efektywność działania to gorąco zapraszam - jest na licencji BSD.

Imperious, choleric, irascible, extreme in everything, with a dissolute imagination the like of which has never been seen, atheistic to the point of fanaticism, there you have me in a nutshell... Kill me again or take me as I am, for I shall not change.

Donatien Alphonse François de Sade

Jestem ateistą. I może nie jestem aż takim fanatykiem, jak Markiz de Sade, ale z pewnością jest to ta część mojego światopoglądu, którą lubię podkreślać. Jednakże bez przesady. Szanuję poglądy i decyzje moich znajomych tak, jak i oni szanują moje. Nikomu też niczego na siłę nie próbuję uświadomić. Wychodzę z założenia, że jest to szalenie irytujące zjawisko i chyba każdy, kto miał znajomego należącego do Świadków Jehowy przyzna mi rację. Dyskusja na tematy związane z wiarą? Why not? O ile dla obu stron jest to źródło przyjemności, którego nie sposób sobie odmówić. Tam, gdzie wkraczają emocje pojawia się też niesmak. Ale nie o tym to ja chciałem pisać.

Niedługo będzie głośno w Polsce, a może już jest, o MAiA, czyli pierwszym Marszu Ateistów i Agnostyków. Interesująca inicjatywa? W moim mniemaniu jest to strzał w stopę. Pomijając moją niechęć do jakichkolwiek przemarszów należy zauważyć, że na tego typu wydarzenia może wybrać się każdy. Przy czym tak właściwie nie każdy jest mile widziany pomimo tego, iż organizatorzy nie mogą tego oficjalnie przyznać. Najprawdopodobniej i na MAiA pojawi się kilka takich osób - mowa o Joannie Senyszyn oraz Dariuszu Szwedzie. Z jednej strony SLD, a z drugiej strony Zieloni 2004. Czerwień przeplatana zielenią. I nie wierzę, że będą milczeć, lub mówić tylko i wyłącznie o ateizmie, czy agnostycyzmie.

Kolejny raz nastąpi pakietyzacja idei, o której wspominałem m.in. w kontekście tegorocznej Manify, która odbyła się w Gdańsku. Czy tak należy rozbudzać świadomość? I don't think so.

Z okazji trzeciej rocznicy funkcjonowania bloga uznałem, że warto wprowadzić pewne zmiany. Oto i one:

• koniec inwigilacji - znikają wszelkiego rodzaju JavaScripty (np. Google Analitycs) służące do analizowania ruchu na blogu,
• koniec z Flashem - w najgorszym przypadku raz na jakiś czas pojawi się jakiś JavaScript, czego przykładem jest skrypt związany z serwisem Identi.ca,
• brak reklam - kontynuacja polityki zapoczątkowanej jakiś czas temu,
• zmiana platformy (w planach) - zapewne migracja z Joggera na WordPressa.

Dlaczego? Przede wszystkim dlatego, iż blog to rodzaj strony, która powinna działać wszędzie. Zarówno pod Operą, Firefoksem, jak i np. Lynksem. Bez żadnych AdBlocków itp. Kolejną sprawą jest prywatność oraz kwestia bezpieczeństwa. Nie widzę sensu, dla którego należałoby je naruszać - czy to poprzez kod do analizy ruchu (prywatność), czy poprzez Flasha (bezpieczeństwo). Last but not least - ciągle piszę o szeroko pojętej wolności, a korzystam z zamkniętego Joggera. Niech ja tylko znajdę sobie narzędzie ułatwiające migrację, lub napiszę własne i dobiorę hosting.

Krótko i treściwie. Warto było wybrać się dziś do Galerii Bałtyckiej w Gdańsku na Software Freedom Day. Chociażby z tego względu, aby spotkać dawno niewidzianych znajomych (w tym kilku Joggerowiczów) oraz przekonać się na własne oczy, że zainteresowanie otwartym i wolnym oprogramowaniem wcale nie jest takie małe, jakby mogło się wydawać. Wystarczy chociażby spojrzeć na poniższe prace wykonane przez dzieci (i nie tylko) w ramach konkursu rysunkowego.

Prawda, że urocze? Dzieciaki grały w SuperTuksa, kiedy to w tym samym czasie osoby nieco starsze rozmawiały z członkami i sympatykami KN RINNG na temat instalacji GNU/Linuksa, czy też FLOSS. Zainteresowanie przechodzących wzmagała również mnogość gadżetów - przypinek, magnesów i gumowych opasek Mozilli, plakatów oraz płyt (K)Ubuntu 9.04.

Takie spostrzeżenie na przyszłość - wszelkiego rodzaju akcje dla dzieci to świetny pomysł, ponieważ przyciągają również rodziców i to stosunkowo skutecznie.

O jednym z głównych przedstawicieli ruchu Open Source, czyli Ericu Raymondzie słyszało zapewne wielu z Was. Czy to dzięki lekturze eseju „The Cathedral and the Bazaar”, czy też ze względu na jego anarchistyczne¹ zapędy. Wspominam o nim z tego względu, iż natknąłem się na kolejny jego esej. Poniżej przykładowy cytat:

Większość ludzi posiada w swoich umysłach oba te modele i rozumieją sposoby interakcji między nimi. Rząd, wojsko i zorganizowane grupy przestępcze to przykłady hierarchii przełożonych, żerujących na szerszej gospodarce wymiany, nazywanej „wolnym rynkiem”. Istnieje jednak trzeci model, zupełnie odmienny od obu pozostałych, o którym mówią raczej tylko antropolodzy: kultura prezentu.

„Zagospodarowywanie noosfery”, gdyż tak właśnie został zatytułowany, jest zbiorem przemyśleń mających na celu określenie tego, co tak właściwie jest wartością w kulturze hackerskiej. Ukazuje, iż kultura programistów FLOSS to tzw. „kultura prezentu” opierająca się na niematerialnej walucie, którą można krótko podsumować słowem „prestiż”. Obnaża to, co kryje się za wieloma ideami.

Polecam! Naprawdę warto przeczytać tak, jak i inne prace Raymonda. Szczególnie, że tekst nadal jest aktualny i może być ujmowany w szerszym kontekście. To już nie tylko oprogramowanie FLOSS będące domeną hackerów, ale również świat wolnej kultury oraz blogosfera.

¹ Patrz esej „Dlaczego jestem anarchistą”.

Od kilku tygodni, w ramach Letnich Praktyk Badawczych, prowadzę cotygodniowy przegląd prasy. Aby być bardziej ścisłym - przegląd prasy internetowej. Oczywiście, całość przeszukuję głównie pod kątem informacji ze świata nauki i techniki. Aby było łatwiej zaczynam od branżowych (czyt. związanych z IT, biznesem oraz szeroko pojętą nauką) agregatorów treści oraz serwisów¹. Na tym etapie jest jeszcze całkiem przyjemnie - pojawiają się głównie wpisy techniczne, lub informacje związane z bieżącymi wydarzeniami. Niekiedy trafia się na newsy, których wartość merytoryczna jest poniżej przeciętnej, ale nie jest to nagminne. Następnie przechodzę do serwisów zajmujących się sprawami bardziej ogólnymi w nadziei, ze znajdę tam np. informacje dot. polskiej nauki. I tutaj zaczyna się mój koszmar.

W moim mniemaniu prasa powinna pełnić rolę filtru. Zwracać uwagę na najważniejsze wydarzenia, problemy, a niekiedy przedstawiać własną opinię na ich temat. Oddzielać informacje obiektywne od nieobiektywnych. Siłą rzeczy, chociażby ze względu na konieczność podjęcia wyboru dot. tego, co „jest ważne”, całkowity obiektywizm nie jest możliwy do osiągnięcia. I dlatego też czytelnik nie tylko powinien określić wiarygodność prasy, ale również czytać kilka pozycji, aby zapewnić sobie spojrzenie na sytuację z kilku stron.

Dlaczego wspomniany filtr jest tak istotny? Chociażby z tego względu, iż w obecnych czasach człowiek nie jest w stanie przetworzyć wszystkich informacji, jakie pojawiają się w jego otoczeniu. Jest to fizyczną niemożliwością. Wystarczy zrobić doświadczenie (myślowe) i spróbować zapoznać się ze wszelkimi informacjami opublikowanymi danego dnia w Internecie. Z tego też względu warto zadbać o to, aby filtr był wysokiej jakości. Aby docierające do nas informacje były wartościowe i przedstawione w sposób bliski obiektywnemu.

A jak to wygląda na wielu polskich serwisach? Natłok. Przeogromna masa bezwartościowej papki, której jedynym zadaniem jest wywołanie w czytelniku emocji i sprawieniu, aby ten kliknął w reklamę, lub też ją obejrzał. Oglądalność. Brr... I wcale nie piszę o internetowych tabloidach pokroju Pudelka, które naśladują papierowy Fakt, lub Express Ilustrowany. Nawet niektóre serwisy związane z IT wyglądają obecnie, jak Deser o profilu informatycznym. Jednak nie to mnie przeraża. Takie serwisy istnieją, ponieważ istnieje również popyt na to, co udostępniają. I tutaj pojawia się najważniejsze pytanie - kto to czyta? I co najważniejsze - czy jest pośród nas?

TV nie oglądam, a gazet unikam. I chyba nikogo to już dziś nie dziwi.

¹ Mowa o takich serwisach, jak np. Computer World, Slashdot, Dziennik Internautów, Linux Portal, New Scientist itp.

Telefonia internetowa zyskała popularność już jakiś czas temu. Protokołów z nią związanych jest kilka, a do tych najpowszechniej stosowanych można zaliczyć otwarty SIP oraz własnościowy Skype. Na horyzoncie pojawił się również Jingle, protokół bezpośrednio związany z XMPP (m.in. XEP-166 oraz XEP-167), a rozwijany i wykorzystywany głównie przez Google w GTalku. Z racji swej otwartości (zarówno specyfikacji, jak i googlowej implementacji) powoli pojawia się również w takich komunikatorach, jak Psi, czy też Pidgin. Można więc przypuszczać, iż niedługo zyska na popularności.

I tutaj pojawia się pewien problem. Jak poradzić sobie taką różnorodnością protokołów? Rozwiązaniem problemu mogą być usługi konstruowane na wzór transportów znanych z XMPP, a zajmujące się tłumaczeniem jednego protokołu na drugi. Jednym z popularniejszych usługodawców w tym zakresie jest GTalk2VoIP, który pozwala na darmowe połączenia między użytkownikami Jingle oraz SIP-a. Co więcej, udostępnia również możliwość podpięcia całej usługi pod własną domenę. Dzięki temu ten sam adres może służyć do wymiany poczty oraz komunikacji poprzez XMPP, Jingle, czy też SIP. Jednak rozwiązanie takie ma oczywiście swoje wady. Przy czym najpoważniejszą najpoważniejszą według mnie jest naruszenie bezpieczeństwa komunikacji poprzez dodanie pośrednika.

Abstrahując od samej usługi dostarczanej przez serwis GTalk2VoIP, marzy mi się realizacja idei komunikacji zintegrowanej w przypadku typowych użytkowników komputera. Jeden adres kontaktowy, który nie tylko łączy w sobie wiele usług (poczta, IM, głos, wideo itp.) które przenikają się nawzajem, ale również wiele urządzeń (np. telefon, czy też komputer) tak, aby wyeliminować fizyczne bariery w komunikacji. Nim to jednak nastąpi mam nadzieję, że większa część klientów XMPP będzie sobie lepiej radziła z Jingle.

Software Freedom Day, czyli Dzień Wolnego Oprogramowania jest cykliczną imprezą, organizowaną od 2004 roku na całym świecie. Celem SFD jest promowanie oprogramowania FLOSS poprzez edukację społeczeństwa i przedstawianie zastosowań tego typu rozwiązań w nauce, administracji państwowej, domu i biznesie. Akcja jest koordynowana przez organizację non-profit o nazwie Software Freedom International, jednak lokalne edycje powstają przede wszystkim dzięki zaangażowaniu wolontariuszy.

Gdańska edycja SFD organizowana jest przez koło naukowe RINNG, działające na Politechnice Gdańskiej. 19 września w godzinach 10:00–16:00 w Galerii Bałtyckiej będzie można zapoznać się z Wolnym Oprogramowaniem. Przewidziane są:

• demonstracje aplikacji takich jak: narzędzia pakietu biurowego OpenOffice.org, przeglądarka internetowa Firefox i klient poczty Thunderbird, programy multimedialne i edukacyjne, a także gry,
• stanowiska komputerowe, na których będzie można samodzielnie sprawdzić funkcjonalność oprogramowania FLOSS i systemu operacyjnego GNU/Linux,
• konkursy z nagrodami dla uważnych uczestników i ich pociech.

Dokładniejsza agenda imprezy jest dostępna na oficjalnej stronie zespołu.

Tekst został skopiowany ze strony vmario.

Na obecną chwilę istnieje naprawdę dużo rozwiązań pozwalających na szyfrowanie danych. Wystarczy wspomnieć chociażby o TrueCrypt, DM-Crypt+LUKS, OpenGPG itp. Wszystkie one opierają się mniej, lub bardziej popularnych algorytmach kryptografii symetrycznej (np. AES) i asymetrycznej (np. RSA). I wszystkie one są naprawdę dobre do momentu, kiedy to okazuje się, że nie mamy dostępu do komputera. Co zrobić, gdy mamy dostęp jedynie do kartki i ołówka?

Dlaczego w ogóle o tym piszę? Przykładowa sytuacja z życia wzięta. Marta znajduje się w Ekwadorze. Ja zaś jestem tam, gdzie zawsze byłem, czyli w Polsce. Z różnych powodów Marta nie posiada przy sobie zarówno komputera, jak i telefonu komórkowego. Jedyny działający telefon w okolicy należy do koleżanki Marty i bez problemu może służyć do odbierania SMS-ów. Chcąc jednak zachować prywatność, przesyłany tekst należałoby w jakiś sposób zaszyfrować. Szyfry wykorzystujące XOR-y oraz bardziej zaawansowane operacje arytmetyczne są zbyt skomplikowane przy szyfrowaniu/deszyfrowaniu wykonywanym przez człowieka. Zatem jaki szyfr wykorzystać?

Założenie jest proste - szyfr musi być prosty do stosowania i w miarę bezpieczny, czyli wymagający uwagi osoby obeznanej w temacie by zostać złamanym. Szyfry przestawieniowe oraz tradycyjny ROT13 odpadają już na samym wstępie, ale można wykorzystać m.in. szyfry podstawieniowe. Przeszukałem Internet pod kątem klasycznych metod szyfrowania i wybrałem najbardziej interesujące w moim mniemaniu rozwiązania. Oto i one:

• wariacja szyfru Vigenère'a z kluczem jednorazowym,
• wariacja szyfru Vigenère'a z autokluczem,
• szyfr Ottendorfa.

Każdy z wyżej wymienionych szyfrów ma swoje wady. Pierwszy wymaga tego, aby po obu stronach uczestniczących w komunikacji pojawiła się książka z identycznym ciągiem losowych znaków, która będzie pełnić rolę klucza jednorazowego. Dodatkowo potrzebna jest „tabula recta” (widoczna powyżej). Jednakże można ją samodzielnie wygenerować w ciągu 2-3 minut. Efekt? Szyfr, do którego złamania należy zdobyć wspomniany klucz. Bez niego uzyskanie tekstu jawnego jest niemożliwe. Przy okazji jest on też bardzo niewygodny w stosowaniu. Odpada.

Wersja z autokluczem wygląda na znacznie bardziej interesującą. Po pierwsze - wymaga jedynie wspomnianej już tabeli ze wszystkimi możliwymi przesunięcia alfabetu. Po drugie - szyfrowanie/deszyfrowanie jest stosunkowo proste, a próba odczytania bez znajomości pierwszych kilku znaków klucza wymaga nieco czasu i pewnej wiedzy. Wady? Jego złamanie jest tylko kwestią czasu.

Co do ostatniego szyfru to jest on interesujący chociażby z tego względu, iż kluczem jest w tym przypadku książka. Każdą literę tekstu jawnego przekształca się do postaci XXYYZZ, gdzie XX to numer strony danej książki, YY to wiersz na danej stronie, a ZZ to kolejny znak będący znakiem z tekstu jawnego. Niestety, szyfrowanie/deszyfrowanie jest długotrwałe, a powstały w ten sposób kryptogram jest kilka razy dłuższy od tekstu jawnego. Przy okazji jest mniej bezpieczny, niż szyfr Vigenère'a z kluczem jednorazowym.

Decyzja zapadła. Ze względu na komfort stosowania oraz stosunkowo wysoki stopień bezpieczeństwa wybrałem szyfr z automatycznym generowaniem klucza. Jak zatem szyfrować z jego wykorzystaniem? To proste, spójrzcie na przykład.

JAWNY: zaszyfrowanyxtekst
KLUCZ: haslozaszyfrowanyt
KRYPT: 

Jak widać, klucz tworzony jest poprzez umieszczenie na jego początku nieznanej nikomu frazy (np. haslo) oraz tekstu jawnego, który będzie szyfrowany. Teraz należy przystąpić do szyfrowania - będzie nam potrzebna wcześniej wspomniana „tabula recta”. Odnajdujemy w niej kolumnę „z” oraz wiersz „h” (lub na odwrót, nie ma to znaczenia) i do kryptogramu wpisujemy literę leżącą na ich przecięciu, czyli „g”. Dla „a” i „a” będzie to „a” itd. Otrzymamy następujący wynik.

JAWNY: zaszyfrowanyxtekst
KLUCZ: haslozaszyfrowanyt
KRYPT: gakkmergvysplpexqm

Proste, prawda? Deszyfrowanie kryptogramu polega na odnalezieniu kolumny, lub wiersza oznaczonego literą z klucza, a następnie w danej kolumnie/wierszu odnajdujemy literę z kryptogramu. Litera tekstu jawnego to litera oznaczająca wiersz w przypadku, gdy na początku wybraliśmy kolumnę, lub oznaczająca kolumnę, gdy wybraliśmy na początku wiersz, w którym znajduje się odnaleziona litera. Na początku klucz nie jest w pełni znany, aby go wygenerować osoba deszyfrująca kryptogram musi znać jedynie wspomnianą wcześniej frazę (np. haslo) i umieszczać w kluczu kolejne litery odszyfrowanego tekstu jawnego.

Proste, łatwe i prawie przyjemne. Trzeba mieć jedynie świadomość tego, iż jest to szyfr podatny na złamanie. M.in. w przypadku długich tekstów, krótkich fraz początkowych oraz stosowania tej samej frazy początkowej do szyfrowania większej liczby wiadomości. Warto zapoznać się z informacjami zawartymi na Wiki oraz z narzędziem do jego łamania.

Cała procedura transferu domeny z Home.pl do OVH zajęła mi około 72h. Okazuje się, że przez telefon da się z Home.pl rozwiązać większość problemów stosunkowo szybko i sprawnie. W tym czasie zdążyłem się również przyjrzeć temu, co oferuje OVH dla właścicieli domen. Poniżej przedstawiam krótki spis zalet i wad ich usługi patrząc z mojego punktu widzenia.

Zalety:

• niska cena utrzymania domeny i możliwość zaparkowania jej u nich,
• możliwość dodawania rekordów AAAA (IPv6) z poziomu menadżera,
• możliwość tworzenia przekierowań WWW (nie tylko poprzez ramki),
• funkcjonalność DynDNS (DynHOST) dla hostów ze zmiennym IP.

Wady:

• nieintuicyjny interfejs menadżera,
• brak możliwości dodawania rekordów PTR (revDNS) dla IPv4/IPv6,
• brak możliwości dodawania rekordów NS dla wybranej strefy (delegowanie stref na inne DNS-y),
• wspominałem o nieintuicyjnym interfejsie?

To właściwie całkiem zabawne, że pomimo tego, iż IPv6 jest już wdrażane od dłuższego czasu to tacy operatorzy, jak Home.pl, czy też OVH nie wspierają go w pełnym zakresie. Wygląda na to, że dalej będę korzystał z usług Afraid.org do tego, aby tworzyć wpisy revDNS dla IPv6. Ew. pozostaje znaleźć darmowe DNS-y z wygodnym panelem do obsługi domeny i oddelegować ją tam (FreeDNS SGH odpada).

Szukałem prostego i lekkiego odtwarzacza o dużych możliwościach. Na stabilną i w pełni funkcjonalną wersję fooaudio zarówno wtedy, jak i teraz, trzeba było jeszcze poczekać. Aż w pewnym momencie pojawił się pomysł, aby zastosować najprostsze ze wszystkich rozwiązań - MPD.

MPD jest znany chyba każdemu użytkownikowi Linuksa z kilkuletnim stażem. Jest to mały i elastyczny odtwarzacz muzyczny działający w formie daemona. Idealny do pracy bez X-ów, czy też jako dodatek do minimalistycznych środowisk graficznych - zajmuje zaledwie około 8 mebibajtów w RAM-ie. Komendy można mu przesyłać bezpośrednio na gniazdko (np. dzięki programowi netcat), na którym nasłuchuje, lub korzystając z prostych nakładek graficznych. Z tych mniej zasobożernych warto wymienić pracującego pod konsolą ncmpc++ (2 MiB w pamięci).

Instalacja zarówno samego odtwarzacza, jak i interfejsu jest prosta, jak budowa cepa. Następnie wystarczy dodać odpowiednie symlinki odnoszące się do folderów z muzyką (aby nie grzebać się z plikiem konfiguracyjnym), zmienić prawa dostępu do własnego zbioru muzycznego oraz wykonać aktualizację bazy MPD. Voilà!

Proste, łatwe i przyjemne. A do tego ile możliwości.

Odpowiedź sobie na pytanie - czy mi ufasz? Nie, nie chcę znać Twojej odpowiedzi. Zadam jedynie kolejne pytanie. Dlaczego?

Jedną z kluczowych ról w naszym życiu odgrywa zaufanie. Niektórzy z nas mogą nawet nie zdawać sobie z tego sprawy, w jak wielu aspektach naszego życia pojawia się element zaufania. Wartość pieniądza, przepływ informacji, jakość wykształcenia, ochrona zdrowia, czy też, co najbardziej oczywiste, związki międzyludzkie. Wszystko to, co wymieniłem opiera się na zaufaniu. Zatem, jak określamy, co jest godne zaufania, a co nie?

Odpowiedź na powyższe pytanie zdecydowanie nie jest prosta. Można jednak zaryzykować stwierdzenie, iż każdy z nas posługuje się heurystykami, czyli uproszczonymi metodami wnioskowania. Dzięki nim każdy z nas, w sposób nie wymagający większego wysiłku, jest w stanie określić np. czy blogger jest godny zaufania, czy też nie i czy warto go czytać. Sposobów jest wiele - analiza jednego, napisanego przez niego artykułu, liczby czytelników RSS, komentarzy, czy też opinia autorytetu to niektóre z nich. Są metody gorsze i lepsze, ale najważniejsze jest to, iż każda z nich oszczędza nam sporo czasu oraz wysiłku. Do czego zmierzam?

Zacznijmy od początku, kiedy to użytkownik dokonywał samodzielnej oceny tego, z czym ma do czynienia. Spójrzcie chociażby na świat nauki, który funkcjonował jeszcze na długo przed pojawieniem się Internetu. Na początku, we wczesnych, małych grupach stosunkowo łatwo było określić, kto jest tym „lepszym” i godnym zaufania naukowcem. To było niemal naturalne. Aż do czasu kiedy to zaczęły zanikać bariery komunikacyjne, a liczba publikacji nie pozwalała na czytanie ich wszystkich na bieżąco przez jedną osobę. Potrzebny był filtr, który pozwoliłby na czytanie tylko tego, co jest wartościowe. Pojawiła się potrzeba stworzenia usystematyzowanego mechanizmu rozporządzania oceny jakości (w tym zaufania). Należało zacząć opierać się na opinii innych. Co czytać? Kto należy do naukowej elity? Wiele pytań można było zadawać. Jednak poradzono sobie z tym problemem. Obecnie, w dużym uproszczeniu, przy ocenie naukowców oraz ich dorobku bierze się pod uwagę m.in. liczbę publikacji oraz ich cytowań. Stworzono coś, co możemy nazwać systemem ratingowym. Co więcej, każda organizacja może samodzielnie wybierać listę najbardziej wiarygodnych czasopism naukowych (np. lista filadelfijska) i właśnie na nich bazując wdrożyć powyższy system.

Na podobnym rozwiązaniu (tj. liczba cytowań i ich jakość) opiera się m.in. wyszukiwarka Google. Bez systemu ratingowego byłoby również trudno korzystać np. z serwisów aukcyjnych typu Allegro, czy też E-bay. A popularny Digg, czy też Wykop? Ich zasada działania jest jeszcze prostsza. Użytkownik otrzymuje pewne dane na bazie, których jest w stanie podjąć decyzję. Co łączy te wszystkie systemy? To, iż są one systemami rozproszonymi. I to właśnie w decentralizacji leży ich siła. Czy dany sprzedawca jest godny zaufania? Tak, jest! Świadczy o tym, kilkaset pozytywnych głosów. Zdecydowanie łatwiej jest zaufać kilkuset osobom, niż samodzielnie sprawdzać, czy za wpłacone pieniądze otrzymamy pożądany produkt. Na podobnej zasadzie działa „web of trust”, czyli metoda uwierzytelniania stosowana m.in. w standardzie OpenPGP umożliwiającym stosowanie podpisu elektronicznego. W oparciu o „sieć zaufania” jesteśmy w stanie określić, czy danemu podpisowi elektronicznemu można ufać, czy rzeczywiście został złożony przez osobę, która widnieje w podpisie.

Zupełnie inaczej natomiast wygląda sytuacja w przypadku ściśle zhierarchizowanego kryptosystemu Public Key Infrastructure. Jest on obecnie stosowany w Polsce, a jego siła opiera się w głównej mierze na centrach certyfikacyjnych, które to możemy nazwać swego rodzaju centrami zaufania. To właśnie zaufanie do nich sprawia, iż osobę posługującą się certyfikatem wydanym przez takie centrum uznajemy za prawowitego jego właściciela, a podpis za należący do niej. Co prawda, na świecie istnieje jedno centrum działające na zasadzie „web of trust” (CAcert.org), ale jest to wyjątek. W gruncie rzeczy jest to system scentralizowany. Tylko jedno centrum poświadcza tożsamość osoby składającej podpis. W Polsce, jak i wielu innych krajach, istnieje również pojęcie certyfikatu kwalifikowanego, czyli takiego, który został wydany przez centrum certyfikacyjne zatwierdzone przez państwo. Tylko podpis związany z certyfikatem kwalifikowanym może być uznany za równy tradycyjnemu podpisowi. Jak widzicie, na szczycie hierarchii w PKI stoi najczęściej państwo.

Zauważcie, że w wielu krajach głównym źródłem zaufania jest właśnie państwo. Państwo ma monopol na zaufanie. Dlaczego wierzymy, że lekarz nam nie zaszkodzi? Odpowiedzią jest uczelnia, której działanie byłoby niemożliwe bez wydania odpowiedniego zezwolenia ze strony państwa. To samo ma miejsce w przypadku wszelkiego rodzaju praw jazdy, paszportów oraz dowodów osobistych. Natychmiast pojawia się proste pytanie - a co zrobić, gdy okaże się, że państwo nie jest godne zaufania? Każdy z nas doskonale wie, iż czytając tylko jedną gazetę można być łatwo zmanipulowanym. Również i państwo, dzięki temu, iż tak właściwie jest „źródłem zaufania”, może nadużywać swojej władzy. Pokładanie zaufania tylko w jednym elemencie może być zgubne. W szczególności, gdy jest to element przymusowy.

Jestem ciekaw, czy dałoby się wprowadzić system podobny do „sieci zaufania” właśnie w państwie. Spójrzmy na przykład z lekarzami i ich wykształceniem. Wyobraźcie sobie teraz, iż każdy może założyć uczelnię wyższą i rozpocząć kształcenie lekarzy. Państwo, o ile uczelnia się o to postara, może jednak wydać certyfikat, iż jednostka ta spełnia takie, a nie inne warunki. Oprócz państwa certyfikaty mógłby wydawać każdy np. ja, Ty, czy też Instytut Badań nad Jakością Kształcenia. I tylko od późniejszego pacjenta zależałoby, czy chciałby mieć do czynienia z lekarzem tańszym, lecz posiadającym „gorsze” wykształcenie, czy też droższym. O podobnej sytuacji można byłoby mówić również w przypadku innych zagadnień np. możliwości emisji własnych pieniędzy.

Uważam, że to właśnie użytkownik powinien być tym, który podejmuje decyzję. Systemy ratingowe są potrzebne, ale tylko jako źródło pewnych informacji, do których sam użytkownik siłą rzeczy samodzielnie zgromadzić nie może. To on powinien ocenić, czy są one godne zaufania. I co najważniejsze, powinien mieć dostęp do wielu rozwiązań tak, aby nie musiał polegać na jednym. Dlaczego państwo miałoby to robić za niego?

Do tej pory obsługą mojej domeny (w tym również udostępniała DNS), a mowa o 4zal.net, zajmowała się firma Home.pl. Ich zaleta to przede wszystkim miła i profesjonalna obsługa techniczna. Rzadko kiedy korzystam z tego typu usług, ale w przypadku domeny, której prawidłowa konfiguracja ma wpływ na większą liczbę osób, postanowiłem zrobić wyjątek. Większość spraw załatwiałem w ciągu kilku minut za pośrednictwem chatu, lub infolinii działających w trybie 24/7. Nawet authinfo nie był problemem - zgłoszenie wysłałem elektronicznie w okolicach północy, a otrzymałem go przed 8 rano. Problemem jest natomiast ich panel do zarządzania domeną, którego działanie bywa problematyczne. Zatem myślę o zmianie. I tutaj pojawia się pytanie.

Do kogo się przenieść i jak zrobić to w miarę bezboleśnie? Jak już wspomniałem - authinfo posiadam i zleciłem już usunięcie contactprivacy z bazy WHOIS. Domena jest obecnie opłacona do stycznia 2011 roku. Pozostaje jeszcze zdjąć clientTransferProhibited. Zależy mi na tym, aby docelowy opiekun domeny spełniał co najmniej cztery warunki:

• ważność domeny musi pozostać bez zmian (ew. mogę zapłacić za kolejny rok, jeżeli jest to wymagane przy transferze),
• koszt przedłużenia ważności domeny o rok powinien wynosić mniej, niż dotychczas (tj. 61 PLN z VAT za rok),
• powinien udostępniać własne DNS-y oraz panel/skrypty do zarządzania rekordami DNS (typu m.in. SRV, AAAA itp.),
• bezbolesny transfer.

Ja ze swojej strony rozważam OVH (chociażby ze względu na obecność SOAPI) oraz GoDaddy. Niemniej jednak zupełnie nie mam doświadczenia przy zabawie z domenami oraz obycia z firmami zajmującymi się ich sprzedażą. Stąd też pytanie do Was - co polecacie i dlaczego właśnie to?

PS. Czy mi się tylko wydaje, czy Firefox ma gdzieś moje „ ”, które wstawiłem specjalnie w tym celu, aby pozbyć się samotnych liter na końcu wierszy?

Widzę, że ostatnio wszyscy (patrz groszek, kUtek, Piotr Konieczny) piszą o tym, jak tworzyć hasła do różnych serwisów tak, aby były one bezpieczne, a przy okazji łatwe do zapamiętania, lub wygenerowania. Oto i mój sposób, o którym już kiedyś pisałem.

Na wstępie potrzebujemy generatora skrótów np. SHA1 (linuksowe sha1sum, długość 40 znaków, cyfry i małe litery). I teraz kolejno wpisujemy: login do serwisu (np. adam), dwukropek, domenę serwisu (nasz-przyklad.pl), dwukropek oraz hasło główne. Ten ostatni ciąg jest jedynym, który musimy pamiętać, a którego nie możemy ujawnić. Stanowi on bazę do generowania haseł. W efekcie mamy otrzymujemy coś takiego:

adam:nasz-przyklad.pl:tojesthasloglowne

Wystarczy teraz uruchomić generator skrótu (np. SHA1) i otrzymujemy nasze hasło do serwisu.

f5352047a17643166e40079594d857561a29937a

Zalety: każdy serwis otrzymuje inne hasło; na bazie jednego hasła nie sposób wygenerować pierwotnego ciągu znaków, a tym samym uzyskać dostęp do hasła głównego.

Wady: wymaga użycia generatora skrótu; wygenerowane hasła mogą nie spełniać wymagań stawianych przez serwis (zbyt długie, lub brak wielkich liter i znaków specjalnych).

W moim przypadku metoda ta sprawdza się całkiem nieźle w przypadku serwisów, do których dostęp uważam za krytyczny. W przypadku potrzeby zmiany hasła można do pierwotnego ciągu znaków, przed generowaniem hasła, dodać jako prefiks np. liczbę porządkową, co dla naszego przykładu wygląda następująco:

1:adam:nasz-przyklad.pl:tojesthasloglowne

c8ea2739e3a4b151b230c178a729b1fc9dec9abd

W wielkim skrócie - testowa wersja popularnego serwisu Wykop została skompromitowana. Cała baza danych w stanie sprzed kilku miesięcy (m.in. loginy użytkowników, ich adresy mailowe i skróty haseł) została skopiowana. Zarówno sami administratorzy, jak i artykuły w gazetach stwierdzają, iż było to „włamanie hackerów”. Bzdura.

Jak tępą łychą trzeba być, aby stwierdzić, iż było to włamanie? Testowy Wykop nie tylko miał publiczne IP i brak jakiegokolwiek filtrowania na linii klient-serwer, ale również posiadał puste hasło administratora bazy danych. Co więcej, sama baza danych była kopią bazy używanej w rzeczywistości, a hasła trzymane tylko i wyłącznie pod postacią skrótów, które podatne są na różne typy ataków.

Moim skromnym zdaniem Wykop powinien być wdzięczny osobom, które lukę w ich systemie wykryły i przy okazji czegoś ich nauczyły. Po pierwsze - „security through obscurity” to nie jest dobry sposób na bezpieczeństwo. Po drugie - polityka bezpieczeństwa musi być przemyślana i stosowana. Po trzecie - nie udajemy, że problem nie istnieje. Tako rzecze Zal.

Niech się cieszą, że baza nie trafiła do spamerów i nie muszą ponosić za to odpowiedzialności. Ech...