Vechi, da bun

05. May 2012 · 1 comment · Categories: ganduri, tech · Tags: , ,

De ceva timp tot incerc sa fac modemul de la Orange (un E160), sa functioneze pe MacOSX. Am descarcat ultima versiune a aplicatiei de conectare de pe site-ul Orange Romania, am instalat, insa nu mergea si pace. Sistemul de operare vedea device-ul (in faza initiala de usb mass storage device), aplicatia trecea device-ul in modul modem insa mai departe nu se intampla nimic interesant. Am incercat toate variantele posibile si imposibile: sters, reinstall, reboot, sters preferinte, grep pe disc dupa chestii ascunse … nimic. Nu mergea si pace.

Azi am reusit. Am instalat aplicatia veche veche, cea care vine odata cu modemul. E antica si arata cel putin ciudat, insa are o calitate esentiala: face modemul sa functioneze :)

Review Google Drive

04. May 2012 · 2 comments · Categories: ganduri, tech · Tags: , ,

In urma cu putin timp, Google a lansat Google Drive, un produs asupra caruia s-au facut multe speculatii inca de acum 2-3 ani. Bineinteles ca m-am inscris de indata ce a fost posibil :) A trebuit sa astept cam doua zile pentru activarea serviciului, insa intr-un final am avut acces si l-am putut testa. Prima impresie: un serviciu facut pe genunchi ce a fost lansat in mare graba.

Pozitive

  1. Spatiul oferit. Cea mai importanta caracteristica a Google Drive din punctul de vedere al utilizatorului final este spatiul pus la dispozitie. Aici cred ca cei de la Google au ales corect, cei 5G “la liber” fiind un punct de start deosebit de generos.
  2. Disponibilitatea multi platforma. In momentul lansarii, Google Drive poate fi utilizat pe Windows, MacOSX, Android. Si in curand o sa fie disponibil si pe iOS.

Negative

  1. Interfata web. Stilul recent adoptat de Google (pe care il aplica la orice aplicatie fac), duce si aici la probleme crunte de vizibilitate si intelegere a interfetei, fiind nevoie de multe ori de dus mouse-ul peste anumite elemente ale interfetei, pentru a afla din message tips ce anume ar trebui sa se intample.
  2. Partajare prea complexa. Partajarea unui fisier din Google Drive este o adevarata aventura. Marcarea unui fisier (sau director) pentru share pe web necesitand prea multe operatii. Presupunand ca ai reusit sa gasesti metoda prin care sa partajezi un fisier, pentru a anunta prin mail ceilalti utilizatori este nevoie sa te iesi din dialogul de share si sa cauti un alt dialog, “email collaborators”. Probabil era prea dificila adaugarea unui radio/checkbox “also, notify the above users”.
  3. Link-uri de share inutile. Pentru cei care sa gandesc ca vor pune documente pe Google Drive si apoi vor trimite link-urile pe ym/mail/etc, urmand ca destinatarii sa poata descarca fisierele asociate le pot spune ca ii asteapta o surpriza. Implicit, link-urile generate de Google Drive sunt pentru web view. Mai precis, destinatarul cand da click pe link, ajunge intr-o pagina in care eventual se face si un view al fisierului si abia de acolo poate opta pentru “download”. Imaginati-va ce inseamna pentru Firefox o randare web a unui fisier text de 40MB >:)
  4. Upload incomplet. Dialogul de upload al unui fisier in Google Drive (pentru directoare e nevoie de instalarea unei aplicatii) nu contine o informatie pe cat de elementara pe atat de utila: viteza de upload si ETA. Prin urmare, n-ai nici cea mai vaga idee “cu cat merge”. Aceeasi problema o are si aplicatia standalone, prin urmare cred ca e omisiune voita a acestei informatii.
  5. Izolarea. Cea mai mare problema a Google Drive (IMHO) este canu se integreaza cu nimic (asa zisa integrare cu Google Docs nu este integrare, Google Docs fiind practic construit peste Google Drive). Ma asteptam ca din gmail sa pot trimite un mail la care sa atasez un fisier sau un director. Sau sa pot importa in Picasa poze dintr-un director aflat pe Google Drive. Sau sa pot salva atasamente din mail in Google Drive. Sau … you name it. Sunt multe lucruri faine care se puteau face.

Concluzii

Una peste alta eu imi mentin afirmatia ca Google Drive a fost facut si lansat in graba iar lipsa integrarii cu GMail este un mare mare minus. Sunt convins ca in timp Google va lucra si pe partea de integrare cu GMail si lucrurile vor fi ok, insa pentru asta trebuie sa avem rabdare si incredere in ei. Si nu stiu cati dintre noi sunt dispusi sa faca asta.

Schimbari in Skype

04. May 2012 · Write a comment · Categories: ganduri, tech · Tags: ,

In articolul de aici, se detaliaza schimbarile majore anuntate de Microsoft in modul de functionare al Skype. Pana acum, un utilizator ce dispunea de resursele tehnice necesare (memorie, largime de banda, etc) putea juca rolul de supernode, acest lucru contribuind masiv la natura descentralizata si sa spunem, sigura, a retelei de comunicatii.

Cei de la Microsoft, au ajuns la concluzia ca nu e bine ca utilizatorii obisnuiti sa fie supernodes, pentru ca acestia nu sunt dedicati rolului de supernod si prin urmare au decis instalarea de sute de servere cu Linux, al caror singur rol sa fie functia de supernodes. Din punct de vedere tehnic, solutia de la Microsoft e bine gandita, aceste servere dedicate indeplinind mult mai bine si mai rapid functia de supernodes decat cele de pana acum. Insa in acelasi timp, aceasta schimbare la nivel de protocol aduce cu sine doua probleme fundamentale, ce vor da destul batai de cap celor de la Microsoft:

1. controlul supernodes-urilor trece de la utilizatori anonimi, obisnuiti, la o companie.

Microsoft spune ca traficul asociat apelurilor de voce va fi in continuare de tip p2p, insa luand in calcul ca Skype este totusi un protocol proprietar, criptat, cine poate garanta in noile conditii ca traficul de tip p2p din timpul unei convorbiri chiar este traficul de voce real ? Sau ca traficul trimis catre supernodes este doar trafic de control ? >:)

2. expunerea la atacuri de tip DoS/DDoS

Daca pana acum Skype putea fi atacat prin atacuri de tip DoS/DDoS la nivel de servere de autentificare (cele centrale), odata cu schimbarea protocolului mai apare un vector de atac: supernodes-urile. Gruparea elementelor critice de comunicatii ale Skype intr-un singur loc (sau mai multe, insa tot un numar finit si mic ramane) nu este altceva decat o invitatie deschisa. Si nu cred ca va dura mult pana vor apare si invitatii ;)

Google schimba preturile

03. May 2012 · 2 comments · Categories: ganduri, tech · Tags: ,

Anul trecut prin iulie, remarcam cu deosebita suprindere ca optiunile de spatiu de stocare suplimentar de la Google erau super accesibile: doar 5$/an pentru 20G. Bineinteles, imediat am aplicat pentru planul de 20G. Desi mi-am urcat cateva sute de poze pe picasa n-am reusit sa depasesc mai mult de 4-5GB din spatiu total alocat. Am incercat sa ma comport ca ‘average joe’.

In urma cu cateva zile, primesc un mail de la Google in care sunt informat ca planurile de tarifare s-au schimbat. Surpriza … in loc de 5$/an pentru 20G trebuie sa platesc 2.5$/luna pentru 25GB. Ceea ce mie mi se pare cam mult. Bineinteles ca m-am intrebat de ce o schimbare atat de brusca si abrupta a politicii de preturi. Raspunsul e proaspatul serviciu: Google Drive.

Pana sa apara Google Drive, spatiul de stocare suplimentar pe care il puteai lua de la Google nu prea aveai la ce sa-l folosesti (in afara de Picasa). Sa fim seriosi, nimeni nu are > 1G de documente in Google Docs sau mai mult de 7G de mail in GMail. Prin urmare Google isi permitea sa vanda optiuni de stocare generoase la preturi foarte mici, pentru ca stiau ca oricum vor fi putini cei care vor folosi mai mult de 30-40% din spatiul de stocare. Insa odata cu Google Drive, cand oamenii au (cel putin in teorie) la ce sa foloseasca spatiul de stocare, Google a aliniat rapid preturile la cele din piata.

Pentru cei care au Google Apps for Business, din cate am vazut pretul e de 4$/20G/luna/user . Merita ? Eu zic ca nu.

PS: Eu deja m-am apucat de curatat pozele din Picasa. Ma pregatesc intens pentru revenirea la “baza” :)

Timthumb.php

24. April 2012 · Write a comment · Categories: security, tech · Tags:

Script-ul din titlu este o jucarie ce se poate folosi pentru incarcarea si redimensionarea imaginilor luate de pe un set restrans de site-uri web. Pentru a fi “sigur” lista de site-uri de pe care accepta pozele este restransa si statica. Desi nu pare ca aduce cine stie ce functionalitati fara de care nu putem trai, acest script este folosit in aproape tot ce inseamna tema de wordpress. Iar wordpress este in momentul de fata unul din cele mai folosite cms-uri. Ei bine timthumb.php are doua bug-uri. Unul e de design iar altul de implementare.

Primul, cel de design este ca permite stocarea un cache-ul local a unui fisier remote ce poate fi specificat printr-un url, ca de ex: ihack.blogspot.com/2012/02/01/local_file_manager.php . Daca rulam http://ourwebserver/Timthumb.php?file=ihack.blogspot.com/2012/02/01/local_file_manager.php , atunci timthumb.php va descarca fisierul respectiv si il va stoca in directorul cache. Bineinteles, toate fisierele directorului cache pot fi accesate de oriunde, fara a trece printr-un mecanism de filtrare/logging/etc . Yey :((

Al doilea bug, care in relatie cu primul produce o combinatie exploziva, este faptul ca nu se verifica cum trebuie url-ul specificat ca parametru, blogspot.com.i.hack.ro fiind la fel de valid ca si i.hack.blogspot.com .

Aspectul si mai grav este un wordpress cu toate patch-urile aplicate (latest.tar.gz) insa cu o tema ce foloseste o versiune veche a timthumb.php este la fel de vulnerabil ca un wordpress din 2011.

Interesant, nu ? De ce am povestit toate astea ? Ei bine, in urma cu o saptamana ma uitam pe site-ul unui amic care tocmai primise sesizare de la firma de hosting ca ceva e in neregula cu fisierele lui si am gasit exact situatia de mai sus: wordpress cu toate update-urile la zi, insa cu o tema comerciala outdated.

PS: Timthumb.php mai este cunoscut si sub denumirea de thumbs.php si cine mai stie sub ce alte nume exista.

Aplicatii bancare mobile

23. April 2012 · Write a comment · Categories: ganduri, security, tech · Tags:

Un articol ce sintetizeaza foarte bine problemele majore ale aplicatiilor bancare mobile, puteti citi aici. Tare as fi curios cum evalueaza oamenii “obisnuiti” de la noi aceste aplicatii. Mai ales daca luam in calcul faptul ca romanii, mai mult decat alti europeni, au o predispozitie spre a detine si a utiliza la extreme dispozitivele mobile de ultima generatie :) Oare se gandeste cineva la posibilele probleme si riscuri la care poate fi expus cu usurinta ? Eu cred ca nu.

Din articolul acela se poate construi un proiect frumos: o mana de oameni care inteleg despre ce este vorba in security, pot fi invitati intr-un tur “privat” la una sau mai multe banci pentru a vedea exact (daca si) cum banca/bancile isi protejeaza clientii in fata unor astfel de atacuri.

PS: Pentru cine nu stie: o astfel de vizita inseamna semnarea unui NDA care restrictioneaza drastic ceea ce se poate face public si ce nu :)

Regula 40/40/20

19. April 2012 · Write a comment · Categories: security, tech

Regula 40/40/20, a lui Sean Donelan’s (pe care am gasit-o intr-o prezentare de la NANOG), spune asa:

  • 40% din utilizatori sunt implicati si atenti, si isi vor aplica patch-urile de securitate proactiv;
  • la 40% din utilizatori le va pasa la un moment dat (variabil) si probabil ca isi vor aplicata patch-urile de securitate sau isi vor dezinfecta masinile;
  • 20% din utilizatori nu vor raspunde niciodata solicitarilor de rezolvare a problemelor;

Din experienta, eu zic ca regula asta e adevarata :D

Status update – Despre ING::HomeBank

17. April 2012 · Write a comment · Categories: ganduri, tech · Tags: ,

Pentru ca dupa cum spuneam si in articolul initial despre ING::HomeBank, nu m-a platit si nu m-a influentat nimeni sa scriu ce am scris si pentru ca ceea ce a urmat a fost o experienta pozitiva si surprinzatoare, ma simt dator sa spun si restul povestii.

Primul feedback la articolul meu a venit chiar din partea celor de la ING prin intermediul contului de twitter, care subliniau ca un serviciu foarte util este si suportul tehnic live, de asemenea un nou serviciu lansat curand. Legat de acest serviciu eu n-am de adaugat decat ca nu am avut nici cea mai vaga idee despre existenta acestui serviciu si acest fapt ar trebui sa fie unul pozitiv pentru ca IMHO daca nu discuti cu suportul tehnic inseamna ca n-ai probleme :)

Am mai primit de asemenea feedback prin comentarii la articol. comentarii care subliniau alte aspecte pe care eu nu le-am mentionat. Si aici reiau precizarea facuta in articolul initial: eu am povestit despre acest serviciu in felul meu si doar din punctul meu de vedere. Prin urmare, daca eu nu folosesc anumite servicii mi se pare normal ca nici macar sa nu le mentionez :) .

Insa cea mai importanta si mai placuta urmare a articolului meu este faptul ca la scurt timp dupa postarea lui, m-a sunat o persoana de la ING. Chiar daca mi-ar place, nu pot face publice detalii despre aceasta persoana intrucat la momentul discutiei nu mi-a trecut prin cap ca voi mai scrie despre asta si prin urmare nu am cerut acceptul pentru publicarea datelor sale. Oricum, pot sa spun ca persoana in cauza chiar este in masura sa transforme mare parte din discutia avuta in realitate (in masura in care este fezabil, desigur). Discutia a fost lunga si cel putin din punctul meu a fost deosebit de utila. Am fost foarte surprins ca o persoana in carne si oase ce are nume si prenume si probabil stie sa si zambeasca (n-am nimic cu operatorii de la suport/customer */etc dar cateodata ai impresia ca vorbesti cu roboti) e interesata de lamuriri suplimentare la problemele mele. Stiti ce mi-a placut cel mai mult in toata discutia ? Faptul ca am comunicat (amandoi) clar si intr-un mod obiectiv. Am incercat sa intelegem cat mai bine punctul de vedere al celuilalt si acolo unde a fost cazul, sa gasim posibile solutii. Daca ar fi sa caracterizez discutia avuta printr-o fraza, as spune ce spunea Katsumoto in The Last Samurai: “This was a very good conversation“.

PS: Pentru curiosi, nu: n-am primit nici o inlesnire de plata/comisioane/etc, nu m-au platit, nu ma trimit in Peru, Tenerife sau Hawaii :)

« Older articles

With Picasa plugin by Wott

Switch to our mobile site