Cześć!
Tak ja wiem, że jest długi weekend, ale ja dziś pracuję jak zawsze. Jeśli i Ty spędzasz dziś czas przy komputerze (albo przynajmniej masz chwilę, aby sprawdzić swojego maila), to przybywam z kolejną porcją subiektywnie najciekawszych treści z branży IT z ubiegłego tygodnia.
A teraz "pora na sponsora" — Ty także możesz zostać sponsorem i dotrzeć ze swoim przekazem do ponad 28 tysięcy odbiorców, głównie z branży IT.
Videopoint obchodzi właśnie swoje 10-lecie swojego istnienia i z tego okazji na poniższej stronie możesz odebrać (w zamian za zapis do newslettera) jeden z trzech darmowych kursów:
- Informatyka śledcza
- Jira
- Adobe Photoshop i Illustrator
https://s.mrugalski.pl/videopoint10
W katalogu znajdziesz także kilkadziesiąt mocno przecenionych kursów, tańszych o 50-85%. Promocja trwa tylko do niedzieli, 22.06.
◢ #unknownews ◣
-
iPhone 8 jako serwer OCR zasilany energią słoneczną?
https://terminalbytes.com/iphone-8-solar-powered-vision-ocr-server/
INFO: Autor przekształcił starego smartfona w samodzielny serwer OCR (rozpoznawanie tekstu na grafikach) oparty na frameworku Apple Vision, działający całkowicie off-grid dzięki zasilaniu ze stacji zasilania i paneli słonecznych. W ciągu roku urządzenie przetworzyło ponad 83 tysiące zapytań OCR i 48 GB obrazów, oszczędzając równocześnie sporo pieniędzy na kosztach energii elektrycznej. Projekt fajnie pokazuje, że lokalne przetwarzanie tego rodzaju danych może być nie tylko bardziej prywatne niż korzystanie z chmury, ale też zarazem może być tanie i proste do implementacji. -
Jakie gry królowały na Commodore 64 i PC 386 w latach 90? (film, 16m)
https://www.youtube.com/watch?v=Q39hjmcY-Yo
INFO: Subiektywna, ale i bardzo ciekawa opowieść o klasykach gier z lat 90. Wśród omawianych gier są np. Prince of Persia, Pipe Mania czy Giana Sisters. Warto rzucić okiem, by zobaczyć, jak wyglądały początki grania na domowym sprzęcie sprzed epoki internetu. Dużo nostalgii, ale i ciekawe obserwacje dotyczące użytkowania komputerów w czasach, kiedy większość rzeczy trzeba było wymyślić i rozgryźć samemu. -
Dlaczego potrzebujemy DNSSEC i co on właściwie robi?
https://howdnssec.works/why-do-we-need-dnssec/
INFO: Komiksowe wyjaśnienie tego, czym jest i jak działa tajemnicze DNSSEC w usłudze DNS. Sam protokół DNS powstał jeszcze w czasach, gdzie niewiele mówiło się o kwestiach bezpieczeństwa, więc nie dość, że sam protokół nie jest szyfrowany, to jeszcze nie ma w nim natywnie zaimplementowanych mechanizmów weryfikacji odpowiedzi. -
Jak migotanie PWM w LED-ach wpływa na nasze zdrowie?
https://caseorganic.medium.com/the-invisible-light-thats-harming-our-health-and-how-we-can-light-things-better-d3916de90521
INFO: Wymiana tradycyjnych żarówek na LED-y to już standard w wielu domach, ale nie wszystkie LED-y są takie same i niekiedy po zmianie żarówek może zmienić się nasz odbiór oświetlonej przestrzeni. W dłuższym czasie możemy w takim pomieszczeniu czuć się mniej komfortowo, czasami odczuwać większe zmęczenie, a u bardzo wrażliwych osób mogą pojawiać się migreny. Skąd to się bierze i jak pozbyć się tego negatywnego zjawiska? Tego dowiesz się z artykułu. -
Software 3.0 według Karpathy'ego – co to oznacza dla branży IT? (film, 40m)
https://www.youtube.com/watch?v=LCEmiRjPEtQ
INFO: Karpathy (jedna z ważniejszych osób z "rewolucji AI") omawia, jak zmienia się sposób tworzenia oprogramowania – przechodzimy od klasycznego kodowania (software 1.0), przez trenowanie modeli (software 2.0), do obecnego etapu, w którym pisanie promptów w języku naturalnym staje się formą programowania (software 3.0). Wystąpienie omawia też, jakie zmiany czekają deweloperów i jak projektować aplikacje dla świata z agentami AI – z tzw. "suwakiem autonomii", interfejsem dostosowanym do LLM, a nawet dokumentacją pisaną nie tylko dla ludzi. Dużo inspiracji i przemyśleń dla każdego, kto pracuje nad nowoczesnym softwarem. -
Dlaczego twoje AI daje nudne odpowiedzi? Wszystko przez temperaturę (film, 23 min)
https://www.youtube.com/watch?v=l1D_6c8uxlk
INFO: Autor ciekawie wyjaśnia, czym jest parametr temperatury w modelach językowych i dlaczego jego nieumiejętne użycie potrafi skutecznie zabić kreatywność (albo wręcz przeciwnie – wywołać niezłe zamieszanie). Z materiału dowiesz się, jak temperatura wpływa na sposób generowania odpowiedzi, czym różni się precyzja od dokładności i jak samodzielnie można manipulować tym parametrem. Dobry materiał dla osób, które korzystają z modeli językowych głównie przez API. -
Odbierz jeden z 3 darmowych kursów + skorzystaj z promocji [sponsorowane]
https://s.mrugalski.pl/videopoint10
INFO: Zapisując się do newslettera platformy Videopoint możesz odebrać jeden z trzech wideo kursów online. W ramach podlinkowanej promocji możesz także skorzystać z oferty mocno obniżonych cen na kursy techniczne. Promocja trwa tylko do niedzieli, 22 czerwca, więc musisz się spieszyć. -
Jak BEM, klasy utility i kaskadowe warstwy radzą sobie z nadpisywaniem właściwości w CSS
https://smashingmagazine.com/2025/06/css-cascade-layers-bem-utility-classes-specificity-control/
INFO: Masz na stronie np. kilka przycisków. Wszystkie mają być niebieskie, a jeden z nich zielony. Jest to raczej proste zadanie, o ile tylko nie ugrzęźniesz w morzu dziedziczenia w CSS. Wtedy wcześniej czy później do głowy przyjdzie Ci użycie "!important" i problem rozwiązany. Jak jednak zrobić to w sposób bardziej profesjonalny, czy to za pomocą klas użytkowych, metody BEM, czy warstw kaskadowych? Tego dowiesz się z artykułu. -
Jak pisać dokumentację z myślą o AI i systemach RAG?
https://docs.kapa.ai/improving/writing-best-practices
INFO: Czasy, w których piszemy dokumentację tylko dla siebie i kolegów z pracy, powoli się kończą. Coraz więcej osób korzysta ze sztucznej inteligencji i to ona, wraz z podpiętymi do niej systemami RAG, zaczyna taką dokumentację skanować. To, co jest przyjemne do czytania dla człowieka, niekoniecznie jest idealne do przetwarzania przez LLMy. Ten poradnik omawia, jak przygotować dokumentację jednocześnie dla ludzi, jak i maszyn. -
Jak wykorzystać Self-XSS jako pełnoprawny atak XSS dzięki iframom credentialless?
https://blog.slonser.info/posts/make-self-xss-great-again/
INFO: Podatności "Self-XSS" nie za często są nagradzane w programach bug bounty i firmy raczej przymykają na nie oko. Autor pokazuje, jak z pozornie niegroźnego Self-XSS-a zrobić realny atak Stored XSS z użyciem iframów z atrybutem credentialless. Opisuje łączenie tej techniki z login CSRF, clickjackingiem oraz nowym API fetchLater, umożliwiającym wysyłanie żądań nawet po zamknięciu strony. Coś dla wielbicieli web security i pentesterów. -
Unregistry - przesyłanie obrazów Dockera na serwery, bez rejestru
https://github.com/psviderski/unregistry
INFO: To narzędzie umożliwia bezpośrednie przesyłanie obrazów Dockera na zdalne serwery przy pomocy SSH, bez konieczności korzystania z zewnętrznych usług Docker registry. Przesyłane są tylko brakujące warstwy obrazu, co skraca czas transferu i przepustowość serwera. Rozwiązanie idealnie sprawdza się w CI/CD. -
Baza danych LLM-ów open source — porównanie modeli od Amazon, Google, Microsoft i innych
https://models.dev/
INFO: Strona gromadzi informacje na temat modeli językowych dostępnych na popularnych platformach, takich jak Amazon Bedrock, Azure, Google Cloud, Grog, Mistral. Porównuje informacje dotyczące tego, jaki input mogą one przetwarzać, jaki output dają, ile kosztują tokeny, jak duże mają okno kontekstowe i kilka innych parametrów. Jeśli szukasz chmurowego modelu językowego, który sprosta Twoim zadaniom, to jest to dobre miejsce do rozpoczęcia poszukiwań. -
Zabawne i nietypowe elementy w publicznym API Androida
https://voxelmanip.se/2025/06/14/jokes-and-humour-in-the-public-android-api/
INFO: Androidowe API skrywa sporo humorystycznych odniesień i easter eggów, których istnienie zwykle znane jest tylko nielicznym developerom. Niektóre z omawianych metod brzmią bardzo żartobliwie (np. isUserAMonkey), a jednak okazuje się, że czasami mają realne zastosowanie. -
Nowa unijna aplikacja do weryfikacji wieku - co naprawdę zmieni się od 1 lipca? (film, 20m)
https://www.youtube.com/watch?v=1oxo4GpGhDE
INFO: Media straszą obowiązkową aplikacją do potwierdzania pełnoletności w sieci i to już od 1 lipca, ale rzeczywistość wygląda zupełnie inaczej. W filmie znajdziesz techniczne wyjaśnienie działania systemu weryfikacji wieku rozwijanego przez UE, bazującego na Digital Services Act. Omawiane są m.in. założenia aplikacji mobilnej, sposób działania certyfikatów wiekowych, kwestie prywatności i zagrożeń związanych z brakiem wsparcia dla zero-knowledge proof. Dowiesz się też, na jakim etapie są prace nad projektem i w jakich krajach ruszy jego pilotaż. Dobra analiza i fakt-check medialnych rewelacji o "obowiązkowej aplikacji do internetu". -
SecureVibe - darmowe rozszerzenie do analizy bezpieczeństwa kodu w VSCode
https://marketplace.visualstudio.com/items?itemName=Watchen.securevibe
INFO: Jeśli próbujesz tworzyć aplikację za pomocą tzw. vibe codingu, jedynie opisując, jak mają działać (zamiast klasycznego pisania kodu), to istnieje szansa, i to całkiem spora, że tak wygenerowany kod będzie podatny na wiele rodzajów ataku. Ta wtyczka do VSCode pozwala w sposób automatyczny wykrywać tak zaimplementowane podatności i sugerować, w jaki sposób można je załatać. Do wszelkich sugestii wykorzystuje oczywiście modele językowe. -
Zakłócenia GPS nad Bałtykiem - dlaczego drony wariują? (film, 18m)
https://www.youtube.com/watch?v=aQqpDQFhWtk
INFO: W ostatni weekend doszło do serii incydentów z dronami nad polskim wybrzeżem. Urządzenia traciły kontrolę, znikały z radarów albo rozbijały się o drzewa. Wszystko wskazuje na zakłócenia sygnału GPS – ale czy za wszystkim stoi Rosja (jak sugerują wpisy w social mediach), czy to jednak ktoś inny? Autor przygląda się potencjalnym źródłom tych problemów, a przy okazji tłumaczy, czym jest GPS jamming i GPS spoofing. Ciekawe wyjaśnienie tematu. -
Jak lepiej debugować aplikacje z użyciem aplikacji strace?
https://rrampage.github.io/2025/06/13/strace-tips-for-better-debugging/
INFO: "Strace" to prawdopodobnie najczęściej używane narzędzie do debugowania procesów w środowisku linuksowym. Autor tego bardzo krótkiego wpisu podaje, z jakimi parametrami warto uruchomić tego toola, aby otrzymać jak najbardziej przydatny output, który ułatwi Ci analizę problemów. -
Co warto wiedzieć, zanim zaczniesz używać ARIA w kodzie HTML?
https://smashingmagazine.com/2025/06/what-i-wish-someone-told-me-aria/
INFO: Zamiast instrukcji krok po kroku, autor przedstawia sposób myślenia, który ułatwia świadome i bezpieczne używanie atrybutów ARIA na stronach. Artykuł omawia popularne błędy, jakie popełniają programiści podczas implementacji wspomnianych atrybutów i ról na stronach. Przydatna pigułka wiedzy. -
Jak założyć Internet Resiliency Club i przygotować się na awarie internetu
https://bowshock.nl/irc/
INFO: Według autora w Europie rośnie ryzyko poważnych przerw w dostępie do internetu, głównie z powodu wojny, geopolityki czy nawet zmian klimatu. Rządy i firmy nie są wystarczająco przygotowane na utratę łączności, a działania, jakie podejmują, są niewystarczające na wypadek nadchodzącego kryzysu. Autor sugeruje więc, aby tworzyć małe grupy wolontariuszy (nazywane właśnie "IRC"), których członkowie potrafiliby komunikować się bez centralnej infrastruktury, wykorzystując tanie rozwiązania takie jak radia LoRa i np. oprogramowanie Meshtastic. Coś dla cyfrowych preppersów. -
Genspark - nowa platforma z dostępem do licznych modeli AI
https://www.genspark.ai/
INFO: Trudno opisać w kilku zdaniach, czym jest Genspark, ponieważ na pierwszy rzut oka przypomina trochę ChatGPT, ale gdy się z nim dłużej popracuje, mocniej przypomina już Perplexity, a gdy pogrzebie się w opcjach jeszcze głębiej, okazuje się, że pozwala on generować obrazy, filmy, a nawet przygotowywać slajdy, arkusze kalkulacyjne czy też wykonywać bardziej zaawansowane operacje w internecie. Warto wejść do ustawień, aby zobaczyć, z iloma usługami potrafi się zintegrować. Usługa jest płatna (przy abonamencie rocznym, cena jak za ChatGPT czy Perplexity), ale na start dostajesz garstkę testowych tokenów. -
Czym jest scope w CSS i jak go sensownie wykorzystywać?
https://frontendmasters.com/blog/scope-in-css/
INFO: Pisząc CSS, nieświadomie cały czas pracujemy z czymś takim jak scope. To zakres działania stylów. W artykule pokazano różne techniki ograniczania wpływu stylów: począwszy od nadawania unikalnych klas, przez wykorzystanie CSS Modules i Shadow DOM, aż po nowe możliwości, jakie daje natywna reguła @scope. To użyteczna wiedza, dzięki której unikniesz nadpisywania się stylów w dużych projektach. Linkuję do slajdów z prezentacji, która omawia wspomniany temat. -
Atak "host header injection" w linku do resetu hasła
https://infosecwriteups.com/how-i-hacked-accounts-using-host-header-injection-in-password-reset-link-2774431eed89
INFO: Autor pokazuje sprytną metodę na to, jak można było w niektórych serwisach podmienić link do resetu hasła za pomocą prostego nadpisania nagłówka "host" w protokole HTTP. W wyniku takiego ataku użytkownik otrzymywał e-mail z linkiem, który prowadził do domeny kontrolowanej przez atakującego, co pozwalało na przejęcie konta ofiary. -
Delorean – legenda z filmów vs rzeczywistość (film, 26m)
https://www.youtube.com/watch?v=U9C0VdAaJnY
INFO: Jeśli znasz serię filmów "Powrót do przyszłości", to z całą pewnością kojarzysz kultowy samochód DeLorean DMC-12. Ten pojazd stał się legendą, ale jego konstrukcja, historia i awarie sprawiają, że bardziej pasuje do kategorii "motoryzacyjnych ciekawostek" niż sportowych ikon. W materiale poznasz kulisy powstania tego nietypowego samochodu – od finansowania przez brytyjski rząd, przez składanie z elementów różnych marek, aż po absurdalne problemy produkcyjne (np. fabryczna wadliwa śrubka uniemożliwiająca jazdę). Interesujący film i to nie tylko dla fanów motoryzacji. -
Użyj mirroringu ruchu do debugowania mikroserwisów w środowisku zbliżonym do produkcyjnego
https://www.infoq.com/articles/microservices-traffic-mirroring-istio-vpc/
INFO: Mirroring pozwala kopiować prawdziwe żądania użytkowników do testowej wersji usługi bez wpływu na działanie systemu produkcyjnego, co umożliwia wykrywanie trudnych do powtórzenia błędów, testy regresji i profilowanie wydajności. Artykuł omawia trzy poziomy mirrorowania. Autor wspomina też o kwestii bezpieczeństwa (anonimizacja danych) i kwestii kosztów, pokazując, jak efektywnie wdrażać tę technikę w kontenerowych środowiskach opartych na Kubernetesie lub EC2. -
Analiza ataków phishingowych Adversary-in-the-Middle (AitM) i ich ekosystemu
https://blog.sekoia.io/global-analysis-of-adversary-in-the-middle-phishing-threats/
INFO: Ten artykuł to omówienie pełnego, liczącego 45 stron raportu na temat wspomnianych ataków (PDF jest na stronie). Jeśli nie orientujesz się, czym są ataki "adversary in the middle", to polegają one na jednoczesnym podszywaniu się pod dwie strony ataku, czyli np. usługę chmurową i użytkownika. Chmura dostaje część prawdziwych, a część zmodyfikowanych odpowiedzi od użytkownika i podobnie dzieje się w drugą stronę. Atakujący pełni tutaj rolę czegoś na wzór modyfikującego proxy. Artykuł opisuje, jak realizuje się tego typu ataki, jak działają aplikacje i serwisy do ich przeprowadzania i jak tego rodzaju ataki można wykryć. Dobra lektura dla pentesterów i fanów cybersecurity. -
Jak Pinterest wdrożył strategię Docs-as-Code i zbudował własne narzędzie PDocs
https://medium.com/pinterest-engineering/adopting-docs-as-code-at-pinterest-4f18ad169c25
INFO: Pinterest porzucił klasyczne wiki na rzecz podejścia Docs-as-Code, w którym dokumentacja tworzona jest jak kod: wersjonowana, przeglądana w pull requestach, a do tego osadzona obok kodu źródłowego. Aby zrealizować taką wizję, zbudowano własne narzędzie o nazwie PDocs, które automatycznie wykrywa i renderuje dokumentację z wielu repozytoriów na wspólnej stronie. System wspiera m.in. tryb roboczy z podglądem zmian, automatyczne indeksowanie w wyszukiwarce i oznaczanie projektów jako draft/published. Ciekawe podejście. -
Jak jedna źle skonfigurowana pamięć podręczna położyła cały system
https://dzone.com/articles/when-caching-goes-wrong-how-one-misconfigured-cach
INFO: Trudno uwierzyć, że pojedyncza zmiana w konfiguracji cache może doprowadzić do pełnego przestoju systemu, ale właśnie taką historię opisuje ten artykuł. Autor przechodzi krok po kroku przez to, jak doszło do awarii, jakie symptomy powinny były wzbudzić czujność znacznie wcześniej i czego nauczyli się z tej sytuacji. Przydatna analiza szczególnie dla DevOpsów i backend developerów pracujących przy systemach o dużym obciążeniu. -
Reactive Signals w Pythonie — jak ich używać i kiedy mają sens?
https://bui.app/the-missing-manual-for-signals-state-management-for-python-developers/
INFO: Artykuł pokazuje, jak użycie podejścia opartego na sygnałach może uprościć zarządzanie stanem w aplikacjach pythonowych, w których zależności między danymi i komponentami stają się trudne do kontrolowania. Tłumaczy, czym są Signals, Computed i Effects, jak tworzą one automatycznie aktualizujący się wykres zależności oraz kiedy warto je zastosować. -
Częste ponowne logowanie pogarsza bezpieczeństwo?
https://tailscale.com/blog/frequent-reauth-security
INFO: Wiele lat temu uczono, że częste wylogowywanie użytkownika i kazanie mu zalogować się ponownie to jedna z metod na zwiększenie bezpieczeństwa aplikacji. Poza tym, że jest to niezwykle frustrujące, to jak się okazuje, może to doprowadzić do obniżenia bezpieczeństwa. Dlaczego tak się dzieje i dlaczego warto od tego częstego logowania odchodzić? Tego dowiesz się z artykułu. -
Konfiguracja interfejsów sieciowych w Linuksie - poradnik
https://www.freecodecamp.org/news/configure-network-interfaces-in-linux/
INFO: Poradnik wyjaśnia, czym są interfejsy sieciowe, jakie są ich typy, jak je prawidłowo skonfigurować, w jaki sposób przypisać do interfejsów statyczne i tymczasowe adresy IP, jak wykorzystywać narzędzia takie jak IP, ifconfig czy korzystać z usługi Netplan. Przy okazji autorka wspomina o tym, czym jest bridge i jak można różne interfejsy spiąć w jednego bridge'a. To podstawowa wiedza dla większości adminów linuxowych. -
Jak działa planowanie zapytań SQL - wizualizacja decyzji PostgreSQL
https://jnidzwetzki.github.io/2025/06/03/art-of-query-optimization.html
INFO: Autor opisuje stworzone przez siebie narzędzie Plan Explorer, które umożliwia analizę i wizualizację decyzji podejmowanych przez optymalizator zapytań PostgreSQL. Narzędzie generuje wykresy pokazujące, kiedy zmienia się plan wykonania zapytania, jak różnią się szacowane i rzeczywiste koszty oraz jak liczba wynikowych rekordów wpływa na wybór operatorów (np. użycie indeksu vs. pełne skanowanie tabeli). Plan Explorer działa zarówno lokalnie (z użyciem PGlite w przeglądarce), jak i w trybie serwerowym, co umożliwia testowanie rzeczywistego serwera PostgreSQL z zaawansowanymi rozszerzeniami i niestandardowymi modelami kosztów. Treść dla bardziej zaawansowanych użytkowników Postgresa lubiących optymalizować zapytania. -
Zmiany w specyfikacji HTML ochronią przed atakiem mXSS?
https://bughunters.google.com/blog/5038742869770240/escaping-and-in-attributes-how-it-helps-protect-against-mutation-xss
INFO: W ramach aktualizacji specyfikacji HTML zmieniono sposób interpretacji niektórych atrybutów i wartości, co ma zapobiegać tzw. mutation-based XSS (mXSS), czyli atakom wykorzystującym mechanizmy parsowania DOM. Dzięki tym zmianom implementacje przeglądarek staną się bardziej przewidywalne i bezpieczniejsze dla użytkowników. To ważny krok w kierunku pozbycia się całej klasy nietypowych, ale i groźnych odmian ataków XSS.