Cześć!

Dzisiaj przybywam trochę wcześniej niż zwykle i to z wartymi uwagi znaleziskami.

Przede wszystkim rzuć okiem na pierwszy link i załatw sobie klucz U2F (nie wiesz co to? wyjaśnienie). Taniej już nie będzie, a myślę, że Twoje bezpieczeństwo w Internecie jest warte więcej niż 50zł. Po drugie, załóż konto na OpenAI (link nr 3) i zacznij się bawić DALL-E, o którym pisałem już bardzo dużo w poprzednich wydaniach newslettera. Po rejestracji dostaniesz 50 kredytów, które wystarczą na wygenerowanie 200 grafik (po 4 grafiki per zapytanie).

Dzisiejsze wydanie newslettera jest sponsorowane przez Fabrykę Testów i to do nich należy link nr 7. Jeśli interesuje Cię temat testów, to zapraszam na ich bezpłatny webinar.

https://fabrykatestow.pl/webinar-cypress/

A teraz czas na zestawienie - miłej lektury życzę :)

◢ #unknownews ◣

1. Czarne klucze YubiKey 5 NFC i YubiKey 5C NFC taniej dla użytkowników Cloudflare
   https://blog.cloudflare.com/making-phishing-defense-seamless-cloudflare-yubico/
   INFO: Yubikey za 50 zł dla klientów CloudFlare (działa też na darmowych kontach). Należy się zalogować do panelu i kliknąć “claim my offer”. Limit 10 kluczy na klienta. Standardowa cena takiego klucza to 220-280zł.

2. Whisper od OpenAI - jak użyć go w praktyce?
   https://www.assemblyai.com/blog/how-to-run-openais-whisper-speech-recognition-model/
   INFO: Wszyscy rozpisują się od ponad tygodnia o nowym, udostępnionym za darmo modelu do rozpoznawania mowy od OpenAI. Jak jednak przetworzyć swój plik dźwiękowy na tekst w domowym zaciszu? od czego zacząć? Oto pełen poradnik. Pamiętaj, że do użycia modeli AI wymagana jest mocna karta graficzna (GPU).

3. DALL-E jest teraz dostępny bez listy oczekujących
   https://openai.com/blog/dall-e-now-available-without-waitlist/
   INFO: Do tej pory, chcąc uzyskać dostęp do wersji beta modelu DALL-E (służy do tworzenia obrazów na bazie opisu tekstowego), trzeba było wpisać się na listę oczekujących. Przeważnie czas oczekiwania wynosił 3-4 miesiące. Od dziś wspomniana lista została usunięta. Zachęcam do zakładania kont. Każdy dostaje kilka kredytów na testy.

4. Kindle Scribe - skrzyżowanie e-czytnika i notatnika
   https://www.amazon.com/dp/B09BS26B8B/
   INFO: Amazon rozpoczął przedsprzedaż swojego nowego urządzenia. Ponoć da się na nim pisać tak wygodnie, jak na papierze. Obecnie dostępna jest jedynie wersja 16GB, ale za jakiś czas mają dojść jeszcze wersję 32/64. Do urządzenia dołączane jest pióro, które nie wymaga ładowania.

5. Unredacted #004 - najnowszy numer magazynu na temat security
   https://unredactedmagazine.com/issues/004.pdf
   INFO: Łącznie 61 stron tekstów (po angielsku) na temat security. W tym numerze znajdziesz coś o crypto-OSINT (śledzenie przelewów), o prywatności w publicznych sieciach WiFi, o usuwaniu się z archiwum sieciowego i kilkanaście innych. Magazyn jest darmowy, więc znajdziesz w nim niestety sporo reklam.

6. Jak ograniczyliśmy koszty naszych serwerów o 80%, uciekając z AWS
   https://levelup.gitconnected.com/how-we-reduced-our-annual-server-costs-by-80-from-1m-to-200k-by-moving-away-from-aws-2b98cbd21b46
   INFO: Autor opisuje, jak jego firma obniżyła roczne koszty utrzymania serwerów z około 1 miliona dolarów, to około 200 tysięcy. Wybór serwerów dedykowanych w miejsce chmury często okazuje się bardzo dobrym pod względem finansowym posunięciem.

7. Webinar “Testy w Cypress dla początkujących” [sponsorowane]
   https://fabrykatestow.pl/webinar-cypress/
   INFO: Szukasz sposobu na skuteczną automatyzację testów? Chcesz mniej klikać, a więcej pracy oddać robotom? Podczas praktycznego webinaru przejdziemy od podstaw do działającego testu. Od razu napiszemy tak, aby łatwo było go utrzymać i rozwijać. Otrzymasz kod testu do samodzielnej zabawy. Do tego darmowy dokument “10 nieoczywistych poleceń w Cypress”. I to nie koniec niespodzianek! Zapraszamy 11 października, punktualnie o 20:00.

8. A gdyby tak wytłumaczyć nasz system liczenia czasu kosmitom? (humorystyczne)
   https://twitter.com/foone/status/1572260363764400129
   INFO: Czasami warto spojrzeć na coś, co dla nas jest oczywiste, ale z nieco innej perspektywy. Zabawny tekst, ale przedstawiający w interesujący sposób to, jak liczymy czas - miesiące, lata, godziny, lata przestępne itp. To wątek na Twitterze.

9. Google zepsuło wyszukiwarkę obrazków na licencji CC
   https://cogdogblog.com/2022/09/google-broke-cc-image-search/
   INFO: Próbowałeś ostatnio znaleźć jakąś grafikę na licencji Creative Commons (umożliwiają Ci one np. użycie tych grafik w swoich pracach) w Google Image Search? Możesz się zdziwić. Wyszukiwarka zwraca 3 (tak, trzy sztuki) zdjęć psów, 4 sztuki zdjęć kotów, a z niektórymi bardziej abstrakcyjnymi hasłami jest jeszcze gorzej. Ciekawa analiza problemu.

10. Szlifowanie języka obcego przez… rozmowę z AI
    https://talk.quazel.com/chat/try
    INFO: Wybierz jeden z 22 obsługiwanych języków, włącz mikrofon i zacznij rozmawiać z botem, ćwicząc w ten sposób wymowę słówek. Oczywiście pracy z nativem Ci to nie zastąpi, ale na pewno pozwoli wyćwiczyć mowę na takim poziomie, aby bot był w stanie zrozumieć, co chcesz mu przekazać. Można rozmawiać, korzystając z gotowych scenariuszy albo mówić co tylko się zechce i poprowadzić rozmowę o niczym. Usługa w okresie rozwoju projektu jest zupełnie darmowa.

11. Google Stadia przestanie istnieć 18 stycznia 2023
    https://support.google.com/stadia/answer/12790109
    INFO: Stadia to platforma z ‘grami w chmurze’. Wczoraj (29.09) Google oficjalnie potwierdziło śmierć projektu. Niestety Stadia nie zebrała bazy użytkowników, na jaką liczyło Google.

12. Automat podsumowujący filmy z YouTube
    https://www.summarize.tech/
    INFO: Wklejasz linka do dowolnego, anglojęzycznego materiału z YouTube, który koniecznie musi zawierać napisy (dołączone, tekstowe, a nie wbudowane). Następnie automat przepuści tekst przez GPT-3 i zdradzi w kilku zdaniach, o czym mówi autor filmu. Testowałem na kilku filmach. Działa naprawdę dobrze (testowałem na różnych anglojęzycznych vlogach, gdzie bohaterowie dużo mówią).

13. Spoofing zaproszeń do kalendarza - atak hackerski
    https://mrd0x.com/spoofing-calendar-invites-using-ics-files/
    INFO: Interesująca metoda modyfikacji zaproszenia w taki sposób, aby u ofiary pojawiły się fałszywe potwierdzenia obecności od innych zaproszonych osób. Technika ta może zostać wykorzystana do ataków phishingowych.

14. Sampler - narzędzie do wizualizacji danych w terminalu
    https://sampler.dev/
    INFO: Dane mogą pochodzić z outputu dowolnego polecenia. Można ustawić alerty na pewne zdarzenia (np. wartość wskaźnika wykracza poza skalę). Wszystko konfiguruje się w prostym pliku YAML

15. Canva Whiteboard - narzędzie do brainstormingu online
    https://www.canva.com/online-whiteboard/
    INFO: Narzędzie użyteczne np. przy spotkaniach online, do prowadzenia wspólnych notatek, prezentowania map myśli itp. Narzędzie jest w pełni darmowe.

16. Jak działa OAuth2? - skrajnie proste wyjaśnienie
    https://engineering.backmarket.com/oauth2-explained-with-cute-shapes-7eae51f20d38
    INFO: Jeśli nigdy nie miałeś do czynienia z Oauth2 i nie za bardzo rozumiesz, o co chodzi w tej technologii używanej np. do implementacji rozwiązać typu “zaloguj przez Facebooka”, to te proste, komiksowe grafiki wyjaśnią Ci to w możliwie prosty sposób.

17. Obchodzenie zabezpieczeń MFA przez… zamęczenie usera.
    https://www.bleepingcomputer.com/news/security/mfa-fatigue-hackers-new-favorite-tactic-in-high-profile-breaches/
    INFO: Ciekawa metoda polegająca na zasypywaniu atakowanego użytkownika ogromnymi ilościami zapytań o potwierdzenie chęci logowania do serwisu z nadzieją, że ostatecznie sie zgodzi. Co ciekawe… to ma prawo działać ;)

18. Testy aparatu w nowym iPhone 14 Pro
    https://www.austinmann.com/trek/iphone-14-pro-camera-review-scotland
    INFO: Trzeba przyznać, że zdjęcia z aparatu w najbardziej rozbudowanej wersji najnowszego iPhone robią niesamowite wrażenie. To już chyba ten moment, w którym fotograf-amator może zrezygnować z zakupu lustrzanki.

19. Jak mierzyć i poprawić czas startu własnej aplikacji na Androida?
    https://scribe.rip/how-to-measure-and-improve-your-android-app-startup-times-b174a758b40
    INFO: Przegląd narzędzi i metod na przyspieszanie startu aplikacji androidowych. Materiał oczywiście dla twórców aplikacji, a nie ich użytkowników.

20. JiraCLI - interfejs tekstowy do Jiry
    https://github.com/ankitpokhrel/jira-cli
    INFO: Nie lubisz UI w Jirze? Możesz wykonać/zautomatyzować podstawowe akcje z poziomu command line. Narzędzie jest dopiero rozwijane, więc jeszcze nie wszystkie opcje Jiry są obsługiwane, ale zapowiada się ciekawie.

21. Q - narzędzie do wykonywania zapytań SQL na… wszystkim w terminalu
    https://github.com/harelba/q?utm_source=tldrnewsletter
    INFO: Masz ochotę przetworzyć plik tekstowy? a może wyjście z polecenia ‘ps’, a może bazę SQLite? Nie ma znaczenia. Każdy z tych przypadków obsłużysz przez "Q”.

22. Darmowe narzędzia podnoszące bezpieczeństwo MacOS
    https://objective-see.org/tools.html
    INFO: Wszystkie toole są otwartoźródłowe. Wśród narzędzi znajdziesz firewalla, zaawansowany menadżer procesów, przeglądarkę procesów persystentnych, wykrywacz ransomware i kilkanaście innych.

23. Drobny (58/100 bajtów) snippet CSS, który wygląda dobrze na każdym urządzeniu
    https://gist.github.com/JoeyBurzynski/617fb6201335779f8424ad9528b72c41
    INFO: Nie ma znaczenia, na jakim urządzeniu pracujesz (desktop, tablet, smartfon), dodanie tej małej porcji kodu do strony sprawi, że będzie się ona dobrze wyświetlać wszędzie. Mowa oczywiście o ulepszaniu prostych blogów i stron domowych, a nie wielkich, zaawansowanych designach. Warto rzucić okiem w komentarze, bo tam znajdziesz kilka usprawnień dla tego kodu.

24. Elon Musk aktywował Starlinka dla mieszkańców Iranu
    https://www.teslarati.com/elon-musk-starlink-iran-us-sec-of-state/
    INFO: Ten ruch ma związek z chęcią obejścia cenzury i dezinformacji narzucanej na obywateli Iranu przez ich rząd. Oczywiście sankcje narzucone przez USA na Iran nadal obowiązują, ale akcja Elona jest legalna dzięki ostatniemu oświadczeniu sekretarza U.S. Więcej info w artykule.

25. Workerd - nanoserwisy w wersji self-hosted od Cloudflare
    https://blog.cloudflare.com/workerd-open-source-workers-runtime/
    INFO: Cloudflare od lat oferuje usługę Workerów (FaaS), ale ich testowanie we własnym labie wymagało postawienia środowiska ‘Miniflare’, symulującego zachowanie CF w wersji offline. Teraz nie tylko możemy debugować workery we własnym środowisku, a po prostu możemy je (za darmo) hostować u siebie i wykorzystywać w dowolnym celu. Na początku tekstu jest link do repozytorium na GitHubie

26. Cloudflare niebawem wystartuje z własną usługą eSIM
    https://techcrunch.com/2022/09/26/cloudflare-launches-an-esim-to-secure-mobile-devices/
    INFO: Firma znana z wielu rozwiązań związanych z security, planuje niebawem wejść na rynek z własną usługą eSIM, stając się tym samym wirtualnym operatorem, co umożliwi im zabezpieczenie przesyłanych danych na jeszcze wyższym (nawet ponad warstwą VPN-a) poziomie.

27. WrongSecrets - jak NIE przechowywać sekretów w aplikacji
    https://github.com/commjoen/wrongsecrets
    INFO: To dziurawa aplikacja od OWASP-a (w stylu gier typu hackme/crackme), zawierająca 24 zadania o różnym poziomie trudności, z których każde polega na dobraniu się do źle przechowywanych sekretów (danych typu login/hasło/klucz). Jest to aplikacja webowa, ale podczas zabawy zakładamy, że masz dostęp do źródeł, więc grę zacznij od wykonania klona na repozytorium.

28. Firefox Profilemaker - generator ustawień dla Firefoxa
    https://ffprofile.com
    INFO: Firefox posiada wiele ukrytych przełączników, które mogą wpłynąć na Twoją prywatność, jak i poziom bezpieczeństwa Twojego komputera. Za pomocą tego narzędzia możesz wyklikać sobie konfigurację, która spełnia Twoje wymagania i zaimportować ją do przeglądarki jako nowy profil użytkownika.

29. A gdyby tak zlikwidować strefy czasowe?
    https://qntm.org/abolish
    INFO: To, co znacznie ułatwiłoby pracę informatykom, niekoniecznie byłoby korzystne dla reszty społeczeństwa. Ciekawy zbiór przemyśleń związanych z konsekwencjami hipotetycznego usunięcia stref czasowych.

LINKI TYLKO DLA PATRONÓW

30. Darmowe, edytowalne grafiki SVG (możliwość animacji!)
    https://uw7.org/un_e3ba4cc08d846
    INFO: Dość obszerna kolekcja grafik z różnych kategorii. Każdą z nich możesz nie tylko pobrać i osadzić na swojej stronie (za darmo, w pełni legalnie, także do użytku komercyjnego!), ale możesz ją także modyfikować i to, co najfajniejsze, możesz animować jej elementy. Wybierasz przykładowo postać z obrazka i sprawiasz, aby podskakiwała, lub pojawiała się z opóźnieniem. Wszystko wykonane jako SVG+CSS+JS. Nie ma tam ciężkich, animowanych GIF-ów.

31. Narzędzie do wyszukiwania podatności w Nginx
    https://uw7.org/un_638787fb95884
    INFO: Jako parametr do aplikacji podajesz serwer, na którym działa nginx, a w odpowiedzi dostaniesz informacje, jakie niebezpieczne ustawienia wykryto na wskazanym serwerze i jakie ewentualne exploity można na nim uruchomić. Interesująca aplikacja, zwłaszcza dla pentesterów

Zobacz poprzednie wydania newslettera:

• [2022-09-23] Deadline nie mają sensu, crypto w Salwadorze i przyspieszanie CORS-a
• [2022-09-16] Człowiek handlujący dyskietkami, hackowanie urządzeń, kody QR i Kubernetes
• [2022-09-09] Gdzie migrować po Heroku, statystyki dla devów, stare grafiki w nowej odsłonie i kurs JQ
• [2022-09-02] Czy DALL-E zagraża grafikom, teoria martwego internetu, życie bez ciasteczek i wizualizacje JSONa
• [2022-08-26] Strony do 14kb, skąd pochodzi słowo BUG i śledzące Cię aplikacje

Lubisz czytać mój Newsletter? Podziel się nim proszę ze znajomymi ⬇️ 

Wersja webowa aktualnego wydania

Do zobaczenia za tydzień  👋

pozdrawiam Jakub 'unknow' Mrugalski https://mrugalski.pl

Jeśli nie chcesz więcej otrzymywać ode mnie wiadomości, zawsze możesz się wypisać.