Autor: antek

Chcąc zalogować się na stronę MS Teams, popełniłem literówkę i wpisałem „teams.microsoft.con” zamiast „teams.microsoft.com„. Ku mojemu zaskoczeniu, mimo błędu zostałem przekierowany na właściwą stronę. Zainteresowany tym zjawiskiem, postanowiłem zgłębić temat – przydało się AI 😉 i odkryłem ciekawe podejście do ochrony marek w internecie. To nie był przypadek, a celowy mechanizm bezpieczeństwa…

O co chodzi z tą defensywną rejestracją?

Okazuje się, że duże firmy jak Microsoft, Google czy Amazon regularnie kupują domeny zawierające typowe literówki swojej głównej nazwy. Nie robią tego dla zabawy – to świadoma strategia bezpieczeństwa. Mechanizm jest prosty:

właściciel marki wykupuje z wyprzedzeniem wszystkie domeny, które mogłyby powstać przez przypadkowe błędy w pisowni oryginalnej nazwy, a następnie ustawia automatyczne przekierowanie na właściwą stronę.

Dlaczego to takie istotne? Cztery główne powody rzucają się w oczy:

1. zapobiega to atakom phishingowym. Gdyby Microsoft nie posiadał domeny „microsoft.con”, ktoś złośliwy mógłby ją kupić i stworzyć fałszywą stronę wyłudzającą dane.
2. pomaga to złapać ruch użytkowników, którzy popełnili literówkę. Zamiast trafić na stronę błędu, docierają oni do właściwego celu. W tym przypadku jestem ciekawy czy firmy kategoryzują, który ruch pochodzi z przekierowań a który z głównej domeny (pewnie tak jest – wszystkie dane są dla firm ciekawe 🧐)
3. znacząco poprawia to doświadczenie użytkownika. Nie musimy się frustrować, gdy pomylimy się o jedną literę.
4. chroni to reputację marki, pokazując, że firma dba o swoich klientów.

Jakie literówki firmy najczęściej zabezpieczają?

Podczas badania tematu, natknąłem się na powtarzające się wzorce błędów, które firmy zabezpieczają. Nie są to przypadkowe kombinacje – to przemyślana strategia oparta na najczęstszych pomyłkach, które popełniamy podczas wpisywania adresów stron.

Najczęściej zabezpieczane są:

• Domeny z brakującą literą – Amazon jest świetnym przykładem. Jeśli wpiszesz „Amazn.com” (zapominając o „o”), i tak trafisz na właściwą stronę.
• Literówki z przestawionymi literami – to częsty błąd przy szybkim pisaniu. Spróbuj wpisać „Namechaep.com” a trafisz do Namecheap.com. Okazuje się, że zamiana liter „a” i „e” to powszechna pomyłka.
• Pomyłki z sąsiednimi klawiszami – nasze palce czasem uderzają obok właściwego klawisza. Walmart zabezpieczył się kupując „Walmsrt.com” – „s” jest tuż obok „a” na klawiaturze.
• Zapomnienie kropek – klasyka gatunku: „wwwApple.com” (bez kropki po „www”) przekierowuje do Apple.com.
• Warianty końcówek – firmy często rejestrują swoje domeny z różnymi TLD (.com, .net, .org), żeby nikt nie mógł ich podrobić za pomocą podobnej domeny z innym rozszerzeniem.

Realne przykłady z mojego doświadczenia

Po odkryciu mojej literówki z „teams.microsoft.con” zacząłem eksperymentować z innymi popularnymi serwisami i faktycznie, wzorzec się powtarza. Duże firmy wyraźnie inwestują sporo w tę formę ochrony.

Przetestowałem kilka wspomnianych wcześniej przykładów:

• Wpisując „Amazn.com” (bez „o”) zostałem bezproblemowo przekierowany do Amazon.com. To samo w przypadku „Amzon.com” (bez „a”)
• „wwwApple.com” (bez kropki po „www”) zadziałało perfekcyjnie, kierując mnie do głównej strony Apple.
• „Namechaep.com” z przestawionymi literami „a” i „e” również zadziałało, kierując na Namecheap.com.
• Ciekawym przykładem jest „fb.com” -> „facebook.com”. W tym przypadku myślę, że dla ułatwienia wyszukiwania posłużyli się znanym skrótem marki.
• „Walmsrt.com” z literówką „sr” zamiast „ar” przekierowywało do Walmart.com.
• „E-bay.com” ze znakiem „-” przekierowuje na „Ebay.com”
• „Coke.com” przerzuca na „Coca-cola.com”
• Z ciekawości sprawdziłem też „google.con” – jak można było się spodziewać, Google również zabezpieczyło tę domenę.

Co ciekawe, mniejsze lub nowsze firmy rzadziej stosują tę praktykę w pełnym zakresie. Dla przykładu, niszowe domeny z literówkami lub mniej popularne serwisy mogą nie mieć takiej ochrony – prawdopodobnie ze względu na koszty, które przy dużej ilości wariantów mogą być znaczące.

Najbardziej mnie zaskoczyło, że znane marki takie jak Ex-Twitter, Comarch, Allegro, NASA nie mają takich zabezpieczeń (lub ja ich nie znalazłem).

Jak to działa od strony technicznej?

Zastanawiałem się, jak dokładnie zaimplementowane jest to przekierowanie. Okazuje się, że sposób realizacji jest dość prosty, ale skuteczny. Kiedy firma rejestruje domenę z potencjalną literówką, konfiguruje dla niej przekierowanie 301 (czyli stałe) na właściwą stronę.

Dlaczego akurat przekierowanie 301? Ma to kilka zalet:

• Zachowuje wartość w wyszukiwarkach – Google i inne wyszukiwarki traktują to jako informację, że strona została na stałe przeniesiona pod nowy adres.
• Zapewnia natychmiastowe i płynne doświadczenie – użytkownik nawet nie zauważa, że popełnił błąd, po prostu trafia tam, gdzie chciał.
• Eliminuje zamieszanie związane z marką – dzięki szybkiemu przekierowaniu użytkownik nie zdąży nawet pomyśleć, że trafił na fałszywą stronę.

Czy to się opłaca firmom?

Zacząłem się zastanawiać nad ekonomicznym aspektem tej praktyki. Rejestracja każdej możliwej literówki to przecież spory wydatek – jedna domena to koszt od kilkunastu do kilkudziesięciu złotych rocznie, a w przypadku popularnych marek mówimy potencjalnie o setkach wariantów!

Dla gigantów jak Microsoft czy Google to prawdopodobnie drobnostka w budżecie, ale czy naprawdę się to opłaca? Moje przemyślenia wskazują, że tak, z kilku powodów:

1. to skuteczna ochrona przed phishingiem. Atakujący nie mogą wykorzystać literówek do tworzenia fałszywych stron wyłudzających dane, jeśli firma już je posiada.
2. to odzyskiwanie utraconego ruchu. Pomyśl, ile razy ktoś mógłby trafić na niedziałającą stronę z powodu literówki i po prostu się poddać. Teraz ci użytkownicy i tak docierają do celu.
3. to ochrona reputacji marki. Nikt nie będzie mógł wykorzystać podobnej domeny do podszywania się pod firmę lub szerzenia nieprawdziwych informacji.
4. No i wreszcie – lepsze doświadczenie użytkownika to zawsze dobra inwestycja.

Z drugiej strony, zarejestrowanie absolutnie wszystkich możliwych literówek jest praktycznie niemożliwe. Dla mniejszych firm bardziej opłacalne może być skupienie się na najczęstszych błędach i uzupełnienie tej strategii innymi mechanizmami bezpieczeństwa.

Czy warto o tym pamiętać?

Przypadkowe odkrycie przekierowania „teams.microsoft.con” otworzyło przede mną ciekawy aspekt bezpieczeństwa w sieci, o którym wcześniej nie myślałem. To, co początkowo wydawało się drobnostką, okazało się przemyślaną strategią z obszaru cyberbezpieczeństwa.

Defensywna rejestracja domen to świetny przykład tego, jak duże firmy cicho i skutecznie chronią swoich użytkowników i oczywiście swoją markę i siebie. Czasem nawet nie zdajemy sobie sprawy, że ktoś zadbał o bezpieczeństwo i wygodę, planując z wyprzedzeniem nasze potencjalne pomyłki.

Oczywiście, nawet giganci jak Microsoft nie są w stanie zabezpieczyć każdej możliwej literówki – może być to ekonomicznie nieopłacalne. Zamiast tego skupiają się na najczęstszych błędach, tworząc rozsądny kompromis między kosztem a ochroną.

Dla mniejszych firm czy blogów takich jak mój, pełna implementacja tej strategii może być zbyt kosztowna. Warto jednak rozważyć zabezpieczenie przynajmniej kilku najczęstszych wariantów swojej domeny – szczególnie tych z zamienionymi literami czy błędnymi rozszerzeniami. Zrobię to potem 😅.

A Ty? Sprawdziłeś kiedyś, czy Twoja ulubiona strona przekierowuje Cię poprawnie mimo literówki? Może warto przetestować kilka najpopularniejszych serwisów i zobaczyć, które z nich dbają o ten aspekt bezpieczeństwa? W końcu to ciekawa zabawa detektywistyczna, a przy okazji można się dowiedzieć czegoś nowego o praktykach bezpieczeństwa w sieci.

PS: Nazewnictwo

Wspomniane pratkyki z perspektywy cyberprzestępcy to typosquatting.

To pierwsze to technika, w której cyberprzestępcy rejestrują domeny internetowe, które są łudząco podobne do istniejących adresów URL, zwykle poprzez wprowadzenie literówek lub innych drobnych błędów w nazwie domeny. Celem jest oszukanie użytkowników, którzy popełniają błędy podczas wpisywania adresu strony, i skierowanie ich na fałszywą stronę, która może zawierać złośliwe oprogramowanie lub próby wyłudzenia danych osobowych (źródło: https://nano.komputronik.pl/n/typosquatting-definicja-przyklady-ochrona/). Wspomniane przykłady:

• Amazn.com zamiast Amazon.com
• E-bay.com zamiast Ebay.com

Typosquatting –typo (z języka angielskiego: literówka) oraz squatting (z języka angielskiego: zamieszkiwanie na dziko w opuszczonych domach.

Przygotowanie

Do egzaminu przygotowywałem się przez 3 tygodnie korzystając wyłącznie z darmowych materiałów oferowanych przez ISC2. W ramach programu „One Million Certified in Cybersecurity” organizacja oferuje darmowe materiały do nauki oraz jedno podejście do egzaminu CC.

Jak JA się przygotowałem

Ważne w kontekście mojego wyniku jest to, że mam wykształcenie inżynierskie tzn. nie jestem niedoświadczony i mam wiedzę z zakresu informatyki, cyberbezpieczeństwa, sieci i pozostałych obszarów, które sprawdza ten egzamin.

Mimo tego, przygotowałem się bardzo skrupulatnie:

1. Wykonałem test wstępny określający moje przygotowanie do egzaminu przed nauką z oferowanych materiałów;
   Przy poprawnej odpowiedzi i tak notowałem – przepisywałem ręcznie dodatkowe wyjaśnienie podane do danej odpowiedzi;
   Przy niepoprawnej tym bardziej.
2. Przeszedłem przez każdy z działów, notując (ręcznie przepisując) większość materiału. Dzięki temu spędziłem więcej czasu na czytaniu treści w skupieniu.
3. Wykonałem test podsumowujący, tym razem notując jedynie niepoprawne odpowiedzi.
   Moje skuteczność w porównaniu do testu wstępnego wzrosła o 15 punktów procentowych (z 81% na 96%).
4. Przeszedłem przez wszystkie oferowane fiszki, znowu, notując wszystko.

Na naukę poświęciłem niecałe 3 tygodnie, kilka godzin dziennie.

Wnioski

Nie napisze jak wyglądał egzamin, bo takie informacje można zapewne znaleźć w wielu innych artykułach, a poza tym opisywanie egzaminu zdaje się nie być do końca w zgodzie z Kodeksem Etycznym ISC2. Z mojego doświadczenia materiały, które zapewnia ISC2 wystarczą do zdania egzaminu.

„GNU cloud” nie istnieje

Szukając dostawców „chmury” oferujących usługi na licencjach GNU wpisałem frazę „gnu cloud” w wyszukiwarkę i wyniki mnie trochę zaskoczyły. Spodziewałem się, że znajdę rozwiązania software’owe, a zamiast tego znalazłem artykuł tłumaczący czemu takie rozwiązania (nawet na licencji GNU) są niesłuszne – chodzi o kontrolę jaką usługodawca ma nad danymi, które przesyłamy w celu skorzystania z usługi.

Kto przetwarza dane ten ma moc

Cała koncepcja Service as a Software Substitute (inaczej niż Software as a Service) opiera się na szczerym przyznaniu, że wiele czynności, które wykonujemy przez internet np. korzystanie z tłumaczy online, edytorów zdjęć, czytników plików, kompresji, konwerterów itd. może być wykonywane przez nas, lokalnie, na naszych komputerach.

Do prostych działań nie potrzebujemy mocy obliczeniowej zewnętrznego serwera, szczególnie że prywatne urządzenia mają ogromny potencjał obliczeniowy. Dodatkowo dane, które przesyłąmy do takiego serwisu można bezpieczniej zachować lokalnie dla naszego własnego użytku. Nie oddając kontroli komuś obcemu.

Czy wszystkie serwisy to sybstytuty?

Sklepy internetowe, repozytoria kodu (czy multimediów), komunikatory, które z założenia wymagają wymiany danych i zaangażowania innych użytkowników nie są SaaSS. Nie możliwe jest korzystanie ze sklepów internetowych lokalnie, bez połączenia z internetem i bez zaangażowania sprzedających/kupujących, a sklepy te nie wykonują pracy obliczeniowej, którą można wykonać samodzielnie.

Wiele dostępnych VPN również jest SaaSS – wykupujesz serwis tunelu sieciowego od usługodawcy, który używa oprogramowania niekontrolowanego przez ciebie. Rozwiązaniem byłoby wykupienie VPS i samodzielne zainstalowanie VPN, który samemu kontrolujesz.

Co zatem zrobić?

Po pierwsze przeczytaj Who Does That Server Really Serve?, z którego wnioski zamieściłem w tym artykule.

Po drugie zastanów się, które czynności wykoujesz przy użyciu SaaSS i czy możesz je zastąpić przy pomocy lokalnie instalowanych kopii wolnych programów?

Po trzecie, nie daj się zwariować. Nie chodzi o całkowite odcięcie od technologii. Zastanów się jakie czynności wykonujesz i czy nie możesz ich robić lepiej, bezpieczniej, szybciej, łatwiej? Chodzi o świadomość możliwości jakie masz i wybranie korzystnej dla Ciebie opcji.

Niedawno opublikowałem swoją pierwszą wtyczkę do WordPressa.

„Page Guide Popup to lekka i przyjazna dla użytkownika wtyczka, która dodaje interaktywny przewodnik pomagający odwiedzającym poruszać się po witrynie WordPress. Wyświetla się jako pływający przycisk ze znakiem zapytania, który po kliknięciu wyświetla wyskakujące okienko z linkami do ważnych stron i ich opisami.”

Mój pierwszy plugin do WordPressa

Byłem bardzo ciekaw jak wygląda proces kontrybucji do systemu WordPressa. Najprostszym sposobem jest napisanie prostej, a przydatnej wtyczki do WordPressa, która rozszerza podstawowe funkcje tego środowiska.

Cały proces publikacji wtyczki jest oczywiście bardzo szczegółowo opisany na stronie WordPress.org -> https://developer.wordpress.org/plugins/

Przygotowanie dobrej wtyczki, która przejdzie pozytywną weryfikacje zespołu WP, a następnie upublicznienie jej nie jest skompilkowanym procesem, ale na pewno wymaga starannego zaznajomienia się ze standardem pisania wtyczek i zasadami zgłaszania ich do weryfikacji. Warto poświęcić trochę czasu na dokładne przeczytanie instrukcji i przejśie całego procesu, bo statysfakcja z publicznego wystawienia wtyczki i korzystania z niej jest spora :).

Wyżej wspomniana wtyczka jest prostym przewodnikiem po stronie. Potrzebowałem takiej funkcji, a skoro przy okazji mogę dodać cegłe do otwartego ekosystemu WordPressa to nie widzę powodu, żeby tego nie zrobić.

Dostęp do wtyczki

Wtyczka jest dostępna do użycia na różne sposoby.

Poprzez plugin marketplace po wpisaniu „Antoni Malinowski” lub „shapengu” 🙂

Bezpośrednie pobranie zipa przyciskiem „Download” na wcześniej podanej stronie lub ściągnięcie kodu przez repozytorium SubVersion https://plugins.svn.wordpress.org/page-guide-popup/

Chętnie przyjmę wszelkie sugestie dotyczące poprawy działania wtyczki 😉

Różne wersje Pythona mogą być potrzebne, gdy pracujesz równocześnie nad starszymi i nowymi projektami, które wymagają innych wersji języka. Jeśli nie, potraktuj to jako ciekawostkę.

Pobranie narzędzia pyenv

Standardowo instalujemy każdą wersję manualnie i ustawiamy zmienne środowiskowe wskazując na poszczególne ścieżki instalacji. Jednak łatwiejszym sposobem okazało się dla mnie użycie pyenv-win (wersja dla systemu Windows).

Należy sklonować repozytorium githuba umieszczając je w katalogu C:/Users/[nazwa_użytkownika]

git clone https://github.com/pyenv-win/pyenv-win.git

Ustawienie zmiennych środowiskowych (environment variables)

Tak, jeśli chcesz korzystać z polecenie pyenv z konsoli to trzeba dodać „environment variable” (zmienną środowiskową) dla tego narzędzia. Wystarczy to zrobić raz i potem już o tym nie myśleć.

"PYENV" jako
C:\Users\[nazwa_użytkownika]\.pyenv

Zmienne PYENV_ROOT i PYENV_HOME są opcjonalne na systemie Windows – PYENV_ROOT może być przydatny dla kompatybilności z systemami Unix, ale PYENV_HOME nie jest w ogóle używany przez pyenv-win.

"PYENV_HOME" i "PYENV_ROOT" jako
C:\Users\[nazwa_użytkownika]\.pyenv

Samo ustawienie zmiennej PYENV nie wystarczy, ponieważ pyenv-win wymaga również dodania ścieżek bin i shims do zmiennej PATH (lub Path), aby system Windows mógł prawidłowo przekierowywać polecenia Pythona do odpowiednich wersji.

C:\Users\Antoni\.pyenv\pyenv-win\bin
C:\Users\Antoni\.pyenv\pyenv-win\shims

[PS: Teraz zamknij i otwórz ponownie wiersz poleceń]

Użycie pyenv

Uff, faktycznie wydaje się, że to sporo pracy. ALE teraz możemy pobrać dowolną werjsę pythona dzięki poleceniu

pyenv install wersja_pythona

Dzięki temu, pyenv pobiera wskazaną wersje do katalogu:

C:\Users\[nazwa_użytkownika].pyenv\pyenv-win\versions

a my naprawdę łatwo możemy zarządzać wersjami za pomocą

pyenv global wersja_pythona
lub
python local wersja_pythona

Polecam przeczytać w dostępnych opcjach pyenv za pomocą

pyenv

To wyświetli nam listę poleceń.

„Podsumowanie” lub ostatnie akapity

Po pierwsze, odwiedź repozytorium na githubie i sam zobacz co to za narzędzie: https://github.com/pyenv-win/pyenv-win

Po drugie, przyznaje, że ustawienie tego za pierwszym razem było czasochłonne i nieintuicyjne.

Równie mocno jak manualna zmiana wersji pythona, dlatego wolałem znaleźć takie narzędzie, które ogarnie to zadanie za mnie, a ja „tylko” napisze instrukcje jak w miarę prosty sposób je zainstalować.

Jak już raz przez to przeszedłem to wydaje się być proste 😉

Po trzecie, wspominałem, że to narzędzie otwarto-źródłowe na licencji MIT (permissive license)?

No to jest to narzędzie…

Z wielką chęcią napisze o projektcie, w którym mam przyjemność brać udział.

Kontekst

Daniel Supernault (@dansup@mastodon.social), twórca sfederalizowanych platform Pixelfed i Loops, rozpoczął nowy projekt społecznościowy o nazwie RespectfulPlatforms. Projekt ma na celu „deklaracje podstawowych praw i zasad etycznych platform cyfrowych, zapewniających prywatność, godność i uczciwość w przestrzeni internetowej.„

Inspiracja

Tak jak to się częto dzieje w internecie, jedna osoba inspiruje drugą. Tak samo w tym przypadku inspiracją do stworzenia projektu RP był artykuł Bena Werdmullera „Building an open web that protects us from harm” (Budowanie otwartej sieci, która chroni nas przed krzywdą).

„A co mi do tego”?

Ktoś mógłby się spytać.

Nie będę przekonywał do niczego. Powiem jedynie, że przeczytanie całości Karty Praw Platform Cyfrowych zajmuje 5 (pięć) minut. W dodatku jest dostępne w polsku.

Właśnie, dlatego istnieje wpis, który czytasz – miałem okazje przetłumaczyć stronę na polski.

Zachęcam z resztą do pomocy przy tłumaczeniu na inne języki, dodawania artykułów do kodeksu lub innych pomysłów na poprawę strony (wymagana jest podstawowa znajomość gita i konto na githubie lub znajomy, który to za Was zrobi).

Jak się zaangażować?

Kontrybucje do strony należy umieszczać przez https://github.com/RespectfulPlatforms/website, a również można zgłaszać swoją własną organizacje do „składania przysięgi” względem wymienionych na stronie zasad pisząc na adres pledge@pixelfed.org.

Dla dobra otwartego, etycznego internetu i użytkowników, w tym ciebie skoro to czytasz.

Publikacja zawiera bezpieczeństwo danych i ich przetwarzanie w aplikacji. Bezpieczeństwo to ograniczenie przetwarzanych danych do niezbędnego minimum.

Publikacja NIE zawiera finalnej wersji. Ciągły rozwój jest możliwy,

Strony internetowe stoją na WordPressie. Dostosuj się albo walcz o zmianę.

---

Większość ludzi ma telefony, nie komputery (63%). Prawie 3/4 z nich używa Androida. Tak się składa, że chcę mieć niewiele do czynienia z Apple.

Aplikacje na Androida to dobra ścieżka.

„Wolne” aplikacje.

---

Chmura, sztuczna inteligencja to „tylko” opakowania na sposoby przetwarzania danych. Narzędzia dostępności i „silnik samochodu”.

Liczy się działający, ładny samochód. Silnik to „tylko” technikalium dla osób zainteresowanych. Ważne, ale technikalium…

…bo liczy się publikacja projektu. To widzą użytkownicy. Niestety, większości nie interesują technikalia. To jednak niezmiennie nasze[inżynierów] zadanie.

MUSI działać, ale MUSI być ładne, a przede wszystkim MUSI!!! być dostępne.

1. Do pobrania,
2. Do przesłania
3. Do zaproszenia
4. Do udostępnienia
5. DO POKAZANIA

W 2024 roku obejrzałem więcej filmów niż przeczytałem książek. Tych drugich trochę jednak było. Mimo, że niestety nie pamiętam wszystkich tytułów te, które mogę polecić umieściłem na poniższej liście (nienumerowanej).

*Nie będę pisał długiej recenzji żadnej z pozycji, bo te można łatwo znaleźć. 2-3 zdania o tym czemu je tu umieściłem powinny wystarczyć.

Książki:

Metamorfoza – Franz Kafka

Po zmierzchu – Haruki Murakami

Król Darknetu – Nick Bilton

---

Filmy:

Biedne Istoty – Yorgos Lanthimos

Platforma

Smile – Parker Finn

---

Co zrobię w 2025 roku?

Na 2025 rok chcę wybrać kilka filmów i książek (może też seriali i komiksów), które naprawdę warto znać lub takich których normalnie bym nie wybrał. Poszerzę swoje horyzonty.