About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (18),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),OSINT (7),Google (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),FUD (2),neuropszichológia (2),csalás (2),kulturális evolúció (2),TOR (2),Whatsapp (2),deep web (2),nyílt forrású információszerzés (2),tweak (2),titkosítás (2),Pécs (2),facebook (2),DKIM (2),hitelesítés (2),SPF (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),bűnügy (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),génterápia (2),bulvár (2),beszélgetés rögzítése (2),pszeudo-poszt (2),gépház (2),jövő (2),nyelvtudomány (2),tartalomszolgáltatás (2),molekuláris genetika (2),bolyai-díj 2015 (2),HR (2),Tinder (2),öröklődő betegség (2),sudo (2),bug (2),könyv (2),Yandex (2),meetup (2),iOS (2),netkultúra (2),Twitter (2),tanulás (2),malware (2),social engineering (2),IDC (2),cas9 (2),biológia (2),szociálpszichológia (2),vírus (2),hírszerzés (2),farmakológia (2),epic fail (2),kutatás (2),pedofília (2),fiziológia (2)

Néhány tabu az informatikushiányról


Rég volt már tabudöngetés, most meg ráadásul ki is kívánkozik belőlem néhány gondolat a sokat emlegetett informatikushiány kapcsán. Amit talán nem is kell előre jeleznem, hogy több helyen nem leszek diplomatikus, viszont őszinte igen.

informatikus hiány munkaerőhiány tabu élet állásinterjú HR

A magyar kockaszektorból mindent egybevetve több tízezer informatikus hiányzik, de azzal kapcsolatban sincs megbízható adat, hogy ez tízezret vagy ennek mekkora egész számú többszörösét jelenti. Amellett, hogy roppant mód unják már sokan a témát, engedtessék meg nekem egy roppant kínos kérdést: ha holnaptól kikerülne a munkaerőpiacra mondjuk húszezer valóban jól képzett informatikus, ideértve az IT-st, a fejlesztőt, a projektmenedzsert, a devops-ost, mégis honnan a halálból lehetne megfizetni? Írom: jelen bérviszonyok mellett sehonnan, az más kérdés, hogy kisebb hiány esetén a bérek hogyan változnának meg, valamint gyorsabban kibukna-e, hogy ki a kutyaütő és ki az, aki valóban ért is hozzá.

Csak benyomásom, de mintha egy területen minél nagyobb lenne a hiány, annál jobban jelentkezne az a súlyosbító tényező, hogy a valós tudással rendelkezőkkel szemben előnybe kerülnek azok, akik hatalmas mellénnyel úgy gondolják és azt mutatják, hogy mindenhez értenek, mire tényleg elhiszik róluk, mert a piac el akarja hinni valakiről, hogy ha már például kódolni nem tud fejlesztőként, legalább beszélni igen, aztán kapásból ő lesz a házi full stack developer, aki vérprofi módon tereli el a felelősséget, ha valamit nem kontár módon kellene megvalósítani.

A saját ismeretségi körömben a szakmai kompetencia és a bér valamint elismerés sok esetben semmiféle összefüggést, már úgy klasszikus értelembe vett összefüggést nem mutat. Ha a cég olyat nem talál, aki alkalmas egy feladatra, beéri inkább olyannal, aki tényleg el tudja hitetni mindenkivel, hogy az, azt viszont felejtsük el, hogy biztosan előnybe lenne az, aki követi azokat a klasszikus értékeket, mint a tudás vagy a szakmai alázat, ezek csak hosszú távon működnek.

Holott nem lenne nehéz felmérni az alkalmasságot, esetleg csak ezt követően megnézni, hogy ki mit hazudozik össze sokszor a LinkedIN-adatlapján. Ahogyan egy orvos sem nyilatkozhat azzal kapcsolatban, amikor megpályáz egy helyet egy külföldi magánklinikán, hogy mekkora VIP arcokat kezelt, informatikai területen is van olyan, amikor mindenki akkor alszik nyugodtabban, ha emberünk nem tünteti fel, hogy korábban hol és mit dolgozott, különösen, ha szabadúszóként csinált valamit. A kompetencia mégis mérhető lenne, bár ennek az általam instant kisütött módszertannak alighanem a döntő többség nem örülne. Mondani aztán lehet sokmindent, túl egyszerű is lenne az élet, ha az interjúban függően attól, hogy valaki milyen jellegű munkakört pályáz meg, már az első körben le lehetne vizsgáztatni az illetőt. Ennek persze biztosan nem örülnének, viszont számos érv hozható fel mellette.

informatikus hiány munkaerőhiány tabu élet állásinterjú HR

0x100. Eleve sokat mond, hogy hogyan viselkedik valaki olyan szituációban, amikor a tét relatív nagy és ott helyben kell valamit megoldani. Ideális esetben pedig a technikai interjút úgy lehetne összekalapálni, hogy a kérdésekre szinte biztosan tudja a választ az, aki ért hozzá és szinte biztosan ne tudja, aki pedig nem ért hozzá, ami bonyolultabb, mint amilyennek tűnik, de messze nem mondanám lehetetlennek.

0x200. IT-skillek: már ha egyáltalán annak lehet nevezni a következő néhány faék egyszerű kérdést, ami pont olyan, ami az előbbi feltételnek megfelel. Hanyas porton muzsikál az secure-IMAP4? Mi az EFS vagy éppen a Bitlocker működésének a lényege? Mi az a sticky bit? Mind-mind olyan, amire a kattintgatós hülyegyerek nem tudja a választ, olyan viszont szinte biztosan igen, aki rendszeresen utánanéz azoknak a dolgoknak, amiket használ, nem feltétlenül mainframe vagy hypervisor környezetben, hanem a saját gépén.

0x300. Fejlesztésben való jártasság. Lehet mondani ideig-óráig, hogy az elemi algoritmusok ismerete nélkül is felelősen részt vehet valaki összetett szoftverrendszerek fejlesztésében, csak én mondjuk eléggé régivágású gyerek vagyok ahhoz, hogy ez ne higgyem el. Függően attól, hogy a munkakör mennyire fejlesztésorientált, milyen egyszerű is lenne, ha a jelölt feladatként kapná, hogy egy általa választott rendezési algoritmust, egy bináris-keresőfát írjon le pszeudokódban vagy UML-modellel. Ha pedig emberünk ezer éve nem piszkált kódot és nem is nagyon lesz rá szüksége, akkor hozzá lehet vágni egy olyan feladatot, amit józan ésszel, de algoritmikus gondolkodással meg lehet oldani. Mentő kérdésként  pedig be lehet dobni egy folyamatábrát és egyszerű feladatleírással, amiről emberünknek el kell magyaráznia, hogy a folyamatábra hogyan írja le az algoritmust és hogy helyesen-e.

Na kérem szépen, ha az alapok megvannak, azt követően van értelme aktuálisan fancy metodológiákról, verziókövető rendszerekről, tervezési mintákról és hasonlókról beszélni, de valahogy ezt a sorrendet olyan mértékben sikerül elcseszni, hogy nagyobb helikopter az, aki a tököm tudja melyik módszertannak már dolgozott, meg látott már verziókövető rendszert, mint aki tud programozni.

0x400. Ha valaki nem örök vesztes, akkor azért utánalapozott olyannak is, ami az egyetemen nem kötelező tananyag. Vagy esetleg éppen az egyetem helyett tanult valami használhatót, amiről előre látható volt, hogy előbb vagy utóbb, de megkerülhetetlen része lesz annak, amit csinál. Nem kell mindent tudó atyaúristennek lenni a projektmenedzsment területén vagy éppen részletekbe menően tudni, hogy az üzleti elvárásokra milyen informatikai megoldásokat kínál a piac, ezek hogyan változtak időben, hogyan kapcsolódtak egymáshoz, az viszont elvárható kellene, hogy legyen, hogy legalább valami szemléletes képe legyen már róla játékosunknak. Ha nincs, az sokkal súlyosabb jelzés annál, hogy az adott területen éppen nem tanult semmit, azaz szimplán kimaradt neki: alighanem csak azt tanulta meg, amit lepofoztak rajta a vizsgán, az önképzéssel kapcsolatos szokások pedig nem igazán változnak. És akkor még nem is ejtettem szót azokról a fogalmatlan gyökerekről, szakirányú végzettség ide vagy oda, akik meg tényleg csak a buzzwordöket fossák és többször telepítettek Drupalt lopott skinnel pofátlan pénzekért, mint amennyiszer komolyan vehető szakkönyvet vettek a kezükbe.

0x500. Seggfejekkel dolgozni senki sem szeret. Ebben nagy meglepi nincs, teljesen érthető és indokolt, ha professzionális szempontokon túl értékelik azt is, hogy mennyire tud csapatban gondolkozni és dolgozni a játékos, na meg kommunikálni, amennyire kell. Viszont vegyük észre, hogy miközben valaki értelmesen választ ad egy kérdésre, abból azért ez leszűrhető. A kitűnő kommunikációs skillekkel meg el lehet menni egy olyan mesevilágba, ahol a kitűnő kommunikációs skillekkel írják a kódot, finomhangolják a szervereket, ütemeznek be egy projektet vagy matekozzák ki, hogy ilyen-olyan komponensek cseréje adott ráfordítás mellett az érintett szervezet produktivitását hogyan befolyásolja majd.

És akkor most feldobom a kínzó kérdést: kik vannak ezen a terepen igazságtalanul előnybe azokhoz képest, akik tényleg tudnak? Igen, nagyon sokszor a hülyébbek, hatalmas egóval.

informatikus hiány munkaerőhiány tabu élet állásinterjú HR

Egy ideális világban egy komoly játékost nem a cég választ ki, hanem a cég felvételizik nála, aztán ha megfelelt, majd lehet tárgyalni a továbbiakról. Ennek pedig van néhány igen kellemetlen sajátossága, ami a torzult piacból frappánsan levezethető. Ha valaki az egész életét végigtanulta és a fülébe jut, hogy valamiféle kutyaütő kontár mennyit keres főállásban, amint szóba kerül, hogy milyen bérre gondolt a játékos, nagyon nem szivesen fog alálicitálni annak, amennyit egy féltudású prosztó keres. Ha a jól képzett informatikus olyan összeget köhögne be az interjún, amennyit a tudása ténylegesen ér, a legelitebb helyeket nem számítva nem fizetnék meg belföldön, ebben biztos vagyok. Azaz ha valaki tud is, nincs mese, kénytelen újra beárazni magát, különben a szervezet inkább azt fogja választani, aki nyilván sokkal silányabb munkát ad ki a kezéből, de legalább olcsón vállalja.

És akkor el is érkeztünk egy remek dilemmához, nevezetesen, hogy milyen stratégia mentén mondjon intervallumot a pályázó bért illetően, ha tudja, hogy ha túl alacsonyat mond, esetleg nem fogja komolyan venni a cég, ha viszont átlépi azt a lélektani határt, amit már nem fizetnének meg neki, ugyancsak elvágja magát.

Egy kezemen meg tudom számolni, hogy életemben mennyiszer voltam állásinterjún, ezek közül egyszer olyan helyen, ahova nem hívtak, hanem én magam pályáztam meg. Az interjú végén felmerült, hogy van-e kérdésem, amire ugye az elképzelhető legrosszabb válasz, hogy nincs. Szóval ki is facsartam magamból valamit. Viszont akárhogy is töröm a fejem, egyszerűen nem tudtam volna olyat kérdezni, amire tényleg kíváncsi vagyok, de a kérdés alapján biztosan nem gondolta volna azt az interjúztató, hogy alá akarok kérdezni vagy amire kíváncsi lettem volna, bőven olyan információt, amit csak belsősnek mondanak el. Egyszerűen azért, mert alaposan utánanéztem előzetesen, hogy hova is pályázok. Ez meg ugye a másik dilemma. Feltételezzük, hogy az ember nem tömegesen jelentkezik a cégekhez - pontosabban ahogy előbb tisztáztam, a cégek felvételiznek nála akár a fejvadásza ajánl valamit, akár magától pályázik - ha pedig valaki nem totálisan gyökér, alaposan felkészül abból a cégből, ahova bemegy interjúzni. Viszont magamból kiindulva tényleg csak olyan kérdés marad, amit vagy ilyen vagy olyan okból nagyon nem praktikus a végén feltenni. De akkor mégis mit kérdezzek?

A jelenlegi környezetnek ha van valami előnye, az biztosan, hogy ilyen problémák a hülyéket nem érintik. Más pedig oldja meg, ahogy tudja, ha főállásban szeretne informatikai területen elhelyezkedni.

kép: imgflip

3 Tovább

Lehülyülés kora? Mesélj még!


műveltség webkettő "hogy ne legyetek bunkók"

Valaki jópár évvel ezelőtt elkezdte mondani, hogy a fiatalabb generáció - jelentsen ez bármit is - már nem nagyon olvas könyveket, ebbe bele kell törődni, a web megzabálja az ifjúság agyát uzsonnára, armageddon, ezer ördög és pokol, bunkó lesz a következő nemzedék, úgyis mind meghalunk, satöbbi. Eztán ezt a baromságot szépen átvették egy sokan, de még olyanok is, akiknek mondjuk hivatásukból adódóan illene rálátniuk a középiskolás és fiatalabb korosztály életére. Viszont a magát a jelenséget téves tapasztalati adatok mellett totálisan fals mérésekkel próbálták igazolni, amiket szándékosan nem fogok hivatkozni, de azért van ezzel kapcsolatban néhány gondolatom.

Szóval valamiféle alaptézisként kezelik már nem kevés ideje, hogy az a generáció, amelyik gyakorlatilag együtt szocializálódott az okosmobil korszakkal, már nem nagyon olvas semmit, könyveket, ezen belül meg szépirodalmat pedig aztán pláne nem. Mindezt pedig részben a tanárok azon tapasztalatára alapozták, hogy a kötelező olvasmányokat szinte senki sem olvassa el, másrészt online (!!) felmérésekre.

Emlékszem, általános iskolás ötödikes lehettem, amikor feladták kötelező olvasmányként a Kőszívű ember fiait. Nem vitatom Jókai irodalomtörténeti jelentőségét, nem is tehetném, mert nem értek hozzá, abban viszont már itt most megállapodhatunk, hogy Jókai irodalma mai aggyal totálisan emészthetetlen a többség számára, általános iskolás gyereknek kötelező olvasmányként meg csak akkor adnék ilyen félezer oldalas szart, ha meg akarnám utáltatni vele a szépirodalmat. Ami a magyar irodalmat illeti, na, az körülbelül a 20. századtól emészthető egyáltalán, de egy laikus számára alighanem nem más a helyzet akkor sem, ha a nemzetközi szépirodalomban nézünk körül. Magyar szakos ismerős az egyik egyetemen mesélte, hogy már nincs kötelező olvasmány ezer éve, mert tudják, hogy úgysem olvassa el senki, amit teljesen megértek. Ebből viszont totális tévedés azt a következtetést levonni, hogy semmit ne olvasnának az általános- és középiskolások, azt viszont biztosan, hogy a kötelezőket teljesen idióta módon sikerült kiválogatni egyszer, valamikor valakinek, akinek esetleg az volt a becsípődése, hogy irodalmárokat képeznek, nem pedig diákokat.

Többek közt szinte az összes online marketinges, na meg önmagát annak hazudó cég arról ugat, hogy a fiatalok olvasási szokásai olyan módon változtak meg, hogy az Instához, a Snapchathez meg hasonló szarokhoz kell a teljes piacnak igazodnia, mivel ezeken a csatornákon érhető el a fiatalabb nemzedék, jelentsen ez bármit is. Na de ők mire alapozzák mindezt? Nagyrészt online felületeken felvett közvéleménykutatási adatokra! Nem kell nagy kutatásmódszertani rutin hozzá, hogy észleljünk itt egy iszonyú ellentmondást. Nevezetesen azt, hogy online közvéleménykutatást az tölt ki, aki olyan eszelősen értelmetlenül cseszi el a saját szabadidejét, hogy mindössze annyival meg lehet etetni, hogy a kitöltők közt kisorsolnak mondjuk egy okoskütyüt vagy valami olyasmit, ami minimálisan is sikeres ember a mai világban megvesz magának, ha szeretne, de hogy nincs fölösleges 15-20 perce, az teljesen biztos. Mondjuk azért, mert helyette olvas. Az egész több sebből is vérzik és mindez senkit sem érdekel, de magyarázom.

Az online közvélemény kutatásokkal nem hogy torzított mintán dolgoznak, annyira hülyék, hogy nem veszik észre, hogy önkényesen választanak mintát. Eleve olyan előtt fog megjelenni a kérdőívre mutató link, akiről feltételezik egy-egy szolgáltatáson belül töltött idő és aktivitás alapján, hogy ki is tölti. Azaz miután valaki megetette a kecskéit a Farmville-ben meg a bánat tudja, hogy miben, dobott pár lájkok a világbékéért, megjelenik előtte a kérdőívre mutató link, ami nyereményjáték is egyben. Emberünk kitölti, aztán megy a plázabudiba pózolni a napi Insta-fotóhoz, miközben azon agyal, hogy hogyan tegyen a többiekétől menőbb effektet a saját szelfijére. Na már most, ha ez a csoport úgy nyilatkozik, hogy az elmúlt ezer évben nem olvasott szépirodalmat, meg úgy egyáltalán könyvet sem, abban aztán tényleg semmi meglepő nincs.

műveltség webkettő "hogy ne legyetek bunkók"

Azok az idióta cégek, akik mondjuk az ilyen adatforrásokból dolgoznak, valamiért teljes demográfiai csoportokra vetítik ki azt, amit tehát totálisan félremért adatként kaptak. És nem csak extrapolálják, ebből látszólagos tendenciát állapítanak meg, hanem úgy gondolják, hogy akkor azoknak a szolgáltatásoknak a hirdetési felületeire kellene fókuszálni, amit tehát a totál bugris plázasuttyó réteg használ a legtöbbet, mert aktuálisan az a trendi, fancy. Ami pedig még értelmezhetetlenebb, valami miatt azt hiszik, hogy ők komolyan fizetőképes célcsoportot jelenthetnek. Ha pedig nem a diákok hülyébb feléről, hanem a felnőttek hülyébb feléről van szó, a lényegen nem változtat. Aztán meg a magyar nyelvterületre vagy Magyarországra fókuszáló online marketinges néz ki a fejéből bután, hogy miért nem hirdetnek szivesen azok a piaci szereplők, amik azért nem két kézzel szórják a zsét. Amikor pedig előkerül egy-egy gyalázatos adat azzal kapcsolatban, hogy milyen csapnivalóan rossz a magyar online marketing hatásfoka, azzal nyugtatják meg magukat, hogy szarul teljesítenek ugyan, de a másik ügynökség sem teljesít jobban.

És akkor akik a mintából kimaradtak! Többen mesélték, hogy a 4-5-6-7 éves gyerekeik nem, hogy korábban tanulnak meg olvasni, hanem eleve több különböző idegen nyelvű tartalmat is fogyasztanak online-t és printet egyaránt, aztán esetleg elpicsázzák nyelvből az angoltanárt már általános iskolában. Itt most nem csodagyerekekről írok! Korábban is volt ilyen, de kevésbé volt jellemző, mint a manapság, ahol az információáramlás jellege változott meg, nem csak a sebessége, ez kellene már felfogni végre. Nem, egyszerűen olyan gyerekekről van szó, akik otthon a szülőktől nem azt látják, hogy Farmville-n etetik a lovakat és minden céges zabálást agyondokumentálnak az Instán, hanem azt, hogy a szülő is értelmesen használja ki az információszerzés új lehetőségeit. Ami meg a sültbunkókat illeti, ők nyilván léteztek a webkettő előtt is és nem, akkor sem olvastak többet vagy töltötték ki értelmesen az időt, tehát szó sincs arról, hogy tendenciózusan agyilag lefszulnának összességében az emberek a közösségi web miatt, a 80-as években meg a videókazettákra mondták ugyanezt.

Kis közbevetésként, milyen apropóból írom ezt a posztot éppen most, amikor ezeket a témákat már érintettem? Mondjuk azért, mert eleve a koromból adódóan nyilván ritkábban csevegek tőlem fiatalabbakkal, a napokban pedig egy 20 körüli, amúgy a közösségi webet is igencsak aktívan használó tag véletlenül köpte el, hogy a hétvégén elolvasott egy laza párszáz oldalas regényt, amit talán karácsonyra kapott. Aztán kiderült, hogy nem kivételes eseményről van szó, hanem egyszerűen rendszeresen olvas, ami neki teljesen természetes. De korábban is találkoztam már olyannal, aki mondta, hogy olvas mindent, mondjuk éppen azt nem, amit az iskolába kellene, ráadásul olyan forma volt, akiből ki nem néztem volna. A nagyon fiatal generációról meg egyszerűen onnan tudok, hogy ismerősök mesélték, akiknek most megy vagy ment a fiuk vagy lányuk általános iskolába.

Valami miatt van egy olyan idióta prekoncepciója a többségnek, hogy a webkettő és a mobilhasználat, na meg a print és az újságolvasás kizárná egymást. Nincs okunk feltételezni, hogy az intelligenciával egyébként eléggé jól korreláló információéhség jelentősen változott volna időben. Nem, hogy az elmúlt pár évtizedben, de még az elmúlt párszáz évben sem, de ezt a témát korábban már túltárgyaltam. A középkorban, de már a könyvnyomtatás elterjedésével az iskolákban egy halom nyelven nem csak olvastak, hanem beszéltek is egymással a diákok, az szegényebb sorban lévők pedig igencsak jelentős népmesét, népdalt, meg még ki tudja, hogy milyen népi bölcsességet halmoztak fel, persze mindkét blokkban voltak értelmesebbek és hülyébbek egyaránt.

Szóval, nem, nem és nem. Igaz, hogy a tartalomfogyasztó ideje véges, amit szokás a felhasználók idejéért folytatott küzdelemnek is nevezni, attól még, hogy valaki rendszeresen tömi az Insta fiókját és szórja a híreket a Twitteren vagy vitatkozik a Redditen - amiket hála a jó égnek még nem annyira fedezett fel a magyar átlag felhasználó - ha értelmes emberről van szó, akkor igenis olvas mellette. Szóval ez az a réteg, amelyik pont láthatatlan a közvéleménykutatók többsége előtt és persze az a felnövekvő réteg, amelyik tényleg fizetőképes.

Azokat a sudribunkókat meg alighanem senkinek sem kell bemutatni, akiknek a figyelme legfeljebb néhány másodpercre köthető le valamilyen idióta képi viccel, na meg töménytelen mennyiségű álhírrel, könyvet meg még életükbe nem vettek a kezükbe maguktól, de letöltenek minden szart a mobil alkalmazásboltjából, amivel aztán égtelen sok időt lehet eltölteni, egészen elképesztően értelmetlenül.

A másik érdekesség, amibe jobban belegondolva semmi meglepő nincs, hogy a két kaszt közt nemhogy átfedés alig van, hanem gyakorlatilag nem is tudnak egymásról. Honnan is tudnának, ha az emberek a hozzájuk hasonló intellektusú és szociális státuszúakkal tartják az erős kapcsolatokat, amit egyébként a webkettő erősített fel, ami egy készülő nagypubli témája lesz.

Ahogy szoktam mondani, a jövő nyertesei azok lesznek, akik egyaránt használják az okoseszközöket és a net vívmányait, emellett rendszeresen olvasnak is. Ez utóbbinak többek közt az az oka egyszerűsítve, hogy egy-egy hosszabb mű megértése a figyelem folyamatos fenntartását igényli, ami pedig elengedhetetlen, ha valaki valami értelmes dolgot akar csinálni majd később, amivel keres is.

műveltség webkettő "hogy ne legyetek bunkók"
Mihez kapcsolódhat az ábra?

Még csak azt sem mondanám, hogy kevesebb információ éri a rendszeresen olvasó ember és az idejét hülyeségekkel elcsesző ember agyát, az információ minőségében teljesen más, hiszen olvasás közben a korábbi ismerethalmazba kell beilleszteni azt, amit olvasunk, például az Insta-függőknek meg csak egy-egy pillanatra kell fenntartaniuk a figyelmüket, mondjuk arra, hogy milyen pofát vágjanak, azt hogyan effektezzék, koronát vagy csillámfaszlámát illesszenek a szelfijük tetejére és így tovább, ami szigorúan nézve nem biztos, hogy kevesebb információ, mint amennyit befogadunk egy vaskosabb cikk vagy könyv olvasásakor. Nem kevesebb, csak nyilván egyrészt teljesen más, másrészt éppen azokat a képességeket nem fejleszti, amivel a munka világában igazán labdába lehet rúgni. Aztán azzal, hogy a két réteg közti szakadék milyen folyamatokat indukál majd a jövőben, foglalkozzanak a szociológusok.

Egyébként ez a fajta fura kettősség totál eltérő területeken megmutatkozik még akkor is, ha csak a szellemi munkát végzőket nézem. Sokan mondják, hogy könyvből nem lehet megtanulni programozni, amire rá szoktam vágni, hogy könyv nélkül meg aztán pláne nem. És tényleg. Meg lehet nézni, hogy milyen fost adnak ki a kezükből sokszor azok, akik kizárólag trial-and-error alapon tanultak meg programozni, de hasonló a helyzet akkor is, amikor valaki ezt még azzal fejeli meg, hogy egy keretrendszert, technológiát, akármit akar megtanulni ugyanígy később. Vagy éppen, hogy mennyit szörnyülködnek sokan azokon az újságírókon, akiknek az írásain világosan látszik, hogy tényleg csak írnak, olvasni már nem nagyon szoktak, ami ugye alap kellene, hogy legyen, ha valaki nem trágyalevet akar kiadni a kezéből.

Nemrég a fejemhez vágták, hogy gyakran térek vissza azokhoz a témákhoz, amikről már írtam, nos, én legalább tudok róla és próbálom nem nagyon ismételni önmagam. Amire viszont nagyon, talán túlságosan is ügyelek, hogy ne a levegőbe rizsázzak, mert azt bárki tud. Viszont ha esetleg ismét megírom közel ugyanazt, csak máshogy, nem jelenti azt, hogy ne lenne értelme az egésznek, hiszen a két poszt megírása közti időben azért elolvasok jópár cikket és könyvet, ami ideális esetben meg is mutatkozik az írásokon.

kép: Wikipedia - World literacy rate, Projectliteracy

0 Tovább

így emailezz, hogy ne nézzenek parasztnak


email Mónika idegállapot egyébAkkor most engedtessék meg nekem, hogy kicsit edukáljam a T. Nethasználókat email-ügyileg. Kevés dolog van, amivel fel lehet húzni, ezek egyike, ha valakinek emailt írok, aztán arra nem érkezik válasz, ami ritkán ugyan, de előfordul.

Már régen ujjbegyemben van ez a téma, szóval gondoltam időszerű írnom róla, még akkor is, ha totál eleminek tűnik.

Alapvetően olyannak írok emailt, esetleg máshol üzenetet, akitől reálisan elvárom, hogy válaszolni is fog rá ésszerű időn belül, ami mondjuk 1-10 nap. Akár közeli, akár kevésbé közeli ismerősről van szó, sajátos tapasztalat, hogy minél többet ért el valaki az életben, precízebben az emberi nagysága minél nagyobb összességében nézve, annál kisebb a sansza, hogy egész egyszerűen nem fog válaszolni a kérdésemre, az más kérdés, hogy bizonyos esetekben esetleg az asszisztens vagy titkárság válaszol, azt pedig lehet tudni, hogy ki az, akit érdemes szükség esetén más csatornán megkeresni, mert ilyen is előfordulhat.

Nem tudom, hogy melyik pozitív pszichológiáról írt könyv előszavában olvastam már, ahol a szerző - aki egyidejűleg töltött be vezető tisztséget több gigaszervezetben, azaz alighanem kevés elfoglaltabb ember van, mint ő - leírta, hogy minden emailre válaszol, legfeljebb egyetlen sorban. Talán akkor vettem fel én is azt a megszokást, hogy függetlenül attól, hogy ki küldött emailt, minden személyre szóló levélre válaszolok per feladó, per adott téma, legalább egyszer, azaz tényleg az összesre, ami nem spam vagy eltéved levél.

Alapvetően teljesen ignorálni valakinek a levelét, ahhoz hasonlítható taplóságnak tartom, mint nem fogadni valakinek a köszönését vagy kézfogását. Na félreértés ne essen, irgalmatlan mennyiségű debil levelet kapok, amit átfutok, aztán megválaszolom egy-két-három szóban vérmérséklettől függően, esetleg csupa nagybetűvel. Ha ugyanabban a témában ismét ír az illető, azt már nem. Én megadtam azt a típusú tiszteletet, hogy válaszoltam neki, akkor is, ha szubjektív értékítélet alapján kreténségnek gondolom az egészet. Mi a másik oka ennek? Az, hogy ha úgy tetszik, ismeretelméleti szempontból nem zárhatom ki azt, hogy egyszer majd én kérdezek valakiről felkészületlenül vagy hülyeséget, aztán ha kapok rá egy velős, nem túl kedves választ, az is információértékű, ha nem is kellemes, ami arra sarkall majd, hogy felkészültebben kérdezzek, míg ha nem érkezik válasz, annak nincs ilyen üzenete.

Senki sem lesz kevesebb attól, hogy fél percet szán egy hülye levél megválaszolására, még csak időt sem veszít, inkább karban tartja azt, ami manapság totálisan kihalni látszik az emberekből és gusztus szerint a másik megbecsülésének, alázatnak vagy tiszteletnek hívják.

Ami pedig az érdekesebb emailben érkezett felvetéseket illeti, persze, azokra szivesen válaszolok bővebben. Vannak visszatérő játékosok, akik egy-egy adott témában írnak rendszeresen, holott egyszer már írtam nekik olyan levelet kimerítő módon, amihez nem tudok mit hozzátenni. Nemrég előfordult, hogy újra megírtam ugyanazt ugyanannak a feladónak, amit korábban is, de látszott, hogy intellektus híján nem nézett utána annak, amit korábban hivatkozásként küldtem neki.

Persze, minden interakció felzabál egy kicsit az ember idejéből és energiájából, de egy nem fölöslegesen, ha ésszel csinálja, a kapcsolódó játékszabályok röviden:  
1. pontosan annyit fordítsunk a válaszra, amennyit érdemes ráfordítani - viszont a másik felé mutatott tisztelet Téged tesz nagyobbá, ezért kellene a leghülyébb emailekre is reagálni, a leghülyébbeknek is legalább egyszer jár legalább egy válasz! 
2. Hiába találták ki a csillagozást, címkézést, levelek osztályozását a levelezőrendszerekben, ha fontos levél jön, azonnal szövegezd meg a választ rá, ha kell, aludj rá egyet, aztán másnap olvasd át és aztán küldd el, de ha azonnal megszövegezed, akkor kisebb eséllyel fogod elfelejteni azt, hogy el is küld.  Ha pedig felhúzott egy levél, aludj rá egyet, mielőtt válaszolsz, de azért válaszolj!
3. Az egésznek legyen egy kerete! Azt, hogy azonnal próbáljunk megválaszolni mindent, amikor érkezett, totál felejtős, elvégre lehetetlen lenne elmélyülni bármilyen, kicsit is normálisabb tevékenységben, ha azonnal válaszolnánk  minden feladónak az egész napunkat felzabálná. A megoldás pedig egyszerű, mint az UTP-kábel: érdemes kijelölni egy napszakot, esetleg két napszakot, amit emailezésre fordítunk, aztán akkor tömbösítve lehet az összessel foglalkozni.

Van pár levelem, amivel kapcsolatban a feladónak hónapokkal ezelőtt ígértem, hogy válaszolok, de még mindig nem ejtettem meg, mivel komplex témáról van szó, amit röviden nem igazán lehet kifejteni, ugyanakkor tudvalevő, hogy van egy lélektani határ terjedelemben, ami fölött megnő az esélye annak, hogy a címzett a levelet esetleg nem olvassa végig figyelmesen vagy a jól szerkesztettség ellenére elveszik benne a lényeg. Röviden fogalmazni úgy, hogy a lényeg is átmenjen pedig nem könnyű. Még nem küldtem el és pürézni tudnék önmagamtól.

Néhány pro tipp, avagy ahogyan az emailezés működne egy ideális világban:

0x100. Egyre nehezebb, de ha lehetséges, akkor a levelet ne ilyen-olyan webes szolgáltatás belső üzenetküldőjében küldjük, aminek az okait fejtegettem már korábban.

0x200. Nagyobb az esélye, hogy a levél el is ér a címzetthez, másrészt kiemelt figyelemmel fogja kezelni, ha valamilyen más csatornán ráírunk, hogy "üdv, küldtem emailt a user@domain.tld címedre, pls. nézz rá!" - ha esetleg a cím már nem él, akkor a címzett jó esetben válaszol, hogy küldjem másikra.

0x300. Gyerekek! Tartsuk up-to-date a címeinket, könyörgöm! Tudom, hogy minden szaros ingyenes postafiók bizonyos inaktivitás után nem fogad leveleket vagy megszűnik, de mégiscsak 2017-et írunk, szóval:
- ha egy címet már biztosan nem fogunk használni, irányítsuk át az összes rá érkező levelet az új címünkre, ideértve a spameket is, ez azért fontos, mivel tévesen minősíthet spamnek egy levelet a régi postafiókunk, amit ugye már nem nézünk. A régi mailboxra úgyis érkezik értesítés, hogy lekapcsolják, ha nem lépünk be valamennyi ideig, ezt is irányítsuk át az új címre, aztán amikor kell, szánjunk rá szaros fél percet, hogy belépünk a régibe
- egyáltalán, a spamvédelmet bízzuk a spamszűrőre, nem az a normális megoldás, hogy egyszerűen nem tesszük ki sehova a címünket, hanem az, hogy kitesszük valahova, ahol csöpp ésszel megtalálja az, aki írni szeretne nekünk, az elévült címeket pedig kapáljuk ki onnan, ahol azt tüntettük fel!
- Magyarországon minden eszelős hülyeségre hajlamos költeni a többség, de arra már nem, hogy 8-10 dolláros éves díjért vegyen egy domain nevet, ami egy átlagos szövegszerkesztési feladatnál nem bonyolultabb, de ha valaki totál láma hozzá, akkor kérje meg egy informatikában minimálisan jártas ismerősét. A .hu-s domaint inkább hanyagoljuk, egy generic TLD-vel egy nevet beregisztrálni meg olyan 1-2 perc jobb regisztrátoroknál. Ha ez megvan, és fel is van konfigurálva hozzá egy levelezőrendszer, egyszerűen nem fordul elő olyan, hogy a címünk megváltozik.

Már volt róla eléggé kimerítő poszt ugyanitt, szóval még egyszer nem írom le, de személyes használatra nagyon jó, saját domainnel ingyenesen használható megoldás a Zoho Mail, a Yandex Mail, esetleg a Mail.ru. ínyenceknek, ott az Exchange Online, a Fastmail, és a Hushmail, aki beéri gagyibbal is, annak bagóért a GMX/Mail.com, a Protonmail, a Yahoo, a FN.de, a mail.ch, igazából az összes kicsit is komolyan vehető email szolgáltatónál van lehetőség saját domain beállítására. Aztán ha valamelyik nem tetszik, egyszerűen át lehet költözni egy teljesen másik levelezőrendszerre, a régiből a leveleket áthúzni, a korábbi email cím pedig marad a régi. Ha van valami, ami fölött teljhatalmunk van, történjen bár mi is az interneten, az a saját domainünk, amit senki sem vehet el.

0x400. Rendszeresen ellenőrizzük a Spam foldert, mivel minden levelezőrendszerben előfordulhat, hogy tévesen osztályoznak egy legitim levelet spamnek, de a normálisabbak taníthatóak azzal, hogy a falspozitívokat áthelyezzük az Inboxba, a falsnegatívokat pedig a Spam mappába.

0x500. A legcizelláltabb - legalábbis számomra - hogy melyik levelemet milyen prioritással kezeljem. A minap egy totális baromság megválaszolásába folytam bele, közben pedig egy fontosabb levelet csak ma válaszoltam meg. Egybehangzóan azzal, amit korábban írtam, azaz, hogy a választ azonnal szövegezzük meg, a fejünkben a fontosság/értelmesség szerinti osztályozás gyorsabban fog menni, ha ezt mindig ugyanabban a napszakban tesszük.

Néhány évvel ezelőtt még azt mondtam, hogy ha valaki írna valamit, akkor írja emailen, különben nem válaszolok, aztán beláttam, hogy egyszerűen nem lehet a széllel szemben hugyozni ahol az instant üzenetküldők leuralták a világot, amiből már annyi van telepítve ide vagy oda, hogy nem is számolom. Azon persze egyesek roppant mód ki tudnak akadni, ha küldenek egy üzenetet valami kecskefasz közösségi webes szolgáltatásban, amit nem válaszolok meg, holott valójában arról van szó, hogy be se léptem, nem is olvastam, nem az a típus vagyok, akinek be van kötve az agyába  a Kéktakony Messenger, írhat valaki Viberen, Signalon, Telegramon, Threemán, Wire-en, meg a többi szaron, miközben dolgozom, úgysem nézem meg, csak amikor majd az emailjeimet is, ha valami sürgős, a másik úgyis felhív.

Az emberi hülyeség tényleg reménytelen: nem kevesen fene nagy udvariasságból boldogot-boldogtalant felvesznek a kontaktjaik közé minden hülye közösségi szolgáltatásban, akiről fogalmuk sincs, hogy kicsoda, arról meg főleg nem, hogy ez miért rizikós, egy-egy szutykos emailre meg sokszor annyit nem tudnak visszabüfizni, hogy "hamarosan válaszolok".

Nem, olyan nincs, hogy "még nem volt időm", "akartam válaszolni, de" és hasonlók, ha a világ legelfoglaltabb emberei képesek rá, akkor alighanem más is. A spamek és a notórius hülyék levelei ignorálhatók, mindenki másnak legalább egy válasz egy feltett kérdésre elvből jár.

kép forrása: xaviesteve.com

0 Tovább

Nem is etikus, nem is hekker, de egy sajtótermék sem maradhat le a dilivonatról...


BKK e-ticket ITsec sajtó felzárkóztatóAz a helyzet, hogy nem lehet kikerülni bizonyos hírekben megjelenő témákat, akkor sem, ha összeszorított farpofával szeretném, mert egyszerűen a csapból is az folyik. Képzelem, ahogy a műkörmös szalonban a szakértő hölgyek azzal kapcsolatban hüledeznek, hogy egy 18 éves diák jelentette a BKK e-ticket jegyvásárlását érintő sebezhetőséget, na jó, ez így bonyolult, inkább csak annyit mondanak egymás közt, hogy meghakkolták a Békákát, erre elvitték a zsaruk. Micsoda világban élünk, elviszik a hékek azt, aki csak segíteni akart. Nem röhögni! A 10 legolvasottab magyar sajtótermék szerintem ennél nem sokkal magasabb szinten tárgyalja vagy lényegében nem eltérő interpretációban tárgyalja a témát. De úgy fest, hogy még az IT-sek közt - na meg aki annak mondja magát - is sokaknál elszállt a séró', ezért gondoltam, hogy egy kicsit oszlatom a ködöt.

Miről is van szó ténylegesen?

A BKK és a T-Systems közösen egy netes jegyvásárlási rendszert vezetett be, aminek az alkalmazásában bennmaradt egy olyan hiba, amilyenre én tankönyvi hibaként szoktam hivatkozni, mert annyira triviális. Innentől kezdve úgy írom, hogy az a műkörmös is megértse, aki még nem látott forráskódot, az informatikában minimálisan is jártas műkörmösöktől pedig előre is elnézést kérek! Több hibáról van szó egyébként, a legegyszerűbbet fogom kivesézni. /*azt is pongyolán, amiért pedig azok elnézését kérem, akik értik, hogy miről van szó*/

Amikor egy alkalmazás/szolgáltatás/API adott típusú bemenő adatot, azaz például egy pozitív egész számot kér, mint amilyen pozitív egész egy BKK-bérlet ára forintban, akkor nyilván nem logikai értéket, negatív számot, éppenséggel a Despacito szám egyik sorát, mint sztringet, azaz karaktersorozatot fogja megkapni, hanem valóban pozitív egészet. Na már most, elvben nincs akadálya annak, hogy egy egész számot váró szolgáltatás más típusú adatot kapjon, viszont elemi, na még egyszer: _elemi_, hogy fel kell készíteni a szoftvert az ilyen eset kezelésére. Nyilván nem fordulhat elő véletlenül, hogy a rendszer a 9500, mint egész szám helyett /*egy havi bérlet ára forintban*/, a szerver felé - a továbbiakban: szerveroldalra - mondjuk a "Sí, sabes que ya llevo un rato mirándote" karaktersorozatot küldje vagy mondjuk egy logikai  értéket. Viszont kábé az első, ha nem nulladik dolog az, amit nem hogy egy éles üzembe állított rendszeren egy fekete kalapos hekkernek, fehér kalapos hekkernek vagy egy médiában kikiáltott balfácánnak kell ellenőriznie, hanem a tesztelőnek már az adott modulban ki kell szúrnia - módszertantól függően - mondjuk az unittesztelés során. És abban az esetben, ha azt észleli, hogy a fejlesztő annyira hülye volt, hogy egy ilyen egyszerű trükkre, azaz az adat on-the-fly átírhatóságára nem készítette fel a szoftver adott részét, alaposan dokumentálja, iszik egy felest, majd megpróbál egy kulturált levelet írni a fejlesztőnek, ami tartalmazza a javítással kapcsolatos instrukciókat /*részletekbe menően vagy kevésbé*/, aztán ez vagy sikerül européer stílusban vagy sem.

BKK e-ticket ITsec sajtó felzárkóztatóA leírt folyamatot, azaz azt, hogy egy szoftver ellenőrizze, hogy valid adatot kapott-e és nem egy nyári sláger első sorát karaktersorozat formátumban, esetleg egy olyan bitsorozatot /*nagy általánosságban fogalmazva*/, ami tetszőleges műveletet hajt majd végre a szerver oprendszerén vagy annak valamelyik szolgáltatásában röviden parserelésnek nevezzük, persze ez önmagában még mindig nem elég.

Azaz amellett, hogy leprogramozzák, hogy valami egész számot vár, biztosítani és ellenőrizni is kell, hogy oda csak egész szám kerülhet, majd továbbítódhat-e.

írok egy olyan sebezhetőséget, de én inkább tweaknek nevezném, ami gyakorlatilag dettó ugyanerre épül, pont az előző posztban írtam róla, csak én nem egy szaros jegyvásárlási rendszerrel csináltam meg, hanem a Facebookkal, másrészt nem azért, hogy én legyek egy hétig a nemzeti Robin Hood, hanem azért, mert praktikusnak találtam. A következőről van szó: a Facebook egész számokkal azonosítja a jogosultságokat - többek közt - azaz, hogy valaminek a láthatósága, eléghetősége Only me, Friends, Friends of Friends vagy Public/Everyone vagy egy általad definiált, ismerősöket tartalmazó lista. Azaz amikor a Facebookon beállítod, hogy ki jelölhet be ismerősnek, azaz "Who can send you friend requests?", akkor alapvetően egy egész számot továbbít és rögzít a rendszer. Évekkel ezelőtt észleltem, hogy éppen ennek az azonosítónak az átírásával a Facebook olyan beállítást is elfogad, aminek konkrétan nincs értelme, azaz például, hogy csak önmagamat jelölhetem ismerősnek, csak a barátaim jelölhetnek ismerősnek [nem is tudnak, mert eleve a ismerőseim ugye], de még olyat is, hogy az ismerőseim egy listában tárolt része jelölhet ismerősnek, ami ugye még elborultabb. Viszont minden ilyen szokatlan beállításnak az lett az eredménye, hogy konkrétan senki sem tudott ismerősnek jelölni - hál' Istennek - akit eléggé érdekesnek találtam, azt úgyis bejelöltem én. /*csak egy üres listába tartozó felhasználók "tudtak" ismerősnek jelölni*/ Mi történt? Az, hogy a Facebook nem ellenőrizte, hogy értelmes beállítást kap-e egyáltalán, azaz hogy csak olyanok jelölhetnek ismerősnek, akivel van közös ismerősöm vagy éppen mindenki. Ez a bemenet valószínűleg nem volt parserelve vagy parserelve volt ugyan, egyéb helyen eltolva. Az előző posztban írtam, hogy ezt a beállítást a mobilappon sikerült elállítanom, viszont az évekkel korábbi módszerrel visszaállítani nem sikerült, ami bosszantott pár percig, aztán nem érdekelt.

BKK e-ticket ITsec sajtó felzárkóztatóAmi a BKK jegyrendszerét érinti, meggyőződésem, hogy a legvadabb hibákat egymástól függetlenül több százan szúrták ki, mert annyira triviálisak. Volt és sejthetően még mindig van benne néhány sokkal súlyosabb hiba is, ami ennyire röviden nem magyarázható el Ádámtól-Évától. Nem világos, hogy mennyien jelentették a hibát, az igen, hogy végülis volt egy jól beazonosítható, 18 éves gyerek is, aki igen. Innentől különösen fontos egészében nézni az eseményeket, mert elképesztő zavar van a fejekben.

Nem tisztem megvédeni a T-Systems-t, és nincs is rá szükségük - bár ilyen PR mellett ki tudja - de szó sincs róla, hogy a nagy, gonosz, hülye, bugyirózsaszín IT-cég vagy épp a BKK szemétkedésből tett volna feljelentést, hanem azért, mert ilyenkor jogszabályi kötelessége feljelentést tenni! Igen, még akkor is, ha világos, hogy pont annak a 18 éves srácnak az évszázad hakkolásával' együtt a társadalomra való veszélyessége nem is mérhető. Mindemellett a T-Systems kríziskommunikáció szempontjából megbukott, alighanem senki sem mert időben beleállni a dologba azzal, hogy köszönik, hogy a hibát jelentették, de azért a feljelentést meg kellett tenniük. Akinek nem világos, hogy ez miért van így, annak fingja nincs róla, hogy hogyan működik ez az egész. Ami pedig a Készenléti Rendőrséget illeti - amelyiket ugyancsak nem kell megvédenem - onnantól kezdve, hogy érkezik hozzájuk egy ilyen feljelentés, nem gusztus dolga, hogy eljárnak vagy sem, hanem szintén a törvény betűjét követve kell eljárniuk, akkor is, ha az sajnos az adott esetben életszerűtlen és aránytalan intézkedést ír elő, mint amilyen az előállítás. Azt azért szögezzük le, hogy nem éjszaka jelentkezett a hatóság, hanem reggel 7-kor, nem rúgták rá az ajtót, hanem kopogtattak, ami pedig az előállítást illeti, senki sem gondolhatja komolyan, hogy vezetőszáron kellett volna bevinni a gyereket Hannibal-maszkban. Azaz a Rendőrség, amelyiknek a tagjai már teljesen megszokták, hogy általában teljesen igazságtalanul élcelődik rajtuk a plebs, ugyancsak jogszerűen jártak el.

Egészében az eljárás - ahogy egy, az Ibtv. /*aka 2013. évi L. törvény*/ megalkotásában részvevő ismerősöm megjegyezte, jogszerű volt, de szégyenletes.

Na most ami a sajtót illeti, az egész hírértékét az adta, hogy mégiscsak egy jókora céget mogyoróztak meg, a szoftver lefejlesztésében tényleg orbitálisan nagy hibák vannak, az már mindegy, hogy mik, lehet hülyézni és kész. Ilyen esetben egyetlen nagyobb sajtóorgánum sem teheti meg, hogy ne szálljon fel a dilivonatra és tolja a hülyeséget, ezen kívül szokásosan mindenki egyszerre lesz telekommunikációs szakjogász, na meg a műszaki etika szakértője egyszerre.

A szerencsétlen módon előállított csávó pedig nem is etikus, nem is hekker, ami pedig legalább ilyen fontos, hogy vagy eszelősen naiv volt vagy eszelősen hülye.

A bugreporting, azaz egy-egy sebezhetőség bejelentése már-már külön tudomány, már ha úgy akar valaki eljárni, hogy abból senkinek se származzon kára, ő is legyen jogilag védve, nem mellékesen pedig a felhasználók is, akiknek az adatai pont egy-egy ilyen pszeudo-full disclosure miatt kerülhettek veszélybe, már ha igaz, hogy még az e-ticketes ügyféladatbázis is lopható volt.

Azaz ha észlelünk egy hibát, akkor nem, nem ész nélkül, azonnal jelentjük saját néven, tök hülyén, hozzátéve, hogy Proof-of-Concept, a sebezhetőséget még ki is használtuk, hanem megkérdezzük a területen jártas jogászt, utánakotrunk, hogy milyen policy szerint érdemes a hibát jelenteni a konkrét esetben, ha meg minden kötél szakad vagy csak nincs cérnánk ilyen részletekkel tökölni, akár teljesen névtelenül jelentjük. Aztán ha még továbbra sem javítják, akkor jöhet a full disclosure, gusztus, na meg vérmérséklet kérdése, hogy mennyi idő várakozás után. Tipikusan egyébként már az nem egyértelmű, hogy a hibát hova lenne érdemes jelenteni, azaz hogyan érhető el a tényleges responsible contact, mert egy sima, ügyfélszolgálati címre küldött email biztos, hogy nem az. Nem nehéz rájönni, hogy az ügyfélszolgálatok nem ilyen típusú minősített adatokkal dobálóznak nap, mint nap, sok-sok kézen megy keresztül a bug részletes leírása, aztán jó esetben senki sem használja ki, aki olvasta. Például akinek az ügyfélszolgálatos véletlenül elmondja, aztán akinek elmondta vesz 1000 darab havi bérletet 10 forintért, ami pedig a bejelentést illeti, majd vagy eljut az illetékeshez vagy sem.

BKK e-ticket ITsec sajtó felzárkóztatóAkinek van egy csöpp esze szinte mindig úgy dönt, hogy nem tököl-kockáztat, ha hibát talál, eljuttatja annak a körnek, amelyik a legnagyobb valószínűséggel illetékes és nyugodtan alszik a bejelentő. Illetve amikor valami nagyon meredekről van szó, akkor olyat kell kérdezni előzetesen, aki meg tudja jósolni, hogy egy bejelentést követően mire lehet számítani.

Na most egy olyan világban, ahol az emberek már akkor sértve érzik a magánszférájukat, ha valaki, akivel ismerkednek netes társkeresőn vagy anonim fórumon, aztán meg meg vannak lepődve, ha a másik megtalálja őket a keresztnevük és a koruk vagy egy általuk kedvelt oldal vagy meglátogatott esemény alapján /*igen, ennyi pontosan elég hozzá*/, akkor se a jogalkotóktól, sem a megoldásszállító cégektől, se a sajtótól, se a hatóságoktól nem várható el, hogy életszerűen tudjanak kezelni egy ilyen helyzetet.

Konkrétan ebben az esetben senki se jöjjön azzal, hogy inkább jutalmazni kellett volna a srácot, mivel totálisan töketlen volt a hiba bejelentése, az eset valamire azért nyomatékosan felhívja a figyelmet. Mégpedig arra, hogy bárki, akár etikus hekker, akár advanced user, akár érdeklődő, ha rendelkezik olyan ismerettel, amivel az átlag felhasználó nem, inkább tartsa a dolgot titokban, de komolyan! Ugyanis ez akár igazságos, akár nem, de a többség totálisan félreérti az egészet, elég egy kommunikációs botlás és már megállíthatatlanul borul is az illetőre a trágyalé. Hogy mást ne mondjak, sokszor egy tényleges informatikai bűncselekmény kapcsán nem azon kerültek a lehetséges gyanusítottak körébe sokáig, akiknek érdekükben állhatott az elkövetése, hanem azok, akikről tudvalevő volt, hogy technikailag képesek rá, ami nettó őrület, de így van. A Google- és Facebook-fiókhardeningelős posztjaim után halomra kaptam a segghülye leveleket azzal kapcsolatban, hogy én mennyiért törnék fel ilyen-olyan accountot. Szóval ennyire nem értették meg néhányan, amiről azt hittem, hogy egyértelmű annak, aki nem analfabéta, nevezetesen, hogy a cikkek lényegi mondanivalója nem az, hogy hogyan törjünk FB-fiókot, hanem az, hogy hogyan csökkenthetjük a rizikóját annak, hogy megtörténjen. A gyógyszerész is tud mérget keverni, de aligha fog, hiába kéri tőle valaki jópénzért. Hasonlóan, aki tud hardeningelni, nyilván törni is, de nem fog.

Tudsz valamit? Tagadd le! De tényleg! És akkor nem fognak lehekkerezni meg összemosni mindenféle idiótával. Majd akkor lehet előhozakodni security- és privacy-related tudással, amikor az a közeg, amiben élünk, kellően érett lesz hozzá, addig inkább ne.

Na, én most megyek, keresek az utcában egy lakatosként dolgozó szomszédot, hogy este elmenjünk buliból betörni, aztán majd szelfizünk egyet a kinyitott ajtó előtt, szigorúan úgy, hogy látszódjon az utca és a házszám, majd töltjük is fel a Fészre, betaggelve a kerületi rendőrség oldalát...

kép: Knowyourmeme

26 Tovább

A webkettővel mindenki ráfarag egyszer, csak máshogy


social media webkettő Facebook Google bugAmikor valamilyen témában írok, igyekszek úgy bemutatni egy jelenséget, témát, problémát, ahogy más korábban még nem tette vagy nem megfelelő mélységben – na, ezt hívják értékteremtésnek, aminek manapság annyira nincs megbecsülése, hogy az már-már fáj.

Ha egy webes szolgáltatásban egy ritkán jelentkező problémáról van szó, rendszerint persze a Magyarországon valamilyen perverzió folytán social media szakértőnek nevezett arcok, fél fokkal jobb esetben meg olyanok írnak, akik mondjuk advanced userként valamivel jobban értenek hozzá, persze behatóan sosem vizsgáltak egy-egy szolgáltatást sem, nemhogy fejlesztettek volna rá. A privacy-szakikat, akik rájönnek, hogy jééé, a közösségi web tényleg közösségi, inkább most hagyjuk, mert azzal tényleg ki lehet kergetni a világból.

Azt mondom, hogy a webkettővel mindenki tökön szúrja magát egyszer, jobban vagy kevésbé, a kérdés csak az, hogy előbb vagy később. Nos, velem most éppen ez történt.

Az ős-facebook-fiókom meglehetősen egyedi módon volt beállítva, például egyáltalán nem lehetett ismerősnek jelölni. Mindezt sok-sok évvel ezelőtt úgy oldottam meg, hogy a Who can contact me?/Who can send you friend requests? beállítást nem webes felületen vagy appon keresztül állítottam be, hanem olyan módon, hogy létrehoztam egy eleve ismerősökből képzett listát, majd a kliensoldali kódot olyan módon módosítottam valamint a beállítást végző paramétert úgy küldtem újra a szerver felé, hogy az alapértelmezés szerint választható lehetőségek mellett választható legyen az is, azaz ami nem jelenik meg a legördülő menüben. Vegyük észre, hogy logikailag értelmetlen az, hogy csak olyan jelölhet ismerősnek, aki már eleve ismerősöm – mivel nem tud – ezzel együtt viszont senki más, ami egy roppant komfortos megoldás, akit érdekelnek a tartalmaim, arra ott a Follow gomb, szinte dettó ugyanazt láthatják a követők, amit az ismerősök.

social media webkettő Facebook Google bug

Egy rossz mozdulattal múltkor mobilon lenyitottam a szóban forgó beállítást, egy félrekattintásnak hála, már tényleg csak az Everyone és a Friends of friends lehetőség választható. Gondoltam, semmi gond, megmókolom ismét. Igen ám, csakhogy az elmúlt néhány évben már jópárszor újraírták az egészet, anélkül, hogy belemennék a részletekbe, a Facebook – alapvetően helyesen – szerveroldalon is ellenőrzi, hogy olyan paramétert kapott-e, amit alapvetően választhat a felhasználó. /*Erről a műértők általánosságban erre tudhatnak meg többet. */ Az eredmény: nem sikerült visszaállítani az eredeti állapotot, ahhoz pedig nagyon keményen, az egész accountot kockáztatva kellene nekimenni a Facebooknak, hogy ismét beállítható legyen a már nem engedélyezett beállítás megadása, ami ráadásul amellett, hogy sejthetően több nap meló lenne, sanszos, hogy végül nem is sikerülne.

social media webkettő Facebook Google bug

Ami ez után következett, ha nem is tűnik elsőre annak, egy kisebb rémálom! A profilom sok-sok felhasználónál jelent meg mint friend suggest, azaz ismerősajánló, olyan felhasználóknál, akik nem ismerősök, de ezer évvel korábban üzenetet váltottam velük, a saját accountomon keresztül rájuk kerestem valamilyen módon vagy idióta módon a saját accountomon keresztül végeztem lekérdezést velük, gyakrabban valamilyen tartalmukkal kapcsolatban. Ezen kívül többminden full máshogy kezdett működni.

Mindezt a nagy kapkodásban sikerült megfejelni egy még komolyabb hibával, ami miatt a Facebook most a születési évemet 2003-nak látja. Mindez könnyen kiküszöbölhetőnek tűnik, hiszen elvben "csak" át kell állítani a születési évet, nem? Elvileg igen, gyakorlatilag pedig a hivatalos súgó szerint vagy megváltoztatható vagy sem, ha pedig igen, akkor várni kell néhány napot, de azt nem tisztázza a súgó, hogy mennyit is.

A felhasználási feltételek szerint 13 vagy 15 éves kortól használható a FB, gyakorlatilag pedig nagyon nem mindegy, hogy a felhasználó elmúlt-e 18, megint más államokban 21 éves. Hogy mennyire nem mindegy, arra íme néhány példa:
- 18 éves kor alatt konkrétan nem engedélyezhető a keresőmotoroknak, hogy indexeljék az adatlapot, mi több, ha valaki facebookos azonosításra alapuló szolgáltatással posztolt valahol a neten - ilyen például a mindenki számára ismert kommentbox - az könnyen lehet, hogy egyszerűen el fog tűnni vagy hibásan jelenik meg
- konkrétan hiába van az beállítva, hogy milyen kontakt adatok látszódjanak az adatlapon, az gyakorlatilag a "kiskorú védelme érdekében" totál üres lesz!
- a Follow gomb konkrétan eltűnik, azaz nem lehet követésre jelölni és a meglévő követőket sem mutatja a Kéktakony
- egyszerűen nem lehet Publicba posztolni egy cizellált beállítás megadása nélkül

social media webkettő Facebook Google bug

És még van néhány hasonló totál idióta korlátozás, amit mondjuk alig érinti azt, aki teljesen magán célra használja a Facebookot, viszont aki éppenhogy azt használná ki, hogy követni tudják azok, akiket érdekelnek a tartalmai, túlzás nélkül maga a rémálom, de nem csak ezért! Ha kapcsolódott hozzá fejlesztői account, amihez tartoznak éles alkalmazások, azok is okozhat izgalmas pillanatokat.

Korábban már írtam, hogy számos más szolgáltatásba lehet regisztrálni egyszerűen Google-, Facebook- vagy Microsoft-fiókkal történő belépéssel azért, hogy a felhasználónak ne kelljen plusz egy felhasználói nevet és jelszót megjegyeznie. Soha, na még egyszer: SOHA ne használjuk elsődlegesen ezt a lehetőséget, mindig email címmel és jelszóval regisztráljunk! Ugyanis ha valaki például az Instagram vagy Flipboard-fiókját a FB-fiókjával hozta létre, majd bármilyen okból a FB-fiók elérhetetlen lesz, esetleg a felhasználó megfeledkezik róla, hogy mennyi helyen regisztrált más szolgáltatásfiókkal, majd törli a Google/Facebook/Microsoft accountját, az a szolgáltatás, amibe ezeken keresztül lépett be, végérvényesen elérhetetlen lesz, a hozzáférést visszaszerezni pedig körülbelül egyenlő a lehetetlennel!

Ehhez még adjuk hozzá azt is, hogy az összes webes óriás fenntartja magának a jogot, hogy gyakorlatilag érdemi indoklás nélkül végleg kizárjon egy felhasználót a szolgáltatásból, jegelje vagy teljesen törölje a fiókot. Ez a gyakorlatban annyit jelent, hogy ha valakire rászáll mondjuk 100-200 troll, akiket akár bagóért fel is lehet bérelni a feketepiacon, majd azok az áldozat profilját jelentik például azzal, hogy pedó tartalmakat terít, spammel vagy nem valódi felhasználó, a Facebook "Level 1" supportja - ahogyan ez a kerek perec benne van a hivatalos súgóban is - nem köteles és nem is fogja vizsgálni a bejelentések valóságtartalmát, hanem ahogy az nekik idiotizmusig rigid forgatókönyv szerint elő van írva, már töröl is. Ennyire könnyen kicsinálható egy webkettes account vagy oldal, hangsúlyozom, bármiféle technikai hozzáértés nélkül! Egy szó, mint száz, amellett, hogy készítsünk rendszeresen biztonsági másolatot a fiókunkról, ne támaszkodjunk nagyon egy közösségi webes szolgáltatásra sem! Praktikusan én még a bankkártyáim egyikét is berögzítettem a Facebook fizetési rendszerében, évekkel korábban költöttem is, ugyan nem túl sokat, de még ez is mellékes. Tudok olyan felhasználóról, akinek szintén berögzítettük a bankkártyája adatait, azaz a visszaigazoltan valódi bankkártyára írt név azonos volt azzal a névvel, amilyen névvel regisztrált a felhasználó a szolgáltatásba, a fiókot mégis sikerült valakiknek jegeltetniük.

Visszatérve az életkorra: használok néhány szolgáltatást, ahol nem kimondottan felnőtt tartalmak jelennek meg, viszont nem zárható ki, hogy felnőtt tartalmak is megjelenjenek valamilyen módon vagy törvényi korlátozás miatta a szolgáltatásnak 18 éves korhoz kell kötnie a használatát, ráadásul nemhogy támaszkodik a Facebook-fiókra, hanem kizárólag azzal használható! Ilyen például mindenki kedvenc kurvázós/romantikázós/ismerkedős - kinek mi - alkalmazása, a Tinder. A Tinder pedig szépen ellenőrzi a FB-account alapján minden új munkamenetnél [tipikusan amikor elindítja a felhasználó], hogy az valóban elmúlt-e a 18 és igen, kitaláltad, a FB-account alapján... Ha azt látja, hogy nem, már ki is zártad magad az alkalmazásból, sok-sok száz match és levél pedig nemes egyszerűen hozzáférhetetlenné válik.

Ami pedig az oldalakat illeti, ne gondoljuk, hogy a nagy, jelentős támogatást, na meg felhasználói aktivitást élvező oldalak biztonságban vannak! Ezzel kapcsolatban két emlékezetes eset jut eszembe.

Az egyik, amikor a Csonti car szórakoztató oldalt ismeretlenek elérhetetlenné tették, majd egy tanácsadással foglalkozó cég felajánlotta, hogy segít az oldal tulajdonosának visszaállítani az eredeti oldalt, a közben megjelenő kamu oldalakat pedig eltüntetni, nem mellékesen milliós nagyságrendű munkadíj mellett. Szemben azzal, amit a Pestisrácok kapcsolódó cikke sugall, alighanem sosem tudjuk meg, hogy valójában az történt, hogy hozzáértő szakik elérhetetlenné tették az oldalt, majd ugyanők jelentkeztek a tulajdonosnál, hogy visszaállítják nem kevés pénzért vagy arról van szó, hogy valaki megfúrta az oldalt, majd egy tanácsadó cég valóban felajánlotta helyreállítást, csak annyira idióta módon és olyan egybeesésekkel, ami miatt rájuk terelődött annak a gyanuja, hogy ők maguk tették elérhetetlenné azt.

A másik, sokak által ismert történet, amiben a Tomcat-féle Tolvajkergetők oldala vált elérhetetlenné. Magánvéleményem persze van róla, de abba most tényleg ne folyjunk bele, hogy a Tolvajkergetők szellemisége, módszerei és egyáltalán úgy az egész, káros vagy éppen kimondottan ígéretes kezdeményezés volt, mert nem ez a lényeg. Ami viszont tény, hogy a Tolvajkergetők támogatottsága hatalmas volt. Mégis rendszeresen jegelték, ismét feltámasztották néhányszor, végül teljesen elérhetetlen lett és támogatottság ide vagy oda, semmilyen módon nem tudták elérni, hogy ismét elérhető legyen, pedig Tomcat meg sem állt Dublinig anno az ügy érdekében. 

Korábban már írtam róla, hogy bárki bármit is mond, senki sem tudja pontosan, hogy egy-egy webes óriás egy bejelentést milyen protokollt követve vizsgál ki, aki azt mondja, hogy biztosan meg tud oldani ezt vagy azt, az szimplán hazudik vagy hülye. Ugyanakkor én magam is ismerek rejtett módszereket, ahogy olyan cégeket is, akik, ha akarnak, alaposan bele tudnak nyúlni abba, hogy hogyan a Facebookon mi jelenjen meg, terjedjen el vagy gyakorlatilag ne jelenjen meg senkinél, ahogy azt is, hogy hogyan érdemes eljárni, olyan esetben, amikor valakinek akár a fiókját, akár az oldalát akár valamilyen ellenérdekelt fél, akár trollok megfúrták és helyre kellene állítani. Az ilyen viszont tényleg nem olcsó dolog és ami nagyon fontos, hogy a siker sosem garantálható száz százalékosan.

Ebben látom az egyik fő problémát, akármilyen óriásszolgáltatásról van szó. Hogy nem következetesek és még a harceddzettebb felhasználók sem lehetnek benne biztosak, hogy a beállításoknak megfelelően működik minden. Például a Gmail 7 GB-os tárhelyet ígér, valójában viszont egy tesztben kiderült, hogy átlagos levélmérettel számolva alig több 1-2 GB-nál, mivel durván összesen 30.000 levél normális felindexelésére képes a Google levelezőszolgáltatása, azaz bizonyos levelek nem kerülnek a belső indexbe, nem kereshetőek, legalábbis a webes felületen, ennek megfelelően, mintha nem is léteznének. Gmailt mondjuk nem használok, a többire meg mondhatja a laikus azt, hogy nem kötelező használni, anélkül, hogy még egyszer levezetném, egy szolgáltatás igenis nőhet akkorára, hogy a mindennapi életben, információszerzésben, emberi kapcsolatok fenntartásában megkerülhetetlen lesz. Arról pedig ugyancsak írtak sokan, sokféle nívójú cikket, hogy többször is gondoljuk meg, hogy kiket veszünk fel ismerősnek, miket lájkolgatunk, ugyanis a hétpecsétes titokként védett algó, ami eldönti, hogy mi kerüljön a falunkra, mit lássunk, kihat az önképünkre, mivel akaratlanul másokhoz hasonlítgatjuk magunkat, arra, hogy hogyan gondolkozzunk, sejthetően egyéni különbségekkel ugyan, de még a normáinkra is. Mindegy, hogy Facebook vagy LinkedIN, mindkettőn jóideje elburjánzott a szar, de az már más téma.

0 Tovább