bezpieczne Windows (tak jakby)

Na razie jedyną w miarę bezpieczną wersją Windows jest Windows S (sprzedawane z najtańszymi laptopami), gdzie można uruchamiać wyłącznie aplikacje ze sklepu Microsoftu. Właściwie jest to Windows Home przestawione w tryb S ("usprawnione pod kątem zabezpieczeń") i niestety wyjście z tego trybu jest nieodwracalne (bez sensu to zrobili, ale pewnie policzyli). Czyli chwilę po odkryciu, że czegoś nie ma w Microsoft Store i wyłączeniu trybu S zostajemy bezpowrotnie we wrogim środowisku, nieusprawnionym pod kątem zabezpieczeń.

Najprostszym sposobem usprawnienia (pod kątem zabezpieczeń) Windows Home jest pewnie zakup dobrego programu antywirusowego, tzn. lepszego niż wbudowany w Windows Defender. Ale po pierwsze trzeba wiedzieć który jest lepszy, a po drugie nie po to kupujemy najtańszego laptopa żeby zaraz do niego dopłacać. Zresztą wypowiadałem się krytycznie o programach antywirusowych już sto lat temu i zdania nie zmieniłem. Tyle że dziś już każdy chcąc nie chcąc używa programu antywirusowego. A tzw. złośliwe oprogramowanie i tak jest krok do przodu, o czym niewątpliwie świadczy nieustająco duża liczba infekcji.

Na szczęście jest też sensowna darmowa alternatywa. Bo Windows oprócz słabego programu antywirusowego ma dość skuteczny mechanizm blokowania uruchamiania wszelkiego oprogramowania, więc także złośliwego. To AppLocker. Co ciekawe (od Windows 10) — wbrew potocznej opinii — AppLocker działa również na Windows Home, niestety ta radosna nowina chyba zbyt powoli dociera do potencjalnie zainteresowanych użytkowników. Może dlatego, że konfigurowanie AppLockera na Windows Home/Professional jest mówiąc oględnie nieco karkołomne i niezbyt bezpieczne, trzeba to robić skryptami powershella. Więc nikogo nie namawiam, ale tym bardziej nie zniechęcam. Da się: Applocker on Windows Home. Na wszelki wypadek jeszcze link do samego źródła czyli skryptów Sandy Zeng na githubie. Rzecz jasna rozsądek nakazuje poćwiczyć na zwirtualizowanych Windows, gdzie łatwo wrócić do niezepsutej kopii.

Oczywiście żeby mieć pełny pożytek z AppLockera trzeba przestać pracować na koncie z uprawnieniami administratora. Zresztą i tak lepiej przestać. Na pewno wygodniej jest pracować jako administrator, nie trzeba w koło macieju podawać hasła (tylko raz przy logowaniu), ale to niestety przepis na katastrofę. Na koncie z uprawnieniami administratora najlepiej mieć więc jakieś trudne do złamania ale w miarę łatwe do wpisywania hasło, niestety — jak już wspomniałem — jako standardowy użytkownik dość często musimy je podawać.

Więc jeśli właśnie kupiliśmy laptopa to od razu zakładamy drugie konto do codziennego użytku, bez uprawnień administratora. A jeśli do tej pory nierozważnie i lekkomyślnie działaliśmy na koncie z uprawnieniami administratora to zakładamy drugie konto z uprawnieniami administratora, sprawdzamy czy działa, a potem zabieramy prawa administratora sobie, czyli kontu, którego normalnie używaliśmy i nadal używać zamierzamy. Od tej pory działamy jako standardowy użytkownik, któremu nasze drugie ja (opiekuńczy administrator) odbiera prawo strzelania sobie w stopę z granatników.

Jako administrator za pomocą AppLockera powinniśmy uniemożliwić sobie/użytkownikowi (czyli i złośliwemu oprogramowaniu) uruchamianie wszystkiego, co nie zostało świadomie i porządnie zainstalowane z konta administratora. Oraz — zachowując dużą ostrożność — wszystkiego co już jest na komputerze (bo wchodzi w skład systemu operacyjnego Windows) i da się kreatywnie wykorzystywać do infekowania, a nam (w roli użytkownika) nie jest do życia potrzebne. Ponieważ dziś już każdy ma program antywirusowy (sprawdzający, czy sygnatura uruchamianego programu znajduje się w bazie wirusów), to źli ludzie posługują się coraz częściej i coraz sprawniej systemowymi programami Microsoftu. Wiadomo że na komputerze już są, a w bazie wirusów się nigdy nie znajdą. Lista ich jest długa i możliwość uruchamiania części z nich na pewno warto odebrać sobie jako standardowemu użytkownikowi.

Próba uruchomienia zablokowanego programu od razu rzuci się w oczy:
Żeby zobaczyć co zostało zablokowane trzeba zajrzeć do logu Microsoft-Windows-AppLocker%4EXE and DLL.evtx — rejestrowane są tam wszystkie próby uruchomienia programów, także dozwolone, czyli np. w przypadku Firefoksa czy innej przeglądarki każde otwarcie nowej zakładki, niestety podobno nie można tego inaczej ustawić.

Zaoszczędzone dzięki zrezygnowaniu z "lepszego programu antywirusowego" pieniądze można np. pożytecznie przeznaczyć na zakup klucza sprzętowego Yubico i zabezpieczyć np. swoje konto na Google (gdzie mamy pozapisywane wszystkie hasła).

gdy tatuś się sfajda

Nie będę udawał mocno oburzonego, ostatnia straszna katastrofa Firefoksa (polegająca na wyłączeniu ludziom na wiele godzin wszystkich dodatków, bo nagle nie dało się ich zweryfikować) mało mnie dotknęła bo akurat miałem ciekawsze zajęcia. A teraz jest już trochę po wszystkim, tzn. problem został częściowo rozwiązany. Oczywiście solidaryzuję się ze wszystkimi szybko wymierającymi użytkownikami tej coraz głupszej przeglądarki.

Na szczęście w wyniku wspomnianej katastrofy chyba nikt nie zginął (najwyżej szlag go trafił). A może będą nawet jakieś pozytywne skutki, np. kierownicy Mozilli pójdą w końcu po rozum do głowy, zamiast bez sensu ścigać się z Google (wątpię). Tak czy owak mamy kolejny cenny przykład czym kończy się związanie rąk użytkownikowi. Przy (zapewne zdrowej) tendencji do eliminowania wszelkiego ryzyka coraz częściej stajemy się bezwolnymi ofiarami nieprzemyślanych do końca zabezpieczeń. W nieprzewidzianych okolicznościach — a takie zawsze zaistnieją — możemy tyle, co bezpiecznie zapięte w foteliku dziecko zostawione w rozgrzanym samochodzie.

Starannie przemyślany miękki paternalizm, taki który nie tylko chce pomóc, ale i baczy, żeby nie zaszkodzić, nie jest zły. Ale problem z paternalizmem jest chyba trochę psychologiczny, podobnie jak z dobrymi chęciami w ogóle. Gdy chcesz komuś pomóc łatwo zapominasz o tym, że możesz niechcący zaszkodzić (co innego jak chcesz komuś zaszkodzić, wtedy bardzo uważasz, żeby mu przypadkiem nie pomóc). Rzecz jasna trudno jest realizować dobre chęci skupiając się na niepożądanych skutkach, to optymizm pcha do działania. Apelowałbym jednak do wszystkich optymistycznych dobrodziejów i aktywistów, żeby regularnie konsultowali się z konserwatywnymi pesymistami. Coś może pójść nie tak.

Widzę to jakoś trójpoziomowo. Raz, dwa, trzy. Raz — dajemy użytkownikowi to co działa, sprawdza się w większości przypadków, decydując za niego. Tak jak prawdopodobnie sam by zdecydował (gdyby wiedział co robi). Dwa — może użytkownik wie lepiej. Czasem rzeczywiście wie lepiej, zostawmy mu więc możliwość zapanowania nad sytuacją. Trzy — coś w rodzaju ostatecznego bezpiecznika czy zaworu bezpieczeństwa. Użytkownik jednak ewidentnie nie wie co robi i gdy już nie ma co do tego cienia wątpliwości, to trzeba go ratować. Oczywiście jak ktoś się uprze to w końcu i tak wsadzi gwóźdź zamiast bezpiecznika, na to już nie ma rady. Warto jednak pomyśleć dlaczego miałby to robić.

---

DODANE: jest już nowa wersja Firefoksa, czyli chyba problem całkiem rozwiązany. Tzn. sytuacja wróciła do normy, ale sensownym rozwiązaniem byłoby jednak umożliwienie użytkownikowi decydowania o tym, które dodatki chce uruchamiać. Firefox już jest niszową przeglądarką, dla ludzi, którzy raczej wiedzą co robią. Zamiast marzeń ściętej głowy o odzyskaniu dawnego znaczenia wypadałoby się z tym pogodzić. A tacy, co mylą Google z internetem przecież nie zaczną używać Firefoksa.

głupie unijne przepisy

Z typowym dla siebie biurokratycznym oderwaniem od rzeczywistości UE wprowadziła kiedyś obowiązek pytania o zgodę operatora przeglądarki na zapisywanie przez nią ciasteczek (fasowanych od dawna przy praktycznie każdym kontakcie przeglądarki z dowolną stroną internetową), próbowałem się dopatrzeć jasnych stron tego pomysłu i nie umiałem. A jednak — już po kilku latach (prawo podobno obowiązuje od maja 2011) — gotów jestem uwierzyć że są, a przynajmniej mogą być. To się jeszcze okaże, ale podobno prawo ciasteczkowe może zostać użyte przeciw producentom kontentu dyskryminujących konsumentów używających ad-blokerów, czyli oprogramowania blokującego gówno którego nikt nie chce oglądać, a i tak musi (reklama dźwignią handlu). Bo żeby ad-blokera wykryć trzeba wymacać czy użytkownik go używa, a wg prawa ciasteczkowego nie wolno nikogo macać bez jego wyraźnej zgody. Nim przejdę do niepokojącej refleksji odsyłam do (mojego) źródła dobrej nowiny: Ad-blocker blocking websites face legal peril at hands of privacy bods.

No cóż, jeśli z nawet najgłupszego przepisu da się kiedyś zrobić dobry użytek, to można śmiało uznać że nie ma głupich przepisów, że one tylko cierpliwie czekają na zaistnienie sprzyjających okoliczności. Jak dzielna kupa na której się jakiś niedoszły morderca kiedyś poślizgnie i przez to nikogo nie zabije. Mnóżmy więc durne przepisy, jak zajdzie potrzeba to kij się zawsze znajdzie.

---

DODANE: w komentarzu pod linkowanym tekstem Hanff twierdzi że mieszka w Polsce. Hm, prawie jak Snowden. Ale gdzie on widział beczkę wódki za 30 zł?

metkowanie zakładek w Firefoksie

"Zapytany o godzinę zaczyna omawiać budowę zegarka" — taka była kiedyś poglądowa definicja nudziarza (dziś każdy ma zegarek w telefonie). Mnie nawet nie trzeba pytać.

Chociaż staram się być plastyczny i nie przywiązywać, to jednak doceniam nawyki ułatwiające życie. Więc gdy już się przywiążę to stawiam opór w obronie przyzwyczajeń, jak każdy. Firefoksa używam od zawsze, ale dopiero od niedawna z pełnym przekonaniem. Wciągnęły mnie tagowane (pol.: metkowane) zakładki automatycznie synchronizowane na wszystkich kilku komputerach których używam. Dla mnie to kilerficzer czyli trudno bez tego żyć. Zakładek też używałem od zawsze, łatwo jest zrobić zakładkę. Trudno ją jednak potem znaleźć, łatwiej już wyguglać stronę od nowa. Od czasu gdy zakładki w Firefoksie można metkować pojawiły się pierwsze sukcesy, mogę już chyba powiedzieć, że nie tylko używam, ale i korzystam.

Z niejasnych powodów Firefox dla Windows długo pozostawał 32 bitowy, dopiero teraz ma się to zmienić. Dobrzy ludzie oczywiście kompilowali 64 bitowego Firefoksa, sam długo korzystałem z uprzejmości właściciela strony xhmikosr.1f0.de, którą znalazłem kiedyś szukając 64 bitowej wersji Sumatra PDF (tylko na Windows, ale dobre). Ale jak ma być wreszcie oficjalna 64 bitowa wersja, to on przestał. Ściągnąłem więc z mozilla.org to co na razie dają, wersję Developer Edition, czyli oczko albo dwa do przodu. I co za przykrość, już przy pierwszej próbie zrobienia zakładki — kupa. Kursor zamiast jak zwykle wskoczyć w pole do metkowania wskakuje na pierwsze z brzegu pole z nazwą zakładki. Uznając, że tak bezsensowna zmiana mogła być tylko dziełem przypadku, postanowiłem odczekać. Niestety w kolejnej wersji zmiana uparcie się utrzymała. Przyszło mi wtedy do głowy, że nawet drobna zmiana w porządnym programie powinna być konfigurowalna, nie wszyscy muszą podzielać zdanie jej autora, czy raczej frakcji która aktualnie uzyskała przewagę — bo ktoś jednak wcześniej wpadł na genialny pomysł, że skoro inteligentni ludzie metkują zakładki, to warto im to maksymalnie ułatwić.

Firefox jest porządnym programem, magiczne zaklęcie brzmi about:config, trzeba je podać zamiast adresu strony. Rzuciłem okiem na ustawienia zawierające "book" — browser.bookmarks.editDialog.firstEditField z ustawieniem namePicker musiało być tym, czego szukałem. Zamieniłem więc namePicker na tagsPicker i niewiele zyskałem, teraz kursora nigdzie nie było. Spróbowałem tagPicker i też nic. Tu mnie olśniło, przecież w starej wersji musi być dobrze. W starej wersji (36.0.1) było tagsField. To podziałało. Bardzo możliwe, że gdy już wyjdzie oficjalnie (podobno w maju) wersja 64 bitowa, to z takim ustawieniem jak lubię. Ale teraz mam w nosie.

ustawienia domyślne

Ang. "default settings" tłumaczone jest na polski jako ustawienia domyślne. Wolałbym ustawienia standardowe albo automatyczne. Czy nawet bezmyślne, bo nie wiem kto i czego się domyśla. Nie będę jednak zawracał Wisły kijem i przejdę do rzeczy. Ostatnio w wolnych chwilach bawię się LyXem czyli edytorem do w miarę bezbolesnego tworzenia dokumentów w LaTeXie (czytaj latechu). Wiele się nie nabawiłem, ale już chcę się podzielić swą radością. Genialne, po prostu genialne… Otóż w LyXie nie można wstawić choćby dwóch spacji obok siebie, nie można też wstawić więcej niż jednego entera, bo następne są ignorowane! Bynajmniej nie kpię, widziałem już tyle dokumentów Worda w których podział na strony wymuszono wciskaniem entera, że tak bez­cere­monialne ograniczenie twórczej swobody piszącego naprawdę mnie zachwyciło. I cóż uczyni prosty człowiek, któremu program nie da zrobić nowej strony bezmyślnym duszeniem entera? Jeśli mądry, to pewnie zaraz się nauczy zaczynać nową stronę po ludzku — i będzie to krok w dobrym kierunku. (Jeśli nie, to tylko się wkurzy i poszuka innego, bardziej normalnego edytora. Nikt nie lubi być traktowany jak dziecko, ale szczególnie źle znoszą to ludzie dziecinni).

Tym razem to ja musiałem się dowiedzieć jak wstawić kilka spacji obok siebie. Korona mi z głowy nie spadła i oczywiście da się, bo jak inaczej napisać coś  r o z s t r z e l o n y m   d r u k i e m  zachowując sensowne odstępy między wyrazami? Ale taka potrzeba zachodzi niezmiernie rzadko, więc na pozór perwersyjne ustawienia domyślne LyXa nie są wcale głupie. To czysty żywy miękki paternalizm w akcji, nie tyle kaftan bezpieczeństwa, co przemyślny gorsecik kształtujący właściwą postawę i krępujący niezdrowe skłonności. Pełna wolność spleciona z umiłowaniem tradycji jest natomiast w Winwordzie. Tu możesz sobie napaćkać spacji i enterów do woli, bo program — zgodnie z oczekiwaniami — działa jak tradycyjna maszyna do pisania. Niech inni się potem męczą.

Wielokrotne spacje są też ignorowane w dobrze znanym HTMLu, więc przez chwilę wahałem się czy potrzebnie wywlokłem egzotycznego LyXa. Jednak potrzebnie, bo teraz będzie druga strona medalu. Otóż jakoś utarło się, że Ctrl-B wytłuszcza, Ctrl-U podkreśla, Ctrl-I pochyla. LyX jednak znowu wie lepiej i zamiast Ctrl-I jest Ctrl-E. No cóż, trzeba być pojebem żeby coś takiego wymyślić, więc oczywiście od razu zmieniłem. Może Ctrl-E jest fantastycznym pomysłem, było tam od dawna i tylko cały świat się myli. Całkiem możliwe, ale jednak warto nawiązać łączność z Ziemią i przyjąć utartą konwencję. Podobną uwagę mam do konsoli w linuksie, gdzie Ctrl-C tradycyjnie przerywa działanie programu. Tak jest, Ctrl-C przerywało od zarania dziejów, przerywało nawet w DOSie, ale teraz można już o tym całkiem zapomnieć. Bo Ctrl-C — zgodnie z oczekiwaniami — ma kopiować. I dopóki w linuksie pielęgnują takie skamieliny, będzie to niestety ciągle system operacyjny raczej dla świrównonkonformistów.

Zwolennicy niczym nieograniczonego prawa do strzelania sobie w stopę (bo dorośli ludzie są dość racjonalnymi istotami dokonującymi samodzielnie najlepszych wyborów) uważają, że ustawienia domyślne w ogóle są złe. Uczą bierności i w rezultacie prowadzą do ograniczania wolności. A ja uważam, że mądrze wybrane ustawienia domyślne są świetne i niczyjej wolności nie zagrażają. Natomiast głupio wybrane są faktycznie okropne i nawet jeśli można je łatwo zmienić (o czym nie zawsze wiemy), to i tak podważają zaufanie do ustawiaczy. Reasumując, w zasadzie nie mam nic przeciw temu, by ktoś wybierał za mnie. O ile zrobi to lepiej niż ja. W praktyce oznacza to, że raczej sobie nie życzę.

profesor, a jednak mądry

Polecam wszystkim krótką rozmowę z Vetulanim (Instytut Farmakologii PAN w Krakowie): Należy zezwolić na legalny handel stymulantami. Polecam nieobiektywnie, bo podoba mi się rzeczowe podejście Vetulaniego:

Paradoks polega na tym, że te najsilniej uzależniające, jak nikotyna czy alkohol, są legalne, a substancje przez wielu uważane za nieszkodliwe, a w każdym razie nieuzależniające, jak marihuana, mają status nielegalnych. Problem w tym, że ta ostatnia, sprzedawana przez dilerów w Polsce, zawiera z reguły domieszkę silnie uzależniającej metaamfetaminy. Tak więc kryminalizacja marihuany jest dużo bardziej szkodliwa niż sama natura tej używki.

Mogę się więc założyć, że nasi dzielni posłowie uchwalą wkrótce ustawę kryminalizującą dopalacze i fanszopy, bo choć pobożne życzenia kretynów hipokrytów nigdy i nigdzie nie spełniają się do końca, to u nas z reguły spełniają się przynajmniej częściowo.

---

Nie ma substancji nieszkodliwych dla zdrowia, nawet zwykła woda jest śmiertelną trucizną. Przedawkowanie wody prowadzi do hiponatremii połączonej z obrzękiem mózgu i często kończy się śmiercią. Poniżej trzy przypadki (było więcej, jakiś maratończyk, dziewczyna, która słyszała, że po ecstasy trzeba pić dużo wody – ale nie chce mi się szukać).
Mother dies after drinking four litres of water in two hours
Man dies after drinking 10 litres of water in eight hours
US water contest radio sacks 10
Why is too much water dangerous?

---

A na koniec piosenka: Tom Lehrer - The old dope peddler. Tu tekst, tu słychać, a tu słychać na żywo.

Piosenka Lehrera (z 1953) jest parodią jeszcze starszej piosenki The Old Lamplighter. Proszę sobie doczytać.

---

DODANE: w cytacie z Rzepy jest błąd, nie meta-amfetamina tylko metamfetamina (nazwa pochodzi od metyloamfetaminy).