16 maja 2025

◢ #unknownews ◣

Zapraszam do lektury dzisiejszego wydania newslettera.

Pracujesz ze środowiskami Linuksowymi i chcesz lepiej poznać ich zasadę działania oraz nauczyć się rozwiązywania najczęściej występujących tam problemów? Mam coś dla Ciebie.

1) Domowy serwer z laptopa? Tanie i energooszczędne rozwiązanie (film, 17m)
https://www.youtube.com/watch?v=CIBmVXteOcI
INFO: Czy stary laptop może pełnić funkcję domowego serwera? Okazuje się, że tak – i to całkiem nieźle. W filmie przebudowane zostały trzy stare laptopy (w tym dwa MacBooki i jeden Dell Latitude) tak, by pełniły funkcje serwerów: TrueNAS-a, Proxmoxa i backupu Proxmox. Autor dzieli się wynikami zużycia prądu, konfiguracją dysków, a przy okazji omija typowe problemy, jak usypianie przy zamknięciu klapy. Całość osiąga zużycie mniejsze niż 50W w idle przy pełnej funkcjonalności HomeLabu.

2) Pierwszy żywy procesor z organoidów mózgowych – przyszłość AI bez krzemu? (film, 19m)
https://www.youtube.com/watch?v=nmDyiiEdHeE
INFO: FinalSpark – szwajcarski startup – tworzy pierwszy na świecie “biologiczny procesor” z wykorzystaniem ludzkich organoidów mózgowych. Okazuje się, że to nie science fiction. 16 miniaturowych ‘mózgów’ komunikuje się, uczy i zużywa ponad milion razy mniej energii niż klasyczne układy krzemowe. W filmie zobaczysz, jak wygląda i działa to rozwiązanie. Czy to ciekawy kierunek dla dalszego rozwoju sztucznej inteligencji? Tego nie wiem. Warto rzucić okiem.

3) AI Engineer Pack od ElevenLabs - narzędzia i usługi dla programistów
https://www.aiengineerpack.com/
INFO: Zestaw zniżek, darmowych planów i kredytów, skierowany głównie do osób budujących narzędzia i aplikacje z wykorzystaniem AI. Obejmuje dostęp do platform developerskich, usług chmurowych, narzędzi do obsługi kodu, generowania treści, zarządzania danymi i automatyzacji. Jeśli szukasz zniżek na soft i usługi, to warto rzucić okiem.

4) Symulator telewizji kablowej z lat 90. oparty na Raspberry Pi (film, 18m)
https://www.youtube.com/watch?v=CDW1wokbRiQ
INFO: Autor postanowił zbudować urządzenie, które symuluje klimat telewizji kablowej z lat 90. na jego telewizorze. Całość bazuje na Raspberry Pi i projekcie FieldStation42. W filmie zobaczysz, jak stworzyć własną stację telewizji kablowej, przygotować treść do nadawania i „nadajniki”, a nawet jak zbudować działającą atrapę dekodera z wyjściem do starego telewizora analogowego. Jeśli interesujesz się retro elektroniką lub po prostu lubisz dłubać z użyciem malinki, to ten projekt jest dla Ciebie.

5) Dlaczego najlepsi pracownicy stawiają tezy, a nie tylko dzielą się obserwacjami
https://newsletter.weskao.com/p/why-high-performers-make-assertions
INFO: Zwracanie uwagi na trendy i dzielenie się przemyśleniami to za mało, by naprawdę wpływać na decyzje w firmie. Artykuł pokazuje różnicę między insightem, sugestią a tezą (ang. assertion) i wyjaśnia, dlaczego właśnie to ostatnie odróżnia świetnych specjalistów od całej reszty. Z tekstu dowiesz się też, jak formułować własne tezy, brać za nie odpowiedzialność i skutecznie proponować kierunek działania także w złożonych i niepewnych sytuacjach.

6) Jak muzyczne DNA łączy pokolenia - eksperyment muzyczny
https://pudding.cool/2025/04/music-dna/
INFO: Ciekawa kompilacja pokazująca, jak niektóre brzmienia ewoluowały i przechodziły z pokolenia na pokolenie. To zdecydowanie treść z kategorii “ciekawostka”, ale za to ciekawie zrealizowana. Ze względu na to, że jest to eksperyment muzyczny, musisz włączyć dźwięk. Po prostu scrolluj i słuchaj.

7) Jak działają czytniki banknotów i dlaczego nie da się ich łatwo oszukać
https://something.fromnothing.blog/posts/dolla-dolla-bill-yall/
INFO: Autor zagłębia się w technologię “walidatorów banknotów” – urządzeń, które analizują prawdziwość gotówki w bankomatach, kasach, automatach itp. Pokazuje, jak wykorzystywane są m.in. fotodetektory, UV, IR, magnetyczne paski, a nawet głowice magnetofonowe do detekcji fizycznych cech banknotów. Mimo że na pierwszy rzut oka całość wygląda prosto, to jednak kombinacja tych różnych metod sprawia, że oszukanie tych urządzeń w praktyce jest bardzo trudne i nieopłacalne.

8) Dlaczego warto mieć Pi-hole w swojej sieci domowej?
https://den.dev/blog/pihole/
INFO: Autor opowiada o tym, jak Pi-hole pozwala skutecznie blokować reklamy, trackery i niepożądane domeny już na poziomie DNS w całej domowej sieci. W artykule znajdziesz też opis instalacji i konfiguracji tego rozwiązania. Krótka i przystępna lektura.

9) Reservoir sampling - jak losować, gdy nie znasz rozmiaru zbioru?
https://samwho.dev/reservoir-sampling/
INFO: Objaśnienie, jak działa algorytm reservoir sampling, pozwalający uczciwie losować elementy ze strumienia danych o nieznanym rozmiarze, przy minimalnym zużyciu pamięci. Przykłady z losowaniem kart i problemem przeciążania usług logowania świetnie ilustrują realne zastosowania takiego algorytmu. Nie znałem tego rozwiązania wcześniej, a jest naprawdę sprytne.

10) Dlaczego height: 50% nie działa w CSS i jak to naprawić?
https://www.joshwcomeau.com/css/height-enigma/
INFO: W artykule wyjaśniono, dlaczego deklaracje typu “height: 50%” często nie dają żadnego efektu. Problem leży w tzw. 'circular calculation’, gdzie dziecko próbuje obliczyć wysokość względem rodzica, który z kolei nie ma jeszcze ustalonej wysokości. Autor tłumaczy, jak zadbać o to, aby wysokość była jednak znana za pomocą jednostek takich jak rem lub używając Grid/Flexboxa, który zmienia kontekst obliczania rozmiarów. Artykuł wskazuje też pułapki związane z używaniem min-height oraz pokazuje, jak różne tryby layoutu wpływają na sposób ustalania rozmiarów elementów.

11) Nieetyczny eksperyment z AI na Reddicie
https://www.theatlantic.com/technology/archive/2025/05/reddit-ai-persuasion-experiment-ethics/682676/
INFO: Badacze z Uniwersytetu w Zurychu przeprowadzili na popularnym subreddicie tajny eksperyment, w którym publikowali komentarze generowane przez AI, udając prawdziwych użytkowników. Celem badania było sprawdzenie, jak skuteczne są spersonalizowane wypowiedzi AI w zmienianiu ludzkich przekonań. Zrobili to bez wiedzy i zgody uczestników, więc teraz czekają ich konsekwencje od komisji etyki. Więcej szczegółów w artykule.

12) Testowanie bezpieczeństwa aplikacji wygenerowanych przez AI (film, 7m)
https://www.youtube.com/watch?v=W213XfllNaE
INFO: Autor (fan cybersecurity) postanowił metodą “vibe codingu” wygenerować trzy proste aplikacje w trzech różnych technologiach (PHP, Java, Python), a następnie spróbował się do nich włamać. Udało się ujawnić m.in. podatności typu XSS, RCE, SSRF oraz techniki pozwalające obejść pozornie solidne zabezpieczenia proponowane przez AI. Ciekawie zaprezentowany temat i jednocześnie ostrzeżenie przed jakością softu generowanego przez automaty.

13) Generator krytycznego CSS - wersja online
https://critical-css-extractor.kigo.studio/
INFO: Dzięki temu narzędziu możesz szybko wygenerować tzw. 'critical CSS’ dla dowolnego adresu URL. Wygenerowany arkusz stylów zawiera tylko te reguły CSS, które są potrzebne do wyświetlenia początkowego widoku strony, co może skrócić czas jej ładowania i pozbyć się efektu rozwalonej strony podczas zaciągania elementów zewnętrznych. Rozwiązanie przydatne zwłaszcza w kontekście optymalizacji Core Web Vitals.

14) Dlaczego publikowanie stron przez Figma Sites to proszenie się o problemy?
https://adrianroselli.com/2025/05/do-not-publish-your-designs-on-the-web-with-figma-sites.html
INFO: Figma Sites to usługa pozwalająca publikować projekty bezpośrednio z Figmy jako strony internetowe, ale generowany kod łamie mnóstwo zasad dostępności WCAG. Przykładowe strony promowane przez Figma zawierają poważne błędy, jak nieczytelny kontrast, brak altów, nieprawidłowe role ARIA oraz interakcje oparte jedynie na JavaScript bez standardowych elementów HTML. Dobry tekst dla osób zainteresowanych tematyką dostępności w internecie.

15) Jak wykorzystać niejednoznaczne parsowanie URL w Google OAuth do przejęcia konta
https://infosecwriteups.com/google-cloud-account-takeover-via-url-parsing-confusion-c5e47389b7c7
INFO: Autor opisuje podatność typu account takeover w OAuth, wynikającą z różnic w parsowaniu adresów URL pomiędzy backendem Google a przeglądarką użytkownika. Dzięki odpowiednio spreparowanemu redirect_uri atakujący może przechwycić token dostępu i uzyskać dostęp do konta Google Cloud ofiary bez jej wiedzy. Treść dla fanów security.

16) OrgSec Guide - poradnik tworzenia programu bezpieczeństwa w firmie
https://luisfontes19.github.io/orgsec-guide/index.html
INFO: Zbiór wskazówek i dobrych praktyk, jak krok po kroku budować plan bezpieczeństwa w organizacji. Projekt jest jeszcze w fazie budowy, ale już teraz może być dobrym punktem startowym do opracowania zasad panujących w Twojej firmie. Spis treści jest w menu „hamburgera”.

17) Dlaczego czasem warto pisać “przesadnie sprytny” kod?
https://buttondown.com/hillelwayne/archive/write-the-most-clever-code-you-possibly-can/
INFO: Większość poradników odradza pisanie sprytnego kodu, bo może być trudny do utrzymania — ten tekst pokazuje drugą stronę medalu, czyli kiedy takie podejście może wspierać rozwój umiejętności. Nie chodzi tutaj oczywiście o produkcyjne stosowanie tak napisanego kodu i wkurzanie nim kolegów z pracy. Mowa o edukacji przez zabawę.

18) Interaktywne kartogramy pokazujące dane o populacji, emisjach CO2, PKB itp.
https://www.maximiliankiener.com/neighbors/
INFO: Zbiór wykresów-map, które przekształcają powierzchnię krajów proporcjonalnie do wybranego wskaźnika – populacji, emisji CO2, PKB i innych. Dzięki temu łatwo zauważyć globalną nierówność w niektórych obszarach i zaskakujące zależności między liczbami. Wrzucam jako ciekawostkę.

19) Jak szybciej kopiować duże bazy danych SQLite między komputerami?
https://alexwlchan.net/2025/copying-sqlite-databases/
INFO: We wnętrzu bazy danych SQLite znajdują się nie tylko dane, ale także indeksy przyspieszające wyszukiwanie. Niekiedy rozmiary tych indeksów bywają ogromne, przez co sam plik z bazą może ważyć nawet kilka GB. Autor pokazuje sprytny sposób, jak takie sporych rozmiarów bazy szybko transportować między serwerami. W zaprezentowanym przykładzie udało się przesłać mającą ponad 3,4 GB bazę w formie pliku o rozmiarze 240 MB.

20) Jak Netflix używa Javy w 2025 roku? (film, 48m)
https://www.youtube.com/watch?v=XpunFFS-n8I
INFO: Techniczny wykład na temat wykorzystania technologii Java we wspomnianej firmie. Jakiej wersji JDK używają, dlaczego przestali używać RX Java, dlaczego zrobili własnego forka Spring Boota i jak się na niego zmigrowali. Sporo o kwestiach architektonicznych i specyficznych możliwościach Javy, które wykorzystują w firmie.

21) Jak zabezpieczono BlackBerry Baracka Obamy w 2009 roku
https://www.electrospaces.net/2013/04/how-obamas-blackberry-got-secured.html
INFO: Po objęciu urzędu prezydenta Barack Obama chciał zachować swojego BlackBerry, mimo obaw o bezpieczeństwo oraz wymogów prawnych dotyczących np. archiwizacji korespondencji. NSA i inne agencje opracowały więc rozwiązanie: specjalnie zmodyfikowany telefon, kompatybilny z BlackBerry. Komunikacja była możliwa tylko z osobami posiadającymi taki sam poziom szyfrowania, co znacząco ograniczyło jego kontakt z otoczeniem. Interesująca historia i ciekawe rozwiązanie softwarowo-hardwarowe.

22) Domowy serwer dostępny z internetu – krok po kroku
https://hiruthicsha.medium.com/how-i-set-up-a-home-server-that-i-can-access-from-anywhere-722b7339f54a
INFO: Nie każdy użytkownik sieci posiada publiczny adres IP. Często więc wystawienie swojego domowego serwera na świat bywa problematyczne. Autor opisuje, jak udało mu się za pomocą rozwiązania, np. od Tailscale czy Cloudflare, zbudować rozwiązanie, które pomimo bycia za NAT-em pozwoliło na dostęp ze świata do jego prywatnych zasobów.

23) SQL Injection w erze ORM-ów - czy to możliwe?
https://afine.com/pl/sql-injection-w-erze-orm-ow-ryzyka-sposoby-ochrony-oraz-dobre-praktyki/
INFO: Wbrew obiegowej opinii, korzystanie z ORM-ów nie daje pełnej ochrony przed SQL Injection. Wszystko zależy od tego, jak poprawnie je wykorzystamy. Artykuł tłumaczy, dlaczego mechanizmy ORM mogą nas czasami zawieść, pokazując prawdziwe przypadki niebezpiecznych implementacji w popularnych frameworkach, takich jak Hibernate, SQLAlchemy czy Sequelize. Dla każdej technologii otrzymujemy konkretne przykłady złych (podatnych) i poprawnych (bezpiecznych) fragmentów kodu. Lektura zarówno dla pentesterów, jak i programistów.

24) Liczba ataków DDoS wzrosła o 358% r/r – dane Cloudflare za Q1 2025
https://blog.cloudflare.com/ddos-threat-report-for-2025-q1/
INFO: Cykliczny raport firmy Cloudflare na temat globalnych statystyk ataków DDoS. Z roku na rok wygląda to niestety coraz gorzej. Ataków przybywa, a ich moc rośnie. Więcej szczegółów i danych liczbowych znajdziesz w raporcie.

25) Manifest - micro-backend w jednym pliku YAML
https://manifest.build/
INFO: Manifest to lekki, samohostowalny backend open source, który konfigurujesz w jednym pliku YAML. Udostępnia REST API, panel administracyjny, bazę danych i system przechowywania plików bez potrzeby pisania dodatkowego kodu. Idealnie nadaje się do prototypowania, MVP i małych produkcyjnych projektów.

26) Symulowanie scenariuszy błędów w API przy użyciu mocków
https://zuplo.com/blog/2025/05/13/simulating-api-error-handling-with-mock-apis
INFO: Mocki API pozwalają zasymulować różne błędne scenariusze w aplikacji — od typowych błędów HTTP po problemy sieciowe i degradację usług, i to bez ryzyka naruszenia środowiska produkcyjnego. Taka symulacja umożliwia testowanie reakcji aplikacji na trudne sytuacje i poprawę obsługi błędów jeszcze zanim trafią one do użytkowników. W artykule znajdziesz też krótki film przedstawiający implementację takiego mocka w OpenAPI.

27) Scraperr – samohostowalny scraper z interfejsem webowym
https://github.com/jaypyles/Scraperr
INFO: Narzędzie do scrapowania treści ze stron WWW, które możesz uruchomić lokalnie lub w swojej infrastrukturze, np. przez Dockera lub Helm. Ma przejrzysty interfejs webowy do zarządzania zadaniami, obsługę selektorów XPath, eksport danych, pobieranie multimediów i system powiadomień. Nie wymaga zaawansowanej wiedzy technicznej. Dobre rozwiązanie dla mniej wymagających użytkowników, którzy chcą w łatwy sposób pobrać dane z innej strony.

28) Historia przeglądarek internetowych – kto przetrwał, a kto odpadł? (film, 8m)
https://www.youtube.com/watch?v=jU5oNlof_AA
INFO: Skrótowe podsumowanie historii przeglądarek WWW – od pierwszych eksperymentalnych projektów lat 90. po nowoczesne narzędzia z wbudowanym AI. Dowiesz się, jak wyglądały początki (WorldWideWeb, Mosaic). Trochę o Netscape, Internet Explorerze, pojawieniu się Firefoksa i dominacji Chrome. Coś dla wielbicieli starych technologii.

29) Różne sposoby konwertowania wartości na string w JavaScript i ich pułapki
https://2ality.com/2025/04/stringification-javascript.html
INFO: Nie wszystkie metody konwersji wartości na string w JavaScript działają poprawnie dla każdego typu danych. Szczególnie problematyczne okazują się symbole, obiekty null, undefined oraz obiekty bez prototypu. Autor analizuje zachowania każdej z metod, pokazuje, jak poprawiać błędy w kodzie i omawia alternatywne metody konwersji na stringa.

30) Smallweb – minimalistyczne hostowanie plików z izolacją aplikacji
https://smallweb.run/
INFO: Każda aplikacja w tym rozwiązaniu to po prostu katalog, do którego przypisywana jest subdomena – utworzenie nowej apki to kwestia jednego mkdir. Wszystko działa bez konieczności budowania czy deployowania, a pliki są automatycznie widoczne po ich zapisaniu. Bezpieczeństwo zapewnia izolacja przez sandboxing oparty na Deno i ograniczony dostęp tylko do własnego katalogu aplikacji.

31) Pytania na juniora z sieci komputerowych - aktualizacja 2025
https://innasiec.pl/100-pytan-na-juniora-w-sieciach/
INFO: Przygotowana lista pytań i zagadnień obejmuje główne tematy związane z podstawami sieci komputerowych, adresacją IP, przełączaniem i protokołami warstwy drugiej. Pytania pozwalają nie tylko przygotować się do rozmowy o pracę, ale też oszacować swój poziom wiedzy.

32) Wykrywacz deepfake i obrazów generowanych przez AI od FaceOnLive
https://faceonlive.com/deepfake-detector/#try-panel
INFO: Narzędzie chwali się wysoką skutecznością w wykrywaniu grafik przerobionych przez sztuczną inteligencję. Nie tylko podpowiada, czy jest to fake, ale także próbuje odgadnąć, który z silników do generowania grafik wygenerował dane dzieło. Analiza obejmuje zarówno warstwę wizualną (np. nienaturalne oświetlenie, artefakty kompresji, strukturę pikseli), jak i metadane obrazu. Na moich testach wszystko wykryło poprawnie, ale nie oznacza to, że narzędziu możesz w pełni zaufać. Wrzucam bardziej jako ciekawostkę.

33) Przejdź od dobrych do świetnych animacji w interfejsach użytkownika
https://emilkowal.ski/ui/good-vs-great-animations?=
INFO: Zebrane w artykule porady pokazują, jak dopracować animacje w UI, by były bardziej naturalne i odczuwalne jako płynne i przyjemne. Przykłady kodu fajnie pokazują, jak detale (np. niewidoczna na pierwszy rzut oka synchronizacja koloru i ruchu) wpływają na ogólne wrażenie odbioru animacji.

34) Gmail to SQLite - zrzut maili do bazy
https://github.com/marcboeker/gmail-to-sqlite
INFO: Skrypt pozwala pobrać wszystkie wiadomości z Gmaila i zapisać je w formie bazy SQLite, umożliwiając późniejszą analizę z użyciem zapytań SQL. Może się dobrze sprawdzić np. do zestawienia ilości wiadomości od poszczególnych nadawców, identyfikacji największych maili czy wykrywania nieczytanych newsletterów. W artykule znajdziesz pełną instrukcję konfiguracji dostępu do API Google, przykład struktury bazy oraz gotowe zapytania SQL do analizowania danych.

35) Ciekawe sztuczki z widgetami w iOS (film, 37m)
https://www.youtube.com/watch?v=NdJ_y1c_j_I
INFO: Autor analizuje mechanizm animacji widżetów w iOS, który w praktyce pozwala na obchodzenie części ograniczeń systemowych. Ciekawe przykłady dość niestandardowego wykorzystania frameworków graficznych. To niekoniecznie oficjalnie wspierane możliwości, ale bardzo ciekawe z punktu widzenia reverse engineeringu i samej platformy iOS. Ciekawostka.

36) Archivealchemist - tworzenie archiwów z podatnościami do testów bezpieczeństwa
https://github.com/avlidienbrunn/archivealchemist
INFO: Jesteś pentesterem (bo nie hackerem przecież!) i potrzebujesz wytworzyć zip/tar bombę? A może archiwum, które wykonuje ataki path traversal, tworzy symlinki i hardlinki i ogólnie miesza nieźle w systemie? To narzędzie zrobi to za Ciebie. Użyteczne, gdy implementujesz rozwiązanie, do którego użytkownicy mogą uploadować swoje skompresowane pliki, a Ty dekompresujesz je przed użyciem. Wygeneruj kilka takich zepsutych archiwów i sprawdź, jak zachowa się Twoja aplikacja po ich obsłużeniu.

== LINKI TYLKO DLA PATRONÓW ==

37) Bootcamp AI – pełny kurs generatywnej sztucznej inteligencji (film, 66h)
https://uw7.org/un_cc06e16802f46
INFO: Bezpłatny i skrajnie rozbudowany kurs, który krok po kroku wprowadza w świat generatywnej AI. Od podstaw do poziomu średnio zaawansowanego. Program obejmuje praktyczne porady związane z pracą z modelami językowymi, inżynierią promptów, fine-tuningiem, tworzeniem agentów AI oraz integracją modeli z backendem i frontendem. W ramach głównego projektu uczestnicy przygotowują aplikacje edukacyjne do nauki języka japońskiego z użyciem AI. To nie jest mini kursik. To coś na kilka dni oglądania.

38) Bot dzwoniący za Ciebie i prowadzący socjotechniczny atak głosowy
https://uw7.org/un_1714ad2c5c77e
INFO: Ten projekt pozwala zautomatyzować cały proces rozmowy telefonicznej z ofiarą ataku typu vishing, wykorzystując klonowanie głosu, generowanie mowy i analizę odpowiedzi w czasie rzeczywistym. Integruje ElevenLabs, OpenAI oraz Twilio i Deepgram, aby stworzyć rozmówcę, który przeprowadza rozmowę krok po kroku zgodnie z przygotowanym wcześniej scenariuszem i reaguje dynamicznie na odpowiedzi rozmówcy. Narzędzie przeznaczone jest dla red teamów do legalnych testów bezpieczeństwa, a całość można uruchomić praktycznie na dowolnej maszynie – wymagania są minimalne, bo wszystkie ciężkie operacje odbywają się zdalnie przez API. Fajne rozwiązanie. Moduł phishingowy nie jest mi potrzebny i w zupełności wystarczyłby mi moduł załatwiania spraw przez telefon w urzędach ;)