Tak wygląda dzisiaj niebo nad Teheranem w środku dnia, po tym jak żydzi i amerykanie zniszczyli wczoraj w nocy składy ropy naftowej. Toksyczna chmura spowiła 10 milionowe miasto, powodując opady czarnego deszczu. Pamiętajcie o takich obrazkach jak w eurokołchozie ktoś wam powie, że kaucja za butelki, przytwierdzone nakrętki i papierowe słomki "ratują planetę".

http://x.com/Megatron_ron/status/2030653617779384624

#iran #wojna #usa

24

Nie są to jeszcze oficjalne wyniki ale zazwyczaj o tej porze to już się raczej nie zmieniają, bo większość głosowania odbywa się korespondencyjnie ale czasami bywa zaskoczenie. Tak więc na czas obecny gotówka zostaje jako prawny środek płatności i jest to zapisane w konstytucji. Oryginalna inicjatywa niby została odrzucona przez lekko ponad połowę ale kontr-projekt rządowy został przyjęty przez ponad 70% (jak to tu działa że są dwie inicjatywy na ten sam temat w formie kontr-projekty pośrednie i bezpośrednie, to temat na inny wpis).

Dodatkowo Helweci odrzucili pomysł stworzenia funduszu klimatycznego. Zgodzili się (chociaż tutaj to jeszcze nie wiadomo) na osobne rozliczanie podatkowe małżeństw (ten temat, to też na inny wpis). Oraz odrzucili (po raz drugi) zmniejszenie opłaty za abonament RTV. Z tym że za pierwszym razem chcieli ją znieść, tym razem zmniejszyć z 330 na 200 chf (finansowanie TVR państwowego to też temat na inny wpis).

Jak będą jakieś ciekawe tematy w głosowaniach kantonalnych, czy gminnych (bo te były federalne), to wrzucę później.

#politka #demokracjabezposrednia #szwajcaria #swissinfo

8

Bardzo ciekawy wpis pojawił się na Forum Wanda,w temacie zaginięcia Krzysztofa Dymińskiego. Rodzice jego uruchomili stronę z listem dla niego, który chroniony jest hasłem. Strona /choć o tym nie informuje/ zawiera sporą ilość skryptów potrafiących zbierać dane o odwiedzających ją. Ktoś zrobił jej audyt:

autor: TechVantage » pn lut 02, 2026 11:53 pm

W sierpniu 2024 r. pojawiła się w Internecie strona //dokrzyska.dyminski.pl//, mająca według publicznie dostępnych informacji służyć do przekazania wiadomości zaginionemu Krzysztofowi Dymińskiemu.

Temat wzbudził szerokie zainteresowanie w mediach i społecznościach internetowych, zarówno ze względu na okoliczności zaginięcia, jak i formę strony. Celem tego dokumentu jest techniczna ocena właściwości informatycznych strony — analiza skryptów, formularza, mechanizmów zbierania danych i ich potencjalnych skutków. Audyt nie ocenia motywacji twórców ani sytuacji rodzinnej i nie jest narzędziem poszukiwawczym.

Analiza opiera się na publicznie dostępnych źródłach — kodzie strony, jej archiwalnych wersjach oraz standardowych narzędziach audytowych. Celem jest opisanie i udokumentowanie technicznych właściwości oraz możliwych konsekwencji stosowanych rozwiązań, bez przypisywania intencji czy wartościowania decyzji autorów.

---

:alien: Audyt bezpieczeństwa strony ///dokrzyska.dyminski.pl/// oraz jej zarchiwizowanej wersji pod adresem: http://web.archive.org/web/20240828230 ... minski.pl/ (28 sierpnia 2024).

Zakres: strona, skrypty JavaScript, formularz, logowanie po stronie serwera

Cel: audyt nie jest próbą wyjaśniania jakichkolwiek zdarzeń ani oceną działań ludzi, intencji czy emocji. Nie odnosi się do poszukiwań ani do losu Krzysztofa, ale ocenia wyłącznie techniczne właściwości systemu informatycznego. Dokument nie opiera się na autorytecie autora, lecz na publicznie dostępnych artefaktach technicznych, które każdy może samodzielnie zweryfikować. Analizie podlegał kompletny, niezmodyfikowany kod strony oraz jego faktyczne wykonanie w przeglądarce, a nie wybrane fragmenty.

Odbiorcy: audyt nie jest kierowany do społeczności interesującej się poszukiwaniami Krzysztofa. Ocenia jedynie zastosowane środki techniczne.

Podsumowanie: audytor nie zna motywacji twórców strony i nie próbuje ich oceniać; audyt opisuje wyłącznie skutki techniczne zastosowanych rozwiązań.

Deklarowanym celem strony jest przekazanie prywatnej wiadomości zaginionemu Krzysztofowi Dymińskiemu. Z czysto technicznej strony zastosowana implementacja zawiera mechanizmy, które nie są technicznie konieczne w minimalnej implementacji tego typu witryny. Dokument opisuje publicznie dostępny kod i jego techniczne konsekwencje, bez formułowania ocen prawnych ani przypisywania intencji komukolwiek.

Niniejszy audyt dotyczy wyłącznie technicznych właściwości jawnego kodu uruchamianego w przeglądarce użytkownika po wejściu na stronę internetową. Wnioski audytu nie są próbą interpretacji celów, dla których strona została utworzona, lecz oceną //adekwatności zastosowanych mechanizmów technicznych względem deklarowanej funkcji strony//, w świetle powszechnie przyjętych standardów bezpieczeństwa i ochrony danych. Audyt nie przesądza, w jaki sposób zebrane dane były lub miały być wykorzystywane, ani czy doszło do jakiegokolwiek nadużycia. Wskazuje wyłącznie, że z perspektywy bezpieczeństwa taki zestaw mechanizmów bywa używany do identyfikacji użytkowników w sposób wykraczający poza minimalne wymagania funkcjonalne, co rodzi określone ryzyka regulacyjne i wizerunkowe. Kontekst społeczny i emocjonalny sprawy nie wpływa na treść obserwacji technicznych, ponieważ dotyczą one obiektywnie weryfikowalnych właściwości kodu, niezależnych od intencji autorów strony pod adresem: dokrzyska.dyminski.pl

Innymi słowy: audyt nie wymaga wiedzy detektywistycznej ani prawnej — opiera się na analizie statycznej i dynamicznej kodu JavaScript oraz obserwacji ruchu sieciowego w przeglądarce użytkownika, co jest standardową praktyką w audytach bezpieczeństwa aplikacji webowych. Audyt nie przesądza też celu ani sposobu wykorzystania opisanych mechanizmów. Jego jedynym celem jest dokumentacja ich istnienia oraz wskazanie konsekwencji, jakie mogą z nich wynikać w innych, porównywalnych implementacjach. Audyt został przygotowany w dobrej wierze, z myślą o poprawie bezpieczeństwa i zgodności narzędzi wykorzystywanych w komunikacji publicznej.

Ten dokument:

- nie ocenia rodziny ani działań poszukiwawczych,

- nie spekuluje, gdzie jest Krzysztof,

- nie formułuje oskarżeń przeciwko nikomu w związku z zaginięciem KD

- opisuje wyłącznie to, co technicznie dzieje się w przeglądarce użytkownika po wejściu na stronę.

- audyt bezpieczeństwa nie jest narzędziem poszukiwawczym - jego celem nie jest pomoc w odnalezieniu osoby, lecz ocena właściwości technicznych systemu informatycznego.

Wnioski opierają się na:

- publicznie dostępnych plikach strony,

- standardowych narzędziach analizy kodu,

- wynikach możliwych do samodzielnego zweryfikowania (polecenie przeglądarki internetowej: Pokaż źródło).

Analiza mechanizmów odpowiedzialnych za ruch na stronie:

1. Fingerprint.js (`/static/opfs.min.js`) generuje unikalny identyfikator urządzenia oraz pozwala na powiązanie wielokrotnych wizyt z tym samym urządzeniem.

2. Skrypt PHP (`/fingerprint.php`) odbiera dane z fingerprint.js i zapisuje je w logach serwera – każda wizyta i wpisanie formularza są rejestrowane.

3. Google Analytics (`gtag.js`) odpowiada za rejestrowanie aktywności użytkownika w czasie rzeczywistym i przesyłanie danych do podmiotu trzeciego w USA bez uprzedniej zgody odwiedzającego.

4. Prosty formularz HTML wymaga podania hasła do odczytu treści, ale brakuje mechanizmu anonimizacji oraz szyfrowania danych przed przesłaniem.

Działanie: po wejściu na wskazaną stronę internetową, automatycznie – bez aktywnego działania użytkownika oraz bez mechanizmu pozyskania zgody – uruchamiany jest skrypt /static/opfs.min.js, który:

- zbiera szczegółowe informacje techniczne dotyczące przeglądarki i urządzenia końcowego użytkownika,

- generuje unikalny identyfikator przeglądarki („unique fingerprint”) oraz trwały identyfikator oparty o cechy sprzętowe i programowe („persistent fingerprint”),

= przesyła te identyfikatory metodą POST do zasobu serwerowego /fingerprint.php.

Innymi słowy, po wejściu na stronę dokrzyska.dyminski.pl nie musisz nic wpisywać, nie musisz klikać, nie musisz też podawać hasła - a mimo to strona automatycznie zbierze i zapisze informacje o Twoim urządzeniu.

Dzieje się to dlatego, że przeglądarka internetowa zawsze ujawnia pewne cechy techniczne, strona aktywnie je zbiera i łączy w unikalny „odcisk palca”.

Ten „odcisk palca” działa jak identyfikator Twojego urządzenia w internecie i pozwala rozpoznać Cię przy kolejnych wizytach — nawet jeśli: usuniesz cookies, zmienisz IP, użyjesz trybu incognito, użyjesz TOR lub VPN. Możliwe jest odtworzenie schematu: „urządzenie iPhone odwiedza stronę co 2–3 dni, zawsze wieczorem”.

Strona tego typu nie musi zawierać elementów identyfikujących użytkownika i analitycznych. Minimalną implementacją wystarczającą do realizacji celu jest statyczna strona HTML. Autorzy strony mogą wskazywać, że mechanizmy te miały na celu wyłącznie ochronę przed nadużyciami lub analizę ruchu. Audyt ten nie kwestionuje tej możliwości, lecz wskazuje, że zastosowane środki mogą być postrzegane jako nieproporcjonalne do deklarowanego celu.

Rozbudowany skrypt zbiera dane na temat konfiguracji sprzętowej i programowej (fingerprinting klasy „anti-fraud / tracking”) urządzenia łączącego się z internetem. Zautomatyzowane narzędzia do debugowania stron określają jego działanie jako narzędzie analizujące obiektywne kryteria techniczne. Tym samym strona przestaje być "tylko" listem.

Celem skryptu dołączonego do strony jest tworzenie unikalnego i trwałego identyfikatora użytkownika na podstawie kilkudziesięciu cech przeglądarki, sprzętu i systemu, bez użycia cookies i bez zgody odwiedzającego tę stronę internetową. Strona sprawdza m.in. jaki masz system operacyjny i przeglądarkę, jaką masz kartę graficzną, jak renderuje się grafika i dźwięk na Twoim urządzeniu, jakie masz czcionki, rozdzielczość ekranu, strefę czasową, jak zachowuje się silnik JavaScript w Twojej przeglądarce.

Każda z tych rzeczy osobno niewiele znaczy, ale razem tworzą niemal unikalny profil urządzenia. Opiszmy te mechanizmy od strony technicznej:

1. Fundament: funkcja hashująca:

js

function murmurhash3_32_gc(key, seed) { ... }



To implementacja MurmurHash3: szybki, deterministyczny hash; z tego samego zestawu danych zawsze wyjdzie ten sam numer; nie da się z hasha łatwo odzyskać danych wejściowych

Cel: zamienić zestaw cech urządzenia w jeden „numer tożsamości”.

2. Wykrywanie przeglądarki i mechanizmów ochrony. Funkcje typu:

js

isSafari()

isChrome()

isFirefox()

isBrave()

isFirefoxResistFingerprinting()



Po co? żeby ominąć mechanizmy anty-fingerprintingowe; dobrać inne metody zbierania danych, jeśli przeglądarka się broni; wykryć Brave / Firefox RFP / Safari (przeglądarka używana w urządzeniach iPhone/Mac). To już aktywny fingerprint evasion detection, a nie pasywna analityka.

3. WebGL fingerprint (ekstremalne)

js

webglInfo

webglProgram



Zbiera m.in. GPU (vendor + renderer), wersje shaderów, precyzję shaderów, listę rozszerzeń, setki parametrów OpenGL. Potem:

js

murmurhash3_32_gc(JSON.stringify(...))



To są mechanizmy jednoznacznej identyfikacji przeglądarki stosowane m.in. w bankach (w literaturze branżowej taki zestaw technik bywa określany jako browser fingerprinting).

4. Sprzęt i system. Zdradza konkretną klasę sprzętu:

js

hardwareConcurrency // liczba rdzeni CPU

deviceMemory // RAM

jsHeapSizeLimit

performance.now jitter

math precision

5. Lokalizacja pośrednia pozwala zawęzić region geograficzny:

js

timezone

timezoneOffset

language

languages[]



6. Składanie fingerprintów:

Na końcu:

js

var uniqueFp = hash(JSON.stringify(profile))



pełny fingerprint sesyjny

oraz:

js

var persistentFpComponents = [

jsHeapSizeLimit,

audioContext,

canvasAPI,

performance,

speechSynthesis,

webglInfo,

webglProgram

];

var persistentFp = hash(JSON.stringify(persistentFpComponents))



fingerprint trwały

- odporny na czyszczenie cookies, tryb incognito, zmianę IP,

- zmienia się dopiero przy: zmianie sprzętu, zmianie GPU / sterowników, dużym update OS.

7. Co dokładnie zwraca skrypt i gdzie zapisuje dane:

js

{

fingerprint: uniqueFp,

fingerprints: {

uniqueFp,

persistentFp

},

profile: { ... pełny profil urządzenia ... }

}



I to dokładnie było potem wysyłane na serwer (każde wejście zapisywane jest do pliku fingerprint.php):

js

POST /fingerprint.php

Proces ten następuje już w momencie załadowania strony, niezależnie od tego, czy użytkownik:

- poda hasło,

- odczyta wiadomość,

- podejmie jakąkolwiek interakcję ze stroną.

Podsumowanie: ten skrypt to NIE statystyka, analityka ruchu czy „zwykłe" Google Analytics”. To jest cross-session device fingerprinting bez cookies i automatyczna identyfikacja przeglądarki / urządzenia użytkownika.

Ten skrypt identyfikuje urządzenie tak dokładnie, że można rozpoznać powracającego użytkownika nawet po miesiącach bez jego wiedzy. To jest pełnoprawny, zaawansowany system klasy enterprise, zdolny do identyfikowania użytkownika nawet po zmianie IP, cookies i trybu incognito. Opisane mechanizmy są powszechnie dostępne w bibliotekach open-source i ich użycie samo w sobie nie przesądza o ich celu.

Niezależnie od kontekstu społecznego i emocjonalnego sprawy, przedstawione obserwacje pozostają aktualne, ponieważ dotyczą obiektywnych właściwości kodu uruchamianego w przeglądarce użytkownika.

W ocenie audytora funkcjonalność strony nie jest spójna z jej deklarowanym celem i zasadą minimalizacji danych. Z perspektywy bezpieczeństwa i ochrony danych osobowych, zastosowane mechanizmy mogą wiązać się z ryzykiem niezgodności z wymogami wskazanymi w art. 5 i 13 RODO - proces ten odbywał się automatycznie w momencie załadowania strony bez możliwości wyrażenia sprzeciwu, bez przedstawienia tożsamości Administratora, okresu przechowywania danych ani przysługujących odwiedzającemu stronę praw. Dodatkowo na stronie wykorzystywane są narzędzia analityczne Google Analytics ///gtag('config', 'G-87GF31Y8B6'// - które powodują dalsze przekazywanie danych dotyczących użytkownika do podmiotu trzeciego z siedzibą w USA, również bez uzyskania zgody użytkownika oraz bez spełnienia obowiązku informacyjnego. Na stronie nie wskazano także podstawy prawnej przetwarzania zebranych przez nią danych (art. 6 ust. 1 RODO). Połączenie danych Google Analytics z lokalnym fingerprintingiem eliminuje randomizację użytkownika.

Podkreślam, że zgodnie ze stanowiskami EDPB oraz orzecznictwem Trybunału Sprawiedliwości UE, techniki identyfikacji precyzyjnej przeglądarki stanowią formę przetwarzania danych osobowych, nawet jeśli nie obejmują danych identyfikujących użytkownika z imienia i nazwiska.

Audyt bezpieczeństwa oraz zgodności z zasadami gromadzenia i przetwarzania danych został przeprowadzony z wykorzystaniem profesjonalnych narzędzi branżowych obejmujących skanowanie bezpieczeństwa aplikacji webowych (OWASP ZAP, Burp Suite), debugowanie backendu PHP (Xdebug, PHPStan), analizę front-end oraz JavaScript (Chrome DevTools, Lighthouse) oraz automatycznych narzędzi do detekcji trackerów i oceny zgodności przetwarzania danych osobowych (Cookiebot, Reflectiz). Dzięki temu audyt objął zarówno techniczne aspekty bezpieczeństwa kodu, jak i analizę behawioralną skryptów śledzących względem obowiązujących przepisów ochrony danych osobowych.

Audyt ten nie oceniał ludzi ani intencji — opisał wyłącznie obiektywne właściwości kodu uruchamianego w przeglądarce użytkownika i wynikające z nich ryzyka techniczne.


Cała dyskusja tutaj - http://forumwanda.pl/viewtopic.php?t=6109&start=250

#krzysztofdyminski #hacking #programowanie #zaginieni #forumwanda #poszukiwani #bezpieczenstwo #bezpieczenstwowsieci #hacking

5

Ceremonia otwarcia Igrzysk Olimpijskich w Barcelonie w 1992 r. Moment z covidem i zakrzepami:

http://video.twimg.com/ext_tw_video/2030380919031291904/pu/vid/avc1/480x480/GJtmSr0nBTgw3nGR.mp4

Okładka magazynu The Economist z 1992 roku:

Zdjęcie

#ciekawostki #covid #programowaniepredykcyjne

9

#nocna

Akurat mam coś w tematyce "planeta płonie". Jak by się jeszcze zima wam nie znudziła.

12

„W samo południe” wersja #psiakreflexa x2

11

W debacie na kanale zero jakiś Pan doktor który stał za SAFE opowiedział jak powstają rezerwy walutowe. W skrócie:

1.przynosisz do NBP 1 mld Euro, które przykładowo pożyczyłeś z safe

2. NBP zapisuje to jako rezerwę walutową, którą inwestuje np w obligacje Niemieckie,

3.a przynoszącemu tę kwotę wpisują odpowiednik 1 mld Euro w PLN na rachunku no 4mld pln

Zdjęcie

I to nawet nie chodzi o tego Pana, bo okazuje się, że tak to się odbywa.

Tę samą historię opowiedział Mentzen na swoim podcast'cie, a po dziesiątkach pytań na AI dostałem takie same odpowiedzi. It's that simple!

Zdjęcie

Jeśli jeszcze CI coś nie śmierdzi to zobacz na następujący przykład:

Rząd Polski nie ma pieniędzy, a w kraju panuje głód - potrzeba 1 mld bochenków chleba , każdy warty 1 Euro. Rząd emituje obligacje w Euro na 1 mld. Kupuje je ECB, czyli centralny Bank EU. Rząd Polski na swoim rachunku zapisuje 1 mld Euro przelane z ECB po czym idzie do NBP by zamienic te środki na złotówki. NBP wpisuje u siebie do rezerw walutowych 1 MLD euro , a na koncie Rządu wpisuje 4 MLD złoty. Tak o, z powietrza. Środki uległy magicznemu rozmnożeniu - Ten sam Miliard istnieje obecnie na koncie rządu polskiego w postaci 4MLD złotych i 1MLD na koncie NBP jako rezerwa walutowa.


Teraz załóżmy, że Komisja Europejska nie ma kasy, w końcu dopiero co dała 1 mld rządowi polskiemu, a też potrzebuje 1 mld bochenków chleba. Postanawia, że wyemituje obligacje na 1 MLD euro. Tak się składa, że nikt nie chce ich kupić z wyjątkiem Polski. NBP zobowiązane jest zgodnie z ustawą do prowadzenia bezpiecznej polityki pieniężnej i do bezpiecznego inwestowania tych środków. Jako, że obligacje komisji mają rating aaa+ kupuje je Polska. Płaci za te obligacje 1 MLD Euro. Na koncie Komisji europejskiej pojawił się 1 MLD Euro. Kupiono znów 1 mld bochenków chleba. Łącznie w Polsce i UE kupiono 2 mld bochenków, wartych 2 mld euro. Za pierwotnie 1 mld Euro.


Magia!

Ps. gdzieś @dodge_durango podawał przykład jakiegoś trepa, który argumentował, że pieniądze się rozmnożą, bo jeszcze dodatkowo jeszcze NBP będzie zarabiał na odsetkach od rezerw walutowych. Co ja podchwyciłem jako głupotę i niestety... myliłem się - tak to działa!

Czym to jest? ano jest to kreacja pieniądza ale w wersji dla banku centralnego. Skoro banki komercyjne mogą tworzyć środki z powietrza(tutaj w zasadzie jest to znany fakt dla wszystkich mam nadzieję) to banki centralne także to robią i wychodzi na to, że nikt nie ma z tym problemu. Ot chora finansowa rzeczywistość.

#safe #finanse #nbp

edit - ecb nie może kupować polskich obligacji (chyba, że inwestowałby swoje rezerwy, ale w przykładzie mamy 1 mld euro, więc podstaw sobie za ECB co Ci się podoba, nie ma znaczenie. Uwaga dla rzetelności )

10

2022 rok, chyba nie tylko lekarstwo na covida odkrył

14

w tej wojnie jak dla mnie najbardziej interesujący jest wątek religijny.

http://youtu.be/Qe3dVXmtvYY?t=306

#islam #iran #wojna #syjonizm

8