On Fri, 24 May 2024 08:15:20 +0200, Atlantis wrote:
> On 23.05.2024 20:34, J.F wrote:
>> Protokoły też się chyba zmieniały.
>
> Nie bardzo. Jak budowałem to swoje radyjko internetowe, to zdecydowana
> większość stacji wciąż była dostępna w przez HTTP. Najpierw trzeba
> przeparsować nagłówek, a potem już dostajesz ciągły strumień danych,
> który można kierować do kodeka. Relatywnie proste.
> Czasami trafia się protokół ICY, który jest zmodyfikowaną wersją HTTP i
> trzeba wziąć pod uwagę trochę inny format nagłówków.
>
> Główne problemy na jakie się natknąłem to:
> - Stacje ukrywające URL przed użytkownikiem i zmuszające do korzystania
> z własnego interfejsu webowego albo aplikacji. Często jednak pod spodem

Tak jest.

> i tak siedzi standardowy stream HTTP, który dość łatwo można wyciągnąć.

> - Stacje upierające się, by z jakiegoś powodu publicznie dostępnego
> streama nadawać przez HTTPS. W przypadku słabszej wersji hardware'u na
> PIC32MX795F512 poddałem się. W mocniejszej na PIC32MZ2048 pewnie w końcu
> dodam jakiegoś WolfSSL-a, żeby to dekodował.

A próbowałes czy nie działa też przez HTTP?

No coż, takie zalecenie. Bezpieczeństwo ... w sumie, to utrudnia
podszycie się pod stację, czy to istotne ... kto wie.

Ale dla nadawców to też problem.

> - Stacje korzystające z AAC zamiast MP3. Z jakiegoś powodu w swoim
> projekcie użyłem VS1003 zamiast VS1063 (pewnie tylko taki miałem wtedy
> pod ręką), a więc nie mam sprzętowego dekodowania AAC. Może w końcu
> dodam programowe. :)

Czas na wersję 1.1 :-)

Ale ... to jest własnie przykład takiego problemu - było radyjko,
działało, a teraz stacja przeszła na AAC.

>> Jakis smart TV mam, LG.
>> Youtube jeszcze niedawno na nim działał, ale teraz tak laguje, że nie
>> wiem o co chodzi.
>
> Może pokłosie ich walki z blokowaniem reklam? Ponoć ludzie ogólnie
> raportują, że na słabszych sprzętach odtwarzanie YT zaczęło żyłować
> procesor. Co prawda głównie w przypadku, gdy włączony jest jakiś bloker
> reklam, ale z drugiej strony nie wiadomo jak obsługa YT jest
> zaimplementowana w takim telewizorze...

W sposób jakos zalecany przez YT ... 7 lat temu ...

>> Reszta apek przestała. Onet Vod, TVP, tuba FM.
>> Na nowe chyba nie ma co liczyc - nawet jak ktos pomysli aby zrobić, to
>> wybierze jakąs nowszą wersję platformy.
>
> Niestety, co jakiś czas zmieniają API, a producentowi TV nie chce się
> tego aktualizować. Zwłaszcza, jeśli sam system na którym pracuje TV nie
> jest już rozwijany.

No i tak sprzęt trafia na śmietnik. TV akurat nie, bo są inne opcje.

J.

do góry

On 24.05.2024 10:08, J.F wrote:

> A próbowałes czy nie działa też przez HTTP?

Oczywiście próbowałem. Czasami się udaje, jednak nieraz obsługa HTTP
jest w ogóle wyłączona na serwerze albo adres z http:// na początku
zawiera przekierowanie na https://.

> No coż, takie zalecenie. Bezpieczeństwo ... w sumie, to utrudnia
> podszycie się pod stację, czy to istotne ... kto wie.
>
> Ale dla nadawców to też problem.

Ryzyko znikome, zasięg ataku z definicji ograniczony, a z punktu
widzenia serwera potrzebna dodatkowa moc obliczeniowa na szyfrowanie
streamów. Nie mówię - https jest kluczowe, gdy przesyłamy hasła albo
inne ważne dane. Jednak tutaj mówimy o streamach audio, które z
definicji stanowią publiczny broadcasting.


>> - Stacje korzystające z AAC zamiast MP3. Z jakiegoś powodu w swoim
>> projekcie użyłem VS1003 zamiast VS1063 (pewnie tylko taki miałem wtedy
>> pod ręką), a więc nie mam sprzętowego dekodowania AAC. Może w końcu
>> dodam programowe. :)
>
> Czas na wersję 1.1 :-)

Nawet zacząłem kiedyś projektować płytkę. Niestety VS1003 i VS1063 nieco
się różnią i nie są "drop-in replacement". Zobaczę jednak, czy szybciej
nie uda mi się rozwiązać tego problemu programowo. Zwłaszcza, że z tego
co pamiętam Microchip udostępnia programowy dekoder AAC w ramach zestawu
bibliotek Harmony, na których oparty jest projekt.


> Ale ... to jest własnie przykład takiego problemu - było radyjko,
> działało, a teraz stacja przeszła na AAC.

Obecnie takie projekty (zwłaszcza te komercyjne) są robione na jakimś
Linuksie i gotowym odtwarzaczu, który z kolei korzysta z gotowych
bibliotek do dekodowania najpopularniejszych formatów. Paradoksalnie
taka wersje radyjka tez kiedyś stworzyłem, ale potem zacząłem rozwijać
to na mikrokontrolerze, w ramach bardziej niskopoziomowej nauki/zabawy.
I w efekcie ten drugi projekt jest na chwilę obecną nieco bardziej
dopracowany, jeśli chodzi o wygodę użytkowania (pomijając fakt, że RasPi
ma WiFi, a PIC32 korzysta z Ethernetu).


> No i tak sprzęt trafia na śmietnik. TV akurat nie, bo są inne opcje.

Niestety, to już nie są te czasy, kiedy projektując kolejną generację
urządzeń myślało się o kompatybilności wstecznej. Kolorowa telewizja?
Jasne, ale zrobiona tak, że stare czarno-białe odbiorniki nadal będą w
stanie zrozumieć i wyświetlić sygnał, pracując przez kolejnych
kilkadziesiąt lat. Dzisiaj producenci po prostu dogadaliby się, wymusili
zmianę standardu i wymianę niekompatybilnego sprzętu co kilka lat.

do góry

On Fri, 24 May 2024 15:17:58 +0200, Atlantis wrote:
> On 24.05.2024 10:08, J.F wrote:
>> A próbowałes czy nie działa też przez HTTP?
>
> Oczywiście próbowałem. Czasami się udaje, jednak nieraz obsługa HTTP
> jest w ogóle wyłączona na serwerze albo adres z http:// na początku
> zawiera przekierowanie na https://.
>
>> No coż, takie zalecenie. Bezpieczeństwo ... w sumie, to utrudnia
>> podszycie się pod stację, czy to istotne ... kto wie.
>>
>> Ale dla nadawców to też problem.
>
> Ryzyko znikome, zasięg ataku z definicji ograniczony, a z punktu
> widzenia serwera potrzebna dodatkowa moc obliczeniowa na szyfrowanie
> streamów. Nie mówię - https jest kluczowe, gdy przesyłamy hasła albo
> inne ważne dane. Jednak tutaj mówimy o streamach audio, które z
> definicji stanowią publiczny broadcasting.

W obliczu wojny hubrydowej?
Wystarczy ze namieszasz cos w DNS, routerach czy plikach host,
i możesz zrobic panikę wsród obywateli, czy manipulowac giełdą ..

>>> - Stacje korzystające z AAC zamiast MP3. Z jakiegoś powodu w swoim
>>> projekcie użyłem VS1003 zamiast VS1063 (pewnie tylko taki miałem wtedy
>>> pod ręką), a więc nie mam sprzętowego dekodowania AAC. Może w końcu
>>> dodam programowe. :)
>>
>> Czas na wersję 1.1 :-)
>
> Nawet zacząłem kiedyś projektować płytkę. Niestety VS1003 i VS1063 nieco
> się różnią i nie są "drop-in replacement". Zobaczę jednak, czy szybciej
> nie uda mi się rozwiązać tego problemu programowo. Zwłaszcza, że z tego
> co pamiętam Microchip udostępnia programowy dekoder AAC w ramach zestawu
> bibliotek Harmony, na których oparty jest projekt.
>
>
>> Ale ... to jest własnie przykład takiego problemu - było radyjko,
>> działało, a teraz stacja przeszła na AAC.
>
> Obecnie takie projekty (zwłaszcza te komercyjne) są robione na jakimś
> Linuksie i gotowym odtwarzaczu, który z kolei korzysta z gotowych
> bibliotek do dekodowania najpopularniejszych formatów. Paradoksalnie
> taka wersje radyjka tez kiedyś stworzyłem, ale potem zacząłem rozwijać
> to na mikrokontrolerze, w ramach bardziej niskopoziomowej nauki/zabawy.
> I w efekcie ten drugi projekt jest na chwilę obecną nieco bardziej
> dopracowany, jeśli chodzi o wygodę użytkowania (pomijając fakt, że RasPi
> ma WiFi, a PIC32 korzysta z Ethernetu).

Mierz siły na zamiary ... do internetu ARM :-)

J.

do góry

On 24.05.2024 16:38, J.F wrote:

> W obliczu wojny hubrydowej?

Oczywiście. Istnieją dużo prostsze, dużo tańsze i w dodatku zupełnie
legalne metody. Wystarczy sobie uświadomić, że jakiś czas temu w obliczu
kryzysu na granicy rosyjscy i białoruscy propagandyści po prostu
wykupili sobie spore pakiety reklam na YouTube. Oszuści robią to do
dzisiaj, obiecując naiwnym złote góry dzięki "funduszom inwestycyjnym"
albo kryptowalutom. Wystarczy sobie uświadomić, jak bardzo Facebook
spieprzył sprawę, stając się medium za pośrednictwem którego
rozprzestrzeniała się zorganizowana kampania nienawiści, poprzedzająca
ludobójstwo w Birmie.
Do tego na FB działa całe mnóstwo profili prowadzonych przez farmy
trolli ze wschodu. I jeszcze więcej należących lokalnych pożytecznych
idiotów, którzy dali im się zindoktrynować. Zasięg oddziaływania
nieporównywalnie większy, niż miałby jeden stream chwilowo przejęty w
jakiejś sieci za pomocą ataku man in the middle. I w dodatku wszystko to
jest (przynajmniej jak na razie) zupełnie legalne...
No i jeszcze jedna kwestia. To, że zastosujemy HTTPS jeszcze niczego nie
zmienia w kwestii bezpieczeństwa. No bo co jeśli odtwarzacz (szczególnie
w formie taniego, sprzętowego radyjka) po prostu zignoruje ostrzeżenie o
niepasującym lub przeterminowanym certyfikacie i przejdzie do
odtwarzania zdekodowanej zawartości?


> Wystarczy ze namieszasz cos w DNS, routerach czy plikach host,
> i możesz zrobic panikę wsród obywateli, czy manipulowac giełdą ..

Kwestia skali. Żeby zrobić to ma skalę globalną, trzeba by przejąć
któryś z dużych elementów infrastruktury. A te są naprawdę nieźle
chronione i w obliczu udanego ataku można by to wykorzystać jednak do
czegoś lepszego, niż podmienienie streama popularnej radiostacji.
W przypadku ataku na infrastrukturę jakiejś lokalnej sieci osiągnięte
efekty będa minimalne. Dużo więcej można osiągnąć na dłuższą metę
zupełnie legalnymi metodami siania dezinformacji.
Są też lepsze wektory ataku do siania paniki, jak przejmowanie
należących do instytucji i osób publicznych kont na socjalkach.


> Mierz siły na zamiary ... do internetu ARM :-)

PIC32 ani trochę nie ustępują pod względem mocy obliczeniowej takim
STM32. A pod niektórymi względami pewne rzeczy jest nawet prościej
zrobić na Harmony niż na bibliotekach wchodzących w skład środowiska od
STM-ów. Nie mówię, że jedna rodzina jakoś mocno dystansuje drugą -
używam ich w swoich projektach na zmianę. ;)

do góry

PiteR <e...@f...pl> wrote:

>> ZK-147 tak znalazłem. Nawet z taśmą, jest tam jakaś muzyka.
>> Rozebrałem, wyczyściłem, odświeżyłem, stoi
>
> ale czad, te wszystkie mechanizmy.

Trochę tak :)

>> Podobnie głośnik Bluetooth. Miał martwą baterię. Odświeżyłem,
>> wyczyściłem, wymieniłem baterię i leży, bo nie mam co z nim
>> zrobić.
>>
>> I tak to jest.
>
> i to są nasze super moce :)
>
> humanista mówi zepsuło się trzeba kupic nowe
> my potrzymaj nam piwo.

No to zawsze jest jakieś wyzwanie, czasem dla samego wyzwania. Keyboard
też tak ogarnąłem. Ścieżki były powygryzane przez wylane baterie. Też nie
mam dla niego zastosowania, poza tym jest dla mnie za mały (to chyba
rozmiar dziecięcy, zresztą miałem taki sam mając 6 lat, stąd sentyment i
wygrzebanie go z elektrośmieci). Ale leży, cieszy oko.

O nawet film znalazłem. https://www.youtube.com/watch?v=r25QehF8AAY

Nie żebym umiał grać. W sensie tak normalnie, z nut, czy na dwie ręce. Bo
wciskać klawisze w dowolnej kolejności to i małpa się nauczy.

--
Jesteśmy bardzo biedni. Żona musiała sprzedać nerkę żebyśmy mieli co
jeść w Boże Narodzenie. Jak tak dalej pójdzie będę musiał zrezygnować z
Canal+.

do góry

On Fri, 24 May 2024 16:38:03 +0200, "J.F"
<j...@p...onet.pl> wrote:
> W obliczu wojny hubrydowej?
> Wystarczy ze namieszasz cos w DNS, routerach czy plikach host,
> i możesz zrobic panikę wsród obywateli, czy manipulowac giełdą ..

Już widze te tłumy spanikowanych obywateli słuchających
zespoofowanego Ważnego Radia przez streaming...
Nawet nikt by nie zauważył. Może by się pojawiło na serwisach
security jako ciekawostka "Wczoraj o 17 internetowy stream Ważnego
Radia nadawał jakieś głupoty".

--
Marek

do góry

On Fri, 24 May 2024 17:05:07 +0200, Atlantis <m...@w...pl>
wrote:
> albo kryptowalutom. Wystarczy sobie uświadomić, jak bardzo Facebook
> spieprzył sprawę, stając się medium za pośrednictwem którego
> rozprzestrzeniała się zorganizowana kampania nienawiści,
> poprzedzająca

Zadziwiające, że nikt absolutnie nie kontroluje kanałów przez które
agencje feedują reklamy na FB czy np. na Instagramie i dopuszczają do
tego, że pojawiają się oszukańcze reklamy wykorzystujące wizerunki
znanych osób do namawiania na różne szemrane inwestycje.
Polecam swoją drogą oglądać te reklamy do końca bo są ciekawe efekty.
Kilka tygodni na Insta była kampania wykorzystująca wizerunek m.in.
Rafała Brzoski:

https://youtu.be/sm-mHv93BI4

po czasie 1:56 głos w filmie nagle się zmienia ujawniając dość łatwo
rozpoznawalny akcent...


> w formie taniego, sprzętowego radyjka) po prostu zignoruje
> ostrzeżenie o
> niepasującym lub przeterminowanym certyfikacie i przejdzie do
> odtwarzania zdekodowanej zawartości?

Żadna świadoma i robiona przez zdrowego na umyśle programisty
implementacja SSL/https nie ma domyślnie włączonej opcji milcząco
akceptującej nieprawidłowy certyfikat bez poinformowania o tym fakcie
użytkownika. Niektóre implementacje wręcz odmawiają dlaczego
połączenia, inne wymagają by użytkownik potwierdził świadomość
zagrożenia i dopiero wtedy acz niechętnie kontynuują wymianę danych z
takim peerem.

Nie wyobrażam sobie implementacji ssl/https automatycznie
akceptującej by design nieprawidłowy certyfikat (poza oczywiście
incydentami typu bug w sofcie).

--
Marek

do góry

On 25.05.2024 06:37, Marek wrote:

> Zadziwiające, że nikt absolutnie nie kontroluje kanałów  przez które
> agencje feedują reklamy na FB czy np. na Instagramie i dopuszczają do
> tego, że pojawiają się oszukańcze reklamy wykorzystujące wizerunki
> znanych osób do namawiania na różne szemrane inwestycje.

A kto to niby ma kontrolować? Użytkownicy internetu generują za dużo
treści, żeby dało się to ogarnąć za pomocą moderatorów. Tymczasem
algorytmy (nawet najbardziej zaawansowane modele językowe AI) kompletnie
nie radzą sobie z niuansami i kontekstem. Zwłaszcza jeśli w grę wchodzą
mniej popularne języki, wyrażenia slangowe czy niuanse kulturowe.
Kampania nienawiści przed ludobójstwem w Birmie rozpętała się
prawdopodobnie m.in. właśnie dlatego, że Facebook nie był w stanie
zatrudnić dostatecznie dużej grupy moderatorów, a jego algorytmy
absolutnie nie radziły sobie z wykrywaniem masowych wpisów nawołujących
do przemocy.
W przypadku tradycyjnych mediów dało się prowadzić moderację treści, bo
czas antenowy czy miejsce na szpalcie drukarskiej było drogie. To był
naturalny filtr. Natomiast w przypadku Internetu przyzwyczailiśmy się,
że wszystko (w tym reklamy) są śmiesznie tanie. Tyle tylko, że płacimy
za to kosztami społecznymi, m.in. w postaci fali oszustw i
dezinformacji. Teoretycznie dałoby się wprowadzić przepisy, które by to
ograniczały, nakładając na dostawców prawna odpowiedzialność za
publikowane treści. Wtedy musieliby zatrudnić armię moderatorów, ale
koszt zostałby przerzucony na klientów. Reklamowanie się na FB czy YT
stałoby się tak drogie, jak w przypadku tradycyjnych mediów, a więc
pojawiłby się dodatkowy filtr, bo oszustom także przestałoby się to
kalkulować. Tyle tylko, że wszyscy tech-bros podnieśliby wrzask, że
straszne państwo zabiera im wolność słowa, bo jak niby mają teraz
reklamować swój startupik od kolejnej nikomu niepotrzebnej apki albo
badziewnej gierki mobilnej?


> po czasie 1:56 głos w filmie nagle się zmienia ujawniając dość łatwo
> rozpoznawalny akcent...

Te reklamy są specjalnie robione w ten sposób. Stara sztuczka
naciągaczy. Chodzi o odsianie bardziej ostrożnych odbiorców, którzy na
późniejszym etapie rozmowy zorientowaliby się, że coś jest nie tak,
marnując czas "konsultanta". A jeśli jesteś w stanie uwierzyć w tak
ewidentną fałszywkę, to prawdopodobnie będziesz w stanie uwierzyć we
wszystko.


> Nie wyobrażam sobie implementacji ssl/https automatycznie akceptującej
> by design nieprawidłowy certyfikat (poza oczywiście incydentami typu bug
> w sofcie).

Bardziej miałem na myśli warstwę aplikacji. Co jeśli autor softu każe mu
w takiej sytuacji zignorować błąd i zacząć pobierać dane? Bo przecież to
tylko stream audio, radyjko ma grać, a obsługa HTTPS jest tylko po to,
żeby dało się obsłużyć te serwery, w przypadku których nadawca uparł
się, że nie bedą obsługiwały tradycyjnego HTTP.

do góry

On Sat, 25 May 2024 09:37:39 +0200, Atlantis <m...@w...pl>
wrote:
> A kto to niby ma kontrolować? Użytkownicy internetu generują za
> dużo

Ludzie. Nie przesadzajmy, że skala nowych reklam do emisji na
godzinę jest tak wielka, że przekracza liczbę np. dodawanych treści
przez użytkowników YT i trudno o możliwości weryfikacji tego przez
ludzi. Google ads weryfikuje przez człowieka treść *każdej* dodanej
reklamy, da się? Da. Nawet nie tylko treści reklamy a nawet głupiego
słowa kluczowego nie da się dodać bez akceptacji człowieka.
Oczywiście to trwa ale jakoś przez to system się nie zawalił i mając
kilkaset mln klientów ogarniają to.
To, że nie ma kontroli treści reklam na FB czy Insta wynika tylko z
tego, że jeszcze nikt im się poważnie do dupy za to nie dobrał i mogą
sobie pozwalać na oszczędne rozwiązania średniodzialającego AI
zamiast świadomych kontekstu moderatorów. Jak im się przyłoży 1mld$
skutecznie ściągniętej kary to zaraz znajdą się osoby by tego
pilnować.


> Bardziej miałem na myśli warstwę aplikacji. Co jeśli autor softu
> każe mu

To nie ma znaczenia, o której warstwie mówimy, warstwa aplikacji na
obowiązek poinformowac użytkownika (peera), że certyfikat jest
nieprawidłowy, przez co peer jest skompromitowany. Nie wyobrażam
sobie sytuacji by programista w jakiejkolwiek warstwie świadomie
miałby zignorować problem certyfikatu i zrobił automatyczny
workaround ignorujący to bez integracji z użytkownikiem. To nonsens,
jawny sabotaż lekceważący zupełnie sens użycia kryptografii, która
nie ma sensu bez użycia jej z autentykacją.
Parafrazując chińskiego poetę "nie ufaj temu kto ci szepcze", nie
ufaj temu kto ci mówi szyfrem, jeśli nie masz możliwości jego
autentykacji.

--
Marek

do góry

W dniu 25.05.2024 o 06:37, Marek pisze:
> On Fri, 24 May 2024 17:05:07 +0200, Atlantis <m...@w...pl>
> wrote:
>> albo kryptowalutom. Wystarczy sobie uświadomić, jak bardzo Facebook
>> spieprzył sprawę, stając się medium za pośrednictwem którego
>> rozprzestrzeniała się zorganizowana kampania nienawiści, poprzedzająca
>
> Zadziwiające, że nikt absolutnie nie kontroluje kanałów  przez które
> agencje feedują reklamy na FB czy np. na Instagramie i dopuszczają do
> tego, że pojawiają się oszukańcze reklamy wykorzystujące wizerunki
> znanych osób do namawiania na różne szemrane inwestycje.

Ale, że jakiś cenzor ma siedzieć i decydować czy reklama będzie
emitowana? Weź się zastanów ... z takiej biedoty umysłowej wyszliśmy i
mamy teraz wracać z powodu pojedynczych reklam? Zakaz cenzury jest. Za
przestępstwa normalnie odpowiada się. Ale nie ten co reklamę emituje
tylko jest jej źródłem.

> Polecam swoją drogą oglądać te reklamy do końca bo są ciekawe efekty.
> Kilka tygodni na Insta była kampania wykorzystująca wizerunek m.in.
> Rafała Brzoski:
>
> https://youtu.be/sm-mHv93BI4
>
> po czasie 1:56 głos w filmie nagle się zmienia ujawniając dość łatwo
> rozpoznawalny akcent...
>
>
>> w formie taniego, sprzętowego radyjka) po prostu zignoruje ostrzeżenie
>> o niepasującym lub przeterminowanym certyfikacie i przejdzie do
>> odtwarzania zdekodowanej zawartości?
>
> Żadna świadoma i robiona przez zdrowego na umyśle programisty
> implementacja SSL/https nie ma domyślnie włączonej opcji milcząco
> akceptującej nieprawidłowy certyfikat bez poinformowania o tym fakcie
> użytkownika. Niektóre implementacje wręcz odmawiają dlaczego połączenia,
> inne wymagają by użytkownik potwierdził świadomość zagrożenia i dopiero
> wtedy acz niechętnie kontynuują wymianę danych z takim peerem.

I masz taki streaming i co użytkownik z tym zrobi, że mu się komunikat
pojawi?

>
> Nie wyobrażam sobie implementacji ssl/https automatycznie akceptującej
> by design nieprawidłowy certyfikat (poza oczywiście incydentami typu bug
> w sofcie).
>

Pytanie było czy w ogóle szyfrowanie strumienia publicznego radia ma
sens. Jak Ci ktoś strumień podmieni to właściwie na czym polega
zagrożenie? Bo może być tylko nowy dostawca tego samego strumienia, nic
złego. Jakby Ci ktoś wcisnął zupełnie inny strumień, dostawca np na
zlecenie państwa, to źle, załóżmy że radio przestaje działać. Co
właściwie dalej mógłbyś z tym zrobić jak wszystkie kanały są przejęte.
Np przejęli Ci kanały z DVB-T i puścili w nim DVB-T2, załóżmy że to
wrogie przejęcie a nie 'dla dobra wszystkich', ale co dalej ...

do góry