Wywiad z Michałem Purzyńskim – transkrypcja podcastu

dodał 17 października 2020 o 12:08 w kategorii Info  z tagami:
Wywiad z Michałem Purzyńskim – transkrypcja podcastu

Od kilku miesięcy prowadzimy wywiady z ciekawymi ludźmi z branży bezpieczeństwa w naszym coniedzielnym podcaście Rozmowa Kon Trolowana. Chcemy jednak, by były one bardziej dostępne dla was – stąd transkrypcja poniżej.

Nie każdy lubi słuchać lub oglądać. Niektórzy lubią, ale nie słyszą. My chcemy, by to, co nasi goście mają do powiedzenia, trafiało do szerszego grona odbiorców, dlatego będziemy publikować pełne transkrypcje wszystkich odcinków.

Wywiad z Michałem Purzyńskim (odcinek 02)

Wywiad możecie skonsumować w postaci:

lub przeczytać poniżej. Miłej konsumpcji!

Adam Lange: Tadam!

Adam Haertle: Witamy wszystkich w drugim odcinku naszego wspaniałego serialu Rozmowa Kontrolowana. Witają was Adam Haertle i…?

Adam Lange:  Adam Lange, cześć.

Adam Haertle: Tak zwane Adams Family. Słuchajcie, cieszymy się bardzo, że jesteście z nami. To już drugi raz, więc budujemy naszą nową, świecką tradycję, znowu udało nam się zacząć o dziewiątej w niedzielę wieczorem. Tego będziemy się trzymać, więc możecie sobie od razu w kalendarzach zapisać. Niedziela wieczór, dwudziesta pierwsza. Łączymy się z Youtubem albo Facebookiem i słuchamy dwóch Adamów i ich gościa.

Adam Haertle: Słuchajcie, nie będziemy tracić waszego czasu, bo dzisiaj mamy dobrego gościa. Nie uciekł, zdążyliśmy go złapać, na szczęście zaplątał się w nasze kable od mikrofonów tuż pod dużym mostem nad wielką zatoką, ponieważ dzisiaj, prosto z San Francisco, dołącza do nas Michał Purzyński z Mozilli. Dawać Michała.

Michał Purzyński: Cześć, cześć wszystkim. Nie bardzo do tej pory się potrafię zorientować, co to za kable były, jak próbowałem uciec z miasta i mnie wołali i gonili. Ale jak widać wyłowili, jestem jeszcze trochę mokry.

Adam Haertle: Słuchajcie, mamy Michała. Mamy Michała. Michał, gdzie ty pracujesz?

Michał Purzyński: Pracuję w Mozilli, w części odpowiedzialnej za wykrywanie i reakcję na zagrożenia. Korporacyjnie nazywa się to Enterprise Information Security, a chodzi generalnie o ochronę bezpieczeństwa organizacji, a przez to ochronę użytkowników Firefoxa.

Adam Lange: Co to znaczy taka ochrona, może w dwóch słowach nam powiesz?

Michał Purzyński: Jasne.

Adam Lange: Co ty chronisz w ogóle, przeglądarkę chronisz?

Michał Purzyński: To jest bardzo dobre pytanie. To jest pytanie, które też często zadają nam deweloperzy, którzy mówią „Ale my jesteśmy otwartym projektem, przepraszam, co my będziemy chronić jak my mamy otwarty kod źródłowy wszędzie?”. Przy okazji pozdrawiam osoby, które czasem znajdują nasz kod źródłowy i zgłaszają nam buga, że nasz kod źródłowy jest otwarty i tam go można znaleźć i to jest poważny problem, powinniśmy teraz zapłacić bounty. Generalnie chronimy bezpieczeństwo organizacji jako takiej. Po pierwsze, Mozilla dzieli się na dwie części, czyli fundację i korporację. Korporacja to jest ta, która wykonuje większość pracy, fundacja jest właścicielem nas, praw do Firefoxa, do loga, wszystkich tych rzeczy naokoło, więc jako tako funkcjonuje sobie w amerykańskim środowisku i musi pełne wymagania spełniać. No i przede wszystkim infrastruktura. Kilka data center, kilkadziesiąt kont na Amazonie, 1200 osób, z tego duża część deweloperów, całkiem spora infrastruktura. Kiedyś wydawało mi się, że to jest projekt, który siedzi w kącie i jest budowany na trzech serwerach — się okazuje, że tego jest kilkanaście tysięcy maszyn, różnego typu, pełniących różne funkcje. Więc naprawdę, jest przynajmniej kilkadziesiąt grup, którym pomagamy w bezpieczeństwie na co dzień.

Adam Haertle:  A ile jest grup, które chcą się dostać do waszych serwerów?

Michał Purzyński: O, to jest moje ulubione pytanie.

Adam Lange: Super.

Michał Purzyński: Generalnie mamy taki model zagrożenia, o którym jako chyba jedni z nielicznych mówimy całkiem publicznie. Zanim powiem, ile jest grup, powiem po co się w ogóle dostać do Mozilli, jeżeli…

Adam Haertle: No właśnie, po co? Skoro kod jest otwarty.

Michał Purzyński: Dokładnie.

Adam Lange: Ale przed chwilą Michał powiedział, że mają parędziesiąt kont na różnych serwisach, pewnie też w społecznościówkach, tak że jest tam co kraść, myślę…

Michał Purzyński: To jest jedna rzecz, rzeczywiście, strata jakaś tam PR-owa czy tego typu. Natomiast większym problemem byłyby dwie rzeczy. Czym się różnimy od takiej tradycyjnej organizacji? Tradycyjna organizacja bardziej byłaby zainteresowana schowaniem kodu, schowaniem jakichś danych; my to mamy na zewnątrz, więc przepraszam, co my tu chronimy? Chronimy głównie dwie rzeczy duże i parę innych mniejszych. Integralność kodu Firefoxa — jeżeli ktoś dodaje kod do repozytorium, to my musimy wiedzieć, kto to dodaje. Są oczywiście procedury, są przeglądy kodu, to wszystko istnieje, no ale musimy być pewni, że ta infrastruktura, która ten kod trzyma jest bezpieczna, żeby jakaś grupa nie znalazła się w pozycji dodania kodu do Firefoxa, o czym my nie wiemy, czy na przykład przez zdobycie uprawnień programisty, czy całkowite przejęcie kontroli nad serwerem, po prostu pominięcie albo jakiś taki lokalny git commit jak mają shella na serwerze z repozytorium, tego typu rzeczy. Oraz druga rzecz, którą chronimy — różnego rodzaju certyfikaty do podpisywania kodu. Mamy certyfikaty do podpisywania kodu na wszystkich systemach, ufa nam kilkaset milionów osób i jesteśmy domyślnie zaufani w iOSie. Mamy możliwość budowania kodu na iOSa, Androida, Windowsa, Maca. Niejedna grupa APT chciałaby dostać tego typu klucze prywatne i certyfikaty, żeby sobie podpisać co tam chcą. A, i jest jeszcze trzecia rzecz — Bugzilla i to co jest w niej. Ludzie zgłaszali…

Adam Haertle: Właśnie miałem cię o to pytać.

Michał Purzyński: To się pytaj.

Adam Haertle: No właśnie, słuchaj, a jak chronicie informacje o tym, co nie działa? Bo kiedyś był taki fajny incydent, gdzie ktoś przeczytał Bugzillę, a potem wykorzystał to, czego nie zdążyliście załatać, żeby 0dayować klientów.

Michał Purzyński: Dokładnie tak było i firma wyciągnęła lekcję z tego typu incydentu.

Adam Haertle: Już się bałem, że daleko idące konsekwencje.

Michał Purzyński: Nawet nie tyle konsekwencje, co właśnie bardziej lekcję, ale o tym można pogadać też dalej, jaka jest różnica między podejściem do takich rzeczy w różnych firmach. Przede wszystkim Bugzilla została mocno wzmocniona. Tamten stary incydent to nie był tak naprawdę błąd Bugzilli, to był błąd trochę w zarządzaniu użytkownikami. Bugzilla teraz wymaga dwuskładnikowego uwierzytelniania, co proste nie jest, bo w tym środowisku każdy chce używać tego czego lubi, a nie tego co się mu każe. Otwarte środowisko, ludzie z zewnątrz, nie tylko pracownicy, no więc wspieramy ileś metod dwuskładnikowego uwierzytelniania i teraz zrobiliśmy warstwy i podzieliliśmy dostęp do informacji na dość sporą liczbę grup. Informacje o 0dayach w Firefoxie, i to nie o wszystkich, tylko o konkretnej działce, o konkretnym kawałku Firefoxa, ma tylko wąska grupa osób i to jest tylko tyle osób, ile potrzebuje. Czyli takie trochę need-to-know. To są osoby wetowane, weryfikowane, te osoby się znają, w zasadzie wszyscy ich znają, nie można tak po prostu przyjść i powiedzieć „Ja chcę dostęp do 0dayów w Firefoxie, bo ja będę łatał kod”, nie.

Adam Lange: Szkoda.

Michał Purzyński: Nie, ty będziesz łatał kod długie lata, a kiedyś być może ktoś ciebie zgłosi do dostępu do takich grup i wtedy informacja pójdzie na różne wewnętrzne i zewnętrzne grupy, również odpytane zostanie community i wystarczy jedno weto, które stwierdzi, że „Nie, tej osobie nie możemy zaufać” i tej osobie nie możemy zaufać.

Adam Lange: Ale jak widać na mojej czapce, mi chyba można zaufać…

Michał Purzyński: Jesteś (niewyraźne)

Adam Lange: Ja nic nie ukradłem.

Adam Lange: To ja mam do ciebie pytanie, bo jakby to gdzieś wpadło mi do głowy, że skoro firmy antywirusowe, jak dobrze wiemy, robią wirusy, to wydawało mi się, że Mozilla robi strony internetowe, jako że jest autorem przeglądarki internetowej. To jak to wygląda, robicie jakieś strony internetowe? Myślę, że to jakby trapi wielu naszych słuchaczy.

Michał Purzyński: Nie mamy wielu stron internetowych, około sześciuset kilku.

Adam Lange: Aha, czyli coś tam robicie.

Michał Purzyński: Jednym z takich bardziej popularnych jest wersja naszej Wikipedii, czyli MDN Mozilla Developer Network, który jest, no nie tylko na temat Firefoxa, ale ogólnych wszelkich standardów, więc za tym stoi chyba, nie wiem, parędziesiąt osób, to jest duży projekt. A poza tym są inne rzeczy, typu nasza wersja Bugzilli i jakieś virtual reality ostatnio, co chwilę wyskakuje kilka stron tego typu.

Adam Lange: Ale też sami kontrybuujecie do wielu projektów open source’owych, bo wiem dobrze, że sam zajmujesz się troszeczkę Bro, czyli obecnie Zeekiem. Jak to u was wygląda, czy jakby też share’ujecie swoją wiedzę, swojego zespołu, do community i w jakim zakresie?

Michał Purzyński: Tak, rzeczywiście, Mozilla uczestniczy w wielu projektach. Generalnie filozofia jest taka, że jeżeli coś da się naprawić u źródła, taki totalny upstream, to ktoś bez żadnego problemu, czy chce to zrobić w wolnym czasie, czy jest to pracownik Mozilli i chce to zrobić w trakcie etatu, pójdzie, poprawi to, co jest poprawione albo stworzy coś nowego. Fajne jest to, że można uczestniczyć w zewnętrznych projektach i mieć za to płacone. Można poprawiać, można dokładać nowe rzeczy, można publikować to, co samemu się stworzyło. I tu jest ta różnica między nami a światem zewnętrznym — zamiast pytać się czy ja mogę uczestniczyć w projekcie Zeek, to ja zacząłem publikować kod, bo byłoby to dziwne w Mozilli, gdybym ja pisał kod i go nie publikował. Z wielu powodów, między innymi takich, [że] ktoś by się zaraz zapytał „Czyli ten kod, który piszesz to ty się go wstydzisz? No to ty słaby kod piszesz, to może nie pisz takiego kodu”.

Adam Lange: Mamy pytanie od słuchacza, widzisz je na ekranie. Z czego Mozilla czerpie zyski? Czy same usługi? Jak to wygląda?

Adam Haertle: Przeglądarka jest za darmo, Thunderbird jest za darmo, wszystko dajecie za darmo, tak? To kto płaci…

Adam Lange: Jeszcze know-how dajecie za darmo do projektów open sourceowych w ogóle…

Michał Purzyński: Tak i jeszcze tworzymy standardy…

Adam Lange: No właśnie.

Michał Purzyński: Tak. Mozilla generalnie ma kilka źródeł finansowania, ale najważniejsze to jest dzielenie się przychodami przez strony, przez wyszukiwarki. Tak naprawdę współpracujemy z każdą dużą wyszukiwarką. Wiadomo, że gros naszego przychodu to jest dzielenie się z nami przez Google. Domyślną wyszukiwarką w Firefoxie amerykańskim jest Google, domyślną wyszukiwarką w Firefoxie europejskim jest Google, ale domyślną wyszukiwarką w Firefoxie na rynek chiński jest Baidu, na rynek rosyjski jest Yandex i ta lista sobie idzie, czasami są jakieś bardziej zawężone miejsca.

Adam Lange: Ok.

Michał Purzyński: Mamy kilka takich małych przeglądarek, typu… Chyba w Tajlandii czy [na] Filipinach kopię mobilnego Firefoxa i tam lokalni reklamodawcy mają swoje wyszukiwarki i to ich wyszukiwarka jest domyślna w danej przeglądarce.

Adam Lange: No i jeszcze robicie strony internetowe, tak?

Michał Purzyński: Tylko twoje.

Adam Haertle: Słuchaj, zawsze mnie nurtowało, pamiętasz w ogóle, czy wiesz, dlaczego akurat Tor Browser jest oparty na Firefoxie, a nie na jakimś innym silniku? Czy znasz historię, skąd się to w ogóle wzięło?

Michał Purzyński: Z tego, co rozumiem, w momencie tworzenia Tor Browsera, Firefox był takim… Był najbardziej dojrzałą przeglądarką z otwartym kodem, którą bardzo łatwo można było zweryfikować — można sobie ją pooglądać, jest kod, można wszystko sprawdzić. Też kwestia takiego zaufania do nas jako do projektu i wiecznego nacisku na prywatność — nie zrobimy im niespodzianki, jesteśmy przewidywalni, w obecnych czasach nawet mamy osobną linię Firefoxa, która jest taka bardziej stabilna, mniej się w niej zmienia, ESR i…

Adam Lange: America.

Michał Purzyński: Tak, dokładnie. I na tym oparty jest Tor Browser, więc kwestia takiego nacisku na prywatność, kwestia przewidywalności, no i też filozofii w firmie — jeżeli komuś w firmie powie się, że będzie pracował czy pomagał projektowi Tor, no to się ucieszy. Będzie miał też za to zapłacone. Myślę, że kwestia generalnie podejścia firmy do bezpieczeństwa od zawsze.

Adam Lange: Michał, mamy pytanie.

Adam Haertle: Macie jakieś dedykowane osoby wspierające Tor Browsera? Czy macie jakieś zespoły do tego, zajmujące się tą częścią działki?

Michał Purzyński: Jesteśmy cały czas w kontakcie z projektem Tor i z tego, co wiem, jeżeli jest jakaś potrzeba, to jak najbardziej w ramach normalnej pracy są osoby przypisane i pomagają, jeżeli coś trzeba pomóc. Pamiętam, że sam nawet kiedyś pracowałem nad administrowaniem kilkoma węzłami Tora, bo kiedyś Mozilla nawet hostowała kilka węzłów pośrednich Tora; już tego nie robi, ale było coś takiego.

Adam Lange: Mamy pytanie od fro fro. Czy DuckDuckGo też coś daje?

Michał Purzyński: Nie mam bladego pojęcia.

Adam Lange: No to następne pytanie od naszych słuchaczy i widzów. Czy zamierzacie wypuścić jakiś swój system mobilny, już był kiedyś taki, albo na telewizory? Kiedyś już były próby i co, chyba nie wyszło?

Michał Purzyński: To jest ciekawy temat. Rzeczywiście, był sobie Firefox OS. Niektórzy uważają, że Firefox OS dalej żyje, bo ktoś wziął codebase i tworzy jakieś bardzo mało popularne systemy mobilne na telefon.

Adam Lange: Znam jednego użytkownika tej platformy, nawet cały czas używa telefonu z tym systemem operacyjnym.

Michał Purzyński: Gdzieś nawet mam telefon w domu też. Tak że, myślę, że kwestia telefonu to nie, bo to jednak wymaga środków, których nie mamy. Nie żebyśmy nie chcieli, ale bez przychodów liczonych w dziesiątkach miliardów dolarów tego się po prostu nie da zrobić, o czym żeśmy się boleśnie przekonali. Konkurencja na rynku, z gigantami typu Apple, Google, mającymi dedykowane ekipy, typowo telefoniczne, które są dwudziestokrotnej wielkości naszej całej firmy, to jest po prostu niewykonalne. A trzeba mieć tysiące osób, dosłownie tysiące, które współpracują na bieżąco z dużymi producentami sprzętu, typu, na przykład Qualcomm, trzeba mieć dedykowane osoby do nich, trzeba mieć bardzo drogich i licznych inżynierów, którzy na bieżąco znają się na sprzęcie, umieją obsługiwać te bugi, które są w sprzęcie. To jest projekt niewykonalny przy naszej skali. Natomiast telewizory… Zgaduję, ale chyba jest oparty ten telewizor Amazona częściowo o naszą technologię.

Adam Haertle: No ok. Słuchaj, wspomniałeś o innych przeglądarkach i o innych producentach, dostawcach systemów. Słyszałem, że są firmy na świecie, które dostarczają jakieś rozwiązania i bardzo krzywo patrzą na ludzi, którzy korzystają z innych rozwiązań i dla nich pracują, czyli jak, no nie wiem, przyjdziesz do Proctera z proszkiem od Unilevera to mogą cię nie wpuścić do budynku. Powiedz, jak to wygląda u was, jest ban za Chrome’a czy po prostu ich zrzucacie z mostu, czy zakopujecie gdzieś w lesie, czy nie wiem, jak ktoś odpali Internet Explorera, to na twoim IDSie czy innym systemie monitoringu zapala się czerwona lampka i jedziecie na sygnale sprawdzić, co tam się stało?

Adam Lange: Tam drony latają, a nie sygnał, wiesz…

Michał Purzyński: Dokładnie, z drona. Co ciekawe, jest całkowicie na odwrót. Jak przyszedłem pierwszy raz do firmy to miałem zainstalowanego na laptopie Firefoxa zwykłego, Nightly, czyli tę wersję najbardziej testową, aktualnego Chrome’a, Safari i chyba coś jeszcze? Generalnie firma uważa, że nie można się odcinać od rzeczywistości i to jest taka kwestia podwójna; przede wszystkim produktywność — jeżeli coś ci pasuje w Chromie, to używaj tego Chrome’a do pracy, tylko tak fajnie by było, jakbyś nam powiedział dlaczego, bo może my coś źle robimy, ale nie chcemy się odcinać od rzeczywistości i chcemy wiedzieć na bieżąco, co się dzieje u, nazwijmy to, konkurencji. Więc jak najbardziej ludzie używają różnego rodzaju projektów, żeby wiedzieć co i jak.

Adam Lange: Mamy następne pytanie, a propos otwartego rozpoznawania mowy w Mozilli. Czy wiesz coś o tym projekcie więcej?

Michał Purzyński: Tak, rzeczywiście, projekt Open Voice istnieje, ma się dobrze. Algorytmy i generalnie całe oprogramowanie, jak to u nas, jest publicznie dostępne. Chodzi też o stworzenie takiego systemu, który nie będzie oparty na jakiejś super zamkniętej sieci neuronowej, produkt, który tylko można kupić, tylko coś takiego, co każdy może sobie wziąć. W tym projekcie można uczestniczyć na wiele sposobów, pisząc kody, ale nie tylko. Nie pamiętam dokładnie adresu strony internetowej, chyba voicemozilla.com czy coś w tym guście, każdy może się nagrywać i dodawać swoje próbki głosu, co jest nawet wskazane, bo bardzo zachęcamy, żeby w projekcie brały udział osoby, które mają różnego rodzaju akcenty, różnego rodzaju języki, żeby projekt jak najwięcej był w stanie się nauczyć różnego rodzaju wymowy i był w stanie osiągnąć bardzo wysoki poziom poprawnego rozpoznawania. Nie wiem czy to jest…

Adam Lange: Czyli wszyscy mają w głowie teraz frazę „my voice is my password”, wszyscy idziemy na stronę Mozilli i wypowiadamy magiczne słowa…

Michał Purzyński: Ciekawe.

Adam Lange: Dobrze, nie wiem, Adam, czy masz jakieś pytanie, bo widzę, że bardzo dużo pytań jest na streamie…

Michał Purzyński: To dawaj ze streamu.

Adam Haertle: Dawaj ze streamu.

Adam Lange: No to lecimy ze streamu. Dobrze, więc tutaj taką komerchę troszeczkę… Czy wejdziecie jako Firefox, jako Mozilla i dowolna z waszych usług w VPN, domyślny akurat dla Firefoxa tutaj jest, czy będziecie się dogadywać z jakąś komercyjną firmą?

Michał Purzyński: To jest temat szeroki, ale generalnie próbowaliśmy testować rozwiązania typu jakieś proxy połączone z Firefoxem czy hostowane przez nas, czy zewnętrznych zweryfikowanych dostawców, więc generalnie na pewno w którymś momencie firma będzie chciała coś takiego wypuścić. Pracuje, testuje, coś próbuje, ale czy to będzie komercyjny VPN, czy to będzie jakieś niekomercyjne proxy… Fajnie by było mieć coś takiego zintegrowane z Firefoxem i na pewno pewnego rodzaju prace nad tym trwają, tak.

Adam Lange: No w przypadku Opery jest to, z tego co pamiętam, zwykłe proxy, tak? I oni to mocno reklamują jako VPN, jako bezpieczne połączenie, no ale też Adam ostatnio o tym mówił, że to nie do końca jest VPN i nie do końca bezpieczne. Mam nadzieję, że Firefox, na którego, jak rozmawialiśmy, będę się przesiadał prawdopodobnie w ten weekend, jednak nie doczeka się takiej funkcji, jeżeli bym chciał użyć VPNa to go użyję third party, gdzieś tam obok, a nie w przeglądarce.

Adam Haertle: Znaczy, w ogóle musieliśmy podpisać Michałowi taką zgodę, że będziemy przez następny miesiąc używać Firefoxa, żeby do nas przyszedł, ale myślę, że warto było… Znaczy, powiemy jeszcze za miesiąc.

Adam Lange: Testujemy, tak? Bo to jest taki test, jak wszyscy vlogerzy i streamerzy testują, to i my będziemy testować teraz Firefoxa. Zobaczymy, co z tego wyjdzie, potem będzie recenzja, unboxing, wiecie jak to działa, tak? I dlatego, skoro jesteśmy przy tym temacie, pamiętajcie, że jesteśmy na YouTubie, tak że zapraszamy abyście subskrybowali ten kanał, nacisnęli taki dzwoneczek, żeby dostawać przypomnienia, podnieśli łapkę w górę, jak to mawiają streamerzy, tak żeby nie pominąć następnego odcinka, który będzie już w niedzielę o dwudziestej pierwszej. Jedziemy z następnymi pytaniami, bo czas nas goni, a pytań jest multum. Mamy tutaj pytanie związane z devtoolsami. Jakie są nastroje w firmie związane z devtoolami z Chrome’a? Zostały standardem przy webdevie, detronizując Firefoxa.

Michał Purzyński: Eh?

Adam Lange: No, to jest dobra odpowiedź.

Michał Purzyński: Firefox rządzi, devtoolsy są cały czas rozwijane. Z tego, co wiem, to nasi deweloperzy używają głównie devtoolsów naszych do troubleshootowania jakichś stron, które mają problemy z kompatybilnością z różnymi przeglądarkami. Być może nawet niektórzy używają sobie devtoolsów Chrome’a. Generalnie cieszymy się, że jest konkurencja, ale po prostu rozwijamy swoje, wiemy, czego ludzie chcą od naszych, praca idzie do przodu. Na co dzień używam devtoolsów naszych, wystarczają mi praktycznie do wszystkiego, co robię. Zakładka „network” rządzi, jest fajna.

Adam Lange: Tak, używam często. Co ciekawe, kiedyś miałem taki epizod, robiłem strony internetowe i devtoolsy w Firefoxie były moim podstawowym narzędziem, niezależnie od tego czy inne przeglądarki miały taką funkcję, więc jakby tutaj była największa kompatybilność z tymi wszystkimi featurami, CSSami, HTMLem i tak dalej, i tak dalej, więc ja osobiście mogę tylko polecić. Dobrze, lecimy dalej. Co będzie, jeżeli udział Firefoxa w rynku spadnie, przez co pieniądze od Google także nie będą takie jak dzisiaj? Co się wydarzy?

Michał Purzyński: To jest bardzo dobre pytanie, na które firma próbuje sobie odpowiedzieć od dłuższego czasu i eksperymentuje z różnymi pomysłami, źródłami przychodu i oczywiście, jak najbardziej jest świadoma tego, że coś takiego może się zdarzyć, więc atakujemy ten problem z wielu stron. Przede wszystkim staramy się zrobić Firefoxa coraz lepszym, żeby udział w rynku odzyskać, a przy okazji jak najbardziej firma szuka, pracuje i myśli co tu zrobić, żeby zdywersyfikować przychód, żeby nie być zależnym wyłącznie od firm pokroju Google. Już samo to, że w tej chwili Google zamiast stanowić 99% stanowi mniej, a jest więcej źródeł przychodów w postaci właśnie Yandexów, Baidu i innych firm, samo to już jest fajnym krokiem do przodu. Będziemy zawsze czegoś szukać, tak że generalnie trwają projekty, żeby znaleźć inne źródła przychodu jak najbardziej, ale przede wszystkim firma w tej chwili skupia się na tym, żeby udział Firefoxa w rynku, zarówno stacjonarnym, jak i mobilnym, zwiększyć.

Adam Lange: Mamy dużo pytań od naszych oglądających, a propos, jak sam się domyślasz, Google versus Mozilla, tak że spodziewaj się następnych. Kolejne będzie od Zbutwiałego Piernika, pozdrawiamy serdecznie. Czy Google naciskało jakoś Mozillę, żebyście zaczęli używać Chromium jako silnika, jak w większości mainstreamowych przeglądarek?

Michał Purzyński: Nie słyszałem o takich naciskach. Mogę powiedzieć, co prywatnie na ten temat sądzę. Uważam, że jest im potrzebny troszkę inny produkt na rynku, troszkę inna przeglądarka, która jednak od nich się różni. Bezpieczniej jest mieć więcej niż jeden silnik na rynku przeglądarek, również ze względu na bezpieczeństwo, standardy, jak i sam fakt, że my czasami jednak zrobimy coś, o czym oni by nigdy nie pomyśleli, więc…

Adam Lange: No, tym bardziej, że jakby coraz mniej tych przeglądarek jest tak naprawdę i z tego, co wiem, Edge od Microsoftu przerzucił się już na silnik Chromium, tak że zostaje was coraz mniej na polu walki. No, zobaczymy jak to będzie. Mamy pytanie, tak naprawdę ono było zadane trochę wcześniej, też w komentarzach na Zaufanej, o DoHa tak zwanego, czyli DNS-over-HTTPS. Kiedy Mozilla planuje wprowadzić domyślny DNS-over-HTTPS w Europie? I dalej jedziemy z pytaniem, czy w Mozilli większość osób popiera tę inicjatywę? Jak wyglądają te proporcje? Jakie jest osobiste twoje zdanie na ten temat?

Michał Purzyński: O. To po kolei. Mozilla sukcesywnie rzeczywiście wprowadza DNS-over- HTTPS i jak szybko będzie się to rozwijać, tak szybko dołączymy kolejnych partnerów, którzy będą nam w tym chcieli pomóc. To jest jednak poważna sprawa zmienić i zakodować na sztywno jedno czy kilka źródeł DNS-ów w przeglądarce z takim udziałem w rynku, więc to muszą być partnerzy i to najlepiej więcej niż jeden, pewni. I to muszą być partnerzy, którzy będą dostarczali DNSa w sposób taki, który będzie działać, nieważne, co się stanie. W tej chwili jest to Cloudflare, bo jego po prostu położyć się nie da, ale w miejscach typu Europa, jak widać, z jakichś powodów technicznych czy biznesowych musimy szukać większej liczby partnerów. Nie możemy sobie wybrać małego partnera, któremu padną trzy serwery i wtedy ludzie nie będą mieli dostępu do internetu z Firefoxa. Co ciekawe, wtedy również nie dałoby się naprawić Firefoxa, bo jak by się sam zaktualizował, jakby się nie mógł sam zaktualizować. W Europie, ze względu również na uwarunkowania prawne i polityczne, wymagania dotyczące tych partnerów są troszeczkę inne. Mam wrażenie, że są wyższe niż w USA, więc trzeba znaleźć odpowiednie firmy, które mają infrastrukturę godną zaufania, a to wcale takie proste nie jest, bo tych firm na świecie to jest może trzy, cztery. A jeżeli chodzi o nastroje w firmie… Bardzo się ludzie cieszą z tego typu rozwiązania. Trzeba pamiętać, że my w Polsce żyjemy w bardzo fajnym, takim świecie, pod względem prywatności i dostępu do informacji. Nie jest źle, jeżeli chodzi o jakieś takie zakusy pod względem blokowania treści, a jeżeli ktoś się przejedzie do krajów typu Wenezuela, nie wchodząc za bardzo w politykę innych różnych państw na świecie, Chiny… To, że ma się dostęp do wszystkiego nie jest wcale takie oczywiste, więc firma bardzo stara się pomóc, zmieniając nie tylko przeglądarkę i pewne rzeczy, pewne standardy, ale to jak internet działa w ogóle, żeby uczynić wszelkie próby cenzury praktycznie niemożliwymi w wykonaniu. Więc generalnie wszyscy się cieszą, że możemy w tym pomóc, zarówno współpracując w ramach projektu TLS 1.3 i ukrywając tego hosta, żeby nie było wiadomo, z czym człowiek się łączy, jak i ukrywając informacje na warstwie DNS, szyfrując wszystko i starając się cenzorom spędzać sen z powiek tak bardzo, jak tylko się da. Natomiast osobiście? Trochę utrudnia mi to życie, bo…

Adam Lange: Właśnie, o to chciałem się spytać, bo ty musisz też patrzeć pod kątem bezpiecznika, pod kątem monitorowania własnej infrastruktury, tego, co robią użytkownicy i te sławne grupy APT, które was atakują, więc jeżeli nałożysz bardzo dużo tej prywatności w postaci DoHa, szyfrowania, wszelkiego rodzaju requestów i jeszcze wszystko puścisz przez Tora, to ty masz problem, aby wykryć przestępcę ewentualnego w sieci.

Michał Purzyński: Dokładnie tak, więc to rzeczywiście utrudni mi troszkę życie. Trzeba oczywiście zauważyć, że jak każdą tego typu funkcjonalność, można ją wyłączyć zarówno na warstwie pojedynczej przeglądarki, jak i profilami. Spoiler alert, Firefox od niedawna wspiera takie profile Enterprise, można nimi zarządzać przez Active Directory, jeżeli któraś organizacja chce sobie to wyłączyć, to może to zrobić i nie jest to trudne. Można DoH wyłączyć na warstwie sieci i wtedy każdy Firefox w sieci przestanie tego używać; to w organizacjach to rzeczywiście chcą coś takiego zrobić. Natomiast my używamy, wyłączać nie będziemy. Będzie mi to utrudniało troszkę życie i prawdopodobnie będę się w takich momentach przepinał bardziej na monitorowanie na warstwie hosta niż sieci, a na warstwie sieci będę patrzył na ruch, którego nie powinno tam być, tracąc troszkę widoczność z tego, co wychodzi ludziom z przeglądarek. Albo moje systemy będą patrzyły na reputację czy adresu IP, czy systemu autonomicznego, z którym się ktoś łączy, na jego popularność na przykład, tego typu rzeczy. Jest wiele fajnych metod detekcji, które dalej działają, nawet jeżeli wszystko jest zaszyfrowane. Takich bardziej statystycznych.

Adam Lange: No i fajnie. Mamy następne pytanie, ale żeby nam Adam nie usechł, to Adam teraz przeczyta treść.

Adam Haertle: Tak, była taka afera, gdzie Google faktycznie wykonywało ruchy w stronę ograniczenia możliwości blokowania reklam w Chromie. Rozszerzając to pytanie, czy Firefox idzie w tę stronę, czy dalej będziemy mogli blokować wszystkie reklamy? Czy Google jakoś próbuje wpływać na was?

Michał Purzyński: Google nie próbuje wpływać na nas, z tego, co wiem. Nie jestem w dziale Business Development, więc szczegółów nie znam. Natomiast, absolutnie coś takiego by u nas zwyczajnie nie przeszło. Jeżeli chodzi o nas to, mamy pewne twarde wytyczne odnośnie prywatności, prawa wyboru użytkownika do tego, w jaki sposób chce zarządzać swoimi danymi, jakiego rodzaju danymi chce się dzielić i jak chce, żeby jego przeglądarka działała. I to jest totalne takie DNA firmy, że nie ma opcji, że jeżeli chcieliby nas w jakiś sposób ograniczyć, to się zgodzimy, nie. Postawimy się i to twardo.

Adam Haertle: Słuchaj, no to skoro mówisz już o tym DNA firmy, ja miałem takie moje własne pytanie do ciebie… Dlaczego nie pracujesz gdzie indziej? Czy to jest tak bardziej ideologicznie, czy lepiej płacą w San Francisco, czy nikt cię nie chciał, czy nie wiem, dlaczego chociażby nie poszedłeś do Google’a? Robisz już fajną robotę od wielu lat i pewnie jakieś oferty miałeś.

Michał Purzyński: Oferty rzeczywiście spływają. Im dłużej się jest tutaj na miejscu, tym więcej osób cię zauważa i chce cię zabrać. Czasami rzeczywiście oferują jakieś niewyobrażalne kwoty. Natomiast mam wrażenie, że to jest taki balans pomiędzy misją firmy, a tym co się chce też mieć w życiu. Fajnie jest pracować w miejscu, które w trzy lata uczyni cię bardzo bogatym, ale fajnie jest też, jeżeli poza tym masz coś więcej i masz wrażenie, że wiesz po co wychodzisz rano z łóżka. Nie mówię, że w innych firmach jest to tylko kwestia zarabiania pieniędzy, bo również inne firmy mają naprawdę wspaniałą misję i czasami duże środki finansowe w tamtych firmach umożliwiają zrobienie rzeczy, których by się przy naszych, skromniejszych, nie udało. Ale ja mam wrażenie, że mam fantastyczny bilans między tymi wszystkimi rzeczami, które sobie założyłem w życiu i mamy naprawdę kapitalną wolność, jeżeli chodzi o pewną taką kulturę pracy, sposób pracy. Tak: jest misja, wystarczająco dobrze płacą, mamy wolność jak pracujemy i mam naprawdę kapitalną ekipę, którą ciężko byłoby teraz opuścić, bo świetnie się rozumiemy i jakoś tam nie ma problemu z płynnością pracy. I mogę pracować nad projektami open source, nie muszę się nikogo pytać o pozwolenie, firma czasami nawet podrzuci do nich parę groszy, jeżeli potrzebuję. Jeżeli jadę na konferencje i chcę coś poopowiadać, nie muszę mieć slajdów zatwierdzanych przez czternaście osób z działu prawnego, które sprawdzają każdy przecinek, tylko wysyłam slajdy do szefa i mówię mu „Szefie, będę opowiadał w szczegółach, w jaki sposób wygrywamy grupy APT”, on mówi „O, fajnie, to dołóż jeszcze to”. I tylko przeglądają slajdy, ewentualnie poprawiają je pod względem merytoryki.

Adam Lange: Bardzo fajnie.

Adam Haertle: Mam nadzieję, że w tym roku na Oh My [email protected] dotrzesz, wirtualnie lub fizycznie, bo jeszcze nie wiemy czy będziemy mogli się zobaczyć wszyscy twarzą w twarz pod koniec listopada, czy nam na to regulacje i choroby pozwolą. Ale szykuj już slajdy o jakiejś fajnej grupie APT, bo na pewno będziemy cię zapraszać.

Michał Purzyński: Chętnie.

Adam Haertle: Adamie, kolejne pytania.

Adam Lange: Tak, mam takie niestandardowe, tak żeby trochę rozluźnić, nie cały czas tylko te IT i security. Jako że złapaliśmy cię w sieć, to jest pytanie od Kacpra — czy ryba może odczuwać pragnienie?

Michał Purzyński: Oczywiście, że tak.

Adam Lange: Dziękujemy. Kacper, mam nadzieję, że jesteś zadowolony z odpowiedzi. Jedziemy dalej, co my tu mamy… O. Jedziemy w drugą stronę. Mamy pełno przeglądarek, które zmieniły silnik pod spodem na Chrome. Czy którakolwiek z ekip przeglądarek rozważała przejście na silnik Firefoxa, czyli w drugą stronę? Czy wy jakoś może lobbujecie za tym, też chodzicie tak jak Google za przeglądarkami, „Weźcie tego Chromium”, czy tam coś.

Michał Purzyński: Jeżeli lobbujemy to bym o tym za bardzo nie wiedział, bo to są bardziej decyzje na poziomie jednocześnie technicznym, jak i, w firmach zewnętrznych, biznesowym. To nie tak, że decyzje w Operze czy Microsofcie podjęliby inżynierowie wyłącznie ze względu na to, że Gecko jest lepsze technicznie. Zauważyliście tę implikację, że Gecko jest lepsze technicznie? To jest wiele również innych względów, na które tutaj za bardzo nie mamy wpływu. Natomiast często-gęsto albo lobbujemy, albo ktoś się dopytuje, albo coś próbujemy współpracować na warstwie takiej bardziej mobilnej. Polecałbym zainteresowanie się właśnie tym, co siedzi w środku niektórych produktów mobilnych, telewizorów czy tego typu rzeczy.

Adam Lange: O, to ciekawe. Czyli kontrybuujecie też w jakimś stopniu do systemów operacyjnych, które są na różnych telewizorach? Czy to jest LG i ma też jakiś swój webOS, to się chyba nazywa? Samsung ma… Tizena?

Michał Purzyński: Tizena. Oni mają też swoje rzeczy, ale chyba Fire OS ma komponenty nasze, z tego, co wiem, to to jest ten telewizor od Amazona.

Adam Lange: O, ok.

Michał Purzyński: Kiedyś widziałem prowokację na Twitterze, ale jakoś nie widziałem odpowiedzi, ponieważ w samochodzie Tesla ta przeglądarka jest taka, że wymagałaby troszeczkę pracy i z tego, co widziałem, szefostwo projektu Firefoxa zaczepiało Elona Muska na zasadzie „Wiesz co, kupiliśmy sobie niedawno tę Teslę, Elon. My ci zrobimy tę przeglądarkę za darmo”.

Adam Lange: Ok. Tutaj pytanie — znowu wracamy do security, mówiłeś o grupach APT. Czy któraś z grup APT szczególnie upodobała sobie ataki na Mozillę? Czy możesz nam trochę zdradzić?

Michał Purzyński: Myślę, że mamy podobny profil, co większość firm technologicznych. Są to grupy, które potraktowałyby nas jako takiego middle-mana, jako taką warstwę pośrednią do ataków na jakąś ciekawą organizację, kradnąc informacje, które pozwoliłyby im się tam dostać. Nie będę wymieniał krajów, bo to nieładnie, ale mamy podobny profil do większości innych firm technologicznych i widzimy, że przynajmniej próbują nas te same grupy APT, z tych samych dużych państw, motywowanych działaniami wywiadowczymi i tego typu historiami, co ma na przykład Google czy Microsoft. Widzimy, że pukają do nas do drzwi.

Adam Lange: Ok, mamy też pytanie od naszego kolegi. Cześć, Paweł, pozdrawiamy cię serdecznie. Pytanie od Pawła: jakie inne ciekawe projekty warto poznać poza tymi mainstreamowymi, na przykład MozDef, FuzzManager? Co polecasz?

Michał Purzyński: O, pozdrawiamy ekipę od MozDefa, czyli moich ziomków. Polecam na przykład Observium [chodzi o Observatory – przypis redakcji]. Observium, czyli bardzo fajna stronka, na której można sobie sprawdzić, na ile sensownie jest skonfigurowana strona internetowa, którą właśnie wystawiliście do internetu, zarówno pod względem konfiguracji TLS, co samo w sobie teraz… Poprawna konfiguracja TLSa w dzisiejszych czasach wymaga napisania doktoratu albo wejścia na Observium i zastosowania się do porad, które tam są, można sobie tę stronę swoją zeskanować. Powie wam, na ile możecie podnieść warstwę bezpieczeństwa albo na ile chcecie, żeby zachować kompatybilność ze starszymi przeglądarkami. Observium zeskanuje wam również stronę pod względem technik takich bezpieczeństwa webowego. Powie wam, że HSTS jest niewyłączone, a może powinno być, i w jaki sposób to zrobić. Poda wam podpowiedź do wszystkich popularnych serwerów HTTP, jak w Ngnixie, jakiego rodzaju magię wstawić i w które miejsce, żeby wszystko poprawnie zaczęło działać. Więc Observium jest naprawdę fajne, jest to oficjalny projekt Mozilli i powie wam różne ciekawe rzeczy o stronach internetowych.

Adam Lange: Coś jeszcze?

Michał Purzyński: Jest dodatek Laboratory, dokładnie nie pamiętam nazwy, ale to jest dodatek, który czyni zapoznanie się z informacjami na temat certyfikatów używanych do TLSa —  w przeglądarce jak sobie klikniecie, otworzycie certyfikat, to zazwyczaj te okienka są trudne do zrozumienia — koleżanka napisała fajny dodatek, który jakby wyświetla to w sposób możliwy do zrozumienia i podkreśla te rzeczy, które są istotne i pokazuje cały ten chain, który certyfikat podpisuje który certyfikat, w jaki sposób i na co zwrócić uwagę.

Adam Lange: Czyli używając tego rozszerzenia i tych informacji bankowcy mogą napisać nową instrukcję, jak rozpoznawać czy ludzie są na fałszywej stronie?

Michał Purzyński: Na przykład.

Adam Lange: Trochę więcej informacji sobie o certyfikacie pobrać.

Adam Haertle: No dobra, to ja teraz mam jeszcze jedno pytanie, słuchaj, bo spodziewam się, że jest kilka osób, które nas oglądają, żeby się dowiedzieć, gdzie szukać 0daya w Firefoxie. Jakbyś miał na przykład znaleźć 0daya w Firefoxie, to gdzie byś go szukał?

Michał Purzyński: Ja bym go szukał w trzech miejscach i nikt mnie w poniedziałek za powiedzenie tego nie pochwali, ale generalnie zaryzykujmy. Przede wszystkim, wiadomo, w kodzie Firefoxa. W kodzie Firefoxa szukałbym w tym samym miejscu, w którym szukałbym w kodzie Chrome’a, czyli coś, co parsuje JavaScripty, bo parsowanie JavaScriptów… Tego po prostu nie da się zrobić dobrze.

Adam Lange: Boli.

Michał Purzyński: Szukałbym również nie tylko w kodzie. Każda firma programistyczna, szczególnie taka, która ma kod źródłowy na zewnątrz, doskonale wie, że po co szukać 0daya, jeżeli ktoś go znalazł w Bugzilli, więc wiele osób próbuje. Między innymi dlatego tempo łatania — Adam coś wie na ten temat — tempo łatania 0dayów po znalezieniu 0daya i upublicznienia jest oszałamiająca, to jest kwestia godzin. Więc 0daye – poszukałbym sobie w Bugzilli, tylko najpierw trzeba mieć do tego dostęp, a takie proste to to nie jest. Zauważyłem taki ciekawy sposób, on chyba już nawet został opublikowany w jakimś artykule. Ludzie scrapują informacje z naszego systemu, który trzyma kody źródłowe, czyli naszego Hg, to jest chyba Mercurial, i starają się w jakiś sposób parsować informacje o commitach, żeby wykombinować czy to był commit powiązany z security albo jakiego rodzaju ma flagi i starają się korelować te informacje, ponieważ zawsze w commitcie jest informacja o tym, jaki bug jest w Bugzilli, starają się to skorelować z bugiem w Bugzilli i albo przeczytać tego buga, albo wysnuć wniosek, że „O, ja nie mam dostępu do tego buga. Commit wygląda ciekawie. Nie jestem w stanie się dowiedzieć, co to dokładnie było. Mmm, może coś po cichu załatali”.

Adam Haertle: To jest fajna metoda. Czyli okazuje się, że znalezienie 0daya najskuteczniejsze jest, kiedy już go ktoś wcześniej znalazł i ty go znajdujesz zanim zostanie zaktualizowany. No, dobry protip.

Michał Purzyński: Dużo osób szuka w ten sposób 0dayów w jądrze Linuxa, które są łatane, a informacja o łatanych 0dayach jest napisana tak, że występują tam wszystkie słowa, tylko nie „bezpieczeństwo”.

Adam Lange: Dobrze. Mamy następne pytanie od oglądającego. Jak oceniasz wasz program bug bounty? Dużo wam daje ten program w kontekście bezpieczeństwa? Ludzie wyłapują tam sporo rzeczy, których wy nie widzicie i nie wyłapujecie?

Michał Purzyński: Nasz program bug bounty został przerobiony około dwóch lat temu, całkowicie zaorany i zaczęto od nowa. W tej chwili mamy rzeczywiście zatrudnione dedykowane osoby, które przeglądają taką liczbę zgłoszeń, że no, generalnie płacimy pensje kilku osobom za weryfikowanie tych zgłoszeń, co jest ciekawe, i bardzo sobie cenimy naszych security researcherów. Nie mamy tego typu środków i nie potrafilibyśmy każdej osoby, która chciałaby znaleźć coś Firefoxie, złapać, złowić do nas. Bardzo byśmy chcieli te wszystkie osoby zatrudnić i płacić im ogromną pensję, z różnych powodów nie zawsze jest to możliwe i powiedziałbym, że w ogromny sposób dostarczają informacje, bardzo wartościowe informacje na temat bezpieczeństwa czy w Firefoxie, czy naszej infrastruktury, bo co ciekawe, mamy oczywiście bug bounty, jeżeli chodzi o nasze web aplikacje i mamy też całkiem sporo zgłoszeń na ten temat. Niektórzy researcherzy robią to niemal na cały etat. Co ciekawe, kierowani często tym, że mają inną pracę, czy tym, że po prostu nie chcą pracować na etacie, czy różnego rodzaju własnymi przekonaniami odnośnie życia. Niektórzy z nich mieli proponowane przez nas „Tak, chcemy cię zatrudnić, naprawdę, nie będziemy negocjować. Będziesz zarabiać tyle, ile chcesz, bo w zasadzie na pełen etat pracujesz u nas w programie bug bounty, cały czas ci i tak płacimy, więc przyjdź do nas będziemy płacić więcej” i te osoby twierdziły, że nie. Mieliśmy kiedyś takiego tajemniczego researchera, który przez dziesięć lat dostarczał nam informacje. Do tej pory nie wiemy, kto to jest, ta osoba się nie chciała ujawnić, ta osoba nie chciała brać pieniędzy bezpośrednio, tylko na przykład „Wyślijcie na charity czy gdzieś”. Chcieliśmy chociaż wysłać jakiegoś swaga, zaprosić na zjazd firmowy, cokolwiek. Nic. Po prostu tylko „Będę wam dostarczać informacje, ale nie powiem wam, kim jestem”.

Adam Lange: Jeżeli ten tajemniczy Don Pedro nas słucha to zapraszamy, Michał postawi piwo, my też postawimy piwo przy którejś z konferencji. U Adama się alarm włączył jakiś.

Michał Purzyński: Bardzo dużo jest też raportów, które wyglądają w ten sposób: ktoś zapuści sobie skaner, wybierzcie sobie dowolny skaner web aplikacji albo cokolwiek i przejedzie po czy kodzie źródłowym Firefoxa, czy po którejkolwiek naszej stronie i powie nam „Ale tam macie takie coś” albo „Tu jest siedemdziesiąt pięć tysięcy informacji, które znalazł mój skaner”.

Adam Lange: To samo jest przy aplikacjach webowych, ludzie odpalają Acunetixa czy dowolny inny skaner webowy, znajdują bardzo dużo jakichś, powiedzmy, false positive’ów, bo większość z tego typu skanów jednak to są false positivy albo nieistotne informacje typu info i też wysyłają, że „Tutaj. Przyślijcie nam iPhone’a, drogi banku, bo znaleźliśmy sto tysięcy podatności w bankowości”, tak że to się chyba wszędzie zdarza.

Michał Purzyński: I kod źródłowy Firefoxa.

Adam Lange: I kod źródłowy Firefoxa. Nie wiem, czy Adam… Też pewnie jakieś takie maile dostajesz, jeżeli chodzi o skany Zaufanej Trzeciej Strony, ktoś nie raz pewnie cię przeskanował.

Adam Haertle: Nie, natomiast regularnie dostaję informacje, że na stronie jakiegoś banku opublikowana jest lista jego kontrahentów w formie pliku excelowego. Tak, to wynika z prawa bankowego, każdy bank taką listę publikuje i raz na tydzień dowiaduję się, że mBank czy inny bank właśnie taką listę publikuje i to tam na pewno nie powinno być, a właśnie powinno być, bo jakby nie było opublikowane to by był problem, ale to jest normalne, trzeba ludzi po prostu edukować. Ja widzę fajne pytanie, na które nawet sam chciałem odpowiedzieć. Czy możecie permanentnie wyłączyć JavaScript dla dobra ludzkości? Ja kiedyś miałem wtyczkę, która domyślnie wyłączała JavaScript na każdej stronie i w końcu musiałem ją wyłączyć, bo się nie dało korzystać z internetu, więc no… Pamiętajcie, że przeglądarki są do tego, żeby ich używać, a nie żeby przy nich cierpieć. To powinno działać, tak? Jak ktoś chce sobie wyłączyć, to sobie wyłączy.

Adam Lange: A ja lubię JavaScript, co wy chcecie od JavaScriptu, kurczę.

Michał Purzyński: JavaScript możemy wyłączyć wtedy, jak wyłączymy linki, bo przecież linki nie są do tego, żeby na nie klikać.

Adam Lange: O, to prawda. Wszyscy mówią, żeby nie klikać w linki. Dobra, to mam jeszcze jedno pytanie od Mateusza, też serdecznie pozdrawiamy Mateusza. Jak wygląda sprawa ochrony użytkowników Firefoxa przed stronami phishingowymi? Czy używacie tylko feedu Safe Browsingu od Google’a, czy może czegoś jeszcze?

Michał Purzyński: Firefox w tej chwili na bieżąco używa tego samego mechanizmu, co Chrome. Natomiast Mozilla kontrybuuje zarówno takie informacje, które docierają do naszej ekipy i weryfikujemy je na temat stron phishingowych, jest to również, między innymi, część mojej pracy, zbieranie informacji typu właśnie threat intelligence o różnego rodzaju zagrożeniach. Dorzucamy je na bieżąco, mamy taki troszkę inny dostęp do API google’owego, które pozwala nam na bardzo szybkie dorzucanie informacji do Safe Browsingu i to na ogół w ciągu minut jest weryfikowane i dorzucane, tego Firefox używa. Swojej infrastruktury nie mamy, bo w kupie siła, więc liczymy na to, że połączona siła różnych osób, które wrzucają informacje na stronie Google’a czy różnego rodzaju automatów, które przeszukują internet, jest jednak lepsza niż to, co byśmy byli w stanie zrobić sami. Natomiast rzeczywiście czasami zastanawiam się, czy nie powinniśmy jeszcze mieć swojego czegoś dodatkowego. Rozmawiałem z różnymi osobami w firmie [i] powiedzieli mi, że jeżeli będę miał źródło wysokiej jakości informacji, które byśmy chcieli dołączyć do Firefoxa, to technicznie nie ma problemu, jesteśmy w stanie to zrobić, ale musiałby być powód, dla którego nie dzielilibyśmy się tym ze światem zewnętrznym, a na ten moment nie widzę takiego powodu. Jeżeli ja wiem o jakiejś stronie z zagrożeniami, to Google dorzuca to na bieżąco, więc troszkę nam zdejmuje z głowy potrzebę trzymania czegoś takiego po naszej stronie. A to jest jeszcze jedna rzecz, która może się popsuć.

Adam Haertle: I kolejny serwer do ochrony.

Michał Purzyński: Tak, dokładnie. Infrastruktura safe browsingu w Google, akurat słyszałem co nieco na ten temat, to nie jest jeden serwer pod stołem. To jest poważny projekt.

Adam Lange: Dobrze, ja mam jeszcze jedno pytanie z komentarza na Zaufanej. Na co zwrócić uwagę, instalując dodatki do Firefoxa? Jak może wiesz i możesz się podzielić tą informacją, jak wygląda sam proces dodawania do tej bazy dodatków i weryfikacji takiego dodatku?

Michał Purzyński: Weryfikacja dodatku, przynajmniej tych dodatków polecanych, oczywiście zależnie od typu dodatku i zależnie od poziomu dodatku, jest wykonywana czasami półautomatycznie — takie trochę automatyczne skanowanie, a czasami ręcznie, przez kogoś. Wszystko to jest opisane w szczegółach, nawet nie będę w to wchodził, bo na ten temat jest czterdzieści stron dokumentacji na MDN-ie, mam nadzieję, że po polsku. Gdyby nie było coś na bieżąco po polsku, to uderzajcie do mnie i się zaktualizuje. Natomiast powiem coś na temat dodatków bardziej takich właśnie weryfikowanych ręcznie, czyli tych polecanych, bo widziałem, że chyba też było na ten temat kiedyś pytanie. Dodatki polecane są rzeczywiście weryfikowane przez kogoś. Siada programista, otwiera kod źródłowy i patrzy, czy ten dodatek nie robi krzywdy. To nie jest jedyna rzecz, pod której kątem dodatki są weryfikowane, patrzymy również na prywatność użytkownika. Na to czy może to wyłożyć przeglądarkę stu milionom osób, jeżeli sto milionów osób ten dodatek zainstaluje. Na to czy nie próbuje eksfiltrować jakichś danych prywatnych. Więc rzeczywiście w przypadku dodatków ważnych, dotykających istotnych elementów Firefoxa lub dodatków rekomendowanych, przy których jest ten taki badge fajny, że rzeczywiście on jest sprawdzony i tak dalej, ktoś nad tym siada, przegląda, na ogół rozmawia z autorem tego dodatku. To też jest kwestia taka, że trzeba pamiętać, że my nie mamy stu pięćdziesięciu tysięcy osób, tylko tysiąc z groszami, a tych dodatków weryfikowanych jest dużo i tych zgłoszeń jest ogromna ilość. Oczywiście pomaga nam w przeglądaniu nasza społeczność, jak najbardziej. Natomiast jeżeli chce się takie przeglądy zrobić dokładnie, to trzeba siąść jeden na jednego, czasami z autorem dodatku, porozmawiać o czymś i to zabiera czas, a doba ma tylko 24 godziny.

Adam Haertle: Jest jeszcze fajne pytanie o dodatki, mianowicie — sam nawet jestem zainteresowany twoją odpowiedzią — jakich wtyczek używasz w Firefoxie? Używasz jakichś w ogóle?

Michał Purzyński: Używam kilku. Aż popatrzę na szybko, czego ja używam.

Adam Haertle: Nie poprosimy cię o udostępnienie twojego pulpitu, bo nie byłeś do tego przygotowany, więc nie chcemy żebyś miał jakąś wpadkę OPSEC-ową, ale powiedz.

Michał Purzyński: Z tego, co widzę… Widzę tak: używam dodatku 1Password, bo używamy w firmie 1Password jako jednego z menedżerów haseł, przy czym każdy w firmie może używać jednego z kilku zatwierdzonych menedżerów haseł, więc ja mam akurat ten. Mam ten viewer do certyfikatów, on ma taką nazwę po angielsku, że nawet ja jej nie spróbuje wymówić — poprosimy Adama, żeby kiedyś napisał artykuł. Używam dodatku Facebook Container; w firmie się mówi, że to trzyma Zucka w pudełku — chodzi o to, żeby wszystko, co dotyka Facebooka było odizolowane, nie tylko cookies, ale różnego innego rodzaju metody śledzenia, więc żeby mnie to chroniło przed śledzeniem przez Facebooka. Używam uBlock Origina, tego właśnie originowanego, jak chyba większość osób i używam dodatku SSO No Phishing, którego używać nie będziecie. To jest taki wewnętrzny nasz dodatek, bardzo ciekawy, który trzyma hasha mojego hasła do firmy, dość mocnego hasha, i w momencie, w którym w jakimś polu tekstowym, które wygląda jak hasło, je próbuję wpisać, to oblicza hasha tego, co ja próbuję wpisać i porównuje czy to jest w domenie sso.mozilla.com, czyli w naszej domenie, która tak naprawdę jest jedyną, do której powinienem podawać tego typu hasła firmowe. Chodzi o to, żebym nie podał hasła firmowego na stronie, która nie jest w odpowiedniej domenie. Co ciekawe, podobnych dodatków używają również inne duże firmy, których nazwy wymienić nie mogę.

Adam Haertle: W nawiązaniu do tego widzę kolejne fajne pytanie, odnośnie synchronizacji haseł, Firefox Sync, tak? Tej usługi. Czy na przykład powierzasz swojej przeglądarce swoje hasła? Wszystkie?

Michał Purzyński: Nie powierzam, ale nie wynika to ze względów bezpieczeństwa, tylko z tego, że kiedyś jak próbowałem używać Firefox Sync, dawno temu, to były problemy techniczne. Duże problemy techniczne.

Adam Lange: To nie działa.

Michał Purzyński: Nie działało. Teraz działa, bo cała ta infrastruktura została przepisana, ma nowy kod, nową infrastrukturę, nowych ludzi, tak że teraz Firefox Accounts polecam, działa fajnie. A mnie się nazbierało dużo haseł w 1Password, no i teraz sobie wyobraźcie, że ja mam to wszystko przenieść, przecież ja bym to ręcznie robił przez dwa tygodnie.

Adam Haertle: Mógłbyś zmienić przy okazji.

Michał Purzyński: Ok, mógłbym. Teraz pracujemy nad Lockwise, który jest nowym password menedżerem, więc być może obejrzę Lockwise i być może w pewnym momencie stwierdzę, że jest fajniejszy niż 1Password, przestanę tego używać, zacznę używać czegoś innego. Więc to są kwestie historyczne.

Adam Haertle: Po prostu nie zacząłeś w dobrym momencie.

Adam Lange: Ok. Patrzę jeszcze na pytania, czy mamy coś ciekawego. Czy były w Firefoxie jakieś plany zastąpienia JavaScriptu czymś innym? Oczywiście autor pytania nie mówi, że to ma być Python, ale może nad czymś myśleliście, na przykład Visual Basic for Applications.

Michał Purzyński: Doskonały pomysł. Osobiście również wybrałbym ten język. Nie no, tak myślę, że taki assembler w wersji 16-bitowej na architekturę typu MIPS nadawałby się jeszcze lepiej jak JavaScript, to ma podobną czytelność. Natomiast zmiana sposobu, w jaki cały świat pisze strony internetowe… Znaczy, my naprawdę jesteśmy odważni, ale nie wiem, czy aż tak odważni.

Adam Lange: Microsoft ostatnio był bardzo odważny, w nowym Office silnik makro już działa oparty na JScriptcie, a nie tylko na VBA, więc oni eksperymentują. Mam nadzieję, że i wy będziecie, chociaż pytanie, co to będzie za język, czy nie będzie to kolejny język, którego będę musiał się nauczyć.

Michał Purzyński: Możesz zacząć się uczyć Rusta, ponieważ przepisujemy coraz więcej Firefoxa w Rustcie.

Adam Lange: Rust już nie jest passe? Bo teraz wszyscy piszą w Go, więc ja nie wiem.

Michał Purzyński: Nie, na odwrót. Teraz wszyscy z Go piszą Rusta.

Adam Lange: Było browser wars, console wars, gaming wars i tak dalej, to teraz będzie kolejny war. Dobrze. Co my tu jeszcze mamy?

Adam Haertle: Dobra, ja tylko powiem, że będziemy powoli zmierzać ku końcowi, bo nie chcemy też ciągnąć naszego webinaru w nieskończoność. Michał też ma życie i chcemy mu pozwolić dokończyć piękny dzień, który właśnie rozpoczął.

Adam Lange: Michał, kawę już wypiłeś?

Michał Purzyński: Piję sobie powoli, jestem gotowy na drugą.

Adam Lange: Ok. A masz kubek Mozilli?

Michał Purzyński: Mam kubek z projektu Zeek. Proszę bardzo.

Adam Haertle: Szanujemy, szanujemy. W ogóle, Adam, w międzyczasie może zaprosisz naszego czwartego gościa, znaczy drugiego gościa, czwartego uczestnika, bo nie może być przecież naszego programu bez Stefana. Masz Stefana? Stefan? Jest Stefan.

Stefan: Dzień dobry.

Adam Haertle: No, jak jest Stefan, to jesteśmy w komplecie.

Adam Lange: Tak, wszyscy domagali się Stefana, dlatego Stefan chyba będzie już teraz stałym gościem u nas na livie. Zanim jeszcze zakończymy to standardowe przypomnienie: łapka w górę, subskrypcja, dzwoneczek i widzimy się za tydzień.

Adam Haertle: Słuchajcie, dziękujemy bardzo Michałowi. Dzięki, Michał, że do nas wpadłeś.

Michał Purzyński: Fajnie było.

Adam Haertle: Dziękujemy wszystkim uczestnikom za to, że byli z nami i zadawali pytania. Pewnie widzimy się za tydzień o tej samej porze, a my, jako Adamowie, ruszamy na łowy na kolejnego gościa, może się nam ktoś zaplącze. Słuchajcie, dziękujemy jeszcze raz.

Adam Lange: Jeżeli będziecie mieli jakieś jeszcze pytania do Michała, to zachęcamy was do komentowania, to wideo będzie dostępne na YouTubie, tak samo możecie komentować na Facebooku. Michał pewnie czasem będzie mógł zajrzeć, odpisać coś, tak że zachęcamy do tego.

Michał Purzyński: Tak, odpiszę na pewno.

Adam Haertle: A, jeszcze chciałem powiedzieć, że Michał będzie miał też swój artykuł na Zaufanej, bo podzielił się swoim setupem security i to też trafi na naszą stronę, tam też będzie okazja go trochę podpytać, dlatego też dzisiaj o to za bardzo nie wypytywaliśmy. No dobra, to chyba tyle. 55 minut, idealny czas. Dzięki raz jeszcze i do zobaczenia za tydzień.

Adam Lange: Do zobaczenia. Trzymajcie się.

Michał Purzyński: Cześć.

Adam Lange: Dzięki, Michał. Nara, Stefan.