Takie tam o płatnościach.

  Po co nam bank?

                  Pytanie wydaje się trywialne. Są po to by trzymać tam kasę! Ale czy na pewno? Ja jej tam nie trzymam, przynajmniej nie dużą kasę i nie na długo. Praktycznie po kilku dniach od uznania, rozpływa się ona po wierzycielach. Pozostała kwota jest niemal symboliczna i fatycznie bank pomaga mi w pośrednictwie płatności. Jak kupuje kawę, to bank płaci za nią moimi pieniędzmi … ale czy na pewno?

  Akceptowalne formy płatności w punkcie z kawą są wszelkie. Mogę zapłacić gotówką, więc reszkę posiadanych pieniędzy mogę trzymać w spodniach i odliczając odpowiednie kwoty płacić za usługi, czerpiąc radość z drobnego tipowania obsługi. Mogę też korzystać z kart wydanych przez bank. Ściśle powiązane z moją kupką pieniędzy w banku zobowiązują bank do zapłaty za kawę z moich środków. Pośrednik tej transakcji pobiera swoje prowizje które ja spłacam w bardziej lub mniej świadomy sposób usługodawcy lub/i bankowi. Mogę użyć któreś z modnych technologii płatności zbliżeniowych, zbliżając kartę bez podawania PINu czy nawet telefon, brelok lub praktycznie (dzięki poręcznym naklejkom), każdy przedmiot który chcemy bezwstydnie przyłożyć do terminala. Niemniej jednak proces płatności pozostaje bez zmiany. Sklep dostaje swoje, płaci dodatkowo pośrednikowi, pośrednik obciąża moje konto w banku.
Nie muszę jednak trzymać swoich pieniędzy w banku. Są już liczne firmy, które chętnie przechowają dla nas nasze pieniądze i dadzą możliwość zakupu pewnych usług. I to praktycznie bez pośredników! Globalny PayPal czy popmoney, lokalny PayU, Mpay, SkyCash i inni.  Wrzucamy tam kasę (praktycznie udzielamy im pożyczki) a firmy te oddają nam część tych pieniędzy w postaci możliwości płatności za usługi. Kupić możemy już niemal wszystko, bo PayPal jest globalny i możemy płacić za towary na świecie a lokalną lukę zaczynają wypełniać firmy takie jak SkyCash.  Dodatkowo otrzymujemy usługi z którymi banki wchodzą na rynek mocno opóźnione, czyli płatności p2p (kolega do kolegi) oraz zarządzanie „finansami” przez aplikacje mobilne. Więc czy nadal potrzebujemy banku? Jeśli bank wdroży podobne narzędzia, to czemu nie, ale jeśli nie będzie tego oferował stanie się tylko routerem naszych pieniędzy, pracującym jedynie w dniu wypłaty.
Trend może wyglądać tak. Mam pewne stałe punkty w których wydaję pieniądze (Point Of Sale). Sklep przy domu, ulubiona kawiarnia, bilety autobusowe lub przydrożna stacja benzynowa. Jedna z firm (nie bank) umawia się z nimi, że jak przyjdę Ja, i podam kod z mojego telefonu, i on się będzie zgadzał z kodem który się wyświetli na tablecie podłączonym do kasy, to firma zobowiązuje się pokryć kwotę za moje zakupy. W wygodnej aplikacji na telefonie widzę dokładnie co i komy właśnie zapłaciłem i ile mam jeszcze kasy do dyspozycji.  Kolejne POSy w drodze do pracy powodują topnienie mojej góry pieniędzy. Czym to się różni od płatności kartami bankowymi? Praktycznie niczym szczególnym.  Jednak nie jestem już przywiązany mikro płatnościami ze swoim bankiem, mogę swoje pieniądze trzymać wszędzie. U operatora GSM, w elektrowni czy w sklepie spożywczym jeśli firmy te tylko udostępnią odpowiednie aplikacje (np. Biedronka już ma!). Liczy się tylko to by było wygodnie. Wygodnie dla mnie. Być może gazownia nie będzie wymagała formy pre-paid, bo mi ufa* i będę mógł spłacić zobowiązania razem z kwartalną fakturą wraz opłatą za gaz i dystrybucję, a jak będę trzymał u nich sporą nadpłatę, to może i zniżkę dostanę na w/w usługi…
 Krótko mówiąc robi się ciekawie na rynku mikro płatności i to w czasach kiedy wydawałoby się że wszystko dąży do konsolidacji a nie rozdrobnienia.  Że z setek banków zostaną cztery rozdające karty. Technologia po raz kolejny pokazała że potrafi namieszać nawet w tak skostniałym układzie.
 Obserwuję ten rozwój z wypiekami na twarzy i smartphonem w ręku.

  *ufa – bo jak nie zapłacę to mi odetną gaz co w zimę może być dodatkowo mobilizujące do spłaty…

certyfikaty – takie tam ciekawostki

kilka drobiazgów na które ostatnio natrafiłem…

  • self-signed certificate wcale nie musi być taki bardzo 'self’. w niektórych scenariuszach [np. hyper-v replication] najpierw tworzy się self-signed rootCA a potem za pomocą tego certu tworzy się kolejne. takie odzwierciedlenie prawdziwej struktury serwerów. wady pozostają – oczywiście nie ma w nich CDP i AIA więc są nieweryfikowalne
  • można ominąć takie wydumane struktury zaufania. można wygenerować pojedynczy self-signed i dodać go zarówno do computerMy oraz do Trusted Root CAs – dzięki temu będzie samo-weryfikowalny (;
  • z jakiegoś powodu nie dodano do systemu makecert’a – dziwne. od w2k8 [w końcu!] nie trzeba instalować reskitów i support toolsów bo niemal wszystko co potrzebne jest w systemie. brak makecerta jest imho niedopatrzeniem
  • w w8/2o12 jest cmdlet new-selfsignedcertificate. niestety bardzo prymitywny – można za jego pomocą wygenerować najprostsze certy SAN [subject alternative name]
  • w w8/2o12 pojawił się [w końcu!] dodatkowy snap-in dla cert store komputera: certlm.msc

jakie widziałem certy z najdalszą datą ważności? standardowo AD wystawia cert dla admina do szyfrowania EFS na 1oo lat. sporo. niemniej przy okazji ostatniego grzebactwa trafiłem na cert wygenerowany przez Windows Server 2o12… nie udało mi się ustalić przy jakiej okazji. to selfsigned zrobiony na potrzeby jakiejś usługi [jakiej?]:
cert 3o12
trzeba ustawić sobie w kalendarzu na kwiecień 25o6, żeby go odnowić…

ale trafiłem na rekordzistę chyba nie do pobicia. certy generowane przez SharePoint:
SP certificate

eN.

Replikacja Hyper-V – url revocation list check failed

wraz z ws2o12 i nowym Hv v3 jest możliwość replikowania maszyny na zdalnego hosta. najbardziej interesujący scenariusz to replikacja hostingowa – jest sobie firma, która outsource’uje usługi IT i chce, aby ich maszyny były dodatkowo zabezpieczone. do tej pory wymagało to tworzenia całkiem wymyślnych struktur – VPNy, trusty, skomplikowane procedury recovery czy inne wynalazki. teraz scenariusz jest trywialny:

  • no owszem.. jakiś VPN czy inna komunikacja jest niezbędna
  • Hyper-v v3 u klienta i Hyper-v v3 w ośrodku hostującym
  • brak trustów, jakichkolwiek innych związqw między domenami. jedyny mechanizm uwierzytelniający to certyfikaty zdefiniowane po obu stronach. de facto cross-trust między rootCA choć wystarczy na wybranych serwerach

jakie jest PKI każdy widzi (; CRLe często-gęsto są niedostępne. w labie z kolei łatwiej byłoby zrobić na selfsign’ach a nie bawić się w stawiania CA. a więc kilka tricków z pola walki:

  • do generowania certów można użyć makecert. niestety, pomimo że ma tylko 37kb nie ma go w systemie /: trzeba ściągnąć i zainstalować kilqGB SDK do Windows. LoL. albo sięgnąć po tego linka.
  • łatwo znaleźć art, w którym krok po korq opisana jest cała konfiguracja łącznie z poleceniami dla makecert – które są trudne i łatwo się pomylić. więc to bardzo ładnie, że ktoś to tak zacnie opisał
  • jest nawet polecenie w rejestrze wyłączające weryfikację CRLi. i tu się zaczyna problem, ponieważ on nie działa. ktoś zapomniał dopisać jeszcze jednego wpisu w rejestrze:
    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\FailoverReplication" /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f
    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\Replication" /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f

    ten wpis jest potrzebny zarówno przy clustrze jak i bez niego. kluczowa informacja

  • zmiany działają natychmiast i nie wymagają restartów – a więc jeśli nadal pojawia się błąd, to należy sprawdzić czy wartości są poprawnie wprowadzone do obu kluczy

eN.

wywiad z Gates’em

co robi Gates na emeryturze? poświęcił się działaniom charytatywnym. wraz z żoną, Melindą ratują świat. a przynajmniej tak im się zdaje (; osobiście nieco inaczej wykorzystałbym 28 miliardów dolarów, niemniej podziwiam, że są ludzie, którzy nie tylko robią pieniądze ale też potrafią się nimi posłużyć w dobrej intencji.
świeży artykuł można znaleźć tutaj.
pozostając kontrowersyjnym uważam, że walka z polio czy malarią nie jest dobrą inwestycją. pchanie się krajów islamskich i szczepienie ich na siłę mimo, że Ci krzyczą o tym, że to 'zły produkt złego zachodu’ jest marnotrawstwem. za taką kasę można by przyspieszyć wiele projektów naukowych, które realnie wpłynęłoby na ludzkość, nie dodatkowo ją przeludniając i to najbiedniejszych rejonach świata, gdzie i tak średnio rodzi się po 8 dzieciaków na rodzinę, które potem nie mając co jeść albo są narzędziami korporacji szukających taniej siły roboczej albo wszczynają rewolucję. zazwyczaj jedno postępuje po drugim q:
za takie pieniądze można kupić własne państwo i wprowadzić własny system. tak, jak Windows zrewolucjonizował PC, tak teraz za te pieniądze można by stworzyć system polityczno-ekonomiczny. wdrożyć, przetestować, udostępnić (: pozbyć się niesprawiedliwiej dupokracji…

eN.

instalacja systemu na po-DPMowej maszynie

System Center Data Protection Manager to eMeSowy backup. mając do czynienia z kilkoma produktami do backupów śmiało mogę powiedzieć – ten jest najinniejszy ze wszystkich q: jedną z ciekawostek jest fakt, że dla każdego backupowanego systemu tworzona jest oddzielna partycja. taka partycja raz na jakiś czas się kończy. wtedy system tworzy kolejną partycję … i spanuje ją z poprzednią. wychodzi z tego straszny potwór. kiedy zajrzy się do diskmanagera na żywym systemie, gdzie backupowanych jest wiele serwerów – ilość ‘kreseczek’ jest nie do ogarnięcia. kreseczek – ponieważ nawet przy rozdzielności full hd ilość partycji jest zbyt duża, żeby starczyło miejsca na ich wyświetlenie (; zresztą – tam się raczej nie zagląda…

niemniej może to stanowić problem. wedle zasady ‘jedno doświadczenie nie stanowi dowodu’ nie mogę powiedzieć, że to co opiszę poniżej jest zasadą, ale tak się stało ostatnio:

padł serwer DPM i trzeba było przeinstalować system. po uruchomieniu instalacji windows, ta zawisała na 2o min do 2h zanim pokazał się ekran wyboru dysq dla systemu operacyjnego. instalacja działa jakoś wolno. dochodzi do ostatniego punktu i zawiesza się. czekaliśmy ok. dnia. drugi test – to samo. postanowiliśmy wyłączyć dyski, na których są backupy DPM. cała instalacja śmignęła i po nie całej godzinie system działał.

być może winą były sterowniki dla RAID… jednak imho powodem było to, że system próbował skanować wszystkie partycje w poszukiwaniu jakiś danych i się gubił w labiryncie spanowanych dysków dynamicznych. jeśli ktoś miał podobne doświadczenie i potwierdzi lub obali będzie miło (:

btw. jest opcja kolokacji danych na partycji. w nowym DPM 2o12 ponoć mocno poprawiona. póki co dopiero zaczynam swoją przygodę z tym produktem…

eN.

brak szablonów certyfikatów v2

ha! tydzień rozwiązywania problemów (: wakacje to jednak piękna rzecz – to kolejna wyjaśniona tajemnica w krótkim czasie. tym razem trafił się serwer Enterprise RootCA. PKI to od jakiegoś czasu moje hobby [dzięki Pauli *] więc nie odpuściłem:

  • pojedyncze Ent root CA jako issuing. standardowa 'zwalona’ instalacja u klienta czyli 'wsadził-wyjął-PKI’. no co zrobić – tak jest i trzeba z tym póki co żyć
  • serwer w wersji w2k8 R2 standard
  • po utworzeniu nowych szablonów, których jakoś nikt do tej pory nie zrobił, nie można ich dodać do publikacji na CA

podczas próby wyszukania jakiejś pomocy wszystkie linki dotyczyły podstawowego błędu – szablony w wersji v2 i v3 nie są obsługiwane przez wersję standard, wymagany jest enterprise. tyle, że od wersji w2k8 R2 ten limit zniesiono. żeby się upewnić postawiłem sobie wirtualkę w2k8r2std, na niej CA i na szybciorka upewniłem się, że spokojnie obsługuje v2 i v3. po długim debugowaniu w końcu znalazłem:

  • atrybut 'flags’ dla obiektu 'CN=MYCANAME,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN,DC=AD’ na partycji konfiguracji zawierał wartość '2′

znaczenie tego atrybutu to:

  • 2„: Enterprise CA running on Standard Edition
  • 10„: Enterprise CA running on Enterprise Edition
  • 5„: Standalone CA running on Standard Edition
  • 9„: Standalone CA running on Enterprise Edition

prawdopodobnie maszyna była upgradowana z wersji Windows 2oo8 std a instalator nie modyfiqje takich rzeczy. pomyślałem, że to on dyktuje dostępność szablonów i trafiłem – na wirtualce, pomimo wersji std, atrybut ustawiony był na '1o’. zmiana na produkcji, replikacja, restart usługi – voila! ^^

refs:

eN.

zmiana membership dla konta komputera bez restartu

podręcznikowo:
bilet sesyjny jest tworzony podczas logowania się [user]/startu [komputer]. wtedy też sprawdzane i zapisywane są informacje o przynależności do grup. w efekcie po modyfikacji przynależności do grupy trzeba przelogować [users]/zrestartować system [komp].
to oczywista oczywistość wykładana na podstawowym kursie. o ile w przypadku usera operacja logon/logoff zazwyczaj nie jest krytyczna o tyle restart serwera zazwyczaj boli. czy zatem da się zmienić przynależność do grupy konta serwera i go nie restartować? owszem.
wykonuje się to przy pomocy polecenia klist a dokładny opis z testem znalzlem na blogu terriego L@U – tak jakoś podobnie do mojego LU (;

dodatkowym przydatnym narzędziem w całym zadaniu może być sysinternalsowe logonsessions. klist jest od wersji 7/2k8 standardowo w systemie. operacja sprowadza się do wyczyszczenia listy biletów i zmuszenia przez to serwera to ich odświeżenia:
klist -li <nrsesji> purge

eN.

znikająca drukarka

drukarka sieciowa HP, podłączona w biurze w oddziale. lokalnie działa normalnie, ale z różnych względów ma być na printserverze w centrali. i zaczynają się dziwne objawy: drukarka działa przez ok 1min po czym zwykły timeout. drukarka znika z sieci. wystarczy wejść w opcje konfiguracji i dokonać jakiejkolwiek zmiany i drukarka znów pojawia się na chwilę. po czym znika.

zgłoszenie do wsparcia HP – można było przewidzieć odpowiedź. standardowy bełkot bez żadnej wskazówki.

próbowałem skanować ruch sieciowy, ale bez możliwości zdefiniowania portu monitorowania na switchu nie da rady. router zbyt prymitywny i nie miał tcpdump czy czegoś w podobie. ogólnie wszystko wyglądało prawidłowo.

problem rozwiązał qmpel… okazało się, że na switchu był ustawiony nieprawidłowy gateway. po ustawieniu prawidłowego, drukarka zaczęła działać jak trzeba.

to rozwiązanie pozostawia jednak więcej pytań niż odpowiedzi. pewnie nie będzie czasu już nad tym posiedzieć:

  • konfiguracja TCP/IP na switchu nie jest obligatoryjna – jest to [a w każdym razie AFAIK powinno] być wyłącznie jako interfejs zarządzania. poza tym switch powinien być przeźroczysty
  • nawet jeśli ten GW był do czegoś wykorzystywany – skąd to dziwne zachowanie, że przez jakiś czas [1-2 minuty] działało ok i przestawało?
  • drukarka miała prawidłowo ustawiony GW, a skoro komunikacja była zrywana oznacza to, że switch ingeruje w ramki albo ma buga na poziomie obsługi IP! /:

jedynym sposobem byłoby przywrócenie konfiguracji, ustawienie portu monitorującego i wysniffowanie ruchu. dodam tylko, że to switch Dell. pozostaje w kategorii w-files.

eN.