V aktuálním příspěvku na blogu počítačové hry Factorio (Wikipedie) se vývojář s přezývkou raiguard rozepsal o podpoře Linuxu. Rozebírá problémy a výzvy jako přechod linuxových distribucí z X11 na Wayland, dekorace oken na straně klienta a GNOME, změna velikosti okna ve správci oken Sway, …
Rakudo (Wikipedie), tj. překladač programovacího jazyka Raku (Wikipedie), byl vydán ve verzi #171 (2024.04). Programovací jazyk Raku byl dříve znám pod názvem Perl 6.
Společnost Epic Games vydala verzi 5.4 svého proprietárního multiplatformního herního enginu Unreal Engine (Wikipedie). Podrobný přehled novinek v poznámkách k vydání.
Byl vydán Nextcloud Hub 8. Představení novinek tohoto open source cloudového řešení také na YouTube. Vypíchnout lze Nextcloud AI Assistant 2.0.
Vyšlo Pharo 12.0, programovací jazyk a vývojové prostředí s řadou pokročilých vlastností. Krom tradiční nadílky oprav přináší nový systém správy ladících bodů, nový způsob definice tříd, prostor pro objekty, které nemusí procházet GC a mnoho dalšího.
Microsoft zveřejnil na GitHubu zdrojové kódy MS-DOSu 4.0 pod licencí MIT. Ve stejném repozitáři se nacházejí i před lety zveřejněné zdrojové k kódy MS-DOSu 1.25 a 2.0.
Canonical vydal (email, blog, YouTube) Ubuntu 24.04 LTS Noble Numbat. Přehled novinek v poznámkách k vydání a také příspěvcích na blogu: novinky v desktopu a novinky v bezpečnosti. Vydány byly také oficiální deriváty Edubuntu, Kubuntu, Lubuntu, Ubuntu Budgie, Ubuntu Cinnamon, Ubuntu Kylin, Ubuntu MATE, Ubuntu Studio, Ubuntu Unity a Xubuntu. Jedná se o 10. LTS verzi.
Na YouTube je k dispozici videozáznam z včerejšího Czech Open Source Policy Forum 2024.
Fossil (Wikipedie) byl vydán ve verzi 2.24. Jedná se o distribuovaný systém správy verzí propojený se správou chyb, wiki stránek a blogů s integrovaným webovým rozhraním. Vše běží z jednoho jediného spustitelného souboru a uloženo je v SQLite databázi.
Byla vydána nová stabilní verze 6.7 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 124. Přehled novinek i s náhledy v příspěvku na blogu. Vypíchnout lze Spořič paměti (Memory Saver) automaticky hibernující karty, které nebyly nějakou dobu používány nebo vylepšené Odběry (Feed Reader).
Tiskni
Sdílej:
Prostudujte si prosím ještě jednou smtp protokol. Především tu část o serveru a klientu.
Pokud chcete komukoliv poslat e-mail, je to nutně otázka SMTP protokolu. Mám svůj e-mail server pro svou doménu, kdokoliv mi může poslat e-mail, ale jedině tak, že se připojí na TCP port 25 mého serveru a pomocí SMTP protokolu mi e-mail předá. Takhle nutně - ze specifikace SMTP - funguje každý veřejný mailserver, a takhle se na něj může připojit jakýkoliv zombie.
Faktem je, že žádná zombie stanice neodešle mail bez potřebného serveru.
A to jako proč? Pokud tedy tím serverem nemyslíte MX server pro cílovou doménu. Naprostá většina spamů nechodí přes regulérní servery z napadených počítačů, ale právě přímo z těch PC na cílové MX servery. SMTP server, který si nastavíte třeba v Outlooku, totiž po příjetí mail odesílá na MX server dané domény - a v této chvíli je v roli SMTP klienta! Z lib. počítače, z kterého lze navázat TCP spojení na port 25 MX serveru (tj. klidně i z PC za NATem), můžete posílat SPAMy. Problém je v tom, že v roli přijímacího serveru není možné rozlišit, která zdrojová adresa patří "normálnímu serveru" a která "počítači". Nebo chcete-li jinou formulaci, spammer si může pomocí bota nainstalovat ten "SMTP server" na napadený počítač...
na každý mail by muselo být potřeba 20spamů, tj. asi určitě více jak 100spamů na jednu naši zprávu, kterou stihneme napsat za 5minut
Takhle to většinou nefunguje. Napadený počítač se prostě připojuje přímo na cílové MX servery a sype na ně jeden mail za druhým, dokud je ještě čas - tj. dokud se neobjeví na blacklistech.
Obávám se tedy, že navržené řešení není nijak převratné, a v praxi by ho moc použít nešlo. Možná jsem to ale jen nepochopil.
server beru jako stanici s otevrenym smtp portem at uz pro prijem nebo jen preposlanim. filtrem na mail portu serveru at uz je tedy jen urcen pro preposilani, by se dalo toto rapidni odesilani zpomalit od konkretniho uzivatele napadene stanice
Tak to zombie budou dělat tak, že na jeden server pošlou/zkusí poslat třeba 10 mailů (a klidně počkají na poslání každého z nich 5 minut). V tip je v tom, že zombie posílá SPAMy klidně na desítky různých cílových serverů paralelně. A pak abyste mohl sledovat, který PC posílá "moc mailů", musel byste mít nějakou koordinaci mezi těmi servery. A to už se dostáváme k blacklistům.
Normálního uživatele PC ale vůbec nezajímá, že je jeho IP adresa na blacklistu. Už proto, že ji často NATem sdílí s desítkami dalších lidí a nemá šanci to ovlivnit. Normální uživatel, když už neposílá přes webmail, tak používá pro odesílání SMTP server svého ISP/webhostera, kam se připojuje s autentizací jménem/heslam, takže se na blacklisty nekouká.
konkretniho uzivatele napadene stanice
Když já provozuji MX server pro nějakou doménu, tak nemám šanci identifikovat "uživatele stanice". Já mám k dispozici IP adresu (což je většinou nějaký NAT, nebo IP z poolu nějakého ADSL/kabelovky v USA ap.) a pak obálkovou adresu odesílatele, která je stajně podvržená.
dat mu to i vedet, ze toto neni prijatelne
Dát někomu vědět můžete, když ho umíte identifikovat. Tohle se samozřejmě používá - když jako webhoster dám zákazníkovi možnost používat autentizovaný SMTP server, a zjistím, že se mi přes něj valí desítky mailů za minutu, tak mu zablokuju účet a dám mu vědět. Ale jak už jsem psal - přes autentizované servery se SPAM neposílá, protože správce toho serveru je schopen konkrétního uživatele rychle zablokovat...
No, to je správná myšlenka - zpožďovat e-maily ze zombie strojů.
Máme tu ale základní problém. Každý jeden SMTP server musí tedy nějak detekovat, že nějaká IP adresa je zombie. Jak to udělat? Říkáte, že bychom mohli sledovat počet mailů za určitý čas z každé IP adresy. No jo, ale jak jsem psal, zombie nefungují tak, že by posílaly "hodně mailů na 1 server", oni fungují tak, že posílají "po jednom e-mailu na hodně různých serverů" (to je příklad, může to být třeba 1 mail za 10 minut na každý server).
Takže:
mě, jako provozovateli 1 serveru, z IP adresy a.b.c.d příjde třeba ten 1 mail za 10 minut. Ale už neumím zjistit, že tahle IP adresa ta těch 10 minut poslala po 1 mailu na 1000 jiných serverů. To by musela existovat nějaká centrální databáze. A ona existuje! Jsou to DNS blacklisty, třeba spamhaus.org
Níže jste psal, že si to umíte představit jako filtrování - tj. není to nutně věcí SMTP, ale třeba klienta. Ale pořád narážíme na stejný problém, a to je ten, že zombie posílají maily paralelně na hodně míst, a bez nějaké centralizace to nemáte šanci zjistit... Takže to stejně skončí u nějakých blacklistů - třeba je nebudu používatna blokování, ale jen na zpožďení, nebo na body do SpamAssasinu...
Na druhou stranu můžu říct jedno: na jednom mailserveru pro cca 100 schránek a 3 domény používám jako jedinou ochranu proti spamu požadavek na reverzní záznam k IP + blacklist zen.spamhaus.org - výsledek je tak 1% spamu ve schránce a tak 1 za půl roku problém s někým, kdo má mailserver na ADSL bez reverzu, nebo IP na blacklistu (tj. false-positives). Nejde to tak dělat vždy a všude, ale já jsem s tím spokojený.
A preco sa miesto MX nepouzivaju SRV zaznamy?
Možná proto, že SRV záznamy přibyly do specifikace DNS až když už mnoho let byly definovány MX záznamy a všechny mailservery na světě v té době uměly používat jen MX? Prostě zpětná kompatibilita. Jinak, čemu by to pomohlo?
<p>zdravim</p> <p>Kratky uvodnik blogu</p> <break> <p>Text blogu...</p>Zdenek
Ale uvedla.. je to spíš neznalostí trhu, než neschopností dodavatelů. Některé NAC (Network Admission Control) systémy umí kontrolovat i podezřelé procesy, přičemž tohle chování je přesně jedno z nich..
A mít heslo na flash kartě nebo na disku je stejně k prdu, když není zřejmé, který program je vlastně schopen číst paměť počítače a tahat z toho cokoliv si zamane.. třeba i PIN k čipovce.
To o klientech jsem nepochopil, tak na to nemůžu asi správně reagovat.. Prostě jde o to, že napadený počítač obvykle je kompletně pod kontrolou viru/útočníka, takže je jedno, co se používá na správu hesel -- jakmile se jednou heslo objeví v paměti, je možné ho z ní získat.
Ad software -- Cisco něco takového dodává, tuším, že ne zdarma. Myslím, že i další hráči na trhu (Intel, Microsoft), ale neb jsou to programy vázané na Windows, tak je prakticky nepoužívám. Nicméně -- děje se to tak, že kdesi vespod mají zadefinovanou politiku, jak se chová "běžný" proces a v případě, že se netrefí do stanovených mantinelů (vytvořené procesy, počty navázaných spojení, atd.), upozorní nejspíš jednak uživatele systému (což je stejně naprd, umí-li virus odklepnout požadované hlášení za uživatele) a pošle to "výš", tedy firemnímu správci sítě. Tyhle technologie jsou obecně stavěné spíš tak, aby byly součástí několika dalších úrovní ochran -- IDS, IPS, firewallů..
A že je tolik SPAMu? Inu, ve světě, kde si lidi netahají ani základní aktualizace na Windows, protože je mají kradená.. ;)
Jistě zajímavý dotaz, ale rozhodně ne na správném místě ;)
SELinux a podobné projekty by v podstatě mohly umět monitorovat nevhodné chování procesu. Je možné, že na to už nějaký projekt existuje.. už jsem to pár let nesledoval.
24.8.2009 21:23
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
jedine to jde pres deravy system samotneho uzivatele, kde bychom mohli aplikovat filtr uz primarne bud u nej v klientuJak v klientu, proboha? Většina spamovacích červů vůbec žádné klienty neřeší. Prostě si stáhne seznam adres, začne je načítat a vždycky se připojí na cílový mailserver na port 25, nasype tam čtyřicet tabletek Viagry a odpojí se.
na serveru s natemNejen s NATem. Třeba UPC, pokud vím, tlačí veškerou odchozí komunikaci s dport 25 transparentním Spamassasinem a když tam chodí moc mailů s vysokým skóre, tak to prostě zatrhne.
nebo primo ve vasi schranceJako ve schránce oběti? Co to? Omlouvám se, pokud jsou mé reakce mimo, ale nějak vám nerozumím :-P (velká písmena na začátku vět, diakritika v komentářích, proboha, odstavce se dělají pomocí tagu p).
aplikovat filtr ... primo ve vasi schrance
OK, tak mi naznačte, jak já ve své schránce z příchozích zpráv poznám, že za určitou IP adresou je zombie? Jde o to, že ve své schránce (nebo i na MX serveru) nemám možnost potenciální zombie identifikovat jinak, než IP adresou.
dat to tomu uzivateli take vedet
Když znám jen tu IP adresu, jak to uživateli dám vědět? Můžu se podívat do RIPE, kdo IP blok alokovaný - tam najdu ISP, např. O2 a dokonce i s e-mailem abuse@iol.cz nebo tak nějak. Myslíte, že k něčemu bude když jim budu psát, ať uživatel informují? Myslíte, že je to možné při počtu jejich klientů, aby se tímhle zabývali? Velká část SMAPu chodí z Asie - je reálné jim nějak dávat vědět?
aplikovat filtr ... na serveru s natem
Jistě, ISP by mohli nasadit na svých routerech (nejen na NATu) nějaký NAC (Network Admission Control), ale proč by to dělali? Náklady by byly nemalé a navíc v síti každého ISP mohu klidně provozovat svůj mailserver, takže by ISP musel evidovat IP adresy, u kterých NAC nebude tak přísný.
Umím si tu představit jedno "jednodušší" řešení, které by hodně omezilo SPAM: kdyby každý ISP poskytující služby "obyčejným" uživatelům jako výchozí politiku blokoval odchozí spojení na port 25 (mnozí to tak už dělají, nejčastěji když je uživatel stejně za NATem), povolení by bylo prostě na požádání, pokud bych chtěl provozovat SMTP server. Aby ovšem fungoval e-mail klient (např. Thunderbird) "normálním uživatelům", museli by používat buď SMTP server ISP (ideálně s autentizací), nebo jiné SMTP servery (gmail, jiný mailhoster) na portu 587 (submission, viz. http://www.ietf.org/rfc/rfc2476.txt), kde je vynucená autentizace. Ale: musela by k tomu přistoupit většina ISP, má do mnoho problémů, nevidím to v blízké budoucnosti reálně.
Umím si tu představit jedno "jednodušší" řešení, které by hodně omezilo SPAM: kdyby každý ISP poskytující služby "obyčejným" uživatelům jako výchozí politiku blokoval odchozí spojení na port 25 (mnozí to tak už dělají, nejčastěji když je uživatel stejně za NATem), povolení by bylo prostě na požádání, pokud bych chtěl provozovat SMTP server.+1
Aby ovšem fungoval e-mail klient (např. Thunderbird) "normálním uživatelům", museli by používat buď SMTP server ISP (ideálně s autentizací), nebo jiné SMTP servery (gmail, jiný mailhoster) na portu 587 (submission, viz. http://www.ietf.org/rfc/rfc2476.txt), kde je vynucená autentizace."Normální uživatelé" už asi tak sedm let minimálně vůbec netuší o nějakých e-mailových klientech. Drtivá většina používá webmail.
Omlouvám se, nějak jsem to popletl. Měla to být reakce na autora blogu.
"Normální uživatelé" už asi tak sedm let minimálně vůbec netuší o nějakých e-mailových klientech. Drtivá většina používá webmail.
To jsem si taky nedávno myslel, ale tak úplně pravda to není. Hlavně v malých firmách, kde mají třeba 1 nebo 2 počítače stále vede Outlook. A to ze dvou důvodů:
1) historicky mají e-mailovou adresu na @volny.cz @tiscali.cz a nechtějí ji měnit - nemají ze svého pohledu důvod měnit, nebo jim to ani nikdo neporadí. Tady jim webmail nenabídnou, a když už ano, tak s ubohým rozhraním a nebo se 100MB kapacitou. Další možnost je, že mají třeba už 8 let vlastní doménu, někdo jim kdysi nastavil ten Outlook (a při reinstalaci Windows jim ho někdo jiný nastavil vždy znovu stejně), a oni to prostě berou, že to takhle funguje.
2) chodí jim hodně e-mailů s velkými přílohami, a nechtějí je mazat a přílohy ukládat jinam. Má to něco do sebe, ale nepřesvědčíte je, že to lze dělat jinak. Jde klidně o 3-4 GB/rok. G-mail vám tohle nabídne, ale ten vešel ve známost až za poslední roky.
3) Navíc: na takových místech se často o počítače "nikdo" nestará, resp. nikdo neví, jak je všechno nastaveno. Oni jen ví, že už 6 let jim chozí pošta do Outlooku... a když se to rozbije tak to nějaký "obdorník" obvykle slepí zase dohromady.
Mnohokrát jsem byl svědkem toho, jak někdo brečel nad tím, že se rozsypal jeho 12GB velký .PST soubor outlooku, kde měl všechny e-maily...
Ale samozřejmě "domácí" uživatelé, kteří pošlou tak 1 e-mail za týden a příchozí maily hned mažou, tak ti už ani neznají nic jiného než webmail.
Ale samozřejmě "domácí" uživatelé, kteří pošlou tak 1 e-mail za týden a příchozí maily hned mažou, tak ti už ani neznají nic jiného než webmail.Tak taky ti obvykle mají zavirovaná Windows (ve firmách bývají obvykle spravována alespoň trochu odpovědnou osobou). Na narušování síťové neutrality jsem dost citlivý, ale mít ve smlouvě s ISP škrtátko "povolit odchozí port 25, pokud nevíte, co to znamená, nechte nezaškrtnuté" by mi vůbec nevadilo.
Mnohokrát jsem byl svědkem toho, jak někdo brečel nad tím, že se rozsypal jeho 12GB velký .PST soubor outlooku, kde měl všechny e-maily...A Outlook Express (a.k.a. "Malý Utlouk") navíc ani nezvládá .PTS nad 2GB - je sice ochoten je vytvořit, ale už je neotevře. Microsoft dokonce musel dát v dispozici udělátor, kterým to jde "opravit", i když na webu jdou podobných programů sehnat tucty, více viz To repair a 2GB Personal Folders or Offline Folders file. Já osobně jsem to řešeil už dvakrát - poprvé jsem onomu neštastníkovy převedl poštu do normálního Outlooku (i když měl MSO, tak ho do té doby nikdy nepoužil), u druhého (který neměl MSO) jsem nainstaloval Thunderbird a poštu do něj naimportoval.
25.8.2009 18:40
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
i když měl MSO, tak ho do té doby nikdy nepoužilTo dělá hodně lidí. "Velký" Outlook jim připadá příliš složitý.
u druhého (který neměl MSO) jsem nainstaloval Thunderbird a poštu do něj naimportovalTohle jsem také udělal řadě lidí, ale z jiného důvodu. Prostě se jim OE nějak "rozbil" a přestal fungovat. Většinou nešel ani spustit. Přechod na Thundebird bylo logické řešení.
> Umím si tu představit jedno "jednodušší" řešení, které by hodně omezilo SPAM: kdyby každý ISP poskytující služby "obyčejným" uživatelům jako výchozí politiku blokoval odchozí spojení na port 25 (mnozí to tak už dělají, nejčastěji když je uživatel stejně za NATem),
Jenze to je nehorazny zasah do sitove neutrality. ISP proste nema co blokovat pakety na zaklade udaju urcenych pro prijemce (a tim cislo portu je).
26.8.2009 18:02
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
pokud klient nepošle auth, komunikace bude ukončena, všechno ostatní by zůstalo na tom, jak si klient rozumí s cílovým serveremTo ovšem vylučuje použití TLS, které je už dnes docela žádoucí. Čili buď by se to muselo po STARTTLS pustit (čili spammer s TLS by měl zelenou), nebo by se TLS obecně zakázalo, což je hovadina. Klientské certifikáty nepoužívá skoro nikdo (a při autentizaci je to stejně zbytečné), takže na ně můžeme při posuzování s klidem zapomenout.
dnes už nikdo soudný neposkytuje svým uživatelům SMTP, ke kterému není třeba se přihlašovat a zároveň by bylo dostupné z InternetuTo neposkytuje (kdysi to AFAIK dělal např. Seznam), protože by se velice rychle dostal do blacklistů jako open relay. Nehledě na to, že by ho příval spamu zatížil natolik, že by to sám brzy vyhodnotil jako neúnosné.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
24.8.2009 18:50
24.8.2009 19:56
24.8.2009 22:50