Apple oznámil, že iPhone a iPad jako první a jediná zařízení pro koncové uživatele splňují požadavky členských států NATO na zabezpečení informací. Díky tomu je možné je používat pro práci s utajovanými informacemi až do stupně „NATO Restricted“, a to bez nutnosti instalovat speciální software nebo měnit nastavení. Žádné jiné běžně dostupné mobilní zařízení tak vysokou úroveň státní certifikace dosud nezískalo.
Americký provozovatel streamovací platformy Netflix odmítl zvýšit nabídku na převzetí filmových studií a streamovací divize konglomerátu Warner Bros. Discovery (WBD). Netflix to ve čtvrtek oznámil v tiskové zprávě. Jeho krok po několikaměsíčním boji o převzetí otevírá dveře k akvizici WBD mediální skupině Paramount Skydance, a to zhruba za 111 miliard dolarů (2,28 bilionu Kč).
Americká společnosti Apple přesune část výroby svého malého stolního počítače Mac mini z Asie do Spojených států. Výroba v závodě v Houstonu by měla začít ještě v letošním roce, uvedla firma na svém webu. Apple také plánuje rozšířit svůj závod v Houstonu o nové školicí centrum pro pokročilou výrobu. V Houstonu by měly vzniknout tisíce nových pracovních míst.
Vědci Biotechnologické společnosti Cortical Labs vytvořili biopočítač nazvaný CL1, který využívá živé lidské mozkové buňky vypěstované z kmenových buněk na čipu. Po úspěchu se hrou PONG se ho nyní snaží naučit hrát DOOM. Neurony přijímají signály podle toho, co se ve hře děje, a jejich reakce jsou převáděny na akce jako pohyb nebo střelba. V tuto chvíli systém hraje velmi špatně, ale dokáže reagovat, trochu se učit a v reálném čase se hrou
… více »Pro testování byl vydán 4. snapshot Ubuntu 26.04 LTS (Resolute Raccoon).
Ben Sturmfels oznámil vydání MediaGoblinu 0.15.0. Přehled novinek v poznámkách k vydání. MediaGoblin (Wikipedie) je svobodná multimediální publikační platforma a decentralizovaná alternativa ke službám jako Flickr, YouTube, SoundCloud atd. Ukázka například na LibrePlanet.
TerminalPhone (png) je skript v Bashi pro push-to-talk hlasovou a textovou komunikaci přes Tor využívající .onion adresy.
Před dvěma lety zavedli operátoři ochranu proti podvrženým hovorům, kdy volající falšuje čísla anebo se vydává za někoho jiného. Nyní v roce 2026 blokují operátoři díky nasazeným technologiím v průměru 3 miliony pokusů o podvodný hovor měsíčně (tzn., že k propojení na zákazníka vůbec nedojde). Ochrana před tzv. spoofingem je pro zákazníky a zákaznice všech tří operátorů zdarma, ať už jde o mobilní čísla nebo pevné linky.
Společnost Meta (Facebook) předává React, React Native a související projekty jako JSX nadaci React Foundation patřící pod Linux Foundation. Zakládajícími členy React Foundation jsou Amazon, Callstack, Expo, Huawei, Meta, Microsoft, Software Mansion a Vercel.
Samsung na akci Galaxy Unpacked February 2026 (YouTube) představil své nové telefony Galaxy S26, S26+ a S26 Ultra a sluchátka Galaxy Buds4 a Buds4 Pro. Telefon Galaxy S26 Ultra má nový typ displeje (Privacy Display) chránící obsah na obrazovce před zvědavými pohledy (YouTube).
nonssl-mitm. Nový. Lepší. Nyní ještě krémovější. Navržený gynekoložkou. Bez odklikávání certifikátů.
Útok jsem pracovně nazval nonssl-mitm, protože se v podstatě jedná o (dočasné?) vyřazení SSL. Pokud jsem pouze znovuobjevil Ameriku, omlouvám se 
. Pokud je to něco úplně nového, nazývám zde popsané skutečnosti Jendovým útokem (něco jako je Kaminského útok).
Zde popsané principy, otvory, perforace a deflorace jsou vymeditovány pouze teoreticky a zkoušel jsem je pouze doma. Není mým údělem vykrádat přihlašovací údaje k účtům, nýbrž pouze ukázat, zda a jak to jde. Nenesu zodpovědnost za využití, použití, zneužití, vyvezení, dovezení či provezení zde popsaných praktik. Zkoušíte na vlastní risiko.
Mnoho bankovních i nebankovních (freemaily, komunitní portály :-P, datové tamty, no, jak se to jmenuje...) institucí používá nějaký způsob šifrovaného spojení, řekněme, že HTTPS. Mnohé z nich (freemaily, komunitní portály :-P) ho používají z výkonnostních důvodů pouze pro přihlášení. Podívejme se, jak vypadá takový přihlašovací formulář na jednom takovém náhodně vybraném portále.
<form action="https://www.abclinuxu.cz/Profile;jsessionid=gztm0pfw2jpa" method="POST"> <input type="text" name="LOGIN"> <input type="password" name="PASSWORD"> <input type="submit" name="finish" value="Přihlásit"> </form>
(redakčně kráceno)
Tento formulář ke klientovi doputoval po nezabezpečeném HTTP. A teď si představte, že mezi klientem a Stickfishím serverem sedím útočník, který odpověď serveru modifikuji. Asi takto:
<form action="http://www.abclinuxu.cz/Profile;jsessionid=gztm0pfw2jpa" method="POST"> <input type="text" name="LOGIN"> <input type="password" name="PASSWORD"> <input type="submit" name="finish" value="Přihlásit"> </form>
Data z tohoto formuláře budou odeslána nezabezpečeným spojením. Přejete si pokračovat? [Ano] [Ne] [ ] Zobrazit příště toto varování
Na rovinu - když se vám toto zobrazilo poprvé, třeba před dvěma lety, na libovolné stránce, určitě jste to odklikli. A určitě jste poprosili prohlížeč, aby vás už příště neotravoval. Nebo toto varování snad máte zapnuté? Hlasujte v anketě.
Takže uživatel vyplní heslo a nic zlého netuše odešle a vy ve svém Wiresharkovi paket zachytíte.
Banky obvykle pošlou dopis končící
V prvním případě se posílá HTTP 302 nebo HTTP 200 s metou refresh v hlavičce na https variantu. Ano, i tyto požadavky můžeme cestou modifikovat.
Například tolik oblíbené datové schránky, o kterých ještě bude řeč dále, (sken dopisu) mají na http://datoveschranky.info/ odkaz na https://www.mojedatovaschranka.cz/. Tož, z odkazu na stránce datoveschranky.info se omylem cestou ztratí "s"...
Většina webů (asi všechny kromě některých freemailů a AbcLinuxu :-P) nemá HTTP variantu. Každý požadavek oběti na port 80 serveru tedy musíme vždy chytit, zašifrovat, poslat na server přes HTTPS, odpověď rozšifrovat a poslat zpátky oběti přes HTTP. Oběť si tedy prostě normálně kliká po rozhraní své schránky a v adrese vidí http://. Ale kolik BFU se dívá do adressbaru.
Technickou realizaci tohoto jsem neřešil (jsem teoretik!), ale osobně bych si spustil lighttpd a pomocí modulu rewrite nasměroval všechny požadavky na jeden bashový skript. Ten by si mohl vypreparovat požadavek, pomocí wgetu ho poslat přes https serveru a staženou odpověď by vrátil webserveru k odeslání zpátky klientovi. Ale to už se blížíme k technickému zpracování...
Zase na druhou stranu, ve většině případů nám stačí podvrhnout přihlašovací stránku, takže si u nás na serveru vytvoříme prostě její kopii a action toho formuláře necháme směřovat na původní adresu.
Příklad útoku popíšu na datových schránkách. Ano, už zase rýpu. Víte, díky datovým schránkám jsem začal tuto bezpečnostní problematiku studovat. Alespoň k něčemu jsou dobré
Jak si sednete mezi klienta a server neřeším. Buď máte router po cestě, nebo použijete třeba arpspoof.
Vždycky jsem si myslel, že se to jmenuje transparentní proxy, ale dokumentace Privoxy mě přesvědčila o opaku. Jo, takže budeme používat Privoxy, protože s ní prostě umím.
Prvně nařídíme Privoxy, aby reagovala s požadavky, které vedou skrz ni.
accept-intercepted-requests 1
Potom budeme chtít, aby poslouchala na všech rozhraních na portu 80
listen-address :80
Dále vložíme potřebné filter a action soubory. Já jsem je nechal pojmenované user.*, protože v Debianu je to tak default. Ale jak se rozhodnete, to je na vás.
filterfile user.filter actionsfile user.action
Nyní nadefinujeme potřebný filtr. Můžete si o tom přečíst článek tady na ABC. Svůj filtr jsem pojmenoval nonssl-mitm. Přiznám se, že jsem dost prasil - místo, abych podrobně sledoval cestu "skutečného" požadavku (jsou tam asi tři různá přesměrování), jsem to rovnou natvrdo nasměroval na login.mojedatovaschranka.cz.
FILTER: nonssl-mitm s/href="https:\/\/www.mojedatovaschranka.cz\/portal\/ISDS\/"/href="http:\/\/login.mojedatovaschranka.cz\/"/ig
Zapneme filtr pro doménu datoveschranky.info
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
{+filter{nonssl-mitm}}
datoveschranky.info
A nakonec nastavíme forward subdomén mojedatovaschranka.cz na náš servřík. Já používám LigHTTPd a poslouchá mi na localhostu na portu 8111.
forward .mojedatovaschranka.cz localhost:8111
Do documentrootu svého webservříku jsem umístil věrnou kopii přihlašovacího formuláře k datové schránce. Action jsem mu nechal na skutečnou adresu https://login.mojedatovaschranka.cz/nidp/idff/sso?sid=4 a zkusil jsem se "přihlásit". Povedlo se.
Co si případný útočník umístí do této falešné přihlašovací stránky, to nechám na něm. Znovu připomínám, že zneužití cizí datové schránky je trestné.
Příprava takovéhoto útoku je složitější, ale na rozdíl od "obyčejného" podvrhování certifikátu se uživateli nezobrazí ani upozornění o špatném certifikátu. Nepomůže mu ani, když si nainstaluje a ověří certifikát PostSigna.
Řešení? Nebuďte líní a zadávejte do svého prohlížeče celou adresu, včetně https://. Nevěřte tomu, že když zadáte jenom mojedatovaschranka.cz a prohlížeč vám před to doplní http://, přesměruje vás to na https:// variantu. A když už, tak si alespoň zkontrolujte, jestli vás to přesměrovalo a zobrazte si detaily certifikátu.
Pokud jsem někde udělal chybu či jsem něco napsal nejasně, neváhejte využít komentářů.
Před domem teď zastavilo několik aut s černými skly a vylézají z nich nějací zakuklenci.
Tiskni
Sdílej:
22.8.2009 22:16
hikikomori82 | skóre: 18
| blog: foobar
| Košice
22.8.2009 22:23
Jendа | skóre: 78
| blog: Jenda
| JO70FB
.
22.8.2009 23:56
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
1.8.2010 06:32
Jendа | skóre: 78
| blog: Jenda
| JO70FB
. Nejlepší by bylo, kdyby prohlížeč kromě „už nikdy nevarovat“ měl ještě možnost „už nikdy nevarovat pro tuto doménu“.
22.8.2009 22:25
Jendа | skóre: 78
| blog: Jenda
| JO70FB
22.8.2009 23:56
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
V tomhle si nedělej žádné iluze, např. náš studijní systém trpí podobnou chybou – přijdeš na úvodní stránku, ta je nešifrovaná, klikneš na „Přihlásit se“ a to tě hodí na stránku s HTTPS basic autentizací (tzn. generické okno webového prohlížeče) a tam už zadáváš heslo – obávám se, že většina uživatelů by jméno a heslo vyplnila, i kdyby útočník-uprostřed upravil titulní stránku, aby odkaz vedl na nešifrovanou podvodnou stránku. Když jsem upozorňoval autory toho systému, že by bylo lepší, kdyby se šifrování započalo o stránku dříve, než uživatel posílá heslo, případně se použila formulářová autentizace (místo basic), přišlo jim to moc práce.
23.8.2009 10:14
xkucf03 | skóre: 50
| blog: xkucf03
Ona ta integrita bez identifikace druhé strany nemá moc smysl – pak máš jen jistotu, že s někým komunikuješ a nikdo není mezi vámi, kdo by tu komunikaci narušoval, ale už nevíš, jestli ten někdo je skutečný server, kam se chceš připojit nebo útočník.
Něco mezi HTTP a HTTPS může být, když hesla hashuješ na straně klienta. Ovšem je to jen ochrana proti odposlechnutí (např. po nechráněném wifi), ale ne proti pozměnění (MIM), protože když může někdo pozměňit ty stránky, tak vypne hashování, uživatel nic nepozná (za HTML zdroják se nedívá) a heslo se odešle v čistém tvaru. Případně to jde zkombinovat s HTTPS a mít to jako druhou úroveň zabezpečení (někdo např. podvrhne certifikáty, odposlouchává a nakonec zjistí, že odposlechl jen náhodné hashe hesel).
23.8.2009 11:48
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Příprava takovéhoto útoku je složitější
Kdybys tam vrazil jako proxy třeba takový nginx, tak je to přepisování snadné (https → http).
it's very beautiful and encouraging song!
Down with Exxon Mobil,Total,Chevron,BP and
Royal Dutch Shell!!!
Russia i Gazprom,ypa!
Je to podobné sslsniff-u. Jenom sslsniff navíc umí podvrhovat falešné SSL certifikáty, které ale projdou ověřením SSL certificate chain. Má na to několik metod:
23.8.2009 13:46
