abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    digiKam 8.7.0
    dnes 13:11 | Nová verze

    Byla vydána nová verze 8.7.0 správce sbírky fotografií digiKam (Wikipedie). Přehled novinek i s náhledy v oficiálním oznámení (NEWS). Nejnovější digiKam je ke stažení také jako balíček ve formátu AppImage. Stačí jej stáhnout, nastavit právo ke spuštění a spustit.

    Ladislav Hagara | Komentářů: 0
    Před 30 lety byl v ČR liberalizován Internet
    dnes 12:22 | IT novinky

    Před 30 lety, k 1. 7. 1995, byl v ČR liberalizován Internet - tehdejší Eurotel přišel o svou exkluzivitu a mohli začít vznikat první komerční poskytovatelé přístupu k Internetu [𝕏].

    Ladislav Hagara | Komentářů: 0
    Zabbix 7.4
    dnes 11:33 | Nová verze

    Byla vydána (𝕏) nová verze 7.4 open source monitorovacího systému Zabbix (Wikipedie). Přehled novinek v oznámení na webu, v poznámkách k vydání a v aktualizované dokumentaci.

    Ladislav Hagara | Komentářů: 0
    Sudo 1.9.17p1 řeší zranitelnosti CVE-2025-32462 a CVE-2025-32463
    dnes 05:44 | Bezpečnostní upozornění

    Balíček s příkazem sudo byl vydán ve verzi 1.9.17p1. Řešeny jsou zranitelnosti CVE-2025-32462 (lokální eskalace práv prostřednictvím volby host) a CVE-2025-32463 (lokální eskalace práv prostřednictvím volby chroot).

    Ladislav Hagara | Komentářů: 4
    Na Seznam.cz s MojeID
    dnes 05:22 | IT novinky

    Do služeb Seznam.cz se lze nově přihlásit pomocí služby MojeID [𝕏].

    Ladislav Hagara | Komentářů: 1
    Zranitelnosti v tiskárnách umožňují útočníkům obejít zabezpečení a převzít správu zařízení
    dnes 03:33 | Bezpečnostní upozornění

    Bezpečnostní výzkumníci zveřejnili informace o osmi zranitelnostech, které postihují více než 700 modelů tiskáren, skenerů a štítkovačů značky Brother. Bezpečnostní upozornění vydali také další výrobci jako Fujifilm, Ricoh, Konica Minolta a Toshiba. Nejzávažnější zranitelnost CVE-2024-51978 umožňuje útočníkovi vzdáleně a bez přihlášení získat administrátorská oprávnění prostřednictvím výchozího hesla, které lze odvodit ze

    … více »
    Ladislav Hagara | Komentářů: 0
    Dění kolem ochranné známky JAVASCRIPT
    včera 16:00 | Komunita

    Společnost Oracle vlastní ochrannou známku JAVASCRIPT. Komunita kolem programovacího jazyka JavaScript zastoupena společností Deno Land vede právní bitvu za její osvobození, viz petice a otevřený dopis na javascript.tm. Do 7. srpna se k nim má vyjádřit Oracle (USPTO TTAB).

    Ladislav Hagara | Komentářů: 4
    Raspberry Pi Radio Module 2
    včera 13:11 | IT novinky

    Byl představen samostatný rádiový modul Raspberry Pi Radio Module 2 s Wi-Fi a Bluetooth.

    Ladislav Hagara | Komentářů: 6
    Let’s Encrypt ukončila zasílání e-mailových oznámení o vypršení platnosti certifikátů
    včera 12:44 | Upozornění

    Certifikační autorita Let’s Encrypt ukončila k 4. červnu zasílání e-mailových oznámení o vypršení platnosti certifikátů. Pokud e-maily potřebujete, Let’s Encrypt doporučuje některou z monitorovacích služeb.

    Ladislav Hagara | Komentářů: 0
    Virtuální Bastlírna vol. LII: Žhavé léto se žhavými technologiemi
    včera 01:44 | Pozvánky

    Přemýšlíte, jak začít prázdniny? Už v úterý 1. července se bude konat Virtuální Bastlírna, tedy online setkání bastlířů, techniků, vědců i akademiků, kde se ve volné diskuzi probírají novinky ze světa techniky, ale i jiných zajímavých témat.

    Za poslední měsíc jsme byli svědky plamenů několika raket. Zatímco malá raketa od Hondy se úspěšně vznesla a opět přistála, raketa od SpaceX se rozhodla letět všemi směry najednou. Díkybohu méně … více »
    Uprdkávač | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaký je váš oblíbený skriptovací jazyk?
     (59%)
     (28%)
     (7%)
     (2%)
     (0%)
     (1%)
     (3%)
    Celkem 336 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Blogy / limit_false / Chrome sandboxován v dockeru / Chrome sandboxován v dockeru (diskuse)
    Štítky: není přiřazen žádný štítek

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Vložit další komentář
    Max avatar 6.12.2015 21:41 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Chrome sandboxován v dockeru
    Moc pěkné, díky.
    Zdar Max
    Měl jsem sen ... :(
    7.12.2015 10:01 dumblob | skóre: 10 | blog: dumblog
    Rozbalit Rozbalit vše Re: Chrome sandboxován v dockeru
    Hezke, diky. Mj. mam nyni brouka v hlave proc ALSA nejela. Nu a toho YubiKey je tez skoda.
    limit_false avatar 7.12.2015 16:20 limit_false | skóre: 23 | blog: limit_false
    Rozbalit Rozbalit vše Re: Chrome sandboxován v dockeru
    Toho Yubkey je škoda. Zkoušel jsem různé triky se zpřístupněním částí /sys a /dev/usb subsystémů, ale ani po dalším strace-ovaní se mi nepovedalo dohledat, v čem je konkrétně problém. Diffoval jsem stracy z host systému vs stracy z dockeru. Žádný podstatný rozdíl ale zatím neumím najít.
    When people want prime order group, give them prime order group.
    7.12.2015 12:05 ET
    Rozbalit Rozbalit vše Re: Chrome sandboxován v dockeru
    docker neznam, budu se na nej muset podivat, ale celkem me zarazilo 
    echo "developer ALL=(ALL) NOPASSWD: ALL" > /etc/sudoers.d/developer
    limit_false avatar 7.12.2015 12:24 limit_false | skóre: 23 | blog: limit_false
    Rozbalit Rozbalit vše Re: Chrome sandboxován v dockeru
    To je tam spíš kvůli tomu, aby se rychle dali doinstalovat balíčky a pro ladění. Samozřejme sudo bez hesla funguje jen v kontejneru.
    When people want prime order group, give them prime order group.
    7.12.2015 12:33 ET
    Rozbalit Rozbalit vše Re: Chrome sandboxován v dockeru
    pak bych to dopsal do zapisku a po instalaci/ladeni bych ten ucet odebral (jak rika kolega, jednotkou docasnosti je 1 furt)

    jinak pekny zapisek, diky, budu se na ten docker muset podivat ;-)
    7.12.2015 15:08 Jardík
    Rozbalit Rozbalit vše Re: Chrome sandboxován v dockeru
    Má to ale jeden háček. Tím, že si dovolil chrome přístup na Xka se naprosto zbytečně snažíš o jeho izolaci. Pokud se bojíš nějaké špehovací šmejďárny v Chrome (přestože Google tvrdí, že je to Chromium + extra krávoviny, nikdy mu nemůžeš věřit, že to nemá extra špehovátka), a proto Chrome izoluješ, tak si selhal. Špehovací šmejďárna teď klidně může posílat ostatním aplikacím X eventy a ovládat je a kopírovat data, odposlouchávat hesla apod, jednoduše skrze Xka. Dalo by se to např. pořešit použitím waylandu uvnitř dockeru, jenže Chrome, narozdíl od Chromia, asi pod waylandem neběží.
    limit_false avatar 7.12.2015 16:15 limit_false | skóre: 23 | blog: limit_false
    Rozbalit Rozbalit vše Re: Chrome sandboxován v dockeru
    S tím problémem X-ek je mi to jasné. Ono by stejně nebylo dobré dávat mu přístup k host USB zařízením, pokud bych byl cíl obejít "šmejďárnu" v Chrome. To už pak nějaká úplná virtualizace.

    Jako sandboxing je tenhle přístup spíš vhodný pro případnou obranu proti Chrome exploitu - exploit by musel velmi specificky jít po X funkcech. Když už bych měl takový problém, tak mám mnohem větší problém :-)

    Původně jsem tohle celé dělal kvůli rozběhnutí Chrome/Chromia na CentOS 6, kde Chrome nefunguje (příliš stará libc) a Chromium nelze přeložit. Není to můj hlavní prohlížeč, ale někdy se hodí. BTW překlad Chromia vyžaduje překlad celého speciálně upraveného gcc toolchainu kvůli nacl a pepperapi. To upravené gcc generuje kód, který se např. vyhýbá ret instrukci a dělá ruzné zarovnání, aby byl return-to-libc těžký.

    S tím waylandem a Chromiem to ale není až tak špatný nápad, někdy to vyzkouším. Jak se vlastně wayland napojí na host X server? Neudělalo by to stejný problém? Jinak pořád lze provozovat místo komunikace přes X socket něco jako VNC, ale to už mi použitelnější přijde seamless mód Virtualboxu.
    When people want prime order group, give them prime order group.
    7.12.2015 22:02 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Chrome sandboxován v dockeru
    Tech hacku je o dost vic. Takto prijde o automaticky updaty knihoven na kterych chrome zavisi (narozdil od pouziti systemove instalace), vsechen sitovy traffic jde z chrome pres extra NAT, ....
    7.12.2015 22:00 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Chrome sandboxován v dockeru
    Zajimavy. Jak resis respektovani systemoveho nastaveni ... od "blbyho" resolv.conf po uzivatelsky nastaveni fontu, antialiasing, tematu, ikonek atd. atd.
    limit_false avatar 7.12.2015 22:44 limit_false | skóre: 23 | blog: limit_false
    Rozbalit Rozbalit vše Re: Chrome sandboxován v dockeru
    Soubory se dají sdílet přes -v flag. Docker má speciální nastavení pro DNS, nepoužívá se resolv.conf (nebo se asi z toho nastavení generuje).

    Témata jsem zatím nějak neřešil. Chrome vypadá jako kdyby ani v sandboxu neběžel, má ten svůj nativní vzhled. Jediný viditelný rozdíl je např. ve file chooser dialogu. Zřejmě by to šlo nastavit uvnitř kontejneru na stejné téma, jako požívá host systém.
    When people want prime order group, give them prime order group.
    8.12.2015 13:07 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Chrome sandboxován v dockeru
    Zajimalo me to hlavne kvuli tomu, jak jsou dnes snahy prosazovat docker jako sandbox pro desktopve aplikace (GNOME, Ubuntu), tak jestli uz hosi nejak vyresili integraci - a koukam ze ne (predopkladam ze rozbiti konzistence celeho desktopu je pro ne "minor bug" jestli vubec), ze se stale musi resit vse pripad od pripadu.

    btw. s/nativni/nenativni/;)
    8.12.2015 14:43 Jardík
    Rozbalit Rozbalit vše Re: Chrome sandboxován v dockeru
    Vzhledem k tomu, že vývojáři gnome/gtk každou chvíli rozbíjejí témátka a jeho změna je součástí jen gnome-tweak-tool, stejně tak písmo, tak bych se vůbec nedivil, že je to nezajímá. Prostě ti vhodí to svoje rozmazané a nečitelné písmo, jeho velikost a jejich téma a jesli budeš chtít něco jiného, tak "dodělej si sám".
    10.12.2015 15:40 smazáno | skóre: 18 | blog: smazáno
    Rozbalit Rozbalit vše Re: Chrome sandboxován v dockeru
    Ano.
    limit_false avatar 7.12.2015 22:49 limit_false | skóre: 23 | blog: limit_false
    Rozbalit Rozbalit vše U2F USB update
    Po dalším hackování mi funguje U2F, ale zatím jenom pod rootem. Nevím zatím proč, protože USB zařízení sdílím přes /dev/bus/usb, /sys/devices, atd. a práva mají pro stejný UID/GID. Nicméně pod tím samým userem, kde funguje X a pulseaudio dostávám pro USB přístup chybu -EACCESS.

    Dobrý testovací nástroj pro U2F je u2f-host.
    When people want prime order group, give them prime order group.
    limit_false avatar 8.12.2015 09:29 limit_false | skóre: 23 | blog: limit_false
    Rozbalit Rozbalit vše Re: U2F USB update
    Vypadá to asi na nějaký bug v dockeru - zařízení /dev/ttyUSB* lze minicomem v dockeru připojit, ale USB hidraw Yubikey ne.

    K USB je do spouštěcího skriptu potřeba doplnit: 

        -v /dev/bus/usb:/dev/bus/usb \
    -v /sys/bus/usb/:/sys/bus/usb/ \
    -v /sys/devices:/sys/devices/ \
    --privileged \
    When people want prime order group, give them prime order group.
    limit_false avatar 8.12.2015 12:53 limit_false | skóre: 23 | blog: limit_false
    Rozbalit Rozbalit vše Re: U2F USB update
    Záhada USB hidraw vyřešena, viz update v článku.
    When people want prime order group, give them prime order group.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.