abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 02:00 | Nová verze

Byla vydána stabilní verze 2.0 linuxové distribuce Lakka, jež umožňuje transformovat podporované počítače v herní konzole. Lakka 2.0 obsahuje například LibreELEC 8.0 nebo RetroArch 1.5.0.

Ladislav Hagara | Komentářů: 2
včera 23:44 | Pozvánky

24. 5. 2017 od 9:00 proběhne v Brně na Fakultě informatiky MU (Botanická 68a) v místnosti D2 jednodenní konference Industry Cocktail (Facebook), na které máš šanci nahlédnout do způsobů využití nových technologií v aktuálních projektech z různých průmyslových odvětví. To, že složité problémy se neřeší jen v laboratořích a způsoby, jakými se s nimi vypořádat v praxi, rozeberou přednášející z jednotlivých firem.

mjedlick | Komentářů: 0
včera 23:33 | Nová verze

Byla vydána verze 0.69 populárního telnet a ssh klienta PuTTY. Podrobnosti v přehledu změn. Řešen je také bezpečnostní problém ve verzi pro Windows.

Ladislav Hagara | Komentářů: 0
28.4. 13:11 | Nová verze

Po téměř dvou letech byla vydána nová verze 4.0 linuxové distribuce Audiophile Linux (též AP-Linux-V4). Tato distribuce vychází z Arch Linuxu, používá systemd, správce oken Fluxbox a vlastní real-time jádro pro nižší latence. Z novinek můžeme jmenovat podporu nových procesorů Intel Skylake a Kaby Lake nebo možnost instalace vedle jiných OS na stejný disk. Pokud se zajímáte o přehrávání hudby v Linuxu, doporučuji návštěvu webu této

… více »
Blaazen | Komentářů: 7
27.4. 18:55 | Nová verze

Byla vydána nová stabilní verze 1.9 (1.9.818.44) webového prohlížeče Vivaldi (Wikipedie). Z novinek vývojáři zdůrazňují podporu nového vyhledávače Ecosia. Ten z příjmů z reklam podporuje výsadbu stromů po celém světě (YouTube). Nově lze přeskupovat ikonky rozšíření nebo řadit poznámky. Nejnovější Vivaldi je postaveno na Chromiu 58.0.3029.82.

Ladislav Hagara | Komentářů: 20
27.4. 17:00 | Nová verze

Byla vydána verze 3.7.0 svobodného systému pro správu obsahu (CMS) Joomla!. V oznámení o vydání (YouTube) se píše o 700 vylepšeních. Opraveno bylo také 8 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 1
27.4. 08:22 | Komunita

Grsecurity (Wikipedie) je sada bezpečnostních patchů pro linuxové jádro (porovnání se SELinuxem, AppArmorem a KSPP). Od září 2015 nejsou stabilní verze těchto patchů volně k dispozici. Dle včerejšího oznámení (FAQ) nejsou s okamžitou platností volně k dispozici už ani jejich testovací verze.

Ladislav Hagara | Komentářů: 80
26.4. 23:33 | Komunita

OpenBSD 6.1 vyšlo již 11. dubna. Po dvou týdnech byla vydána i oficiální píseň. Její název je Winter of 95 a k dispozici je ve formátech MP3 a OGG.

Ladislav Hagara | Komentářů: 0
26.4. 18:55 | Nová verze

Byla vydána verze 2017.1 linuxové distribuce navržené pro digitální forenzní analýzu a penetrační testování Kali Linux. S vydáním verze 2016.1 se Kali Linux stal průběžně aktualizovanou distribucí. Aktualizovat jej lze pomocí příkazů "apt update; apt dist-upgrade; reboot".

Ladislav Hagara | Komentářů: 0
26.4. 18:22 | Nová verze

Po téměř pěti letech od vydání verze 2.00 byla vydána nová stabilní verze 2.02 systémového zavaděče GNU GRUB (GRand Unified Bootloader). Přehled novinek v souboru NEWS.

Ladislav Hagara | Komentářů: 28
Chystáte se pořídit CPU AMD Ryzen?
 (4%)
 (35%)
 (1%)
 (6%)
 (45%)
 (9%)
Celkem 347 hlasů
 Komentářů: 50, poslední 27.4. 04:06
    Rozcestník

    Opravdu hodný Google aneb APT-Backdoor

    28.8.2010 00:07 | Přečteno: 1653× | Linux

    S velkou slávou Google představil plugin přinášející na Linux podporu pro hlas a video v jejich Gmail IM klientu. Pod zprávičkou se objevila vtipná poznámka od anonyma Virt6: To je Apt-backdoor. Klasická součást všech balíků google :-D. Bohužel, při bližším ohledání mi zmrzl úsměv na rtech.

    Samotná stránka kde je odkaz na stažení balíčku není automaticky přenášená šifrovaně - tedy MITM útok není žádný problém. Ale řekněme, že uživatel je paranoidní a to s do adresního řádku dopíše. To je mu po kliknutí na tlačítko "Instalovat" na nic, protože Google odkaz vede na tunu JavaScriptu a výsledný soubor zase na nešifrované HTTP. A co hůř, tady už finta s přidáním s do protokolu nefunguje - jednoduše dojde k přesměrování na úvodní stránku Google. Na to, že k tomu balíčku nikde nenabízí kontrolní součty - a ani ten balíček není podepsaný je to už docela průšvih. Ale teď už se podíváme na samotný ballíček.

    Je to standardní .deb balík, takže rozbalíme ar x google-talkplugin_current_amd64.deb, vylezou nám z toho dva .tar.gz archivy: data.tar.gzkde se nachází soubory které přijdou do filesystému a control.tar.gz kde jsou umístěny drobnosti jako instalační skripty nebo MD5 jednotlivých souborů v archivu. Nejprve koukneme na data.tar.gz.

    Veškeré soubory jsou v /opt/google/talkplugin. V /usr je pár symlinků a changelog. To, co je zajímavé je ale v adresáři opt/google/talkplugin/cron a nasymlinkováno do etc/cron.daily/google-talkplugin. A tady to začíná být opravdu (ne)veselé. Nejen, že tento skript přidá do systému repozitář Google, on dokonce přidá svůj klíč mezi důvěryhodné klíče repozitářů. Pokud balíčkovač repozitář Googlu při upgradu zakáže, ten skript ho opět povolí. Tedy pokud si tento balíček nainstalujete, nejen, že je nijak neověřený ale dojde i k automatickému přidání nijak neověřeného GPG klíče mezi důvěryhodné zdroje. Výsledné dopady na bezpečnost mohou být katastrofální.

           

    Hodnocení: 82 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    28.8.2010 00:39 reqw5q23
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    28.8.2010 00:49 Mrkva | skóre: 22 | blog: urandom
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    Tak nevím, jestli se smát nebo brečet... Fingerprint klíče na čistém HTTP... Ale OK, odkaz už vede na HTTPS :)
    Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
    bazil avatar 28.8.2010 11:25 bazil | skóre: 33 | blog: sluje | Miroslav
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    a tohle je heslo: reqw5q23 ? :-)
    Jendа avatar 28.8.2010 00:44 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    No tak na něčem tu Rubikovu kostku počítat museli :-).
    Google však neprozradil, jaké počítače použil
    Jinak nepodepisováním balíčků trpí třeba i Arch (jeden ze dvou důvodů, proč jsem od něj odešel) a takovýto MITM možná používá i česká policie.
    "Vzbuď se ve 4.20 a jdi ke kolejím (k jakýmkoliv, které najdeš)" "OK, jsem na Strahově, what next?"
    28.8.2010 09:18 Dusan | skóre: 23 | blog: Moje_trable_s_internetom
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    Takže Chrome a podobné "zaujímavosti" do môjho kompu ani nepáchnu. A tak som si chcel kúpiť telefón s androidom.

    A keď už tak si tie balíčky trochu po-upravím. ;-)

    Ako sa hovorí "to že som paranoický ešte neznamená že po mne nejdú". :-)
    28.8.2010 10:13 void
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    anonyma Virt6
    Tak od anonyma, nebo od Virt6?
    28.8.2010 10:14 virt6 | blog: hardware
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    za účelem napsání příspěvku jsem se nepřihlásil :-)
    28.8.2010 10:18 void
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    Jestli ses přihlásil nebo ne, to je úplně jedno. Podepsal ses ("Virt6"), a tak nejsi anonymní.
    Václav 28.8.2010 15:07 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    Nepřihlášený - nelze ověřit jeho identita a spojit s ostatními jeho příspěvky - dá se pracovně brát jako anonymní. Bez přihlášení se může jako Virt6 podepsat každej.
    Cross my heart and hope to fly, stick a cupcake in my eye!
    28.8.2010 15:15 virt6 | blog: hardware
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    třeba jako void :-D
    xkucf03 avatar 28.8.2010 16:05 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    Ty příspěvky se dají někdy spojit podle stylu psaní, gramatiky, názorů atd. :-)
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    28.8.2010 17:09 void
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    Přihlášení je ověření identity jako hrom!
    Václav 28.8.2010 17:39 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    Identita - totožnost, jednoznačené určení jedinečného objektu (subjektu)

    Nemluvil jsem o totožnosti, ale o druhém významu. Ano, přihlášení je způsob jednoznačného určení jedinečného subjektu – identity.

    U tebe nikdy nevím (no dobře, dle stylu psaní se to zrovna u tebe dá poznat dobře) jestli je to stejný void jako před půl hodinou, týdnem… U přihlášeného člověka je podstatně pravděpodobnější že je to pořád on.

    Ještě nějaký problém?
    Cross my heart and hope to fly, stick a cupcake in my eye!
    29.8.2010 22:58 zulu
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    Hlavně je to jedno, protože neověřený neznamená anonymní.
    Václav 30.8.2010 00:13 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    Ovšem „neověřielný“ už se tomu blíží :) Z hlediska internetových diskuzí si zkus ověřit mé jméno (bez přezdívky). Myslím že jako Václav Novák budu krapet anonymnější než Darm, resp. Darmonlor.
    Cross my heart and hope to fly, stick a cupcake in my eye!
    Jendа avatar 30.8.2010 02:02 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    Šmarjá, na mé jméno je šestý výsledek v Googlu ruska vana | Erotika | Videoportal.sk
    "Vzbuď se ve 4.20 a jdi ke kolejím (k jakýmkoliv, které najdeš)" "OK, jsem na Strahově, what next?"
    28.8.2010 10:13 virt6 | blog: hardware
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    nejsem žádný anonym, mrkvo :-D
    28.8.2010 12:21 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    Aspoň tím Google názorně demonstruje výhodu důvěryhodných (např. distribučních) depozitářů software. Asi si dám zápisek do odkazů a budu na něj odkazovat pokaždé, když někdo přijde s tím, jak je to báječné ve Windows, kde si prostě stáhnu kupu smetí z internetu a nechám ji, ať si dělám s mým počítačem, co chce.
    28.8.2010 12:52 rastos | skóre: 60 | blog: rastos
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    on dokonce přidá svůj klíč mezi důvěryhodné klíče repozitářů
    Nepoznám debian/apt, ale fungujú tie kľúče? Ja overujem Slackware-ové balíky GPG kľúčmi a aby bol GPG kľúč Slackware-u dôveryhodný, tak musí byť podpísaný mojím GPG kľúčom. A to bezo mňa žiaden skript neurobí.
    xkucf03 avatar 28.8.2010 13:34 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    To zní rozumněji – v debianu/ubuntu stačí přidání do klíčenky a označení jako důvěryhodný. Na druhou stranu, když už ti tam běží něco pod rootem (třeba poinstalační skript), tak není problém nainstalovat třeba odposlech klávesnice nebo upravit binárku gpg/pinentry, aby odchytila heslo ke klíči a klíč si zkopírovat a podepsat ten vlastní.

    Někdy to prostě nejde jinak a když člověk nedůvěřuje, je potřeba spouštět to ve virtuálním počítači. Pokud program nepotřebuje k instalaci rootovaská práva, pak stačí spouštět pod jiným uživatelem a/nebo AppArmor.
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    29.8.2010 00:27 Christof | skóre: 22 | Havířov
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    Chromium Linux Technical FAQ

    Q. Why do the Google Chrome packages automatically add the Google Chrome repository and repository key to my distribution's package manager?

    A. We wanted installing the packages and getting updates to require a single click: download the package, click OK, and it's installed. Requiring users to add an extra sources line, update the package list, then find the package in the updated list is too much effort. If you don't want this behavior, Create an empty /etc/default/google-chrome before installing. You can also add the line: repo_add_once=false to /etc/default/google-chrome to achieve the same effect.
    29.8.2010 01:26 Mrkva | skóre: 22 | blog: urandom
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    Oukej, ale já neinstaluju Chromium :)
    Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
    29.8.2010 20:12 Christof | skóre: 22 | Havířov
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    s/Google Chrome/Google Talk Plugin/g
    31.8.2010 08:55 peep
    Rozbalit Rozbalit vše Re: Opravdu hodný Google aneb APT-Backdoor
    nejste paranoidní???

    Q. Why do the Google Chrome packages automatically add the Google Chrome repository and repository key to my distribution's package manager? A. We wanted installing the packages and getting updates to require a single click: download the package, click OK, and it's installed. Requiring users to add an extra sources line, update the package list, then find the package in the updated list is too much effort. If you don't want this behavior, Create an empty /etc/default/google-chrome before installing. You can also add the line: repo_add_once=false to /etc/default/google-chrome to achieve the same effect.

    Q. Why does the Google Chrome package install a cron job on RPM systems? (i.e. Fedora, OpenSUSE, Mandriva) A. On some RPM-based distros, the RPM / repo database is locked while the installer is running. As a result, we cannot add the repository and/or the repository key during the install. Instead, a cron job does this at a later time. See previous entry for instructions on how to disable this cron job.

    Q. Why does the Google Chrome package install a cron job on Debian systems? (i.e. Debian, Ubuntu) A. We found some Debian-based distros will remove the Google Chrome source when doing an upgrade, meaning users will silently stop getting updates. All the cron job does is verify the above sources line still exists; it doesn't do any updating itself. Again, /etc/default/google-chrome controls this behavior. You can either create an empty /etc/default/google-chrome or explicitly add the line: repo_reenable_on_distupgrade=false.

    Q. Why does the Google Chrome RPM package install Qt as a dependency? A. The Google Chrome package depends on the LSB (Linux Standard Base) package and the LSB package depends on Qt, as specified in the LSB Desktop specs. Depending on the LSB package lets Google Chrome pull in many required dependencies without specifically requiring them, and makes it easier to create a Google Chrome package that is distribution agnostic. I.e. the same Google Chrome RPM works on RPM distro A and distro B, even if distro A provides a lsb-required package as libfoo, and distro B provides the same package as libfoo-version.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.