abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 00:44 | Komunita

Do 2. dubna se lze přihlásit do dalšího kola programu Outreachy (Wikipedie), jehož cílem je přitáhnout do světa svobodného a otevřeného softwaru lidi ze skupin, jež jsou ve světě svobodného a otevřeného softwaru málo zastoupeny. Za 3 měsíce práce, od 20. května do 20. srpna 2019, v participujících organizacích lze vydělat 5 500 USD.

Ladislav Hagara | Komentářů: 0
dnes 00:11 | Bezpečnostní upozornění

Byly zveřejněny informace o o bezpečnostní chybě CVE-2019-6454 ve správci systému a služeb systemd (PID 1). Běžný uživatel jej může shodit připravenou D-Bus zprávou. V upstreamu je chyba již opravena [reddit].

Ladislav Hagara | Komentářů: 0
včera 22:44 | Nová verze

Byla vydána nová verze 2019.1 průběžně aktualizované linuxové distribuce navržené pro digitální forenzní analýzu a penetrační testování Kali Linux (Wikipedie). Přehled novinek v changelogu. Vývojáři zdůrazňují Linux 4.19.13 a díky němu opětovnou podporu Banana Pi a Banana Pro, aktualizaci nástrojů jako theHarvester nebo DBeaver a Metasploit Framework ve verzi 5.0. Aktualizovat Kali Linux lze pomocí příkazů "apt update && apt -y full-upgrade".

Ladislav Hagara | Komentářů: 0
včera 13:33 | Zajímavý článek

Craig Loewen se v příspěvku na blogu Microsoftu věnuje novinkách ve WSL (Windows Subsystem pro Linux), které přinese Windows 10 1903. Jedná se především o možnost přístupu z Windows (Průzkumník souborů, explorer.exe) k souborům v nainstalovaných linuxových distribucích. Použit je protokol 9P.

Ladislav Hagara | Komentářů: 5
včera 10:44 | Zajímavý software

Byl vydán Hangover ve verzi 0.4.0. Jedná se o součást projektu Wine umožňující spouštět Windows aplikace pro x86 a x86_64 na architektuře ARM64 (AArch64). Zdrojové kódy této alfa verze jsou k dispozici na GitHubu.

Ladislav Hagara | Komentářů: 1
17.2. 03:00 | Nová verze

Byla vydána nová major verze 3.0.0-1 linuxového prostředí pro operační systémy Windows Cygwin (Wikipedie). Přehled novinek v oficiálním oznámení.

Ladislav Hagara | Komentářů: 6
17.2. 02:00 | Nová verze

Byl vydán Debian 9.8, tj. osmá opravná verze Debianu 9 s kódovým názvem Stretch. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Předchozí instalační média Debianu 9 Stretch lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

Ladislav Hagara | Komentářů: 0
15.2. 12:33 | Pozvánky

Příští týden bude na MFF UK zahájena série přednášek o architektuře a implementaci operačních systémů. Mezi přednášejícími budou odborníci z firem Kernkonzept, Oracle, Red Hat, SUSE či SYSGO. Pokud si chcete rozšířit obzory (virtualizace, ptrace, ZFS, kdump, ...), vyberte si z harmonogramu téma, které vás zajímá a přijďte. Přednášky se konají každý čtvrtek od 15:40 v učebně S4 na Malostranském náměstí 25 v Praze. Přednášky jsou přístupné veřejnosti (registrace není nutná), studenti UK a ČVUT si je mohou zapsat jako standardní předmět.

Vojtěch Horký | Komentářů: 16
15.2. 05:00 | Nová verze

Bylo vydáno Ubuntu 18.04.2 LTS, tj. druhé opravné vydání Ubuntu 18.04 LTS s kódovým názvem Bionic Beaver. Přehled novinek v poznámkách k vydání a v přehledu změn.

Ladislav Hagara | Komentářů: 0
15.2. 03:00 | Zajímavý software

Git History umí u souborů v git repozitářích zajímavým způsobem zobrazit jejich historii a následně jednotlivé změny, viz animovaný gif. Použít jej lze lokálně nebo aktuálně na soubory umístěné na GitHubu. Máte-li ve webovém prohlížeči zobrazen soubor umístěný na GitHubu, nahraďte v URL doménu github.com doménou github.githistory.xyz a nové URL odešlete. Využít lze také rozšíření Chrome i Firefoxu. V plánu je vedle GitHubu také podpora GitLabu a Bitbucketu.

Ladislav Hagara | Komentářů: 3
Máte v desktopovém prostředí zapnutou zvukovou znělku po přihlášení se do systému?
 (7%)
 (1%)
 (90%)
 (1%)
Celkem 348 hlasů
 Komentářů: 11, poslední 14.2. 07:59
Rozcestník
Štítky: není přiřazen žádný štítek

Vložit další komentář
Bystroushaak avatar 2.2. 17:03 Bystroushaak | skóre: 34 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Dnes mě překvapilo že i poměrně znamé servery se rozhodly ignorovat bezpečnost. Aspoň v době psaní tohoto článku se to týká například serveru impulz.cz. https://twitter.com/kozzi11/status/1091104899058806784
Tohle je fakt kvalitní příspěvek, ani posrané odkazy jsi nevložil a to co jsi napsal je oboje blbě:
Pale Moon can't find the server at impulz.cz.
a u twitteru:
https://twitter.com/kozzi11/status/1091104899058806784

Sorry, that page doesn’t exist!

You can search Twitter using the search box below or return to the homepage.
K tomu si přidám že HTTPS rozhodně neznamená automatickou bezpečnost, je to jen krytá trubka k serveru a k čemu ti to je u radia impuls, kde se stejně nedá nikam zalogovat, co tak koukám, to vážně nechápu. Sečteno a podtrženo, zatím vedeš v ceně shitpost měsíce.
2.2. 17:52 _
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Nechovej se jako kokot bystrousko.
Bystroushaak avatar 2.2. 18:17 Bystroushaak | skóre: 34 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Tak určitě. Autor napíše blog o dvou větách a dvou odkazech, které jsou všechny blbě a já jsem kokot, když na to upozorním a snažím se s ním vyvolat diskuzi, abych alespoň zjistil, o co že mu to vlastně šlo, protože z těla blogu to vůbec není jasné.
2.2. 17:59 Vantomas | skóre: 28 | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
K tomu si přidám že HTTPS rozhodně neznamená automatickou bezpečnost, je to jen krytá trubka k serveru a k čemu ti to je u radia impuls, kde se stejně nedá nikam zalogovat, co tak koukám, to vážně nechápu. Sečteno a podtrženo, zatím vedeš v ceně shitpost měsíce.
Protože když ta trubka mezi klientem a serverem není šifrovaná, tak tam útočník po cestě může přidat JS na počítání bitcoinů. Jasně, v ČR už jsme trochu dál a tak se to nestane na cestě u providera, ale když přijde na nějakou wifi do hospody, tak bych se tomu nedivil...
Bystroushaak avatar 2.2. 18:16 Bystroushaak | skóre: 34 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Protože když ta trubka mezi klientem a serverem není šifrovaná, tak tam útočník po cestě může přidat JS na počítání bitcoinů. Jasně, v ČR už jsme trochu dál a tak se to nestane na cestě u providera, ale když přijde na nějakou wifi do hospody, tak bych se tomu nedivil...
Nevím, asi by mi bylo líto toho útočníka a poslal bych mu na tu těžící adresu třeba stovku (v korunách), protože javascriptovým těžením bitcoinů by jí vydělal nejdřív asi tak v roce 2600.
2.2. 18:21 .
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
:D lol, zasmál sem se.

Když už, tak monero. Bitcoin opravdu ne.

Ale buďme upřímní, spectre jde exploitovat i pomocí JS, takže bezpečnosti není nikdy dost.
2.2. 18:17 .
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Tak napiš vlastní blogpost lišáku. Už dlouho čekám na něco z tvé dílny, vlastně je to jediný důvod proč furt chodím na abclinuxu. Tvoje blogy. Pokud se ti nelíbí podobný výkřiky jako je ten co si právě zhejtoval, jediný co můžeš udělat je přebít je vlastní tvorbou. Uroveň blogů na abc je ubohá protože nikdo nenastavuje laťku. Na rootu blogy ani už nejsou.
Bystroushaak avatar 2.2. 18:20 Bystroushaak | skóre: 34 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Beru tě za slovo. Mám přichystaných několik seriálů, konkrétně jeden o programování vlastního programovacího jazyka, kde jsem ale chtěl počkat než dopíšu ten druhý, který je o tom programovacím jazyku samotném. Ale jak mi tvůj příspěvek připomněl, lepší je jít vlastním příkladem, takže do dnešní půlnoci sem nahodím první části obojího, s tím že na sebe teda upletu bič a tlak abych to oboje dopsal a nezůstalo to nedokončené, což jsem původně nechtěl (chtěl jsem to prvně dokončit).
2.2. 18:24 .
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Super a dík. Kvalitní tvorby není nikdy dost. Respektive je jí čím dál tím míň.
Bystroushaak avatar 2.2. 22:35 Bystroushaak | skóre: 34 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Bystroushaak avatar 2.2. 23:00 Bystroushaak | skóre: 34 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
A tady je první část druhé série: Jak se píše programovací jazyk 1: Motivace. U tohohle už mám hotovo přes sedm dílů, tak to tu příští týdny budu vydávat.
2.2. 20:41 dedflow
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
a k čemu ti to je u radia impuls, kde se stejně nedá nikam zalogovat
Tohle je taky dobrej blábol. To že se nedá zalogovat ještě neznamená, že by jeden nemohl to nezašifrované HTML podvrhnout bez správně nastaveného HTTPS nemáš šanci se to dozvědět, HTTPS neslouží jen k tomu, aby se někdo nedozvěděl tvoje heslo. Můžu ti doporučit nějakou literaturu pro začátečníky na tohle téma, jestli chceš.
2.2. 21:00 Bherzet | skóre: 8 | blog: Bherzetův blog
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Pokud ti někdo podvrhne obrazy instalačních médií a jejich checksumů, je to problém. Jaký je worst-case scénář u Radia Impuls? Nic vážnějšího než šíření dezinformací mě nenapadá. I to může být problém a Bystroushaak se vyjádřil nepřesně, ale zase bych to nehrotil.
3.2. 19:10 pirated_byte
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Worst-case je samozrejme root na tvem kompu.
3.2. 19:37 Bherzet | skóre: 8 | blog: Bherzetův blog
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Protože mi tam po cestě někdo injektuje malware, na který bych mohl narazit na kterémkoliv jiném (HTTPS) webu ať už kvůli úmyslu provozovatele, nebo zneužití jedné z mnoha stále hojně rozšířených bezpečnostních chyb? Pokud prohlížeč obsahuje exploitovatelnou chybu, používání HTTPS eliminuje jeden ze způsobu šíření škodlivého kódu; pokud takových způsobů ale existuje víc, HTTPS je (vůči tomu) jen security-by-obscurity.
3.2. 23:21 pirated_byte
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Eliminace znacne casti utocnych vektoru neni "security-by-obscurity". Zadny bezpecnostni prvek neresi vsechny problemy. Vzdy jde o zvysovani ceny a snizovani pravdepodobnosti utoku. Obvykle je taky dulezita kombinace s ostatnimi prvky.
4.2. 01:57 Bherzet | skóre: 8 | blog: Bherzetův blog
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
To je jako jako zakázat dítěti přecházet nefrekventovanou silnici před domem, ale klidně mu dovolit jezdit se tříkolkou po dálnici. Pravděpodobnost nehody to sice sníží, ale za cenu značných praktických omezení. Ta nejpodstatnější rizika přitom zůstanou.

Ale ať se nedohadujeme zbytečně o hloupostech, podívej: Dlouhodobě používám HTTPS Everywhere nastavený tak, aby mě vždy přesměroval na HTTPS, pokud je dostupné. Výkonostně to nepocítím a jako uživatel z toho pouze profituji. Stěží bych ovšem mohl Radiu Impuls (nebo komukoliv jinému) vyčítat, že mi při komunikování s jejich webem někdo po cestě nainjektoval škodlivý kód.

Účinnou ochrannou před škodlivým kódem je používání aktualizovaného prohlížeče, blokování JavaScriptu, spouštění prohlížeče ze sandboxu, nepoužívání prohlížeče nebo nepoužívání počítače, v tomto pořadí dle účinnosti.

Tvému pohledu rozumím, ale neshodneme se v tom, jaký význam této konkrétní výhodě HTTPS přikládat. Osobně s tím, že i dnes někdo spustí HTTP-only web nemám z tohoto hlediska problém. Samozřejmě to (nějak) beru v potaz jako zákazník a podobně, ale jsem dalek toho považovat návštěvu takového webu samu o sobě za bezpečnostní hrozbu.
Bystroushaak avatar 2.2. 22:35 Bystroushaak | skóre: 34 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Tohle je taky dobrej blábol. To že se nedá zalogovat ještě neznamená, že by jeden nemohl to nezašifrované HTML podvrhnout bez správně nastaveného HTTPS nemáš šanci se to dozvědět, HTTPS neslouží jen k tomu, aby se někdo nedozvěděl tvoje heslo. Můžu ti doporučit nějakou literaturu pro začátečníky na tohle téma, jestli chceš.
Líbí se mi, jak to prohlásíš blábolem a pak nejsi schopný říct jediný argument proč by to měl být blábol. Podle mě je tahle snaha zavést HTTPS úplně všude projevem idiocie fanboyů, kteří se snaží najít příslovečnou stříbrnou kulku zajišťující "bezpečnost" a úplně ignorují, že si tím kupují jen pocit bezpečí a nic jiného. Třeba tady abclinuxu je krásně HTTPS "zabezpečené". Cítíš se kvůli tomu bezpečněji? Vždyť sem pořád může kdokoliv vložit kusy kódu, které se vykonají.

Většina SSL knihoven se ukázala být děravá jak prdel a dokonce se dá polemizovat, že bezpečnost aktivně snižují. A snaha zavést to na každém webu, včetně těch kde se ani nikam nepřihlašuješ a v podstatě je to jen jednoduchá informační prezentace, je doslova nesmyslná. Má to nižší bezpečnost, než kdyby se využíval třeba podpis konkrétní prezentované informace.
3.2. 18:59 pirated_byte
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
V porovnani s TLS stackem je attack surface weboveho prohlizece monstrozni.
7.2. 15:21 oryctolagus | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Já bych to teda v rámci nějaký netikety apod. neoznačil hned za blábol, ale souhlasit s tím taky úplně nemůžu. HTTPS IMHO má smysl i u rádia impulz apod., protože:
  1. Bez tý roury kde kdo po cestě ví, co si čteš na Impulzu a jestli seš těhotnej
  2. Podstrčení malware.exe místo balik_smajliku.exe není jediný způsob, jak dosáhnout RCE. HTML je co do RCE historicky vzato skoro stejně špatné jako JS.
Jasný, je to trochu paranoia, ale to neznamená, že po mě nejdou...
Bystroushaak avatar 7.2. 17:00 Bystroushaak | skóre: 34 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Jasný, je to trochu paranoia, ale to neznamená, že po mě nejdou...
Jasně, já paranoiu respektuju. Jenže nevím, proč by měla být paranoia přehozena na poskytovatele (což je celý dementní, když poskytovatel stejně vidí logy a doslova definuje na co koukáš). Pokud chceš být paranoik, tak použij proxy, VPN, nebo TOR.
Podstrčení malware.exe místo balik_smajliku.exe není jediný způsob, jak dosáhnout RCE. HTML je co do RCE historicky vzato skoro stejně špatné jako JS.
A v tom ti HTTPS pomůže jak? Zaručí ti to třeba, že ti nikdo neunese to konkrétní HTTPS spojení, unese ti jen třeba linkované zdroje, které po HTTPS nejedou. Ale když někdo bude mít exploit na HTML, tak ti prostě pošle email a nenaděláš nic.
9.2. 17:18 Gilhad | skóre: 20 | blog: gilhadoviny
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Ještě bych dodal, že beru jako rozumné požívat šifrování i tam, kde o nic nejde, z jednoduchého důvodu - pokud bude veškerý provoz šifrovaný, tak to ničemu nevadí, pokud budou šifrované jen a pouze věci, které nesou soukromou informaci, tak už samotný fakt šifrování bude určitým ukazatelem a zároveň budou mít různé nekalé živly jednodušší práci s tím, že nebudou muset dešifrovat celý provoz jen aby zjistitli, že v něm vážně není nic soukromého.

A to i za předpokladu, že budeme https šifrování by-default považovat za automaticky prolomitelné - což zase není tak zcela nesmyslný předpoklad - tak to alespoň trochu zvedne laťku.

A samozřejmě, že citlivé soukromé věci by neměly spoléhat pouze na https, nebo na dobrou víru webových služeb, které se mohou k https-nešifrovanému obsahu dostat - každou chvíli se dočteme o napadení nějakého cloudového úložiště (a to se určitě nedočteme o všech), nemluvě o tom, že se mnohé firmy ani netají tím, že tu komunikaci sledují a případně používají pro vlastní účely, případně předávají dál a dokonce to mají i v podmínkách použití ...
Bystroushaak avatar 9.2. 18:02 Bystroushaak | skóre: 34 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
pokud bude veškerý provoz šifrovaný, tak to ničemu nevadí
Vede to na mnohem složitější implementace jak na straně klientů, tak na straně serverů. Za život jsem několikrát napsal HTTP klienta pro programovací jazyky, které žádného použitelného neměly a všechno to fungovalo. Implementovat nejpodstatnější část RFC je na víkend. Implementovat k tomu bezpečně SSL je na rok bádání na poli kryptografie (bavíme se tu o jazycích, které SSL knihovnu nemají).

Další problém, který v tom vidím je monopolizace implementací. Kolik existuje dobře použitelných SSL knihoven? Pět? To znamená, že většina netu jede na pěti knihovnách. Pokud tě tohle neděsí, tak imho nechápeš všechny implikace.

Tím nechci působit, že jsem proti šifrování jako takovému, sám šifruji kompletně celý disk, všechny zálohy a na nezašifrovaný web bych se nepřihlašoval, pokud by to bylo k něčemu podstatnému, ale šifrovat všechno (ještě k tomu nejlíp povinně) se mi zdá nejenom zbytečné, ale rovnou kontraproduktivní.
9.2. 19:54 Gilhad | skóre: 20 | blog: gilhadoviny
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Nikde jsem nepsal povinně, to všechno bylo na úrovni "dobrý zvyk" - když mám na výběr, zda poskytnout jen jedno, nebo jen druhé, tak poskytnout obě varianty. Když mém na výběr, zda se připojit k jednomu či druhému, dávat přednost https ('není-li důvod proti). Než tohle pronikne do obecného povědomí, tak uteče ještě fůra času. I dotáhnout to k reálnému poměru 50:50 bude IMHO ještě dlouho trvat. Ale to není důvod proč se aspoň trochu nesnažit tam, kde to jde ...

Prolomit ten postoj: Nikdo to nechce tak proc to nabizet / nikde to neni, tak proc to vyzadovat : na postoj každou z variant chce spousta lidí, dáme tedy obě / Proč si nevybrat, když je na výběr ...

Viz též IPV4/6, widows/linux ... už začíná být "normální" požadovat i tu druhou možnost a nabídka pomalu a zdráhavě reaguje. Monokultura té druhé části zatím nehrozí ...

Jinak k těm pěti knihovnám - řekl bych, že zvýšení https provozu minimálně přispěje/přispělo k jejich odladění a že větší podíl https může přinést další implementace ... nebo aspoň bugreporty, když i odvrácená strana bude donucena se tím zabývat a provozovat penetrační testy ... ostatně nemálo příkladů ukázalo, že https a zelená ikonka není všespásné a že je tu pořád ještě dost co zlepšovat - kdyby to používalo jen pár technonadšenců na místech vyloženě nezbytných, tak spousta z těch afér nepropukla a mýtus totálního zabezpečení by trval.
Bystroushaak avatar 9.2. 20:58 Bystroushaak | skóre: 34 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Nikde jsem nepsal povinně, to všechno bylo na úrovni "dobrý zvyk" - když mám na výběr, zda poskytnout jen jedno, nebo jen druhé, tak poskytnout obě varianty. Když mém na výběr, zda se připojit k jednomu či druhému, dávat přednost https ('není-li důvod proti). Než tohle pronikne do obecného povědomí, tak uteče ještě fůra času. I dotáhnout to k reálnému poměru 50:50 bude IMHO ještě dlouho trvat. Ale to není důvod proč se aspoň trochu nesnažit tam, kde to jde ...
Ok, s tím souhlasím.
Jinak k těm pěti knihovnám - řekl bych, že zvýšení https provozu minimálně přispěje/přispělo k jejich odladění a že větší podíl https může přinést další implementace ... nebo aspoň bugreporty, když i odvrácená strana bude donucena se tím zabývat a provozovat penetrační testy ... ostatně nemálo příkladů ukázalo, že https a zelená ikonka není všespásné a že je tu pořád ještě dost co zlepšovat - kdyby to používalo jen pár technonadšenců na místech vyloženě nezbytných, tak spousta z těch afér nepropukla a mýtus totálního zabezpečení by trval.
Jo jo, tak nějak.
Bedňa avatar 3.2. 23:36 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Čau kámo, tak som sa po čase potešil, že ťa vidím a zmažeš to. Ako sa majú ženské, to dúfam nemažeš :-)
KERNEL ULTRAS video channel >>>

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.