Evropský parlament dnes přijal směrnici týkající se tzv. práva spotřebitele na opravu. Poslanci ji podpořili 584 hlasy (3 bylo proti a 14 se zdrželo hlasování). Směrnice ujasňuje povinnosti výrobců opravovat zboží a motivovat spotřebitele k tomu, aby si výrobky nechávali opravit a prodloužili tak jejich životnost.
Bylo oznámeno (cs) vydání Fedora Linuxu 40. Přehled novinek ve Fedora Workstation 40 a Fedora KDE 40 na stránkách Fedora Magazinu. Současně byl oznámen notebook Slimbook Fedora 2.
ČTK (Česká tisková kancelář) upozorňuje (X), že na jejím zpravodajském webu České noviny byly dnes dopoledne neznámým útočníkem umístěny dva smyšlené texty, které nepocházejí z její produkce. Jde o text s titulkem „BIS zabránila pokusu o atentát na nově zvoleného slovenského prezidenta Petra Pelligriniho“ a o údajné mimořádné prohlášení ministra Lipavského k témuž. Tyto dezinformace byly útočníky zveřejněny i s příslušnými notifikacemi v mobilní aplikaci Českých novin. ČTK ve svém zpravodajském servisu žádnou informaci v tomto znění nevydala.
Byla založena nadace Open Home Foundation zastřešující více než 240 projektů, standardů, ovladačů a knihoven (Home Assistant, ESPHome, Zigpy, Piper, Improv Wi-Fi, Wyoming, …) pro otevřenou chytrou domácnost s důrazem na soukromí, možnost výběru a udržitelnost.
Společnost Meta otevírá svůj operační systém Meta Horizon OS pro headsety pro virtuální a rozšířenou realitu. Vedle Meta Quest se bude používat i v připravovaných headsetech od Asusu a Lenova.
Společnost Espressif (ESP8266, ESP32, …) získala většinový podíl ve společnosti M5Stack, čímž posiluje ekosystém AIoT.
Byla vydána nová stabilní verze 3.5 svobodného multiplatformního softwaru pro editování a nahrávání zvukových souborů Audacity (Wikipedie). Přehled novinek také na YouTube. Nově lze využívat cloud (audio.com). Ke stažení je oficiální AppImage. Zatím starší verze Audacity lze instalovat také z Flathubu a Snapcraftu.
50 let operačního systému CP/M, článek na webu Computer History Museum věnovaný operačnímu systému CP/M. Gary Kildall z Digital Research jej vytvořil v roce 1974.
Byl zveřejněn program a spuštěna registrace na letošní konferenci Prague PostgreSQL Developer Day, která se koná 4. a 5. června. Na programu jsou 4 workshopy a 8 přednášek na různá témata o PostgreSQL, od konfigurace a zálohování po využití pro AI a vector search. Stejně jako v předchozích letech se konference koná v prostorách FIT ČVUT v Praze.
Po 48 letech Zilog končí s výrobou 8bitového mikroprocesoru Zilog Z80 (Z84C00 Z80). Mikroprocesor byl uveden na trh v červenci 1976. Poslední objednávky jsou přijímány do 14. června [pdf].
Řešení dotazu:
Klient by měl mít bezpečně uložen certifikát kořene DNSAha, díky. Teď už to dává smysl.
/etc/bind/named.conf.options
(pokud používáš Bind, u jiných DNS serverů to bude jinde).
má být za všech okolností na lokálním stroji, pokud…Tady záleží na důvěryhodnosti (lokální) sítě – jestliže je nedůvěryhodná, tak sice můžu mít DNS server s validací na localhostu a doménová jména se mi přeloží na správné IP adresy, ale ta nedůvěryhodná síť mi ty IP adresy nasměruje jinam. A naopak když té síti věřím – věřím, že nepřesměrovává IP/porty někam jinam a zároveň věřím, že nepodvrhává DNS záznamy. Rozdíl by byl snad leda v případě, že bych přes DNSSEC chtěl přenášet něco jiného než IP adresy (např. otisky klíčů), ale takové použití zatím není příliš časté…
Tady záleží na důvěryhodnosti (lokální) sítěA tu implicitně považuju za nedůvěryhodnou.
Jenže přesunem DNS serveru na localhost si nijak moc nepomůžeš, protože ta nedůvěryhodná síť ti může místo podvržení DNS záznamů přesměrovat IP adresy a porty.Bavíme se stále ještě o DNSSECu?
Resp. pomůžeš si jen v případě, že používáš DNSSEC k přenosu těch jiných informací, pokud jsi myslel tohle (což bych ale neřekl, že je „za všech okolností“ – je to dnes spíš výjimka a za všech okolností se DNS používá leda tak k překladu doménových jmen na IP adresy).To „za všech okolností“ jsi obrátil naruby, ale nevadí. Pokud vím, tak ještě nedávno nebyl k DNSSEC k dispozici vůbec, takže hodnotit, co se jím přenáší a co ne je víceméně zbytečné. Nehledě na to, že třeba Openswan umí DNS chráněné DNSSECem využívat velmi dobře.
A otisky klíčů v DNSSEC jsou pak taková třešnička na dortu, pojistka, v podstatě paralelní hierarchie certifikačních autorit (vedle např. těch v x509).Pro tebe je to třešnička na dortu, pro mě je to naprostý základ, bez kterého DNSSEC téměř nemá smysl.
Takže se od ní okamžitě odpojíte. Někteří lidé ale počítačovou síť potřebují, takže se naučili alespoň trochu své lokální síti důvěřovat.Tady záleží na důvěryhodnosti (lokální) sítěA tu implicitně považuju za nedůvěryhodnou.
Takže se od ní okamžitě odpojíte.Tvá schopnost dedukce mě vždycky udivovala.
S nedůvěryhodnou sítí se nedá dělat nic jiného.Doporučuju ti podívat se na svět okolo tebe. Je v něm dostatek protipříkladů.
A co to dívání na okolní svět, pomohlo?Mně pomáhá, měl byste to někdy zkusit taky. Třeba byste pak přestal tvrdit nesmysly jako že žádné síti v ničem nedůvěřujete; nebo pokud za „nedůvěryhodnou síť“ označujete síť, které v mnoha parametrech důvěřujete, a v několika málo ne, popsal byste, čím je zrovna těch pár parametrů důležitých.
já bych do takové sítě počítač nezapojovalJá s nedůvěryhodnými sítěmi pracuju denně a počítače k nim připojuju. Stačí to jako odpověď?
nebo by mne někdo nevaroval, pokládám každou síť v tomto směru implicitně za důvěryhodnou. V tom je tedy mezi námi rozdílTo ano, já nemám potřebu si nalhávat něco, co není pravda.
Třeba byste pak přestal tvrdit nesmysly jako že žádné síti v ničem nedůvěřujeteZatím jsem to tvrdit ani nezačal.
Takže síti, ve které důvěřujete velké spoustě věcí, říkáte nedůvěryhodná síť.Samozřejmě.
Takže onu nedůvěryhodnost pro vás zřejmě způsobuje jenom pár nějakých parametrů.Tak to v bezpečnosti obvykle funguje.
není dobré, aby byl resolvující server také autoritativníTo nebylo dobré nikdy. Nezabezpečená WiFi na poslední míli hlavního internetového připojení je podle mne české specifikum, ve světě to podle mne i pro domácnosti bude spíš nějaký kabel. A vzhledem k tomu, že dnes nejčastější způsob zabezpečení je přenos hesla z webového formuláře v otevřeném tvaru přes HTTP, nemá moc smysl najednou zabezpečovat DNS tak, že se validace DNSSEC bude urychleně cpát až na koncové počítače. Ostatně jako u každé hierarchické služby je potřeba systémově zajistit hlavně ty úpravy směrem od kořene. Takže se dá očekávat, že využití DNSSEC na straně klienta se bude postupně rozvíjet, teď bylo a je důležité zajistit hlavně to, aby byly klíče a software k dispozici na serverech (bez toho navíc nikdo žádné velké úpravy klientů dělat nebude). Podpisem kořenové zóny nasazení DNSSEC nekončí, ale naopak začíná. Vlastní privátní doménu v odděleném stromu asi nemá smysl podepisovat – musel byste přidávat její klíč všude, kde ji chcete validovat, atd. Podle mne je ale lepší použít privátní doménu jako poddoménu skutečné domény (třeba
local.example.com
), a k tomu bych už přistupoval jako k celé doméně, tj. nevylučovala bych ji z podepisování. Dá se předpokládat, že v budoucnosti se přes zabezpečené DNS budou kontrolovat třeba HTTPS certifikáty, což může mít smysl i pro privátní doménu – a naopak při použití odděleného stromu budete mít problém, protože klíč od té domény budete muset dostat třeba až do všech prohlížečů na koncových stanicích.
Ono by to taky nebylo moc efektivní, takže i pro ochranu jednoho počítače je asi lepší zprovoznit si lokální rekurzivní server.Vždyť v první větě píšeš, že by to nebylo moc efektivní, a hned v druhé to navrhuješ!
ping
s DNS jménem, stáhnou se klíče od všech nadřazených domén až ke kořeni a ověří a po 1 sekundě ping ukončíte – takže to ověřování DNSSEC vyvolalo řádově víc síťového provozu, než ping. Za chvilku si vzpomenete, že ten ping chcete nechat běžet dýl, znovu ho spustíte a bude se to ověřovat celé znovu. Lepší by bylo mít ty údaje nakešované alespoň v rámci lokálního počítače – ať už prostřednictvím lokálního validujícího resolveru, nebo třeba přes NSS s keší.
centralizované struktury, v nichž neexistuje jedno kritické místo.Jako oxymorón do básničky by to bylo hezké.
DNS je nádherný příklad, neexistuje za 30 let žádný útok, který by DNS nějak vyřadil.Díky decentralizaci, že?
Stejně tak představa, že se někdo bude probourávat do trezoru v ICANNu, aby ukradl Hardware security modul (ale ten by mu v podstatě stejně na nic nebyl).To je dost naivní představa. Život bývá mnohem jednodušší.
Distribuované systémy pro "network of trust" mají zase tu základní nevýhodu, že důvěra je pouze pravděpodobností.Kteroužto základní nevýhodu už z definice sdílení s centralizovanými, tudíž to pro srovnání nemá velký význam.
Tiskni Sdílej: