Byla vydána verze R14.1.2 desktopového prostředí Trinity Desktop Environment (TDE, fork KDE 3.5). Přehled novinek v poznámkách k vydání, podrobnosti v seznamu změn.
Dnešním dnem lze již také v Česku nakupovat na Google Store (telefony a sluchátka Google Pixel).
Apple představil (keynote) iPad Pro s čipem Apple M4, předělaný iPad Air ve dvou velikostech a nový Apple Pencil Pro.
Richard Biener oznámil vydání verze 14.1 (14.1.0) kolekce kompilátorů pro různé programovací jazyky GCC (GNU Compiler Collection). Jedná se o první stabilní verzi řady 14. Přehled změn, nových vlastností a oprav a aktualizovaná dokumentace na stránkách projektu. Některé zdrojové kódy, které bylo možné přeložit s předchozími verzemi GCC, bude nutné upravit.
Free Software Foundation zveřejnila ocenění Free Software Awards za rok 2023. Vybráni byli Bruno Haible za dlouhodobé příspěvky a správu knihovny Gnulib, nováček Nick Logozzo za front-end Parabolic pro yt-dlp a tým Mission logiciels libres francouzského státu za nasazování svobodného softwaru do praxe.
Před 10 lety Microsoft dokončil akvizici divize mobilních telefonů společnosti Nokia a pod značkou Microsoft Mobile ji zanedlouho pohřbil.
Fedora 40 release party v Praze proběhne v pátek 17. května od 18:30 v prostorách společnosti Etnetera Core na adrese Jankovcova 1037/49, Praha 7. Součástí bude program kratších přednášek o novinkách ve Fedoře.
Stack Overflow se dohodl s OpenAI o zpřístupnění obsahu Stack Overflow pro vylepšení OpenAI AI modelů.
AlmaLinux byl vydán v nové stabilní verzi 9.4 (Mastodon, 𝕏). S kódovým názvem Seafoam Ocelot. Přehled novinek v příspěvku na blogu a v poznámkách k vydání.
Před 50 lety, 5. května 1974 v žurnálu IEEE Transactions on Communications, Vint Cerf a Bob Kahn popsali protokol TCP (pdf).
23.3.2022 10:37
Max | skóre: 72
| blog: Max_Devaine
23.3.2022 11:50
Max | skóre: 72
| blog: Max_Devaine
23.3.2022 12:36
Max | skóre: 72
| blog: Max_Devaine
27.3.2022 13:52
Josef Kufner | skóre: 70
24.3.2022 23:10
Jendа | skóre: 78
| blog: Jenda
| JO70FB
25.3.2022 11:50
Jendа | skóre: 78
| blog: Jenda
| JO70FB
25.3.2022 08:22
Max | skóre: 72
| blog: Max_Devaine
25.3.2022 21:14
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Zazil jsem dobu...... a ta doba je za námi. Pokud to vašim uživatelům stačí, budiž. Pokud to jako správci těch služeb stačí vám, nejste dobrý správce, protože nenabízíte to nejlepší, co lze stejně snadno nabídnout. (Což vám samozřejmě nemusí vadit, to je skutečně jen na vás a na tom, jak moc si ceníte pocitu dobře odvedené práce.)
Nevim proc bych nemel chtit, aby si lide maily stahovali. V terenu jim jsou na serveru k nicemu.Nemáte jediného uživatele, který by chtěl mít přístup k poště na telefonu i stolním počítači? Notebooku i počítači? Co znamená, že jsou v terénu na serveru k ničemu - není to náhodou, že neumíte nastavit poštovní klient, aby poštu synchronizoval na lokální úložiště?
24.3.2022 23:05
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Analogicky pro odesialni "brana.firma.cz", port 25To je špatně, pro odesílání se používá SMTP submission, porty 465 a 587 (dle TLS/STARTTLS). Port 25 bývá pro uživatele často blokovaný, protože přes něj lze posílat spam napřímo do serveru příjemce. (ale s problémem to nesouvisí)
Takze uzivatel si doma prenastavi Thunderbirda na 192.168.1.1, vyskoci na nej schvaleni vyjimky, ze server je "192.168.1.1" ale certifikat je na "brana.firma.cz", on to schvali a jsme tam, kde jsme byli. Ma to nejake rozumne reseni?Ne. Můžeš mít zvlášť smtp.firma.cz a pop.firma.cz, přičemž to druhé bude mít 192.168.1.1. Thunderbird má úplně zvlášť přijímací a posílací server, takže pohoda. Ale to nefunguje pokud uživatelovo DNS dělá rebinding protection - což dělá OpenWRT v defaultu. (certifikát na doménu s 192.168.1.1 si vystavíš… no, asi přes DNS ověření u letsencrypt)
Zatim nemam odvahu povolovat pop3 i zvenku (ty lidi tam maji nastaveny fakt trapny hesla). Na druhou stranu smtp je otevrene do sveta a taky zijeme.Osobně si myslím že na SMTP se útočí mnohem víc, minimálně necílené útoky - protože to jde zneužívat pro spamy. Na pop se útočí cíleně, pokud chceš ukrást firemní knowhow (a nebo ho zašifrovat a chtít ransom, ale lidi ty maily asi budou mít stažené u sebe) Jinak doporučuju implementovat limit počtu mailů na jednoho uživatele. Existuje na to postfwd, ale bylo to příšerné. Ale jde to snad snadno naskriptovat úplně from scratch:
dáš do konfigurace postfixu smtpd_recipient_restrictions = check_policy_service inet:127.0.0.1:10040 na ten port ti pak s každým mailem přijde sender=owner-postfix-users@postfix.org client_name=english-breakfast.cloud9.net client_address=168.100.1.7 sasl_username=xx (a další údaje) <prázdný řádek> ty na to odpovíš action=DUNNO resp. ACCEPT/DENY/REJECT(?) a počítáš kolik kdo poslal mailů - spammer → tisíce za hodinu. A pak odpovídáš REJECT a pošleš mail adminovi ať to řeší
24.3.2022 23:17
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Certifikáty se mají aktualizovat zcela automtaicky, každé cca 2 měsíce. (LetsEncrypt je obvykle vydává na 3 měsíce, takže 2 měsíce jsou tak akorát s nějakým prostorem pro řešení neobvyklých situací, nastanou-li zpočátku nějaké.)
Tohle^^^ všechno samozřejmě musí být zcela automatizované, jinak je to děsivý opruz, na který bude správce soustavně zapomínat. Nejjednodušší implementace je třeba nějaký systemd timer, který se každý den podívá, jestli by se „stavový stroj“ pro rotaci klíčů nedal posunout o kousek dál. Například: Tady máme už týden publikovaný nový klíč v TLSA, pojďme nasadit nový klíč na serveru. Tuhle zase máme už týden nový klíč na serveru, pojďme odstranit starý klíč z TLSA. A onde zase máme už 8 týdnů stabilně stejný certifikát, pojďme si od LetsEncrypt vyžádat nový. Atd. atp.
Další podobný mechanismus rotace by měl být taky pro DKIM klíče a DKIM záznamy. Obvykle se DKIM záznamy číslují (a můžou se jmenovat libovolně, protože odkaz na DKIM záznam je v mailech samotných) a nechávají se v DNS tak čtyři — jeden budoucí, jeden současný a dva minulé. (Další rozdíl oproti TLS + TLSA je ten, že u DKIM neexistuje důvod používat klíče související s LetsEncrypt certifikáty; klíče můžou být zcela libovolně lokálně vygenerované.)
Vzhledem k tomu, že testy na internet.nl prověřují spíš nutné než postačující nastavení serveru, pod 100% bych já osobně asi nešel. Ano, je pravda, že spousty veřejně známých mailových domén tam 100% nemají, nicméně jejich správci většinou vedou v patrnosti, proč jim ten či onen nedostatek projde. Nedostatky velkého poskytovatele mailu jsou leckdy ostatními velkými poskytovateli tolerované, aby se maily příliš neztrácely. Menší a soukromě provozovaný mail server takový luxus a vliv nemá a měl by být nastavený v co nejlepším souladu s „best practices“ (které se pochopitelně pomalu mění, takže 100% dnes nezaručuje 100% za rok; pořád je tam nějaká práce).
Co se tyka ipsec a ipv6, tak to jsou temata, na kterych se neshodneme.
Tohle není věc názoru a/nebo shody. Zkrátka, IPv6 je internet, zatímco IPv4 je paskvilozmetek z roku 1975, který byl jakýmsi nepodařeným experimentem a nebylo vůbec zamýšleno, že se bude globálně a veřejně používat s takovými adresami, jakými později nechvalně proslul. Nemít IPv6 v podstatě znamená nemít server připojený k internetu.
Nemluvě o tom, že IPSec a IPv6 zajistí bezproblémové routování do jakékoliv sítě, ať už soukromé a dostupné jen skrz VPN nebo zcela veřejné, a nedojde nikdy ke konfliktu adres. Různé zoufalé VPN servery, které klientům přidělí telefonní číslo 192.168.1.x/24, které ovšem mají někteří i na domácím routeru a pak jim nic nefunguje, by měly být věcí minulosti. VPN s IPv6 a s unikátním veřejným (jakým jiným!) rozsahem adres bude fungovat vždy a všude, bez ohledu na to, jaký IPv6 rozsah má uživatel doma. (A tunel s IPv6 může vést i skrz IPv4, čímž navíc odpadne (pořád ještě sporadicky existující) problém typu „nemám internet“ (== „nemám IPv6“).)
28.3.2022 19:35
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Tohle není věc názoru a/nebo shody.Ano, navíc v tomto případě mu IPv6 řeší problém -- zatímco RFC1918 adresu nemůže do veřejného DNS dát, protože bývají filtrovány některými resolvery, tak u IPv6 AFAIK žádný takový problém není. Takže mu stačí dát tu adresu do DNS, nastavit aby se routovala přes VPN a vyřešeno.
(pripoji se exoticky klient k serveru) S: 220 brana.firma.cz ... C: EHLO User (doslova) S: 250-brana.firma.cz (vycet vcetne STARTTLS) C: RSET S: 250 Reset OK C: AUTH LOGIN S: 503 AUTH command used when not advertised C: QUIT S: 221 ... (+ TCP FIN)Vypada to, ze exim v debianu to ma asi nejak poreseno.
Tam se nic aktualizovat nemusi. U sebe mam tajny klic, v dns mam verejny a tak to bude na veky veku.Mám zato, že v tomto se mýlíte. Respektive samozřejmě to tak můžete udělat, ale pokud vím, teorie je taková, že čím víc dat s tím klíčem podepíše, tím větší šance je prolomit ten klíč. A jestli si dobře pamatuju, tak Google někdy někde psal, že budou vyžadovat pravidelné obměny toho klíče - respektive k mailům, které jsou podepsány pořád tím samým, se budou chovat, jako by to DKIM podpis nemělo.
Tiskni
Sdílej:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz