Bylo oznámeno vydání nové verze 8.1 "Hoare" kolekce svobodného softwaru umožňujícího nahrávání, konverzi a streamovaní digitálního zvuku a obrazu FFmpeg (Wikipedie). Doprovodný příspěvek na blogu Khronosu rozebírá kódování a dekódování videa pomocí Vulkan Compute Shaders v FFmpeg.
Byl představen open-source a open-hardware prototyp nízkonákladového raketometu kategorie MANPADS, který byl sestaven z běžně dostupné elektroniky a komponent vytištěných na 3D tiskárně. Raketa využívá skládací stabilizační křidélka a canardovou stabilizaci aktivně řízenou palubním letovým počítačem ESP32, vybaveným inerciální měřicí jednotkou MPU6050 (gyroskop a akcelerometr). Přenosné odpalovací zařízení obsahuje GPS,
… více »Vědci z univerzity La Sapienza v Římě vyvinuli systém, který dokáže identifikovat jednotlivce pouze na základě toho, jak narušují signály Wi-Fi. Autoři tuto novou technologii nazvali WhoFi. Na rozdíl od tradičních biometrických systémů, jako jsou skenery otisků prstů a rozpoznávání obličeje, nevyžaduje tato metoda přímý fyzický kontakt ani vizuální vstupy. WhoFi může také sledovat jednotlivce na větší ploše než kamera s pevnou polohou; stačí, je-li k dispozici Wi-Fi síť.
SuperTux (Wikipedie), tj. klasická 2D plošinovka inspirovaná sérií Super Mario, byl vydán v nové verzi 0.7.0. Videoukázka na YouTube. Hrát lze i ve webovém prohlížeči.
Ageless Linux je linuxová distribuce vytvořená jako politický protest proti kalifornskému zákonu o věkovém ověřování uživatelů na úrovni OS (AB 1043). Kromě běžného instalačního obrazu je k dispozici i konverzní skript, který kompatibilní systém označí za Ageless Linux a levné jednodeskové počítače v ceně 12$ s předinstalovaným Ageless Linuxem, které se chystají autoři projektu dávat dětem. Ageless Linux je registrován jako operační
… více »PimpMyGRC upravuje vzhled toolkitu GNU Radio a přidává alternativní barevná témata. Primárním cílem autora bylo pouze vytvořit tmavé prostředí vhodné pro noční práci, nicméně k dispozici je nakonec celá škála barevných schémat včetně možností různých animací a vizuálních efektů (plameny, matrix, bubliny...), které nepochybně posunou uživatelský zážitek na zcela jinou úroveň. Témata jsou skripty v jazyce Python, které nahrazují
… více »GIMP 3.2 byl oficiálně vydán (Mastodon, 𝕏). Přehled novinek v poznámkách k vydání.
FRANK OS je open-source operační systém pro mikrokontrolér RP2350 (s FRANK M2 board) postavený na FreeRTOS, který přetváří tento levný čip na plně funkční počítač s desktopovým uživatelským rozhraním ve stylu Windows 95 se správcem oken, terminálem, prohlížečem souborů a knihovnou aplikací, ovládaný PS/2 myší a klávesnicí, s DVI video výstupem. Otázkou zůstává, zda by 520 KB SRAM stačilo každému 😅.
Administrativa amerického prezidenta Donalda Trumpa by měla dostat zhruba deset miliard dolarů (asi 214 miliard Kč) za zprostředkování dohody o převzetí kontroly nad aktivitami sociální sítě TikTok ve Spojených státech.
Projekt Debian aktualizoval obrazy stabilní větve „Trixie“ (13.4). Shrnuje opravy za poslední dva měsíce, 111 aktualizovaných balíčků a 67 bezpečnostních hlášení. Opravy se týkají mj. chyb v glibc nebo webovém serveru Apache.
4.4.2016 13:24
Hans1024 | skóre: 5
| blog: hansovo
6.4.2016 16:44
Hans1024 | skóre: 5
| blog: hansovo
6.4.2016 18:00
Hans1024 | skóre: 5
| blog: hansovo
Jedna vec, kterou autori prohlizecu muzou udelat, je zkrouhnout API - treba zminovane sledovani kurzoru mysi je naprosta silenostWot? V čem je to naprostá šílenost? Opravdu mi není jasné, jak bys to chtěl využít. Jakákoli uživatelská interakce s danou stránkou se mnohem snáz monitoruje jinak a mimo stránku nemá javascript o kursoru informace. To už bych si spíš stěžoval na fingerprinting, v tomhle ohledu toho javascript poskytuje celkem hodně, nicméně pokud máš, jako většina lidí, povolené cookies, opět javascript v tomhle ohledu zas tak moc navíc IMHO neposkytne. Vzpomínáš na toplist.cz? Stačilo, když si stránky přidaly malé gifko od nich, a už sbírali statistiky...
6.4.2016 21:28
Hans1024 | skóre: 5
| blog: hansovo
"Fingerprint" ma prohlizec, pohyb mysi pomuze identifikovat primo cloveka, co prohlizec pouziva.[citation needed]
6.4.2016 22:55
Hans1024 | skóre: 5
| blog: hansovo
Rekl jsem neco, co neni zjevne? Neveris, ze funguje analyza chovani?Ale jistě, ale poměrně podstatná je praktická použitelnost. To máš jako s těma kryptoměnama - jasně, že teoreticky je možné použít JS na těžení, ale nikdo to reálně dělat nebude, protože to prostě je naprosto naprd z praktických důvodů. (Mohlo by to změnit WebCL, ale to zatím žádný browser AFAIK neplánuje.) O tom sledování kurzoru si myslím něco podobného. Takže, z mého pohledu, pokud někdo předvede funkční proof-of-concept, můžem se začít bavit. Do té doby to je čirá paranoia.
7.4.2016 12:44
Hans1024 | skóre: 5
| blog: hansovo
Delaji to i jine projektyTakhle funguje bezpečnost obecně a je to tak v pořádku - když chceš poukázat na bezpečnostní chybu, je potřeba dokázat, že to je bezpečnostní chyba. Což se dá udělat i tak, aby se k tomu script kiddies dostali pokud možnost pozdě. Kdyby se řešili bezpečnostní chyby, které jsou pouze v něčí hlavě, nedostali bychom se vůbec nikam...
7.4.2016 13:33
Hans1024 | skóre: 5
| blog: hansovo
Tohle je prave spatna bezpecnost, pasivni fixovani pruse*u. Spravne bys mel podle dostupnych informaci rozpoznat ze nejaka chyba je z "tridy" chyb, ktere muzou byt zneuzitelne, a nikoli cekat, az ji nekdo zneuzije. A taky by ses mel snazit takovym tridam chyb zabranit uz proaktivne pri navrhu programu.To se přece nijak nevylučuje a taky se o to pochopitelně většina vývojářů snaží, ale průser, který je potřeba fixnout až dodatečně, se většinou stejně najde, tak to prostě chodí. Řešit věci preventivně je fajn, ale vzít celou jednu užitečnou technologii a zahodit ji do koše jen pro to, že má někdo pocit (důkaz chybí), že by možná mohla být nějak zneužitelná, mi přijde trochu mimo...
8.4.2016 12:23
Hans1024 | skóre: 5
| blog: hansovo
... zkrouhnout API - treba zminovane sledovani kurzoru mysi je naprosta silenost, ale nanestesti velky podil u prohlizecu ma Google, velky zastance smirovani a presunu vseho na web.Predpokladam, ze nejste nucen k navstevovani stranek, ktere sleduji a analyzuji a identifikuji vas podle pohybu mysi. Nicmene mapova aplikace, ktera sleduje pohyb mysi po mape a zobrazuje v jinem grafickem prvku zvetseninu, nebo obecne napriklad funkcnost kdy pohybem mysi po obrazku vidite ve vyrezu vedle zvetseninu by se bez sledovani pozice kursoru mysi obesla tezko. Veci, ktere se vam zdaji zneuzitelne (a nerikam ze nemohou, ale zneuzitelne je kde co - i sledovani vaseho okna v baraku kdy svitite a v kolik chodite spat a kdy nejste doma) mohou byt v nekterych aplikacich pouzitelne. Pokud by uzivatel zakazal sledovani kursoru mysi v takove aplikaci, prijde o moznost tak nejak pohodlnejsiho sledovani vyrezu. Stale muze stahnout vetsi variantu fotky ale pro nektere je treba mnou popisovana funkce praktictejsi a mohli by byt obtezovani nutnosti hledat kde v prohlizeci tuto vlastnost povolit a nebo by byli obtezovani prohlizecem kazdou pitominou typu chcete pro tento web povolit sledovani pohybu mysi? Ano / Ne. Neco jako ten EU cookie spam kdy mame weby prekryte debilni hlaskou, kterou neustale dokola na ruznych webech ktere jsme jeste nenavstivili, nebo pri pristupu z ruznych pocitacu, inkognito oken atd, odklikavame s tim, ze rozumim tomu, ze tento web pouziva cookies. No jasne ze pouziva a vim o tom a uz me s tim prosim dopr*ele dohaj*lu prestante otravovat uplne vsude. Tohle je vicemene vysledek. Klidne at existuje plugin, kde si paranoidni uzivatel zakaze vsechno co zakazat jde. Proc ne. Treba na urovni vlastnosti jednotlivych JS objektu, ale jen at s tim nejsou otravovani vsichni. Viz cookies.
6.4.2016 21:59
Hans1024 | skóre: 5
| blog: hansovo
7.4.2016 13:21
Hans1024 | skóre: 5
| blog: hansovo
7.4.2016 13:18
Hans1024 | skóre: 5
| blog: hansovo
7.4.2016 13:24
Hans1024 | skóre: 5
| blog: hansovo
6.4.2016 18:58
mirec | skóre: 32
| blog: mirecove_dristy
| Poprad
Zakázať javascript globálne, vyžadovať od používateľa explicitné povolenie, keď tam niekto nakydá js z rôznych CDN kľudne klikať aj 135x.
Bežné informačné weby by tak mohli byť bez js, webové aplikácie si pri prvom použití povolím..
5.4.2016 22:48
paul2no | skóre: 16
| blog: Paulovo doupě
| Praha
Škoda jen, že ty moderní weby pak bez javascriptu vůbec nefungujou.Hm, ba co hůř, nefungujou pořádně už ani bez HTTP.
4.4.2016 13:37
Hans1024 | skóre: 5
| blog: hansovo
4.4.2016 15:34
Hans1024 | skóre: 5
| blog: hansovo
Ja treba k drtive vetsine veci, co na webu delam, javascript nepotrebuju.Stejně tak by se našli lidé, kteří nepotřbeují HTTP nebo CSS nebo technologii XY.
jako technicky spatne reseni, zvlast z hlediska bezpecnostiV čem je špatný z hlediska bezpečnosti? Mně to naopak přijde jako mnohem lepší řešení než dřívější technologie (Flash, JavaApplety), zejémna z hlediska bezpečnosti. Já teda osobně nejsem žádný extra velký fanoušek JavaScriptu, některé věcí mi tam chybí/vadí, ale celkově vzato mi to nepřijde jako špatná technologie. Naděje vkládám do WebAssembly, ale to se ti asi taky nebude líbit, předpokládám
4.4.2016 16:47
Hans1024 | skóre: 5
| blog: hansovo
Druha cast problemu je, ze poskytuje prilis velky utocny vektor a muze delat prilis mnoho veci. Umoznit cizim programum delat takove mnozstvi veci je sileneNevím, co máš přesně na mysli tím "příliš mnoho věcí", každopádně JS skript ti na tvém stroji neudělá vůbec nic a v tvém prohlížeči může něco dělat pouze na stránce, na které byl načten. Takže to je pak spíš otázka, jak moc věříš danému serveru, a tato otázka celkem nezávisí na tom, jestli ty stránky obsahují JS nebo ne...
I za predpokladu, ze se je nepodari zneuzit k exploitu, bezici JS kod toho muze udelat hodne nekaleho, jako sledovani uzivateleO co tě může JS sledovat víc, než třeba CSS skript nebo obrázek načtený z externího serveru?
nebo nejake vyuziti uzivatelova vykonu/internetu ke svym ucelumKdyž si dám na stránku
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz<img vedoucí na 30MB JPEG a ty tam vlezeš, tak ti to taky sežere bandwidth...
4.4.2016 19:54
Hans1024 | skóre: 5
| blog: hansovo
JS skript ti na tvém stroji neudělá vůbec nic a v tvém prohlížeči může něco dělat pouze na stránce, na které byl načten.Pouze za predpokladu, ze nikde neni zadny bug. V praxi je JS skvelym nastrojem pri exploitovani prohlizece. Obrovske API pro utocnika, obrovske mnozstvi nepredvidatelnych a tezko testovatelnych stavu, je naivni si myslet, ze vyvojari, kteri pracuji primarne na novych featurach a optimalizacich, neco takoveho zvladnou uhlidat. A JIT kompilace, se svym mapovanim rwx pameti je bezpecnostni katastrofa sama o sobe.
O co tě může JS sledovat víc, než třeba CSS skript nebo obrázek načtený z externího serveru?Identifikace analyzou chovani, treba sledovani kurzoru mysi.
Když si dám na stránku <img vedoucí na 30MB JPEG a ty tam vlezeš, tak ti to taky sežere bandwidth...Ale treba bitcoiny si nevytezis.
Pouze za predpokladu, ze nikde neni zadny bug. V praxi je JS skvelym nastrojem pri exploitovani prohlizece.Opravdu? A můžeš to podložit třeba nějakou statistikou, že v JS VM je zneužitelnější pro útoky, než ostatní komponenty prohlížeče? Ber v úvahu, že v minulosti stačily v prohlížeči pro code execution chyby třeba pouze v parsování HTML, dekódování grafiky různého druhu a podobně. Pokud se dobře pamatuju, nemalá část Pwn2Own chyb se obešla bez JS nebo bylo potřeba chyba jak v JS VM, tak i jinde.
Ale treba bitcoiny si nevytezis.
Něco takového by se pravděpodobně nevyplatilo ani Facebooku.
4.4.2016 23:01
Hans1024 | skóre: 5
| blog: hansovo
JavaScript prostě poskytuje obrovský potenciál k exploitaci.To není JavaScriptem, ale jeho implementacemi, jenž kladou vysoký důraz na rychlost místo na bezpečnost.
5.4.2016 13:23
mirec | skóre: 32
| blog: mirecove_dristy
| Poprad
Existuje niekoľko typov bezpečnostných chýb. Za najnebezpečnejšie považujem chyby, ktoré vedú k vzdialenému spusteniu kódu (hmm nemali by sa vlastne webové stránky, ktoré spúšťajú js kód volať exploity?).
No v každom prípade browser poskytuje skriptom len určité obmedzené prostriedky (rozhranie), ktoré môžu využívať. Kým je všetko bez chýb nemá skript možnosť uniknúť zo sandboxu a robiť si čo chce.
Potom tu máme chyby v rôznych knižniciach (jpeg, freetype ...), ktoré sú zlinkované s kadečím. Aká je vlastne reálna možnosť zneužitia takýchto chýb? V bežných aplikáciách nič moc. Povedzme, že sa nám podarí zapísať pomocou buffer overflowu ľubovoľné dáta na ľubovoľné miesto v pamäti. Ani takáto diera nemusí znamenať možnosť spustenia vlastného kódu pretože na úrovni prístupu k pamäti je stále ochrana, ktorá nedovolí zapisovať na stránky, z ktorých sa spúšťa kód. Na spustenie vlastného kódu musí byť pamäť zapisovateľná a zároveň mať executable flag čo je dosť exotická vec. Používa sa to hlavne pri JIT. Prítomnosť JIT kompilátora v prehliadači môže výrazne znížiť bezpečnosť aj keď sa chyba vyskytne v inej časti.
Potom tu máme chyby v rôznych knižniciach (jpeg, freetype ...), ktoré sú zlinkované s kadečím. Aká je vlastne reálna možnosť zneužitia takýchto chýb? V bežných aplikáciách nič moc.V browseru poměrně hodně vysoká, třeba v IE, ale i v dalších, bylo objeveno množství chyb vedoucích ke code execution pouze v kódu parsujícího HTML a CSS. Paměť s non-execute bitem se dá obejít, viz tady.
Prítomnosť JIT kompilátora v prehliadači môže výrazne znížiť bezpečnosť aj keď sa chyba vyskytne v inej časti.Souhlasím, nicméně zdaleka to IMHO není důvod pro takovouhle JS-fóbii.
5.4.2016 01:03
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Naděje vkládám do WebAssembly+1
významný speakerrekl bych, ze inteligence se z hlav lidstva vytraci a je nahrazovana vykriky do tmy ....
Tiskni
Sdílej:
