Odborníci z Penn State University zkoumají způsob ukládání informací na lepicí pásku. Principiálně by podle nich bylo možné kombinací odlepení a zpětného přilepení dosáhnout uložení informace, kterou opětovným odlepením dokážou přečíst. Výhodou je, že způsob uložení i přečtení je čistě mechanický. Zde o tom referují ve volně dostupném článku. Zajímavé bude sledovat zda se jim v rámci výzkumu podaří prokázat použitelnost i v jiné než
… více »Na GitHubu byl publikován reprodukovatelný návod, jak rozchodit Adobe Lightroom CC na Linuxu a Wine. Návod byl vytvořený pomocí AI Claude Code.
Pokud by někdo potřeboval Wayland kompozitor uvnitř počítačové hry Minecraft, aby mohl zobrazovat okna desktopových aplikací přímo v herním prostředí, může sáhnout po Waylandcraftu. Ukázka na YouTube.
Uroš Popović v krátkém článku vysvětluje, co jsou emulátor terminálu, TTY a shell a jaké jsou mezi nimi rozdíly. Jde o první díl seriálu na jeho novém webu Linux Field Guide věnovaném nízkoúrovňové práci s linuxovými systémy.
Byl vydán Debian 13.5, tj. pátá opravná verze Debianu 13 s kódovým názvem Trixie a Debian 12.14, tj. čtrnáctá opravná verze Debianu 12 s kódovým názvem Bookworm. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 13 a Debianu 12 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.
CiviCRM (Wikipedie) bylo vydáno v nové verzi 6.14.0. Podrobnosti o nových funkcích a opravách najdete na release stránce. CiviCRM je robustní open-source CRM systém navržený speciálně pro neziskové organizace, spolky a občanské iniciativy. Projekt je napsán v jazyce PHP a licencován pod GNU Affero General Public License (AGPLv3). Český překlad má nyní 45 % přeložených řetězců a přibližuje se milníku 50 %. Potřebujeme vaši pomoc, abychom se dostali dál. Pokud máte chuť přispět překladem nebo korekturou, přidejte se na platformu Transifex.
Další lokální zranitelností Linuxu je ssh-keysign-pwn. Uživatel si může přečíst obsah souborů, ke kterým má právo ke čtení pouze root, například soubory s SSH klíči nebo /etc/shadow. V upstreamu již opraveno [oss-security mailing list].
Singularity (YouTube) je nejnovější otevřený film od Blender Studia. Jedná se o jejich první 4K HDR film.
Vyšla hra Život Není Krásný: Poslední Exekuce (Steam, ProtonDB). Kreslená point & click adventura ze staré školy plná černého humoru a nekorektního násilí. Vžijte se do role zpustlého exekutora Vladimíra Brehowského a projděte s ním jeho poslední pracovní den. Hra volně navazuje na sérii Život Není Krásný.
Společnost Red Hat představila Fedora Hummingbird, tj. linuxovou distribuci s nativním kontejnerovým designem určenou pro vývojáře využívající AI agenty.
4.4.2016 13:24
Hans1024 | skóre: 5
| blog: hansovo
6.4.2016 16:44
Hans1024 | skóre: 5
| blog: hansovo
6.4.2016 18:00
Hans1024 | skóre: 5
| blog: hansovo
Jedna vec, kterou autori prohlizecu muzou udelat, je zkrouhnout API - treba zminovane sledovani kurzoru mysi je naprosta silenostWot? V čem je to naprostá šílenost? Opravdu mi není jasné, jak bys to chtěl využít. Jakákoli uživatelská interakce s danou stránkou se mnohem snáz monitoruje jinak a mimo stránku nemá javascript o kursoru informace. To už bych si spíš stěžoval na fingerprinting, v tomhle ohledu toho javascript poskytuje celkem hodně, nicméně pokud máš, jako většina lidí, povolené cookies, opět javascript v tomhle ohledu zas tak moc navíc IMHO neposkytne. Vzpomínáš na toplist.cz? Stačilo, když si stránky přidaly malé gifko od nich, a už sbírali statistiky...
6.4.2016 21:28
Hans1024 | skóre: 5
| blog: hansovo
"Fingerprint" ma prohlizec, pohyb mysi pomuze identifikovat primo cloveka, co prohlizec pouziva.[citation needed]
6.4.2016 22:55
Hans1024 | skóre: 5
| blog: hansovo
Rekl jsem neco, co neni zjevne? Neveris, ze funguje analyza chovani?Ale jistě, ale poměrně podstatná je praktická použitelnost. To máš jako s těma kryptoměnama - jasně, že teoreticky je možné použít JS na těžení, ale nikdo to reálně dělat nebude, protože to prostě je naprosto naprd z praktických důvodů. (Mohlo by to změnit WebCL, ale to zatím žádný browser AFAIK neplánuje.) O tom sledování kurzoru si myslím něco podobného. Takže, z mého pohledu, pokud někdo předvede funkční proof-of-concept, můžem se začít bavit. Do té doby to je čirá paranoia.
7.4.2016 12:44
Hans1024 | skóre: 5
| blog: hansovo
Delaji to i jine projektyTakhle funguje bezpečnost obecně a je to tak v pořádku - když chceš poukázat na bezpečnostní chybu, je potřeba dokázat, že to je bezpečnostní chyba. Což se dá udělat i tak, aby se k tomu script kiddies dostali pokud možnost pozdě. Kdyby se řešili bezpečnostní chyby, které jsou pouze v něčí hlavě, nedostali bychom se vůbec nikam...
7.4.2016 13:33
Hans1024 | skóre: 5
| blog: hansovo
Tohle je prave spatna bezpecnost, pasivni fixovani pruse*u. Spravne bys mel podle dostupnych informaci rozpoznat ze nejaka chyba je z "tridy" chyb, ktere muzou byt zneuzitelne, a nikoli cekat, az ji nekdo zneuzije. A taky by ses mel snazit takovym tridam chyb zabranit uz proaktivne pri navrhu programu.To se přece nijak nevylučuje a taky se o to pochopitelně většina vývojářů snaží, ale průser, který je potřeba fixnout až dodatečně, se většinou stejně najde, tak to prostě chodí. Řešit věci preventivně je fajn, ale vzít celou jednu užitečnou technologii a zahodit ji do koše jen pro to, že má někdo pocit (důkaz chybí), že by možná mohla být nějak zneužitelná, mi přijde trochu mimo...
8.4.2016 12:23
Hans1024 | skóre: 5
| blog: hansovo
... zkrouhnout API - treba zminovane sledovani kurzoru mysi je naprosta silenost, ale nanestesti velky podil u prohlizecu ma Google, velky zastance smirovani a presunu vseho na web.Predpokladam, ze nejste nucen k navstevovani stranek, ktere sleduji a analyzuji a identifikuji vas podle pohybu mysi. Nicmene mapova aplikace, ktera sleduje pohyb mysi po mape a zobrazuje v jinem grafickem prvku zvetseninu, nebo obecne napriklad funkcnost kdy pohybem mysi po obrazku vidite ve vyrezu vedle zvetseninu by se bez sledovani pozice kursoru mysi obesla tezko. Veci, ktere se vam zdaji zneuzitelne (a nerikam ze nemohou, ale zneuzitelne je kde co - i sledovani vaseho okna v baraku kdy svitite a v kolik chodite spat a kdy nejste doma) mohou byt v nekterych aplikacich pouzitelne. Pokud by uzivatel zakazal sledovani kursoru mysi v takove aplikaci, prijde o moznost tak nejak pohodlnejsiho sledovani vyrezu. Stale muze stahnout vetsi variantu fotky ale pro nektere je treba mnou popisovana funkce praktictejsi a mohli by byt obtezovani nutnosti hledat kde v prohlizeci tuto vlastnost povolit a nebo by byli obtezovani prohlizecem kazdou pitominou typu chcete pro tento web povolit sledovani pohybu mysi? Ano / Ne. Neco jako ten EU cookie spam kdy mame weby prekryte debilni hlaskou, kterou neustale dokola na ruznych webech ktere jsme jeste nenavstivili, nebo pri pristupu z ruznych pocitacu, inkognito oken atd, odklikavame s tim, ze rozumim tomu, ze tento web pouziva cookies. No jasne ze pouziva a vim o tom a uz me s tim prosim dopr*ele dohaj*lu prestante otravovat uplne vsude. Tohle je vicemene vysledek. Klidne at existuje plugin, kde si paranoidni uzivatel zakaze vsechno co zakazat jde. Proc ne. Treba na urovni vlastnosti jednotlivych JS objektu, ale jen at s tim nejsou otravovani vsichni. Viz cookies.
6.4.2016 21:59
Hans1024 | skóre: 5
| blog: hansovo
7.4.2016 13:21
Hans1024 | skóre: 5
| blog: hansovo
7.4.2016 13:18
Hans1024 | skóre: 5
| blog: hansovo
7.4.2016 13:24
Hans1024 | skóre: 5
| blog: hansovo
6.4.2016 18:58
mirec | skóre: 32
| blog: mirecove_dristy
| Poprad
Zakázať javascript globálne, vyžadovať od používateľa explicitné povolenie, keď tam niekto nakydá js z rôznych CDN kľudne klikať aj 135x.
Bežné informačné weby by tak mohli byť bez js, webové aplikácie si pri prvom použití povolím..
5.4.2016 22:48
paul2no | skóre: 16
| blog: Paulovo doupě
| Praha
Škoda jen, že ty moderní weby pak bez javascriptu vůbec nefungujou.Hm, ba co hůř, nefungujou pořádně už ani bez HTTP.
4.4.2016 13:37
Hans1024 | skóre: 5
| blog: hansovo
4.4.2016 15:34
Hans1024 | skóre: 5
| blog: hansovo
Ja treba k drtive vetsine veci, co na webu delam, javascript nepotrebuju.Stejně tak by se našli lidé, kteří nepotřbeují HTTP nebo CSS nebo technologii XY.
jako technicky spatne reseni, zvlast z hlediska bezpecnostiV čem je špatný z hlediska bezpečnosti? Mně to naopak přijde jako mnohem lepší řešení než dřívější technologie (Flash, JavaApplety), zejémna z hlediska bezpečnosti. Já teda osobně nejsem žádný extra velký fanoušek JavaScriptu, některé věcí mi tam chybí/vadí, ale celkově vzato mi to nepřijde jako špatná technologie. Naděje vkládám do WebAssembly, ale to se ti asi taky nebude líbit, předpokládám
4.4.2016 16:47
Hans1024 | skóre: 5
| blog: hansovo
Druha cast problemu je, ze poskytuje prilis velky utocny vektor a muze delat prilis mnoho veci. Umoznit cizim programum delat takove mnozstvi veci je sileneNevím, co máš přesně na mysli tím "příliš mnoho věcí", každopádně JS skript ti na tvém stroji neudělá vůbec nic a v tvém prohlížeči může něco dělat pouze na stránce, na které byl načten. Takže to je pak spíš otázka, jak moc věříš danému serveru, a tato otázka celkem nezávisí na tom, jestli ty stránky obsahují JS nebo ne...
I za predpokladu, ze se je nepodari zneuzit k exploitu, bezici JS kod toho muze udelat hodne nekaleho, jako sledovani uzivateleO co tě může JS sledovat víc, než třeba CSS skript nebo obrázek načtený z externího serveru?
nebo nejake vyuziti uzivatelova vykonu/internetu ke svym ucelumKdyž si dám na stránku
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz<img vedoucí na 30MB JPEG a ty tam vlezeš, tak ti to taky sežere bandwidth...
4.4.2016 19:54
Hans1024 | skóre: 5
| blog: hansovo
JS skript ti na tvém stroji neudělá vůbec nic a v tvém prohlížeči může něco dělat pouze na stránce, na které byl načten.Pouze za predpokladu, ze nikde neni zadny bug. V praxi je JS skvelym nastrojem pri exploitovani prohlizece. Obrovske API pro utocnika, obrovske mnozstvi nepredvidatelnych a tezko testovatelnych stavu, je naivni si myslet, ze vyvojari, kteri pracuji primarne na novych featurach a optimalizacich, neco takoveho zvladnou uhlidat. A JIT kompilace, se svym mapovanim rwx pameti je bezpecnostni katastrofa sama o sobe.
O co tě může JS sledovat víc, než třeba CSS skript nebo obrázek načtený z externího serveru?Identifikace analyzou chovani, treba sledovani kurzoru mysi.
Když si dám na stránku <img vedoucí na 30MB JPEG a ty tam vlezeš, tak ti to taky sežere bandwidth...Ale treba bitcoiny si nevytezis.
Pouze za predpokladu, ze nikde neni zadny bug. V praxi je JS skvelym nastrojem pri exploitovani prohlizece.Opravdu? A můžeš to podložit třeba nějakou statistikou, že v JS VM je zneužitelnější pro útoky, než ostatní komponenty prohlížeče? Ber v úvahu, že v minulosti stačily v prohlížeči pro code execution chyby třeba pouze v parsování HTML, dekódování grafiky různého druhu a podobně. Pokud se dobře pamatuju, nemalá část Pwn2Own chyb se obešla bez JS nebo bylo potřeba chyba jak v JS VM, tak i jinde.
Ale treba bitcoiny si nevytezis.
Něco takového by se pravděpodobně nevyplatilo ani Facebooku.
4.4.2016 23:01
Hans1024 | skóre: 5
| blog: hansovo
JavaScript prostě poskytuje obrovský potenciál k exploitaci.To není JavaScriptem, ale jeho implementacemi, jenž kladou vysoký důraz na rychlost místo na bezpečnost.
5.4.2016 13:23
mirec | skóre: 32
| blog: mirecove_dristy
| Poprad
Existuje niekoľko typov bezpečnostných chýb. Za najnebezpečnejšie považujem chyby, ktoré vedú k vzdialenému spusteniu kódu (hmm nemali by sa vlastne webové stránky, ktoré spúšťajú js kód volať exploity?).
No v každom prípade browser poskytuje skriptom len určité obmedzené prostriedky (rozhranie), ktoré môžu využívať. Kým je všetko bez chýb nemá skript možnosť uniknúť zo sandboxu a robiť si čo chce.
Potom tu máme chyby v rôznych knižniciach (jpeg, freetype ...), ktoré sú zlinkované s kadečím. Aká je vlastne reálna možnosť zneužitia takýchto chýb? V bežných aplikáciách nič moc. Povedzme, že sa nám podarí zapísať pomocou buffer overflowu ľubovoľné dáta na ľubovoľné miesto v pamäti. Ani takáto diera nemusí znamenať možnosť spustenia vlastného kódu pretože na úrovni prístupu k pamäti je stále ochrana, ktorá nedovolí zapisovať na stránky, z ktorých sa spúšťa kód. Na spustenie vlastného kódu musí byť pamäť zapisovateľná a zároveň mať executable flag čo je dosť exotická vec. Používa sa to hlavne pri JIT. Prítomnosť JIT kompilátora v prehliadači môže výrazne znížiť bezpečnosť aj keď sa chyba vyskytne v inej časti.
Potom tu máme chyby v rôznych knižniciach (jpeg, freetype ...), ktoré sú zlinkované s kadečím. Aká je vlastne reálna možnosť zneužitia takýchto chýb? V bežných aplikáciách nič moc.V browseru poměrně hodně vysoká, třeba v IE, ale i v dalších, bylo objeveno množství chyb vedoucích ke code execution pouze v kódu parsujícího HTML a CSS. Paměť s non-execute bitem se dá obejít, viz tady.
Prítomnosť JIT kompilátora v prehliadači môže výrazne znížiť bezpečnosť aj keď sa chyba vyskytne v inej časti.Souhlasím, nicméně zdaleka to IMHO není důvod pro takovouhle JS-fóbii.
5.4.2016 01:03
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Naděje vkládám do WebAssembly+1
významný speakerrekl bych, ze inteligence se z hlav lidstva vytraci a je nahrazovana vykriky do tmy ....
Tiskni
Sdílej:
