Man Yue Mo z GitHub Security Lab se podrobně rozepsal o již opravené zranitelnosti CVE-2023-6241 v Arm Mali GPU umožňující získání roota na telefonu Pixel 8 s povoleným MTE (Memory Tagging Extension).
V San José probíhá vývojářská konference NVIDIA GTC 2024. CEO společnosti NVIDIA Jensen Huang měl dvouhodinovou keynote, ve které představil celou řadu novinek: NVIDIA Blackwell platform, NVIDIA NIM microservices, NVIDIA Omniverse Cloud APIs, Project GR00T, …
Byly zpracovány a na YouTube zveřejněny videozáznamy jednotlivých přednášek z letošního Installfestu.
Od 21. do 23. března proběhnou Arduino Days 2024. Sledovat bude možné oficiální streamy. Zúčastnit se lze i lokálních akcí. V Česku jsou aktuálně registrovány dvě: v Praze na Matfyzu a v Poličce v městské knihovně.
Letošní ročník konference LinuxDays se uskuteční o víkendu 12. a 13. října, opět se potkáme v pražských Dejvicích na FIT ČVUT. Také během letošního ročníku nás budou čekat desítky přednášek, workshopy, stánky a spousta doprovodného programu. Aktuální dění můžete sledovat na Twitteru, Facebooku nebo na Mastodonu, přidat se můžete také do telegramové diskusní skupiny.
Byla vydána nová major verze 2.0.0 a krátce na to opravné verze 2.0.1 open source online editoru Etherpad (Wikipedie) umožňujícího společné úpravy v reálném čase.
Matematický software GNU Octave byl vydán ve verzi 9.1.0. Podrobnosti v poznámkách k vydání. Nově je preferovaný grafický backend Qt a preferovaná verze Qt 6. V tomto vydání byly přepracovány funkce pro převod čísel z desítkové soustavy. Jako obvykle jsou zahrnuta také výkonnostní vylepšení a zlepšení kompatibility s Matlabem.
Společnost PINE64 stojící za telefony PinePhone nebo notebooky Pinebook publikovala na svém blogu březnový souhrn novinek. Vypíchnout lze, že pracují na virtuálním asistentu PineVox a zatím bezejmenných sluchátkách na lícní kosti (bone conduction).
Hyprland, kompozitor pro Wayland zaměřený na dláždění okny a zároveň grafické efekty, je již dva roky starý. Při té příležitosti byla vydána verze 0.37.0 (a záhy opravná 0.37.1 řešící chybu ve vykreslování oken). Nově závisí na knihovně hyprcursor, která poskytuje škálovatelné kurzory myši.
Vývojáři OpenBSD nedávno forkli OpenSSL za účelem pročištění, odlehčení a opravy chyb. Nyní má tento projekt jméno a oficiální stránku. Po dokončení "čistky" je plánována i podpora jiných operačních systémů (kromě OpenBSD).
Tiskni Sdílej:
Jak myslíš, ale podívej se do nich, aby tam byl wrapper na wrapper pro wrapper na alokaci paměti přeš několik #define a navíc se pravděpodobně ani nevyužívají (dedukuji podle některých komentářů), tak to zrovna přehlednosti nepřidá. Nemluvě o tom co jsem hledal dál a sekl jsem s tím…
Úmysly byly možná správné a odůvodněné, ale fčil by to chtělo vyčistit - čím méně kódu, tím lépe.
Osobne davam prednost tomu, ze definice jsou na jednom miste, takze clovek pak hned vi, kam se jit podivat a nemusi jak trotl prolezat hromadu kodu.Pokud jsou definice na jednom místě, tak to časem vede na to, že jsou na jiném místě než kde se budou používat, což vede právě na to, že je člověk musí věčně hledat. A ukrutně to komplikuje podmínečnou kompilaci.
Pokud jsou definice na jednom místě, tak to časem vede na to, že jsou na jiném místě než kde se budou používat, což vede právě na to, že je člověk musí věčně hledat.Ještě štěstí, že existují textové editory, které definici umí zobrazit inplace.
A ukrutně to komplikuje podmínečnou kompilaci.To je pravda.
Tak mi prosim nekdo ukazte slusne velky projekt, ktery ma nadherne ciste a krasne prehledne zdrojaky, ve kterych se kazdy vyzna. Aby lidi vedeli, jak se to teda ma delatJe jich mnoho, z těch, do kterých jsem koukal já např.:
Linux kernel (C, Assembler)
No… jak která část.
Nejen v Linuxu, když na to přišlo, klidně ignoroval i RFC nebo cokoli jiného, co nezapadalo do jeho představy, jak by svět měl fungovatNějaké příklady?
tinydns doesn't use BIND-ese zone formatTo je porušení RFC? A i kdyby jo, tak +1 pro DJB, protože BIND formát je hnus. Veselá je ta poznámka v původním článku, že jde snadno převést tinydns data do BIND formátu - schválně si to zkuste obráceně (tím mám na mysli jakékoliv strojové zpracování BIND formátu, je už jedno, za jakým účelem)
Please apply IPv6 patches to djbdnsTohle je taky porušení RFC? A i kdyby bylo, djbdns IPv6 záznamy vracet umí. Ostatní možná OK, i když mi ty články přijdou jako "nemám rád djbdns, tak si najdu pár porušení RFC a k tomu napíšu hromadu věcí, aby celkový stav vyzněl ještě hůř, než jaký ve skutečnosti je"
Ale pokud opravdu chcete tvrdit, že podpora IPv6 v djbdns je dostatečnáNechci, konfigurovalo by se to blbě. Nicméně pokud by někdo chtěl tvrdit "djbdns porušuje RFC, protože neumí AAAA záznamy", kecá.
- Ale pokud opravdu chcete tvrdit, že ... pak asi další diskuse na toto téma nemá smysl, protože náš pohled na problematiku je příliš rozdílný.Ehm, fajn, asi fakt ne
- Nechci to tvrdit
- OK, nemá smysl pokračovat
Napsal jsem tohle:
klidně ignoroval i RFC nebo cokoli jiného, co nezapadalo do jeho představy, jak by svět měl fungovat
IPv6 do jeho představy světa nezapadá, tak ho ignoruje. A ne, to, že lze za cenu drbání se levou nohou za pravým uchem z djbdns AAAA záznamy vymáčknout mechanismem, který byl navržen pro nestandardní rozšíření, nic jiného než ignorování není. Možná chcete slovíčkařit a tvrdit, že to není porušení RFC, ale jeho neimplementování, ale na tom opravdu nesejde.
I příkladů přímého porušení RFC bylo v těch odkazech dost - jen vy jste si z nějakého důvodu vybral těch pár, které jimi nejsou.
A ne, to, že lze za cenu drbání se levou nohou za pravým uchem z djbdns AAAA záznamy vymáčknout mechanismem, který byl navržen pro nestandardní rozšíření, nic jiného než ignorování není.Taky neříkám, že djb AAAA záznamy neignoroval. Pouze tvrdím, že tinydns je umí vracet.
Možná chcete slovíčkařit a tvrdit, že to není porušení RFC, ale jeho neimplementování, ale na tom opravdu nesejde.Teď slovíčkaříte vy.
djb vždy ignoroval, jak se věci v unixu dělaly nebo měly dělatNe, on to neignoroval a uz vubec ne vzdy. Napada me z hlavy treba ten jeho pokus o zavedeni adresare
/package
, ale podivejte se po ruznych unixech a najdete tam (pro nekoho) podivne adresare na (pro nekoho) nezvyklych mistech. To ale podle me s tim zakladnim a spolecnym dedictvim unixu moc nesouvisi.
Co se tyka tech RFC, tak jeho "zmeny" pokud vim nenarusovali interoperabilitu s jinyma implementacema a byly vzdycky zduvodnene a napravovaly podstatne chyby. Ono kdyz se pisou RFC podle stavajicich implementaci, tak to tak proste nekdy dopadne, ze ty RFC stoji zcela nebo misty za prd.
Kromě toho si open source svět nepomůže ani licenčně, protože ta licenční hrůza, kvůli které se musí do GPL programů přidávat výjimka, v LibreSSL zůstane.tak naokraj, nevím, co je tady konkrétně za licenční hrůzu (nic závadného tam nevidím), nicméně v poslední době nabývám dojmu, že největší hrůza je právě GPL, tuhle jsem zjistil, že kvůli ní například v Linuxu není podpora dwg ... bezva, jen tak dál, fanatici
* 3. All advertising materials mentioning features or use of this * software must display the following acknowledgment: * "This product includes software developed by the OpenSSL Project * for use in the OpenSSL Toolkit. (http://www.openssl.org/)"
Tak znovu:
* 3. All advertising materials mentioning features or use of this * software must display the following acknowledgment: * "This product includes software developed by the OpenSSL Project * for use in the OpenSSL Toolkit. (http://www.openssl.org/)"
Např. když si někde necháš otisknout inzerát o svém skvělém softwaru, tak do něj musíš přidat tuhle větu, pokud jsi v něm OpenSSL použil. Což je velice nepraktické.
Má snad takové ustanovení licence OpenStreetMap? AFAIK ne a stačí uvést autora když šířím ta data, ale ne když mluvím to svém produktu používajícím ta data.
Např. když budu propagovat svoji bezpečnou službu a říkat, že klienti se o data nemusí bát, protože šifrujeme, tak už tím naplňuji to „mentioning features“ protože bezpečnost a šifrování jsou „feature“ OpenSSL.
Druhá věc je, jestli to někdo někdy zkoušel vymáhat nebo se dovolával dodržování. Dost možná ne. Ale o to smutnější je, že takové ustanovení v té licenci smrdí.
Např. když budu propagovat svoji bezpečnou službu a říkat, že klienti se o data nemusí bát, protože šifrujeme, tak už tím naplňuji to „mentioning features“ protože bezpečnost a šifrování jsou „feature“ OpenSSL.Tam bych fláknul logo OpenSSL už jen tím abych měl čím zaplnit propagační prostor. Furt nevidím problém.
Tím bys licenci nesplnil, musel bys tam dát doslovně větu:
This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit. (http://www.openssl.org/)
P.S. Ale hlavně to snad nejde srovnávat s OpenStreetMap, protože tam autora uvádím při šíření dat, ne v reklamních materiálech (ať už jakkoli definovaných), ne?
v Linuxu není podpora dwg
V Linuxu? Už jsem se lekl, že chtěl někdo cpát DWG do jádra
Z těchto důvodů se právě doporučuje vydávat software pod GPLv2+ (verze 2 nebo vyšší, případně verze 3 nebo vyšší).
Z těchto důvodů se právě doporučuje vydávat software pod GPLv2+ (verze 2 nebo vyšší, případně verze 3 nebo vyšší).jo a můžeš to trošku rozvést?
Z těchto důvodů se právě doporučuje vydávat software pod GPLv2+ (verze 2 nebo vyšší, případně verze 3 nebo vyšší).To znamená dát FSF bianco šek na veškerou distribuci mého SW a pak se divit, až jim jebne v kouli a GPLv5 bude nějaká magořina.
Ten „bianco šek“ ale nemůže odebrat staré licence – stále ten kód půjde šířit pod GPLv2, GPLv3 atd. Takže ta „magořina“ by mohla spočívat leda v přílišném uvolnění podmínek – např. zrušení copyleftu – a toho bych se od FSF moc nebál jinak se tě to nedotkne.
největší hrůza je právě GPL, tuhle jsem zjistil, že kvůli ní například v Linuxu není podpora dwg ... bezva, jen tak dál, fanaticiTak hrozne mi to neprijde, protoze to brani pouze distribuci binarniho balicku. Muzou vytvorit balicek v non-free, ktery po instalaci nainstaluje source balicek freecadu. Podobne je resen treba flash, pripadne nektere fonty.
Podle toho, co píšou u Mozilly: FIPS Mode - an explanation by to mělo bezpečnosti trochu pomáhat (byť asi pochybným a neznatelným způsobem) a trochu omezovat staré/slabé šifry/protokoly/algoritmy (a současně s tím zakazovat i některé moderní a dobré, ale pro Američany neznámé). A hlavně jsem z toho pochopil, že je to zaměřené na americké státní zaměstnance, ne na zahraniční uživatele.
Teoreticky by to mělo chránit jejich lidi např. zákazem MD5. Nebo je výběr udělaný tak, aby to nemohli prolomit „ti oškliví Rusáci a Číňani“ a zároveň to mohla dobře lámat NSA a odposlouchávat svoje lidi?
BTW: používáte někdo Camellii nebo jedete všichni na AESu?
Podle toho, co píšou u Mozilly: FIPS Mode - an explanation by to mělo bezpečnosti trochu pomáhatTak to nepochybně, FIPS povinně vyžaduje implementaci minimálně jednoho podezřelého (že je v něm backdoor) algoritmu. Navíc implementace v OpenSSL úspěšně prošla FIPS certifikačním procesem a pak teprve se ukázalo, že je v ní chyba, která způsobí zásek/pád programu. https://lwn.net/Articles/578375/
FIPS povinně vyžaduje implementaci minimálně jednoho podezřelého (že je v něm backdoor) algoritmu.
A myslíš, že je to záměr? Resp. že si věří natolik, že dokáží přesně vybalancovat to, co dokáží lámat oni sami, ale co nedokážou lámat jejich nepřátelé (ať už vnitřní nebo vnější)?
A myslíš, že je to záměr?Myslím, že to vyvrací tvrzení, že by to mělo pomoci bezpečnosti.
No tak… Podle stejné logiky byste mohl tvrdit, že proces review patchů do linuxového jádra (nebo jakéhokoli jiného projektu) nepomáhá snížit jeho chybovost, protože tu a tam přes něj projde pořádná bota (a doložit to jedním příkladem).
Certifikace slouží jako metoda outsourcování takového review. Pokud problematice rozumíte a máte odlišné představy, je pro vás FIPS zbytečnost. Pro (americkou) státní správu a některé velké firmy to je razítko, že určitá autorita, které oni důvěřují, prohlásila, že tato konfigurace je v pořádku. A pro toho, kdo sám problematice dostatečně nerozumí, to smysl má, protože i když nemůže mít absolutní jistotu, že ta autorita je neomylná a nemá postranní úmysly, pořád to bude lepší, než kdyby se snažil seznam povolených algoritmů a jejich kombinací určovat sám.
Třeba proto, že to někdo v minulosti udělal pro OpenSSL a už se mu to nechce měnit
Zlatá Java, kde na takové věci bývají abstraktní rozhraní a továrny… (chápu, že někoho to rozčílí, jakmile uslyší Java a Factory, ale smysl to má)
Souhlasím, nešlo mi o jazyk, ale spíš o styl vývoje. Lidi si často dělají legraci z Javy, že je tam na všechno Factory, ale ono to není úplně samoúčelné.
Je otázka, co považuješ za práci. Např. Apache má modul pro OpenSSL a pro GnuTLS, nějakou abstrakci si tam museli udělat nebo to psát dvakrát. Stejně tak kdokoli jiný, kdo chce mít nějaké modulární šifrování a umožnit uživatelům používat šifrovací knihovny dle jejich volby. Stejně tak jsme si mohli „ušetřit práci“ a každý program mohl volat specifické funkce pro nějaký jeden konkrétní souborový systém – místo aby pracoval s obecným rozhraním.
Např. Apache má modul pro OpenSSL a pro GnuTLS, nějakou abstrakci si tam museli udělat nebo to psát dvakrát.Ta abstrakce je tam právě pro případy, kdy je potřeba napsat více implementací nebo více connectorů na implementace s rozdílným API. Není tedy na výběr zda něco psát dvakrát nebo udělat abstrakci, ale napíše se to dvakrát se stejným API, které lze nadále používat společně. Abstrakce v tomto případě zajišťuje znovupoužitelnost, přehlednost, testovatelnost a další výhody, které prostým větvením kódu nejdou zajistit. Tudíž přes všechnu skvělost abstraktních rozhraní, nemusí to mít nutně vliv na to, zda se někomu chce psát podporu pro další krypto API.
HAS BUGS! DON'T USE
Ten napad EU o financni a klidne I trestni odpovednosti vyvojaru mi zacina pripadat I jako dobry napad.Pokud by to EU fakt zavedla, tak tím efektivně zahubí prakticky veškerý vývoj SW na svém území (a ten zbytek půjde cenově velmi podstatně nahoru).
Jenze to by slo sedet tak 90% lidi v komercnim IT neli vice a v RedHatu by zustal asi jen CEORed Hat by se především zcela stáhl z EU, provozovat tu vývoj by se mu nevyplatilo. Podobně se už povedlo přispět k likvidaci celých odvětví, resp. jejich přesunu do jiných zemí (byla za tím snaha snížit náklady obecně, ale do značné míry i vyhnout se nákladům na všelijaké vymoženosti EU, například zvýšení cen energií kvůli obnovitelným zdrojům či zákaz použití některých chemických látek) - ta se následně dotují a stejně to není moc platné.
Ten napad EU o financni a klidne I trestni odpovednosti vyvojaru mi zacina pripadat I jako dobry napad.Pokud by to EU fakt zavedla, tak tím efektivně zahubí prakticky veškerý vývoj SW na svém území (a ten zbytek půjde cenově velmi podstatně nahoru).
A supporťáci nebudou mít co žrát… :-)
Ne, vážně, ten nápad je opravdu absurdní. Pan "x" je buď provokatér nebo si neuvědomuje, jak neuvěřitelně by to prodražilo vývoj software, na který by se to vztahovalo - a v důsledu tedy samozřejmě i ten software.