Realtimová strategie Warzone 2100 (Wikipedie) byla vydána ve verzi 4.6.0. Podrobný přehled novinek, změn a oprav v ChangeLogu na GitHubu. Nejnovější verzi Warzone 2100 lze již instalovat také ze Snapcraftu a Flathubu.
Polské vývojářské studio CD Projekt Red publikovalo na Printables.com 3D modely z počítačové hry Cyberpunk 2077.
Organizátoři konference LinuxDays 2025 vydali program a zároveň otevřeli registrace. Akce se uskuteční 4. a 5. října na FIT ČVUT v pražských Dejvicích, kde vás čekají přednášky, workshopy, stánky a spousta šikovných lidí. Vstup na akci je zdarma.
Uživatelé komunikátoru Signal si mohou svá data přímo v Signalu bezpečně zálohovat a v případě rozbití nebo ztráty telefonu následně na novém telefonu obnovit. Zálohování posledních 45 dnů je zdarma. Nad 45 dnů je zpoplatněno částkou 1,99 dolaru měsíčně.
Server Groklaw, zaměřený na kauzy jako právní spory SCO týkající se Linuxu, skončil před 12 lety, resp. doména stále existuje, ale web obsahuje spam propagující hazardní hry. LWN.net proto v úvodníku připomíná důležitost zachovávání komunitních zdrojů a upozorňuje, že Internet Archive je také jen jeden.
Jakub Vrána vydal Adminer ve verzi 5.4.0: "Delší dobu se v Admineru neobjevila žádná závažná chyba, tak jsem nemusel vydávat novou verzi, až počet změn hodně nabobtnal."
V Německu slavnostně uvedli do provozu (en) nejrychlejší počítač v Evropě. Superpočítač Jupiter se nachází ve výzkumném ústavu v Jülichu na západě země, podle německého kancléře Friedricha Merze otevírá nové možnosti pro trénování modelů umělé inteligence (AI) i pro vědecké simulace. Superpočítač Jupiter je nejrychlejší v Evropě a čtvrtý nejrychlejší na světě (TOP500). „Chceme, aby se z Německa stal národ umělé inteligence,“ uvedl na
… více »V Berlíně probíhá konference vývojářů a uživatelů desktopového prostředí KDE Plasma Akademy 2025. Při té příležitosti byla oznámena alfa verze nové linuxové distribuce KDE Linux.
Byl vydán Debian 13.1, tj. první opravná verze Debianu 13 s kódovým názvem Trixie a Debian 12.12, tj. dvanáctá opravná verze Debianu 12 s kódovým názvem Bookworm. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 13 a Debianu 12 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.
Evropská komise potrestala Google ze skupiny Alphabet pokutou 2,95 miliardy eur (71,9 miliardy Kč) za porušení antimonopolní legislativy. Podle EK, která mimo jiné plní funkci antimonopolního orgánu EU, se Google dopustil protisoutěžních praktik ve svém reklamním byznysu. Google v reakci uvedl, že rozhodnutí považuje za chybné a hodlá se proti němu odvolat. EK ve věci rozhodovala na základě stížnosti Evropské rady vydavatelů. Podle
… více »
1.7.2016 21:10
Jendа | skóre: 78
| blog: Jenda
| JO70FB
A máš něco lepšího?Jo. DANE/TLSA. Model zcela zprofanovaných CA je pro DV certifikáty opravdu zcela k hovnu.
pokud chci přistupovat k počítači podle DNS názvu, musím důvěřovat provozovateli DNS. Nejde to zabezpečit nijak lépePrávě že jde – přes ty certifikáty. I když budu používat nedůveryhodné rekurzivní DNS servery, pochybné proxy servery, WiFi připojení nebo napíchnutou linku, tak lze útok odhalit díky kontrole certifikátu na straně klienta.
Nesmyslné jsou DV certifikátyDV certifikáty vznikly dávno před nějakým DNSSEC/DANE/TLSA a pomohly výrazně zvýšit zabezpečení (do té doby se používaly nešifrované protokoly jako HTTP nebo bylo potřeba draze a složitě získávat certifikát s ověřením dokladů). Až budou klienti podporovat DNSSEC/DANE/TLSA a bude k tomu nějaké rozumné GUI, budou to podporovat všichni registrátoři a TLD a bude to dostupné pro 99% běžných uživatelů, tak se dá říct, že DV certifikáty jsou zbytečné.
DNSSEC není doplněk k PKI, je to způsob, jak provozovatel DNS, který má správné údaje, může zaručit jejich bezpečné doručení až ke klientovi.PKI ale zdalena nejsou jen DV certifikáty. Běžně se používají OV a často i EV. Provozovatel DNS neví, kdo jsi (a to je dobře, není dobré tyhle věci slučovat) a nemůže být autoritou, která potvrdí tvoji identitu – a ani ten protokol (DNS) není vhodný k tomu, aby se přes něj přenášelo víc dat. DNSSEC se hodí pro kontrolu a potvrzení, že otisk certifikátu je OK.
Právě že jde – přes ty certifikáty. I když budu používat nedůveryhodné rekurzivní DNS servery, pochybné proxy servery, WiFi připojení nebo napíchnutou linku, tak lze útok odhalit díky kontrole certifikátu na straně klienta.Proti nedůvěryhodným rekurzivním DNS serverům, WiFi připojení a pochybným proxy serverům chrání DNSSEC. To mi zaručí, že dostanu nezměněnou odpověď od toho, kdo o daných DNS názvech rozhoduje. Certifikační autorita se v lepším případě spoléhá na ty samé odpovědi podepsané DNSSEC, takže nemůže důvěryhodnost té informace zvýšit. Zvlášť když ta informace pochází od toho, kdo ji definuje.
DV certifikáty vznikly dávno před nějakým DNSSEC/DANE/TLSAJistě. Což ale neznamená, že nejsou nesmyslné
Zvlášť dnes, kdy DV certifikát potvrzuje třeba to, že jeho držitel umí vystavit soubor na nějakou webovou adresu, nebo umí číst e-maily směrované na danou doménu.
bude k tomu nějaké rozumné GUIJaké GUI? DNS záznam se buď podaří přeložit a validovat, nebo se to nepodaří a zobrazí se chyba.
tak se dá říct, že DV certifikáty jsou zbytečnéJá jsem nepsal, že jsou zbytečné, ale že jsou nesmyslné.
Proti nedůvěryhodným rekurzivním DNS serverům, WiFi připojení a pochybným proxy serverům chrání DNSSEC. To mi zaručí, že dostanu nezměněnou odpověď od toho, kdo o daných DNS názvech rozhoduje.Jen za předpokladu, že na tvém klientském počítači běží DNS server (resolver), který ověřuje DNSSEC a někdo do něj bezpečnou cestou dostal veřejné klíče/otisky pro všechny TLD. Jak běžná je tohle praxe? Kolik uživatelů to má? BTW: a je to podobné jako s těmi CA – jejich certifikáty taky musel někdo na klienta dostat a musel tam dát software, který je schopný je ověřovat.
Certifikační autorita se v lepším případě spoléhá na ty samé odpovědi podepsané DNSSECDV by podle mého mělo vypadat spíš tak, že na server nahraješ soubor s náhodně vygenerovanou výzvou (+ informací, k čemu ten soubor je) a CA se ji pokusí z mnoha různých serverů (v různých částech Internetu) stáhnout. To je spolehlivější než e-mail a WHOIS (ten může obsahovat neaktuální informace a nešifrovaný e-mail lze zase snadno odposlechnout) a lépe to prokazuje, že máš danou doménu pod kontrolou.
DV certifikát potvrzuje třeba to, že jeho držitel umí vystavit soubor na nějakou webovou adresuNevím, jak ty, ale já jako majitel domény nenechám cizí lidi nahrávat libovolné soubory na můj web. Pokud by to mohl někdo udělat, tak by rovnou mohl měnit obsah mého webu a nemusel by se patlat s nějakým SSL a MITM – prostě by tam napsal, co potřebuje nebo si odtamtud stáhl data.
DNS záznam se buď podaří přeložit a validovat, nebo se to nepodaří a zobrazí se chybaParáda, přesně proto je potřeba to GUI, aby uživatel věděl, co se děje. Takhle možná nějak dopídí, že je něco rozbitého s DNSSEC a následně mu někdo poradí, jak ho vypnout, aby se dostal na svůj web. Tím mimochodem vypne kontrolu pro všechny domény, což je daleko horší, než když odklikne SSL varování (to se týká jen jedné domény, zatímco ostatní se stále ověřují, jak mají).
Já jsem nepsal, že jsou zbytečné, ale že jsou nesmyslné.Ale vždyť oni smysl mají nebo minimálně měly a ještě nějakou dobu mít budou. Srovnej to s ostatními možnostmi:
DV by podle mého mělo vypadat spíš tak, že na server nahraješ soubor s náhodně vygenerovanou výzvou ... lépe to prokazuje, že máš danou doménu pod kontrolou.Ne, to neprokazuje, že mám pod kontrolou doménu, ale že mám pod kontrolou webový server. Ověřit, že mám pod kontrolou doménu, nejde jinak, než přes DNS.
Nevím, jak ty, ale já jako majitel domény nenechám cizí lidi nahrávat libovolné soubory na můj web. Pokud by to mohl někdo udělat, tak by rovnou mohl měnit obsah mého webu a nemusel by se patlat s nějakým SSL a MITM – prostě by tam napsal, co potřebuje nebo si odtamtud stáhl data.Na tvůj web možná lidé soubory nahrávat nemůžou. A pak jsou miliony webů, kam soubory různými způsoby nahrávat lze - Wikipedia, GMail, Ulož.to, Dropbox, AbcLinuxu...
Takhle možná nějak dopídí, že je něco rozbitého s DNSSEC a následně mu někdo poradí, jak ho vypnout, aby se dostal na svůj web. Tím mimochodem vypne kontrolu pro všechny domény, což je daleko horší, než když odklikne SSL varování (to se týká jen jedné domény, zatímco ostatní se stále ověřují, jak mají).Právě proto nemá být možné to vypnout, takže není potřeba GUI.
Ale vždyť oni smysl mají nebo minimálně měly a ještě nějakou dobu mít budou. Srovnej to s ostatními možnostmiJá bych to srovnával třeba s možností, že DV certifikát bude vydáván jen na základě prokázání kontroly nad DNS zónou, CA bude garantovat, že certifikát revokuje např. do 24 hodin od změny vlastníka domény. Nebo ještě lépe, že by DV certifikát vydával DNS registrátor. Nesmyslnost DV certifikátů spočívá v tom, že potvrzují něco, co CA potvrdit nemůže.
Ne, to neprokazuje, že mám pod kontrolou doménu, ale že mám pod kontrolou webový server. Ověřit, že mám pod kontrolou doménu, nejde jinak, než přes DNS.Viz
a CA se ji pokusí z mnoha různých serverů (v různých částech Internetu) stáhnoutTím se ověří oboje – jednak, že se DNS jméno přeloží všude stejně resp. ukazuje na stejný server a jednak že máš pod kontrolou ten server (což je dost zásadní – pokud by ten server měl pod kontrolou někdo jiný, tak nemá cenu řešit nějaké šifrování mezi klientem a serverem).
Na tvůj web možná lidé soubory nahrávat nemůžou. A pak jsou miliony webů, kam soubory různými způsoby nahrávat lze - Wikipedia, GMail, Ulož.to, Dropbox, AbcLinuxu...A dovolí ti uložit soubor do kořenového adresáře a pojmenovat ho tak, jak chce CA?
Právě proto nemá být možné to vypnout, takže není potřeba GUI.Vzhledem k tomu, že se to ještě ani pořádně nerozšířilo, tak doba, kdy to nepůjde vypnout, je hodně daleko (jestli vůbec kdy přijde).
Nebo ještě lépe, že by DV certifikát vydával DNS registrátor.Tohle by se mi na jednu stranu i celkem líbilo… A konečně by se mohla používat ta vlastnost X.509 certifikátů, která umožňuje omezit působnost CA na určitou (pod)doménu. CZ.NIC by tak měl CA, která by směla vydávat certifikáty pro .cz a registrátoři by od něj měli podřízené CA, které by mohly vydávat certifikáty pro domény, které si u nich někdo zaregistroval. Případně by takovou CA dostal vlastník domény a mohl by si pro svoje poddomény vydávat certifikáty sám. Nicméně stinnou stránkou je koncentrace moci do rukou registrátora – ten najednou může všechno – typicky i provozuje DNS servery pro registrované domény, takže si může vydat certifikát a na chvíli nasměrovat provoz jinam a to dokonce selektivně (podvržené záznamy se budou posílat jen oběti, zatímco všichni ostatní dostanou ty správné). A je mnohem větší šance, že se podaří zamést stopy a utajit to. Když je v tom zapojeno víc nezávislých subjektů, tak je ten systém odolnější a útok je složitější nebo se dá alespoň lépe odhalit a zpětně dohledat, co se stalo a kdo za to může. CA kontroluje DNS záznamy a soubor na serveru z mnoha různých míst, takže by se podvržené záznamy musely posílat všem. Navíc CA si uloží záznam o tom, jak se dané DNS jméno přeložilo. Pokud by např. selhal registrátor nebo webhosting, CA by na tom byla nezávislá, měla by např. sériová čísla vydaných certifikátů, záznamy o tom, kdo si je nechal vystavit… Pokud ale drží všechny trumfy v ruce jeden subjekt, je to dost nebezpečné a snáze pak může dělat, že se nic nestalo. Přijde mi škoda, že se víc neinvestovalo do rozvoje existující technologie:
že máš pod kontrolou ten serverNe, to prokazuje jenom to, že na server můžu nahrát nějaký soubor.
pojmenovat ho tak, jak chce CA?CA jsou tisíce a já netuším, jaká CA má jaká pravidla pro pojmenování souboru. Ostatně, to hloupé pravidlo s ověřením pomocí souboru si vymyslí příslušná CA, je tedy na ní, aby zajistila, že neexistuje žádný web, kam by ten soubor mohl nahrát někdo jiný, než vlastník webu. Zajímalo by mne, jak to ta CA chce zajistit...
Vzhledem k tomu, že se to ještě ani pořádně nerozšířilo, tak doba, kdy to nepůjde vypnout, je hodně daleko (jestli vůbec kdy přijde).Takhle už to dávno funguje. Pokud se nepodaří ověřit DNSSEC podpis, aplikace vůbec nedostane odpověď na svůj dotaz. Aby mohl prohlížeč ignorovat DNS odpověď s neplatným podpisem, musel by implementovat vlastní resolver.
Nicméně stinnou stránkou je koncentrace moci do rukou registrátora – ten najednou může všechno – typicky i provozuje DNS servery pro registrované domény, takže si může vydat certifikát a na chvíli nasměrovat provoz jinamTakhle funguje DNS, registrátor prostě může všechno. To je vlastnost toho systému a žádná třetí strana nemůže bezpečnost zvýšit, protože registrátor DNS definuje to, co je v DNS správně. Když se registrátor DNS rozhodne chvíli vracet jiné odpovědi, možná se to nebude líbit vlastníkovi té domény, ale správě je to, co určí registrátor.
Když je v tom zapojeno víc nezávislých subjektůTak ale DNS nefunguje. V DNS má každá zóna právě jednu nadřazenou zónu.
Přijde mi škoda, že se víc neinvestovalo do rozvoje existující technologiePodle mne je to správně. Vytvořila se technologie pro podpis DNS záznamů, takže je teď možné DNS záznamy ověřovat. Certifikáty pro doménová jména nedávají smysl, protože CA osvědčuje něco, co osvědčit nemůže. DV certifikáty byla jen obezlička, jak obejít to, že nešlo validovat DNS odpovědi. To už teď možné je, takže je důležité co nejdřív přestat používat tuhle obezličku a místo ní použít skutečné zabezpečení přes DNSSEC.
Tím se ověří oboje – jednak, že se DNS jméno přeloží všude stejně resp. ukazuje na stejný server a jednak že máš pod kontrolou ten serverJemu asi jde o to, že když Pepa má webserver (foo.com A pepa) a Franta tam má mailserver (foo.com MX franta), tak by Pepa neměl mít možnost jen tak vyrobit certifikát, který může používat na MITM na Frantu.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
2.7.2016 11:32
http://example.com/owner.txt na svém webu, tak ho stejně asi nemá moc pod kontrolou. A nemusí to být jen soubor, může to být i HTTP hlavička přímo na http://example.com/ (ale to už je zase náročnější na nastavení).
Ale jak jsem psal, lepší mi přijde ověřování přes soubor na webu než e-mail.Jenže CA poskytují více možností. Ty se na to díváš z pozice poctivého žadatele o certifikát. Když chceš ověřit bezpečnost, musíš se na to dívat z pohledu útočníka. Pokud je pro tebe lepší ověřování přes web, útočník se nejspíš zaměří právě na ten e-mail.
Pokud někdo dovolí cizím lidem vytvářet soubory jako http://example.com/owner.txt na svém webu, tak ho stejně asi nemá moc pod kontrolou.Tohle umožňuje třeba Wikipedia nebo AbcLinuxu. Nemyslím si, že by ty weby neměli majitelé pod kontrolou. Ano, neumožňují nahrát soubor do kořenového adresáře. Ale jsi si jistý, že nějaká CA nepovolí nahrát soubory třeba do adresáře
/upload/?
Až budou klienti podporovat DNSSEC/DANE/TLSAA to jen tak nebude - v Chrome AFAIK zkoušeli, jak by to vypadalo, kdyby se prohlížeč před vstupem na web pokoušel na tyhle DNS záznamy ptát a v jednotkách procent případů se vůbec nedaly resolvovat.
2.7.2016 16:59
mirec | skóre: 32
| blog: mirecove_dristy
| Poprad
Ako sa po zrušení HTTP dostanem na administračné rozhranie rôznych zariadení, ktoré prirodzene nemôžu mať vydané certifikáty na IP adresu získanú z DHCP?
Takže podstrčit nepozorovaně nepodepsaný záznam nejde.Až po tom, co uživatel absolvuje Zprovoznění DNSSEC pro běžného uživatele (na všech svých zařízeních/sítích).
Prave to zvysovani poctu podepisujicich je celkem dobry postup.Souhlas. Možnost podepsat veřejný klíč jen jednou CA považuji asi za největší nedostatek. Hodně by to pomohlo – mohl bys mít např. certifikát podepsaný CA tvého státu nebo tvé firmy a zároveň nějakou běžnou komerční CA, která je globálně známá.
Mozna jeste prihodit neco ve stylu Perspectives nebo Convergence.Přesně. Mnoho různých subjektů/serverů by zkontrolovalo tvůj certifikát a následně ti vystavili vlastní, který by sis mohl k tomu svému přidat a zvýšit celkovou důvěryhodnost.
2.7.2016 09:29
Jendа | skóre: 78
| blog: Jenda
| JO70FB
selfsign, protoze jejich duveryhodnost prave proto ze sou vydany pro jeden konkretni web a nejsou nikym podepsany je radove vyssiTo nechápu. Certifikát podepsaný CA je přece taky vydaný pro jeden konkrétní web. Chápu správně, že když mám self signed certifikát, a nechám si ho ještě k tomu podepsat u CA, tak se jeho důvěryhodnost sníží, a když před tebou to, že podpis od CA existuje, zatajím, tak se zase zvýší?
2.7.2016 10:57
Jendа | skóre: 78
| blog: Jenda
| JO70FB
4.7.2016 13:36
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Tiskni
Sdílej:
2.7.2016 15:45