abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 04:55 | Komunita

    VST 3 je nově pod licencí MIT. S verzí 3.8.0 proběhlo přelicencování zdrojových kódů z licencí "Proprietary Steinberg VST3 License" a "General Public License (GPL) Version 3". VST (Virtual Studio Technology, Wikipedie) je softwarové rozhraní pro komunikaci mezi hostitelským programem a zásuvnými moduly (pluginy), kde tyto moduly slouží ke generování a úpravě digitálního audio signálu.

    Ladislav Hagara | Komentářů: 0
    dnes 03:22 | Nová verze

    Open source 3D herní a simulační engine Open 3D Engine (O3DE) byl vydán v nové verzi 25.10. Podrobný přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    včera 20:11 | Komunita

    V Londýně probíhá dvoudenní Ubuntu Summit 25.10. Na programu je řada zajímavých přednášek. Zhlédnout je lze také na YouTube (23. 10. a 24. 10.).

    Ladislav Hagara | Komentářů: 0
    včera 13:22 | Nová verze

    Gemini CLI umožňuje používání AI Gemini přímo v terminálu. Vydána byla verze 0.10.0.

    Ladislav Hagara | Komentářů: 0
    včera 12:55 | Pozvánky

    Konference OpenAlt 2025 proběhne již příští víkend 1. a 2. listopadu v Brně. Nabídne přibližně 80 přednášek a workshopů rozdělených do 7 tematických tracků. Program se může ještě mírně měnit až do samotné konference, a to s ohledem na opožděné úpravy abstraktů i případné podzimní virózy. Díky partnerům je vstup na konferenci zdarma. Registrace není nutná. Vyplnění formuláře však pomůže s lepším plánováním dalších ročníků konference.

    Ladislav Hagara | Komentářů: 0
    včera 05:33 | IT novinky

    Samsung představil headset Galaxy XR se 4K Micro-OLED displeji, procesorem Snapdragon XR2+ Gen 2, 16 GB RAM, 256 GB úložištěm, operačním systémem Android XR a Gemini AI.

    Ladislav Hagara | Komentářů: 2
    včera 05:22 | Nová verze

    Před konferencí Next.js Conf 2025 bylo oznámeno vydání nové verze 16 open source frameworku Next.js (Wikipedie) pro psaní webových aplikací v Reactu. Přehled novinek v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    22.10. 23:33 | Komunita

    Sovereign Tech Fund oznámil finanční podporu následujících open source projektů: Scala, SDCC, Let's Encrypt, Servo, chatmail, Drupal, Fedify, openprinting, PHP, Apache Arrow, OpenSSL, R Project, Open Web Docs, conda, systemd a phpseclib.

    Ladislav Hagara | Komentářů: 0
    22.10. 13:11 | Nová verze

    Bylo vydáno OpenBSD 7.8. S předběžnou podporou Raspberry Pi 5. Opět bez písničky.

    Ladislav Hagara | Komentářů: 0
    22.10. 05:44 | Nová verze Ladislav Hagara | Komentářů: 2
    Jaké řešení používáte k vývoji / práci?
     (36%)
     (48%)
     (20%)
     (20%)
     (23%)
     (18%)
     (21%)
     (18%)
     (18%)
    Celkem 262 hlasů
     Komentářů: 14, poslední 14.10. 09:04
    Rozcestník

    Grisoft: SQL injection je OK, když jsme v LAN

    8.4.2006 15:47 | Přečteno: 0× | Linux | poslední úprava: 8.4.2006 15:53

    Dovoluji si čtenáře ABCLinuxu upozornit na zajímavou reakci pana Milana Slatinskeho z firmy Grisoft na můj poslední blogpost .

    Zaměstnanec firmy prodávajíci antivirové řešení nás v ní informuje, že SQL injection je OK, když jsme na LAN a taky nás poučuje, že security by obscurity je v pohodě, protože normální uživatel na to nepříjde. Poučné čtení. To mi ve škole neřekli, ale doba se mění...

    Dobry den,
    
    AVG TCP Server neni zadny akcelerator, jak autor clanku uvadi v
    nadpise sveho clanku. AVG TCP Server slouzi pouze pro sber pozadavku
    od klientu a tyto pozadavky jsou predavany do DataCenter (DataCenter
    je databaze, ktera obsahuje konfigurace jednotlivych stanic).
    Byl sestrojen za ucelem vyresit problem s primym pristupem do databaze
    od jednotlivych stanic. Neni urcen pro nasazeni mimo zabezpecenou sit.
    
    add 1) Format naseho instalacniho baliku je naprosto beznou
    zalezitosti, nastaveny tak, aby byl pouzitelny na naproste vetsine
    linuxovych distribuci. Obsahuje instalacni skript, ktery provede
    instalaci a na zaver vygeneruje uninstall skript pro odinstalaci. V
    pripade proprietarniho softwaru se nepredpoklada, ze by dalsi desitky
    systemovych baliku mely zavislost na tomto softwaru, stejne tak i AVG
    TCP Server je maximalne nezavisly na ostatnim softwaru v systemu.
    
    AVG TCP Server respektuje siroce prijaty standard FHS, viz
    http://www.pathname.com/fhs/. Format instalacniho baliku, i umisteni
    souboru je podobny tomu, jaky pouzivaji spolecnosti Intel, IBM, atd.
    pro svoje produkty.
    
    add 2) Poskytovani aktualizacnich serveru v AVG TCP Serveru je pouze
    doplnkova funkce, pro mene zkusene spravce, aby nemuseli instalovat
    a konfigurovat http server, ktery ve Windows neni primarne nainstalovan.
    
    add 3) Veskere dotazy klientu jsou kodovany pomoci base64. Normalni
    uzivatel tedy nevidi klasicky dotaz ale shluk znaku. Jsme si vedomi
    tohoto rizika a proto nedoporucujeme aby AVG TCP Server byl dostupny
    volne z internetu. Do nove verze pripravujeme novy komunikacni protokol,
    ktery bude zabazpecen proti zneuziti.
    
    
    S pozdravem
     Milan Slatinsky
     GRISOFT, s.r.o.              mailto:milan.slatinsky@grisoft.cz
    

    Ad 0) "akcelerator" bylo pouze v názvu článku, protože uvádím návod, jak upravit nastavení produktu o který tu jde: AVG TCP Serveru + Apache aby bylo možné obsloužit více klientů stahujících aktualizace.

    Ad 0) "SQL injection" -- "není určen pro nasazeni mimo zabezpecenou sit" ;-) čili SQL injection na LAN je OK? Bezpečností problém je OK, když je na LAN? To si asi dělají legraci. Hahaha, no to je legrace. To říká firma, která dělá antivir. Muhehehehe.

    Ad 1) 1. odstavec jsem mínil jako obecnou radu, jak zacházet s proprietárním software -- i u AVG TCP Serveru je vhodné provést zabalení do balíčku příslušné distribuce. Umožní to udržovat v systému pořádek a také třeba sledovat, jakou verzi máte nainstalovanou...

    Ad 2) Kdo mluví o windows? Já píšu o linuxové verzi a konstatuji, že výkon dodaného řešení je podstatně horší, než jaký lze dosáhnout použitím běžného www serveru Apache. Pozastavoval jsem se, proč je vůbec součástí AVG TCP Serveru www server.
    Budiž tedy, je to pomoc pro méně zkušené správce. Moje rada tuto funkci zakázat je tím spíš platná.

    Ad 3) Kódovány Base64, normální uživatel je nevidí :-D. Ještě, že pán nenapsal že jsou "šifrovány", to bych asi nerozdejchal. Čili zase tu máme zajímavé tvrzení od zaměstnance výrobce antivirového řešení. Tudíž že security by obscurity je OK, protože normální uživatel na to vlastně nepříjde. Hmm, asi jsem ve škole nedával pozor, pamatuju si to jinak ;-).

    Mějme takovou hypotetickou situaci: nevím jestli je to možné, nezkoušel jsem, co všechno "datacenter" dovolí, jaké SQL příkazy zchroustá.
    Představme si nějaký ošklivý program který bude databází nějak manipulovat, aby vznikl dojem, že všechny počítače jsou aktualizované a ony by třeba nebyly....
    No ale to je přece blbost, přece normální uživatel by takový program nikdy nenapsal, oni totiž normální uživatelé vůbec neumí číst base64, natož aby psali nejaké programy ;-)

    Nicméně musím ocenit příslib pana Slatinskeho, že AVG problém odstraní.

           

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.