MicroPython (Wikipedie), tj. implementace Pythonu 3 optimalizovaná pro jednočipové počítače, byl vydán ve verzi 1.28.0. Z novinek lze vypíchnout novou třídu machine.CAN.
Michael Meeks, CEO společnosti Collabora, na apríla oznámil, nebyl to ale apríl, že nadace The Document Foundation zastřešující vývoj kancelářského balíku LibreOffice vyloučila ze svých řad všechny zaměstnance a partnery společnosti Collabora, tj. více než třicet lidí, kteří po mnoho let přispívali do LibreOffice. Nadace The Document Foundation po několika dnech publikovala oficiální vyjádření. Přiznává pochybení při zakládání
… více »Protože je už po aprílu, můžou strahováci opět zveřejnit program další Virtuální Bastlírny, aniž by připravená témata působila dojmem, že jde o žert. Vězte tedy, že v úterý 14. dubna (změna!!!) od 20:00 proběhne VB, kde se setkají bastlíři, technici, učitelé i nadšenci do techniky a kde i vy se můžete zapojit do družného hovoru, jako by všichni seděli u pomyslného piva. Co mají bastlíři tento měsíc na srdci? Pravděpodobně by nás musel zasáhnout
… více »Byla vydána verze 26.1 aneb čtvrtletní aktualizace open source počítačového planetária Stellarium (Wikipedie, GitHub). Vyzkoušet lze webovou verzi Stellaria na Stellarium Web.
VOID (Video Object and Interaction Deletion) je nový open-source VLM model pro editaci videa, který dokáže z videí odstraňovat objekty včetně všech jejich fyzikálních interakcí v rámci scény (pády, kolize, stíny...) pomocí quadmaskingu (čtyřhodnotová maska, která člení pixely scény do čtyř kategorií: objekt určený k odstranění, překrývající se oblasti, objektem ovlivněné oblasti a pozadí scény) a dvoufázového inpaintingu. Za projektem stojí výzkumníci ze společnosti Netflix.
Design (GitHub) je 2D CAD pro GNOME. Instalovat lze i z Flathubu. Běží také ve webovém prohlížeči.
Příspěvek na blogu herního enginu Godot představuje aplikaci Xogot přinášející Godot na iPad a iPhone. Instalovat lze z App Storu. Za Xogotem stojí Miguel de Icaza (GitHub) a společnost Xibbon.
Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za březen (YouTube).
ESP-IDF (Espressif IoT Development Framework), tj. oficiální vývojový framework pro vývoj aplikací na mikrokontrolérech řady ESP32, byl vydán v nové verzi 6.0. Detaily na portálu pro vývojáře.
DeepMind (Alphabet) představila novou verzi svého multimodálního modelu, Gemma 4. Modely jsou volně k dispozici (Ollama, Hugging Face a další) ve velikostech 5-31 miliard parametrů, s kontextovým oknem 128k až 256k a v dense i MoE variantách. Modely zvládají text, obrázky a u menších verzí i audio. Modely jsou optimalizované pro běh na desktopových GPU i mobilních zařízeních, váhy všech těchto modelů jsou uvolněny pod licencí Apache 2.0. Návod na spuštění je už i na Unsloth.
Mezi základní zabezpečení patří samozřejmě silné heslo, dvoufaktorové ověřování a pak různé služby.
Celé to má jen takový menší problémek, a to ten, že ani jedno nefunguje. Jak bych to jen řekl, do Office 365 zavlekl MS docihlenosti ze světa Windows.
MS zavlekl do cloudu tolik bordelu, až uživatel neví, kam se a jak ověřuje, takže občas zkouší a zkouší trpělivě. A proč? No, třeba kvůli Teamsům, Sharepoint Online, guest vs firemní účet, nebo více firemních účtů do více tenantů (např. některé firmy nepovolují guest účty, raději spálí licenci a dávají svůj login) apod. Jinými slovy, uživatel má login franta@firma.tld do firemního cloudu, se svým heslem, MFA apod., jenomže do jiného tenantu (nějaká státní firma apod.) má ten stejný login, ale s jiným heslem, protože je to guest účet v jejich tenantu. Do toho když se používá jeden web prohlížeč, tak každou chvíli chyba, protože člověk je sice přihlášen jako franta@firma.tld, ale do jiného tenantu, než se aktuálně snaží dostat apod.
Chování je různé, dnes existuje párování, takže do jiného tenantu je grant s firemním účtem, ale pokud vznikne nejdříve guest a až pak firemní účet, nebo jiné případy v minulosti, tak to je prostě narůstající bordel. Navíc dřív, dnes už je to lepší, byl problém i v MS teams s přepínáním mezi konty / tenanty apod. Já na vše rezignoval a jedu chromium v app mode a profily, abych mohl mít x různých teamsů v jeden čas. Ale nic z toho není řešení pro uživatele.
chromium --profile-directory="teams-tenant1" --app="https://teams.microsoft.com/v2/" chromium --profile-directory="teams-tenant2" --app="https://teams.microsoft.com/v2/" ...
Chceš bezpečnost? Tady potřebuješ P2 Licenci do entry, tady potřebuješ Defender s naším kompletním xdr řešením, nejlépe s licencí, co pokryje i tvá zařízení, takže se zbav svého současného antiviru, my ti dodáme jen to nejlepší, tj. licence E3 a jen za pouchých €35/uživatel/měsíc, ale pozor, je to to minimum, lepší je E5 za €55.20, a protože jdeme s dobou, budeme i nabízen E7 za €7x,xx/uživatel/měsíc. Ostatní licence nedávají smysl, v téhle chybí tohle, v tamté tamto, s touto nejde toto, tato má omezení na počet (víc jak x jich do firmy nekoupíš) atd.
Shrnuto a podtrženo, pokud chceš aspoň trochu chránit náš cloud, musíš:
Kámo bro kámo, můžeš si od nás koupit licenci napřímo, ale lepší bude, když si jí koupíš od támhle toho partnera, on ti jí prodá levněji, než my, jen mu pak musíš dát přístup do vašeho tenantu, aby vám jí tam mohl nahrát. Tj. naprosto zbytečně musíš dát přístup nějaké firmě do tvého prostředí kvůli absolutně ničemu. Viva security.
A jaký že je finální výsledek? No, přijde phishing uživateli od nakaženého uživatele z jiné firmy, takže důvěryhodnost zvýšena. K tomu je phishing nadmíru důvěryhodný, využívá google, cloudflare a tld business. Všechno super zelený, dokonce to načítá objekty přímo od MS, prostě krásný Adversary-in-the-Middle (AiTM) útok. Doteď jsme si mysleli, že jsme na uživatele přísní akorát, někdy až moc, při phishingových kampaních (nedělali jsme 100% důvěryhodné kopie různých prostředí, ale vždy tam byla nějaká nepřesnost, aby si uživatel všiml podobně jako to mají útočníci), jenomže tentokrát to bylo hodně vymazlený.
Nojo, tak to zastaví O365, dá nám echo atd. Zatím to vždy fungovalo, prostě např. podezřelá přihlášení (v jeden čas z více států napříč světem). Nojo, ale v ten den si O365 řeklo, že nebude fungovat. Nepřišla žadná notifikace, vše ok, 7 uživatelů se hlásilo v jeden čas z Paříže, Virginie, Melbourne atd. Pro O365 nic podezřelého. Ok, aspoň teda logy fungovaly a šlo dohledat podezřelé chování "ručně". No, druhý den jsem se dozvěděl, že ty logy nefungovaly. Sice jsem odhalil další dva uživatele, ale druhý den jsem odhalil další dva a fór byl v tom, že průnik byl v 19:30 a já ještě o půlnoci koukal a v logách nebyli. Druhý den už tam ale byli a se správným časem 19:30 z předchozího dne. WTF. A druhý den už přišla i notifikace od dalšího uživatele (propálený login, ale přes MFA neprošli). Jinými slovy, vše fungovalo, chodily nám notifikace, pak přišel den, kdy se fakt něco dělo a to to vůbec nefungovalo a druhý den, po bouři, opět začalo a mezitím nikde žádná chyba, že něco nefunguje atd. Ale určitě to bude tím, že nemáme E5 licence, jinak by logování fungovalo, to je jasný jako facka. Větší sračku aby člověk pohledal.
A nejlepší věc? Do firmy se nasadily procesy, kdy se s uživateli musí komunikovat prostřednictvím oddělení komunikace. Výsledkem je, že i když jsem řekl "vyserme se na komunikaci a pošleme to hned od sebe", tak ne, prostě ne. Takže za nějakých 12h ten informační mail pak z té komunikace odešel. Tj. dávno po boji.
Píši primárně o O365, nevím, jak to mají ostatní. Každopádně MFA v kombinaci s matením uživatelů a AitM útokem je průchozí jako otevřené dveře. K tomu stačí, když na den zazlobí O365 SIEM a útočník má třeba 12h přístup do vašeho cloudu. Když to odbouchne někdo z vyšších pozic, tak ke spoustě citlivým datům. To není náš případ, my jedeme jen maily, Teamsy a pár sdílených dokumentů. Nicméně představa, že do Sharepointu migrujeme data z on-premu, to ve mně nebudí žádnou důvěru. Dokud člověk jel VPN+on-prem+prevenci, tak měl 0 incidentů za 10 let (za 500kkč/rok s komplet zálohováním). Teď s O365 je to cca 20 za necelý rok (za cca 500kkč/měsíc bez ceny velmi omezeného zálohování).
Řešením je prý navýšit licenční model a najmout firmu, co bude dělat bezpečnostní hardening a pravidelnou kontrolu a aplikaci doporučení, protože cloudové prostředí je tak komplikované, že jeho údržba prý nejde zvládnout, pokud firma nemá tým, co se věnuje jen tomu. Dochází tam v čase k tolika změnám, že bez plného zaměření na správu cloudu je to prý neuhlídatelné.
Cloud prostě není o klikání a bezstarostnosti, je to pravý opak. Prostředí a jeho nastavení se vám mění pod nohama a kdo v tom nežije, tomu unikne spousta věcí. Výchozí zabezpečení jsou navíc velmi unsafe. Default je, že všichni mohou vidět pomalu všechno, registrovat, co chtějí, vytvářet si stránky a milion dalších věcí. MS každou chvíli vydává změny, nestačí udržovat ani vlastní dokumentaci (nastavení není tam, kde je udáváno, odkazy nefungují atd.).
Jelikož zde chci být slušný, tak svůj finální názor na celou situaci hodím tuna do linku.
Tiskni
Sdílej:
Loginy a MFA- tohle neni problem u MS ale u lidi co jsou admini pro vsechno a ve finale rozumi vsemu podobne jako Izak... guest vs firemni ucty - Entra B2B je tu v nejake podobe jiz nejakou dobu a ze jsou lidi denne kokoti a delaj to jako lopaty opravdu neni problem MS. Ja tenhle bordel jednou za cas vidim nekde a vzdy jim reknu ze historicky ten bordel chapu ale pokud chteji nejak normalne/bezpecne fungovat tak si to musi uklidit stejne jako osranej hajzl.
Bezpečnost v O365- jo, je to tak, na druhou stranu mas spoustu reseni ktere ti resi to same co MS a jdou hezky integrovat s O365, tedy az na purview a compliance, jakmile potrebujes realne compliance tak jsi v pici a potrebujes vse od MS a jelikoz idioti v MS nejsou uplne idioti tak chteji pay as you go za spoustu veci.
Ale musíš mít licenčního partnera- jo, tohle je peklo vsude kam se podivas. Řešením je prý navýšit licenční model a najmout firmu, co bude dělat bezpečnostní hardening a pravidelnou kontrolu a aplikaci doporučení - tohle je jedna z veci ktera mi zivi firmu a jak rikas, tech zmen je tolik ze s malym tymem adminu to nemas sanci resit a outsourcing je jedina moznost. Pro nas to znamena ze jsme si udelali spoustu veci ktere resime automaticky, spousta veci jde ke schvaleni zakaznikum a pak se implementuji a dle zakaznika mame moznost jim v ramci bezpecnosti blokovat cokoliv povazujeme za problem, nekde jsou ale zakaznici idioti a maji nastaven proces kde kazdy vetsi incident musi schvalit CIO a ten je klidne tyden na dovolene a nic neresi... :D
dnes 21:38
Max | skóre: 72
| blog: Max_Devaine
dnes 21:41
Max | skóre: 72
| blog: Max_Devaine
Zlatý prciny!
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz