Canonical vydal (email, blog, YouTube) Ubuntu 24.04 LTS Noble Numbat. Přehled novinek v poznámkách k vydání a také příspěvcích na blogu: novinky v desktopu a novinky v bezpečnosti. Vydány byly také oficiální deriváty Edubuntu, Kubuntu, Lubuntu, Ubuntu Budgie, Ubuntu Cinnamon, Ubuntu Kylin, Ubuntu MATE, Ubuntu Studio, Ubuntu Unity a Xubuntu. Jedná se o 10. LTS verzi.
Na YouTube je k dispozici videozáznam z včerejšího Czech Open Source Policy Forum 2024.
Fossil (Wikipedie) byl vydán ve verzi 2.24. Jedná se o distribuovaný systém správy verzí propojený se správou chyb, wiki stránek a blogů s integrovaným webovým rozhraním. Vše běží z jednoho jediného spustitelného souboru a uloženo je v SQLite databázi.
Byla vydána nová stabilní verze 6.7 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 124. Přehled novinek i s náhledy v příspěvku na blogu. Vypíchnout lze Spořič paměti (Memory Saver) automaticky hibernující karty, které nebyly nějakou dobu používány nebo vylepšené Odběry (Feed Reader).
OpenJS Foundation, oficiální projekt konsorcia Linux Foundation, oznámila vydání verze 22 otevřeného multiplatformního prostředí pro vývoj a běh síťových aplikací napsaných v JavaScriptu Node.js (Wikipedie). V říjnu se verze 22 stane novou aktivní LTS verzí. Podpora je plánována do dubna 2027.
Byla vydána verze 8.2 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Přehled novinek v poznámkách k vydání a v informačním videu. Zdůrazněn je průvodce migrací hostů z VMware ESXi do Proxmoxu.
R (Wikipedie), programovací jazyk a prostředí určené pro statistickou analýzu dat a jejich grafické zobrazení, bylo vydáno ve verzi 4.4.0. Její kódové jméno je Puppy Cup.
IBM kupuje společnost HashiCorp (Terraform, Packer, Vault, Boundary, Consul, Nomad, Waypoint, Vagrant, …) za 6,4 miliardy dolarů, tj. 35 dolarů za akcii.
Byl vydán TrueNAS SCALE 24.04 “Dragonfish”. Přehled novinek této open source storage platformy postavené na Debianu v poznámkách k vydání.
Oznámeny byly nové Raspberry Pi Compute Module 4S. Vedle původní 1 GB varianty jsou nově k dispozici také varianty s 2 GB, 4 GB a 8 GB paměti. Compute Modules 4S mají na rozdíl od Compute Module 4 tvar a velikost Compute Module 3+ a předchozích. Lze tak provést snadný upgrade.
Když jsem se k Firefoxu dostal, bylo to v rámci vydání jeho 1.0 verze. Prohlížeč nebyl nejrychlejší, ale měl své výhody oproti ostatním (tabbed browsing např.). Pokud si pamatuji, tak byl chválen i za lepší dodržování standardů, než například IE, vykreslování průhlednosti PNG, apod.
Nyní opět uvažuji o přechodu, tentokrát od Firefoxu. Proč? Kvůli UI.
Nebudu zde rozebírat, zda instalátor pro windows má menší velikost, ani zda se FF na windows spustí o 3 sekundy rychleji nebo serepetičky s javascriptem. Na Firefoxu mi vyhovuje core. Možná proto, že se o jádra prohlížečů ani tak nezajímám, možná proto, že vykresluje a zpracovává rychleji, než v jiných prohlížečích, možná proto, že s jádrem nemluvím přímo. Co mi začíná silně vadit je ona mezivrstva - user interface.
Jak jsem již psal v úvodu - v počátcích FF bylo UI jednoduché. Pár tlačítek, žádná moc "fancy" grafika, jelo to i na slabších strojích a já byl happy. Bylo to (alespoň pro mě) lepší, než IE, Konqueror (přecházel jsem z KDE na fluxbox) nebo Opera, která mi bohužel nikdy moc nesedla, ač jsem ji mnohokrát zkoušel. V podstatě jedinou mou významější úpravou UI bylo vypnutí search panelu (zabíral místo pro URI) a vyškrtnutí baru záložek.
S postupem času přišel na svět Firefox 1.5, žádné velké změny UI se nekonaly, pak Firefox 2.
Ve dvojce pro mě nejdůležitější změnou byly zavírací tlačítka tabů, která jsem si okamžitě vypl v about:config (nebo .css ?) a protože mi defaultní skin moc nevyhovoval, začal jsem používat Netscape green theme, známé dnes jako SimpleGreen. Ušetřilo mi asi 0.5cm vertikálního místa, vypnutí baru záložek další centimetr a prohlížeč se opět dal používat. Po několika měsících jsem objevil kouzlo addonů a oblíbil si adblock / adblock plus a web developer, nechyběl ani méně známý ArchView (online prohlížení archivů bez jejich stahování). Na druhou stranu - jsem poměrně minimalista a 3 addony + 1 theme mi stačily. Prozatím.
Vyšel _relativně_ nedávno. Tento zápisek v blogu mohl být napsán i dříve, ale čekal jsem, že se Mozilla "poučí" z 3.0 a udělá 3.5 trochu volnější. Nedočkal jsem se.
Přechodu na trojku bránilo velké otálení, zkoušel jsem nějakou betu už během vývoje a neskutečně pomalý URI bar mě, spolu s jinými nevypnutelnými featurami, odradil. Když mě pak jeho pomalost na Githubu (je postaven hodně na javascript/ajaxu) už dosti omezovala, rozhodl jsem se udělat onen krok a přešel na 3.0.
Velká úleva přišla v podobě addonu "oldbar" a mnoha návodů na webu, jak zvýšit výkon a vylepšit vykreslování přes možnosti about:config, jak odstranit "hvězdičku" na pravé straně URI baru (přes userChrome.css nebo tak nějak). Viděl jsem i addon na vrácení "go" tlačítka napravo, ale jelikož používám většinou klávesnici, nikdy jsem jej moc nepotřeboval.
Také mě docela vadilo "našeptávání" URI podle substringu (to oldbar neřešil) - FF2 hledal řetězec od začátku adresy, tudíž po napsání abcl vyskočilo
http://abclinuxu.cz/diskuzeprotože to byla moje nejnavštěvovanější matchující URI. Firefox 3 mi vyhodil něco jako
http://somesite.org/indexes/by-name/abclinuxu.cz/search.cgi?blabla=blagačkoli jsem na té stránce byl sotva jednou.
Dalším (a asi druhým velikým, po aplikaci všech addonů) problémem pro mě byly self-signed certifikáty. Ve Firefoxu 2 to šlo tak nějak odkliknout rychlým gestem dvojího enteru, otravné to bylo asi jako "Chcete, aby si Firefox pamatoval přihlášení pro tento server?", u kterého "Ne, nikdy." nefungovalo, nicméně onen dvojí enter se brzy přestěhoval do té části mozku, kde nad činnostmi neuvažujeme, a tak problém prakticky vymizel. Tedy do příchodu FF3.
Firefox 3 se snaží být mermomocí user-friendly, tedy spíš BFU-friendly. Je mu jedno, že je mi totálně šumafuk, zda jeden txt soubor na https://svn přečte i MITMující osoba, své 5ti klikové monstrum mi stejně předhodí. Co víc - do URI baru mi uřízne obrovskou část pro krásný zelený bar a to jen z důvodu, že barvoslepí uživatelé _pravděpodobně_ špatně rozeznávali zabarvení pozadí ikony. Kdyby to šlo vypnout nějakým addonem, nevadilo by mi to tolik - pomalu si zvykám, že všechno populární je přece populární díky "hloupé" veřejnosti a tudíž to musí být pro ni primárně, aby popularita nezmizela. Sice by to byla další berlička, ale pokud by prohlížeč šlo používat normálně dál, ...
Bohužel však onen dialog + SSL bar nejde vypnout. Není na to addon (co jsem googlil), Mozilla si to vychvaluje a všichni jásají, že konečně nastane konec MITM útokům. Tedy až na mě. Rád bych to měl jako v SSH klientovi - browser by si defaultně (automaticky, bez dialogu) ukládal fingerprinty každého navštíveného serveru přes https a pokud při další návštěvě fingerprint nesedí, teprve tehdy vyhodit error. Ideálně s možností mazání záznamů nepoužitých déle, než třeba 60 dní. Vyperličkovat by to šlo zlutým pozadím favicon v URI baru (místo zeleného), aby uživatel věděl, že stránka nemá certifikát potvrzený veřejně uznávanou a placenou CA. Nic víc. Pravděpodobnost úspěšného MITM se dá samozřejmě redukovat věcmi jako WPA2 na wifi, statický ARP záznam gateway, apod.
Nevím, připadne mi to spíše jako komerční tah, než jako věc pro ochranu koncových uživatelů. Počítám s tím, že tohle bude jen další nevýznamný zápisek v blogu jednoho neznámého člověka, chtějícího jednoduchost fluxboxu/awesome tam, kde převládá komplexnost KDE/Gnome.
Pokud by někdo o hledaném addonu něco věděl, nechť se prosím podělí v diskuzi..
Chtěl bych se vrátit k jedné větě v úvodu, zmiňující opětovný přechod jinam. Dosti jsem uvažoval o prohlížeči Chromium (ačkoli Velkého Bratra Google moc nemusím), ale zase by mi chyběl adblock a blokování animací gifů web developerem. Mozilla Suite už taky moc nezáří, nevím, nikdy jsem nezkoušel. Pokud bude Firefox postupovat tímto směrem, asi se odhodlám a přejdu na Operu. Pokud si pamatuji dobře, měla velké možnosti konfigurace a pokud by šla její komplexnost skrýt za jednoduchým UI, bylo by to super.
Prozatím dávám Firefoxu ještě jednu šanci v podobě 3.6 / 4.0 a věřím, že mě zklame. I teď, těsně po přechodu na 3.5, jsem googlil možnosti vypnutí "naposledy zavřených záložek" (naštěstí našel). Čas ukáže.
A jak jste na tom vy? Vadí vám tento přístup ze strany vývoje Firefoxu?
Tiskni
Sdílej:
12.7.2009 17:06
mess | skóre: 43
| blog: bordel
| Háj ve Slezsku - Smolkov
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
browser.urlbar.martchBehavior, ta se nastaví na 0 a je vymalováno. A co se toho zeleného čehosi týče, to určitě půjde schovat pomocí toho userChrome.css nebo jak se to tento 
. Případně používej "Stylish", pokud se ti nechce hrabat do toho user*.css přímo.
Díky za tip, je to about:config direktiva k "našeptávání: nic" v konfiguraci, předpokládám. Nicméně oldbar si nechám, alespoň se mi vlezou 3 řádky tam, kde by byl jeden s obrázky a title.
12.7.2009 17:29
mess | skóre: 43
| blog: bordel
| Háj ve Slezsku - Smolkov
12.7.2009 17:47
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Je mu jedno, že je mi totálně šumafuk, zda jeden txt soubor na https://svn přečte i MITMující osoba, své 5ti klikové monstrum mi stejně předhodí.
Přesně tak. Za chvíli bude potřeba napsal na klávesnici text "ano, vím co dělám" aby se člověk dostal na https. Ale fingeprint / odkaz na CA daného certifikátu a stručný návod co s tím tam stejně nebude. Takže se lidé nenaučí k čemu to celé je. Místo toho budou reflexivně klikat. Je jedno jestli jednou nebo padesátkrát. To je asi ta zlepšená bezpečnost. 
Rád bych to měl jako v SSH klientovi - browser by si defaultně (automaticky, bez dialogu) ukládal fingerprinty každého navštíveného serveru přes https a pokud při další návštěvě fingerprint nesedí, teprve tehdy vyhodit error.
To je asi dobrý nápad, ale trochu bych to vylepšil. ssh při prvním připojení vypíše fingeprint protějšku a uživatel pak po jeho ověření napíše yes. Toto bych rád mě ve FF (ne to yes, ale to zobrazení SHA1 hned na té titulce při varování o neznámém crt). Často pracuji s certifikáty, mám jejich SHA1 fingerprint. Ale pokaždé se FF doklikat pro jeho ověření mě neskutečně .... štve.
Také bych uvítal ten fingerprint, nicméně to "yes" už by možná otravovalo. Když se připojuji na SSH, jsou to individuální servery, případně clustery a chodím na ně opakovaně. U webu se mi hodněkrát stane, že na https stránku přijdu jednou a již nikdy více, proto těch 60 dní (konfigurovatelně) od posledního použití, aby případná DB neměla brzy několik GB ..
12.7.2009 18:44
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
To je asi dobrý nápad, ale trochu bych to vylepšil. ssh při prvním připojení vypíše fingeprint protějšku a uživatel pak po jeho ověření napíše yes. Toto bych rád mě ve FF (ne to yes, ale to zobrazení SHA1 hned na té titulce při varování o neznámém crt). Často pracuji s certifikáty, mám jejich SHA1 fingerprint.+1
12.7.2009 20:44
Jendа | skóre: 78
| blog: Jenda
| JO70FB
12.7.2009 20:58
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
12.7.2009 21:07
Jendа | skóre: 78
| blog: Jenda
| JO70FB
) si na to samozřejmě dám bacha.
Chápu, že BFU by nějakou ochranu mnohdy potřebovali, tož chtělo by to přepínač BFU mode/expert mode.
12.7.2009 21:20
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
když chci z nějakého WebGITu stáhnout jeden soubor, tak je mi certifikát celkem volný a stejně bych ho neměl jak ověřit
Tohle já chápu, ale nemůžeme na základě tohoto použití https slevit z nároků na bezpečnost. I já samozřejmě odklepávám výjimky, kdy lezu na https://127.0.0.1 na čerstvě nainstalovaném stroji, stejně ten selfsigned půjde pryč.
Není žádný důvod z HTTPS spojení s neověřeným certifikátem dělat bezpečnostně něco horšího, než je obyčejné HTTP.
Osobně bych řekl, že neověřený certifikát je pořád lepší, než žádný. Například nepůjde pasivní sniffing nešifrované wifi.
Nicméně důvěryhodné CA se to nevyrovná..
12.7.2009 18:13
mess | skóre: 43
| blog: bordel
| Háj ve Slezsku - Smolkov
12.7.2009 18:20
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
13.7.2009 15:02
default | skóre: 22
| Madrid
bývalo by jím pro mě bylo Safari, kdyby s sebou nechtělo instalovat dalších 10 programů od Apple
A samotný WebKit by nestačil?
12.7.2009 18:18
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
Presne tak.. nebo jiny obal na Gecko.
13.7.2009 00:10
xsubway | skóre: 13
| blog: litera_scripta_manet
mno, používám 2.26.1 a jediná vlastnost, která mi vadí, je rychlost doplňování url při jeho psaní - po úpravě této vlastnosti, už budu skutečně spokojený.
13.7.2009 15:54
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
Tak jsem googlil a googlil, až jsem našel, složil a vlastnoručně doplnil tohle (userChrome.css):
#identity-box > hbox {
background: ButtonFace url(chrome://browser/skin/tabbrowser/tab-active-bkgnd.png) repeat-x !important;
color: -moz-dialogtext !important;
}
#identity-box.verifiedIdentity > hbox {
background-color: #7c8 !important;
color: #000 !important;
}
#identity-icon-label {
display: none !important;
}
#urlbar[level="high"] > .autocomplete-textbox-container,
#urlbar[level="low"] > .autocomplete-textbox-container {
background-color: #F5F6BE !important;
color: #000000;
}
Odstraňuje to ten zelený / modrý box v adresním řádku a vrací žluté pozadí, tak, jak to je ve Firefoxu 2.
12.7.2009 18:36
mess | skóre: 43
| blog: bordel
| Háj ve Slezsku - Smolkov
.
Mna by zaujimalo preco v 3.5 nejde zatvorit(vymazat) prva karta. Musim otvorit dalsiu prazdnu aby sa zobrazilo tlacidlo zatvorit kartu.
12.7.2009 18:36
mess | skóre: 43
| blog: bordel
| Háj ve Slezsku - Smolkov
... což je důvod, proč jsem v FF2 tyto zavírací křížky rušil. Ono není moc příjemné, když místo přepnutí na záložku ji člověk omylem zavře ..
Pokud se na záložku přepínáte tak, že klikáte na zavírací křížek,tak se není co divit. Te to podobně nesmyslné jako říkat, že jste se chtěl přepnot do okna přes horní pruh s názvem aplikace a omylem jste aplikaci uzavřel křížkem. Vždyť ten křížek zabírá asi jen necelou desetinu plochy té záložky a snad vidíte, kam klikáte, dokonce je to zvýrazněné.
12.7.2009 21:48
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Vždyť ten křížek zabírá asi jen necelou desetinu plochy té záložky a snad vidíte, kam klikáte, dokonce je to zvýrazněné.Na velikosti (okna) a množství otevřených záložek záleží
A proto se křížky od 9 záložek nezobrazují. Nebo se to v Linuxu chová výrazně jinak než na Windows? Ale je dobře, že to jde upravit.
Používám touchpad již několik let téměř výhradně a opravdu se mi snad nikdy nestalo, že bych si kvůli tomu zavřel tab. Nechápu, co tam s tím ten člověk dělá nebo to má tak špatnou motoriku?
15.7.2009 21:19
Josef Kufner | skóre: 70
12.7.2009 23:37
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
13.7.2009 14:51
lmanik | skóre: 11
| Vracov
13.7.2009 15:15
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
13.7.2009 17:43
lmanik | skóre: 11
| Vracov
Já to mám také hned. Windows 7, Core 2 Duo 1600 MHz. Neovlivňuje to tedy spíše nějaký faktor přímo u Herona?
14.7.2009 11:03
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Core 2 Quadro 9300, 8GB RAM, ATI 4890, Vista 64b Business. Počítač stále docela na úrovni.
Neovlivňuje to tedy spíše nějaký faktor přímo u Herona?
Ano ovlivňuje. Dělají to add-ony, to mám vyzkoušené. Nastavil jsem si FF tak, aby se co nejvíc (ze spodu) blížil Opeře. To znamená RSS čtečka (nevzpomenu si); Download manager (DownloadThemAll + DownloadStatusBar); něco, aby šli používat taby (TabMixPlus); speed dial (SpeedDial); nějaký session manažer (nevzpomenu si) a další (email klienta musím oželet). Ano, když to všechno vypnu (a ještě použiji čistý profil, ale to zas přijdu od fulltext DB), je to skutečně hned. Neříkal jsi náhodou, že FF má velké možnosti právě díky doplňkům? Takže buď to bude rychlé ale bez funkcí (takže nepoužitelné) nebo to bude s funkcemi a děsně pomalé (takže nepoužitelné). Ach jo, kde je ten prohlížeč, který se kdysi jmenoval jako jedna DB a byl prudce použitelný? Chci ho zpět.
Speed Dial už mi poslední dobou připadá jako zbytečná pitomost a zpomaluje to otevření tabu jako prase. Zatímco otevření tabu příkazem ":t" je otázka velmi krátkého zlomku vteřiny (a mám před sebou prázdnou stránku), otevření tabu pomocí Ctrl+T trvá sekundu, a další tři sekundy se načítají náhledy (mám 5x4 stránek). Jediná výhoda je ve schopnosti otevírat stránky zkratkou Ctrl+číslo..
btw mám v prohlížeči 6 doplňků a start je kolem deseti sekund (4 otevřené taby v session) a přepnutí je určitě kratší než .5, řekl bych tak kolem 200 ms.
Core 2 Duo @700MHz, 1GB RAM, Slackware Linux chyba je asi ve woknech pánové :-P
12.7.2009 19:04
stativ | skóre: 54
| blog: SlaNé roury
Standardně 5 - klik dole na "vím o co se jedná" (1), pak přidat výjimku (2), získat certifikát (3), odškrtnout dole trvalé uložení (4), potvrdit dialog (5) a reload klávesou F5
.
V podstatě by stačily 4 s trvalým uložením certifikátu, já jsem si to přes nějakou vlastnoručně nalezenou option v about:config nastavil tak, že "vím o co se jedná" mám automaticky rozbaleno, takže mi stačí 4 (nebo 3) kliky. Pořád to ale není double enter, natož pak automatika bez dialogu
Tak jsem to našel, browser.xul.error_pages.expert_bad_cert na true a obě položky budou na error stránce rozbaleny automaticky.
13.7.2009 08:52
stativ | skóre: 54
| blog: SlaNé roury
12.7.2009 19:55
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
natož pak automatika bez dialogu
To nesmí být. Prohlížeč musí nějak dát najevo, že o tom SSL spojení nic neví a že to nechává na uživateli. Pokud by to bylo nastaveno automatické přijetí, tak https nemá smysl.
Jak jsem psal nahoře - riziko by bylo jen při první návštěvě stránky (stejně jako teď), tudíž dialog leda při první návštěvě a to nějakou snadněji odentrovatelnou formou. Navíc díky tomu, že je MITM prakticky použitelný jen pokud je uživatel na stránce poprvé a nemá "trvalou výjimku", pak si myslím, že by byl i onen dialog zbytečný. Stačilo by upozornění třeba v URI baru. Na druhou stranu je fakt, že něco jako "Fingerprint is: blabla, yes/no, [x] permanently" by pravděpodobně bylo lepší.
12.7.2009 20:29
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
12.7.2009 20:51
Jendа | skóre: 78
| blog: Jenda
| JO70FB
12.7.2009 21:09
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
12.7.2009 21:14
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Pořád přemýšlím, když už někdo ten přístup na cizí účet získá, jak "odklidit" peníze, aby to nešlo vystopovat
12.7.2009 21:21
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
Kdyby při přístupu k bance, která se chlubí Thawtem/Verisignem vyskočila Firefoxí prudička, bylo by to minimálně divné.To je fakt. Možná by bylo pomocí nějakého L7Filteru vhodné sledovat zda-li si vůbec o certifikát CA uživatel žádá.
Pořád přemýšlím, když už někdo ten přístup na cizí účet získá, jak "odklidit" peníze, aby to nešlo vystopovatMichael Scofield je poslal na offshore account. Jak se to dělá doopravdy, netuším.
12.7.2009 21:22
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
Ano, já taky před lety podobné věci zkoušel, ať už to v txt/ncurses/gui verzi ettercapu nebo manuálně přes openssl proxy, fragrouter a nástroje z balíku dsniff.
Má poslední věta z minulého postu směřovala právě na situaci, kdy je uživatel pod MITM už odzačátku. V ideálním případě by se před loginem na stránce mohlo objevit něco jako "fingerprint je blabla" a pokud se v dialogu prohlížeče objeví jiný, ...
12.7.2009 21:11
Jendа | skóre: 78
| blog: Jenda
| JO70FB
V ideálním případě by se před loginem na stránce mohlo objevit něco jako "fingerprint je blabla" a pokud se v dialogu prohlížeče objeví jiný, ......tak by útočník podvrhl i tu stránku
12.7.2009 21:15
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Možná si jen nerozumíme, možná že to tak opravdu myslíš, nevím.
Ty chceš neustále zjednodušovat odlepnutí SSL spojení. To nejde. Aby SSL splnilo svůj účel, tak na klientské straně opravdu musí být certifikát a uživatel nebo správce MUSÍ zajistit, že je to správný certifikát.
riziko by bylo jen při první návštěvě stránky (stejně jako teď)
Mezi první návštěvou a dalšími není z hlediska bezpečnosti rozdíl. Pokud nemám ve svém počítači nainstalovaný certifikát dané CA, prohlížeč mě na danou situaci upozorní (upozornění musí být jasné, ikonka ve status baru s tím, že vidím neověřený obsah na stránce je opravdu k ničemu). Poté mu musím nějakým způsobem dodat ten cert. Pokud využiji možnosti prohlížeče k automatické instalaci cert, tak musím nějakým jiným kanálem (třeba telefonicky) ověřit jeho fingerprint. Pokud toto neudělám, degradoval jsem HTTPS na HTTP s tím, že po cestě nechodí plaintext, ale nějaká binární data. Ale hlavní výhoda SSL, tedy to, že vím s kým komunikuji a komunikuji bezpečně, je v tahu.
Takže prohlížeč by měl uživatele vést tímto směrem, tedy k ověření pravosti cert bezpečnou cestou a jiným kanálem. Rozhodně ne tak, že si ten CRT stáhnu z nějaké jiné a ještě http stránky (viz. PostSignum a jejich root-cert na stránkách ministerstva).
Viz můj post výše. Máš pravdu, že nejlepší cesta je použít jiný komunikační kanál, vyplatí se to třeba v případě bankovnictví, ale u ostatních běžných stránek to bude pořád pokračovat/storno (za předpokladu, že tvůrce webu tam neuvede svůj fingerprint nebo bude útočník mít spadeno na jednu konkrétní stránku, kterou podvrhne).
Je addon do firefoxu, který to řeší pomocí množství nějakých externích "notářů", někdy dnes jsem jej zkoušel a očividně už nefungoval.
PS: Docela by mě zajímalo, zda by mi slečny na infolince ČSOB pomohly s certifikátem.
12.7.2009 21:50
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Docela by mě zajímalo, zda by mi slečny na infolince ČSOB pomohly s certifikátem.Ne. A slečna na Czechpointu taky ne. Nikdo ti nepomůže! Co budeme dělat?! Jak lze osvítit veřejnost?
13.7.2009 08:52
stativ | skóre: 54
| blog: SlaNé roury
Pokud by to bylo nastaveno automatické přijetí, tak https nemá smysl.IMHO by smysl mělo. Hrozil by sice MITM útok, ale na druhou stranu by to bylo mnohem odolnější vůči jednoduchému odposlechu (třeba nezabezpečená Wi-fi). Man in the middle je složitější a spousta script kiddies by ho nezvládla. Řekl bych, že nějaké podbarvení URI baru by bylo dostatečné. Vidím oranžovou – jsem na https ale není to ověřené −> tudíž nemohu tomu (tolik, v závislosti o co jde) věřit. Vidím zelenou – jsem za vodou.
12.7.2009 20:07
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
natož pak automatika bez dialoguTak co Hrachu? Dáme se na ten skript? A ještě za něj můžeme vybrat nějaké provize.
12.7.2009 20:52
Jendа | skóre: 78
| blog: Jenda
| JO70FB
12.7.2009 21:10
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
12.7.2009 21:20
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Mimochodem, u dvou pravidel do iptablů a několika příkazů opsaných z Examples bych aut. práva neřešil
12.7.2009 21:25
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
12.7.2009 21:30
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Ale uživatelé(dle vzoru užívat si) už mě poslední dobou pěkně štvou a tak by mě nějaké malé zapruzení vcelku potěšilo.+1
A nejhorší jsou takyadmini, kteří třeba radí, aby uživatel při přístupu k nějaké životně důležité aplikaci pro komunikaci se státem upozornění ignoroval!
Také jsem zkusil hledat "cert" v about:config, podle názvu jedné hodnoty zkusil googlit a našel informaci, podle které lze error handling nastavit podle sebe (nově v 3.5), snad se toho nějaký tvůrce addonů chytí.
12.7.2009 20:04
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
12.7.2009 19:06
default | skóre: 22
| Madrid
Já jdu ven.
12.7.2009 20:10
pushkin | skóre: 43
| blog: FluxBlog
13.7.2009 00:28
Fluttershy, yay! | skóre: 92
| blog:
Každý prohlížeč má silné stránky jinde. Jde o to, jaké máš priority. Třeba já střídám Firefox a Chrome podle toho, co chci dělat.
14.7.2009 11:23
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Hmm, no já jsem střídal: Operu (default), Firefox (hlavně pro vmware-console a jako fallback po opeře), Chrome (mapy, které nemám offline), IE (minimálně), Safari (jen na test).
Jenže, tak jak se dřív dělaly stránky pro IE a na ostatní prohlížeče se z vysoka sralo, tak se dnes dělají stránky pro Firefox a na ostatní se sere ještě víc. Takže, ač velmi spokojený user Opery jsem čím dál tím častěji narážel na drobnosti (tisíckrát nic umořilo vola). Ale není to chyba opery. Kdybych měl defaultně safari nebo aroru, tak to bude zcela stejné, ne-li horší.
Byla chvíle, kdy se vývojáři (poprvé a asi i naposledy) zajímali o standardy. To bylo v době, kdy měl IE majoritu a FF byl někde na 10%. Optimalizovat pro IE nebylo dost cool, každý web se chlubil nejstriktnějším (podle w3c validátoru) html. Tehdy byl web nejpoužitelnější. Každý minoritní prohlížeč uměl html standard velmi dobře.
Takže, tisíkrát nic + neustále přepínání url mezi prohlížeči mě nakonec dostalo. Odinstaloval jsem si všechny prohlížeče a nastavil FF k obrazu svému (podle Opery). No ale teď to začíná. Je to (po 3 týdnech používání) strašně pomalé (.5s na přepnutí taby už je fakt za mou tolerancí) a navíc to má bugy v zobrazení jpegu s sRGB profilem. Ty snad vyřeší do 3.5.1.