Byl vydán Linux Mint 22.2 s kódovým jménem Zara. Podrobnosti v přehledu novinek a poznámkách k vydání. Vypíchnout lze novou XApp aplikaci Fingwit pro autentizaci pomocí otisků prstů nebo vlastní fork knihovny libAdwaita s názvem libAdapta podporující grafická témata. Linux Mint 22.2 bude podporován do roku 2029.
Čínská společnost Tencent uvolnila svůj AI model HunyuanWorld-Voyager pro generování videí 3D světů z jednoho obrázku a určené trajektorie kamery. Licence ale nedovoluje jeho používání na území Evropské unie, Spojeného království a Jižní Koreje.
Blender Studio se spojilo s kapelou OK Go a výsledkem je videoklip k písni Impulse Purchase. Stejně jako samotný 3D software Blender je i ve videoklipu použitý animovaný chlápek open source. Kdokoli si jej může stáhnout a upravovat.
Zig Software Foundation stojící za programovacím jazykem Zig publikovala finanční zprávu za rok 2024. Současně s prosbou o finanční příspěvek.
Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za srpen (YouTube). Vypíchnuta je podpora Tabulek Google, implementace Gamepad API a Cookie Store API nebo také podpora WebGL na Linuxu.
openSUSE Leap 16, včetně Leap Micra 6.2+, nově nabízí 24 měsíců podpory pro každé vydání. To je dva roky aktualizací a stability, což z něj činí nejdéle podporovanou komunitní distribuci vůbec. Leap se tak stává ideální platformou pro všechny, kdo hledají moderní, stabilní a dlouhodobě podporovanou komunitní Linux distribuci.
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal dne 3. 9. 2025 VAROVÁNÍ před hrozbou v oblasti kybernetické bezpečnosti spočívající v předávání systémových a uživatelských dat do Čínské lidové republiky a ve vzdálené správě technických aktiv vykonávané z území Čínské lidové republiky. Varováním se musí zabývat povinné osoby podle zákona o kybernetické bezpečnosti.
Americká internetová společnost Google nemusí prodat svůj prohlížeč Chrome ani operační systém Android. Rozhodl o tom soud ve Washingtonu, který tak zamítl požadavek amerického ministerstva spravedlnosti. Soud ale firmě nařídil sdílet data s jinými podniky v zájmu posílení konkurence v oblasti internetového vyhledávání. Zároveň Googlu zakázal uzavírat dohody s výrobci mobilních a dalších zařízení, které by znemožňovaly
… více »Prvního září ozbrojení policisté zatkli na na londýnském letišti Heathrow scénáristu a režiséra Grahama Linehana, známého především komediálními seriály Ajťáci, Otec Ted nebo Black Books. Během výslechu měl 57letý Graham nebezpečně zvýšený krevní tlak až na samou hranici mrtvice a proto byl z policejní stanice převezen do nemocnice. Důvodem zatčení bylo údajné podněcování násilí v jeho 'vtipných' příspěvcích na sociální síti
… více »Studentská dílna Macgyver zve na další Virtuální Bastlírnu - pravidelné online setkání všech, kdo mají blízko k bastlení, elektronice, IT, vědě a technice. Letní prázdniny jsou za námi a je čas probrat novinky, které se přes srpen nahromadily. Tentokrát jich je více než 50! Těšit se můžete mimo jiné na:
Hardware – Bus Pirate na ESP32, reverse engineering Raspberry Pi, pseudo-ZX-80 na RISC-V, PicoCalc, organizéry na nářadí z pěny nebo … více »
Samozřejmě že nejsem jediný kdo si tenhle problém uvědomuje; již delší dobu jsou zde snahy typu openid, oauth a podobně. Problémem je centralizace - aby jste mohly takovou službu používat musíte si vybrat poskytovatele. Nelíbí se mi poskytovat gigantům typu google, facebook či twitter ještě další informace a proto jsem hledal něco decentralizovanějšího.
Už nějaký čas používám LastPass. Služba mi vyhovuje, je výborně odladěná a je vidět že její tvůrci dbají na každý detail. Ač je to komerční služba (pro mě zadarmo) s centrálním úložištěm dat, tak všechny data jsou zašifrovány pomocí AES respektive pomocí Vašeho hesla. To je důležité zmínit neboť je to obrovská výhoda oproti konkurenci - i když byli jejich servery hacknuty nedošlo zde k žádnému úniku nezašifrovaných dat. Nicméně ač je LastPass tak úžasný a díky jen díky němu je tráva zelenější a lidé štastnější, není to řešení ale spíše náplast pro trvale krvácejícího uživatele jenž je zraněn pokaždé co ho někdo donutí napsat svůj login a heslo.
A pak mě napadlo jak by vše vlastně mohlo být jednoduché - kdyby se použilo GPG. To totiž nabízí metodu jak jasně a bezpečně prokázat že jsem ten za koho se prohlašuji. Ano, narážím na podepisování zpráv. Proč by autentizace nemohla být tak jednoduchá jako podepsání zprávy? Má představa byla následující: uživatel jde url example.com/login . Server mu pošle podepsaný token, v prohlížeči vyskočí nabídka jestli chce uživatel podepsat token a jakým klíčem. Server má nyní možnost ověřit zdali je uživatel skutečně ten za koho se vydává. V případě že není na serveru veřejný klíč uživatele, není problém ho stáhnout z keyserverů. Veřejný klíč je snadné ověřit například pomocí zaslání emailu na uvedenou adresu. Myslím že to není třeba dále rozebírat, metody na distribuci klíčů už zde existují dlouho.
Problémem je zde podpora v prohlížečích - samotné podepisování tokenu musí být automatizované. Tak mě napadlo kouknout se na google jestli zde něco podobného není, nic jsem nenašel. Poté mě napadla spásná myšlenka kouknout se na zdrojáky ne tak docela mrtvého projektu Firegpg, po chvíli jsem našel složku se slibným názvem GPGauth. A skutečně, byla to implementace něčeho hodně podobného.
Konkrétně se jednalo o GPGAuth.org. Na stránkách projektu najdete doplněk do chromu, návody na implementaci v php a djangu. Nejedná se o nic složitého, implementace je tak na dvě hodiny.
Tak a to je vše.
Tiskni
Sdílej:
9.10.2011 04:58
pavlix | skóre: 54
| blog: pavlix
Nelíbí se mi poskytovat gigantům typu google, facebook či twitter ještě další informace a proto jsem hledal něco decentralizovanějšího.OpenID jde používat tak decentralizovaně, jak si sám zvolíš. Tím nechci říct, že by na kryptografické autentizaci pomocí (třeba) GnuPG bylo něco špatného, právě naopak! Ale dokud nebude použití kryptografických klíčů pro uživatele běžnější než autentizace bez ní, tak je zde velký prostor pro obojí. Ale radši se nejdřív podívej, jak pozvolná je adopce tak jednoduché technologie jako OpenID, než začneš doufat v rozšíření čehokoli složitějšího.
9.10.2011 16:42
pavlix | skóre: 54
| blog: pavlix
9.10.2011 09:30
Saljack | skóre: 28
| blog: Saljack
| Praha
Jak to potom tedy vysvětlíme nějakému nezkušenému uživateli?S bicem v ruce.
9.10.2011 16:44
pavlix | skóre: 54
| blog: pavlix
9.10.2011 17:42
Saljack | skóre: 28
| blog: Saljack
| Praha
9.10.2011 16:45
pavlix | skóre: 54
| blog: pavlix
9.10.2011 18:18
xkucf03 | skóre: 49
| blog: xkucf03
11.10.2011 14:08
pavlix | skóre: 54
| blog: pavlix
13.10.2011 10:59
pavlix | skóre: 54
| blog: pavlix
17.10.2011 16:26
pavlix | skóre: 54
| blog: pavlix
10.10.2011 11:32
xkucf03 | skóre: 49
| blog: xkucf03
11.10.2011 14:09
pavlix | skóre: 54
| blog: pavlix
11.10.2011 15:48
xkucf03 | skóre: 49
| blog: xkucf03
trusted ca v klasické PKI půzobí plošněViz RFC 2459 z roku 1999 a Name Constraints:
The name constraints extension, which MUST be used only in a CA certificate, indicates a name space within which all subject names in subsequent certificates in a certification path shall be located. Restrictions may apply to the subject distinguished name or subject alternative names.Je zajímavé, kolik věcí už bylo vynalezeno a stačí je pouze začít používat
CA v DNSSEC mají vymezené pole působnostiCož na druhé straně ale také znamená, že jsou monopolními CA pro danou doménu (neříkám, že je to vyloženě špatně – ono to spíš jinak nejde). Tím nechci říct, že je používání DNSSEC špatné, naopak – když se někam připojuji (a je jedno, jestli je to HTTPS, SSH nebo cokoli jiného) a najdu tam samopodepsaný certifkát, jehož otisk se nachází i v DNSSEC TXT záznamech, tak je to důvěryhodnější, než samopodepsaný/nepodepsaný certifikát bez ověření otisku přes DNSSEC. Ale beru to jako takovou pomůcku, která lehce zvýší bezpečnost, něco jako druhý zámek na dveřích vedle toho hlavního…
9.10.2011 22:39
pavlix | skóre: 54
| blog: pavlix
To není chyba PKI, ale chyba lidí, kteří důvěřují nedůvěryhodným certifikačním autoritám. A nakonec se na ty CA můžeš vykašlat a používat tu technologii (HTTPS + klientské certifikáty) stejným stylem, jako se používají SSH klíče.Pokud to budu používat stylem, jak se používají SSH klíče, tak z PKI nepoužívám zhola nic. Sice občas lidi předstírají, že self-signed certifikát je něco více než jen veřejný klíč, ale za to já nemůžu.
Ty CA je potřeba brát jako něco, co ti může ulehčit a zpříjemnit práci (případně snížit bezpečnost za určitých okolností – ale za jiných zase zvýšit*), ale co nemusíš nutně používat.Já PKI beru jako něco, co můžu a nemusím používat, tedy do jisté míry.
Tzn. není to o volbě technologie (SSL vs. GPG vs. SSH), ale spíš o způsobu, jakým ji používáš.Já o voze a ty o koze.
9.10.2011 22:33
pavlix | skóre: 54
| blog: pavlix
Ale prd. GPG (original) nemel system duvery...Dál nemusím číst, protože zřejmě každý píšeme o něčem jiném.
A prihlasovani certifikatem v prohlizeci i serveru (alespon apachi) uz existuje.To už pokud vím docela dlouho :).
Ano i ne. Premyslis o PGP/GPG jako o mechanizmu autentizace pro Weby.Ale prd. GPG (original) nemel system duvery...Dál nemusím číst, protože zřejmě každý píšeme o něčem jiném.
gpgAuth is an authentication mechanism which uses Public/Private (cryptographic) keys (such as GnuPG, PGP) to authenticate users to a web-page or service.Pricemz potrebujes implementaci v php a djangu, nejaky navody pro Chrome. Pritom GPG/PGP je pouze jako SW (nevidel jsem dosud zadny HW token, mozna taky existuje), ale pritom PKI je o hodne vic rozsirene a podporovane. Takze proc hledat reseni pro GPG, kdyz uz existuje pro PKI? Pricemz certifikat x509 muzes pouzivat uplne stejne jako GPG a mas k tomu navic moznost pouzit nejake verejne CA, cili duverovat certifikatum podepsanym jednim subjektem. Takze do ankety bych doplnil - "Podle me to sanci nema, pokud nekdo nezainvestuje do vyvoje podpory v klientech, serverech, HW tokenech a do reklamy, protoze to vsechno uz PKI ma a funguje to a pouziva se to".
10.10.2011 11:57
xkucf03 | skóre: 49
| blog: xkucf03
jak si vygenerovat PKI klíč a jak ho narvat do firefoxu? resp.: to narvání do firefoxu vím jak se dělá. Horší je to s generováním klíčůV HTML formuláři může být značka keygen a prohlížeč při odeslání vygeneruje soukromý klíč (ten si uloží) a veřejný pošle na server společně se zbytkem formuláře. Jednodušší už to snad být nemůže.
10.10.2011 11:48
xkucf03 | skóre: 49
| blog: xkucf03
Pritom GPG/PGP je pouze jako SW (nevidel jsem dosud zadny HW token, mozna taky existuje)Samozřejmě, že existuje – např. OpenPGP card.
ale pritom PKI je o hodne vic rozsirene a podporovane.Souhlas (alespoň pokud se bavíme o webu/https).
Takze proc hledat reseni pro GPG, kdyz uz existuje pro PKI?Snad jen proto, že v GPG můžeš mít svůj klíč podepsaný několika různými subjekty, zatímco u x509 máš vždy jen jednu CA. Jenže k čemu je na webu to dobré? Smysl to má snad leda při ověřování identity serverů (např. si stanovím pravidlo, že když danému klíči serveru věří tři moji důvěryhodní známí, budu mu věřit taky – tzn. věřit, že ten klíč patří k dané doméně), jenže tenhle blog je o ověřování klientů – a tady nic takového potřeba není – stačí mi jednoduše při registraci uživatele spárovat jeho veřejný klíč s jeho účtem, což můžu klidně dělat v x509 (viz #12) a není potřeba kvůli tomu zavádět novou technologii.
11.10.2011 14:10
pavlix | skóre: 54
| blog: pavlix
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
SSL_CLIENT_CERT (to platí pro Apache, jinde to bude podobné) a podle toho identifikuješ uživatele (při registraci nebude zadávat jméno a heslo, ale svůj certifikát resp. veřejný klíč).
Support for authentication using both X.509 and OpenPGP certificates.
Takový drobný problém je, že zřejmě neexistuje HTTP server, který by používal GnuTLS.Apache:
a2enmod gnutls
což jsem jednu dobu i používal, akorát ne s PGP – ale mělo by ho to umět:
Support for RFC 5081bis OpenPGP certificate authentication.Horší mi to přijde spíš na straně klientů, www prohlížečů.
* GPG nema(?) HW tokeny (resp. asi by se dal HW token donutit, aby sifroval i pro GPG, ale do tohohle nevidim tak presne)
Má. Referenční implementaci prodává firma, za kterou stojí pan Koch. Existují i konkurenční výrobci. Ono v podstatě jde jen o označení typu souboru v šifrovacím zařízením. Zařízení s otevřenými ovladači obvykle PGP klíče podporují.
* GPG nema(?) komercni/"komercni" duveryhodne objekty, jejich klice/certifikaty by byly distribuovany v klientech/serverech
Protože to je vlastnost. Ostatně i PKI má s tímto problém. Alespoň tady v Česku. Naproti tomu PGP má něco, co PKI nemá – klíčové servery. To je ta věc, proč nemusíte tahat celou databázi do vašeho počítače jako s PKI a čekat, až jeho výrobce vám dodá novou verzi. Popravdě řečeno vrcholová úroveň kvalifikovaných autorit v EU je také jenom seznam bez nějaké relace důvěry.
10.10.2011 01:42
pavlix | skóre: 54
| blog: pavlix