FreeCAD (Wikipedie), tj. svobodný multiplatformní parametrický 3D CAD, má nový vtipný a současně užitečný doplněk Banana For Scale (GitHub). Aktuálně umožňuje do výkresu vložit banán nebo plechovku pro porovnání a určení měřítka.
Blender Studio nedávno oznámilo plán vytvořit svůj první otevřený (open source) celovečerní film. Film by se měl jmenovat Overgrown (YouTube). Film vznikne, pokud se zajistí financování. Prvním krokem je získat 7 000 předplatitelů Blender Studia. Cena je od 11,50 eur měsíčně. Aktuálně počet předplatitelů je 5 289. Předplatné pokryje 20 % nákladů. Zbytek, 80 % nákladů, má být financován externími producenty nebo distributory.
Byl vydán Debian 13.6, tj. šestá opravná verze Debianu 13 s kódovým názvem Trixie a Debian 12.15, tj. poslední patnáctá opravná verze Debianu 12 s kódovým názvem Bookworm, k dispozici je LTS. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 13 a Debianu 12 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.
V jádře Linux byla nalezena a v upstreamu již byla opravena kritická zranitelnost GhostLock aneb CVE-2026-43499. Lokálnímu uživateli umožňuje získat práva roota a také obejít kontejnerovou izolaci. Zranitelnost existovala v Linuxu 15 let, tj. od roku 2011, od Linuxu verze 2.6.39.
Evropská komise předběžně shledala, že návykový design aplikací Instagram a Facebook od americké společnosti Meta porušuje unijní nařízení o digitálních službách (DSA). Návykový design zahrnuje například takzvané nekonečné posouvání, automatické přehrávání videí, tzv. push notifikace, kdy aplikace uživatele vybízí k návratu do jejího prostředí, či vysoce personalizovaný algoritmus, který rychle pozná, co uživatele baví a snaží
… více »Byla vydána verze 1.97.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.
Švýcarská společnost Punkt. má nově v nabídce telefon Punkt. MC03. Telefon byl navržen ve Švýcarsku s důrazem na soukromí a digitální suverenitu a vyroben v Německu. V telefonu běží operační systém AphyOS (Apostrophy OS) založený na AOSP (Android Open Source Project) 15. Cena telefonu je 745 eur.
TypeScript (Wikipedie), tj. JavaScript rozšířený o statické typování a další atributy, byl vydán v nové verzi 7.0. Kompilátor byl kvůli výkonu přepsán z TypeScriptu do Go.
Europarlament podpořil pozměněnou verzi výjimky známé jako „chat control 1.0“ umožňující firmám skenovat soukromou komunikaci na internetu kvůli ochraně dětí před zneužitím. Pozměňovací návrhy přijaté europoslanci však počítají s tím, že z výjimky bude vyřazena šifrovaná komunikace. Výjimka přestala platit začátkem dubna poté, co se Evropský parlament a Rada EU nedokázaly shodnout na jejím prodloužení. Rada následně přijala
… více »Nejnovější X.Org X server 21.1.24 a Xwayland 24.1.13 řeší 2 bezpečnostní chyby.
Pokud narazite na situaci kdy nekdo ukradne databazi hesel v textove podobe a nahodou budou fungovat loginy a hesla i do ostatnich sluzeb (napr. gmail, facebook,...) pak takovy uzivatel je blazen a muze si za to sam.Což ale nijak neospravedlňuje ISP, který hesla nehashuje. To je základní bezpečnostní požadavek; hashovat hesla, a to s dostatečně dlouhou a dostatečně unikátní/náhodnou solí.
To je základní bezpečnostní požadavekCitation needed, woe :). Základní požadavek čí? Tvůj? Zákazníků? Hádám, že kdybysis udělal statistiku, že většina lidí víc ocení to, že si můžu nechat poslat heslo, než že v databázi provozovatele služby je heslo zahešováno.
Základní požadavek čí? Tvůj? Zákazníků?
Cekali byste takovy pristup u ISP?Samozřejmě. A nevidím v tom žádný problém. Existují asi tak tři možnosti, jak nakládat s autentizací pomocí hesla... 1) PSK, tedy klasické heslo uložené v databázi, jako to má UPC. U mnoha protokolů včetně HTTP (ale bohužel se používají spíše webové formuláře) je pak možnost vůbec neposílat heslo po síti. 2) Hashované heslo (bez soli, se solí, ...), čímž se automaticky odsoudíte k tomu, že se heslo musí posílat po síti, což způsobuje problém při porušení autenticity stroje, kam se přihlašujete. 3) Zkombinovat výhody obou postupů nějakým šikovným kryptografickým mechanismem (Hledej: SCRAM). K tomu je potřeba podpora serverového i klientského software a tato podpora jaksi chybí. 4) Nepoužívat ji (používat mechanismus založený na něčem jiném). Nevýhody jsou zřejmé. Každá možnost má své výhody a nevýhody, tudíž lze naprosto chápat, že se v mnoha případech použije PSK.
Ale přesto pár poznámek:
Mít původní heslo v DB ti sice umožní neposílat heslo po síti, jenže pokud se použije formulářová autentizace, tak heslo hashuješ JavaScriptem na straně klienta. A pokud se nepoužívá HTTPS, může útočník podvrhnout HTML/JS tak, aby se heslo nezahashovalo a poslalo jen tak a uživatel nic nepozná – stránka vypadá úplně stejně. Pokud se použije HTTP digest autentizace (opět bez SSL), tak zase útočník může komunikaci upravit/přeložit a směrem ke klientovi to poslat jako HTTP Basic autentizaci (tady už si toho uživatel může všimnout, protože www prohlížeč by mu měl v dialogovém okně pro zadání hesla napsat, jaká metoda se používá – ale kolik uživatelů si toho všimne?)
I když se podaří uchránit heslo, není (při použití nešifrovaného HTTP) chráněn samotný obsah – lze podvrhovat vlastní, číst komunikaci nebo provádět akce za uživatele (posílat e-maily, měnit konfiguraci služeb atd.).
jenže pokud se použije formulářová autentizaceAno, formulářová autentizace je díra sama o sobě, proto jsem psal o síťových protokolech a jejich autentizačních prostředcích s povzdechem nad implementací i oblibou HTTP autentizace a případných dalších, které mají alespoň malou šanci fungovat. Ono by bylo asi dobré všechny tyhle mechanismy chránít alespoň „z druhé strany“, tzn třeba přes chráněné DNS. Nikde jsem netvrdil, že postavit to zabezpečení správně je něco jednoduchého.
>UPC nepoužívá hash pro ukládání hesel.
Ábíčko taky ne. :-P
Rozdil je jenom v tom, ze kdyz uz se nekdo k te databasi dostane, tak ty hashe (idealne na vykonnejsim stroji nebo v graficke karte nebo v cloudu za par kacek) prevede zpet na cista hesla.Prosím o získání původního hesla z tohoto hashe: 58f2e11fc238419be2bd6923a599640915806f71284d8ca89e93f3d9198f5b9e56999ff79b00676c435ce67e520e6ec549f014981f19665a6a34b506ec9246b3 Sůl je "231564256" (každý uživatel má jinou). A algoritmus je SHA 512.
echo "231564256;tadyJeToHesloKteréHledáme" | sha512sumJe to značně zjednodušené – heslo je tvořené samými malými písmeny a mezerami.
I ty newline jeden! (hint:echo "231564256;tadyJeToHesloKteréHledáme" | sha512sum
echo -n)
hint: echo -n
<rejp>
Standard [man 1p echo] říká: "Implementations shall not support any options.
"
Standardu odpovídající by bylo printf. Toto je mimochodem jedna z mála situací, kdy standard imho dává lepší smysl než gnu tweak.
</rejp>
žádný plaintext v mailuTo se lehko řekne
Vzhledem k tomu, že elektronický podpis nezvládá ani většina firem, které posílají nějaké faktury – případně banky, které posílají nešifrované výpisy z účtů…
Ty ostatní věci jsou samozřejmost (hashování hesel, solení, SSL), jsou dosažitelné a skoro nic nestojí, ale výkřiky typu „žádný plaintext v mailu“ jsou opravdu jen výkřiky, když neřekneš, jak toho dosáhnout – předpokladem je dokopat lidi k tomu, aby si vygenerovali pár klíčů (je celkem jedno jestli GPG nebo x509 nebo něco jiného) a pak jim tedy můžeš poslat heslo zašifrovaným e-mailem (jenže to už rovnou můžou použít ten osobní certifikát pro přihlášení na webu). Jenže půlka BFU nebude vědět, jak na to a druhá půlka ten soukromý klíč časem ztratí (např. při havárii disku nebo přeinstalaci počítače – nezálohování je samozřejmost) a když budou chtít obnovit heslo, tak klíč nebudou mít a tobě stejně nezbude, než jim to poslat nešifrovaným mailem nebo je odepsat a říct, ať si založí nový účet (protože jiný způsob, jak je identifikovat nemáš).
Tohle je běh na dlouhou trať – ale nejdřív se musí změnit (vzdělat) uživatelé, až pak můžou provozovatelé služeb zavést pravidla typu „žádné citlivé informace v nešifrovaných e-mailech“.
K loginu stačí pridať pár znakov ktoré podľa mňa nemusia byť vôbec náhodné, ale pevne zadrôtované v kóde a spája sa heslo+login+pevnýReťazec. Tá náhodná soľ sa musí ukladať, tak neviem či to moc prispeje k bezpečnosti, podľa môjho názoru nie, možno sa mýlim.Mírně přispěje právě tím, že je různá, že nejde předgenerovávat bez znalosti dat. O nic jiného nejde. Počet znaků soli se nějakým způsobem volí, zatím jsem neřešil jak.
A když už teda by někdo ukradl tu databázi, určitě tam najde daleko "lepší" údaje.To rozhodně.
Tiskni
Sdílej: