Na YouTube je k dispozici videozáznam z včerejšího Czech Open Source Policy Forum 2024.
Fossil (Wikipedie) byl vydán ve verzi 2.24. Jedná se o distribuovaný systém správy verzí propojený se správou chyb, wiki stránek a blogů s integrovaným webovým rozhraním. Vše běží z jednoho jediného spustitelného souboru a uloženo je v SQLite databázi.
Byla vydána nová stabilní verze 6.7 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 124. Přehled novinek i s náhledy v příspěvku na blogu. Vypíchnout lze Spořič paměti (Memory Saver) automaticky hibernující karty, které nebyly nějakou dobu používány nebo vylepšené Odběry (Feed Reader).
OpenJS Foundation, oficiální projekt konsorcia Linux Foundation, oznámila vydání verze 22 otevřeného multiplatformního prostředí pro vývoj a běh síťových aplikací napsaných v JavaScriptu Node.js (Wikipedie). V říjnu se verze 22 stane novou aktivní LTS verzí. Podpora je plánována do dubna 2027.
Byla vydána verze 8.2 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Přehled novinek v poznámkách k vydání a v informačním videu. Zdůrazněn je průvodce migrací hostů z VMware ESXi do Proxmoxu.
R (Wikipedie), programovací jazyk a prostředí určené pro statistickou analýzu dat a jejich grafické zobrazení, bylo vydáno ve verzi 4.4.0. Její kódové jméno je Puppy Cup.
IBM kupuje společnost HashiCorp (Terraform, Packer, Vault, Boundary, Consul, Nomad, Waypoint, Vagrant, …) za 6,4 miliardy dolarů, tj. 35 dolarů za akcii.
Byl vydán TrueNAS SCALE 24.04 “Dragonfish”. Přehled novinek této open source storage platformy postavené na Debianu v poznámkách k vydání.
Oznámeny byly nové Raspberry Pi Compute Module 4S. Vedle původní 1 GB varianty jsou nově k dispozici také varianty s 2 GB, 4 GB a 8 GB paměti. Compute Modules 4S mají na rozdíl od Compute Module 4 tvar a velikost Compute Module 3+ a předchozích. Lze tak provést snadný upgrade.
Po roce vývoje od vydání verze 1.24.0 byla vydána nová stabilní verze 1.26.0 webového serveru a reverzní proxy nginx (Wikipedie). Nová verze přináší řadu novinek. Podrobný přehled v souboru CHANGES-1.26.
V několika blozích a souvisejících diskuzích se tu rozeběhla rozsáhlá a místy emotivní debata o výhodách a nevýhodách OpenID. Debatuje se o bezpečnosti či nebezpečnosti, o tom, k čemu OpenID sloužit má a k čemu nemá. Z různých variant co by, kdyby na mne ale čím dál víc kouká jediná věc – je to celé takové divně postavené, už z principu. Ale jak by takové jednoduché přihlašování bez OpenID mohlo vypadat?
Nebudu zde řešit OpenID jako „jedna identita napříč internetem“ – někdo tvrdí, že to není účel OpenID, a ti, kteří tohle jako účel OpenID obhajují, nedokáží (podle mě) vyvrátit vážné obavy o nebezpečnost takového systému. Zaměřím se na něco jiného. Na přihlašování k webovým aplikacím z různých počítačů.
Na první pohled se řešení problému „spousta různých loginů a hesel“ metodou jeden login pro všechno jeví jako revoluční. Pořádná změna oproti dřívějšku, to by opravdu mohlo zafungovat. Jenomže při bližším pohledu se tahle novinka začne ukazovat jako ne příliš šťastné řešení. Objeví se problém s koncentrací moci do rukou správce registru loginů? Nevadí, zavedeme decentralizaci. To ovšem zase přinese problémy s bezpečností, a také problémy s tím, že ověřující server je nucen komunikovat prakticky s jakýmkoli pochybným web serverem. A tak se problémy kupí, odstraňují a kupí se problémy zase nové. A už se nikdo nepodívá na začátek, co že jsme to vlastně chtěli vyřešit…
Dvacet minut cesty metrem je dobrá doba akorát tak na to na ten začátek se vrátit, a sesumírovat si, jak by takové bezpečné a pohodlné přihlašování mohlo vypadat. Tak předně vyjdu z toho, že mám nějakou databázi serverů, loginů a hesel, která používám. Na jednom počítači je to jednoduché, tam si to pamatuje prohlížeč. Pokud má být počítačů víc, udělám si pro to nějakou webovou aplikaci, které předám jako parametr název serveru, a ona mi zobrazí login (loginy) a hesla. Tuhle aplikaci můžu zabezpečit jedním heslem, certifikátem – jak chci.
Jak ale heslo pohodlně dostat do formuláře? Stačí si vyrobit bookmarklet, který vezme adresu současného serveru, udělá z ní parametr dotazu a přesměruje mne na mou aplikaci pro hesla – třeba https://mojehesla.example.com/login?server=abclinuxu.cz. Tam se přihlásím (pokud už přihlášen nejsem), vyberu se který z loginů chci použít, tím se vyplní formulář a ten se odešle rovnou na původní server – pokud server nebude blbé a nebude kontrolovat referrery, jsem přihlášen. (Pokud je kontrolovat bude, nepřihlásí se spousta lidí ani normálně.)
To byl nejnižší level. Pokračujem dál. Zmíněnou adresu si můžu uložit do záložek nebo jí budu mít v historii prohlížeče místo původní přihlašovací stránky. Pokud bude chtít server něco na tomto způsobu přihlášení podporovat, může – bude mít položku pro zadání výše zmíněného URL, po odeslání formuláře adresu s názvem serveru vyrobí sám a přesměruje mne na ni. Pokud bude chtít na tomto způsobu přihlašování něco podporovat prohlížeč, může jako url poskytnout třeba about:passwords, a na tohle URL už si namapuje vlastní akce. Pokud bude uživatel chtít mít hesla uložená jen lokálně, spustí si příslušný webserver lokálně a adresa pro hesla pak bude vypadat http://localhost:9876/login?. No a vzdálený přístup přes web samozřejmě může uživateli poskytovat někdo „na zakázku“ – ať už zdarma, nebo jako placenou službu. Uživatel těch url může klidně používat několik – jedno vzdálené free pro méně důležitá hesla, lokální pro hesla důležitá.
Registrace už taková procházka růžovým sadem není – bookmarklet vám sice může vygenerovat URL, které vás přesměruje na váš server a odešle i názvy formulářových položek, ty se ale pravděpodobně budou lišit od přihlašovacího formuláře. Takže váš správce hesel si jen zapamatuje URL a login, vygeneruje vám heslo, které přes schránku přenesete do registrace, a tím pro tuto chvíli skončí. Při prvním přihlášení pak musíte svázat názvy políček s údaji, které si váš správce hesel pamatuje.
Tohle vše je samozřejmě popsáno z pohledu hloupého prohlížeče, který neví, o co jde. V takovém prohlížeči si prostě jen otevřete svého správce hesel a přetáhnete odkaz–bookmarklet na lištu odkazů vašeho aktuálního prohlížeče. Jinak je ale samozřejmě možné pro tohle mít podporu přímo v prohlížeči – ať už jako Greasemonkey (nebo podobný) skript, nebo přímo jako plugin. Ten se pak může chovat úplně stejně, jako dnešní doplňování hesel, jenom bude komunikovat s nějakým „vzdáleným“ správcem hesel.
Výhody? Není potřeba žádná podpora ze strany serverů, kam se přihlašujete – když si ty skripty a jednoduchou aplikaci napíšete nebo seženete, můžete to začít používat hned; podpora v prohlížeči je volitelná; volitelná je dokonce i nutnost JavaScriptu – když už to opravdu jinak nepůjde, pořád můžete na webové stránce vašeho správce hesel zadat adresu serveru ručně, heslo si zobrazit a přenést přes schránku. Dále si vy sami určujete, kde budou hesla uložená – zda na lokálním počítači, nebo někde „venku“. Dokonce i hesla uložená „venku“ nemusí být pro externího provozovatele systému čitelná – mohou být zašifrovaná, a rozšifrovávat je může až plugin vašeho prohlížeče, applet, nebo JavaScript – v posledním případě je už ale do formuláře budete muset pravděpodobně přenést ručně. Každopádně ani nešifrovaná hesla nejsou oproti OpenID žádné zhoršení – ke každé službě můžete mít snadno jiné heslo, takže správce hesel se přihlásí jen tam, odkud hesla zná. Ale provozovatel OpenID serveru může udělat to samé, dokonce víc – přihlásit se s vaší identifikací kamkoli, kde podporují OpenID. A poslední výhoda – implementace začíná od těch, kteří z takového systému nejvíc těží – od uživatelů, a to od pokročilých uživatelů, kteří často střídají různé počítače. Přičemž implementace není závislá na ničem dalším, můžete začít takový systém používat hned teď – při nejhorším skončíte u opisování hesla ze stránky svého správce hesel. Nevzniká tak obvyklý kruhový problém „OpenID nikdo nemá, protože ho servery nepodporují“ vs. „servery OpenID nepodporují, protože ho nikdo nemá“.
A nevýhody? Registrace na novém webu je bez podpory prohlížeče méně komfortní. Problematické také může být, pokud server používá nějaké nestandardní metody přihlašování. Ale což, pokud už se přihlašování bude předělávat kvůli OpenID, může se i udělat standardnější. Poslední nevýhoda: není to Open, není to ID, a už vůbec to není web 2.0.
Tak, a teď mi prosím konečně někdo vysvětlete, proč to mé řešení nelze technicky realizovat, nebo v čem je OpenID lepší.
Tiskni
Sdílej:
OpenID resi tento problem ze strany serveruTo je docela trefná poznámka. OpenID řeší problém serverů, které ale žádný problém nemají… Ke zbytku snad jen to, že zálohování bylo vynalezeno již dávno, a hledat někoho ochotného to provozovat nemusím, protože si na provoz vystačím sám.
Ono je docela zajimave ze ted najednou ti OpenID tak vadi a vidis v nem tak strasny problem, cos delal doted? Nebo OpenID vzniklo vcera? Asi jo, co? Microsoft Passport ti nevadi? Aha, on neni open, takze neni duvod na to nadavat.
OpenID je tady delsi dobu nez ten tvuj aktualni vymysl, tudiz prosel nutnym vyvojemBill Gates je starsi nez Linus Torvalds - tudiz Windows prosly nutnym vyvojem (a jsou lepsi)... heh
spadne disk a mas po heslecha zalohovani co? Ty nemas komp s diskem, jen terminal a vse tahas ze serveru nekde na druhem konci sveta? (tudiz nemusis zalohovat)
Microsoft Passport ti nevadi?ne, proc? vyjma MS to stejne nikdo nepouziva (a openID vzniklo jako odezva komunity na to, ze driv chtel MS ten svuj pas vsude protlacit)
Bill Gates je starsi nez Linus Torvalds - tudiz Windows prosly nutnym vyvojem (a jsou lepsi)... hehTy bys ocividne potreboval take projit nutnym vyvojem.
co kdyz bude zrovna nedostupny server kde me pobezi openID? tak se nebudu moci nikam prihlasit, ze... supr, hlavne pokud si budu to provozovat sam a a budu se chtit zeptat ve foru (kde mam ucet via openID) na to co s tim serveremSamozrejme a kdyz ti to vadi, tak si sezen poskytovatele, ktery ma dostatecne velkou farmu rozmistenou po ruznych geografickych umistenich. Nebo proste OpenID nepouzivej.
a zalohovani co? Ty nemas komp s diskem, jen terminal a vse tahas ze serveru nekde na druhem konci sveta? (tudiz nemusis zalohovat)Nikdo koho znam nezalohuje tak aby to prezilo fatalnejsi vypadek (treba prepeti v siti).
Ty bys ocividne potreboval take projit nutnym vyvojemMuzes zde uvest vetu, kterou te dotycny Raul natolik pobouril, ze bylo nezbytne se do nej v reakci navazet?
Rozhodne nemam potrebu se chovat nejak vybirave jenom proto ze ucim na MU.Cili jsi k tomu mel jeste nejaky dalsi duvod? A kdyz uz jej oznacujes za anonymniho pitomce... Vis, ono samotne uvedeni jmena z cloveka chytreho neudela. Nekteri by udelali i lip, kdyby sve jmeno zatajili.
Ty bys ocividne potreboval take projit nutnym vyvojem.Když dojdou argumenty, urazíš oponenta?
Ne to ty srovnavas OpenID v oblastech, ktere proste OpenID neresiZačíná mi být podezřelé, že tohle je univerzální námitka na absolutně cokoli ohledně OpenID.
dalo by sa na ten výrok pozrieť i tak, že server xyz má problém 1, 2, a 3, ale openid ho nerieši, len zavedie problém č. 4
14.2.2008 23:26
pavlix | skóre: 54
| blog: pavlix
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
authModule.enableOpenID() 
), někteří to budou muset několikrát implemetovat v PHP... tedy nebudou muset, OpenID je i o volbě ho nemít.)
Jaký to má ještě díry, prosím tě?Ty zmíněné v několika diskuzích tady na Abíčku nestačí?
IPv6 se prosazuje dlouho proto, že ho musí podporovat síťová infrastruktura. To pro OpenID potřeba není. Nesrovnávej hrušky s jabkama.Zatímco OpenID musí podporovat servery. A nestačí, aby jich bylo pár, musí jich být většina, aby se používáním OpenID něco vyřešilo. Jaký je v tom rozdíl?
A že Diffie žádnou majonézu nemá, co? Není to nespravedlivý?
V čem je tohle lepší než OpenID?V tom, že mi to dává možnost volby. Chci pro to něco udělat jako tvůrce prohlížeče? Můžu. Ale bude to fungovat i bez toho. Chci pro to něco udělat jako autor webové aplikace? Můžu, ale obejde se to i bez toho. Chci jako uživatel mít hesla uložena jen lokálně šifrovaná USB tokenem? Můžu. Chci je mít někde na internetu? Můžu.
14.2.2008 23:27
pavlix | skóre: 54
| blog: pavlix
Tvoje řešení řešení ve stylu "texťák s heslama" plus nějaká drobná automatizace mi přijde jako způsob dost amatérský.Ovšem je to způsob, který můžete použít hned teď. Pokud tedy máte potřebu řešit pohodlnější a bezpečnější přihlašování už teď, máte možnost. Pokud ji nevyužíváte, vnášíto poněkud pochybnost na to, jestli něco takového opravdu potřebujete. A pokud to nepotřebujete, jenom se vám to momentálně líbí, lze celkem pochybovat o tom, žese to skutečně ujme.