Příspěvek Aukce domén – měsíc po spuštění na blogu CZ.NIC shrnuje první měsíc provozu Aukce domén .CZ. Aukcemi prošlo celkem 18 174 domén, z toho na 742 z nich byl učiněn alespoň 1 příhoz. Nejdražší aukcí byla na doménu virtualnisidlo.cz s cenou 95 001 Kč, která však nebyla včas uhrazena. Nejdražší aukcí, která byla vydražena i zaplacena je praguecityline.cz s cenovkou 55 600 Kč.
Před 40 lety, 19. června 1984, Bob Scheifler představil první verzi okenního systému X (X Window System). Vycházela z okenního systému W (W Window System).
Desktopové prostředí MATE bylo vydáno ve verzi 1.28. V gitových repozitářích je sice už od února, ale oznámení vydání se na webu objevilo s několikaměsíčním zpožděním (únorové datum zveřejnění je nepravdivé). Jde o první velké vydání od roku 2021. Uživatelsky nejvýznamnější pokrok je v podpoře Waylandu.
Laboratoře CZ.NIC vydaly novou verzi 4.24.0 aplikace Datovka, tj. svobodné multiplatformní desktopové aplikace pro přístup k datovým schránkám a k trvalému uchovávání datových zpráv v lokální databázi. Přidány byly nové parametry do rozhraní příkazové řádky „export-msg“, „export-msgs“, „import-msg“ a „import-msgs“, které dovolují číst/zapisovat zprávy z/do databází. Veliký panel nástrojů byl nahrazen více nastavitelnými
… více »Mapnik (Wikipedie), tj. open source toolkit pro vykreslování map a vývoj mapových aplikací, byl vydán ve verzi 4.0.0. Přehled změn na GitHubu.
Mozilla koupila firmu Anonym, tj. průkopníka v "digitální reklamě chránící soukromí".
Knihovna htmx (Wikipedie, GitHub), tj. knihovna rozšiřující HTML o nové atributy a umožňující vývoj dynamických webových aplikací, byla vydána ve verzi 2.0 (𝕏).
Společnosti DeepComputing a Framework Computer společně představily RISC-V základní desku pro modulární Framework Laptop 13.
Byla vydána nová verze 6.4 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 13.0.16.
Desktopové prostředí KDE Plasma bylo vydáno ve verzi 6.1 (Mastodon, 𝕏). Přehled novinek i s videi a se snímky obrazovky v oficiálním oznámení. Podrobný přehled v seznamu změn.
Občas není od věci vyslovit něco, za co se upaluje nebo ukamenovává. Nic není totiž tak jednoduché, aby byla pravda vždy jediná a na první pohled zřejmá.
Někdy na přelomu roku jsem si všiml, že se Ministerstvo financí "pochlapilo" a začíná svá elektronická podání převádět do platformově nezávislé podoby (ve smyslu "nezávislé na prohlížeči a operačním systému"). První bylo podání obecné písemnosti, vzápětí následovala daň z přidané hodnoty (počínaje obdobími roku 2009). Nyní proto nastal čas vyzkoušet, do jaké míry je to funkční.
Kdo chtěl podávat daňové přiznání elektronickou cestou (ať už s elektronickým podpisem nebo bez něj), případně si přiznání na počítači vyplnit a pak vytisknout, měl dosud jen jedinou možnost - operační systém Microsoft Windows a webový prohlížeč Internet Explorer. Jiná kombinace se použít nedala. Byla sice možnost vytvořit si XML soubor ručně nebo ho vygenerovat z nějakého účetního programu (například minule zmíněný Helios to umí), pak ho případně podepsat a odeslat na příslušný server (funkčnost jsem nezkoušel), ale plnohodnotná cesta neexistovala.
Nyní přišel čas vyzkoušet nové řešení, které se chlubí tím, že by nemělo být svázáno s jediným systémem a prohlížečem. Je označeno jako EPO2 (původní má označení EPO1) a zatím je k dispozici jen pro dva výše uvedené druhy podání (plus v posledních dnech přibylo ještě Souhrnné hlášení VIES). Následující kroky začínám s prohlížečem Opera 9.64 ve 32bitové distribuci openSUSE 11.1 a s Javou 1.6 (od Sunu).
První problém se objeví už při pokusu o přechod do šifrované části webu. Prohlížeč hlásí nedůvěryhodný certifikát. Není divu - certifikát totiž není podepsán žádnou z autorit, které prohlížeče znají. Naopak, je podepsán I.CA. Netuším, jaký to má důvod, ale každopádně je to nepříjemná komplikace, protože kořenové certifikáty I.CA je potřeba ověřit, ať už telefonicky nebo osobně (ověření na webu I.CA je nedostatečné - útočník může stránku podvrhnout). Drtivá většina uživatelů ovšem udělá jednoduchou věc - odklikne certifikát takový, jaký je, bez jakéhokoli zkoumání. Jsou tedy ohroženi man-in-the-middle útokem.
Vyplňování přiznání probíhá vcelku hladce. Oproti původní verzi (EPO1) je rozhraní o něco méně komfortní, ale stále dobře použitelné. Po vyplnění přichází další krok - podepsání elektronickým podpisem. Nejdřív se vybere soubor s klíčem a zadá heslo. Hned je vidět, zda je heslo správné a podpis použitelný. Pak je tu samotný podpis. Ale ... ouha! Úspěšně zkontrolovaný soubor s klíčem prostě nefunguje, a to tak, že to ani nic neohlásí. Jen v javové konzoli je NullPointerException
a výpis zásobníku.
S Operou to tedy zjevně nedokončím. Spouštím tedy Firefox. Tady už je vše v pořádku, XML soubor s daňovým přiznáním se podepíše a odešle. Systém ihned vrátí potvrzení (má se uschovat) a nabídne uložení i dalších souvisejících souborů (včetně PDF verzí odesílaného přiznání i potvrzení).
Čili jak to zhodnotit? Je to použitelné i mimo IE a Windows, ale plně přenositelné zjevně ne (v dalších browserech jsem to nezkoušel, ale v Opeře to jednoznačně kvůli nějaké chybě nefunguje). Jako mnohem zásadnější problém ale vidím způsob, jakým se nakládá se SSL. Doufám, že podobně diletantsky nebude řešen přístup k datovým schránkám, které se připravují a pro právnické osoby budou povinné. Nalezené chyby samozřejmě ohlásím a jsem zvědav, jak se k nim ministerstvo postaví.
Tiskni
Sdílej:
Prohlížeč hlásí nedůvěryhodný certifikát. Není divu - certifikát totiž není podepsán žádnou z autorit, které prohlížeče znají. Naopak, je podepsán I.CA. Netuším, jaký to má důvod … Jako mnohem zásadnější problém ale vidím způsob, jakým se nakládá se SSL.každý výrobce a distributor internetového prohlížeče si může do seznamu předinstalovaných důvěryhodných autorit dát, co ho napadne. Neexistuje žádná celosvětová „certifikační autorita certifikačních autorit“, která by posvětila seznam důvěryhodných autorit. Takže když vyberete nějakou CA, vždy se najde někdo, kdo řekne, že on tuhle CA v prohlížeči nemá. Navíc nový certifikát I.CA byl (pokud vím, jako jediný certifikát tří českých akreditovaných CA) distribuován s nějakým updatem Windows XP a Vista, takže většina uživatelů už jej nejspíš má mezi důvěryhodnými certifikáty. Navíc je poněkud zvláštní psát o tom, jak si musíte kořenový certifikát ověřovat telefonicky, a přitom důvěřujete certifikátům, které vám dala do prohlížeče nějaká firma či organizace, a vy jste si ten prohlížeč pak stáhl přes nezabezpečené a neověřené HTTP spojení. Pokud byste chtěl s certifikáty certifikačních autorit opravdu nakládat tak zodpovědně, jak píšete, musel byste po instalaci prohlížeče seznam předinstalovaných certifikátů vyprázdnit a nainstalovat jenom ty, které si ověříte a kterým opravdu důvěřujete.
každý výrobce a distributor internetového prohlížeče si může do seznamu předinstalovaných důvěryhodných autorit dát, co ho napadne. Neexistuje žádná celosvětová „certifikační autorita certifikačních autorit“, která by posvětila seznam důvěryhodných autorit.To je sice pravda, ale na druhou stranu, tam množina certifikátů u většiny prohlížečů se velmi významně překrývá.
Navíc nový certifikát I.CA byl (pokud vím, jako jediný certifikát tří českých akreditovaných CA) distribuován s nějakým updatem Windows XP a Vista, takže většina uživatelů už jej nejspíš má mezi důvěryhodnými certifikáty.Spíše by se mělo říkat "většina uživatelů používajících Internet Explorer". Protože AFAIK jiné prohlížeče nepoužívají systémové certifikáty (nainstalované ve Windows) a spoléhají na vlastní úložiště.
Navíc je poněkud zvláštní psát o tom, jak si musíte kořenový certifikát ověřovat telefonicky, a přitom důvěřujete certifikátům, které vám dala do prohlížeče nějaká firma či organizace, a vy jste si ten prohlížeč pak stáhl přes nezabezpečené a neověřené HTTP spojení.Což o to, prohlížeč jsem si stáhl samozřejmě jako podepsaný balíček. Lze ovšem hovořit o tom, jak jsem si stáhl certifikáty, podle kterých se to při instalaci ověřuje (protože jsem si stáhl image DVD a zkontroloval jsem jen hash podle stejného webu, ze kterého jsem stahoval). Aby to bylo opravdu bezpečné, býval bych si musel ověřit (řekněme telefonicky) stahovanou distribuci a to jsem samozřejmě neudělal.
To je sice pravda, ale na druhou stranu, tam množina certifikátů u většiny prohlížečů se velmi významně překrývá.Pro podpis formuláře ale stejně budete potřebovat certifikát jedné ze tří českých akreditovaných autorit. Takže není tak nerozumné mít jednou z nich podepsán i serverový certifikát. Z pohledu autora serverové aplikace bych se samozřejmě snažil použít takový certifikát, který je předinstalovaný ve velkém množství prohlížečů, protože běžní uživatelé certifikátům nerozumí a je potřeba to pro ně udělat na co nejméně kliknutí (bohužel). Ale nepřipadá mi rozumné z pohledu uživatele si stěžovat na to, že autoři nepoužili nějakou CA, kterou vy zrovna máte v prohlížeči. Pokud byste si o tom něco zjistil a mohl byste říct, že tuto CA má v prohlížeči třeba jen 1 % uživatelů, mělo by to nějakou váhu. Ale stěžovat si, že tu CA nemáte v prohlížeči pouze vy (a můžete být jediný), to je trochu sebestředné…
Spíše by se mělo říkat "většina uživatelů používajících Internet Explorer". Protože AFAIK jiné prohlížeče nepoužívají systémové certifikáty (nainstalované ve Windows) a spoléhají na vlastní úložiště.Ne, v takovém případě by se mělo napsat „téměř všichni uživatelé používající MSIE“. Jenže protože MSIE má dohromady stále více než 50 %, můžu rovnou napsat „většina uživatelů“, i když myslím tu samou skupinu uživatelů.
Což o to, prohlížeč jsem si stáhl samozřejmě jako podepsaný balíček. Lze ovšem hovořit o tom, jak jsem si stáhl certifikáty, podle kterých se to při instalaci ověřuje (protože jsem si stáhl image DVD a zkontroloval jsem jen hash podle stejného webu, ze kterého jsem stahoval). Aby to bylo opravdu bezpečné, býval bych si musel ověřit (řekněme telefonicky) stahovanou distribuci a to jsem samozřejmě neudělal.A taky byste hlavně musel tomu distributorovi důvěřovat, že vybral takové certifikační autority, které mají pro vás vhodné certifikační politiky.
Aby to bylo opravdu bezpečné, býval bych si musel ověřit (řekněme telefonicky) stahovanou distribuci a to jsem samozřejmě neudělal.
Taky už mě napadlo - co když máme všichni ty svoje linuxy "cinklý". BTW - on je někdy docela porod najít informaci (aspoň přes http) o klíči, kterými jsou podepsané repozitáře, jež nejsou nainstalovány na příslušném distribučním médiu. <nadsázka>Už jsem se taky párkrát spolehl na to, že "chlápek uprostřed" se taky občas musí jít vymočit.
</nadsázka>
zdravim,
tak jste popsal pekne jeden Linuxovy problem. Jinak statni sprava a certifikaty, tak to je kapitola sama pro sebe = na windows specielne nebezpecny obsah a tak.
Ono kdyz se delaji lokalizacni ceske balicky, tak by to jiz nekolik let chtelo, do nich i davat ceske korenove CA. Od browseru, ca-certifikates, po keystore od javy.
gf
Kdyz uz mluvime o certifikatech, tak by mozna jednu Vasi webservisu neskodilo provozovat pouze pres https. Oddeleni vyvoje asi bude vedet....
bye gf
Důvodem popdpisu ICA a nikoliv autority kterou máš ve svém browsru je nepochybně Zákon č. 227/2000 Sb., o elektronickém podpisu.Nějak v tom zákoně nevidím, že by pro obecnou komunikaci mezi úřadem a občanem (nejde o zákonem určený případ, kdy se používá elektronický podpis) byl potřeba certifikát vydaný kvalifikovaným poskytovatelem. Možná něco specifikuje nějaká vyhláška, ale o ničem takovém nevím.
Jinak pod linuxem je problém s generovaným PDF (chybná čeština v polích)Na to jsem se nedíval. Pracoval jsem jen s XML.