abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 18:22 | Nová verze

    Byla vydána nová major verze 28.0 programovacího jazyka Erlang (Wikipedie) a související platformy OTP (Open Telecom Platform, Wikipedie). Přehled novinek v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    dnes 13:11 | Zajímavý článek

    Český telekomunikační úřad zveřejnil Výroční zprávu za rok 2024 (pdf), kde shrnuje své aktivity v loňském roce a přináší i základní popis situace na trhu. Celkový objem přenesených mobilních dat za rok 2024 dosáhl dle odhadu hodnoty přibližně 1,73 tis. PB a jeho meziroční nárůst činí zhruba 30 %. Průměrná měsíční spotřeba dat na datovou SIM kartu odhadem dosáhla 12,5 GB – v předchozím roce šlo o 9,8 GB.

    Ladislav Hagara | Komentářů: 6
    dnes 12:33 | IT novinky

    Z novinek představených na Google I/O 2025: Přehledy od AI (AI Overviews) se rozšiřují do dalších zemí. Užitečné, syntetizované přehledy od generativní AI jsou nově k dispozici i českým uživatelům Vyhledávače.

    Ladislav Hagara | Komentářů: 0
    dnes 11:44 | IT novinky

    Šestice firem označovaných jako „MAMAAN“ – tedy Meta (Facebook, Instagram), Alphabet (Google), Microsoft, Apple, Amazon a Netflix – je zodpovědná za více než padesát procent světového internetového provozu. Dalšími velkými hráči jsou TikTok a Disney+. Společně tak zásadně určují podobu digitálního prostředí, spotřebitelského chování i budoucích trendů v oblasti technologií. I přesto, že se podíl těchto gigantů od roku 2023 o něco snížil, jejich dominantní postavení zvyšuje volání po regulaci.

    Ladislav Hagara | Komentářů: 4
    dnes 11:33 | IT novinky

    Evropská komise (EK) navrhuje zavést plošný poplatek ve výši dvou eur (zhruba 50 Kč) za každý malý balík vstupující do Evropské unie. Poplatek se má týkat balíků v hodnotě do 150 eur (zhruba 3700 Kč), které v EU nepodléhají clu. V loňském roce bylo do EU doručeno kolem 4,6 miliardy takovýchto balíků. Poplatek má krýt náklady na kontroly rostoucího počtu zásilek levného zboží, které pochází především z Číny.

    Ladislav Hagara | Komentářů: 16
    včera 18:11 | IT novinky

    Dnes a zítra probíhá vývojářská konference Google I/O 2025. Sledovat lze na YouTube a na síti 𝕏 (#GoogleIO).

    Ladislav Hagara | Komentářů: 0
    včera 15:22 | Komunita

    V Bostonu probíhá konference Red Hat Summit 2025. Vybrané přednášky lze sledovat na YouTube. Dění lze sledovat na síti 𝕏 (#RHSummit).

    Ladislav Hagara | Komentářů: 0
    včera 15:00 | Nová verze

    Společnost Red Hat oficiálně oznámila vydání Red Hat Enterprise Linuxu 10. Vedle nových vlastností přináší také aktualizaci ovladačů a předběžné ukázky budoucích technologií. Podrobnosti v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 6
    včera 12:22 | Pozvánky

    Tuto sobotu 24. května se koná historicky první komunitní den projektu Home Assistant. Zváni jsou všichni příznivci, nadšenci a uživatelé tohoto projektu. Pro účast je potřebná registrace. Odkazy na akce v Praze a v Bratislavě.

    jose17 | Komentářů: 0
    včera 04:44 | IT novinky

    Troy Hunt představil Have I Been Pwned 2.0, tj. nový vylepšený web služby, kde si uživatelé mohou zkontrolovat, zda se jejich hesla a osobní údaje neobjevily v únicích dat a případně se nechat na další úniky upozorňovat.

    Ladislav Hagara | Komentářů: 16
    Jaký je váš oblíbený skriptovací jazyk?
     (59%)
     (26%)
     (9%)
     (2%)
     (0%)
     (0%)
     (5%)
    Celkem 58 hlasů
     Komentářů: 5, poslední včera 20:57
    Rozcestník

    Zabezpečení mediawiki

    2.3.2012 13:18 | Přečteno: 2054× | Za vším hledej Linux | Výběrový blog

    Když jsem před téměř čtyřmi lety spouštěl náš podpůrný server http://support.dce.felk.cvut.cz vsadil jsem na MediaWiki. Vcelku jednoduchý kalkul - předpokládám, že vývoj systému na kterém běží Wikipedie hned tak neskončí.

    Benevolence nebo restrikce?

    Většina školních wiki, na které jsem tehdy natrefil měla nastaven restriktivní přístup. Tzn. že na jejich stránky se mohl dostat pouze přihlášený uživatel, který navíc byl příslušníkem příslušné instituce.

    Já jsem zastávánce benevolentního přístupu - pokud neděláš bordel, můžeš spolupracovat i když nejsi z naší školy. Řešil jsem tedy otázku: "Jak v mediawiki zajistit, aby mohly v jejím rámci vznikat stránky pro uzavřené skupinky uživatelů a zároveň i pro lidi zvenčí, aniž by mě musel někdo otravovat ohledně nastavení práv?".

    Natrefil jsem tenkrát na rozšíření Group Based Access Control, které umožňovalo chránit obsah stránky pomocí uživatelských seznamů editovatelných stejným způsobem jako běžné stránky. Super! Jenže to mělo nějaké mouchy. Nejdřív jsem se je pokoušel opravit, ale nakonec z toho vylezlo rozšíření vlastní - AccessControl.

    Kdo si čte ten nezlobí

    Základní podmínkou pro použití ochrany přes uživatelský seznam je zaregistrovaný účet. Každý si v naší wiki tedy může založit svůj účet a začít tvořit, případně se podílet na úpravě již existujících stránek. To je hlavní rozdíl mezi anonymním a přihlášeným uživatelem.

    Každý přihlášený uživatel si navíc může vytvořit vlastní seznam uživatelů, oprávněných přistupovat na jím chráněné stránky. Na tyto stránky mají kromě osob ze seznamu přístup pouze administrátoři wiki. Nikdo jiný.

    Hlavní rozcestníky a kategorie jsou pro běžné uživatele uzamčeny, ale tím restrikce v podstatě končí. Čas od času kontrolujeme změny, jestli náhodou nějaký vykuk netropí neplechu.

    Škodiči

    Víc jak tři roky utekly bez toho, že by se nějaký objevil. Ovšem na sklonku minulého roku se tu a tam začali objevovat registrovaní uživatelé s už od pohledu generovaným jménem. Ze začátku jsme tomu nevěnovali příliš pozornost, ale pak začal někdo prostřednictvím takto založeného účtu vkládat stránky s nežádoucím obsahem.

    Z logu jsem zjistil že to dělá někdo skriptem, který spouští z různých lokací. Tak jsem mu zatnul tipec jednoduchým opatřením - každý nově zaregistrovaný uživatel může zakládat nové stránky až po uplynutí intervalu, který spolehlivě odradí jakýkoliv skript.

    Fajn. Zakládání nežádoucích stránek skončilo. Jenže registrace pseudouživatelů neustávala. Nejprve jsem zkusil hook, který byl navěšený na registrační formulář, ale nezabralo to. Tak jsem se dožral a pořádně si okouknul log v apachi.

    A je pokoj. Dopsal jsem si jednu malou podmínku přímo do třídy v níž se řeší vytvoření nového účtu a je klid. Lapidárně řečeno - kontroluje se, zda-li odesílatel registračního formuláře skutečně prošel registrační procedurou.

           

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    xkucf03 avatar 2.3.2012 13:48 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Zabezpečení mediawiki
    Koukám, že tam máš i SSO – ale teď nějak nefunguje:
    Not Found
    The requested URL /Shibboleth.sso/Login was not found on this server.
    Apache/2.2.16 (Debian) Server at support.dce.felk.cvut.cz Port 80
    BTW: když to funguje, tak je to jen v rámci vaší školy, nebo je tahle wiki v EduID federaci?
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    2.3.2012 14:16 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Zabezpečení mediawiki
    Nefunguje - je to relikt rozšíření MultiAuth. Pro potřeby naší wiki je přihlašování přes externí server v podstatě zbytečné. Chtěl jsem ho vyhodit, ale hází to pak nějakou chybu, kterou se mi už nechce řešit.

    V současné době totiž připravuji novou, aktualizovanou 64-bitovou verzi supporta s mediawiki 1.19.1 u které je nutné AccessControl předělat. Jsem s tím již v podstatě hotov, ale tím že jsem pořešil ty škodiče akutnost aktualizace mediawiki razantně klesla.

    Navíc jsme zjistili jednu nepříjemnou věc. Server vůči kterému se autorizace Shibbolethu provádí je only IPv4 a nový support by měl být dostupný i přes IPv6. Zatím jede ten stroj v uzavřeném testovacím prostředí, takže je otázkou jak se s tím pak popere.
    2.3.2012 14:22 sidik
    Rozbalit Rozbalit vše Re: Zabezpečení mediawiki
    Božínku, díky za to, že se někdo překonal a do tý hrůzy dopsal funkční plugin. Za tohle bys zasloužil poděkování před nastoupenou jednotkou. Taky jsem přesně tohle potřeboval ale neměl jsem sílu a žaludek do MediaWiki cokoliv dopisovat. Jak je to na povrchu skvělý soft, tak uvnitř...

    Ještě jednou dík :)
    2.3.2012 14:46 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Zabezpečení mediawiki
    A fakt to funguje? Kdyz jsem takovy plugin hledal, tak jsem jenom nasel prohlaseni od vyvojaru, ze takovy plugin neni mozne vytvorit, kvuli neprebernemu mnozstvi zpusobu jak se da k obsahu dostat.

    Nakonec jsem proto skoncil u dokuwiki (na co si teda v zadnem pripade nestezuji).
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    Josef Kufner avatar 2.3.2012 15:01 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Zabezpečení mediawiki
    Co jsem si tak všimnul, tak na FELu je Dokuwiki velmi oblíbená.
    Hello world ! Segmentation fault (core dumped)
    2.3.2012 15:04 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Zabezpečení mediawiki
    Jak jsem psal. Je to čtyři roky co jsem to napsal. Pak následovala asi po roce oprava, kdy jsem zjistil že se to dalo obejít přes redirect. My máme mediawiki verze 1.15.1, ale našli se lidé co napsali jakou úpravu je třeba udělat aby to fungovalo i u v. 1.16.

    U mediawiki verze 1.18 odstranili hook, na který je ta stávající verze navěšená. Překopal jsem to, ale ještě s tím nejsem hotov. Nějaké změny totiž nastaly i v tom co, kdy a jak má uživatel povoleno. Vím už jak to mám pořešit, ale mám teď nějaké resty. Hodně času jsem zabil i díky tomu, že mě nenapadlo explicitně zakázat veškeré kešování na serverové straně mediawiki. Za normálního provozu to nevadí, ale při testech jsem koukal jako blázen že mi pořád vrací stejný výsledek, i když se kód co generuje stránku změnil.
    Josef Kufner avatar 2.3.2012 23:54 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Zabezpečení mediawiki
    Já když dělám nějaké kešování, tak do podmínky, která kontroluje aktuálnost keše, přidávám i porovnání s mtime souboru zdrojáku, neboť jsem se kdysi taky divil ;-)
    Hello world ! Segmentation fault (core dumped)
    3.3.2012 08:57 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Zabezpečení mediawiki
    Aktuálnost keše nekontroluji. Jakákoliv keš je totiž v tomto případě nežádoucí. Měl jsem za to, že když od verze 1.18 zrušili nutnost jejího vypínání, že ji zrušili úplně. Ale jak se ukázalo, týkalo se to jenom keše, která vracela již zpracovanou stránku.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.