Po 26 letech od protiprávního policejního zásahu, který byl spuštěn na základě podnětu společnosti Microsoft, Obvodní soud pro Prahu 2 rozsudkem potvrdil, že Mironet prokázal významnou část svého nároku na náhradu škody vůči Ministerstvu spravedlnosti ČR. Soudem nyní přiznaná část nároku znamená rekordní odškodné, jaké kdy české soudy přiznaly za nesprávný postup státu. Spor byl rozdělen na několik škod, u pravomocně uzavřených částí
… více »Lehké desktopové prostředí LXQt bylo vydáno ve verzi 2.4.0. Jde o převážně opravné vydání s drobnými vylepšeními podpory Waylandu.
Počítačová hra Kingdom Come: Deliverance 2 českého studia Warhorse získala cenu BAFTA v kategorii nejlepší příběh. V konkurenci pěti dalších nominovaných děl porazila i úspěšnou francouzskou hru Clair Obscur: Expedition 33, která v letošním ročníku získala cenu za nejlepší hru roku.
Projekt KDE oslaví v říjnu 30 let. Matthias Ettrich poslal 14. října 1996 do diskusní skupiny comp.os.linux.misc zprávu, která započala historii projektu. Důležité milníky jsou zobrazeny na časové ose KDE.
Byly vyhlášeny výsledky letošní volby vedoucí/ho projektu Debian (DPL, Wikipedie). Poprvé povede Debian žena. Novou vedoucí je Sruthi Chandran. Letos byla jedinou kandidátkou. Kandidovala již v letech 2020, 2021, 2024 a 2025. Na konferenci DebConf19 měla přednášku Is Debian (and Free Software) gender diverse enough?
Byla vydána nová verze 10.3 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Přehled novinek v poznámkách k vydání. Přidána byla podpora Orange Pi 4 LTS. Přibyl balíček Prometheus.
Implementace VPN softwaru WireGuard (Wikipedie) pro Windows, tj. WireGuard pro Windows a WireGuardNT, dospěly do verze 1.0.
V Pekingu dnes proběhl 2. ročník půlmaratonu humanoidních robotů. První 3 místa obsadili roboti Honor Lightning v různých týmech. Nový rekord autonomního robota je 50 minut a 26 sekund. Operátorem řízený robot to zvládl i s pádem za 48 minut a 19 sekund. Řízení roboti měli časovou penalizaci 20 %. Před rokem nejrychlejší robot zvládl půlmaraton za 2 hodiny 40 minut a 42 sekund. Aktuální lidský rekord drží Jacob Kiplimo z Ugandy s časem 57 minut a 20 sekund [𝕏].
Stanislav Fort, vedoucí vědecký pracovník z Vlčkovy 'kyberbezpečnostní' firmy AISLE, zkoumal dopady Anthropic Mythos (nový AI model od Anthropicu zaměřený na hledání chyb, který před nedávnem vyplašil celý svět) a předvedl, že schopnosti umělé inteligence nejsou lineárně závislé na velikosti nebo ceně modelu a dokázal, že i některé otevřené modely zvládly v řadě testů odhalit ve zdrojových kódech stejné chyby jako Mythos (například FreeBSD CVE-2026-4747) a to s výrazně nižšími provozními náklady.
Federální návrh zákona H.R.8250 'Parents Decide Act', 13. dubna předložený demokratem Joshem Gottheimerem a podpořený republikánkou Elise Stefanik coby spolupředkladatelkou (cosponsor), by v případě svého schválení nařizoval všem výrobcům operačních systémů při nastavování zařízení ověřovat věk uživatelů a při používání poskytovat tento věkový údaj aplikacím třetích stran. Hlavní rozdíl oproti kalifornskému zákonu AB 1043 a kolorádskému SB26-051 je ten, že federální návrh by platil rovnou pro celé USA.
26.11.2008 18:02
| Přečteno: 1965×
| 
Včera jsem navštívil skvělé školení Ondřeje Surého na CZ.NIC pojednávající o technologii DNSSEC. Nebudu vás, potažmo sebe, trápit postupem podpisu zóny, protože je to celkem pakárna a hodí se to spíše na Lupu. Takže jen super krátký copy+paste postup na aktivaci DNSSEC na vašem nameserveru.
Pro jednoduchost předpokládám, že používáte Bind9, této podmínce vyhovuje Debian Etch a všechno novější. Popis bude orientován právě na Debian, ale samozřejmě je to jen o editaci několika souborů.
První krok je přidání pár klíčových slov do sekce options, u Debianu se jedná o soubor /etc/bind/named.conf.options, jinde většinou přímo /etc/bind/named.conf, příkazy se musí vložit dovnitř sekce začínající options {:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
dnssec-enable yes;
//dnssec-validation yes; // tento příkaz v Debian Etch není, resp. je trvale aktivní
dnssec-lookaside . trust-anchor dlv.isc.org.;
V tom samém souboru na konci sekce, tedy za }; vložíte další soubor:
include "/etc/bind/trusted.keys";
A tento soubor vytvoříte a naplníte těmito daty:
trusted-keys {
"cz." 257 3 5
"AwEAAdo9fGLzCyxz1yTlsHCT7JpHrg0q/yOlvDNg39n/gAUzg6H/5X9p
jW6mpecJuZirIcPcRw5E7E8uR8g2ztH4uztoc/7ss01s3rTnEgXfilbd
psEdXEuxIfhq+w6zL6PvCcE3qRSzsrc2//x/SXjWp8yeT4YY3W3kvB4Z
g5ld0a8bAHBYo4ZY9x7a3qnqOhqunXSG8EfRPD9koUMgWCjdnFNR89L1
5Bkzh+q1J7phTHIY5akKf3YnIB/5BnKmGBC7DimK4uSBLiBA3DLxHnvL
ffMT5XtKKHuQ/uZ4IxHWqR2cpHz/6e2WaQvOVILwd0gk9lTCildBGjC7
eNxOMnitkuM=" ;
};
trusted-keys {
dlv.isc.org. 257 3 5 "BEAAAAPHMu/5onzrEE7z1egmhg/WPO0+juoZrW3euWEn4MxDCE1+lLy2
brhQv5rN32RKtMzX6Mj70jdzeND4XknW58dnJNPCxn8+jAGl2FZLK8t+
1uq4W+nnA3qO2+DL+k6BD4mewMLbIYFwe0PG73Te9fZ2kJb56dhgMde5
ymX4BI/oQ+cAK50/xvJv00Frf8kw6ucMTwFlgPe+jnGxPPEmHAte/URk
Y62ZfkLoBAADLHQ9IrS2tryAe7mbBZVcOwIeU/Rw/mRx/vwwMCTgNboM
QKtUdvNXDrYJDSHZws3xiRXF1Rf+al9UmZfSav/4NWLKjHzpT59k/VSt
TDN0YUuWrBNh";
};
Na obsahu tohoto souboru závisí bezpečnost celého řešení, takže klíče se snažte získat z důvěryhodných zdrojů, což není můj blog, takže z https://www.nic.cz/dnssec/ a https://www.isc.org/ops/dlv/, CZ.NIC dokonce uvažuje o vydání veřejné části tiskem v novinách v podobě inzerátu, což se mi jako nezávislý kanál moc líbí. Opravdu těžko vám někdo podvrhne několik různých typů padělaných novin.
Nyní již zbývá jen restart bindu a ověření, že to funguje:
dotaz> dig @server +dnssec www.rhybar.cz ; <<>> DiG 9.4.2-P1 <<>> @server +dnssec www.rhybar.cz ; (9 servers found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 6093 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;www.rhybar.cz. IN A ;; Query time: 142 msec ;; SERVER: 10.67.0.1#53(10.67.0.1) ;; WHEN: Wed Nov 26 17:52:08 2008 ;; MSG SIZE rcvd: 42
Tady musíte dostat SERVFAIL, pokud nedostanete, tak DNSSEC nefunguje správně, ta doména má schválně neplatný podpis a proto je s funkčním DNSSEC nedostupná. Potom nahodíte prohlížeč a budete se radovat ze zeleného klíčku na adrese https://www.nic.cz/dnssec/
A teď už budete jen sledovat /var/log/syslog na výskyt hlášek o podržených zónách a čekat až vám první uživatel vynadá, že něco nefunguje.
Tiskni
Sdílej:
26.11.2008 23:17
Dragon Jake
| blog: Drakův zápisník
| Praha
Tu poslední konfigurační direktivu:
dnssec-lookaside . trust-anchor dlv.isc.org.;
prozatím silně nedoporučuji - jinak řečeno, nebude fungovat skoro nic a log se bude plnit hláškama secure failure. Popravdě nevím, jestli pak DNSSEC funguje stále stejně bezpečně a dobře, ale alespoň kontrola na nic.cz ukazuje, že ano :)
Tento radek s kontroly cz domeny v me konfiguraci vubec netyka, ta se validuje klicem vlozenym do toho souboru trusted.keys.
Pouzije se pro domeny, od kterych nemam jejich klic v konfiguraci, ale ktere DNSSEC pouzivaji a ulozili sve klice u ISC. Je to takove prechodne reseni do doby, nez bude podepsana korenova domena ".". Ten prikaz se muze opakovat nekolikrat a delegovat i jine domeny k validaci nekomu jinemu.
Uvidime za nejaky ten tyden, co vsechno se rozbilo a co ne.
26.11.2008 23:42
the.max | skóre: 46
| blog: Smetiště
skoda ze vyvojari okolo PowerDNS na implementaci DNSSEC kaslou, ale za bind prechazet nebudu. Zatim verim v lepsi zitrky a v to, ze se umoudri.
Jeste je mozne pouzivat unbound.
Provoz jineho nameserveru nez bindu je chvalihodna cinnost, aby nelehl cely inet, az bude v bindu chybka.
/etc/bind/trusted.keys ak nie som v .cz, ale napr. .sk alebo .org ?
Mohol by mi, prosím, niekto vysvetliť,
- ako funguje ten test na https://www.nic.cz/dnssec/ ? Čo vlastne kontrolujú?
- aké kľúče potrebujem do
/etc/bind/trusted.keysak nie som v .cz, ale napr. .sk alebo .org ?- prečo práve dlv.isc.org ?
Vyborny je dokument od Alana Clegga z ISC - "DNSSEC in 6 minutes", dostupna prezentace na webu.
Zrovna sedim na skoleni od ISC a vyzvidal jsem, jak to delaji s public key v .se. Ihren rikal, ze uzivaji odborne tisky i klasicke noviny a on ho ma i na fakturach, ktere posila 
Proste na tolika mistech, aby podvrhuti klice bylo snadno odhalitelne pri porovnani s jinymi zdroji distribuce.
Zkoušel jsem to na bindu 9.4.2p2 na Gentoo a chovalo se to divně. Cokoliv v cz. se úspěšně přeložilo (i při chybným podpisu), přestože u všeho nadával, že RRSIG není platný, naopak ostatní domény v nepodepsaných TLD vždy selhaly.
Dnes jsem to zkusil na bindu 9.5.0 v Debianu a tam vše funguje jak má.
9.4.3 na Gentoo ten samý problém. Akorát koukám, že selhávají i domény 3. úrovně pod cz., které nejsou podepsané. Zkusil jsem přihodit dnssec-must-be-secure "." no;, jestli nejsou jinak nastavené výchozí hodnoty, ale ani to nepomohlo.
Aktualizoval jsem na 9.5.0p2 a problém zůstává.
Ale našel jsem příčinu: Na tomto serveru všechny dotazy přeposílám na další rekurzivní server, který DNSSEC neřeší, takže můj server nedostane údaje potřebné k ověření, a tak si stěžuje.
Tohle je nedostatek bindu nebo vlastnost DNSSEC?
To záleží na tom, co znamená "DNSSEC neřeší", jsou dvě varianty:
A) ignoruje flag +DNSSEC OK a nevrací RRSIGy
B) jen nedělá validaci
Zkuste:
# dig CH TXT version.bind.
A pokud je to bind < 9.4, tak napište adminovi, ať zapne alespoň podporu DNSSECu bez validace.
Vzdálený server (bind 9.3.4-P1.1) nedělá ani jedno.
Mám tomu rozumět tak, že všechny rekurzivní servery po cestě musí podporovat rozšíření DNSSEC a vracet RRSIG automaticky a že koncový validující server nemá povinnost se na tyto záznamy dodatečně doptávat? (Protože když se digem zeptám na RRSIG, NSEC, DNSKEY, DS, tak jej vrátí.)
Rozumíte tomu správně. Už teď je dost komplikovaná výměna klíčů kvůli různým časovým oknům, doptávání by to zkomplikovalo ještě mnohem více. Ale mělo by stačit:
a) přesvědčit admina, že 9.3 už není podporovaná verze bindu (podporují vždy aktuální a jednu verzi zpátky, tedy aktuálně 9.5 a 9.4) a ať upgradne (od 9.4 je dnssec standardně zapnutý)
b) přesvědčit admina, že dnssec-enable je neškodné (a pokud se nezapnou ty trust anchors, tak tomu tak je)
O.
P.S.: Aaaa, dá se někde vypnout ta javascriptová hrůza na editaci příspěvků?
Oficialni konec podpory od ISC je az v pondeli 
A to neznaci, ze jini jej nepodporuji nadale pro sve zakazniky (ne kazdy si dovoli hodit pres palubu jen par let stary software s sirokym nasazenim).
P.S.: Souhlas, desna vec.
P.S.: Aaaa, dá se někde vypnout ta javascriptová hrůza na editaci příspěvků?V nastavení (profilu) – tam co cookie, CSS, avataři atd. – lze wysiwyg editor vypnout.