Byly zveřejněny informace o dvou bezpečnostních chybách CVE-2020-14360 a CVE-2020-25712 v X.Org serveru. Chyby jsou zneužitelné k lokální eskalaci práv (pokud X server běží pod právy roota).
Byla vydána nová verze 4.0 aplikace pro práci s KeePass databázemi - Password Safe. Přináší zejména plnou podporu Librem 5, PinePhone a dalších linuxových telefonů, dále pak výrazné zrychlení při práci s databází a opravu mnoha chyb. Aplikace je k dispozici na Flathubu, případně jako distribuční balíček.
Dle plánu bylo spuštěno předobjednávání telefonů PinePhone KDE Community Edition aneb telefonů PinePhone od společnosti PINE64 s předinstalovaným uživatelským rozhraním Plasma Mobile.
I letos vychází řada ajťáckých adventních kalendářů. QEMU Advent Calendar 2020 přináší každý den nový obraz disku pro QEMU. Programátoři se mohou potrápit při řešení úloh z kalendáře Advent of Code 2020. Pro programátory v Perlu je určen Perl Advent Calendar 2020, pro zájemce o kybernetickou bezpečnost Advent of Cyber, …
Humble Bundle nabízí balík technické literatury z oblasti počítačové bezpečnosti od vydavatelství No Starch Press v digitální podobě bez DRM, a to za zvýhodněnou cenu aspoň cca 1-15 eur. Akce Humble Book Bundle: Hacking 101 by No Starch Press trvá do 21. prosince.
OpenZFS (Wikipedie) byl vydán ve verzi 2.0.0. Jedná se o implementaci souborového systému ZFS. Nově současně pro Linux i FreeBSD. Doteď se na Linuxu používal ZFS on Linux.
Glen MacArthur vydal AV Linux MX Edition (AVL-MXE) aneb AV Linux (Wikipedie) 2020.11.23. Jedná se o linuxovou distribuci optimalizovanou pro tvůrce audio a video obsahu. Nově založenou na MX Linuxu místo Debianu. Představení na YouTube. Více v pdf manuálu.
Příspěvek na oficiálním blogu Raspberry Pi představuje (YouTube) nový produkt Raspberry Pi 4 Case Fan aneb pětidolarový větráček do oficiální krabičky pro Raspberry Pi 4.
Projekt GNOME představil iniciativu GNOME Circle. Cílem iniciativy je podpora nových nezávislých vývojářů a rozšíření ekosystému GNOME o nové aplikace a knihovny.
Byla vydána nová major verze 6.1.0 svobodného softwaru a vysokoúrovňového programovacího jazyka pro numerické výpočty GNU Octave (Wikipedie). Přehled novinek v poznámkách k vydání.
Dnes vám lékař může poslat tzv. eRecept jako SMS na mobil. Jedná se o krátký textový kód, který ukážete v lékárně a na základě něj dostanete léky. Aby to bylo pohodlnější, používají se QR kódy – SMS obsahuje odkaz na www stránku receptu, kde se tento kód zobrazuje. Je tu ale jedno úskalí: tato stránka je pouhý zobrazovač QR kódů a neprovádí téměř žádné kontroly (asi jen ověří délku řetězce a nějaký ten regulární výraz). Pokud byste si tedy chtěli např. eRecept vytisknout (v lékárně pak jen předáte papír, nemusíte tam manipulovat s mobilem nebo ho vůbec nosit s sebou) a kód z mobilu do počítače opisovali, tak vám stránka na doméně epreskripce.cz klidně zobrazí nesmyslný kód s překlepem nebo jinou chybou.
Stránka zobrazí libovolný text (zřejmě [a-zA-Z0-9]{12}) a celkem libovolné datum (např. místo 31.02.2021 se pak zobrazí 03.03.2021).
Nejedná se sice o bezpečnostní chybu, ale přesto bych zde nějakou kontrolu očekával. Otázka je, jak to řešit lépe. Kontrola kódů proti databázi vydaných receptů na druhou stranu totiž zase znamená, že by někdo mohl zkoušet hrubou silou hádat kódy receptů a pak si pro nějaké náhodné léky někoho jiného dojít do lékárny. Takže by bylo potřeba dělat nějaké kontroly na počty dotazů a detekce útoků. To se zřejmě nikomu nechtělo implementovat. Řešením by mohlo být ověřování nějakého kontrolního součtu (např. u čísel bankovních účtů máme tzv. modulo 11), který by byl součástí kódu – tím by se předešlo lidským chybám, náhodná změna by byla včas odhalena, ale zároveň by nešlo hádat kódy existujících receptů.
Tiskni
Sdílej:
11.11. 14:01
Gréta | skóre: 27
| blog: Grétin blogísek
| Stockholm
taky tam ty vygenerovaný *.png s qr kódama zustaváj furt jakoby viset ve složce https://epreskripce.cz/qr/qrcode2/ :O :O
hele třeba tadyto vyrobený pomocí url https://epreskripce.cz/erp?i=LekyNaHlavuX&s=00.00.9999
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
.././/logo80
tak logo ERECEPT v patičce stránky se přepsalo QR kodem :-O
Po nahlášení asi přidali kontrolu na lomítka nebo tečky, ale řekl bych, že to je tak všechno.
Nechápu, kdo tohle pustil ven, za to by se měl stydět i středoškolák...
Na dnešní erecept 10 let starý smartphone bez problémů stačí.
To je ale spíš výjimka. Stačil by mi na bankovní aplikaci (do které některé banky zákazníky začínají tlačit dost nevybíravým způsobem)? Na eRoušku (o které se mne stát snaží přesvědčit, že jsem sobec a vyvrhel, když ji nemám)? Na ty nové výdejové boxy Zásikovny (které jiným způsobem otevřít nejdou)?
A ten zbytek je takový amišovský. Pokud chceš být asociál bojkotující bežné technologie, jistě můžeš.
To, že mne nezaujala jedna konkrétní technologie, ani zdaleka neznamená, že je odmítám obecně. Spíš naopak.
Na bankovni aplikaci (ciste html)
Tu jsem nemyslel. Některé banky už totiž začaly některé funkce poskytovat pouze přes jejich speciální aplikaci a v klasickém webovém IB je nemají. Jiné (Raiffeisen) zase zpoplatňují jiné formy 2FA než přes specializovanou smartphone aplikaci.
a na zasilkovnu bez problemu
Podle odpovědi přímo od Zásikovny na Google Play vyžaduje jejich aplikace Android 5 a vyšší. Určitě každý (i nejlevnější) smartphone z roku 2010 zvládne bez problémů upgrade na Android 5 vydaný v listopadu 2014? Nemluvě o tom, že Android 5 už není ani oficiálně podporovaný Googlem, to je až Android 8 ze srpna 2017.
Tu jsem nemyslel. Některé banky už totiž začaly některé funkce poskytovat pouze přes jejich speciální aplikaci a v klasickém webovém IB je nemají. Jiné (Raiffeisen) zase zpoplatňují jiné formy 2FA než přes specializovanou smartphone aplikaci.tak si vyber jinou banku
jejich aplikacezásilkovnu používám téměř denně a v životě jsem nepotřeboval žádnou aplikaci
tak si vyber jinou banku
Zatím to jde. Ale podobných excesů pomalu přibývá.
zásilkovnu používám téměř denně a v životě jsem nepotřeboval žádnou aplikaci
Mluvím o tomhle. To vám taky funguje bez aplikace?
Jiné (Raiffeisen) zase zpoplatňují jiné formy 2FA než přes specializovanou smartphone aplikaci.
Ano. Kvůli tomu nejspíš zruším účet – po asi patnácti letech (eKonto už moc nepoužívám a nechávám si ho spíš z nostalgie, protože jsem kdysi ten systém vyvíjel).
No já už to udělal, a to i přes moji vrozenou lenost. Raiffeisen Banka těch opruzů postupně začíná zavádět čím dál víc (mimo 2FA třeba zrušili posílání výpisů mailem a když se člověk dotazoval na důvody, tak dostal jen obecné bláboly), nebrat.Jiné (Raiffeisen) zase zpoplatňují jiné formy 2FA než přes specializovanou smartphone aplikaci.Ano. Kvůli tomu nejspíš zruším účet – po asi patnácti letech (eKonto už moc nepoužívám a nechávám si ho spíš z nostalgie, protože jsem kdysi ten systém vyvíjel).
12.11. 20:56
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
12.11. 18:57
