Byl představen ICT Supply Chain Security Toolbox, společný nezávazný rámec EU pro posuzování a snižování kybernetických bezpečnostních rizik v ICT dodavatelských řetězcích. Toolbox identifikuje možné rizikové scénáře ovlivňující ICT dodavatelské řetězce a na jejich podkladě nabízí koordinovaná doporučení k hodnocení a mitigaci rizik. Doporučení se dotýkají mj. podpory multi-vendor strategií a snižování závislostí na vysoce
… více »Nizozemský ministr obrany Gijs Tuinman prohlásil, že je možné stíhací letouny F-35 'jailbreaknout stejně jako iPhony', tedy upravit jejich software bez souhlasu USA nebo spolupráce s výrobcem Lockheed Martin. Tento výrok zazněl v rozhovoru na BNR Nieuwsradio, kde Tuinman naznačil, že evropské země by mohly potřebovat větší nezávislost na americké technologii. Jak by bylo jailbreak možné technicky provést pan ministr nijak nespecifikoval, nicméně je známé, že izraelské letectvo ve svých modifikovaných stíhačkách F-35 používá vlastní software.
Nové číslo časopisu Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 162 (pdf).
Sdružení CZ.NIC, správce české národní domény, zveřejnilo Domain Report za rok 2025 s klíčovými daty o vývoji domény .CZ. Na konci roku 2025 bylo v registru české národní domény celkem 1 515 860 s koncovkou .CZ. Průměrně bylo měsíčně zaregistrováno 16 222 domén, přičemž nejvíce registrací proběhlo v lednu (18 722) a nejméně pak v červnu (14 559). Podíl domén zabezpečených pomocí technologie DNSSEC se po několika letech stagnace výrazně
… více »Google představil telefon Pixel 10a. S funkci Satelitní SOS, která vás spojí se záchrannými složkami i v místech bez signálu Wi-Fi nebo mobilní sítě. Cena telefonu je od 13 290 Kč.
Byl publikován přehled dění a novinek z vývoje Asahi Linuxu, tj. Linuxu pro Apple Silicon. Fedora 43 Asahi Remix s KDE Plasma už funguje na M3. Zatím ale bez GPU akcelerace. Vývojáře lze podpořit na Open Collective a GitHub Sponsors.
Red Hat představil nový nástroj Digital Sovereignty Readiness Assessment (GitHub), který organizacím umožní vyhodnotit jejich aktuální schopnosti v oblasti digitální suverenity a nastavit strategii pro nezávislé a bezpečné řízení IT prostředí.
BarraCUDA je neoficiální open-source CUDA kompilátor, ale pro grafické karty AMD (CUDA je proprietární technologie společnosti NVIDIA). BarraCUDA dokáže přeložit zdrojové *.cu soubory (prakticky C/C++) přímo do strojového kódu mikroarchitektury GFX11 a vytvořit tak ELF *.hsaco binární soubory, spustitelné na grafické kartě AMD. Zdrojový kód (převážně C99) je k dispozici na GitHubu, pod licencí Apache-2.0.
Podvodné reklamy na sociálních internetových platformách, jako je Facebook, Instagram nebo X, vytvořily loni v Česku jejich provozovatelům příjmy 139 milionů eur, tedy zhruba 3,4 miliardy korun. Proti roku 2022 je to nárůst o 51 procent. Vyplývá to z analýzy Juniper Research pro společnost Revolut. Podle výzkumu je v Česku zhruba jedna ze sedmi zobrazených reklam podvodná. Je to o 14,5 procenta více, než je evropský průměr, kde je podvodná každá desátá reklama.
Desktopové prostředí KDE Plasma bylo vydáno ve verzi 6.6 (Mastodon). Přehled novinek i s videi a se snímky obrazovek v oficiálním oznámení. Podrobný přehled v seznamu změn.
Řešení dotazu:
Klient by měl mít bezpečně uložen certifikát kořene DNSAha, díky. Teď už to dává smysl.
20.11.2011 18:51
xkucf03 | skóre: 50
| blog: xkucf03
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
/etc/bind/named.conf.options (pokud používáš Bind, u jiných DNS serverů to bude jinde).
Pokud vím, existuje třeba taky plugin do prohlížeče, který validaci provádí – a dá se čekat, že způsoby použití DNSSEC se budou postupně rozšiřovat.
21.11.2011 23:16
pavlix | skóre: 54
| blog: pavlix
22.11.2011 14:07
xkucf03 | skóre: 50
| blog: xkucf03
má být za všech okolností na lokálním stroji, pokud…Tady záleží na důvěryhodnosti (lokální) sítě – jestliže je nedůvěryhodná, tak sice můžu mít DNS server s validací na localhostu a doménová jména se mi přeloží na správné IP adresy, ale ta nedůvěryhodná síť mi ty IP adresy nasměruje jinam. A naopak když té síti věřím – věřím, že nepřesměrovává IP/porty někam jinam a zároveň věřím, že nepodvrhává DNS záznamy. Rozdíl by byl snad leda v případě, že bych přes DNSSEC chtěl přenášet něco jiného než IP adresy (např. otisky klíčů), ale takové použití zatím není příliš časté…
22.11.2011 16:07
pavlix | skóre: 54
| blog: pavlix
Tady záleží na důvěryhodnosti (lokální) sítěA tu implicitně považuju za nedůvěryhodnou.
22.11.2011 16:19
xkucf03 | skóre: 50
| blog: xkucf03
22.11.2011 17:27
pavlix | skóre: 54
| blog: pavlix
Jenže přesunem DNS serveru na localhost si nijak moc nepomůžeš, protože ta nedůvěryhodná síť ti může místo podvržení DNS záznamů přesměrovat IP adresy a porty.Bavíme se stále ještě o DNSSECu?
Resp. pomůžeš si jen v případě, že používáš DNSSEC k přenosu těch jiných informací, pokud jsi myslel tohle (což bych ale neřekl, že je „za všech okolností“ – je to dnes spíš výjimka a za všech okolností se DNS používá leda tak k překladu doménových jmen na IP adresy).To „za všech okolností“ jsi obrátil naruby, ale nevadí. Pokud vím, tak ještě nedávno nebyl k DNSSEC k dispozici vůbec, takže hodnotit, co se jím přenáší a co ne je víceméně zbytečné. Nehledě na to, že třeba Openswan umí DNS chráněné DNSSECem využívat velmi dobře.
A otisky klíčů v DNSSEC jsou pak taková třešnička na dortu, pojistka, v podstatě paralelní hierarchie certifikačních autorit (vedle např. těch v x509).Pro tebe je to třešnička na dortu, pro mě je to naprostý základ, bez kterého DNSSEC téměř nemá smysl.
Takže se od ní okamžitě odpojíte. Někteří lidé ale počítačovou síť potřebují, takže se naučili alespoň trochu své lokální síti důvěřovat.Tady záleží na důvěryhodnosti (lokální) sítěA tu implicitně považuju za nedůvěryhodnou.
22.11.2011 17:29
pavlix | skóre: 54
| blog: pavlix
Takže se od ní okamžitě odpojíte.Tvá schopnost dedukce mě vždycky udivovala.
22.11.2011 17:48
pavlix | skóre: 54
| blog: pavlix
S nedůvěryhodnou sítí se nedá dělat nic jiného.Doporučuju ti podívat se na svět okolo tebe. Je v něm dostatek protipříkladů.
23.11.2011 01:43
pavlix | skóre: 54
| blog: pavlix
A co to dívání na okolní svět, pomohlo?Mně pomáhá, měl byste to někdy zkusit taky. Třeba byste pak přestal tvrdit nesmysly jako že žádné síti v ničem nedůvěřujete; nebo pokud za „nedůvěryhodnou síť“ označujete síť, které v mnoha parametrech důvěřujete, a v několika málo ne, popsal byste, čím je zrovna těch pár parametrů důležitých.
23.11.2011 14:26
pavlix | skóre: 54
| blog: pavlix
já bych do takové sítě počítač nezapojovalJá s nedůvěryhodnými sítěmi pracuju denně a počítače k nim připojuju. Stačí to jako odpověď?
nebo by mne někdo nevaroval, pokládám každou síť v tomto směru implicitně za důvěryhodnou. V tom je tedy mezi námi rozdílTo ano, já nemám potřebu si nalhávat něco, co není pravda.
Třeba byste pak přestal tvrdit nesmysly jako že žádné síti v ničem nedůvěřujeteZatím jsem to tvrdit ani nezačal.
23.11.2011 19:30
pavlix | skóre: 54
| blog: pavlix
Takže síti, ve které důvěřujete velké spoustě věcí, říkáte nedůvěryhodná síť.Samozřejmě.
Takže onu nedůvěryhodnost pro vás zřejmě způsobuje jenom pár nějakých parametrů.Tak to v bezpečnosti obvykle funguje.
24.11.2011 00:42
pavlix | skóre: 54
| blog: pavlix
není dobré, aby byl resolvující server také autoritativníTo nebylo dobré nikdy. Nezabezpečená WiFi na poslední míli hlavního internetového připojení je podle mne české specifikum, ve světě to podle mne i pro domácnosti bude spíš nějaký kabel. A vzhledem k tomu, že dnes nejčastější způsob zabezpečení je přenos hesla z webového formuláře v otevřeném tvaru přes HTTP, nemá moc smysl najednou zabezpečovat DNS tak, že se validace DNSSEC bude urychleně cpát až na koncové počítače. Ostatně jako u každé hierarchické služby je potřeba systémově zajistit hlavně ty úpravy směrem od kořene. Takže se dá očekávat, že využití DNSSEC na straně klienta se bude postupně rozvíjet, teď bylo a je důležité zajistit hlavně to, aby byly klíče a software k dispozici na serverech (bez toho navíc nikdo žádné velké úpravy klientů dělat nebude). Podpisem kořenové zóny nasazení DNSSEC nekončí, ale naopak začíná. Vlastní privátní doménu v odděleném stromu asi nemá smysl podepisovat – musel byste přidávat její klíč všude, kde ji chcete validovat, atd. Podle mne je ale lepší použít privátní doménu jako poddoménu skutečné domény (třeba
local.example.com), a k tomu bych už přistupoval jako k celé doméně, tj. nevylučovala bych ji z podepisování. Dá se předpokládat, že v budoucnosti se přes zabezpečené DNS budou kontrolovat třeba HTTPS certifikáty, což může mít smysl i pro privátní doménu – a naopak při použití odděleného stromu budete mít problém, protože klíč od té domény budete muset dostat třeba až do všech prohlížečů na koncových stanicích.
21.11.2011 23:17
pavlix | skóre: 54
| blog: pavlix
Ono by to taky nebylo moc efektivní, takže i pro ochranu jednoho počítače je asi lepší zprovoznit si lokální rekurzivní server.Vždyť v první větě píšeš, že by to nebylo moc efektivní, a hned v druhé to navrhuješ!
ping s DNS jménem, stáhnou se klíče od všech nadřazených domén až ke kořeni a ověří a po 1 sekundě ping ukončíte – takže to ověřování DNSSEC vyvolalo řádově víc síťového provozu, než ping. Za chvilku si vzpomenete, že ten ping chcete nechat běžet dýl, znovu ho spustíte a bude se to ověřovat celé znovu. Lepší by bylo mít ty údaje nakešované alespoň v rámci lokálního počítače – ať už prostřednictvím lokálního validujícího resolveru, nebo třeba přes NSS s keší.
22.11.2011 16:07
pavlix | skóre: 54
| blog: pavlix
22.11.2011 16:13
pavlix | skóre: 54
| blog: pavlix
23.11.2011 14:32
pavlix | skóre: 54
| blog: pavlix
25.11.2011 14:49
pavlix | skóre: 54
| blog: pavlix
centralizované struktury, v nichž neexistuje jedno kritické místo.Jako oxymorón do básničky by to bylo hezké.
DNS je nádherný příklad, neexistuje za 30 let žádný útok, který by DNS nějak vyřadil.Díky decentralizaci, že?
Stejně tak představa, že se někdo bude probourávat do trezoru v ICANNu, aby ukradl Hardware security modul (ale ten by mu v podstatě stejně na nic nebyl).To je dost naivní představa. Život bývá mnohem jednodušší.
Distribuované systémy pro "network of trust" mají zase tu základní nevýhodu, že důvěra je pouze pravděpodobností.Kteroužto základní nevýhodu už z definice sdílení s centralizovanými, tudíž to pro srovnání nemá velký význam.
Tiskni
Sdílej:
