Byla vydána (𝕏) nová verze 24.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 24.7 je Thriving Tiger. Přehled novinek v příspěvku na fóru.
Binarly REsearch upozorňuje na bezpečnostní problém PKFail (YouTube) v ekosystému UEFI. Stovky modelů zařízení používají pro Secure Boot testovací Platform Key vygenerovaný American Megatrends International (AMI) a jeho privátní část byla při úniku dat prozrazena. Do milionů zařízení (seznam v pdf) po celém světě tak útočníci mohou do Secure Bootu vložit podepsaný malware. Otestovat firmware si lze na stránce pk.fail. Ukázka PoC na Linuxu na Windows na YouTube.
Mobilní operační systém /e/OS (Wikipedie) založený na Androidu / LineageOS, ale bez aplikací a služeb od Googlu, byl vydán ve verzi 2.2 (Mastodon, 𝕏). Přehled novinek na GitLabu. Vypíchnuta je rodičovská kontrola.
Společnost OpenAI představila vyhledávač SearchGPT propojující OpenAI modely umělé inteligence a informace z webů v reálném čase. Zatím jako prototyp pro vybrané uživatele. Zapsat se lze do pořadníku čekatelů.
Distribuce Linux Mint 22 „Wilma“ byla vydána. Je založená na Ubuntu 24.04 LTS, ale s desktopovým prostředím Cinnamon (aktuálně verze 6.2), příp. MATE nebo Xfce, balíkem aplikací XApp, integrací balíčků Flatpak a dalšími změnami. Více v přehledu novinek a poznámkách k vydání.
Příspěvek na blogu Truffle Security: Kdokoli může přistupovat ke smazaným a privátním repozitářům na GitHubu.
Byla vydána nová verze 14 integrovaného vývojového prostředí (IDE) Qt Creator. Podrobný přehled novinek v cgitu. Vypíchnout lze podporu rozšíření v Lua.
Byla vydána verze 1.80.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.
Apple oznámil, že v beta verzi spustil své Apple Maps na webu. Podporován je také webový prohlížeč Chrome. Ne však na Linuxu.
Portál Stack Overflow po roce opět vyzpovídal své uživatele, jedná se především o vývojáře softwaru, a zveřejnil detailní výsledky průzkumu. Průzkumu se letos zúčastnilo více než 65 tisíc vývojářů. Z Česka jich bylo 710. Ze Slovenska 246.
server certificate | '- certificate authority | '- root certificateMěl by webový server posílat při navazování https všechny 3 certifikáty nebo jenom svůj serverový? PS: na problém jsem narazi při komunikaci v javě, kdy java truststore obsahuje pouze kořenový, server posílal jenom svůj a já nebyl schopen sestavit celý certchain pro ověření...
Řešení dotazu:
online.postservis.cz
posílá jen serverový certifikát, www.postsignum.cz
posílá všechny tři, přitom obojí spadá pod Českou poštu.
Mezi důvěryhodnými certifikačními autoritami můžete mít jenom kořenový certifikát (např. ve Windows je v standardní konfiguraci Thawte Premium Server CA). Váš serverový certifikát je ale podepsán mezilehlým certifikátem (např. Thawte SSL CA, ten už ve Windows normálně není, Firefox ho ale myslím ve standardním úložišti má). Když tenhle certifikát nepošlete ze serveru, webový prohlížeč (nebo jiný klient) nemá kde by jej získal, a validace vašeho serverového certifikátu se nepodaří.
Předpokládám, že vy jste byl v roli klienta a jde o nějakou webovou službu – pak vám asi nezbývá, než si dát do truststore i ten mezilehlý certifikát. Respektive záleží na tom, jaký máte se serverem vztah a o jak důležité spojení jde. Pokud můžete být dopředu informován o změnách certifikátů a na bezpečnosti opravdu záleží, doporučuju ověřovat přímo serverový certifikát a na certifikační autority se vykašlat. Pokud tuhle možnost nemáte, dal bych do trustore certifikační řetězec od certifikátu, kterým je podepsán serverový certifikát (dá se předpokládat, že jím bude podepsán serverový certifikát i příště), až po kořenový certifikát CA. A jenom tyhle certifikáty, žádné jiné (pokládám za samozřejmé, že použijete vlastní trustore a nebudete spoléhat na to, co je zrovna náhodou v trustore dodávaném s Javou).
Pokud byste to potřeboval na Javovském serveru, je potřeba dát pozor na to, že ten certifikační řetězec musí být v truststore vložen opravdu jako řetězec v jednom záznamu trustore, nemůže to být vloženo jako tři samostatné certifikáty. U klientského řešení to nevadí, tam se prostě považují za důvěryhodné všechny certifikáty v truststore.
..
Some of the common server chain misconfigurations are a) including the self-signed root certificate in the chain and b) missing an intermediate certificate in the chain. a) is bad because it bloats the handshake and b) is bad because the client can't always validate the chain.
..
Tiskni
Sdílej: