Byla vydána nová verze 10.2 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Přehled novinek v poznámkách k vydání. Vypíchnout lze nové balíčky Immich, Immich Machine Learning, uv a RustDesk Client.
TypeScript (Wikipedie), tj. JavaScript rozšířený o statické typování a další atributy, byl vydán v nové verzi 6.0. Příští verze 7.0 je kvůli výkonu přepisována do programovacího jazyka Go.
Christian Schaller z Red Hatu na svém blogu popsal své zkušenosti s používáním AI při vývoji open source aplikací pro Linux. Pomocí různých AI aktualizoval nebo vytvořil aplikace Elgato Light GNOME Shell extension, Dell Ultrasharp Webcam 4K, Red Hat Planet, WMDock, XMMS resuscitated (aktualizace z GTK 2 a Esound na GTK 4, GStreamer a PipeWire) a Monkey Bubble. SANE ovladač pro skener Plustek OpticFilm 8200i se mu zatím nepovedl.
Americké firmy Tesla a SpaceX postaví v texaském Austinu moderní komplex na výrobu čipů pro umělou inteligenci (AI). Součástí projektu s názvem Terafab budou dvě moderní továrny na výrobu čipů – jedna se zaměří na automobily a humanoidní roboty, druhá na datová centra ve vesmíru. Uvedl to generální ředitel těchto firem Elon Musk. Projekt by podle odhadů měl stát 20 miliard USD (zhruba 425 miliard Kč).
Byla vydána nová stabilní verze 6.11 (YouTube) multiplatformního frameworku a GUI toolkitu Qt. Podrobný přehled novinek v poznámkách k vydání.
Ubuntu 26.04 patrně bude ve výchozím nastavení zobrazovat hvězdičky při zadávání hesla příkazu sudo, změna vychází z nové verze sudo-rs. Ta sice zlepší použitelnost systému pro nové uživatele, na které mohlo 'tiché sudo' působit dojmem, že systém 'zamrzl' a nijak nereaguje na stisky kláves, na druhou stranu se jedná o možnou bezpečnostní slabinu, neboť zobrazování hvězdiček v terminálu odhaluje délku hesla. Původní chování příkazu sudo
… více »Projekt systemd schválil kontroverzní pull request, který do JSON záznamů uživatelů přidává nové pole 'birthDate', datum narození, tedy údaj vyžadovaný zákony o ověřování věku v Kalifornii, Coloradu a Brazílii. Jiný pull request, který tuto změnu napravoval, byl správcem projektu Lennartem Poetteringem zamítnut s následujícím zdůvodněním:
… více »Nové číslo časopisu Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 163 (pdf).
Eric Lengyel dobrovolně uvolnil jako volné dílo svůj patentovaný algoritmus Slug. Algoritmus vykresluje text a vektorovou grafiku na GPU přímo z dat Bézierových křivek, aniž by využíval texturové mapy obsahující jakékoli předem vypočítané nebo uložené obrázky a počítá přesné pokrytí pro ostré a škálovatelné zobrazení písma, referenční ukázka implementace v HLSL shaderech je na GitHubu. Slug je volným dílem od 17. března letošního
… více »Sashiko (GitHub) je open source automatizovaný systém pro revizi kódu linuxového jádra. Monitoruje veřejné mailing listy a hodnotí navrhované změny pomocí umělé inteligence. Výpočetní zdroje a LLM tokeny poskytuje Google.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
server certificate
|
'- certificate authority
|
'- root certificate
Měl by webový server posílat při navazování https všechny 3 certifikáty nebo jenom svůj serverový?
PS: na problém jsem narazi při komunikaci v javě, kdy java truststore obsahuje pouze kořenový, server posílal jenom svůj a já nebyl schopen sestavit celý certchain pro ověření...
Řešení dotazu:
online.postservis.cz posílá jen serverový certifikát, www.postsignum.cz posílá všechny tři, přitom obojí spadá pod Českou poštu.
Mezi důvěryhodnými certifikačními autoritami můžete mít jenom kořenový certifikát (např. ve Windows je v standardní konfiguraci Thawte Premium Server CA). Váš serverový certifikát je ale podepsán mezilehlým certifikátem (např. Thawte SSL CA, ten už ve Windows normálně není, Firefox ho ale myslím ve standardním úložišti má). Když tenhle certifikát nepošlete ze serveru, webový prohlížeč (nebo jiný klient) nemá kde by jej získal, a validace vašeho serverového certifikátu se nepodaří.
Předpokládám, že vy jste byl v roli klienta a jde o nějakou webovou službu – pak vám asi nezbývá, než si dát do truststore i ten mezilehlý certifikát. Respektive záleží na tom, jaký máte se serverem vztah a o jak důležité spojení jde. Pokud můžete být dopředu informován o změnách certifikátů a na bezpečnosti opravdu záleží, doporučuju ověřovat přímo serverový certifikát a na certifikační autority se vykašlat. Pokud tuhle možnost nemáte, dal bych do trustore certifikační řetězec od certifikátu, kterým je podepsán serverový certifikát (dá se předpokládat, že jím bude podepsán serverový certifikát i příště), až po kořenový certifikát CA. A jenom tyhle certifikáty, žádné jiné (pokládám za samozřejmé, že použijete vlastní trustore a nebudete spoléhat na to, co je zrovna náhodou v trustore dodávaném s Javou).
Pokud byste to potřeboval na Javovském serveru, je potřeba dát pozor na to, že ten certifikační řetězec musí být v truststore vložen opravdu jako řetězec v jednom záznamu trustore, nemůže to být vloženo jako tři samostatné certifikáty. U klientského řešení to nevadí, tam se prostě považují za důvěryhodné všechny certifikáty v truststore.
..
Some of the common server chain misconfigurations are a) including the self-signed root certificate in the chain and b) missing an intermediate certificate in the chain. a) is bad because it bloats the handshake and b) is bad because the client can't always validate the chain.
..
Tiskni
Sdílej:
