Svobodná webová platforma pro sdílení a přehrávání videí PeerTube (Wikipedie) byla vydána ve verzi 5.1. Přehled novinek i s náhledy v oficiálním oznámení a na GitHubu.
Byla vydána Java 20 / JDK 20. Nových vlastností (JEP - JDK Enhancement Proposal) je 7. Nová Java / JDK vychází každých 6 měsíců. LTS verze je 17.
Google spustil konverzační AI Bard. Vyzkoušet lze zatím pouze ve Spojených státech a Spojeném království. Více v Bard FAQ.
David Buchanan na svém blogu rozebírá zranitelnost acropalypse (CVE-2023-21036) telefonů Google Pixel. Z výřezu (crop) snímku obrazovky vytvořeného integrovanou aplikací Markup může být možné částečné obnovení původního snímku obrazovky. Viz tweet Simona Aaronse. Vyzkoušet lze webovou aplikaci acropalypse.app. Opraveno v březnové aktualizaci.
V programovacím jazyce Go naprogramovaná webová aplikace pro spolupráci na zdrojových kódech pomocí gitu Gitea (Wikipedie) byla vydána v nové verzi 1.19.0. Přehled novinek i s náhledy v příspěvku na blogu. Kvůli "převzetí Gitei" společností Gitea Limited byl v prosinci loňského roku představen fork Gitei s názvem Forgejo (Codeberg).
Byla vydána nová verze 5.11 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Nově je používán zram. Tor Browser byl aktualizován na verzi 12.0.4. Thunderbird na verzi 102.9.0.
Na GOG.com běží Spring Sale. Při té příležitosti lze získat zdarma počítačovou hru Lorelai (ProtonDB).
Curl, řádkový nástroj a knihovna pro přenos dat po různých protokolech, slaví 25 let. Vydána byla nová verze 8.0.0. Mimo jiné řeší 6 zranitelností.
V sobotu 25. března proběhne Arduino Day 2023. Od 14:00 lze sledovat oficiální stream. Zúčastnit se lze i lokálních akcí. V Česku jsou aktuálně registrovány dvě: v Praze na Matfyzu a v Poličce v městské knihovně.
Fabrice Bellard, tvůrce FFmpeg nebo QEMU, představil TextSynth Server. Jedná se o webový server nabízející REST API k velkým AI jazykovým modelům. CPU verze je k dispozici zdarma jako binárka pod licencí MIT. GPU verze je komerční. Vyzkoušet lze na stránkách TextSynth.
Řešení dotazu:
6.12.2015 19:33
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Firewall urcite ano.To je hezké poradit mu firewall (který už vlastně má, protože netfilter v kernelu tak nějak je), ale není jasné, co tam má dát za pravidla. Takže bude mít firewall bez pravidel, k ničemu.
Na obcasne prohledani systemu rkhunter nebo chkrootkitIMHO moc nemají smysl, když se neumí správně používat.
Firewall urcite ano.
A to jako proč? Nápověda: Žádný racionální důvod pro to neexistuje.
Ekvivalentem firewallu je nemít Ubuntu, ale používat normální distro, které chápe rozdíl mezi instalací služby, povolením démona a okamžitým spuštěním démona. Ubuntu tento rozdíl nechápe. Proto může mít klidně otevřené porty, na kterých by BFU sám od sebe žádného démona mít nechtěl a o jejichž (ne)smyslu často ani neví.
Z toho důvodu se pak šíří nesmyslná fáma, že v Ubuntu je třeba mít firewall. Omyl! Firewall v Ubuntu je zcela zbytečný a neúčinný, protože instalace balíčku s démonem přidá pravidla firewallu, která jeho porty povolí. Dejme tomu, že uživatel nainstaluje démona, který je zrovna tou dobou kriticky zranitelný. (Ne snad proto, že by ho chtěl používat, ale třeba se chtěl jenom podívat na jeho konfiguráky, zprovoznit si ho na localhostu či cokoliv podobného. Kromě toho, nainstalovat kriticky zranitelného démona je v Ubuntu velmi snadné, protože ta distribuce je předem a ze zásady zastaralá.) Jenže ouha, Ubuntu toho kriticky zranitelného démona nejenom povolí (!) a rovnou spustí (!!!), ale ještě mu povolí příslušný port na firewallu (!!!!!!!!!!).
Takže odpověď je jednoduchá: V normálním distru není potřeba ani antivir, ani firewall. V Ubuntu taky nic z toho není potřeba, protože nic z toho nepomůže.
Pokud tazatele zajímá bezpečnost, měl by utíkat od Ubuntu mílovými kroky. Například Fedora se svým SELinuxem může být zajímavá pro někoho, kdo bere bezpečnost opravdu vážně.
7.12.2015 04:49
Jendа | skóre: 78
| blog: Jenda
| JO70FB
ale ještě mu povolí příslušný port na firewalluFakt? To je v postinst skriptech nebo kde?
Například FedoraProč je Ubuntu z podstaty zastaralejší než Fedora? Cykly to má taky tak jednou za půl roku.
se svým SELinuxemKdyž už hardened systém, tak ať to alespoň má nějaký smysl. Tedy grsec/pax.
Treba k omezeni klientu na Sambe, CUPSu a podobne? Obecne chci, aby mi tyhle sluzby na LANce fungovaly, ale do sveta uz ne.A to jako proč? Nápověda: Žádný racionální důvod pro to neexistuje.
6.12.2015 19:31
Jendа | skóre: 78
| blog: Jenda
| JO70FB
antivirNe, neexistuje a nepomůže (to ani na Windows).
nebo FirewallNěkdy ano, ale pro někoho, kdo se takhle ptá, ne. Lepší bude, když se podíváš pomocí
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
netstat -utlpna co ti poslouchá ven a vypneš to.
6.12.2015 20:30
TomasABC32 | skóre: 28
| blog: LinuxGangster
6.12.2015 21:23
Jendа | skóre: 78
| blog: Jenda
| JO70FB
systemctl stop služba systemctl disable služba systemctl mask službaPřičemž služba je často služba.service i služba.socket.
netstat -utlpnaJaký smysl má kombinovat "-l" a "-a"?
netstat -utlpnaAž budu psát backdoor, nechám ho komunikovat přes SCTP. :-) Ale vážně… "-ut" není zkratka pro "-A inet" nebo "--inet" (nebo dokonce "všechno kromě PF_UNIX").
netstat -utlpnaHint: ss (doporučuji vyzkoušet oboje na systému, kde je socketů tak 100000, pak je rozdíl propastný).
6.12.2015 19:35
Jendа | skóre: 78
| blog: Jenda
| JO70FB
ale právě proto se ptám, jak vy osobně řešíte bezpečnost, zvlášť v dnešní profízlované doběBlbě (takovým common sense). Pokud ti o to fakt jde, tak QubesOS.
6.12.2015 23:28
TomasABC32 | skóre: 28
| blog: LinuxGangster
7.12.2015 12:55
Jendа | skóre: 78
| blog: Jenda
| JO70FB
V linuxu v podstatě stačí mít programy které znám a vím jak komunikujíTo prostě není pravda. Asi před rokem jsem napsal uživatelský firewall pro Linux (actually, pár pravidel do iptables a blábol v Bashi) a odhalil jsem asi deset běžně používaných aplikací z repozitářů, které komunikují. Ať už kontroly updatů nebo třeba síťové broadcasty při změně rozlišení obrazovky. Pak jsem se na to vybodl a náhodou jsem to zapnul znova před týdnem. .. Sedím takhle na přednášce z lingvistiky a jsou tam nějaké anglické příklady, kterým nerozumím, tak je hledám ve slovníku. A vyskočí na mě okýnko s nějakou čínskou adresou. Mám Stardict a network dictionaries jsou vypnuté, ale říkám si, že kdo ví, co se s tou konfigurací stalo. Tak mažu
6.12.2015 21:45
6.12.2015 20:57
~/.stardict a spouštím stardict znova a tentokrát letí do Číny obsah clipboardu.
Ptám se na IRC, jestli se mi to jako nezdá, někdo spouští keepass a kouká, jak to posílá heslo, kamarád vyplňuje bugreport, já přemýšlím, co víc než posílání hesel přes nešifrované HTTP do Číny by se muselo stát, aby se něco změnilo.
..
A tohle jsou všechno věci, které vznikly omylem, a které odhalil nějaký Jenda, který si dal dvě pravidla do netfilteru a pustil si tcpdump (ty věci tam jsou dlouho a ta ET stránka je jediná na Googlem indexovaném internetu, která to zmiňuje). Teď si představ, co se stane, když v NSA zasedne skupina inženýrů „Tak, kluci, dostali jsme $10M a 50 man-years na implementaci backdooru do Linuxu“ (čísla založena na uniklých dokumentech HackedTeamu a předpokladu NSA platící 10x víc než česká policie). Já si myslím, že když se tohle stane, tak jsme tu úplně všichni úplně v pr… a nedivil bych se, kdyby majstrštyky jako Heartbleed a debian-openssl-prng vznikly přesně takhle.
Teď si představ, co se stane, když v NSA zasedne skupina inženýrů „Tak, kluci, dostali jsme $10M a 50 man-years na implementaci backdooru do Linuxu“ (čísla založena na uniklých dokumentech HackedTeamu a předpokladu NSA platící 10x víc než česká policie). Já si myslím, že když se tohle stane, tak jsme tu úplně všichni úplně v pr… a nedivil bych se, kdyby majstrštyky jako Heartbleed a debian-openssl-prng vznikly přesně takhle.
Co se stane? Pokud nejsi organizace, soupeřící velmoc nebo +/- disident, tak se téměř jistě na lokálním měřítku nestane vůbec nic.
To je (1) opět otázka, před kým/čím se vlastně chci bránit, a (2) otázka politická.
7.12.2015 14:01
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Sedím takhle na přednášce z lingvistiky a jsou tam nějaké anglické příklady, kterým nerozumím, tak je hledám ve slovníku. A vyskočí na mě okýnko s nějakou čínskou adresou. Mám Stardict a network dictionaries jsou vypnuté, ale říkám si, že kdo ví, co se s tou konfigurací stalo. Tak mažu ~/.stardict a spouštím stardict znova a tentokrát letí do Číny obsah clipboardu.
Ptám se na IRC, jestli se mi to jako nezdá, někdo spouští keepass a kouká, jak to posílá heslo, kamarád vyplňuje bugreport, já přemýšlím, co víc než posílání hesel přes nešifrované HTTP do Číny by se muselo stát, aby se něco změnilo.
To, že program ignoruje nastavení (nepoužívat internetové slovníky) je samozřejmě chyba, ale jinak se to chová jak má ne? Jeden program je nastavený pro vyplnění schránky a druhý program je nastavený na sledování schránky. Je tedy v pořádku, že se to takto chová, protože to tak uživatel chce.
Teď si představ, co se stane, když v NSA zasedne skupina inženýrů „Tak, kluci, dostali jsme $10M a 50 man-years na implementaci backdooru do Linuxu“ (čísla založena na uniklých dokumentech HackedTeamu a předpokladu NSA platící 10x víc než česká policie).
Čím jsem starší, tím jsem nějak méně paranoidní. Případ Snowden (pro mě velmi, velmi smutná ukázka stavu IT) ukázal, že vůbec není potřeba 50 man years a $10^34. Prostě stačí jen louskat šifry, o kterých se roky veřejně ví, že jsou prolomené a že se opravdu nemají používat. Já mám OCD z MD5, kdyby mi někdo na škole v roce 2005 řekl, že ještě za 10 let se to bude doporučovat používat v učebnicích programování, tak se mu vysměju do ksichtu. Dnes vím, že to v těch knihách bude ještě za 30 let. To, že letos padla nějaká RC4 .... nezájem. Za 15 let z toho bude aféra Snowden II a všichni budou v šoku z toho, jak to dokáže NSA II louskat.
A upřímně, to co jsem já četl v těch materiálech od Hacking Team je to přesně o tomtéž. Tam není jediná "advanced" technologie. Oni prostě nějak dostanou do PC program (třeba tak, že jej někomu podstrčí na webu, dají do wordovského dokumentu, do flashe apod. - ok, to je dejme tomu trochu vyšší level) a ten program prostě normálně pracuje v userspace. Nic víc. Na to opravdu nepotřebuješ super-skilled odborníky ani $10M.
7.12.2015 15:46
Jendа | skóre: 78
| blog: Jenda
| JO70FB
ale jinak se to chová jak má ne? Jeden program je nastavený pro vyplnění schránky a druhý program je nastavený na sledování schránky. Je tedy v pořádku, že se to takto chová, protože to tak uživatel chce.No spíš jde o to, že je to insane default.
7.12.2015 19:53
Jendа | skóre: 78
| blog: Jenda
| JO70FB
netstat -tuwp | grep program | tee soubor.log jestli tam nedá spojení, u kterého nevím, kam je. Jasně, že to 100% spolehlivé není, ale pravděpodobnost, že tam něco bude nezachyceno je o dost menší. Pravda nekontroluji takto aktualizace, takže tam může být významná změna.
To máš podobně, jako s tím javascriptem, který jsem zmiňoval a kyknos psal, že je to blbost. Samozřejmě, že javascript je na velkém procentu stránek, ale když to mám defaultně vypnuté, tak se na každé stránce mohu rozhodnout, co povolím.
Ale souhlasím s Tebou, že bezpečnostně se to vyvíjí špatným směrem a plánuji, zatím na testovacím stroji, si rozjet Qubes.
7.12.2015 14:00
kyknos | skóre: 18
| blog: Quid novi?
| Ranša Rosa
a v prohlížeči mít vypnutý javascript, aby si na mém počítači nikdo nespouštěl kód, kterému nedůvěřujia není to málo? nebylo by spolehlivější odpojit počítač od internetu, nebo ještě lépe od elektrické sítě?
Prostě bezpečnost není okamžitý stav, je to proces.
Pokud bys chtěl pěkný firewall, zkus se podívat na distribuci Mageia.
7.12.2015 17:22
kyknos | skóre: 18
| blog: Quid novi?
| Ranša Rosa
7.12.2015 18:42
kyknos | skóre: 18
| blog: Quid novi?
| Ranša Rosa
9.12.2015 20:40
Petr Tomášek | skóre: 39
| blog: Vejšplechty
9.12.2015 21:00
kyknos | skóre: 18
| blog: Quid novi?
| Ranša Rosa
7.12.2015 20:09
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Všichni řešíte SWBackdoors in your processor? You don't say…
nebo že CPU SkylakeIPMI, AMT a další zvířátka jsou ještě lepší, a byla tu i dřív.
Jak toto řešit - HW backdoory, procesor v procesoruPokusit se vyrobit FPGA se strukturou takovou, aby pro to šlo vyblobnout softcore, u nějž nebude možné cíleně ovlivňovat funkci ani backdoorem přímo v FPGA (1). (optional: čip s dostatečně velkými featurami, aby šlo opticky rozpoznat, že je to opravdu to, co jsme chtěli, a potom sérií bitstreamů ověřit, že tam nejsou dopant-level backdoors. Bug: útočník může schovat backdoor vyvedený menšími featurami do vnitřních vrstev, které nejsou z povrchu vidět. Pseudořešení: část čipů z várky analyzovat destruktivně a doufat, že se trefíme) Problém je v tom, že si nejsem jistý, jestli je (1) vůbec teoreticky možné (neviděl jsem o tom žádnou studii od nikoho, kdo by na rozdíl ode mě rozuměl matematice). Pokud ne, žádné jiné řešení mě nenapadá. Rád si nějaké poslechnu. Upozorňuji, že žijeme v době backdoornutých 74HC47, takže stavba počítače z diskrétních součástek vám nepomůže. Navíc takový počítač bude mít velké parazitní vyzařování, takže z něj data prostě půjdou odposlechnout, a možná ani nebude mít výkon na moderní kryptografii, což je typicky věc, kvůli které to stavíme.
zároveň se mi moc nelíbí myšlenka, že bychom se měli jen tak odevzdat… Můžem něco změnit? Co můžem udělat
Což je to jádro problému, které je politické.
Vážení, představte si analogický problém se stravou. Vy víte, co jíte? Děláte si to na koleně? Analyzujete si to na koleně? Nebo prostě spoléháte na politické řešení?
7.12.2015 22:48
Jendа | skóre: 78
| blog: Jenda
| JO70FB
a došel jsem ke stejnému výsledku, ovšem je to jako vždy s pár háčky - třeba kdo bude auditor či kde je brát, atpA když už zaplatíš výrobu toho auditovaného čipu, tak jak ověříš, že ti tam fabrika na čipy nepřibalila překvapení.
Přidat fyzickou vrstvu a vlastní analyzér?Nezjistíš, jakmile přeneseš nějaká analogová nasamplovaná data (zvuk, obrázek) - do šumu v nich se dá schovat spousta věcí.
100Mbps LAN komunikuje tuším na 480MHz, o gigové nevím vůbec nicEthernet na FPGA má dneska úplně každý.
Můžem něco změnit?Jednotlivec ne a společnost nemá vůli.
Tiskni
Sdílej:
8.12.2015 20:53