abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 23:33 | Nová verze

    Společnost comma.ai po třech letech od vydání verze 0.9 vydala novou verzi 0.10 open source pokročilého asistenčního systému pro řidiče openpilot (Wikipedie). Zdrojové kódy jsou k dispozici na GitHubu.

    Ladislav Hagara | Komentářů: 0
    včera 21:55 | Nová verze Ladislav Hagara | Komentářů: 0
    včera 14:11 | IT novinky

    Řada vestavěných počítačových desek a vývojových platforem NVIDIA Jetson se rozrostla o NVIDIA Jetson Thor. Ve srovnání se svým předchůdcem NVIDIA Jetson Orin nabízí 7,5krát vyšší výpočetní výkon umělé inteligence a 3,5krát vyšší energetickou účinnost. Softwarový stack NVIDIA JetPack 7 je založen na Ubuntu 24.04 LTS.

    Ladislav Hagara | Komentářů: 2
    včera 00:44 | Bezpečnostní upozornění

    Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) spolu s NSA a dalšími americkými úřady upozorňuje (en) na čínského aktéra Salt Typhoon, který kompromituje sítě po celém světě.

    Ladislav Hagara | Komentářů: 21
    27.8. 16:33 | IT novinky

    Společnost Framework Computer představila (YouTube) nový výkonnější Framework Laptop 16. Rozhodnou se lze například pro procesor Ryzen AI 9 HX 370 a grafickou kartu NVIDIA GeForce RTX 5070.

    Ladislav Hagara | Komentářů: 1
    27.8. 14:22 | IT novinky

    Google oznamuje, že na „certifikovaných“ zařízeních s Androidem omezí instalaci aplikací (včetně „sideloadingu“) tak, že bude vyžadovat, aby aplikace byly podepsány centrálně registrovanými vývojáři s ověřenou identitou. Tato politika bude implementována během roku 2026 ve vybraných zemích (jihovýchodní Asie, Brazílie) a od roku 2027 celosvětově.

    Fluttershy, yay! | Komentářů: 7
    27.8. 13:11 | Nová verze

    Byla vydána nová verze 21.1.0, tj. první stabilní verze z nové řady 21.1.x, překladačové infrastruktury LLVM (Wikipedie). Přehled novinek v poznámkách k vydání: LLVM, Clang, LLD, Extra Clang Tools a Libc++.

    Ladislav Hagara | Komentářů: 0
    27.8. 05:11 | Komunita

    Alyssa Anne Rosenzweig v příspěvku na svém blogu oznámila, že opustila Asahi Linux a nastoupila do Intelu. Místo Apple M1 a M2 se bude věnovat architektuře Intel Xe-HPG.

    Ladislav Hagara | Komentářů: 18
    26.8. 12:55 | IT novinky

    EU chce (pořád) skenovat soukromé zprávy a fotografie. Návrh "Chat Control" by nařídil skenování všech soukromých digitálních komunikací, včetně šifrovaných zpráv a fotografií.

    Ladislav Hagara | Komentářů: 67
    26.8. 12:11 | Nová verze

    Byly publikovány fotografie a všechny videozáznamy z Python konference PyCon US 2025 proběhlé v květnu.

    Ladislav Hagara | Komentářů: 0
    Pro otevření více webových stránek ve webovém prohlížečí používám
     (79%)
     (9%)
     (3%)
     (4%)
     (5%)
     (1%)
    Celkem 104 hlasů
     Komentářů: 9, poslední včera 11:53
    Rozcestník

    Dotaz: https Intranet only

    otasomil avatar 6.3.2021 20:24 otasomil | skóre: 39 | blog: puppylinux
    https Intranet only
    Přečteno: 940×
    Zdravim ve spolek
    Resim takovy drobny problem ktery jaksezda je trivialni jen visi na lidech a jejich opatrnosti na miste kde to teda neni treba a aktivite modernich browseru neustale usera upozornovat ze prihlasovani na tomto webu neni bezpecne... Jedna se totiz o web na lokalni siti kde je vcelku zbytecne mit https, jenze obycejne http je zdrojem podobnych hlasek. Tudiz zda jde nejak jednoduse nasadit https na web intranet s Apache2. Nemam tim na mysli self signed certifikat ktery treba Chrome/mium opakovane ignoruje a prudi usera. Cili je nejake reseni s timto vydupat, mit https na lokalni adrese 192.168... aniz bych neustale resil dotazy ze to nejde, nejede , pise ze je nebezpecne... Pridavam info ze domena neni, jen IP, dostupnost zvenci neni.
    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý

    Odpovědi

    6.3.2021 22:21 panika
    Rozbalit Rozbalit vše Re: https Intranet only
    tak si domenu kup a mas to vyreseny. ja si je hostuju u wedosu a i kdyz si umim predstavit lepsi api, tak to s certbotem funguje. adresu si do dns das jakou chces, ja to s lokalnima provozuju. mozna mi neco unika tak me nakopni :)
    6.3.2021 23:36 billgates | skóre: 27
    Rozbalit Rozbalit vše Re: https Intranet only
    Ja si skor jeho otazku interpretujem tak, ze proste do prehliadaca zada http://192.168.14.88/ a prehliadac mu picuje, ze je to nebezpecna symbolika. Pyta sa teda, ci sa da nejako prejst na https://192.168.14.88/ bez toho, aby mu do toho prehliadac picoval.

    Ale moj nazor je tiez ten, ze normalne na tieto ucely kupit domenu, idealne nejaku, co stoji euro na rok a pouzivat ju na taketo ucely, pricom certy si vystavovat cez dns autentizaciu.
    Jendа avatar 7.3.2021 06:30 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: https Intranet only
    Pozor, že některé resolvery (nejslavněji dnsmasq defaultně v openwrt) dělají „rebinding protection“ a RFC1918 adresu ti nepřeloží. Jak to řešit nevím, buď máš síť kde máš kontrolu nad resolverem, nebo máš IPv6, nebo to uživatelům rozmluvíš, nebo máš smůlu.
    7.3.2021 11:55 billgates | skóre: 27
    Rozbalit Rozbalit vše Re: https Intranet only
    rebind-domain-ok=domena.abc
    Jendа avatar 8.3.2021 16:53 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: https Intranet only
    Ano, to je tady v pohodě, protože má asi síť, kde to adminuje. Jakmile to má chodit uživatelům na zařízeních kde si to musí nastavit a ta zařízení nespravuje nikdo/je po cestě BFU/je to BOFH/je to opruz, tak je s tím problém.
    6.3.2021 22:27 X
    Rozbalit Rozbalit vše Re: https Intranet only
    Vytvor si vlastni CA + cert pro lokalni IP a pridej si CA do prohlizece jako trusted..
    Max avatar 6.3.2021 23:55 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: https Intranet only
    1) na IP nezáleží, musíš přistupovat přes dns jméno
    2) certifikát získáš dvěma způsoby, buď si uděláš vlastní CA a budeš s ní podepisovat certifikáty pro jednotlivé služby a CA certifikát budeš distribuovat klientům. Druhá možnost je koupit si certifikát u nějaké CA a každý rok prodlužovat a na serveru měnit. Já mám kombinací obojího. Na centrální reverzní proxy mám koupený wildcard "*.corp.devaine.cz" a všechny služby pak propaguji jako "intranet.corp.devaine.cz / helpdesk.corp.devaine.cz apod." a všechny jsou tím pádem ok. A něco mám pod vlastní CA, co nejde přes tu reverzní proxy apod.
    3) intranet by zabezpečený měl být, pokud je to nějaký, který slouží lidem a jsou tam různé dokumenty
    Zdar Max
    Měl jsem sen ... :(
    8.3.2021 06:12 rpajik | skóre: 18 | blog: rpajikuv_blog
    Rozbalit Rozbalit vše Re: https Intranet only
    Internet by zabezpečený být měl, ale to tlačení https všude strašně komplikuje život.

    Některé browsery ignorují lokální hosts soubor. Vnucují https na místo kam se připojuji přes http ale provoz běží v šifrované von, o které browser neví.

    Z browserů se začínají stávat operační systémy a žít si vlastním životem ... a to mi správné nepřijde. Minimálně pokročilý uživatel by měl možnost to mít pod kontrolou ... a tato možnost se postupně vytrácí :-(
    Josef Kufner avatar 7.3.2021 02:19 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: https Intranet only
    Pořiď si doménu libovolného řádu a rozběhej Let's Encrypt s wildcard záznamem. Vnější DNS může ukazovat na nějakou minimální statickou prezentaci, která jen řekne, adresu intranetu máš správně, ale musíš být na intranetu.

    Pak nějak pořeš automatickou distribuci certifikátů, třeba po SSH, a používej jako běžné certifikáty.
    Hello world ! Segmentation fault (core dumped)
    Max avatar 7.3.2021 14:22 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: https Intranet only
    To není dobrý nápad, je to spíše hodně špatný nápad, viz: Split DNS - používáte to někdo?.
    Tj. pro určité druhy nasazení to je schůdné, ale pro dost to moc schůdné není, protože nelze zajistit vyprazdňování dns cache u klientů. Obecně to tedy není dobrý nápad.
    Zdar Max
    Měl jsem sen ... :(
    Josef Kufner avatar 8.3.2021 00:48 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: https Intranet only
    Se Split DNS jsem nikdy neměl problém. Při připojení se ty cache na klientovi vypláchnou a je to v pohodě. Nicméně ty subdomény nemusí zvenčí vůbec existovat.
    Hello world ! Segmentation fault (core dumped)
    Max avatar 8.3.2021 01:39 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: https Intranet only
    Není to pravda, popisuji to v článku. Největší problémy jsou s mobilními zařízeními a web prohlížeči. Je možné, že u některých nasazení to nevadí a flushuje se to dobře, ale při větších nasazení končíš. Pro vlastní potřeby bych to ještě zkousnul, ale do firmy to nasadí jen blázen. I jeden blbý telefonát od uživatele je vopruz.
    Zdar Max
    Měl jsem sen ... :(
    10.3.2021 16:15 j
    Rozbalit Rozbalit vše Re: https Intranet only
    Jinak receno, neco uneumis, nerozumis tomu ale tvrdis, ze to nefunguje. Jak typicky (pro tebe specielne).

    Neznam ani jedninou firmu (a to jich znam stovky) kde by splitdns minimalne pro par sluzeb nepouzivali. Zadnej problem s tim nikdy nebyl a ani neni.

    ---

    Dete s tim guuglem dopice!
    Max avatar 10.3.2021 20:53 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: https Intranet only
    Popsal jsem tam služby, které s tím mají problém a vysvětlil proč (jaké technologie za tím stojí). Z mé zkušenosti to bylo třeba 5 nahlášených incidentů týdně z cca 350 uživatelů. A kdyby jsi to četl, tak nejsem jediný, kdo s tím měl problémy. V době, kdy má každý mobil a vše se cpe do webu, s tím prostě problém je. Jasně jsem i napsal, že existuje asi nasazení, kde to problém není, ale v případě mobilních zařízení a web prohlížečů to problém je docela velký.
    Jde tedy o to, jakým vývojem se web prohlížeče a bezpečnostní opatření ubírají. A ty se rozhodně ubírají směrem, který se split dns není kompatibilní.
    Pokud k tomu máš nějaké relevantní věci, tak to napiš, ale ty jako vždy děláš strašně chytrýho, ale přitom netušíš, o čem je řeč a vždy se jen uchyluješ k osobním útokům.
    Zdar Max
    Měl jsem sen ... :(
    11.3.2021 08:46 j
    Rozbalit Rozbalit vše Re: https Intranet only
    Jasne, je to tak velkej problem, ze to pouziva i ten podelanej guugl, a miliony dalsich sluzeb i ve verejnym netu ... a to prave na web. Prave guugl ti klidne naserviruje 5 ruznych IPcek na 100m vzdalenosti a to klidne i v ramci stejnyho ISP. A samo podle toho v kterym baraku zrovna stojis, ho mas bud nemecky, francouzky, spanelsky nebo italsky ... rozhodne ne anglicky, protoze na lang co posila browser oni zvysoka serou.

    A existuje cela rada sluzeb, kde te server aktivne vyfuckuje, pokud na nej lezes z rosahu, kterej neobsluhuje, takze kdyby to nefungovalo, a klienti nedostali spravny IPcka, nefungoval by internet vubec. Oni totiz provozovatele nadsene servirujou data pres 1/2 planety, a proto provozujou vsemoznych cache/clustery/... aby to pak vlastne podle nejakyho Maxe vubec nefugovalo protoze klienti neumej pouzivat dns.

    Takze jak vidno, vubec netusis o cem zvanis.

    ---

    Dete s tim guuglem dopice!
    Max avatar 11.3.2021 08:56 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: https Intranet only
    Tak to jsi silně nepochopil, o čem je řeč. Četl jsi vůbec, na co reaguješ?
    Celou dobu tu je řeč o split dns v rámci firmy.

    Ty tu hážeš příklady s DNS balancerama alá round robin (= více záznamů k jednomu dns) či geo balancerama (např. v každém státě ti to přeloží na jinou IP, která je k tobě, resp. ten cloud housing, nejblíž, aby jsi to měl co nejrychlejší) a další, což je úplně něco jinýho a tohle fakt problém není.
    Zdar Max
    Měl jsem sen ... :(
    Max avatar 7.3.2021 14:25 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: https Intranet only
    A ještě k tomu wildcard certifikátu. Pokud vím, tak ještě nedávno bylo vyžadováno ověření jen přes dns záznam. Tj. musel jsi používat nějaké dns severy, které uměly API a mohl jsi renew automatizovat.
    Zdar Max
    Měl jsem sen ... :(
    Josef Kufner avatar 8.3.2021 00:38 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: https Intranet only
    Na běžně používaném DNS serveru se nastaví ověřovací záznam jako CNAME na self-hosted server, kde je obyčejný Bind a Let's Encrypt klient a ten už si to pořeší (tento server se na nic jiného nepoužije). Je to zcela bezproblémové nastavení, které funguje s jakýmkoliv registrátorem a jakýmikoliv DNS servery.
    Hello world ! Segmentation fault (core dumped)
    otasomil avatar 8.3.2021 16:39 otasomil | skóre: 39 | blog: puppylinux
    Rozbalit Rozbalit vše Re: https Intranet only
    Jestli dobre rozumim tak Letsencrypt certifikat mohu ziskat i bez zpristupneni webu na Internet? Jak se jmenuje tato metoda, jak postupovat? Na VPS kde bezi verejne pristupna sluzba to je vcelku jasny ale takhle na lokalni siti? Ideal by bylo se o to nestarat a Cronem aby se delal renew do onech 3 mesicu.
    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý
    Jendа avatar 8.3.2021 16:51 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: https Intranet only
    DNS-01. Blbé je že to asi nejde použít pokud hostuješ DNS u někoho, kdo nemá pro provádění změn příčetné API, nebo každá změna trvá půl hodiny (zdravíme Forpsi).
    Josef Kufner avatar 8.3.2021 22:16 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: https Intranet only
    To není pravda. Jde to obejít, jak píšu, pomocí vlastního name serveru se subdoménou jen pro ověření. U providera si nastavíš NS záznam pro tvou _acme-challenge.* a na odkazovaném serveru si už můžeš dělat co chceš. Zbytek domény je pořád hostován na slušných serverech a pro Let's Encrypt máš svůj server, který umí vše, co je potřeba.
    Hello world ! Segmentation fault (core dumped)
    Jendа avatar 8.3.2021 16:54 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: https Intranet only
    Jinak ještě je možnost (asi hlavně pokud můžeš provozovat split horizon DNS) si zařídit certifikát pomocí "venkovního webu", který bude servírovat jen prázdnou stránku a ten soubor s challengí (a poběží klidně na úplně jiném počítači), a pak ho zkopírovat na ten počítač v intranetu…
    otasomil avatar 9.3.2021 20:50 otasomil | skóre: 39 | blog: puppylinux
    Rozbalit Rozbalit vše Re: https Intranet only
    Tak jsem nakonec zvolil nasledujici postup a to domenu s A, AAAA zaznamem + Letsencrypt. Pro ziskani certifikatu navic vubec neni treba zadny webserver. Certbot jej totiz ma vlastni. Jen jsem zastavil Apache2 aby se uvolnil port 80, prepsal cesty k souborum s certifikaty docasne povolil pres IPv6 pristup zvenci... no viz nasledujici prikazy. Uz nakonfigurovany Apache2 jsem nechtel pouzivat protoze bych musel prepisovat Require ip a tak mi cesta certbot --standalone prisla schudnejsi.
    systemctl stop apache2
    ip6tables -P INPUT ACCEPT
    ip6tables -F
    certbot certonly --standalone --preferred-challenges http -d domena.tld
    ip6tables-restore < /etc/iptables/rules.v6
    systemctl start apache2
    
    Pro renew zatim nevim zda bude stacit jen spustit:
    certbot renew
    
    A nebo bude treba zase povolit pristup zvenci viz:
    systemctl stop apache2
    ip6tables -P INPUT ACCEPT
    ip6tables -F
    certbot renew
    ip6tables-restore < /etc/iptables/rules.v6
    systemctl start apache2
    
    Zatim vse je OK, uvidim za cca tri mesice. Kazdopadne diky vsem za info.
    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý
    Josef Kufner avatar 9.3.2021 21:09 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: https Intranet only
    Stačit to nebude, neboť vyžádání si certifikátu a renew zahrnuje stejné ověření. Pokud nechceš trápit Apache, nahoď tam Bind a ověř přes DNS. Nebo můžeš nastavit Apache, aby tu .well-known cestu hostoval do vyhrazeného adresáře, kam ti Certbot uloží ověřovací soubory.
    Hello world ! Segmentation fault (core dumped)
    Jendа avatar 9.3.2021 21:24 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: https Intranet only
    No ale to znamená, že v DNS musíš mít venkovní a ne intranetovou IP, ne? Jak ti pak funguje ten intranet?
    otasomil avatar 10.3.2021 18:05 otasomil | skóre: 39 | blog: puppylinux
    Rozbalit Rozbalit vše Re: https Intranet only
    Domena ma A zaznam 192.168... a AAAA IPv6 je pristupna zvenci (po otevreni portu 80 ve FW) tak lze ziskat certifikat i jen pres IPv6 a ten pak funguje lokalne jak na v6 tak na v4. Vse tak funguje, i wget, curl akceptuji certifikat a bezi s vynucenou ipv4 i ipv6
    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý
    10.3.2021 00:04 GeorgeWH | skóre: 42
    Rozbalit Rozbalit vše Re: https Intranet only
    certbot certonly --standalone --preferred-challenges http -d domena.tld

    Ale toto nie je wildcard certifikat, ale certifikat pre konkretny "host" domena.tld. Cize pre domeny 3. radu (nieco.domena.tld) ho nemozes pouzit (hej mozes, ale klienti budu pindat).
    otasomil avatar 10.3.2021 18:06 otasomil | skóre: 39 | blog: puppylinux
    Rozbalit Rozbalit vše Re: https Intranet only
    Jo pouzil jsem nevyuzitou domenu druheho radu jen pro intranet.
    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.