Apple na své vývojářské konferenci WWDC26 (Worldwide Developers Conference, keynote) představil řadu novinek. Vypíchnout lze novou generaci Apple Intelligence a zbrusu novou Siri, která dostala název Siri AI. Kvůli Aktu o digitálních trzích (DMA) však funkce Siri AI nebudou v systémech iOS 27 a iPadOS 27 k dispozici uživatelům v Evropské unii.
Byla vydána nová verze 1.18.0 distribučního frameworku Flatpak (Wikipedie), tj. technologie umožňující distribuovat aplikace v podobě jednoho instalačního souboru na různé linuxové distribuce a jejich různá vydání. Přehled novinek na GitHubu. Vypíchnout lze podporu rozhraní /dev/kfd pro výpočty na kartách AMD (AMDKFD).
aMule (Wikipedie), tj. multiplatformní klient pro peer-to-peer sdílení souborů pro sítě eD2k and Kademlia, byl po více než pěti letech od vydání poslední verze 2.3.3, vydán v nové major verzi 3.0.0 (GitHub). S novou webovou stránkou a dokumentací.
Byly vyhlášeni vítězové a zveřejněny vítězné zdrojové kódy (YouTube, GitHub) již 29. ročníku soutěže International Obfuscated C Code Contest (IOCCC), tj. soutěže o nejnepřehlednější (nejobfuskovanější) zdrojový kód v jazyce C.
Evropská komise předložila evropský balíček pro technologickou suverenitu, tedy soubor opatření, která mají posílit kapacity EU v oblasti polovodičů, umělé inteligence, cloudu a open source. To Evropě pomůže stát se lídrem v oblasti umělé inteligence, posílit její digitální autonomii a vytvářet podmínky pro udržitelnější digitální budoucnost.
OpenCV (Open Source Computer Vision, Wikipedie), tj. open source multiplatformní knihovna pro zpracování obrazu a počítačové vidění, byla vydána v nové major verzi 5.
Byla vydána nová verze 9.7 multiplatformní digitální pracovní stanice pro práci s audiem (DAW) Ardour. Přehled novinek, vylepšení a oprav v poznámkách k vydání.
Vývojáři webového prohlížeče Ladybird dnes oznámili, že mění způsob vývoje. S blížícím se vydáním alfa verze přestávají přijímat veřejné pull requesty. Všechny otevřené veřejné pull requesty budou uzavřeny. Tým nedokáže garantovat bezpečnost AI generovaných pull requestů.
OpenLogi (GitHub) je open source náhrada aplikace Logi Options+ pro přizpůsobení myší od společnosti Logitech. Zatím běží pouze na macOS.
Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za květen (YouTube).
ssl_client_certificate /etc/client-CA/client-ca.crt; ssl_verify_client on;Můžete mi prosím poradit? P.
31.7.2023 00:10
Jendа | skóre: 78
| blog: Jenda
| JO70FB
…v prohlížečích podpora všelijaká a celkově na prd…
To je zajímavá novinka. To jsem se zase něco dozvěděl, po víc než dekádě bezproblémového používání právě téhle všelijaké na prd podpory.
To pak asi žádná z větších internetových firem ve skutečnosti vůbec neexistuje, což, když se žádní zaměstnanci nemůžou dostat na žádný firemní web.
Alternativní realita, par excellence.
400 Bad Request No required SSL certificate was sent nginx/1.22.1
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
curl, tam máš pod kontrolou, co se posílá:
curl https://example.com --cert client.cert.pem --key client.key.nopass.pem --cacert ca.cert.pemVe výstupu z s_client můžeš vidět, které klientské CA nabízí server:
echo "\n" | openssl s_client -connect example.com:https
Osobnímu certifikátu nemáš kde (a nemáš jak (a nemáš proč)) nastavovat „vždy důvěřovat“.
Takže jsi udělal něco špatně. Znova přečíst návod a začít od začátku.
31.7.2023 05:52
Max | skóre: 73
| blog: Max_Devaine
31.7.2023 12:10
Max | skóre: 73
| blog: Max_Devaine
31.7.2023 15:01
Max | skóre: 73
| blog: Max_Devaine
Je potřeba vygenerovat si (například pomocí OpenSSL) certifikační autoritu. Certifikační autorita je samopodepsaný kořenový certifikát a k němu příslušející pár klíčů.
Kořenový certifikát s veřejným klíčem autority se rozdistribuuje na servery, které pak mají ověřovat osobní certifikáty.
Každý uživatel má svůj osobní certifikát a k němu příslušející pár klíčů. Osobní certifikát je vytvořený za použití soukromého klíče autority veřejného klíče uživatele. Osobní certifikát potvrzuje uznání veřejného klíče uživatele autoritou.
Při autentifikaci se uživatel prokáže certifikátem od autority a veřejným klíčem, který tento certifikát potvrzuje. Následně pak prokáže (pomocí vhodného challenge-response mechanismu), že vlastní soukromý klíč ke svému veřejnému klíči.
1.8.2023 00:41
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Nepoužívat Macroshit Edge?
Jinak jde většinou o to (a dá se to nastavit), že klíče se odemykají třeba jednou, při spuštění prohlížeče, a pak zůstane klíčenka nějakou dobu odemčená (což může být konkrétní čas nebo celý uptime).
Je to takový kompromis mezi pohodlím a odolností proti neoprávněnému použití soukromého klíče, ať už jakýmikoliv způsobem (odlákáním uživatele něčím rádoby-urgentním, aby si nezamknul session, případně cold boot útokem). Pokud je software rozumně navržený, při zamčené klíčence by dešifrovaný soukromý klíč neměl zůstávat v RAM.
/etc/hosts a je to. Odpadá tak veškeré žonglování s certifikátama a heslama. Odhodlaného útočníka který může tvůj http provoz odchytávat tcpdumpem to sice nezastaví, ale náhodné kolemjdoucí a boty to spolehlivě odfiltruje.
1.8.2023 10:34
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Ano je to takové trochu lamerské řešení, ale je to jednoduché, bezůdržbové, nevyžaduje to instalaci žádného speciálního software na straně klienta. Celou dobu se tu řeší akorát ty certifikáty tak mi přišlo fér zmínit taky jinačí možnost jak "omezit přístup na web server".
Dají se taky na serveru nastavit povolené zdrojové ip adresy, ale to už je dneska ůplné scifi protože pevnou veřejnou nesdílenou IP má jenom hrstka vyvolených.ale to už je dneska ůplné scifi protože pevnou veřejnou nesdílenou IP má jenom hrstka vyvolenýchIPv6 za 5 ... 4 ... 3 ... 2 ... 1 ...
1.8.2023 19:15
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Nemyslel jsem subdoménu ale nějaký jednoduchý hostname. Ano pokud hostname neobsahuje tečku, některé resolvery můžou frflat, ale to se taky dá snadno změnit v konfiguraci. Jsem měl za to, že když mám záznam přímo v /etc/hosts tak ten dns dotaz vůbec neopustí počítač.Jo takhle. No tak to pro změnu úplně vidím, jak ten jednoslovný hostname dáš do adresního řádku a prohlížeč to interpretuje jako dotaz pro vyhledávač (jasně, asi ti nehrozí útok, že by si toho někdo v Googlu všiml, pak uhádl kde ten server běží a poslal to tam). Pro zajímavost, proč jsi prostě nepoužil standardní HTTP autentizaci jménem a heslem?
2.8.2023 00:19
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Vetšina uživatelů neskáče od radosti ke stropu když musí v hlavě nosit a někam ručně datlovat další složité heslo.No já nevím co máš za uživatele, ale v mém okolí by asi měli lidi docela problém, když máš jako use-case „přijít k novému počítači“, přeložit tvoji normální doménu (IP si nepamatuju) a výsledek zadat spolu s „heslovým“ hostname do hosts. A ti co to dokážou už zase umí používat password manager nebo si heslo bezpečně a jednoduše (bez pamatování) přenést nějak jinak.
Standartní autentizaci jsem nepoužil asi taky proto, že v momentě jak se něco takového vystrčí do internetu tak se na to nalepí spousta botů kteří zkouší hesla.Museli by případně uhádnout i uživatele, a hlavně já takhle typicky zahesluju jenom adresář, takže by museli uhádnout ten adresář…
1.8.2023 16:30
Jendа | skóre: 78
| blog: Jenda
| JO70FB
mojeheslo 171.25.221.158a svůj server (s adresou 171.25.221.158) nastavíš tak, aby když mu přijde požadavek s Host: mojeheslo, tak vrátil tvoje tajné stránky. Prohlížeč pošle takovou Host hlavičku sám od sebe, protože to vidí jako zadaný hostname. Problém je že na
mojeheslo rozhodně nikdy nezískáš HTTPS certifikát, že takové použití vyžaduje od uživatelů mít admina aby mohli editovat /etc/hosts (nebo pokročilé kouzlení s LD_PRELOAD) a že ho na některých platformách (hlavně mobily) asi neuděláš vůbec.
když mu přijde požadavek s Host: mojeheslo, tak vrátil tvoje tajné stránky.no ale stále nevím jak mám odeslat takový požadavek z prohlížeče. Nebo to je dané tou IP adresou? Pokaždé když se připojím na server s 171.25.221.158 tak to vždy vrátí "tajné stránky"? Proč na to nezískám HTTPS certifikát?
1.8.2023 19:12
Jendа | skóre: 78
| blog: Jenda
| JO70FB
no ale stále nevím jak mám odeslat takový požadavek z prohlížečeÚplně stejně jakýkoli jiný. Když zadáš do prohlížeče http://abclinuxu.cz/, prohlížeč se zeptá systému, jakou má abclinuxu.cz adresu, systém se podívá do hosts souboru, tam ho nenajde, tak pokračuje další možností a provede DNS dotaz, dostane odpověď že to je 171.25.221.158, prohlížeč se připojí na 171.25.221.158 a pošle HTTP požadavek s Host: abclinuxu.cz. Když si do hosts souboru napíšeš 171.25.221.158 mojeheslo a pak do prohlížeče http://mojeheslo/, prohlížeč se zeptá systému, jakou má mojeheslo adresu, systém se podívá do hosts souboru, tam najde 171.25.221.158, předá to prohlížeči, prohlížeč se připojí na 171.25.221.158 a pošle HTTP požadavek s Host: mojeheslo. Na straně serveru se tomuhle většinou říká virtual hosts, a je to běžný způsob jak udělat, aby na jedné IP adrese mohlo běžet root.cz a lupa.cz. (ale přijde mi to na „zaheslování“ jako bizarní řešení, které bych nepoužíval)
Pokaždé když se připojím na server s 171.25.221.158 tak to vždy vrátí "tajné stránky"?Ne, cílem je nastavit server tak, aby jako „defaultní virtualhost“ (tj. to co vrátí když mu v Host hlavičce pošleš IP adresu / neznámou věc / nepošleš ji vůbec) vracel nějaké jiné stránky.
Proč na to nezískám HTTPS certifikát?Protože certifikát potvrzuje, že vlastníš / máš právo nakládat s doménovým jménem, které je tam uvedeno. Tady bys potřeboval, aby v něm bylo napsáno "mojeheslo", ale to jednak nevlastníš, a jednak se vydávané certifikáty zveřejňují (aby si vlastník abclinuxu.cz mohl kontrolovat, že někomu cizímu nebyl vydán třeba nějakým podvodem certifikát pro abclinuxu.cz), takže by se zveřejnil i certifikát s "mojeheslo" a pak by ho všichni viděli.
2.8.2023 00:20
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Ne. Myslí že si dáš do hostsJeště upřesnění, a do prohlížeče zadám jakou adresu? "http://mojeheslo" ? Ještě k tomu SSL certifikátu, když si vygeneruji vlastní certifikát, tak to přes https pojede, ne?mojeheslo 171.25.221.158
Tiskni
Sdílej:
1.8.2023 23:51