UBports, nadace a komunita kolem Ubuntu pro telefony a tablety Ubuntu Touch, vydala Ubuntu Touch 24.04-1.3. Současně oznámila, že nadcházející větší vydání 24.04-2.0 bude mít modernější webový prohlížeč.
Ploopy po DIY trackballech či sluchátkách představuje nový externí DIY trackpoint se čtyřmi tlačítky Bean. Obsahuje snímač Texas Instruments TMAG5273, spínače Omron D2LS-21 a řadič RP2040, používá firmware QMK. Schémata jsou na GitHubu; sadu lze předobjednat za 69 kanadských dolarů (bez dopravy a DPH).
Mozilla před dvěma týdny na svém blogu oznámila, že díky Claude Mythos Preview bylo ve Firefoxu nalezeno a opraveno 271 bezpečnostních chyb. Včera vyšel na Mozilla Hacks článek s podrobnějšími informacemi. Z 271 bezpečnostních chyb mělo 180 chyb vysokou závažnost, 80 chyb střední závažnost a 11 chyb nízkou závažnost. Celkově bylo v dubnu ve Firefoxu opraveno 423 bezpečnostních chyb. Čísla CVE nemusí být přiřazována jednotlivým chybám. CVE-2026-6784 například představuje 154 bezpečnostních chyb.
Před týdnem zranitelnost Copy Fail. Dnes zranitelnost Dirty Frag. Běžný uživatel může na Linuxu získat práva roota (lokální eskalaci práv). Na většině linuxových distribucí vydaných od roku 2017. Aktuálně bez oficiální záplaty a CVE čísla [oss-security mailing list].
Ačkoli je papež Lev XIV. hlavou katolické církve a stojí v čele více než miliardy věřících po celém světě, také on někdy řeší všední potíže. A kdo v životě neměl problémy se zákaznickou linkou? Krátce poté, co nastoupil do úřadu, musel papež se svou bankou řešit změnu údajů. Operátorka ale nechtěla uvěřit, s kým mluví, a Svatému otci zavěsila.
Incus, komunitní fork nástroje pro správu kontejnerů LXD, byl vydán ve verzi 7.0 LTS (YouTube). Stejně tak související LXC a LXCFS.
Google Chrome 148 byl prohlášen za stabilní. Nejnovější stabilní verze 148.0.7778.96 přináší řadu novinek z hlediska uživatelů i vývojářů. Vypíchnout lze Prompt API (demo) pro přímý přístup k AI v zařízení. Podrobný přehled v poznámkách k vydání. Opraveno bylo 127 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.
Richard Hughes oznámil, že po společnostech Red Hat a Framework a organizacích OSFF a Linux Foundation, službu Linux Vendor Firmware Service (LVFS) umožňující aktualizovat firmware zařízení na počítačích s Linuxem, nově sponzorují také společnosti Dell a Lenovo. Do dnešního dne bylo díky LVFS provedeno více než 145 milionů aktualizací firmwarů od více než 100 různých výrobců na milionech linuxových zařízení.
Americké technologické společnosti Microsoft, Google a xAI souhlasily, že vládě Spojených států poskytnou přístup k novým modelům umělé inteligence (AI) před jejich uvedením na trh. Oznámila to americká vláda, která tak bude moci prověřit, zda modely nepředstavují hrozbu pro národní bezpečnost. Oznámení podtrhuje rostoucí obavy Washingtonu z rizik spojených s výkonnými AI systémy. Americké úřady chtějí v rámci předběžného přístupu
… více »Společnost Valve zveřejnila (GitLab) nákresy ovladače Steam Controller a puku. Pro všechny, kdo by jej chtěli hacknout nebo modifikovat, případně pro ně navrhnout nějaké příslušenství. Pod licencí Creative Commons (CC BY-NC-SA 4.0).
Dokud nebude ta chyba zazáplatována, je potřeba mít na Abclinuxu zablokovaný JavaScript.Útočník by mohl maximálně tak jménem uživatele postnout z JavaScriptu nějaké příspěvky.
Tam by krádež cookies mohla mít fatální následky.Akorát že přihlašovací cookies na Abíčku už mají nějakou dobu nastavený atribut HTTPonly.
Je to fakt velmi závažná bezpečnostní chyba.Ani bych neřekl.
Útočník by mohl maximálně tak jménem uživatele postnout z JavaScriptu nějaké příspěvky.Mazat nemůže?
Akorát že přihlašovací cookies na Abíčku už mají nějakou dobu nastavený atribut HTTPonly.Aha, to jsem nevěděl (a dokonce jsem takový atribut ani neznal). To tedy krádež session snad vylučuje.
Ani bych neřekl.Je to méně závažné než jsem si myslel (s ohledem na ten atribut HTTPonly), ale i byť jen možnost postovat pod cizím jménem mi docela závažná přijde.
Mazat nemůže?Může jenom to, co uživatel.
To tedy krádež session snad vylučuje.Vylučuje, proto jsem před pár lety ten patch posílal, když si tu tenkrát někdo začal hrát s XSS.
byť jen možnost postovat pod cizím jménem mi docela závažná přijdeMůže vložit skript, který se provede tam, kde se používá (v tomto případě) název hesla ze slovníku. Je to jeden společný skript pro všechny, pokud by chtěl něco vložit jménem konkrétního uživatele, musí si v tom skriptu zjistit, zda je to právě přihlášený uživatel, pak zvolit třeba nějaké časové rozmezí (aby se to za daného uživatele vložilo jen několikrát a ne pořád dokola), a vkládaný text opět musí být napevno součástí toho skriptu (může jich tam být víc, ale stále omezené množství). Navíc ten skript bude uložený v historii daného slovníkového hesla, stačí si pak z databáze vyjet všechna hesla vytvořená v poslední době, která obsahují
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
9.2.2018 00:41
<script.
Z možných bezpečnostních chyb je tenhle typ chyby méně závažný. XSS chyb bude na Abíčku pravděpodobně o dost víc, v době, kdy Abíčko vzniklo, se takovéhle věci neřešily – tenkrát se to bralo, že si přece nebudeme škodit navzájem. Dneska by to určitě chtělo na Abíčko nasadit CSP, jenže to není jen otázka nastavení jednoho příznaku, protože Abíčko používá i dost inline skriptů.
Bohužel to jenom potvrzuje, že když se nechá „svoboda“ malým trollům, přitáhnou za nimi větší trollové a po nich ti, kteří už chtějí jenom škodit a nijak se s tím netají.
Může jenom to, co uživatel.Přístup pro adminy je úplně oddělený, nebo...?
Je to jeden společný skript pro všechny, pokud by chtěl něco vložit jménem konkrétního uživatele, musí si v tom skriptu zjistit, zda je to právě přihlášený uživatel, pak zvolit třeba nějaké časové rozmezí (aby se to za daného uživatele vložilo jen několikrát a ne pořád dokola), a vkládaný text opět musí být napevno součástí toho skriptu (může jich tam být víc, ale stále omezené množství).Spammerovi je to jedno (naopak by to možná ještě narval do cyklu).
Bohužel to jenom potvrzuje, že když se nechá „svoboda“ malým trollům, přitáhnou za nimi větší trollové a po nich ti, kteří už chtějí jenom škodit a nijak se s tím netají.Nevím, jak to mám chápat. V komunitách, kde je nízká tolerance vůči trollům se objevuje méně záškodníků, protože od počátku vidí, že se daleko nedostanou? Z hlediska projevování se asi ano, ale nemyslím si, že by to někoho odradilo od hledání bezpečnostních chyb (naopak by to jejich hledání možná vyprovokovalo ještě víc). Ale nepřijde mi to podstatné.
Přístup pro adminy je úplně oddělený, nebo...?Bylo to myšleno tak, že vložený JavaScript může dělat jenom to, co může dělat přihlášený uživatel, u kterého ten skript běží. Admini si teď holt musí dávat pozor.
Nevím, jak to mám chápat. V komunitách, kde je nízká tolerance vůči trollům se objevuje méně záškodníků, protože od počátku vidí, že se daleko nedostanou?Ano.
nemyslím si, že by to někoho odradilo od hledání bezpečnostních chyb (naopak by to jejich hledání možná vyprovokovalo ještě víc)Tady nejde o hledání bezpečnostních chyb, ale o jejich zneužívání. Komunita lidí kolem portálu o těch chybách ví, některý z trollů občas něco z legrace zkusil, bylo to třeba nepříjemné, ale nikdy to nebylo dělané s cílem útočit nebo něco ničit. S úmyslem ničit toho začal zneužívat až petrfm. Za ty léta je vidět, jak se to postupně zhoršuje – nejprve jen napadání v konkrétních diskusích, pak opakované napadání konkrétních lidí, pak ruční tapetování diskusí a teď už skripty. A vždy to někdo obhajoval tím, že je to přece svoboda slova a to je to nejdůležitější a to zajišťuje svobodnou diskusi. No, tak teď už je snad každému jasné, že v diskusi je to úplně stejné, jako ve sportu – skutečnou diskusi nebo skutečné sportovní utkání nezajistí to, že se bude „hrát“ bez pravidel, ale právě naopak, funguje to jedině tehdy, pokud se pravidla dodržují.
Ani bych neřekl.To já teda jo, ale ty tomu rozumíš, že?
LOL
9.2.2018 09:13
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
9.2.2018 10:53
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
a ne, ja TO nepodaval...
Nicméně podávat TO jen kvůli komentářům, to je také docela zvláštní.Změna v jeho chování byla natolik divná, že jsem měl podstatnou obavu o to, jak se projevuje v normálním životě (mj. s ohledem na to, že asi má děti). Já nemůžu rozlišit, jestli tu prostě jen píše sračky, nebo je nebezpečný sobě a/nebo okolí. Nedělám si iluze, že by mu za těch pár komentářů hrozil nějaký vážný postih (a ani bych z toho neměl žádný užitek). Teď už je zjevné, že nějaké duševní problémy má a můj odhad byl správný. Mimochodem, o legitimní podání TO se tak úplně nejednalo. Upozornil jsem policii e-mailem a ta dodnes neodpověděla – ale to už není moje starost. Já udělal to, co mi přišlo, že jsem udělat měl, a dál už je to na nich. Pokud se domnívají, že to není třeba řešit, tak v pořádku. Už se nebudu muset cítit spoluzodpovědný v případě, že mu rupne v bedně úplně a začne se chovat agresivně, nebo co já vím.
9.2.2018 21:21
tsLnox | skóre: 31
| blog: Blog jednoho ukecaného Gentoolemana
| Žďár nad Sázavou
9.2.2018 22:09
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
9.2.2018 18:43
?html za proměnnou.
Všude se spoléhá na kontroly při vkládání (typu String.indexOf('<') != -1) a ty někde chybí. A pak jsou tam zrádnosti jako že Misc.filterDangerousCharacters() filtruje všelijaký nebezpečný rozsahy unicode, ale rozhodně neřeší <, takže při kontrole člověk mylně předpokládá, že to dělá něco jiného..
Přemýšlím, co je teď pro Abíčko lepší – zda teď nechat petrfm, aby všechny ty XSS našel, nebo ke všem vloženým skriptům doplnit vypsání nonce a zapnout CSP.Povolit v komentářích pouze "ook" a "eek" :-P Jinak vážně: pokud to není nikde ošetřený, tak se to náhodnýma pokusama nenajde všechno. Nebo by to trvalo tak dlouho, že by tu už nikdo nezbyl.
11.2.2018 22:13
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
Jo a ktomu čo si písal, že pred časom tu niekto XSS skúšal, ale ja som to robil ako White hat :) Teda len som na to upozornil.Vždyť jsem také psal „zkoušel“ a ne „škodil“. Akorát by mi jako upozornění přišlo vhodnější oznámit to správcům a ne napsat to do veřejné diskuse a doufat, že si toho někdo všimne. I když je pravda, že kdyby to nebylo ve veřejné diskusi, nenarazil bych na to a nepřipravil tu opravu, která alespoň znemožnila čtení cookies z JavaScriptu.
12.2.2018 19:15
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
19.2.2018 21:02
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
.
Tiskni
Sdílej:
