Společnost System76 vydala beta verzi Pop!_OS 24.04 LTS s novým desktopovým prostředím COSMIC. Videoukázky na YouTube.
Komunitní Wikikonference 2025 aneb setkání s tvůrci české Wikipedie plné přednášek, diskuzí a novinek ze světa Wikimedia, proběhne v sobotu 8. listopadu 2025 v Didaktikonu Kampusu Hybernská v Praze. Hlavním tématem letošního setkání je otázka, která hýbe nejen komunitou, ale i širší společností: „Je Wikipedie jenom pro boomery?“
Konsorcium devíti evropských bank zakládá novou společnost, která bude vydávat vlastní stablecoin navázaný na euro. Cílem projektu je posílit evropskou pozici v odvětví digitálních financí a omezit dominanci amerických firem na kryptoměnovém trhu.
UBports, nadace a komunita kolem Ubuntu pro telefony a tablety Ubuntu Touch, vydala Ubuntu Touch 20.04 OTA-10, tj. desáté stabilní vydání založené na Ubuntu 20.04 Focal Fossa. V plánu bylo také vydání Ubuntu Touch 24.04-1.0. To bylo ale odloženo. Vyjde ještě jedna RC verze.
Společnost Qualcomm na Snapdragon Summitu 2025 představila nové čipy: Snapdragon 8 Elite Gen 5 pro mobily a Snapdragon X2 Elite Extreme a Snapdragon X2 Elite pro PC. Do LKML (Linux Kernel Mailing List) byly odeslány příslušné patche (Snapdragon 8 Elite Gen 5 a Snapdragon X2 Elite).
Byla vydána verze 32.0 svobodného softwaru OBS Studio (Open Broadcaster Software, Wikipedie) určeného pro streamování a nahrávání obrazovky počítače. Přehled novinek na GitHubu. Instalovat lze také z Flathubu.
Byl vydán PostgreSQL 18. Přehled novinek v poznámkách k vydání.
NFS (Network File System) má letos 40 let. Jeho tvůrci zavzpomínali na MSST Conference. Sun Microsystems vydal v prosinci 1985 zdrojové kódy NFS vývojářům mimo Sun.
Po Canonicalu oznámilo také SUSE, že bude podporovat a distribuovat toolkit NVIDIA CUDA (Wikipedie).
Laboratoře CZ.NIC vydaly novou verzi 4.27.0 aplikace Datovka, tj. svobodné multiplatformní desktopové aplikace pro přístup k datovým schránkám a k trvalému uchovávání datových zpráv v lokální databázi. Přidány byly funkce pro přerazítkování datových zpráv systémem ISDS. Uživatel muže zvolit zprávy, jejichž časová razítka má aplikace sledovat. Aplikace jej upozorní na časová razítka, která lze přerazítkovat. Uživatel pak může
… více »
Dokud nebude ta chyba zazáplatována, je potřeba mít na Abclinuxu zablokovaný JavaScript.Útočník by mohl maximálně tak jménem uživatele postnout z JavaScriptu nějaké příspěvky.
Tam by krádež cookies mohla mít fatální následky.Akorát že přihlašovací cookies na Abíčku už mají nějakou dobu nastavený atribut HTTPonly.
Je to fakt velmi závažná bezpečnostní chyba.Ani bych neřekl.
Útočník by mohl maximálně tak jménem uživatele postnout z JavaScriptu nějaké příspěvky.Mazat nemůže?
Akorát že přihlašovací cookies na Abíčku už mají nějakou dobu nastavený atribut HTTPonly.Aha, to jsem nevěděl (a dokonce jsem takový atribut ani neznal). To tedy krádež session snad vylučuje.
Ani bych neřekl.Je to méně závažné než jsem si myslel (s ohledem na ten atribut HTTPonly), ale i byť jen možnost postovat pod cizím jménem mi docela závažná přijde.
Mazat nemůže?Může jenom to, co uživatel.
To tedy krádež session snad vylučuje.Vylučuje, proto jsem před pár lety ten patch posílal, když si tu tenkrát někdo začal hrát s XSS.
byť jen možnost postovat pod cizím jménem mi docela závažná přijdeMůže vložit skript, který se provede tam, kde se používá (v tomto případě) název hesla ze slovníku. Je to jeden společný skript pro všechny, pokud by chtěl něco vložit jménem konkrétního uživatele, musí si v tom skriptu zjistit, zda je to právě přihlášený uživatel, pak zvolit třeba nějaké časové rozmezí (aby se to za daného uživatele vložilo jen několikrát a ne pořád dokola), a vkládaný text opět musí být napevno součástí toho skriptu (může jich tam být víc, ale stále omezené množství). Navíc ten skript bude uložený v historii daného slovníkového hesla, stačí si pak z databáze vyjet všechna hesla vytvořená v poslední době, která obsahují
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
9.2.2018 00:41
<script.
Z možných bezpečnostních chyb je tenhle typ chyby méně závažný. XSS chyb bude na Abíčku pravděpodobně o dost víc, v době, kdy Abíčko vzniklo, se takovéhle věci neřešily – tenkrát se to bralo, že si přece nebudeme škodit navzájem. Dneska by to určitě chtělo na Abíčko nasadit CSP, jenže to není jen otázka nastavení jednoho příznaku, protože Abíčko používá i dost inline skriptů.
Bohužel to jenom potvrzuje, že když se nechá „svoboda“ malým trollům, přitáhnou za nimi větší trollové a po nich ti, kteří už chtějí jenom škodit a nijak se s tím netají.
Může jenom to, co uživatel.Přístup pro adminy je úplně oddělený, nebo...?
Je to jeden společný skript pro všechny, pokud by chtěl něco vložit jménem konkrétního uživatele, musí si v tom skriptu zjistit, zda je to právě přihlášený uživatel, pak zvolit třeba nějaké časové rozmezí (aby se to za daného uživatele vložilo jen několikrát a ne pořád dokola), a vkládaný text opět musí být napevno součástí toho skriptu (může jich tam být víc, ale stále omezené množství).Spammerovi je to jedno (naopak by to možná ještě narval do cyklu).
Bohužel to jenom potvrzuje, že když se nechá „svoboda“ malým trollům, přitáhnou za nimi větší trollové a po nich ti, kteří už chtějí jenom škodit a nijak se s tím netají.Nevím, jak to mám chápat. V komunitách, kde je nízká tolerance vůči trollům se objevuje méně záškodníků, protože od počátku vidí, že se daleko nedostanou? Z hlediska projevování se asi ano, ale nemyslím si, že by to někoho odradilo od hledání bezpečnostních chyb (naopak by to jejich hledání možná vyprovokovalo ještě víc). Ale nepřijde mi to podstatné.
Přístup pro adminy je úplně oddělený, nebo...?Bylo to myšleno tak, že vložený JavaScript může dělat jenom to, co může dělat přihlášený uživatel, u kterého ten skript běží. Admini si teď holt musí dávat pozor.
Nevím, jak to mám chápat. V komunitách, kde je nízká tolerance vůči trollům se objevuje méně záškodníků, protože od počátku vidí, že se daleko nedostanou?Ano.
nemyslím si, že by to někoho odradilo od hledání bezpečnostních chyb (naopak by to jejich hledání možná vyprovokovalo ještě víc)Tady nejde o hledání bezpečnostních chyb, ale o jejich zneužívání. Komunita lidí kolem portálu o těch chybách ví, některý z trollů občas něco z legrace zkusil, bylo to třeba nepříjemné, ale nikdy to nebylo dělané s cílem útočit nebo něco ničit. S úmyslem ničit toho začal zneužívat až petrfm. Za ty léta je vidět, jak se to postupně zhoršuje – nejprve jen napadání v konkrétních diskusích, pak opakované napadání konkrétních lidí, pak ruční tapetování diskusí a teď už skripty. A vždy to někdo obhajoval tím, že je to přece svoboda slova a to je to nejdůležitější a to zajišťuje svobodnou diskusi. No, tak teď už je snad každému jasné, že v diskusi je to úplně stejné, jako ve sportu – skutečnou diskusi nebo skutečné sportovní utkání nezajistí to, že se bude „hrát“ bez pravidel, ale právě naopak, funguje to jedině tehdy, pokud se pravidla dodržují.
Ani bych neřekl.To já teda jo, ale ty tomu rozumíš, že?
LOL
9.2.2018 09:13
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
9.2.2018 10:53
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
a ne, ja TO nepodaval...
Nicméně podávat TO jen kvůli komentářům, to je také docela zvláštní.Změna v jeho chování byla natolik divná, že jsem měl podstatnou obavu o to, jak se projevuje v normálním životě (mj. s ohledem na to, že asi má děti). Já nemůžu rozlišit, jestli tu prostě jen píše sračky, nebo je nebezpečný sobě a/nebo okolí. Nedělám si iluze, že by mu za těch pár komentářů hrozil nějaký vážný postih (a ani bych z toho neměl žádný užitek). Teď už je zjevné, že nějaké duševní problémy má a můj odhad byl správný. Mimochodem, o legitimní podání TO se tak úplně nejednalo. Upozornil jsem policii e-mailem a ta dodnes neodpověděla – ale to už není moje starost. Já udělal to, co mi přišlo, že jsem udělat měl, a dál už je to na nich. Pokud se domnívají, že to není třeba řešit, tak v pořádku. Už se nebudu muset cítit spoluzodpovědný v případě, že mu rupne v bedně úplně a začne se chovat agresivně, nebo co já vím.
9.2.2018 21:21
tsLnox | skóre: 31
| blog: Blog jednoho ukecaného Gentoolemana
| Žďár nad Sázavou
9.2.2018 22:09
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
9.2.2018 18:43
?html za proměnnou.
Všude se spoléhá na kontroly při vkládání (typu String.indexOf('<') != -1) a ty někde chybí. A pak jsou tam zrádnosti jako že Misc.filterDangerousCharacters() filtruje všelijaký nebezpečný rozsahy unicode, ale rozhodně neřeší <, takže při kontrole člověk mylně předpokládá, že to dělá něco jiného..
Přemýšlím, co je teď pro Abíčko lepší – zda teď nechat petrfm, aby všechny ty XSS našel, nebo ke všem vloženým skriptům doplnit vypsání nonce a zapnout CSP.Povolit v komentářích pouze "ook" a "eek" :-P Jinak vážně: pokud to není nikde ošetřený, tak se to náhodnýma pokusama nenajde všechno. Nebo by to trvalo tak dlouho, že by tu už nikdo nezbyl.
11.2.2018 22:13
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
Jo a ktomu čo si písal, že pred časom tu niekto XSS skúšal, ale ja som to robil ako White hat :) Teda len som na to upozornil.Vždyť jsem také psal „zkoušel“ a ne „škodil“. Akorát by mi jako upozornění přišlo vhodnější oznámit to správcům a ne napsat to do veřejné diskuse a doufat, že si toho někdo všimne. I když je pravda, že kdyby to nebylo ve veřejné diskusi, nenarazil bych na to a nepřipravil tu opravu, která alespoň znemožnila čtení cookies z JavaScriptu.
12.2.2018 19:15
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
19.2.2018 21:02
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
.
Tiskni
Sdílej:
