Ministerstvo pro místní rozvoj (MMR) jako první orgán státní správy v Česku spustilo takzvaný „bug bounty“ program pro odhalování bezpečnostních rizik a zranitelných míst ve svých informačních systémech. Za nalezení kritické zranitelnosti nabízí veřejnosti odměnu 1000 eur, v případě vysoké závažnosti je to 500 eur. Program se inspiruje přístupy běžnými v komerčním sektoru nebo ve veřejné sféře v zahraničí.
Vláda dne 16. července 2025 schválila návrh nového jednotného vizuálního stylu státní správy. Vytvořilo jej na základě veřejné soutěže studio Najbrt. Náklady na přípravu návrhu a metodiky činily tři miliony korun. Modernizovaný dvouocasý lev vychází z malého státního znaku. Vizuální styl doprovází originální písmo Czechia Sans.
Vyhledávač DuckDuckGo je podle webu DownDetector od 2:15 SELČ nedostupný. Opět fungovat začal na několik minut zhruba v 15:15. Další služby nesouvisející přímo s vyhledáváním, jako mapy a AI asistent jsou dostupné. Pro některé dotazy během výpadku stále funguje zobrazování například textu z Wikipedie.
Více než 600 aplikací postavených na PHP frameworku Laravel je zranitelných vůči vzdálenému spuštění libovolného kódu. Útočníci mohou zneužít veřejně uniklé konfigurační klíče APP_KEY (např. z GitHubu). Z více než 260 000 APP_KEY získaných z GitHubu bylo ověřeno, že přes 600 aplikací je zranitelných. Zhruba 63 % úniků pochází z .env souborů, které často obsahují i další citlivé údaje (např. přístupové údaje k databázím nebo cloudovým službám).
Open source modální textový editor Helix, inspirovaný editory Vim, Neovim či Kakoune, byl vydán ve verzi 25.07. Přehled novinek se záznamy terminálových sezení v asciinema v oznámení na webu. Detailně v CHANGELOGu na GitHubu.
Americký výrobce čipů Nvidia získal od vlády prezidenta Donalda Trumpa souhlas s prodejem svých pokročilých počítačových čipů používaných k vývoji umělé inteligence (AI) H20 do Číny. Prodej těchto čipů speciálně upravených pro čínský trh by tak mohl být brzy obnoven, uvedla firma na svém blogu. Americká vláda zakázala prodej v dubnu, v době eskalace obchodního sporu mezi oběma zeměmi. Tehdy to zdůvodnila obavami, že by čipy mohla využívat čínská armáda.
3D software Blender byl vydán ve verzi 4.5 s prodlouženou podporou. Podrobnosti v poznámkách k vydání. Videopředstavení na YouTube.
Open source webový aplikační framework Django slaví 20. narozeniny.
V Brestu dnes začala konference vývojářů a uživatelů linuxové distribuce Debian DebConf25. Na programu je řada zajímavých přednášek. Sledovat je lze online.
Před 30 lety, tj. 14. července 1995, se začala používat přípona .mp3 pro soubory s hudbou komprimovanou pomocí MPEG-2 Audio Layer 3.
nebijte me pisu to zhlavy, aniz bych si neco kontroloval, takze cesty/parametry iptables muzou byt nekdy blbe... no teda abych se priznal vuybec nevim o cem mluvite... nejaky widlouze, ale nez vas servu, ze ste OT ;)
paket kdyz doleze skrze sitofku z vnejsiho prostredi do stroje do ipv4 stacku, kde se rozhoduje co dal s nim, tak:
1 - si sam ip stack udela kontroly, jestli neni tak trochu vadnej a nemel by se zahodit
2 - pokud mas nastaveny Route Path filtering. poznas podle cisla "1" v "cat /proc/sys/net/ipv4/conf/*/rp_filter" tak se zahodi paket, ktery prisel na rozhranni routovany korektne treba podle MAC adresey v ethernetovym ramci, ale pokud prisel na rozhranni, kde nevede cesta k dane jeho zdrojove ipv4 adrese, tak se zahodi. typicky paket, ktery se tvari, ze prisel z loopbacku (ipv4-src=127.0.0.1) a objevi se na sitofce(interface!=lo) kde dorazil diky MAC adrese atd takovy docela stary podly druh utoku
3 - tak ip stack rozhodl, ze teda s paketem bude neco delat, ze splnuje nejaky zakladni kriteria. posle teda paket do prvniho bodu netfilteru PREROUTING
4 - v kazdem bodu paket prochazi sadou tabulek v poradi -t mangle, -t nat, -t filter. nat tabulka se tusim nenachazi ve vsech bodech.
5 - paket je teda v -t mangle -L PREROUTING a rozhoduje se o tom, jestli se pozmeni paket. treba Type Of Service (-j TOS --set-tos 0x10) , ktera ma pak vliv na nektere Quality Of Service schedulery, ktere rozhoduji o tom, kdy muze nektery paket predbehnout jiny, kolik pasma muzou takove pakety zabrat atd.
6 - tak TOS dopadl jakkoliv, tak ted je paket dostrkan do -t nat -L PREROUTING tady se rozhoduje o prepisu cilove ipv4 adresy pred tim, nez bude paket nasmerovan na nejake rozhranni.
7 - at uz prepis dopadl jakkoliv, tak jeste zbyva -t filter -L PREROUTING tedy se nerozhodne o nicem jinem, nez jestli uz nas paket dostatecne nasral, aby byl zahozen, nebo muze jit dal
8 - ted nad paketem zasahne zase ip stack a rozhodne, kam bude paket dal pokracovat podle nastaveni routovani "route -nl" "ip route show ..." "cat /proc/sys/net/ipv4/ip_forward"
9a- pokud je paket urcen pro cilovou adresu, ktera se nachazi na tomto stroji, pokracuje do -t mangle -L INPUT
9b- pokud je paket urcen jinam a prosel predchozi casti ipstacku, tedy ma 1 v /proc/.../ip_forward a nejak rozume nastaveny routovaci tabulky, tak je odeslan do -t mangle -L FORWARD
10- v INPUT, ci v FORWARD si po mangle paket odbyde uz jen -t filter
11- pokud projde skrz INPUT, tak je dorucen aplikaci do socketu a KONCI pokud vas zajima cesta paketu, ktery prisel z venku a hodla odejit zase jinam ven, nebo nejake dalsi, tak je na to docela pekny obrazek vsech bodu a cest paketu v nejakem .ps nebo .pdf souboru, ktery se tvari jako IPTables Quick Reference nebo neco podobneho. na rootu na toto tema taky bylo vicero clanku... staci hledat na google ;)
a kdyz budes cist pozorne, tak se dozvis, ze -t mangle neni jen o pozmenovani cili -j TOS, ale muze uz v nem i filtrovat -j REJECT nebo bez chybove odpovedi -j DROP, coz muze slusnemu uzivateli zpusobit neprijemne prodlevy, tobe usetrit velmi malo provozu, ale pred hackery tim nic neschovas a ani je nijak nezpomalis, takze slusnosti je -j REJECT, ale na spatnem modemu je rozumejsi -j DROP stejne jako na GPRS nebo kdekoliv, kde platis za objem odchozich/navazanych dat
dal se dozvis, ze nektere parametry jako -o funguji jen v nekterych bodech (typicky nefunguji v PREROUTING), protoze to udava odchozi rozhranni ktere je zname az od routovani, tak nebude fungovat pred provedenim routovani. a dal se dozvis nekolik uzitecnych veci jako pouziti modulu pro inspekci stavu spojeni -m state --state INVALID -j DROP, ale uz se nedozvis detaily, ze navazni spojeni -p udp -m state --state ESTABLISHED -j ACCEPT nad udp je naprosta silenost, kde se predpoklada nejaka doba, po kterou se navazuji pakety jen na zaklade (src,src-port,dst,dst-port), takze takrka kdokoliv muze podvrhnout zdrojovou adresu a poslat nebezpecny paket.
Tiskni
Sdílej: