Proběhla hackerská soutěž Pwn2Own Ireland 2025. Celkově bylo vyplaceno 1 024 750 dolarů za 73 unikátních zranitelností nultého dne (0-day). Vítězný Summoning Team si odnesl 187 500 dolarů. Shrnutí po jednotlivých dnech na blogu Zero Day Initiative (1. den, 2. den a 3. den) a na YouTube.
Byl publikován říjnový přehled dění a novinek z vývoje Asahi Linuxu, tj. Linuxu pro Apple Silicon. Pracuje se na podpoře M3. Zanedlouho vyjde Fedora Asahi Remix 43. Vývojáře lze podpořit na Open Collective a GitHub Sponsors.
Iniciativa Open Device Partnership (ODP) nedávno představila projekt Patina. Jedná se o implementaci UEFI firmwaru v Rustu. Vývoj probíhá na GitHubu. Zdrojové kódy jsou k dispozici pod licencí Apache 2.0. Nejnovější verze Patiny je 13.0.0.
Obrovská poptávka po plynových turbínách zapříčinila, že datová centra začala používat v generátorech dodávajících energii pro provoz AI staré dobré proudové letecké motory, konvertované na plyn. Jejich výhodou je, že jsou menší, lehčí a lépe udržovatelné než jejich průmyslové protějšky. Proto jsou ideální pro dočasné nebo mobilní použití.
Typst byl vydán ve verzi 0.14. Jedná se o rozšiřitelný značkovací jazyk a překladač pro vytváření dokumentů včetně odborných textů s matematickými vzorci, diagramy či bibliografií.
Specialisté společnosti ESET zaznamenali útočnou kampaň, která cílí na uživatele a uživatelky v Česku a na Slovensku. Útočníci po telefonu zmanipulují oběť ke stažení falešné aplikace údajně od České národní banky (ČNB) nebo Národní banky Slovenska (NBS), přiložení platební karty k telefonu a zadání PINu. Malware poté v reálném čase přenese data z karty útočníkovi, který je bezkontaktně zneužije u bankomatu nebo na platebním terminálu.
V Ubuntu 25.10 byl balíček základních nástrojů gnu-coreutils nahrazen balíčkem rust-coreutils se základními nástroji přepsanými do Rustu. Ukázalo se, že nový "date" znefunkčnil automatickou aktualizaci. Pro obnovu je nutno balíček rust-coreutils manuálně aktualizovat.
VST 3 je nově pod licencí MIT. S verzí 3.8.0 proběhlo přelicencování zdrojových kódů z licencí "Proprietary Steinberg VST3 License" a "General Public License (GPL) Version 3". VST (Virtual Studio Technology, Wikipedie) je softwarové rozhraní pro komunikaci mezi hostitelským programem a zásuvnými moduly (pluginy), kde tyto moduly slouží ke generování a úpravě digitálního audio signálu.
Open source 3D herní a simulační engine Open 3D Engine (O3DE) byl vydán v nové verzi 25.10. Podrobný přehled novinek v poznámkách k vydání.
V Londýně probíhá dvoudenní Ubuntu Summit 25.10. Na programu je řada zajímavých přednášek. Zhlédnout je lze také na YouTube (23. 10. a 24. 10.).
An error occurred during a connection to aaaaaa.bbb. Peer attempted old style (potentially vulnerable) handshake. Error code: SSL_ERROR_UNSAFE_NEGOTIATION
Požadovanou stránku nelze zobrazit, protože nelze ověřit autenticitu přijatých dat.
Kontaktujte prosím vlastníky webového serveru a informujte je o tomto problému.
To, co mne překvapilo, že nebyla žádná možnost jak vzít informaci na vědomí a pokračovat na web.
Nevíte jak to obejít? Myslím ve firefoxu, samozřejmě copy paste do Konqeroru funguje.
Ale proč to bloknou ve firefoxu tak natvrdo.Nekompatibilní světonázor (Jste stará rezavá konzerva, která si pořád myslí, že vám mají počítače sloužit a nechápete ten skvělý pokrok.). Stejně jako proč nejde overridnout HSTS, HPKP a OCSP, v nastavení zrušili vypnutí javascriptu a obrázků, zrušili možnost zastavit animaci gifů, a s přechodem na nový formát rozšíření se velmi ztíží věci jako NoScript.
Docela to vadí a od Mozilly je nefér to,...Je to jedine spravne rozhodnutie. Ak by aj cez celu obrazovku napisali, ze "spojenie nie je bezpecne" a dole "zadajte facebook heslo", tak 99% ludi ho proste zada. Aj to male percento ludi nebude bezpecne, lebo v tom momente uz mohli leaknut udaje z cokies a podobne ... Mozila vas spravne informuje ze "Error code: SSL_ERROR_UNSAFE_NEGOTIATION".
host servis.eset.cz ? (mne vrati 91.228.165.24)openssl s_client -connect servis.eset.cz:443 -no_ssl2 -no_ssl3 -no_tls1 -no_tls1_1 ?Je to jedine spravne rozhodnutie. Ak by aj cez celu obrazovku napisali, ze "spojenie nie je bezpecne" a dole "zadajte facebook heslo", tak 99% ludi ho proste zada.Jenže já nejsem 99 % a myslím si, že software v mém počítači by měl především poslouchat mé povely, i když nějaká umělá inteligence (v tomto případě navíc extrémně tupá) zrovna vyhodnotí, že to není v mém zájmu. Je záhodno, aby se zeptal, jestli jsem se nepřeklepl, nebo aby mě na síťový problém upozornil, ale znemožnit akci je prostě nepřijatelné.
Aj to male percento ludi nebude bezpecne, lebo v tom momente uz mohli leaknut udaje z cokies a podobne ...O nic víc, než když je tam ta stejná stránka, která se liší jenom tím, že chybí tlačítko Add Exception.
Jenže já nejsem 99 % a myslím si, že software v mém počítači by měl především poslouchat mé povely, i když nějaká umělá inteligence (v tomto případě navíc extrémně tupá) zrovna vyhodnotí, že to není v mém zájmu.Dobře, nejsi 99% a dle tvé wiki jsi si vytvořil prostředek, jak přesně to co chceš dosáhnout. Případně si můžeš přepsat ten prohlížeč tak, aby ti vyhovoval.
O nic víc, než když je tam ta stejná stránka, která se liší jenom tím, že chybí tlačítko Add Exception.Problém je, že add exception v realitě znamená, že na to bude každej (ok, možná ne úplně každej) klikat jak pominutej a po chvíli ani nebude vnímat, že to tam je. Ostatně tak jak jsme v minulosti viděli třeba i u státní správy, kdy bylo oficiálními místy doporučováno klikat na add exception (afaik u datových schránek) a to, že tam dva roky nebyl platný cert nějak nikomu nevadilo (takže ideální pozvánka pro mitm).
chybí tlačítko Add Exception.To tlačítko tam nechybí. Jak se dočtete výše, kdyby tam bylo, uživatel se na nic neptal, zmáčknul by ho a dostal by se na web podvržený útočníkem. Díky tomu, že tam není, musel se zeptat, a dozvěděl se, že má napadený počítač nebo síť. Ta absence tlačítka tedy zafungovala přesně tak, jak měla.
chybí tlačítko Add Exception.Miesate dve veci:
zbytocne riesit drahy certCertifikát je možné mít zadarmo.
Takze "ssh" styl autorizacie (e.g. akceptujem pri prvom spojeni) je vporiadku.Není, protože uživatel to stejně nikdy nezkontroluje.
V tom prvním případě to ale znamená, že útočníkovi stačí podvrhnout self-signed certifikát – a uživatel si ho s radostí přidá do výjimek.Browser musi poukazat na problem, ale nemoze byt ako pestunka. Ked pise "not secure" na spojenie a uzivatel sa aj tak bude snazit pokracovat, tak je to uzivatelova chyba. Tak isto ako vyrobca trezoru moze vysvetlit uzivatelovi, ze nema rozdavat svoj pin kazdemu koho vidi, ale realne nema sancu mu zabranit aby to spravil. Nie je chyba trezoru, ak sa donho zlodej dostane cez vyzradene heslo. Tak presne neni chyba browseru, ak si uzivatel prida certifikat, aj ked mu jasne napise, ze to nie je dobre.
Attackers might be trying to steal your information from example.com (for example, passwords, messages, or credit cards). NET::ERR_CERT_AUTHORITY_INVALIDFirefox pise:
The owner of example.com has configured their website improperly. To protect your information from being stolen, Firefox has not connected to this website.Otvorene poviem, ze chrome ma toto lepsie napisane. Bezny uzivatel strati pozornost tak po 4 - 5 slovach, kde ma chrome "attackers" a tesne "steal". Firefox zacina tak, ze to asi ani neni problem, len nevedia nastavit stranku ... aj ked, potom sa len trosku opravia
Certifikát je možné mít zadarmo.Kto mi da certifikat na zariadenie, ktore je: 1) v interanete, 2) nema dns zaznam v externej zone, 3) nema podporu na pustanie scriptov/binariek ? ... Let's Encrypt a podobne sluzby su fajn, ale na HW konzolu servra, router a podobne "krabicky" to nedostanes.
Není, protože uživatel to stejně nikdy nezkontroluje.Vid. prva cast mojej odpovedi ... ked si to nekontroluje je to jeho chyba, kto si to vie skontrolovat, tak moze fungovat aspon ako "ssh".
Browser musi poukazat na problem, ale nemoze byt ako pestunka.Kde je ta hranice? Když dostane certifikát podepsaný MD4 nebo mu server nabídne jako jediný protokol SSL2, má dát uživateli na výběr a umožnit pokračovat? To kvůli tomu musí být v dnešním prohlížeči MD4 a SSL2 implementované? A když ten „web“ vůbec nebude podporovat HTTP, tak prohlížeč poukáže na problém, ale když uživatel prohlásí, že chce pokračovat, tak prohlížeč vytiskne požadavek, vloží do obálky a pošle jí poštou? Schválně uvádím absurdity, aby bylo jasné, že uživatel nikdy nemá bezbřehou možnost výběru. Vždycky je omezený tím, co mu prohlížeč nabízí – a zrovna u těch certifikátů a algoritmů je to tak, že by prohlížeč uživateli něco mohl umožnit, protože to implementované má, a druhý den už to implementované nemá. Ostatně, kdyby platilo, že co prohlížeč jednou začne podporovat, musí podporovat už na pořád, budou prohlížeče pořád jenom bobtnat a bobtnat.
Kto mi da certifikat na zariadenie, ktore je: 1) v interanete, 2) nema dns zaznam v externej zone, 3) nema podporu na pustanie scriptov/binariek ? ... Let's Encrypt a podobne sluzby su fajn, ale na HW konzolu servra, router a podobne "krabicky" to nedostanes.Ten certifikát může vystavit třeba chytrý domácí router, ten se k tomu hodí. Jinak to, že je zařízení v intranetu, vystavení certifikátu nevadí. To, že nemá DNS záznam v externí zóně je chyba, a doufám, že tenhle nesmysl odejde do věčných lovišť nejpozději s NATem, je to „řešení“ ze stejného těsta. Podporu na spouštění skriptů/binárek pro vystavení certifikátu nepotřebujete. Pokud ta HW konzole serveru, router a podobná krabička umožňuje nahrát privátní klíč a certifikát, tak tam certifikát od Let's Encrypt dostanu. A pokud má to zařízení nějaký certifikát zadrátovaný napevno, aspoň už vím, co příště nekupovat.
ked si to nekontroluje je to jeho chybaNení. Pokud nějaký bezpečák přistupuje k bezpečnosti způsobem „uživatel si musí zkontrolovat, musí vědět, musí znát“, tak nic neumí. Hodit bezpečnost na neznalého uživatele je snadné, ale žádnou bezpečnost to nezajistí. Systém musí být bezpečný sám o sobě, nemůže spoléhat na to, že uživatel se bude pořád o bezpečnost starat.
Tiskni
Sdílej: