Byl publikován aktuální přehled vývoje renderovacího jádra webového prohlížeče Servo (Wikipedie). Servo mimo jiné nově zvládne animované obrázky APNG a WebP.
Na chytré telefony a počítačové tablety v Rusku bude od začátku příštího měsíce povinné předinstalovávat státem podporovanou komunikační aplikaci MAX, která konkuruje aplikaci WhatsApp americké společnosti Meta Platforms. Oznámila to dnes ruská vláda. Ta by podle kritiků mohla aplikaci MAX používat ke sledování uživatelů. Ruská státní média obvinění ze špehování pomocí aplikace MAX popírají. Tvrdí, že MAX má méně oprávnění k přístupu k údajům o uživatelích než konkurenční aplikace WhatsApp a Telegram.
Společnost PINE64 stojící za telefony PinePhone nebo notebooky Pinebook publikovala na svém blogu srpnový souhrn novinek. Kvůli nedostatečnému zájmu byla ukončena výroba telefonů PinePhone Pro.
Po pěti měsících vývoje byla vydána nová verze 0.15.1 programovacího jazyka Zig (GitHub, Wikipedie). Verze 0.15.0 byla přeskočena. Přispělo 162 vývojářů. Přehled novinek v poznámkách k vydání.
Před sedmi lety společnost Valve představila fork projektu Wine s názvem Proton umožňující v Linuxu přímo ze Steamu hrát počítačové hry do té doby běžící pouze ve Windows. Aktuální přehled podporovaných her na stránkách ProtonDB
Společnost DuckDuckGo rozšířila svůj AI chat Duck.ai o GPT-5 mini (𝕏). Duck.ai umožňuje anonymní přístup bez vytváření účtů k několika modelům umělé inteligence. Aktuálně k GPT-4o mini, GPT-5 mini, Llama 4 Scout, Claude Haiku 3.5 a Mistral Small 3.
Marek Tóth v příspěvku DOM-based Extension Clickjacking: Data ve správcích hesel v ohrožení na svém blogu popsal novou clickjacking techniku s několika variantami útoků a otestoval ji proti 11 správcům hesel. Výsledkem bylo nalezení několika 0-day zranitelností, které mohly ovlivnit uložená data desítek milionů uživatelů. Jedno kliknutí kdekoliv na webové stránce kontrolované útočníkem umožňovalo ukrást uživatelská data ze
… více »Na dnešní akci Made by Google 2025 (YouTube) byly představeny telefony Pixel 10 s novým čipem Google Tensor G5 a novými AI funkcemi, hodinky Pixel Watch 4 a sluchátka Pixel Buds 2a.
The Document Foundation oznámila vydání nové major verze 25.8 svobodného kancelářského balíku LibreOffice. Podrobný přehled nových vlastností i s náhledy v poznámkách k vydání (cs) a také na Youtube a PeerTube.
Zeek (Wikipedie), původně Bro, byl vydán v nové major verzi 8.0.0. Jedná se o open source platformu pro analýzu síťového provozu. Vyzkoušet lze online.
Dobry den,
mam cisto teoreticky problem a neviem akoby som ho vyriesil, budem vdacny za kazdy navrh riesenia.
Na github-e mam zdojaky aplikacie vystupom su reporty, ktore su obycajne csv subory s nemennou a uz definovanu strukturu
Doveryhodnost reportov viem zarucit tak, ze aplikacia po dokonceni reportu ho podise verejnym klucom, ktory je v aplikacii. Ale co ak niekto zmeni report a podpise ho verejnym klucom ktory najde v zdrojovom kode? Ako zarucit ze report vygenerovala prave ta aplikacia a medzi vygenerovanim a podpisom nedoslo k zmene dat a report bude doveryhodny?
A dalsia otazka.
Ako viem zarucit doveryhodnost aplikacie? Ktokolvek moze zmenit zdrojovy kod, skompilovat, vygenerovat report. No zmenou zdrojoveho kodu sa stala pre mna alikacia nedoveryhodnou a teda aj jej reporty
Je nejaky sposob ako open source aplikaciu a jej vystupy povazovat za doveryhodne?
dakujem
Řešení dotazu:
to by som musel pravdepodobne digitalne podpisat kazdy zdojovy subor zvlast.
nikde som sa nevedel dopatrat k builderu/compileru, ktory by spracoval iba podpisane subory.
muselo by sa to asi riesit skriptom co je dalsi "bod nedovery"
ked podpisany tarball so zdrojakmi rozbalim, v zdrojakoch urobim zmeny a potom ich skompilujem, stava sa aplikacia nedoveryhodnou :(, pretoze nebola skompilovana z originalnych zdrojakov :(
z pohladu pouzivatela mate uplnu pravdu, uzivatel chce vediet presne co robi aplikacia, chce si skontrolovat a overit zdrojovy kod, a ak suhlasi so zdrojovym kodom chce si ju skompilovat a pouzivat.
to je v poriadku a je to tak spravne, zdojovy kod je zverejneny na githube
aplikacia je urcena na vytvaranie reportov.
ako autor aplikacie a prijemca reportov (vystupu) vyzadujem ich doveryhodnost. tj aby sa aplikacia/report nedali nijako falsovat zo strany uzivatela, a kompilovana bude len z originalnych nezmenenych zdrojovych kodov.
mozno by som to napisal inak, vyzaduje sa tu silny vztah obojstrannej dovery/istoty uzivatel <=> autor, ktory musi byt potvrdeny niecim silnym. Prislub od uzivatela ze nemodifikoval zdojaky a ani vystupy/reporty zial nestaci.
ako uzvatel dostavam istotu ze po skompilovani verejnych zdrojakov bude aplikacia robit presne to, co je v zdrojovom kode, ale ja ako autor a prijemca reportov musim/chcem dostat istotu ze aplikacia nebola zmenena a reporty nie su falosne.
aplikacia po dokonceni reportu ho podise verejnym klucom, ktory je v aplikacii. Ale co ak niekto zmeni report a podpise ho verejnym klucom ktory najde v zdrojovom kode?Předpokládám, že jsi chtěl říct, že ho podepíše soukromým klíčem.
Je nejaky sposob ako open source aplikaciu a jej vystupy povazovat za doveryhodne?Ne. Podle konkrétní situace (kterou jsi nepopsal) můžeš třeba:
asi nie dobry napad mat privatny kluc volne pohodeny v zdrojakoch. Ktokolvek si s nim moze podpisat akukolvek aplikaciu/binarku a tu vyhlasit za doveryhodnu
akurat teraz pozeram ako to maju spravene pre bitcoin https://bitcoin.org/en/download. Jeden tarball a ten ma zverejneny SH256 hash + verejny PGP kluc, s tym, ze musim verit binarke, ze je skompilovana zo zverejnenych zdojakov.
ano suhlasim toto je prilis komplikovane a do celho procesu sa zanasaju dalsie mozne "body nedovery/problemov". ak by mala aplikacia 1000 uzivatelov -> 1000 kompilacii -> 1000 parov klucov... je to prilis komplikovane
nepotrebujem/nechcem to nijako implementovat, zaujima ma to len cisto z teoretickeho hladiska.
mozno by som to napisal inak, vyzaduje sa tu silny vztah obojstrannej dovery/istoty uzivatel <=> autor, ktory musi byt potvrdeny niecim silnym. Prislub od uzivatela ze nemodifikoval zdojaky a ani vystupy/reporty zial nestaci.
ako uzvatel dostavam istotu ze po skompilovani verejnych zdrojakov bude aplikacia robit presne to, co je v zdrojovom kode, ale ja ako autor a prijemca reportov musim/chcem dostat istotu ze aplikacia nebola zmenena a reporty nie su falosne.
V nadpise postuluješ důvěryhodnou aplikaci, ale vzápětí ji v textu správně zpochybňuješ. Co potřebuješ, se jmenuje trusted computing a remote attestation. Ale upozorňuji, že tě z toho bude bolet hlava a pravděpodobně to bude pro tebe nedosažitelné a pro uživatele nepřijatelné řešení.
nieco som si o tom precital diky za typy, ale fakt mi to pride ako atomova bomba na komara
pravdepodobne ako "najlacnejsie" riesenie by bolo distribuovat aplikaciu ako binarny balicek pre rozne os/distribucie. Pricom aplikacia po spusteni by sama seba slontrolovala (sha256 hash)
ale to neriesi druhy problem, ako povazovat povazovat vystup aplikacie za doveryhodny
pravdepodobne ako "najlacnejsie" riesenie by bolo distribuovat aplikaciu ako binarny balicek pre rozne os/distribucie. Pricom aplikacia po spusteni by sama seba slontrolovala (sha256 hash)Tohle řeší multimiliardové společnosti jako protipirátskou ochranu, mají mnohem víc zkušeností a větší možnosti než ty, a všechny zatím selhaly. Fakt si myslíš, že to dáš? Někdo ti aplikaci modifikuje, aby check prošel (změní přímo ten hash v binárce, upraví CMP/JMP instrukci porovnávající hash, nastaví za kontrolu hashe breakpoint a jakmile kontrola projde, změní image programu v paměti; samozřejmě se to dá různě obfuskovat a samozřejmě jsou tooly na obcházení různých obfuskací), pořídí coredump v okamžiku běhu a přečte si z něj tvůj privátní klíč, a asi 65536 dalších možností, proti kterým se dá nějak, byť komplikovaně, bránit, a opět nějakým jiným způsobem obejít. Dej sem jméno té aplikace, pokud to bude výnosné, tak budu buď prodávat skutečné zabezpečení, nebo crack (podle toho co mi přijde lepší). Velmi pravděpodobně řešíš nějaký úplný nesmysl, který se má udělat jinak.
super, tento prispevok sa mi paci. pochopil som, ze riesenie ked si sama aplikacia vypocita a porovna hash binarky je nedostacujuce aby bola aplikacia prehlasena za doveryhodnu. preto sa hash vzdy musi pocitat/porovnat externou utilitou.
Tiskni
Sdílej: