Byla vydána verze 0.2.0 v Rustu napsaného frameworku Pingora pro vytváření rychlých, spolehlivých a programovatelných síťových systémů. Společnost Cloudflare jej letos v únoru uvolnila pod licencí Apache 2.0.
Open source RDP (Remote Desktop Protocol) server xrdp (Wikipedie) byl vydán ve verzi 0.10.0. Z novinek je vypíchnuta podpora GFX (Graphic Pipeline Extension). Nová větev řeší také několik bezpečnostních chyb.
Rocky Linux byl vydán v nové stabilní verzi 9.4. Přehled novinek v poznámkách k vydání.
Dellu byla odcizena databáze zákazníků (jméno, adresa, seznam zakoupených produktů) [Customer Care, Bleeping Computer].
V lednu byl otevřen editor kódů Zed od autorů editoru Atom a Tree-sitter. Tenkrát běžel pouze na macOS. Byl napevno svázán s Metalem. Situace se ale postupně mění. V aktuálním příspěvku Kdy Zed na Linuxu? na blogu Zedu vývojáři popisují aktuální stav. Blíží se alfa verze.
O víkendu 11. a 12. května lze navštívit Maker Faire Prague, festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí.
Byl vydán Fedora Asahi Remix 40, tj. linuxová distribuce pro Apple Silicon vycházející z Fedora Linuxu 40.
Představena byla služba Raspberry Pi Connect usnadňující vzdálený grafický přístup k vašim Raspberry Pi z webového prohlížeče. Odkudkoli. Zdarma. Zatím v beta verzi. Detaily v dokumentaci.
Byla vydána verze R14.1.2 desktopového prostředí Trinity Desktop Environment (TDE, fork KDE 3.5). Přehled novinek v poznámkách k vydání, podrobnosti v seznamu změn.
Dnešním dnem lze již také v Česku nakupovat na Google Store (telefony a sluchátka Google Pixel).
Server jabber.sk bol napadnutý. Boli ukradnuté všetky dáta uložené v internej databáze ejabberd servera. Všetkým používateľom odporúčame zmenu hesla, keďže ejabberd server ukladá heslá v nekryptovanej forme.
Tiskni
Sdílej:
Všetkým používateľom odporúčame zmenu hesla, keďže ejabberd server ukladá heslá v nekryptovanej forme.ROFL! Tohle by měl úřad pro ochranu osobních údajů zakázat.
Jednosmerné hashe nepodporuje daná serverova služba ?
O spôsoboch získania hesla by bola dlhá diskusia. V tomto vystupuje veľa faktorov.Mohlo dôjsť k ziskania hesla pomocou nejakého nedôveryhodného PC, pripojenia, daný užívateľ mal v PC nejaký keyloger. Tiež je nutné zohladniť, že akákoľvek šifra je časom prelomiteľná. PGP je iná kategória. Tiež mohlo isť o nenpadnú chybu spracovania protokolu XMMP. Možnosti je veľa.
3.9.2012 02:09
Jendа | skóre: 78
| blog: Jenda
| JO70FB
To je docela likvidační pro různé malé služby, nemyslíš?Tak bud to umím dělat pořádně, nebo jsem žabař a pak bych od toho měl dát ruce pryč. ono by to bylo docela likvidační i pro spoustu "velkých IT společností", nebo státních organizací.
3.9.2012 11:40
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Tak bud to umím dělat pořádně, nebo jsem žabař a pak bych od toho měl dát ruce pryč.Já si zase myslím, že kdo má na půdě VPN a tunel endpoint pro pár kamarádů, by v tom měl mít možnost pokračovat.
ono by to bylo docela likvidační i pro spoustu "velkých IT společností", nebo státních organizací.Ono kdyby se to udělalo pořádně, tak by to asi bylo likvidační úplně pro všechny.
Promiň, ale takové základy jako je šifrování hesel, DMZka,... není žádné enetrprajs solůšn. Je to součástí "nejsem úplný žabař" přístupu.Promin, ale o tom je PCI DSS IMHO prece jenom okravoje. Nerikam, ze myslenka je spatna nebo ze se to podle nej neda udelat spravne, ale je to jenom byrokraticky nesmysl, entrprajs solusn hadr a predevsim hroznej bullshit -- realne implementaci zaridi clovek/oddeleni na urovni ucetniho a nebo auditora, ktery vubec nema paru, jak technologie, ktere se snazi "certifikovat", vubec funguji, natoz aby videl pripadne bezpecnostni nedostatky. A sit je pak klidne dal spravovana profiky, a nebo uplnymi zabari, stejne jako predtim.
Je snad špatně že organizace, které praucjí s čísly kreditních karet musí splňovat určité požadavky na zabezpečení těch informací?Ano. Pokud to není státní instituce (nebo jiná organizace, jejíž "služby" je nutné používat - typu ISDS). Měl bych mít možnost si vybrat jestli chci používat službu která má mezery v zabezpečení, ale za to je třeba levnější nebo jestli budu platit za přístup balík a budu vědět, že každý přístup k mým soukromým datům musí autorizovat představenstvo dané firmy. Ono se lehce může stát, že za nějaké peníze bokem UOOÚ (nebo obdobná organizace) stanoví pravidla přesně na míru jednomu produktu...
4.9.2012 04:51
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Já si myslím, že každý kdo spravuje osobní údaje (mezi něž já řadím i heslo ke službě)Nesmysl. Heslo je proste sdilene tajemstvi pro overeni pri pristupu ke sluzbe. Pokud je narusena bezpecnost samotne sluzby, tak uz bezpecnost hesla nehraje zadnou roli.
3.9.2012 22:46
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
4.9.2012 01:05
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
Pak uz ale takove poruseni bezpecnosti hesla vubec neni v zodpovednosti provozovatele sluzby, ale uzivatele. Pokud napr. uzivatel pouzil heslo ke sluzbe A take ke sluzbe B, pak je otazka, zda to neni v rozporu s podminkama sluzby A (predat heslo k uctu treti osobe, to asi napr. u placenych sluzeb) a zda by za to uzivatel nemohl byt hnan k soudu.Teorie pěkná, ale v praxi používá stejná hesla pro vícero služeb imho tak 90%, přičemž ti chytřejší mají alespoň nějaké okruhy hesel založené na prioritách.
Druha vec je nesmyslnost takoveho plosneho odsudku bez ohledu na povahu sluzby - u protokolu, jehoz autentikace zda se prevazne pouziva nejakou primitivni variantu challenge-handshake (bez ohledu na to, ze existuji nepovinne extenze pro lepsi autentikaci), je ulozeni plaintext hesel proste standardni postup, protoze u niceho jineho nelze zajistit dostatecnou kompatibilitu.Pak je to postup na hovno.
Treti vec je ze napr. v soucasnem webu, kdy 'vrchol' zabezpeceni je casto plaintext heslo predavane v nesifrovanem HTTP mezi ostatnimi daty a s hashovanym ulozenim na serveru, by byl prechod na primitivni standardni HTTP digest autentikaci (i za cenu plaintext hesel ulozenych na serveru) radikalni zvyseni bezpecnosti.To co jsem popsal já jde provozovat bez problémů v JS (implementoval jsem to pro jeden školní projekt). HTTPS v minimálně selfsigned verzi je dneska taky všude možně.
3.9.2012 11:08
Jendа | skóre: 78
| blog: Jenda
| JO70FB
tak ma zaujimalo, ktory webhosting sa dal takto zneuzitKdejaký. Najdeš si nějaký hezký exploit na PHP a získáš shell s oprávněním uživatele, pod kterým PHP běží. To ti často stačí. A když ne, lokální root se taky dá nějak získat.
3.9.2012 15:55
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
3.9.2012 02:16
Jendа | skóre: 78
| blog: Jenda
| JO70FB
3.9.2012 11:16
Jendа | skóre: 78
| blog: Jenda
| JO70FB
3.9.2012 11:10
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Existují autentizační metody nevyžadující plaintext heslo na serveru (např. plaintext autentizace přes SSL)Proč se to asi jmenuje plaintext? No protože se heslo serveru posílá a ty můžeš akorát doufat, že si ho server neuloží. Zabezpečeno to není nijak.
Existují autentizační metody nevyžadující plaintext heslo na serveruAle obvykle vyžadují posílání hesla po síti, což má opět své nevýhody.
např. plaintext autentizace přes SSLTo taky není bůhvíjaký zázrak, v případě že se SSL certifikát prakticky nekontroluje (tedy se kontroluje buď odkliknutím jednoho nepřečteného formuláře nebo kontrolou hromadu pochybných „autorit“).
3.9.2012 11:34
Jendа | skóre: 78
| blog: Jenda
| JO70FB
3.9.2012 12:06
Jendа | skóre: 78
| blog: Jenda
| JO70FB
3.9.2012 12:25
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Technologie by se mela prizpusobit potrebam lidi, ne naopak.Browsery i desktopy mají integrovaný password manager už tak deset let. Uživateli tak stačí pamatovat si jedno heslo a ostatní hesla mohou být klidně náhodná, silná a každé jiné.
To, ze utocnik muze napadnout nejaky jabber.sk je vetsine lidem vcelku jednoTo by ses divil, co jsou lidi schopní poslat přes nešifrovaný jabber/mail/telefon.
Jenze lidi password managery nepouzivaji. Mimo jine i proto, ze ho nemaji stale u sebe - pouzivaji pocitac doma, prace, skola, knihovna, internetova kavarna, telefon ... Jiste, musi probihat na toto tema osveta, ale musime byt realisti v tom, ze vysledky budou pomale.Technologie by se mela prizpusobit potrebam lidi, ne naopak.Browsery i desktopy mají integrovaný password manager už tak deset let. Uživateli tak stačí pamatovat si jedno heslo a ostatní hesla mohou být klidně náhodná, silná a každé jiné.
Jiste, musi probihat na toto tema osveta, ale musime byt realisti v tom, ze vysledky budou pomale.S osvětou ohledně hesel na služby, které mě nutí vymýšlet si nová a nová hesla a následně je nosit s sebou, kdybych je náhodou potřeboval, můžeš začít u mě. Na většinu věcí bych bral autentizaci veřejným klíčem, ale kolikrát by se jako fallback hodila nějaká *id služba. Ale ani pitomé webové OpenID se moc lidem nechtělo implementovat, natož abys po nich chtěl něco složitějšího.
Souhlas. Je potreba vymyslet neco lepsiho nez hesla, protoze hesla ve skutecnem svete nefunguji dostatecne dobre.Mám za to, že vše podstatné v této oblasti bylo vymyšleno v 70. a 80. letech, dnes jde jen o to, jak to aplikovat :).
Jinak osvetou nemyslim pouzivani noveho hesla na kazdou novou sluzbu (to je proste nerealne). Ja osobne lidem radim bud si vymyslet nejaky jednoduchy (tzn. v hlave spustitelny) algoritmus generujici hesla pro kazdou sluzbuVelmi jednoduchý algoritmus bývá obvykle velmi čitelný :).
nebo mit zhruba tri hesla pro ruzne urovne duveryhodnostiPřesně tak. A v rámci úrovní ještě oblasti. Víc toho bez dalších omezení moc nejde vymyslet.
druhe pro facebook, gmailSpolečné heslo pro facebook a mail je zvěrstvo.
Browsery i desktopy mají integrovaný password manager už tak deset let.To není řešení ani pro mě, natož pro podstatnou část běžné populace.
To by ses divil, co jsou lidi schopní poslat přes nešifrovaný jabber/mail/telefon.To by ses divil, co jsou lidi schopni poslat komukoli zcela bez ohledu na komunikační médium :).
Obecně, challenge-response autentizace ověřuje, že server a klient oba znají společné tajemství.Takže máme stejnou definici :).
To tajemství by místo hesla klidně mohla být hash hesla, ale pak by stále ukradnutá hash mohla být zneužita k přihlášení.To není obecně pravda.
Jestli to chápu správně, tak protokol SCRAM by tohle měl řešit.Protocol SCRAM je typickým příkladem challenge-response. Tyhle věci řeší tak, že svým způsobem kombinuje výhody posílání plaintextu po síti i ukládání plaintextu do databáze. Výsledkem je, že musíš prolomit obojí, abyses mohl autentizovat za uživatele (tedy jak databázi, tak komunikaci). Pokud si dobře pamatuju, tak ještě závisí na realm, takže se odlišují hashe pro různé služby. Autentizace je za předpokladu nezískání databáze oboustranná (podobně jako PSK). A nejlepší na konec, SCRAM je možné garantovat na straně klienta tak, že i samotné vytvoření hesla proběhne společně. Heslo jako takové tedy nemusí putovat po síti, nemusí se dostat k serveru a tedy není vydáno na pospas osudu. Je to asi tak maximum, co se z autentizace heslem dá vytěžit.
Jabber používá challenge-response autentizaci, takže vyžaduje, aby server znal původní heslo, ne jen hash.Vtip dne. Co si prosím pán představuje pod tímto pojmem? Zjevně něco jiného než já.
3.9.2012 20:31
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
3.9.2012 22:45
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
Jediný rozdíl je, že heslo nemůže použít jinde, pokud uživatel používá stejné heslo pro víc služeb (ale to už jsem psal).Což je ovšem dost podstatný rozdíl. Měl jsi někdy tu příležitost zkoušet hesla z dumplé databáze proti emailům? Já ano a úspěšnost je odhadem někde u 70%.
3.9.2012 02:11
Jendа | skóre: 78
| blog: Jenda
| JO70FB
3.9.2012 11:14
Jendа | skóre: 78
| blog: Jenda
| JO70FB
tak by mi to vůbec nevadiloProtože útočník, který získal roota, si to jako neumí odchytit nebo co?
3.9.2012 11:44
Jendа | skóre: 78
| blog: Jenda
| JO70FB
3.9.2012 11:33
Jendа | skóre: 78
| blog: Jenda
| JO70FB
3.9.2012 02:04
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Bohužel pořád je hodně zastánců toho ukládat hesla nešifrovaně.Bohužel pořád ještě NEEXISTUJE rozumně podporovaný protokol pro autentizaci, při kterém by server heslo nedostal. Jak chceš v takové situaci zařídit ochranu hesel?
Blbost.Vysvětli.
3.9.2012 02:01
Jendа | skóre: 78
| blog: Jenda
| JO70FB
3.9.2012 08:21
Václav "Darm" Novák | skóre: 26
| blog: Darmovy_kecy
| Bechyně / Praha
3.9.2012 12:36
mess | skóre: 43
| blog: bordel
| Háj ve Slezsku - Smolkov
Jabber je bezpečný. Vaše konto je chránené heslom. So serverom sa môžete spojiť pomocou bezpečného protokolu SSL a používať šifrovanie a digitálny podpis PGP.
Jabber je bezpečný. Vaše konto je chránené heslom. So serverom sa môžete spojiť pomocou bezpečného protokolu SSL a používať šifrovanie a digitálny podpis PGP.vsetko z toho je stale platne (popisuje sa protokol)
3.9.2012 23:12
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
Možno by nezaškodil dodatočný opis útoku.
4.9.2012 16:02
Bystroushaak | skóre: 36
| blog: Bystroushaakův blog
| Praha
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
3.9.2012 15:35
3.9.2012 14:20
2.9.2012 22:52
3.9.2012 01:49
3.9.2012 13:34
4.9.2012 10:16