Na konferenci LinuxDays 2025 byl oficiálně představen nový router Turris Omnia NG.
Přímý přenos (YouTube) z konference LinuxDays 2025, jež probíhá tento víkend v Praze v prostorách FIT ČVUT. Na programu je spousta zajímavých přednášek.
V únoru loňského roku Úřad pro ochranu osobních údajů pravomocně uložil společnosti Avast Software pokutu 351 mil. Kč za porušení GDPR. Městský soud v Praze tuto pokutu na úterním jednání zrušil. Potvrdil ale, že společnost Avast porušila zákon, když skrze svůj zdarma dostupný antivirový program sledovala, které weby jeho uživatelé navštěvují, a tyto informace předávala dceřiné společnosti Jumpshot. Úřad pro ochranu osobních údajů
… více »Google Chrome 141 byl prohlášen za stabilní. Nejnovější stabilní verze 141.0.7390.54 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 21 bezpečnostních chyb. Za nejvážnější z nich (Heap buffer overflow in WebGPU) bylo vyplaceno 25 000 dolarů. Vylepšeny byly také nástroje pro vývojáře.
eDoklady mají kvůli vysoké zátěži technické potíže. Ministerstvo vnitra doporučuje vzít si sebou klasický občanský průkaz nebo pas.
Novým prezidentem Free Software Foundation (FSF) se stal Ian Kelling.
Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za září (YouTube).
Vyšla kniha Počítačové programy a autorské právo. Podle internetových stránek nakladatelství je v knize "Významný prostor věnován otevřenému a svobodnému softwaru, jeho licencím, důsledkům jejich porušení a rizikům „nakažení“ proprietárního kódu režimem open source."
Red Hat řeší bezpečnostní incident, při kterém došlo k neoprávněnému přístupu do GitLab instance používané svým konzultačním týmem.
Immich byl vydán v první stabilní verzi 2.0.0 (YouTube). Jedná se o alternativu k výchozím aplikacím od Googlu a Applu pro správu fotografií a videí umožňující vlastní hosting serveru Immich. K vyzkoušení je demo. Immich je součástí balíčků open source aplikací FUTO. Zdrojové kódy jsou k dispozici na GitHubu pod licencí AGPL-3.0.
John Gilmore analyzoval a zveřejnil situace, kdy lidé z NSA přímo sabotovali bezpečnost navrhovaných protokolů nebo standardů. Ve své zprávě se zaměřil obzvláště na IPSEC, které je vinou NSA příliš složité, potenciálně náchylné k útokům a chybí v něm drobnosti zlepšující bezpečnost kvůli návrhům na "zjednodušení", které přišly od NSA. Dále pak poukazuje na lhaní lidí z NSA, pomocí kterého sabotovali vznik účinného standardu pro end-to-end šifrované hovory v mobilní síti.
Tiskni
Sdílej:
Aneb typek co se snazi prizivit na aktualni situaci. Podle me je to zm*d, protoze to mel zverejnit uz davno.
Nebýt EFF, tak je USA dnes ještě v mnohem větší prdeli (totalitě) než dnes.
9.9.2013 10:31
Petr Tomášek | skóre: 39
| blog: Vejšplechty
8.9.2013 15:29
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
8.9.2013 20:43
pavlix | skóre: 54
| blog: pavlix
8.9.2013 21:03
pavlix | skóre: 54
| blog: pavlix
9.9.2013 08:41
pavlix | skóre: 54
| blog: pavlix
9.9.2013 13:58
pavlix | skóre: 54
| blog: pavlix
Firewall to považuje za HTTPS, takže pokud to chce pustit ven, musí to pustit rovnou, protože nemůže do SSL zasahovat (transparent proxy/cache/filter). Takže je úplně jedno, že uvnitř toho SSL žádné HTTP neběžíV naprosté většině případů tomu tak skutečně je.
9.9.2013 14:05
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Firewall to považuje za HTTPS, takže pokud to chce pustit ven, musí to pustit rovnou, protože nemůže do SSL zasahovat (transparent proxy/cache/filter). Takže je úplně jedno, že uvnitř toho SSL žádné HTTP neběží
Tím už si dnes bohužel nikdo nemůže být jist, protože se rozšiřují krabičky, které umějí udělat MITM na https. Někde už berou jako standard mít na všechno aplikační proxy (už jsem viděl i na ssh, zasahovala do možností autentizace).
9.9.2013 20:09
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Používají certifikáty, které jsou podepsané od nějaké certifikační autority, běžně přítomné v prohlížeči?
Ano.
Pokud ano, tak je to další důvod proč u HTTPS kotrolovat certifikát i pokud prohlížeč nic nehlásí.
Tak to by měl být u SSL základ, ovšem jsou servery, které se tomu důkladně brání. Doporučuji nainstalovat rozšíření Certificate Patrol a potom jít třeba na Google. Co server, to jiný certifikát. V takovém prostředí se toho moc ověřit nedá.
9.9.2013 20:43
pavlix | skóre: 54
| blog: pavlix
Ale u OpenVPN by takový MITM téměř určitě nefungoval, vhledem k mechanismu handshake, který je velmi odlišný od HTTP.Vzhledem k mechanismu handshake? To bych si nechal vysvětlit :).
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
P_DATA) i binární řídící sekvence trochu podobné těm u TCP protokolu (typy P_CONTROL* a P_ACK). Jenže aby mohl hadshake proběhout, musí "MITM krabička" na jednom konci (směrem ks serveru) hrát OpenVPN klienta a na druhém (směrem ke klientovi) zas OpenVPN server, což naprosto jiná úloha než transparentní HTTP proxy. Pokud by ona krabička neuměla OpenVPN protokol a neměla příslušné klíče, bude jí pozměněná komunikace hned ze začátku ukončena jako chybná a zahozena.
10.9.2013 09:30
pavlix | skóre: 54
| blog: pavlix
9.9.2013 10:52
pavlix | skóre: 54
| blog: pavlix
Linuxový IPsec a vlastní policy table bez virtuálních rozhraní je rovněž docela hezký nápad, ale musí se s tím člověk chvilku smiřovat :).Na druhou stranu není problém si v případě potřeby virtuální rozhraní nad tím IPSecem udělat (ipip, sit, gre...) a tlačit provoz přes něj. Mimochodem, pokud se nepletu, virtuální rozhraní není nutně potřeba ani ve Windows, ne, tam se také nechají nastavovat politiky samostatně...
9.9.2013 15:37
pavlix | skóre: 54
| blog: pavlix
Ale jo, o tom žádná... spíš mi vadí, že tam je pořád v principu nějaký prasohack, který nějakým způsobem obchází standardní IP routing stack (viz KPTD)Rád bych tě upozornil, že slovo prasohack může být jen vyjádřením toho, že něčemu nerozumíš nebo že se ti to z nějakého důvodu nelíbí, a tudíž nemá žádný technický význam a neříká nic o vhodnosti či nevhodnosti daného architekturního rozhodnutí.
Když si vezmete KPTD (což údajně ještě není kompletní obrázek), odkud se přesně ty pakety mají "správně" ztrácet resp. kde se mají objevovat?Dobrá poznámka. Zdá se, že KPTD něco chybí :).
Správně podle mého tam taková věc nepatří.Musím říct, že tvůj názor naprosto chápu a že můj první dojem byl stejný. Nicméně při bližším zkoumání architektury IPsec jsem ho docela rád pozměnil.
Pokud ji tam někdo dodělá, musí to kamsi nějakým nestandardním způsobem naprasit.Toto už bych si dovolil označit za mlácení prázdné slámy, protože takový výrok můžu říct očemkoli, co se kdy v kernelu přidá. Navíc si člověk sejme ideologickou čapku a podívá se na síťování v kernelu, tak si musí nutně uvědomit, že většina věcí je v síťovém stacku nějakým způsobem doprasená a velká část z nich ještě špatně. A právě kvůli zmíněné stabilitě chování (API/ABI jsou v tomhle případě zbytečně detailní pojmy) ty věci často špatně musejí i zůstat.
ten paket nemůže mít žádnou košer interní historii v rámci kernelu... a dost, už vařím z vody.Přitom zde není z vody vařit potřeba. Stačí se podívat třeba na iptables a na to jaké atributy paketů iptables nabízejí ke kontrole či úpravě a můžeš identifikovat, které z nich ti připadají z hlediska IPsec podezřelé a od nich se dá to vyjasňování začít. Další možnost je provnat celou situaci s userspace VPN pomocí tun/tap rozhraní, kde se pakety podobným způsobem z pohledu kernelu „ztrácejí“ a „objevují“ (konec konců podobně funguje i reálný síťový hardware). Nakonec ti z toho vypadne úplně jiná otázka a to, kdy se paket objevuje zapouzdřený a kdy nezapouzdřený (popřípadě kdy se ti objeví obě verze paketů, což umí krásně prozradit tcpdump). Pak má smysl hodnotit sprasenost konkrétní implementace a stejně tak i samotná možnost rozumné implementace tohoto modelu. A je dobré nezapomínat na IPsec transport mode.
Navíc si člověk sejme ideologickou čapku a podívá se na síťování v kernelu, tak si musí nutně uvědomit, že většina věcí je v síťovém stacku nějakým způsobem doprasená a velká část z nich ještě špatně.
To jste mi potvrdil jeden můj dost častý dojem Když se občas do zdrojáků kernelu ze studijních důvodů ponořím, nalézám věci v tomto duchu. Ale zatím jsem se díval jenom na pár velice úzkých a okrajových oblastí.
Další možnost je provnat celou situaci s userspace VPN pomocí tun/tap rozhraní, kde se pakety podobným způsobem z pohledu kernelu „ztrácejí“ a „objevují“ (konec konců podobně funguje i reálný síťový hardware).Tohle jsem asi nepochopil. Tady mi to právě přijde, že tun/tap je dobře definovaný a stabilní způsob, jak si vytvořit síťové rozhraní. Virtuální, ale jinak po všech stránkách košer. Transport mezi tímto rozhraním a "protějším koncem" na jiném stroji je implementovaný nějakým automagickým démonem v user space, který mne z hlediska čistoty a elegance KPTD (já vím, "ehm ehm") nijak neuráží. V user space ať si páchá kdo chce co chce. Navíc se OpenVPN v tomto případě vůči kernelu tváří jako vcelku konzervativní subnet resp. L2 médium (konfigurovatelně point to point nebo multi-exit).
A je dobré nezapomínat na IPsec transport mode.Ano, to je taky dobrý parazit. Tady uhnu od tématu: je to jedna z věcí, proč mám instinktivně smíšené pocity z příchodu IPv6 (jakožto správný IPv4 zpátečník). Ale pokud se v rámci IPv6 povede zařídit bezvadnou interoperabilitu IPSecu mezi implementacemi, tak proč ne... vlatně o tu mi jde především. Opravdu už mluvím dost z cesty, vynáším subjektivní soudy a nemám to podložené studiem zdrojáků. Děkuju za zajímavou debatu
9.9.2013 16:19
pavlix | skóre: 54
| blog: pavlix
Tohle jsem asi nepochopil. Tady mi to právě přijde, že tun/tap je dobře definovaný a stabilní způsob, jak si vytvořit síťové rozhraní.Kernelový kód až tak nutně tun/tap nepotřebuje, ty existují především kvůli zpřístupnění userspace implementací.
V user space ať si páchá kdo chce co chce.To, že IPsec je dobře implementovatelný v kernelu bych viděl rovněž jako výhodu. Z userspace se to celé nakonfiguruje a udržuje, o balení a šifrování se postará kernel. Podobný model se aplikuje na mnohé další věci.
Ano, to je taky dobrý parazit.Transport mode mi přijde na celém IPsec nejgeniálnější část. Tunelový mód, to je prostě další implementace šifrovaného propojení sítí (VPN), ale transport mode je skutečným krokem kupředu, byť zatím nedoceněným, protože umožňuje řešit zabezpečení na optimální úrovni, tedy v rámci operačního systému a pod transportními protokoly.
Ale pokud se v rámci IPv6 povede zařídit bezvadnou interoperabilitu IPSecu mezi implementacemi, tak proč ne... vlatně o tu mi jde především.Jenže interoperabilita vyžaduje mnohem víc snahy a přemýšlení než splácat jen tak nějakou implementaci ;). V praxi je IPsec v tomto ohledu značně nedospělý. Na druhou stranu OpenVPN není směrem ven interoperabilní prakticky vůbec.
10.9.2013 11:07
pavlix | skóre: 54
| blog: pavlix
Protože je to projekt oddělený od kernelu (běží v user space), běží tatáž verze napříč platformami.Nekernelová implementace má své nesporné výhody (a stejnětak i nevýhody, stačí si uvědomit, že TCP/IP by mohlo být rovněž implementováno v userspace).
Popravdě se taky opatrně těším na utopickou ideální budoucnost na podvozku IPv6, kde nebude NAT, a půjde telefonovat "každý s každým" bez potřeby supernodů apod.Ono je lepší si mimo laboratoř nestavět utopické scénáře, pokud se chceš internetem nějak vážně zabývat.
Na jedné straně šifrování v transportním režimu sice skryje o čem se dva spolu baví, ale neskryje samotný fakt, že dvě konkrétní koncové stanice se spolu baví (neexistují privátní adresy). Jasně, security by obscurity...Interpretovat tuto vlastnost (na které mimochodem přepnutí na tunelový režim nic nemění) jako security by obscurity, to zavání, že se diskuze začíná zvrhávat ve snůšku nepromyšlených a nepodložených keců a to bych nerad.
Na druhé straně jste mi tu právě vysvětlili, že opravdu pedantský proxy firewall se neštítí provádět MITM na SSL relacích. Čili zabezpečené firemní LANky nám tu komunistickou utopii stejně trpět nebudou.Zde už se to skutečně zvrhává ve žvásty™.
9.9.2013 18:38
Petr Bravenec | skóre: 43
| blog: Bravenec
10.9.2013 11:06
pavlix | skóre: 54
| blog: pavlix
Pokud clovek chce skutecny tunel, tak je GRE ci IPIP chraneny IPSec transport modem asi optimalni volba.+1 A při dekompozici nakonec dojde k tomu, že ten paket i vypadá tak, jak vypadat má.