Ve funkci koordinátora k bitcoinové kauze skončil bývalý ústavní soudce David Uhlíř. Informaci, kterou zveřejnil Deník N, potvrdila Radiožurnálu ministryně spravedlnosti Eva Decriox (ODS). Uvedla, že odchod byl po vzájemné dohodě. „Jeho mise je ukončená, auditní procesy se už povedlo nastavit,“ řekla. Teď má podle ministryně další kroky podniknout policie a státní zastupitelství. Koordinátorem jmenovala ministryně Uhlíře 19. června.
Byla vydána nová verze 25.07.26 svobodného multiplatformního video editoru Shotcut (Wikipedie) postaveného nad multimediálním frameworkem MLT. Nejnovější Shotcut je již vedle zdrojových kódů k dispozici také ve formátech AppImage, Flatpak a Snap.
Po 9 týdnech vývoje od vydání Linuxu 6.15 oznámil Linus Torvalds vydání Linuxu 6.16. Přehled novinek a vylepšení na LWN.net: první a druhá polovina začleňovacího okna a Linux Kernel Newbies.
Americký výrobce čipů Intel propustí 15 procent zaměstnanců (en), do konce roku by jich v podniku mělo pracovat zhruba 75.000. Firma se potýká s výrobními problémy a opouští také miliardový plán na výstavbu továrny v Německu a Polsku.
MDN (Wikipedie), dnes MDN Web Docs, původně Mozilla Developer Network, slaví 20 let. V říjnu 2004 byl ukončen provoz serveru Netscape DevEdge, který byl hlavním zdrojem dokumentace k webovým prohlížečům Netscape a k webovým technologiím obecně. Mozille se po jednáních s AOL povedlo dokumenty z Netscape DevEdge zachránit a 23. července 2005 byl spuštěn MDC (Mozilla Developer Center). Ten byl v roce 2010 přejmenován na MDN.
Wayback byl vydán ve verzi 0.1. Wayback je "tak akorát Waylandu, aby fungoval Xwayland". Jedná se o kompatibilní vrstvu umožňující běh plnohodnotných X11 desktopových prostředí s využitím komponent z Waylandu. Cílem je nakonec nahradit klasický server X.Org, a tím snížit zátěž údržby aplikací X11.
Byla vydána nová verze 6.18 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Nově se lze k síti Tor připojit pomocí mostu WebTunnel. Tor Browser byl povýšen na verzi 14.5.5. Thunderbird na verzi 128.12.0. Další změny v příslušném seznamu.
Meta představila prototyp náramku, který snímá elektrickou aktivity svalů (povrchová elektromyografie, EMG) a umožňuje jemnými gesty ruky a prstů ovládat počítač nebo různá zařízení. Získané datové sady emg2qwerty a emg2pose jsou open source.
Byla vydána (𝕏) nová verze 25.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 25.7 je Visionary Viper. Přehled novinek v příspěvku na fóru.
Před 40 lety, 23. července 1985, společnost Commodore představila první počítač Amiga. Jednalo se o počítač "Amiga od Commodore", jenž byl později pojmenován Amiga 1000. Mělo se jednat o přímou konkurenci počítače Apple Macintosh uvedeného na trh v lednu 1984.
John Gilmore analyzoval a zveřejnil situace, kdy lidé z NSA přímo sabotovali bezpečnost navrhovaných protokolů nebo standardů. Ve své zprávě se zaměřil obzvláště na IPSEC, které je vinou NSA příliš složité, potenciálně náchylné k útokům a chybí v něm drobnosti zlepšující bezpečnost kvůli návrhům na "zjednodušení", které přišly od NSA. Dále pak poukazuje na lhaní lidí z NSA, pomocí kterého sabotovali vznik účinného standardu pro end-to-end šifrované hovory v mobilní síti.
Tiskni
Sdílej:
Aneb typek co se snazi prizivit na aktualni situaci. Podle me je to zm*d, protoze to mel zverejnit uz davno.
Nebýt EFF, tak je USA dnes ještě v mnohem větší prdeli (totalitě) než dnes.
9.9.2013 10:31
Petr Tomášek | skóre: 39
| blog: Vejšplechty
8.9.2013 15:29
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
8.9.2013 20:43
pavlix | skóre: 54
| blog: pavlix
8.9.2013 21:03
pavlix | skóre: 54
| blog: pavlix
9.9.2013 08:41
pavlix | skóre: 54
| blog: pavlix
9.9.2013 13:58
pavlix | skóre: 54
| blog: pavlix
Firewall to považuje za HTTPS, takže pokud to chce pustit ven, musí to pustit rovnou, protože nemůže do SSL zasahovat (transparent proxy/cache/filter). Takže je úplně jedno, že uvnitř toho SSL žádné HTTP neběžíV naprosté většině případů tomu tak skutečně je.
9.9.2013 14:05
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Firewall to považuje za HTTPS, takže pokud to chce pustit ven, musí to pustit rovnou, protože nemůže do SSL zasahovat (transparent proxy/cache/filter). Takže je úplně jedno, že uvnitř toho SSL žádné HTTP neběží
Tím už si dnes bohužel nikdo nemůže být jist, protože se rozšiřují krabičky, které umějí udělat MITM na https. Někde už berou jako standard mít na všechno aplikační proxy (už jsem viděl i na ssh, zasahovala do možností autentizace).
9.9.2013 20:09
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Používají certifikáty, které jsou podepsané od nějaké certifikační autority, běžně přítomné v prohlížeči?
Ano.
Pokud ano, tak je to další důvod proč u HTTPS kotrolovat certifikát i pokud prohlížeč nic nehlásí.
Tak to by měl být u SSL základ, ovšem jsou servery, které se tomu důkladně brání. Doporučuji nainstalovat rozšíření Certificate Patrol a potom jít třeba na Google. Co server, to jiný certifikát. V takovém prostředí se toho moc ověřit nedá.
9.9.2013 20:43
pavlix | skóre: 54
| blog: pavlix
Ale u OpenVPN by takový MITM téměř určitě nefungoval, vhledem k mechanismu handshake, který je velmi odlišný od HTTP.Vzhledem k mechanismu handshake? To bych si nechal vysvětlit :).
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
P_DATA) i binární řídící sekvence trochu podobné těm u TCP protokolu (typy P_CONTROL* a P_ACK). Jenže aby mohl hadshake proběhout, musí "MITM krabička" na jednom konci (směrem ks serveru) hrát OpenVPN klienta a na druhém (směrem ke klientovi) zas OpenVPN server, což naprosto jiná úloha než transparentní HTTP proxy. Pokud by ona krabička neuměla OpenVPN protokol a neměla příslušné klíče, bude jí pozměněná komunikace hned ze začátku ukončena jako chybná a zahozena.
10.9.2013 09:30
pavlix | skóre: 54
| blog: pavlix
9.9.2013 10:52
pavlix | skóre: 54
| blog: pavlix
Linuxový IPsec a vlastní policy table bez virtuálních rozhraní je rovněž docela hezký nápad, ale musí se s tím člověk chvilku smiřovat :).Na druhou stranu není problém si v případě potřeby virtuální rozhraní nad tím IPSecem udělat (ipip, sit, gre...) a tlačit provoz přes něj. Mimochodem, pokud se nepletu, virtuální rozhraní není nutně potřeba ani ve Windows, ne, tam se také nechají nastavovat politiky samostatně...
9.9.2013 15:37
pavlix | skóre: 54
| blog: pavlix
Ale jo, o tom žádná... spíš mi vadí, že tam je pořád v principu nějaký prasohack, který nějakým způsobem obchází standardní IP routing stack (viz KPTD)Rád bych tě upozornil, že slovo prasohack může být jen vyjádřením toho, že něčemu nerozumíš nebo že se ti to z nějakého důvodu nelíbí, a tudíž nemá žádný technický význam a neříká nic o vhodnosti či nevhodnosti daného architekturního rozhodnutí.
Když si vezmete KPTD (což údajně ještě není kompletní obrázek), odkud se přesně ty pakety mají "správně" ztrácet resp. kde se mají objevovat?Dobrá poznámka. Zdá se, že KPTD něco chybí :).
Správně podle mého tam taková věc nepatří.Musím říct, že tvůj názor naprosto chápu a že můj první dojem byl stejný. Nicméně při bližším zkoumání architektury IPsec jsem ho docela rád pozměnil.
Pokud ji tam někdo dodělá, musí to kamsi nějakým nestandardním způsobem naprasit.Toto už bych si dovolil označit za mlácení prázdné slámy, protože takový výrok můžu říct očemkoli, co se kdy v kernelu přidá. Navíc si člověk sejme ideologickou čapku a podívá se na síťování v kernelu, tak si musí nutně uvědomit, že většina věcí je v síťovém stacku nějakým způsobem doprasená a velká část z nich ještě špatně. A právě kvůli zmíněné stabilitě chování (API/ABI jsou v tomhle případě zbytečně detailní pojmy) ty věci často špatně musejí i zůstat.
ten paket nemůže mít žádnou košer interní historii v rámci kernelu... a dost, už vařím z vody.Přitom zde není z vody vařit potřeba. Stačí se podívat třeba na iptables a na to jaké atributy paketů iptables nabízejí ke kontrole či úpravě a můžeš identifikovat, které z nich ti připadají z hlediska IPsec podezřelé a od nich se dá to vyjasňování začít. Další možnost je provnat celou situaci s userspace VPN pomocí tun/tap rozhraní, kde se pakety podobným způsobem z pohledu kernelu „ztrácejí“ a „objevují“ (konec konců podobně funguje i reálný síťový hardware). Nakonec ti z toho vypadne úplně jiná otázka a to, kdy se paket objevuje zapouzdřený a kdy nezapouzdřený (popřípadě kdy se ti objeví obě verze paketů, což umí krásně prozradit tcpdump). Pak má smysl hodnotit sprasenost konkrétní implementace a stejně tak i samotná možnost rozumné implementace tohoto modelu. A je dobré nezapomínat na IPsec transport mode.
Navíc si člověk sejme ideologickou čapku a podívá se na síťování v kernelu, tak si musí nutně uvědomit, že většina věcí je v síťovém stacku nějakým způsobem doprasená a velká část z nich ještě špatně.
To jste mi potvrdil jeden můj dost častý dojem Když se občas do zdrojáků kernelu ze studijních důvodů ponořím, nalézám věci v tomto duchu. Ale zatím jsem se díval jenom na pár velice úzkých a okrajových oblastí.
Další možnost je provnat celou situaci s userspace VPN pomocí tun/tap rozhraní, kde se pakety podobným způsobem z pohledu kernelu „ztrácejí“ a „objevují“ (konec konců podobně funguje i reálný síťový hardware).Tohle jsem asi nepochopil. Tady mi to právě přijde, že tun/tap je dobře definovaný a stabilní způsob, jak si vytvořit síťové rozhraní. Virtuální, ale jinak po všech stránkách košer. Transport mezi tímto rozhraním a "protějším koncem" na jiném stroji je implementovaný nějakým automagickým démonem v user space, který mne z hlediska čistoty a elegance KPTD (já vím, "ehm ehm") nijak neuráží. V user space ať si páchá kdo chce co chce. Navíc se OpenVPN v tomto případě vůči kernelu tváří jako vcelku konzervativní subnet resp. L2 médium (konfigurovatelně point to point nebo multi-exit).
A je dobré nezapomínat na IPsec transport mode.Ano, to je taky dobrý parazit. Tady uhnu od tématu: je to jedna z věcí, proč mám instinktivně smíšené pocity z příchodu IPv6 (jakožto správný IPv4 zpátečník). Ale pokud se v rámci IPv6 povede zařídit bezvadnou interoperabilitu IPSecu mezi implementacemi, tak proč ne... vlatně o tu mi jde především. Opravdu už mluvím dost z cesty, vynáším subjektivní soudy a nemám to podložené studiem zdrojáků. Děkuju za zajímavou debatu
9.9.2013 16:19
pavlix | skóre: 54
| blog: pavlix
Tohle jsem asi nepochopil. Tady mi to právě přijde, že tun/tap je dobře definovaný a stabilní způsob, jak si vytvořit síťové rozhraní.Kernelový kód až tak nutně tun/tap nepotřebuje, ty existují především kvůli zpřístupnění userspace implementací.
V user space ať si páchá kdo chce co chce.To, že IPsec je dobře implementovatelný v kernelu bych viděl rovněž jako výhodu. Z userspace se to celé nakonfiguruje a udržuje, o balení a šifrování se postará kernel. Podobný model se aplikuje na mnohé další věci.
Ano, to je taky dobrý parazit.Transport mode mi přijde na celém IPsec nejgeniálnější část. Tunelový mód, to je prostě další implementace šifrovaného propojení sítí (VPN), ale transport mode je skutečným krokem kupředu, byť zatím nedoceněným, protože umožňuje řešit zabezpečení na optimální úrovni, tedy v rámci operačního systému a pod transportními protokoly.
Ale pokud se v rámci IPv6 povede zařídit bezvadnou interoperabilitu IPSecu mezi implementacemi, tak proč ne... vlatně o tu mi jde především.Jenže interoperabilita vyžaduje mnohem víc snahy a přemýšlení než splácat jen tak nějakou implementaci ;). V praxi je IPsec v tomto ohledu značně nedospělý. Na druhou stranu OpenVPN není směrem ven interoperabilní prakticky vůbec.
10.9.2013 11:07
pavlix | skóre: 54
| blog: pavlix
Protože je to projekt oddělený od kernelu (běží v user space), běží tatáž verze napříč platformami.Nekernelová implementace má své nesporné výhody (a stejnětak i nevýhody, stačí si uvědomit, že TCP/IP by mohlo být rovněž implementováno v userspace).
Popravdě se taky opatrně těším na utopickou ideální budoucnost na podvozku IPv6, kde nebude NAT, a půjde telefonovat "každý s každým" bez potřeby supernodů apod.Ono je lepší si mimo laboratoř nestavět utopické scénáře, pokud se chceš internetem nějak vážně zabývat.
Na jedné straně šifrování v transportním režimu sice skryje o čem se dva spolu baví, ale neskryje samotný fakt, že dvě konkrétní koncové stanice se spolu baví (neexistují privátní adresy). Jasně, security by obscurity...Interpretovat tuto vlastnost (na které mimochodem přepnutí na tunelový režim nic nemění) jako security by obscurity, to zavání, že se diskuze začíná zvrhávat ve snůšku nepromyšlených a nepodložených keců a to bych nerad.
Na druhé straně jste mi tu právě vysvětlili, že opravdu pedantský proxy firewall se neštítí provádět MITM na SSL relacích. Čili zabezpečené firemní LANky nám tu komunistickou utopii stejně trpět nebudou.Zde už se to skutečně zvrhává ve žvásty™.
9.9.2013 18:38
Petr Bravenec | skóre: 43
| blog: Bravenec
10.9.2013 11:06
pavlix | skóre: 54
| blog: pavlix
Pokud clovek chce skutecny tunel, tak je GRE ci IPIP chraneny IPSec transport modem asi optimalni volba.+1 A při dekompozici nakonec dojde k tomu, že ten paket i vypadá tak, jak vypadat má.