Multiplatformní open source spouštěč her Heroic Games Launcher byl vydán v nové stabilní verzi 2.17.0 Franky (Mastodon, 𝕏). Přehled novinek na GitHubu. Instalovat lze také z Flathubu.
Organizace Apache Software Foundation (ASF) vydala verzi 26 integrovaného vývojového prostředí a vývojové platformy napsané v Javě NetBeans (Wikipedie). Přehled novinek na GitHubu. Instalovat lze také ze Snapcraftu a Flathubu.
Klávesnice IBM Enhanced Keyboard, známá také jako Model M, byla poprvé představena v roce 1985, tzn. před 40 lety, s počítači IBM 7531/7532 Industrial Computer a 3161/3163 ASCII Display Station. Výročí připomíná článek na zevrubném sběratelském webu Admiral Shark's Keyboards. Rozložení kláves IBM Enhanced Keyboard se stalo průmyslovým standardem.
Vyšlo Pharo 13 s vylepšenou podporou HiDPI či objektovým Transcriptem. Pharo je programovací jazyk a vývojové prostředí s řadou pokročilých vlastností.
Java má dnes 30. narozeniny. Veřejnosti byla představena 23. května 1995.
1. července Mozilla vypne službu Fakespot pro detekci podvodných recenzí v internetových obchodech. Mozilla koupila Fakespot v květnu 2023.
8. července Mozilla vypne službu Pocket (Wikipedie) pro ukládání článků z webu na později. Do 8. října si uživatelé mohou vyexportovat data. Mozilla koupila Pocket v únoru 2017. Několik měsíců byl Pocket integrovanou součástí Firefoxu.
Turris OS má aktuálně problém s aktualizací související s ukončením podpory protokolu OCSP u certifikační autority Let's Encrypt.
Nevidomý uživatel Linuxu v blogu upozornil na tristní stav přístupnosti na linuxovém desktopu (část první, druhá, závěr), přičemž stížnosti jsou podobné jako v roce 2022. Vyvolal bouřlivou odezvu. Následně např. Georges Stavracas shrnul situaci v GNOME. Debata o jiném aspektu přístupnosti, emulaci vstupu pod Waylandem, také proběhla na Redditu.
DevConf.CZ 2025, tj. open source komunitní konference sponzorovaná společností Red Hat, proběhne od 12. do 14. června v Brně na FIT VUT. Publikován byl program a spuštěna byla registrace.
Služba StartEncrypt od certifikační autority StartCom (konkurence Let's Encrypt) umožňovala komukoliv automaticky vydat certifikát k prakticky libovolné doméně (včetně domén jako Google, PayPal a Dropbox). Chyba (ve skutečnosti celá řada amatérských chyb) by měla být již opravena.
Tiskni
Sdílej:
1.7.2016 21:10
Jendа | skóre: 78
| blog: Jenda
| JO70FB
A máš něco lepšího?Jo. DANE/TLSA. Model zcela zprofanovaných CA je pro DV certifikáty opravdu zcela k hovnu.
pokud chci přistupovat k počítači podle DNS názvu, musím důvěřovat provozovateli DNS. Nejde to zabezpečit nijak lépePrávě že jde – přes ty certifikáty. I když budu používat nedůveryhodné rekurzivní DNS servery, pochybné proxy servery, WiFi připojení nebo napíchnutou linku, tak lze útok odhalit díky kontrole certifikátu na straně klienta.
Nesmyslné jsou DV certifikátyDV certifikáty vznikly dávno před nějakým DNSSEC/DANE/TLSA a pomohly výrazně zvýšit zabezpečení (do té doby se používaly nešifrované protokoly jako HTTP nebo bylo potřeba draze a složitě získávat certifikát s ověřením dokladů). Až budou klienti podporovat DNSSEC/DANE/TLSA a bude k tomu nějaké rozumné GUI, budou to podporovat všichni registrátoři a TLD a bude to dostupné pro 99% běžných uživatelů, tak se dá říct, že DV certifikáty jsou zbytečné.
DNSSEC není doplněk k PKI, je to způsob, jak provozovatel DNS, který má správné údaje, může zaručit jejich bezpečné doručení až ke klientovi.PKI ale zdalena nejsou jen DV certifikáty. Běžně se používají OV a často i EV. Provozovatel DNS neví, kdo jsi (a to je dobře, není dobré tyhle věci slučovat) a nemůže být autoritou, která potvrdí tvoji identitu – a ani ten protokol (DNS) není vhodný k tomu, aby se přes něj přenášelo víc dat. DNSSEC se hodí pro kontrolu a potvrzení, že otisk certifikátu je OK.
Právě že jde – přes ty certifikáty. I když budu používat nedůveryhodné rekurzivní DNS servery, pochybné proxy servery, WiFi připojení nebo napíchnutou linku, tak lze útok odhalit díky kontrole certifikátu na straně klienta.Proti nedůvěryhodným rekurzivním DNS serverům, WiFi připojení a pochybným proxy serverům chrání DNSSEC. To mi zaručí, že dostanu nezměněnou odpověď od toho, kdo o daných DNS názvech rozhoduje. Certifikační autorita se v lepším případě spoléhá na ty samé odpovědi podepsané DNSSEC, takže nemůže důvěryhodnost té informace zvýšit. Zvlášť když ta informace pochází od toho, kdo ji definuje.
DV certifikáty vznikly dávno před nějakým DNSSEC/DANE/TLSAJistě. Což ale neznamená, že nejsou nesmyslné
Zvlášť dnes, kdy DV certifikát potvrzuje třeba to, že jeho držitel umí vystavit soubor na nějakou webovou adresu, nebo umí číst e-maily směrované na danou doménu.
bude k tomu nějaké rozumné GUIJaké GUI? DNS záznam se buď podaří přeložit a validovat, nebo se to nepodaří a zobrazí se chyba.
tak se dá říct, že DV certifikáty jsou zbytečnéJá jsem nepsal, že jsou zbytečné, ale že jsou nesmyslné.
Proti nedůvěryhodným rekurzivním DNS serverům, WiFi připojení a pochybným proxy serverům chrání DNSSEC. To mi zaručí, že dostanu nezměněnou odpověď od toho, kdo o daných DNS názvech rozhoduje.Jen za předpokladu, že na tvém klientském počítači běží DNS server (resolver), který ověřuje DNSSEC a někdo do něj bezpečnou cestou dostal veřejné klíče/otisky pro všechny TLD. Jak běžná je tohle praxe? Kolik uživatelů to má? BTW: a je to podobné jako s těmi CA – jejich certifikáty taky musel někdo na klienta dostat a musel tam dát software, který je schopný je ověřovat.
Certifikační autorita se v lepším případě spoléhá na ty samé odpovědi podepsané DNSSECDV by podle mého mělo vypadat spíš tak, že na server nahraješ soubor s náhodně vygenerovanou výzvou (+ informací, k čemu ten soubor je) a CA se ji pokusí z mnoha různých serverů (v různých částech Internetu) stáhnout. To je spolehlivější než e-mail a WHOIS (ten může obsahovat neaktuální informace a nešifrovaný e-mail lze zase snadno odposlechnout) a lépe to prokazuje, že máš danou doménu pod kontrolou.
DV certifikát potvrzuje třeba to, že jeho držitel umí vystavit soubor na nějakou webovou adresuNevím, jak ty, ale já jako majitel domény nenechám cizí lidi nahrávat libovolné soubory na můj web. Pokud by to mohl někdo udělat, tak by rovnou mohl měnit obsah mého webu a nemusel by se patlat s nějakým SSL a MITM – prostě by tam napsal, co potřebuje nebo si odtamtud stáhl data.
DNS záznam se buď podaří přeložit a validovat, nebo se to nepodaří a zobrazí se chybaParáda, přesně proto je potřeba to GUI, aby uživatel věděl, co se děje. Takhle možná nějak dopídí, že je něco rozbitého s DNSSEC a následně mu někdo poradí, jak ho vypnout, aby se dostal na svůj web. Tím mimochodem vypne kontrolu pro všechny domény, což je daleko horší, než když odklikne SSL varování (to se týká jen jedné domény, zatímco ostatní se stále ověřují, jak mají).
Já jsem nepsal, že jsou zbytečné, ale že jsou nesmyslné.Ale vždyť oni smysl mají nebo minimálně měly a ještě nějakou dobu mít budou. Srovnej to s ostatními možnostmi:
DV by podle mého mělo vypadat spíš tak, že na server nahraješ soubor s náhodně vygenerovanou výzvou ... lépe to prokazuje, že máš danou doménu pod kontrolou.Ne, to neprokazuje, že mám pod kontrolou doménu, ale že mám pod kontrolou webový server. Ověřit, že mám pod kontrolou doménu, nejde jinak, než přes DNS.
Nevím, jak ty, ale já jako majitel domény nenechám cizí lidi nahrávat libovolné soubory na můj web. Pokud by to mohl někdo udělat, tak by rovnou mohl měnit obsah mého webu a nemusel by se patlat s nějakým SSL a MITM – prostě by tam napsal, co potřebuje nebo si odtamtud stáhl data.Na tvůj web možná lidé soubory nahrávat nemůžou. A pak jsou miliony webů, kam soubory různými způsoby nahrávat lze - Wikipedia, GMail, Ulož.to, Dropbox, AbcLinuxu...
Takhle možná nějak dopídí, že je něco rozbitého s DNSSEC a následně mu někdo poradí, jak ho vypnout, aby se dostal na svůj web. Tím mimochodem vypne kontrolu pro všechny domény, což je daleko horší, než když odklikne SSL varování (to se týká jen jedné domény, zatímco ostatní se stále ověřují, jak mají).Právě proto nemá být možné to vypnout, takže není potřeba GUI.
Ale vždyť oni smysl mají nebo minimálně měly a ještě nějakou dobu mít budou. Srovnej to s ostatními možnostmiJá bych to srovnával třeba s možností, že DV certifikát bude vydáván jen na základě prokázání kontroly nad DNS zónou, CA bude garantovat, že certifikát revokuje např. do 24 hodin od změny vlastníka domény. Nebo ještě lépe, že by DV certifikát vydával DNS registrátor. Nesmyslnost DV certifikátů spočívá v tom, že potvrzují něco, co CA potvrdit nemůže.
Ne, to neprokazuje, že mám pod kontrolou doménu, ale že mám pod kontrolou webový server. Ověřit, že mám pod kontrolou doménu, nejde jinak, než přes DNS.Viz
a CA se ji pokusí z mnoha různých serverů (v různých částech Internetu) stáhnoutTím se ověří oboje – jednak, že se DNS jméno přeloží všude stejně resp. ukazuje na stejný server a jednak že máš pod kontrolou ten server (což je dost zásadní – pokud by ten server měl pod kontrolou někdo jiný, tak nemá cenu řešit nějaké šifrování mezi klientem a serverem).
Na tvůj web možná lidé soubory nahrávat nemůžou. A pak jsou miliony webů, kam soubory různými způsoby nahrávat lze - Wikipedia, GMail, Ulož.to, Dropbox, AbcLinuxu...A dovolí ti uložit soubor do kořenového adresáře a pojmenovat ho tak, jak chce CA?
Právě proto nemá být možné to vypnout, takže není potřeba GUI.Vzhledem k tomu, že se to ještě ani pořádně nerozšířilo, tak doba, kdy to nepůjde vypnout, je hodně daleko (jestli vůbec kdy přijde).
Nebo ještě lépe, že by DV certifikát vydával DNS registrátor.Tohle by se mi na jednu stranu i celkem líbilo… A konečně by se mohla používat ta vlastnost X.509 certifikátů, která umožňuje omezit působnost CA na určitou (pod)doménu. CZ.NIC by tak měl CA, která by směla vydávat certifikáty pro .cz a registrátoři by od něj měli podřízené CA, které by mohly vydávat certifikáty pro domény, které si u nich někdo zaregistroval. Případně by takovou CA dostal vlastník domény a mohl by si pro svoje poddomény vydávat certifikáty sám. Nicméně stinnou stránkou je koncentrace moci do rukou registrátora – ten najednou může všechno – typicky i provozuje DNS servery pro registrované domény, takže si může vydat certifikát a na chvíli nasměrovat provoz jinam a to dokonce selektivně (podvržené záznamy se budou posílat jen oběti, zatímco všichni ostatní dostanou ty správné). A je mnohem větší šance, že se podaří zamést stopy a utajit to. Když je v tom zapojeno víc nezávislých subjektů, tak je ten systém odolnější a útok je složitější nebo se dá alespoň lépe odhalit a zpětně dohledat, co se stalo a kdo za to může. CA kontroluje DNS záznamy a soubor na serveru z mnoha různých míst, takže by se podvržené záznamy musely posílat všem. Navíc CA si uloží záznam o tom, jak se dané DNS jméno přeložilo. Pokud by např. selhal registrátor nebo webhosting, CA by na tom byla nezávislá, měla by např. sériová čísla vydaných certifikátů, záznamy o tom, kdo si je nechal vystavit… Pokud ale drží všechny trumfy v ruce jeden subjekt, je to dost nebezpečné a snáze pak může dělat, že se nic nestalo. Přijde mi škoda, že se víc neinvestovalo do rozvoje existující technologie:
že máš pod kontrolou ten serverNe, to prokazuje jenom to, že na server můžu nahrát nějaký soubor.
pojmenovat ho tak, jak chce CA?CA jsou tisíce a já netuším, jaká CA má jaká pravidla pro pojmenování souboru. Ostatně, to hloupé pravidlo s ověřením pomocí souboru si vymyslí příslušná CA, je tedy na ní, aby zajistila, že neexistuje žádný web, kam by ten soubor mohl nahrát někdo jiný, než vlastník webu. Zajímalo by mne, jak to ta CA chce zajistit...
Vzhledem k tomu, že se to ještě ani pořádně nerozšířilo, tak doba, kdy to nepůjde vypnout, je hodně daleko (jestli vůbec kdy přijde).Takhle už to dávno funguje. Pokud se nepodaří ověřit DNSSEC podpis, aplikace vůbec nedostane odpověď na svůj dotaz. Aby mohl prohlížeč ignorovat DNS odpověď s neplatným podpisem, musel by implementovat vlastní resolver.
Nicméně stinnou stránkou je koncentrace moci do rukou registrátora – ten najednou může všechno – typicky i provozuje DNS servery pro registrované domény, takže si může vydat certifikát a na chvíli nasměrovat provoz jinamTakhle funguje DNS, registrátor prostě může všechno. To je vlastnost toho systému a žádná třetí strana nemůže bezpečnost zvýšit, protože registrátor DNS definuje to, co je v DNS správně. Když se registrátor DNS rozhodne chvíli vracet jiné odpovědi, možná se to nebude líbit vlastníkovi té domény, ale správě je to, co určí registrátor.
Když je v tom zapojeno víc nezávislých subjektůTak ale DNS nefunguje. V DNS má každá zóna právě jednu nadřazenou zónu.
Přijde mi škoda, že se víc neinvestovalo do rozvoje existující technologiePodle mne je to správně. Vytvořila se technologie pro podpis DNS záznamů, takže je teď možné DNS záznamy ověřovat. Certifikáty pro doménová jména nedávají smysl, protože CA osvědčuje něco, co osvědčit nemůže. DV certifikáty byla jen obezlička, jak obejít to, že nešlo validovat DNS odpovědi. To už teď možné je, takže je důležité co nejdřív přestat používat tuhle obezličku a místo ní použít skutečné zabezpečení přes DNSSEC.
Tím se ověří oboje – jednak, že se DNS jméno přeloží všude stejně resp. ukazuje na stejný server a jednak že máš pod kontrolou ten serverJemu asi jde o to, že když Pepa má webserver (foo.com A pepa) a Franta tam má mailserver (foo.com MX franta), tak by Pepa neměl mít možnost jen tak vyrobit certifikát, který může používat na MITM na Frantu.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
2.7.2016 11:32
http://example.com/owner.txt na svém webu, tak ho stejně asi nemá moc pod kontrolou. A nemusí to být jen soubor, může to být i HTTP hlavička přímo na http://example.com/ (ale to už je zase náročnější na nastavení).
Ale jak jsem psal, lepší mi přijde ověřování přes soubor na webu než e-mail.Jenže CA poskytují více možností. Ty se na to díváš z pozice poctivého žadatele o certifikát. Když chceš ověřit bezpečnost, musíš se na to dívat z pohledu útočníka. Pokud je pro tebe lepší ověřování přes web, útočník se nejspíš zaměří právě na ten e-mail.
Pokud někdo dovolí cizím lidem vytvářet soubory jako http://example.com/owner.txt na svém webu, tak ho stejně asi nemá moc pod kontrolou.Tohle umožňuje třeba Wikipedia nebo AbcLinuxu. Nemyslím si, že by ty weby neměli majitelé pod kontrolou. Ano, neumožňují nahrát soubor do kořenového adresáře. Ale jsi si jistý, že nějaká CA nepovolí nahrát soubory třeba do adresáře
/upload/?
Až budou klienti podporovat DNSSEC/DANE/TLSAA to jen tak nebude - v Chrome AFAIK zkoušeli, jak by to vypadalo, kdyby se prohlížeč před vstupem na web pokoušel na tyhle DNS záznamy ptát a v jednotkách procent případů se vůbec nedaly resolvovat.
2.7.2016 16:59
mirec | skóre: 32
| blog: mirecove_dristy
| Poprad
Ako sa po zrušení HTTP dostanem na administračné rozhranie rôznych zariadení, ktoré prirodzene nemôžu mať vydané certifikáty na IP adresu získanú z DHCP?
Takže podstrčit nepozorovaně nepodepsaný záznam nejde.Až po tom, co uživatel absolvuje Zprovoznění DNSSEC pro běžného uživatele (na všech svých zařízeních/sítích).
Prave to zvysovani poctu podepisujicich je celkem dobry postup.Souhlas. Možnost podepsat veřejný klíč jen jednou CA považuji asi za největší nedostatek. Hodně by to pomohlo – mohl bys mít např. certifikát podepsaný CA tvého státu nebo tvé firmy a zároveň nějakou běžnou komerční CA, která je globálně známá.
Mozna jeste prihodit neco ve stylu Perspectives nebo Convergence.Přesně. Mnoho různých subjektů/serverů by zkontrolovalo tvůj certifikát a následně ti vystavili vlastní, který by sis mohl k tomu svému přidat a zvýšit celkovou důvěryhodnost.
2.7.2016 09:29
Jendа | skóre: 78
| blog: Jenda
| JO70FB
selfsign, protoze jejich duveryhodnost prave proto ze sou vydany pro jeden konkretni web a nejsou nikym podepsany je radove vyssiTo nechápu. Certifikát podepsaný CA je přece taky vydaný pro jeden konkrétní web. Chápu správně, že když mám self signed certifikát, a nechám si ho ještě k tomu podepsat u CA, tak se jeho důvěryhodnost sníží, a když před tebou to, že podpis od CA existuje, zatajím, tak se zase zvýší?
2.7.2016 10:57
Jendа | skóre: 78
| blog: Jenda
| JO70FB
4.7.2016 13:36
Jendа | skóre: 78
| blog: Jenda
| JO70FB
2.7.2016 15:45