Richard Stallman dnes v Liberci přednáší o svobodném softwaru a svobodě v digitální společnosti. Od 16:30 v aule budovy G na Technické univerzitě v Liberci. V anglickém jazyce s automaticky generovanými českými titulky. Vstup je zdarma i pro širokou veřejnost.
sudo-rs, tj. sudo a su přepsáné do programovacího jazyka Rust, nahradí v Ubuntu 25.10 klasické sudo. V plánu je také přechod od klasických coreutils k uutils coreutils napsaných v Rustu.
Fedora se stala oficiální distribucí WSL (Windows Subsystem for Linux).
Společnost IBM představila server IBM LinuxONE Emperor 5 poháněný procesorem IBM Telum II.
Byla vydána verze 4.0 multiplatformního integrovaného vývojového prostředí (IDE) pro rychlý vývoj aplikaci (RAD) ve Free Pascalu Lazarus (Wikipedie). Přehled novinek v poznámkách k vydání. Využíván je Free Pascal Compiler (FPC) 3.2.2.
Podpora Windows 10 končí 14. října 2025. Připravovaná kampaň Konec desítek (End of 10) může uživatelům pomoci s přechodem na Linux.
Již tuto středu proběhne 50. Virtuální Bastlírna, tedy dle římského číslování L. Bude L značit velikost, tedy více diskutujících než obvykle, či délku, neboť díky svátku lze diskutovat dlouho do noci? Bude i příští Virtuální Bastlírna virtuální nebo reálná? Nejen to se dozvíte, když dorazíte na diskuzní večer o elektronice, softwaru, ale technice obecně, který si můžete představit jako virtuální posezení u piva spojené s učenou
… více »Český statistický úřad rozšiřuje Statistický geoportál o Datový portál GIS s otevřenými geografickými daty. Ten umožňuje stahování datových sad podle potřeb uživatelů i jejich prohlížení v mapě a přináší nové možnosti v oblasti analýzy a využití statistických dat.
Kevin Lin zkouší využívat chytré brýle Mentra při hraní na piano. Vytváří aplikaci AugmentedChords, pomocí které si do brýlí posílá notový zápis (YouTube). Uvnitř brýlí běží AugmentOS (GitHub), tj. open source operační systém pro chytré brýle.
Bezpečnostní blog Mozilly informuje, že došlo k revokaci falešného certifikátu domény Googlu. Tento certifikát byl úspěšně použit k útokům v Íránu. K jeho vydání došlu již 10. července. Více viz rozbor EFF.
Tiskni
Sdílej:
Stačila by jednoduchá konvence spočívající v získávání otisků certifikátů z DNSSEC. Zkrátka by se přidal další typ záznamu, podobně jako v případě DKIM nebo dalších bezpečnostních mechanismů. DNS server by tedy poskytoval také informace o otiscích veřejných klíčů pro každou dvojici (stroj, protokol), kterou vede v patrnosti, pokud daná dvojice používá TLS.
Mezi poskytovateli připojení k Internetu jsou však bohužel stále ještě tupci, kteří o DNSSEC nejspíš neslyšeli. To je dost zásadní překážka v nasazení této technologie. Jednoduché rozšíření getaddrinfo() o podporu popsané funkcionality si ovšem umím snadno představit.
Každá klientská aplikace by díky tomu měla velmi silný prostředek k ověřování pravosti certifikátů, nesrovnatelně rychlejší a spolehlivější než všechny mechanismy založené na CRL.
Pravda, když nebudu mít zabezpečený last hop a budu slepě poslouchat AD, je jakékoliv úsilí marné. Ani bezpečný last hop nepomáhá, protože za ním se může skrývat nedůvěryhodný cizí stroj (u drtivé většiny domácností standardní situace). To je mrzuté. To aby měl rovnou každý prohlížeč v sobě svůj vlastní DNS resolver a hardcoded klíč kořenové zóny. 
Nicméně stále tu vidím ještě jedno možné řešení: Do getaddrinfo() by mohl přibýt další flag, který by nařídil do odpovědi vložit celý chain of trust (na konci rozvětvený...), který vedl k získání vrácené IP adresy a otisku certifikátu pro TLS. Díky tomu by pak
Takový chain of trust by sice mohl narůst do velkých rozměrů, ale last hop je rychlý, že ano. (Zbytek vyřeší cache.) Podvržení certifikátu tento mechanismus odhalí snadno. Horší je to ovšem s vyzrazením soukromého klíče. Tam by až do vypršení TTL stále hrozilo nebezpečí. Nicméně pořád to může být kratší doba ohrožení než extrémní třicetidenní platnost některých CRL. Navíc by tady (v ostrém kontrastu se soustavně ignorovanými, ne-li těžko dostupnými CRL) certifikát někdo konečně opravdu ověřoval.
Ani bezpečný last hop nepomáhá, protože za ním se může skrývat nedůvěryhodný cizí stroj (u drtivé většiny domácností standardní situace).Tím Last Hopem jsem myslel i tu důvěru v používaný resolver viz moje prezentace Securing Last Hop na posledním IETF.
To aby měl rovnou každý prohlížeč v sobě svůj vlastní DNS resolver a hardcoded klíč kořenové zóny.Tak to pravděpodobně ze začátku dopadne. Případně to nemusíte cpát do prohlížeče, ale stačí malinký validující stub resolver na localhostu, pokud byste si s něčím takovým chtěl pohrát, tak jsem udělal takový malý mashup evldns a libunbound, kterému pracovně říkám stubound: # git clone git://git.nic.cz/evldns-stubound
odpovědi vložit celý chain of trust (na konci rozvětvený...)Adam Langley (@Google Chrome) navrhuje DNSSEC "razítkovat" X.509 certifikáty, viz prezentace DNSSEC serialization na tomtéž a jeho poslední blogpost. Nesmíte zapomínat, že gai() je POSIX, takže tohle rozhraní nemůžete měnit jen tak hopsa hejsa. Spíš to dopadne tak, že vznikne nějaká obecná knihovna s dohodnutým rozhraním (podobně jako OpenSSL), která bude takové rozhraní poskytovat, a časem do toho POSIXu doputuje.
Tam by až do vypršení TTL stále hrozilo nebezpečí. Nicméně pořád to může být kratší doba ohrožení než extrémní třicetidenní platnost některých CRL. Navíc by tady (v ostrém kontrastu se soustavně ignorovanými, ne-li těžko dostupnými CRL) certifikát někdo konečně opravdu ověřoval.Souhlasím na 100%. Proto na tom pracujem, jak rychle to IETF dovoluje... (což není zrovna warp speed, ale dopředu se to hýbe docela svižně).
31.8.2011 10:37
pavlix | skóre: 54
| blog: pavlix
Tím Last Hopem jsem myslel i tu důvěru v používaný resolver viz moje prezentace Securing Last Hop na posledním IETF.Nevidím důvod, proč to, mimo corporate prostředí, řešit jakkoli jinak než lokálním resolverem přímo v systému.
31.8.2011 10:53
pavlix | skóre: 54
| blog: pavlix
31.8.2011 13:35
pavlix | skóre: 54
| blog: pavlix
Ad 1) přidáte TA pro .czf, tj. je to vaše lokální politika akceptovat i klíč pro .czfCož je podstatně odlišné od požadavku (1).
Ad 2) to jak vaše počítače vidí ostatní domény a pomocí kterých klíčů validují informace z DNS je opět vaše lokální politikaA přesně o tom mluvím, aby se s takovou lokální politikou počítalo. Součástní dobrých standardů přece není jen hrubý popis vnějších protokolů.
31.8.2011 14:15
pavlix | skóre: 54
| blog: pavlix
To, jak divně si nakonfigurujete vlastní síť, je čistě vaše věc.No moment… jestli základní požadavky na zabezpečení komunikace (tedy integritu a vzájemnou autentizaci) bude vyžadovat konfiguraci, kterou vy nazýváte „divná“, tak doufám, že se nad těmito požadavky zamyslí alespoň někdo jiný.
31.8.2011 16:19
pavlix | skóre: 54
| blog: pavlix
31.8.2011 17:26
pavlix | skóre: 54
| blog: pavlix
31.8.2011 19:34
pavlix | skóre: 54
| blog: pavlix
Já vám asi opravdu nerozumím, o co vám jde.Jen a jen o to, aby standardní implementace umožňovaly přímo svázat kteroukoli subdoménu (podstrom) s konkrétními kryptografickými klíči, tak jako je celý strom svázán s těmi globálními. Tedy abych mohl tomu podstromu dát vyšší úroveň zabezpečení, než je ta přes třetí stranu, a přitom pro celý podstrom šly dále používat stejné, už jednou vymyšlené, mechanismy. Teď si začínám uvědomovat, že by to možná stačilo řešit v samotném DNSSECu, protože už ten je pro daný podstrom v rukou provozovatele domény. Prostě a jednoduše, pro konkrétní vztahy mezi subjekty zkrátit řetěz důvěry tak, aby neobsahoval třetí stranu (bez ohledu to, kdo tou třetí stranou je). Mně to připadá srozumitelné (tedy alespoň v té podobě, v jaké jsem to teď napsal).
Pokud nepoužíváte standardní DNS strom, tak máte v DNS minimálně kus nestandardního stromu. A je to na vás, abyste si to nakonfiguroval tak, aby vám to fungovalo dobře. Nikdo vám v tom bránit nebude. Pokud zajistíte, že se informace o TLSA záznamu z DNS vrátí jako DNSSEC-validní, tak z hlediska standardu to bude v pořádku.Proto jsem ty dva body očísloval, aby se nepletly dohromady, například bod 2 žádné nestandardní TLD nezahrnuje.
Stejně tak, pokud se v Elbonii rozhodnout, že nebudou používat ICANN kořenové servery, ale budou mít vlastní s jiným podpisem a všem elbonijským ISP nakážou, že to bude tak a ne jinak, tak to tak budou mít.O tom jsem myslím nikde nepsal.
Nicméně nemůžete čekat od RFC, že v sobě bude obsahovat i popis konfigurace DNS v Elbonii.O tom jsem myslím také nikde nepsal.
P.S.: Taky nerozumím tomu, co si představujete pod "všeobecně konfigurace certifikátů pro jednotlivé podstromy". Možná bych navrhoval ke čtení DANE use cases a DANE protocol, abychom se bavili o tom samém.Tak předpokládám, že šifrovaná komunikace mezi dvěma subjekty pod usecases spadá (nevím, o čem jiném by ten stanard byl). Zbytek viz výše. Našel jsem čas na prolétnutí obou protokolů, ale spíš tam vidím hromadu technických detailů, jak to tak bývá, a ani v introduction nevidím nic, co by se týkalo toho, co píšu.
31.8.2011 10:33
pavlix | skóre: 54
| blog: pavlix
1.9.2011 09:56
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
1.9.2011 09:47
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
This latest attack was reportedly caught by a user running the Google Chrome browser in Iran who noticed a warning produced by the “public key pinning” feature which Google introduced in May of this year. Basically, Google hard-coded the fingerprints for its own sites’ encryption keys into Chrome, and told the browser to simply ignore contrary information from certificate authorities.Dalsim logickym krokom v Irane bude zakazanie pouzitia Google Chrome.
Takže to byla zřejmě vládní aktivita? Tomu se těžko odolává.To si myslím, že je dost divoká spekulace...
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
