Americký výrobce čipů Intel propustí 15 procent zaměstnanců (en), do konce roku by jich v podniku mělo pracovat zhruba 75.000. Firma se potýká s výrobními problémy a opouští také miliardový plán na výstavbu továrny v Německu a Polsku.
MDN (Wikipedie), dnes MDN Web Docs, původně Mozilla Developer Network, slaví 20 let. V říjnu 2004 byl ukončen provoz serveru Netscape DevEdge, který byl hlavním zdrojem dokumentace k webovým prohlížečům Netscape a k webovým technologiím obecně. Mozille se po jednáních s AOL povedlo dokumenty z Netscape DevEdge zachránit a 23. července 2005 byl spuštěn MDC (Mozilla Developer Center). Ten byl v roce 2010 přejmenován na MDN.
Wayback byl vydán ve verzi 0.1. Wayback je "tak akorát Waylandu, aby fungoval Xwayland". Jedná se o kompatibilní vrstvu umožňující běh plnohodnotných X11 desktopových prostředí s využitím komponent z Waylandu. Cílem je nakonec nahradit klasický server X.Org, a tím snížit zátěž údržby aplikací X11.
Byla vydána nová verze 6.18 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Nově se lze k síti Tor připojit pomocí mostu WebTunnel. Tor Browser byl povýšen na verzi 14.5.5. Thunderbird na verzi 128.12.0. Další změny v příslušném seznamu.
Meta představila prototyp náramku, který snímá elektrickou aktivity svalů (povrchová elektromyografie, EMG) a umožňuje jemnými gesty ruky a prstů ovládat počítač nebo různá zařízení. Získané datové sady emg2qwerty a emg2pose jsou open source.
Byla vydána (𝕏) nová verze 25.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 25.7 je Visionary Viper. Přehled novinek v příspěvku na fóru.
Před 40 lety, 23. července 1985, společnost Commodore představila první počítač Amiga. Jednalo se o počítač "Amiga od Commodore", jenž byl později pojmenován Amiga 1000. Mělo se jednat o přímou konkurenci počítače Apple Macintosh uvedeného na trh v lednu 1984.
T‑Mobile USA ve spolupráci se Starlinkem spustil službu T-Satellite. Uživatelé služby mohou v odlehlých oblastech bez mobilního signálu aktuálně využívat satelitní síť s více než 650 satelity pro posílání a příjem zpráv, sdílení polohy, posílání zpráv na 911 a příjem upozornění, posílání obrázků a krátkých hlasových zpráv pomocí aplikace Zprávy Google. V plánu jsou také satelitní data.
Společnost Proxmox Server Solutions stojící za virtualizační platformou Proxmox Virtual Environment věnovala 10 000 eur nadaci The Perl and Raku Foundation (TPRF).
Byla vydána nová verze 2.4.65 svobodného multiplatformního webového serveru Apache (httpd). Řešena je bezpečnostní chyba CVE-2025-54090.
Vývojový tým OpenSSL informuje, že ve čtvrtek 10. listopadu odpoledne bude vydána verze 1.1.0c kryptografické knihovny OpenSSL. Opraveno bude několik bezpečnostních chyb. Jedna z nich je závažná. Větve 1.0.2 a 1.0.1 tuto chybu neobsahují.
Tiskni
Sdílej:
8.11.2016 12:25
Tomáš Bžatek | skóre: 29
| Brno
Naopak, vis jak to ted bude secure?
8.11.2016 23:54
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
9.11.2016 14:08
Hans1024 | skóre: 5
| blog: hansovo
9.11.2016 15:14
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Zvyseny pocet lidi hledajicich bugy v OpenSSL je sice hezky, nicmene porad je to z velke casti adresovani dusledku misto pricin.A k tomu jste dosel jak?
9.11.2016 16:37
Hans1024 | skóre: 5
| blog: hansovo
10.11.2016 22:55
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Oni to proste resi typickym zpusobem "mame hodne bugu --> musime vic opravovat bugy" a bud ignoruji souvislost vyskytu bugu se stavem a komplexitou kodu, nebo ten stav z ruznych politickych duvodu nechteji zlepsit.A k tomu jste dosel jak? Pohled do logu repositaru tomu nenasvedcuje, dela se postupny refaktoring existujiciho kodu. Prave ten smer, kdy vice spolecnych chyb je objeveno v OpenSSL spise ukazuje, ze to delaji dusledneji, cemuz samozrejme nahrava i vetsi uzivatelska zakladna.
Myslim, ze uz jsem tady o tom vedl dlouhou diskusi kvuli jejich neodstraneni SSLv2.To neni otazka knihovny, ale programu co ji pouzivaji.
11.11.2016 00:39
Hans1024 | skóre: 5
| blog: hansovo
11.11.2016 11:53
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
11.11.2016 13:51
Hans1024 | skóre: 5
| blog: hansovo
11.11.2016 14:32
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Kdyz je to defaultne vypnute, tak je to dalsi neodstraneny balast, ktery ani neslouzi ucelu, ke kteremu se ta knihovna primarne pouziva.To je uplny nesmysl. Je naprosto bezne u vetsiny knihoven, ze nektera funkcionalita je volitelna. Nerozhoduje defaultni konfigurace, kterou lze snadno zmenit, ale to jestli je vyvojovym teamem funkcionalita aktivne podporovana - pokud neni a kod neni jiz udrzovan, pak by mela jit pryc, jinak neni duvod.
Shazovani vseho na autora aplikace je postoj, ktery nijak nevyresi vysledny problem. Autor knihovny ma moznost ovlivnit bezpecnost, a muze s ni zodpovedne nalozit.V tom se neshodnem. To je takovy nabubrely patronismus ve smyslu "My vime co je pro vas dobre a tak to budete muset delat". Podle vaseho pristupu by melo smysl vyhazet se vsech knihoven treba MD5, protoze neposkytuje v soucasnosti v rade uziti dostatecne zabezpeceni - coz je fakt - ale presto si myslim, ze by to byl stejny kretenismus. Staci informovat o vyhodach a nevyhodach, a nechat uzivatele rozhodnout a postupne dojde k omezeni uziti v kritickych scenarich.
11.11.2016 15:30
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
11.11.2016 20:40
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
Do toho kontextu ovšem patří i to, že pak máte v knihovně spoustu kódu, který se prakticky nepoužívá, může se rozbít s každou opravou, může opravy komplikovat a tím třeba způsobit, že oprava bude chybná, a může představovat i cestu pro napadení knihovny, i když daný uživatel danou funkcionalitu nepoužívá (pokud ji má zakompilovanou).To je otazka pro maintanery OpenSSL, pokud to chteji a jsou schopni udrzovat, a to ze mene kodu znamena mene pripadnych problemu je jiste znamo i jim. Uzivatel knihovny, tedy treba distribuce, to nemusi kompilovat a konecny uzivatel nastavovat.
Pokud je pro někoho přijatelné riziko provozovat něco na SSLv2, je pro něj i přijatelné riziko provozovat to na staré verzi OpenSSL.To rozhodne nikoliv, zejmena u sdilene knihovny podporujici i jine protokoly, vyuzivane vice aplikacemi s ruznym nasazenim.
Protože tam pořád platí, že tu komunikaci hackne každý, kdo se k ní dostane, a horší už to být nemůže.Ano, je to v soucasnosti slabe zabezpeceni, ale aplikace stale funguji. S tim "kazdy" bych byl opatrny.
To rozhodne nikoliv, zejmena u sdilene knihovny podporujici i jine protokoly, vyuzivane vice aplikacemi s ruznym nasazenim.V takovém případě má být nainstalováno více verzí knihovny a tu nebezpečnou má používat výhradně ta aplikace, která ji potřebuje. Pokud by tu nebezpečnou verzi knihovny sdílely i ostatní aplikace, je to přesně ten nejsilnější důvod, proč by podpora těch děravých protokolů měla být odstraněna. Protože vy odůvodníte nutnost podpory SSLv2 pro jednu aplikaci, u které to třeba nevadí, protože se používá jenom interně, ale vedle toho pak můžete provozovat jiné aplikace, třeba veřejně dostupné z internetu – a těm také dáte OpenSSL s podporou SSLv2. A rázem jste problém rozšířil z aplikace, u které na bezpečnosti nezáleží, na nějakou podstatnou aplikaci, která má být bezpečná. Úplně stačí taková prkotina, jako že ta aplikace nebude řešit, jaké protokoly jsou povolené, a povolí vše, co poskytuje OpenSSL. To je tedy přesně ten důvod, proč by taková legacy aplikace měla být provozována v odděleném prostředí se speciální nebezpečnou verzí OpenSSL a správce by si měl být dobře vědom toho, že je to nezabezpečená aplikace a že k ní nic jiného nepatří.
12.11.2016 17:44
little.owl | skóre: 22
| blog: Messy_Nest
| Brighton/Praha
V takovém případě má být nainstalováno více verzí knihovny a tu nebezpečnou má používat výhradně ta aplikace, která ji potřebuje.Pokud je knihovna a jeji kod udrzovan, neni nebezpecna, nebezpecna jsou aplikace, ktere ji pouzivaji neadekvatnim zpusobem.
Protože vy odůvodníte nutnost podpory SSLv2 pro jednu aplikaci, u které to třeba nevadí, protože se používá jenom interně, ale vedle toho pak můžete provozovat jiné aplikace, třeba veřejně dostupné z internetu – a těm také dáte OpenSSL s podporou SSLv2. A rázem jste problém rozšířil z aplikace, u které na bezpečnosti nezáleží, na nějakou podstatnou aplikaci, která má být bezpečná. Úplně stačí taková prkotina, jako že ta aplikace nebude řešit, jaké protokoly jsou povolené, a povolí vše, co poskytuje OpenSSL.Tvrdil jsem, ze riziko je treba posuzovat v kontextu, udrzovani podpory starsich protokolu v knihovne ma smysl, zbytek je ilustrace, kterou lze rozebirat do nekonecna. Vase reseni, ktere take stale vyzaduje mit podporu v kodu OpenSSL, je fajn, i kdyz za lepsi cestu do budoucna povazuji restriktivni sandboxing vsech sluzeb, vcetne povolenych protokolu, s globalni konfiguraci, pod kontrolou administratora - tohle neni prvni ani posledni protokol, ktery je oslaben ci prolomen.
a správce by si měl být dobře vědom toho, že je to nezabezpečená aplikace a že k ní nic jiného nepatří.Vetsina bezpecnostnich problemu je zpusobena neudrzovanymi servery a tam je nutne hledat reseni. Spravce nema zapnout podporu SSLv2 v konfiguraci aplikace, pouzit reseni jako stunnel a pokud musi podporovat starsi aplikace potrebujici SSLv2, je treba je povazovat za nezabezpecene se vsemi dusledky.
Vase reseni, ktere take stale vyzaduje mit podporu v kodu OpenSSLNe, moje řešení znamená vyhodit z OpenSSL podporu SSLv2 a v aplikacích, které SSLv2 stále používají, používat starou verzi OpenSSL, která SSLv2 ještě má. Protože když aplikace používá SSLv2, je už jedno, že používá děravou knihovnu – protože ta komunikace musí stejně být zabezpečena ještě jinak. Považuju za mnohem větší bezpečnostní riziko aktuální kód s podporou bezpečných protokolů, který je společný s kódem pro podporu SSLv2, než ty staré aplikace vyžadující SSLv2 provozovat se knihovnou se známými bezpečnostními chybami. O to víc v případě projektu OpenSSL, u kterého byla v historii snaha spíš podporovat kdejaké obskurní rozšíření než důraz na bezpečnost kódu. Prostě se bojím toho, že zachování podpory SSLv2 komplikuje kód takovým způsobem, že mohou být přehlíženy bezpečnostní chyby, nebo při opravách chyb a snahách zachovat kompatibilitu i se SSLv2 vznikají chyby nové.
11.11.2016 15:08
Hans1024 | skóre: 5
| blog: hansovo
Je naprosto bezne u vetsiny knihoven, ze nektera funkcionalita je volitelna. Nerozhoduje defaultni konfigurace, kterou lze snadno zmenit, ale to jestli je vyvojovym teamem funkcionalita aktivne podporovana - pokud neni a kod neni jiz udrzovan, pak by mela jit pryc, jinak neni duvod.U takhle kriticke knihovny je bezpecna defaultni konfigurace naprosto zasadni - viz Heartbleed, POODLE, DROWN. A cilem by melo byt podporovat kritickou funkcionalitu a ne tunu balastu, ktera se pak negativne projevi na kodu.
V tom se neshodnem. To je takovy nabubrely patronismus ve smyslu "My vime co je pro vas dobre a tak to budete muset delat". Podle vaseho pristupu by melo smysl vyhazet se vsech knihoven treba MD5Ja jsem pro moznost nastaveni zpusobu zabezpeceni, ale SSLv2 uz proste neni funkcni zpusob zabezpeceni komunikace. MD5 ma spoustu legitimnich pripadu pouziti. Jedinne pouziti pro SSLv2 vidim u zprovoznovani starych proprietarnich exkrementu - na to bych doporucil vytvorit knihovnu libhackshit, a nezadelavat kod OpenSSL.
11.11.2016 19:47
Conscript89
| Brno
Jasne, kriticka zabezpecovaci knihovna podporujici zabezpecovaci protokol, ktery uz dlouho neni bezpecnyNevidim tu zadny konflikt s popisem projektu:
OpenSSL is an open source project that provides a robust, commercial-grade, and full-featured toolkit for the Transport Layer Security (TLS) and Secure Sockets Layer (SSL) protocols. It is also a general-purpose cryptography library.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz