Příspěvky

1

Sítě / Re:VPN zdarma na testování webů

« kdy: 04. 12. 2024, 09:39:30 »

Toto by ti mohlo pomoct

https://www.vpngate.net/en/

Stačí si stáhnout SoftEther klienta a připojit se k libovolné VPN gateway z uvedené adresy

2

Windows a jiné systémy / Re:Podepisování aplikačního kódu

« kdy: 01. 03. 2024, 10:33:56 »

Nejsem si vědom autority, která by u nás vydávala uznávaný Code Signing certifikát. Certifikáty, které jsou vydávané obdobnými certifikačními autoritami jako PostSignum / I.CA jsou nanejvýš důvěryhodné v EU. V tomto případě potřebuješ certifikát, který je platný a uznávaný mezinárodně i mimo EU, takový ti ale naše certifikační autority nevydají.

Jak jsi zmiňoval, cesta vede skrze Digicert/Sectigo či obdobnou důvěryhodnou CA. Jelikož budeš aplikaci publikovat skrze Microsoft store, nepotřebuješ EV - postačí ti OV/IV

3

Server / Re:Webhosting s externím přístupem do MySQL

« kdy: 01. 12. 2023, 08:24:44 »

V minulosti jsem používal https://zikum.cz/

Vzdálený přístup do databází umožňovali. Měli také free verzi, ale ta už je dneska pasé

4

Software / Re:Podpis PDF pomocí e-občanky

« kdy: 09. 10. 2023, 08:58:03 »

Time stamp
https://freetsa.org/guide/libreoffice-time-stamping.html

To zmiňuješ jen jako návod, nebo používáš konkrétně i tuto časovou autoritu při podepisování dokumentů? FreeTSA není uznávaná jako důvěryhodná autorita.

Udržovaný seznam časových autorit které jsou zdarma i s oblastí důvěryhodnosti je zde: https://gist.github.com/Manouchehri/fd754e402d98430243455713efada710 Jen je potřeba sjet trochu níže.

Hledej autority s "Credible: Yes . [Adobe: European Union Trusted Lists]"

5

Hardware / Re:Kde zařídit pozáruční opravu ThinkPadu?

« kdy: 31. 07. 2023, 11:00:27 »

Ahoj,

zkus https://www.pocitacovapohotovost.cz/servis-lenovo.html

Mám s nimi dobrou zkušenost - U Lenovo Legionu se mi vykroutil konektor od napájení - výměna a repastování procesoru Mohu doporučit

6

Server / Re:Málo efektivní detekce spamu na serveru

« kdy: 28. 07. 2023, 09:07:36 »

Microsofti blacklisty:
reject_rbl_client dnsbl-1.uceprotect.net
reject_rbl_client dnsbl-2.uceprotect.net
reject_rbl_client dnsbl-3.uceprotect.net

Nenenenenene. odkud jsi tuto informaci vzal? Microsoft nikdy nepotvrdil že tyto blacklisty využívá, a už vůbec ne že by je spravoval.

Doporučuju si přečíst asi cokoliv z tohoto výběru https://www.google.com/search?client=firefox-b-d&q=uceprotect+scam

7

Server / Re:Málo efektivní detekce spamu na serveru

« kdy: 25. 07. 2023, 09:01:30 »

Ahoj,

řídil bych se příslovím "Všeho moc škodí" - narážím především na množství RBL, které používáš - rozhodně bych množství snížil na ty nejkvalitnější.

Já používám následující kombinaci = Hodnocení IP reputace pomocí SenderScore + Spamhaus RBL + Abusix RBL. Koukal jsem i na implementaci Talos RPBL, ale ta implementace s postfixem/spamassassinem je ošemetná, jestli vůbec možná

Problém RBL je ten, že pokud daná IP adresa odesílá spam po troškách, tak se do RBL dostane až po nějaké době, naopak problém RPBL je zase ten že se data aktualizují 1x za den, což může představovat problém v případě kdy se někomu podaří hacknout mailserver a odesílat z něho tísíce spam mailů za minutu - tentýž den má ještě reputaci IP 100%, no druhý den už je reputace 0% a email od něho už nikdo nepříjme, ale furt je tam ta prodleva v aktualizaci, což je nutné vzít v potaz. Spamhaus a Abusix by měli být aktuální vždy.

Pokud dané emaily obsahují vždy skoro stejný obsah, tak by možná stálo za to implementovat filtrování obsahu emailu - Spamassassin už něco podobného má, například když se v emailu často mluví o penězích, tak se aplikuje pravidlo "BILLION_DOLLARS" které přídá pár pěkných bodů do celkového skore. Pokud je v emailech něco specifického, rozhodně bych toho zkusil využít pro filtrování.

8

Software / Re:GPG podpis v dokumente

« kdy: 10. 05. 2023, 13:38:23 »

Zdravím,

S GPG nemám mnoho zkušeností, nicméně si myslím že je toto dokonalé prostředí pro postavení vlastní privátní/enterprise certifikační autority.

Jasný, dá to trochu práce CA postavit, nicméně existuje software, jako například AD CS, které tuto část dokážou urychlit. Navíc, pokud již ve firmě Windows Servery máte, tak deployment nebude stát nic víc než Váš čas.

Poté lze jednoduše podepisovat dokumenty a ještě jednodušeji ověřovat, zda-li je podpis legitimní.
Pokud se nepletu (A možná opravdu pletu), v GPG je nutné ověřovat hash podpisu v dokumentu s hashem, který jste dostal od tvůrce podpisu ne? Toto zkrátka správně vytvořená certifikační autorita dokáže líp.

9

Software / Re:Elektronický podpis v Thunderbirdu

« kdy: 18. 04. 2023, 20:27:41 »

Možná bych ještě zkusil vypnout antivirus (pokud nějaký vy, případně protistrana používáte) před příjmutím/odesláním digitálně podepsané zprávy - Například takový Avast přidává na konec emailové zprávy (přímo do těla zprávy) nějaký otisk na znamení, že je emailová zpráva zkontrolována a čistá.

Za sebe mohu říci, že digitálně podepisuji v outlooku, mám Avast, a nikdy jsem se s tímto problémem nesetkal - nicméně thunderbird může přistupovat k digitálně podepsaným zprávám jinak než Outlook.

10

Software / Re:Elektronický podpis v Thunderbirdu

« kdy: 18. 04. 2023, 16:36:17 »

Zdravím,

jen upozorňuji že Gmail žádné české certifikační autoritě nedůvěřuje, viz. seznam důvěryhodných kořenových certifikátů: https://support.google.com/a/answer/7448393?hl=en

To je možná ten důvod, proč gmail vyhazuje tuto chybu, pokud tedy emaily protistrana čte v gmailu ve webovém prostředí. Pokud si protistrana čte emaily například v outlooku nebo v Thunderbirdu, tak se zde zase pro změnu uplatňuje důvěryhodnost certifikátů dle Microsoft trust storu, kde jsou české certifikační autority důvěryhodné.

Dodatek: Až teď jsem viděl přiložený obrázek Toto chyba důvěryhodnosti nebude.

11

Server / Re:Dlouhé načtení Nextcloudu

« kdy: 05. 04. 2023, 08:33:50 »

Zdravím,

Zkoušel jste tento návod? https://docs.nextcloud.com/server/latest/admin_manual/installation/server_tuning.html

Pokud se stránka poprvé načítá pomaleji, a nextcloud jako takový vytěžuje málo CPU/RAM, zaměřil bych se na část "PHP-FPM Tuning" v odkazu výše.

Zvýšit rychlost načítání můžete samozřejmě i přechodem na TLSv1.3, HTTP/2 a také zapnutím cachování (vše v odkazu).

12

Sítě / Re:Zkušenosti s VPN

« kdy: 03. 02. 2023, 16:02:47 »

Zdravím,

To je všeobecný problém veřejných VPN služeb - IP adresu, kterou vám přidělí má téměř vždy špatnou reputaci, je umístěna na různých blacklistech aj... a to způsobuje různé problémy, jako například váš. Čas od času můžete narazit na nějakou novou IP adresu, která byla alokována danému VPN providerovi, ale je jen otázkou času, než se s ní stane to co se všemi ostatními...

Pokud vám jde o zabezpečení (ale nikoliv o absolutní anonymitu), tak za sebe doporučuji pořídit si nějakou levnou VPSku - nejlépe tam, kde je neomezené množství přenosu dat, a nainstalovat si nějakou distribuci Linuxu (Například Ubuntu) a skrze nějaký tutorial nainstalovat OpenVPN, případě Wireguard. Funkčnost bude absolutně stejná jako u VPN providera, jen teda tím, že surfujete přes VPSku, která je napsaná na vás, tak částečně ztrácíte anonymitu (VPS provider musí na žádost policie vydat informace o tom kdo danou VPSku provozuje).

O tom jak si postavit selfhosted VPN byl myslím dokonce zde na Rootu vydán článek.

EDIT: Článek zde: https://www.root.cz/clanky/nasazujeme-openvpn-snadno-a-rychle-navod/

13

Sítě / Re:Jak na DNS v interní síti

« kdy: 31. 01. 2023, 12:14:41 »

Zdravím,

Vím, že je to zde tak trochu zakázané slovo, ale co Windows Server? Možná je to lehce overkill, ale zde by měla být ta možnost nastavení vnitřního DNS + dotazování externího rekurzivního DNS serveru, pokud se nejedná o vnitřní doménové jméno. V tom případě by stačilo mít jako primární DNS server nastavený Windows server a eventuelně jako sekundární nějaký externí záložní, pokud by konektivita k Windows serveru vypadla.

Obdobná funkcionalita by měla jít nastavit na BIND serveru, ale zde si nejsem 100% jistý.

14

Server / Re:MailCow: nedoručování mailů po změně ISP

« kdy: 30. 01. 2023, 11:06:53 »

Mozny problem: server pri pripojeni na port 25 vyzaduje TLS session pomoci STARTTLS, ale poskytuje neplatny (self signed) certifikat. Otestujte napr. pomoci:

Kód: [Vybrat]

openssl s_client -starttls smtp -crlf -connect mail.lintner.dev:25
Dalsi mozny problem: zen.spamhaus.org muze odesilatele blokovat. Z me domaci IP mi na jednoduchy SMTP handshake server odpovedel chybou 550:

Kód: [Vybrat]

EHLO test.microsoft.com
250-mail.lintner.dev
250-SIZE 104857600
250-ETRN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 CHUNKING
MAIL FROM:<no-reply@microsoft.com>
250 2.1.0 Ok
rcpt to:<tomas@lintner.dev>
550 5.7.1 Service unavailable; client [78.80.xxx.xxx] blocked using zen.spamhaus.orgMuze to byt prkotina, ale kazdopadne by to melo byt videt v logu.

Dodatek k blacklistům:

Outlook, gmail a tyto větší freemaily se také dostávájí často do spamhaus blacklistu - pokud je ovšem email od těchto freemailů odmítnut pomocí chybové hlášky 550 5.7.1 (tj. blacklisted), tak to zkusí několikrát z jiných svých mailserverů, které mají lepší reputaci, a tudíž nebudou blacklistovány na Spamhausu. Sám s tím mám zkušenost, ve výsledku toto znamenalo zdržení emailů zhruba o 10-20 minut. Nikdy se mi ale nestalo, že by kvůli Spamhausu nedošel email vůbec.

15

Server / Re:MailCow: nedoručování mailů po změně ISP

« kdy: 30. 01. 2023, 10:51:50 »

Zdravím,

Druhý řádek z logu začínající NOQUE: přímo říká, že mailserver nepřijal příchozí email, protože se nepodařilo najít překlad pro doménové jméno microsoft.com (Což je jedna z ochran samotných mailserverů - nepříjmou email, pokud doména neexistuje / nejde resolvovat - což se v tomto případě stalo)

Hledal bych opravdu problém s DNS