Příspěvky

1

Windows a jiné systémy / Re:Mac UTF-8 a Samba s vfs_fruit

« kdy: 22. 10. 2024, 19:24:15 »

Ste si istí, že nefungujú práve zložené UTF-8 znaky?

Ano, velmi jistý.

Dekódoval jsem název mizejících souborů nějakým UTF-8 HEX konvertorem a porovnal s funkčním názvem jiných souborů a téhož souboru po přejmenování, výsledek byl jednoznačný. Proto jsem zkusil použít vfs_fruit

Z mých dřívějších poznámek:
Když bylo ů = 0xc5 0xaf tak se soubor ve finderu zobrazil, když bylo ů = 0x75 0xcc 0x8a tak nikoli. Podobně s č = 0xc4 0x8d vs č =  0x63 0xcc 0x8c atd...

Tyto soubory, které uživatel MACku neviděl, byly vytvořené a pojmenované uživatelem Windows.

Jako nejsem si jistý, jestli vfs_fruit nepřináší víc problémů než užitku, ale problém s nezobrazenými soubory se tím nějak vyřešil. Doufám, pokud za to nemohou volby unix charset a display charset, které jsem měl tu a tam zakomentované a ztratil jsem přehled, kdy a za jakých okolností.

Fakt je, že jinde jsem vfs_fruit na Sambě použít nemusel (Na Gentoo se Sambou 4.19) a na jiných Debianech nebyl problém nejšpíš proto, že těch MACkařů tam není dost a ne všichni uživatelé píší diakritiku do názvů souborů...

2

Windows a jiné systémy / Re:Mac UTF-8 a Samba s vfs_fruit

« kdy: 22. 10. 2024, 17:57:04 »

Tuhle to maji ponekud jinak nez to mas ty. https://wiki.samba.org/index.php/Configure_Samba_to_Work_Better_with_Mac_OS_X

To mě nepřekvapuje. Na mnoha místech to mají trochu jinak.

Mě by víc zajímalo, co konkrétně mám špatně, nebo co se vám (zdejším diskutujícím) osvědčilo / neosvědčilo. A pokud to bylo problematické, jak a proč? (pokud možno)

Vím, že fruit:nfs_aces = no je nezbytné k tomu, aby fungovala vynucená práva pomocí create mask, directory mask... to mám stejně.

fruit:metadata = stream jsem byl nucen přidat, protože selhávání Finderu bylo ve skutečnosti způsobeno pádem vfs_fruit a tedy odpojením MACku od Samby. Jestli to pomůže dlouhodobě zatím nevím. Proč k pádu vfs_fruit docházelo taky nevím, jen to, že se pád zapsal do logu Samby.

fruit:model = MacSamba je default volba, netuším, proč bych se měl obtěžovat to tam vůbec dávat.

fruit:posix_rename = yes máme shodné...

fruit:delete_empty_adfiles = yes jsem zakomentoval, protože nevidím přínos. Zatím.

Verze mé Samby je 4.17.12-Debian - tj. to, co je aktuální v aktualizovaném Debian 12.

3

Windows a jiné systémy / Mac UTF-8 a Samba s vfs_fruit

« kdy: 22. 10. 2024, 13:01:31 »

Před časem jsem narazil na ošklivost ve Finderu, který nezobrazuje soubory, pokud jejich název obsahuje složené UTF-8 znaky, tj. nikoli znak s diakritikou (zakódované do dvou bytů), ale znak + znak diakritiky (zakódované do 3 bytů).

Stává se mi, že uživatelé z Windows uloží soubory, které obsahují v názvu jednou tak, podruhé jinak zakódované znaky. V Linuxu se mi pochopitelně obojí zobrazuje nerozlišitelně stejně, dokud jsem nenechal název převést na hexadecimální čísla. K odhalení může pomoct Putty, který za určitých okolností zobrazuje složené znaky špatně.

Četnost s jakou Windows něco takového provedou je nezanedbatelná. Možná každý desátý soubor? Nepodařilo se mi vypozorovat jestli to jsou názvy, které uživatel vytvoří zkopírováním odněkud, nebo naklepe na klávesnici, nebo jestli to je specificky častější pro určitý software (stává se to u souborů s MS Office).

Nějak se mi to podařilo vyřešit pomocí vfs_fruit v kombinaci s mangled names (vypne překódování názvů do zkráceného názvu pouze z osmi znaků ASCII) a v kombinaci s unix charset a display charset, viz relevantní kousek konfigurace.

Modul catia je dle manuálu nutný pro volbu fruit:encoding = native.

Kód: [Vybrat]

        unix charset = UTF-8
        display charset = UTF-8
...
        vfs object = recycle fruit catia streams_xattr

        fruit:encoding = native
        fruit:resource = file
        fruit:posix_rename = yes
        fruit:veto_appledouble = yes
        fruit:nfs_aces = no
        fruit:wipe_intentionally_left_blank_rfork = true

        mangled names = no
Následně v každém sharu mám zapnuto ve shodě s globálním nastavením (kdesi psali, že to je potřeba):

Kód: [Vybrat]

        vfs object = recycle fruit catia streams_xattr
Nejsem si jistý volbou fruit:encoding = native vs private. Pochopil jsem, že jde o překódovávání nepovolených znaků do privátního rozahu UTF-8, ale jakých přesně znaků? Týká se to i složených znaků s diakritikou? Nebo jen znaků, které nejsou povolené na unixlike systémech, ale na Windows nevadí? Manuál mi připadá neúplný.

A která z voleb vlastně zajišťuje překódování složených znaků? Jsou místa, kde vfs_fruit nemám a MACkaři mi problémy nehlásili.

https://www.samba.org/samba/docs/current/man-html/vfs_fruit.8.html

Problém je, že když jsem fruit:encoding nastavil na private, tak začal padat Finder při pokusu o vstup do některých složek s diakritikou v názvu. Pád Finderu se projeví tak, že krátce po otevření složky (1s?) se zavřou všechna okna Finderu a odpojí se od Samby. Uživatel se pak musí znovu přihlásit.

Jako upřímně - mě to přijde jako dlouhodobě neřešená chyba MAC OSX a ne problém, který by se měl řešit na Sambě. Ale protože od Apple řešení očekávat nelze (dohledal jsem diskuze i 10 let staré, kde měl kdosi podobný problém), hledám rovnák na vohejbák pomocí nastavení Samby.

Jakou s tímto máte zkušenost?

Nepřipadá mi správné uživatelům radit, aby diakritiku v názvech přestali používat, jako to bývalo běžné v dobách DOSu a W9x.

4

Software / Re:Mozilla kupuje reklamní společnost - ztráta soukromí?

« kdy: 19. 07. 2024, 21:39:51 »

To je trochu přehnaný pohled. Psali jsme...

Vida, to jsem přehlédl.

Ale nevím, jesti dokážu být tak optimistický a věřit, že klikátko v menu nějak zachrání situaci (uklidňující placebo?). To bych taky jednoho krásného dne mohl věřit Microsoftu. Zapnuli to tiše, bez ptaní, což hodně smrdí.

5

Software / Mozilla kupuje reklamní společnost - ztráta soukromí?

« kdy: 19. 07. 2024, 13:52:25 »

https://www.youtube.com/watch?v=kiT24EVcngY

Mozilla kupuje reklamní společnost a mění podmínky související se soukromím. Údajně spolupracuje s Facebookem.

Roste nám tu další šmírák a znamená to, že už není úniku?
Znamená to, že kecy o soukromí ze strany Mozilly jsou už jen zástěrka, jak shromažďovat data skrytě?
Bude Mozilla šmírovat ve všech svých produktech?
Znamená to definitivní konec Mozilly?

6

Windows a jiné systémy / Re:Windows 11 - vnucování MS účtu, MS Recall, Copilot a další šmírovadla vs UOOU

« kdy: 01. 07. 2024, 22:59:15 »

A jeste existuje W11 G edition - jako government, nedavno o tom bylo na YT par videi. je to o neco procistenejsi distribuce.

O goverment edici nevím. Ale vím o Windows 11 Enterprise, která ve výchozí konfiguraci obsahuje minimum bloatware.

Má to jeden háček, zákazník by si rád vybral z notebooků na trhu. Už takhle trochu prskají, když jim zakazuju kupovat cokoli, co má W11 Home a chci, aby tam byly W11 Pro (už kvůli gpedit a mnoha dalším detailům). Když jim budu nutit jinou verzi než Pro (který byla tzv. pro firemní použití), tak budou prskat o dost víc, protože budou platit licenci dvakrát (v ceně notebooku + tu správnou navíc). Neexistuje akceptovatelná možnost upgradu z koupené verze na lepší (bez kontaktu s s MS a tedy bez nutnosti zřizovat MS Tenant, nebo se alespoň přihlašovat do MS Store nebo jak se to jmenuje)

Krom toho - není goverment edice povolená pouze pro vládní organizace, takže ji firma nesmí provozovat?

A ano, zatím používám shift+F10 -> oobe\bypassnro, ale je otázka, kdy i toto přestane fungovat. Nebo jestli si to Microsoft nechává právě proto, aby nebyl právně postihnutelný a mohl říct - hele, sice to nepropagujeme (= skrýváme jak jen to jde), ale ta možnost tu je.

Prý lze lokální účet zřídit i ve W11 Home 24H2 -> https://www.youtube.com/watch?v=rbALZWzDpUw Dle videa procedura zjevně přímočará, ani trochu matoucí, zvládne každý BFU, aniž by postupoval podle návodu. Určitě.

Doplňuji: podle tohoto se zdá, že government / G edice oficiálně neexistuje https://www.ghacks.net/2024/07/01/windows-11-government-edition-is-what-everyone-wants-but-there-is-a-catch/

7

Windows a jiné systémy / Windows 11 a podnět na ÚOOÚ

« kdy: 01. 07. 2024, 16:27:47 »

Zdar všem,

nezkoušeli jste podat podnět UOOU = Úřadu pro Ochranu Osobních Údajů v souvislosti s tím, co zavádí Microsoft ve Windows 11? Ne, že bych to používal, ale uživatelé to používají a občas jsem nucen jim něco nastavit.

Asi všichni víme, jak je čím dál obtížnější Windows 11 Pro (o verzi Home ani nemluvě - tam už to nejde snad vůbec) přesvědčit k založení lokálního účtu. Microsoft zjevně pracuje na tom, aby měl všechny uživatele pod kontrolou, aby co nejvíc uživatelů synchronizovalo data na OneDrive, aby co nejvíc uživatelů používalo Recall a tím usnadnili nevím co, snad jenom cílení reklamy, ale i to by mi silně vadilo.

Takže co s tím? Microsoft je defakto monopol. Pořád existují aplikace, které nelze migrovat jinam a firma se bez nich neobejde (nechce obejít) - např. některé nejmenované účetní systémy (P*hoda od Stor*waru), kancelářský software (ne, LibreOffice bohužel stále není konkurence, je skvělý, ale běda když firma vyměňuje dokumenty s korporátem) atd... atd...

Jinými slovy, myslím, že je na čase, aby úřady dostaly víc konkrétních podnětů. Čím kvalitněji a odborněji sepsané, tím lépe. Pokud budou opřené o významnou firmu, nebo organizaci (univerzitu) taky super.

Microsoft si z nás dělá fackovací panáky / dojnou krávu příliš dlouho. Je nutné ho nějak přibrzdit a penězi (nekupováním produktu) to zjevně nevyšlo.

A totéž v bledě modrém Adobe a jejich nedávný problém s penalizací uživatelů za "předčasné" ukončení smlouvy (kterou deklaroval jako měsíční, ale zachází s ní jako s ročním předplatným placeným měsíčně) okořeněný "strojovým učením z uživatelských dat".

Chovám malinkou naději, že by to UOOU mohl analyzovat a následně třeba eskalovat na evropskou úroveň? Ale zkušenosti s byrokracií mi říkají, že to bude trvat roky, pokud to tiše nevyšumí. Tak nevím... ale zkusit se to musí, ne?

Když mohou posouvat Overtonovo okno korporace proti nám, musíme to zkusit taky.

8

Sítě / Re:Návod pro nasazení IPv6 pro začátečníka kutila

« kdy: 13. 10. 2023, 13:52:15 »

> Na základe horných 64b s istotou vie, ktorá komunikácia prichádza z rovnakého stroja.
Tady máte chybu. Špehovač ví, že komunikace přichází z konkrétní počítačové sítě. Stejně tak to ví v případě IPv4, kde těch bitů není 64, ale jen 32.

Nezáleží to spíš na tom, o jakém špehovači se bavíme?

Provozovatel webu se šmírovacími skripty (Google... a v podstatě kdokoli z bigtech) šmíruje podle uživatelských účtů, otisku prohlížeče, cookies... tam IPv6 nebude mít žádný efekt. Mnohem víc bude záležet, co mu v rámci služby poskytnu já a můj prohlížeč.

Poskytovatel připojení má jiné možnosti, do komunikace se službou vidět nesmí, ale vidí hlavičky procházejících packetů, DNS dotazy, IPv6 adresy (). Tady mě asi zajímá nejvíc rozdíl IPv4 (síť za NATem) vs IPv6 (jen firewall).

Nebo to chápu špatně? Proč a v čem?

9

Sítě / Re:Návod pro nasazení IPv6 pro začátečníka kutila

« kdy: 11. 10. 2023, 19:13:52 »

Opravdu doporučuju tu knihu od pana Satrapy. Tam najdete odpovědi na všechny otázky. ;-) Mít IPv6 a toužit po NATu, to je vyloženě proti logice IPv6. Prakticky všude, kde mám domácí připojení, mám IPv6 a jediné, co mne trošku irituje, je výkon Mikrotiku s IPv6, ne IPv6tka samotná. :-)

Upřímně, já víc toužím po soukromí než po IPv6. A pokud by IPv6 bez NATu znamenala ztrátu soukromí, tak bude NAT i kdyby to bylo rouhání a hereze proti celé filozofii... ať už se pod tím skrývá cokoli. Vlastně se v tom vrtám jen proto, že se to zdá být nevyhnutelné a je lépe být připraven.

Ale knihu se pokusím dočíst celou a možná opakovaně (protože zaručeně napoprvé leccos přehlédnu). To mi nějaký čas zabere. Pak se budu možná ptát znovu a rozumněji Možná.

10

Sítě / Re:Návod pro nasazení IPv6 pro začátečníka kutila

« kdy: 11. 10. 2023, 18:32:56 »

> Petr Krčmář: Díky, Satrapou se zkusím prokousat, ale teď po prvních pár desítkách stránek se obávám, že to je víc informací, než potřebuju. Spousta pěkné teorie, ve které se zahrabu a bude mi k (převážně) ničemu.

> Radek Zajíc: Díky. Zhruba tak jsem si představoval stručné "nasměrování" z praxe. Nicméně, na každou radu mi napadá několik zpřesňujících otázek, počínaje Proč?

Ad DHCPv6 - jak si zařízení vymýšlejí svou adresu, když ne podle DHCP?

Proč bych neměl používat rozsah fd00::/8? Povede to k něčemu špatnému? Znamená to, že v IPv6 neexistuje rozsah pro LAN funkčně ekvivalentní těm třem z IPv4?

Proč bych se měl za každou cenu vyhýbat NATu? Já považoval ten "strašně nežádoucí" důsledek, že zařízení ve vnitřní síti nelze díky firewallu s NATem adresovat přímo za docela dobrou vlastnost (resp. dobrou možnost).

V LAN mohu mít připojená zařízení, která nejsou dost aktuální, mohou mít lokálně zneužitelné bezpečnostní chyby a není žádoucí, aby k nim byl jiný přístup než lokální (IOT, ale bez spojení ven). Ale protože do LAN je omezený přístup, tak to nemusí vadit. Nechci tuhle možnost s IPv6 ztratit.

Jak se řeší potřeba připojit zařízení, která umí pouze IPv4, ale router má vnější IPv6 adresu a poskytovatel nenabízí dualstack?

Jak to, že rozsah /64 dále nedělitelný, když celá adresa má 128 bitů, ale zrovna jsem se k tomu dočetl v té Satrapově knize... jak tohle hodnotit slušně? Chápu tedy správně, že když mi poskytovatel přidělí IPv6 s rozsahem /64, tak připojím jen jedno koncové zařízení a opět musím použít NAT? (nepodaří-li si vymámit /56?) Nebo si s těmi 64 bity v dolní části adresy pořád můžu dělat cokoli?

11

Sítě / Návod pro nasazení IPv6 pro začátečníka kutila

« kdy: 11. 10. 2023, 11:30:18 »

Příliš dlouho jsem se vyhýbal IPv6 a teď brouzdám po webu a marně se snažím zorientovat.

O tom, že IPv6 je úžasná budoucnost jsem četl přehršel článků, ale v žádném - i když tu a tam narazím na zajímavé informace - jsem nedokázal najít základní shrnutí pro mírně paranoidního, jen lehce pokročilého uživatele, jak IPv6 nastavit bezpečně. Všude se omílá to, jak není potřeba NAT (budiž) a jak lze adresovat i sebenepatrnější IOT (což nechci).

Moje základní požadavky jsou
- LAN striktně nepřístupná zvenku
- lokální IPv6 přiděluje lokální DHCP v privátním rozsahu, který lze filtrovat firewallem
 
Můj předpoklad, možná staromódní, je, že z internetu MUSÍ být vidět POUZE router. NIKDY zařízení za ním v LAN, dokud je explicitně nepovolím, nepřiřadím jim veřejnou IP adresu, nebo na ně nesměruji provoz z TCP portu.

Můžete mi prosím dát alespoň odkaz na nějaký dobrý text k prostudování, který by mě navedl tímto směrem?

Jdou moje požadavky tak moc proti filozofii IPv6?
Pokud ano, co bych měl pozměnit?
Co je praktické a co už ne?

Nyní, když koukám na svůj domácí router, kde je IPv6 stále zakázané pomocí iptables6, tak má adresy na vnějším i vnitřním rozhraní začínající fe80: atd... dočetl jsem se, že interní má začínat fd ... jak to zařídit?

Může být CZ, SK, EN, RU... další jazyky bych musel s překladačem.