Příspěvky

151

Hardware / Re:Telefonní hovor v blízkosti notebooku a externího HDD

« kdy: 14. 03. 2023, 21:41:33 »

Prskání v telefonu nesouviselo s blízkostí počítače nebo externího HDD. Stejně tak telefonní hovor nemůže negativně ovlivnit notebook nebo externí HDD. Řeč je samozřejmě o bezvadných zařízeních splňujících evropské normy – pokud se ten telefon koupal, někdo něco spravoval pájkou apod., může to dělat leccos, např. takový požár zažehnutý telefonem může zničit harddisk i ve větší vzdálenosti, než je půl metru.

Při poslechu rozhlasu neruší mobilní telefon FM přijímač, ale zesilovač. To samé se stane, i když budete pouštět do reproduktorů hudbu ze záznamu nebo přes internet. A nezpůsobuje to telefonní hovor, ale jakákoli komunikace mobilu se sítí – třeba SMS nebo nějaká servisní komunikace. Dříve jste z reproduktorů věděl o příchozí SMS o pár vteřin dřív, než ji mobil zpracoval a upozornil na ni. Ze stejného důvodu také bylo dříve zakázané v rozhlasových a televizních studiích mít zapnutý mobil – dnes už je zpracování zvuku proti takovému rušení odolné.

152

Server / Re:ssh -R -B -b výběr odchozí IP adresy pro forwarding portu

« kdy: 10. 03. 2023, 21:38:50 »

Čekal bych, že -b/-B se použije v obou případech – jak pro navázání psojení SSH klienta s SSH serverem, tak pro místní konec tunelu.

153

O serveru Root.cz / Re:Přihlašování Root.cz a Lupa.cz často nefunguje

« kdy: 10. 03. 2023, 15:49:00 »

pak to z venku vypadá, že to nikdo neřeší.

Já jsem rozhodně nikoho nepodezíral z toho, že o problému ví ale neřeší ho. Nesnáším, když nějaký uživatel někde brlblá pod vousy, že něco nefunguje, místo aby to nahlásil na helpdesk nebo vývoji. Takže se snažím nebýt takovým uživatelem a když na nějaký problém narazím, tak ho nahlásím. Buď už provozovatel o problému ví, pak hlášení ničemu neuškodí, naopak může být další stopou, která pomůže problém diagnostikovat. Nebo o problému neví, pak hlášení rozhodně pomůže.

154

O serveru Root.cz / Přihlašování Root.cz a Lupa.cz často nefunguje

« kdy: 10. 03. 2023, 10:46:12 »

V poslední době (pár týdnů, podle mne je to od výpadku serverů IInfa 27.2.) jsou časté problémy s přihlašování na weby Root.cz a Lupa.cz (s ostatními z IInfa nemám zkušenost). Resp. problém je s tím, že se přihlašování velice rychle zapomíná – vypadá to, jako by servery neměly mezi sebou sdílené úložiště session a každý server si jel sám za sebe. V předchozích dnech už se to zdálo lepší, ale teď s eto zase zhoršilo.

Projevuje se to tím, že se musím často přihlašovat znova – třeba se přihlásím ráno a večer jsem odhlášen. Dokonce se docela často děje i to, že se přihlásím, napíšu komentář a při odeslání mi to napíše, ž epřispívat mohou jenom přihlášení uživatelé, takže se musím přihlásit znovu (a text komentáře se mezi tím ztratí .

(Jendá se o hlavní weby, fórum je jiná kapitola…)

155

Distribuce / Re:Nefunkční HTTPS mirror od CZ.NIC

« kdy: 09. 03. 2023, 19:28:00 »

Nemyslím, že problém je vyřešen všude. Někdy před 2 měsíci(hodně přibližně) to začlo zlobit, jsem zpozoroval jsem invalid certificate speedtest.cesnet.cz Tomu odpovídá Feb 21 a myslím, že to spolu souvisí i když to v názvu nemá NIC

Je to jiný web, jiný provozovatel webu, jiný problém… Doufám, že sem teď nebudete psát všechny problémy s certifikáty, na které narazíte.

156

Odkladiště / Re:Je možné získání dat skrze XXE?

« kdy: 08. 03. 2023, 17:28:22 »

Tady to máte i s jednoduchými příklady: OWASP: XML External Entity (XXE) Processing

157

Odkladiště / Re:zídkání dat skrze XXE vulnerability možné?

« kdy: 07. 03. 2023, 17:55:04 »

XXE znamená, že můžete donutit XML parser, aby četl data z externích zdrojů, ke kterým jinak nemáte přístup – třeba k lokálnímu souborovému systému počítače, kde běží parser. Načtená data se pak stanou součástí parsovaného dokumentu, takže když se k nim dostanete (třeba se propíšou na výstup), získáte k nim přístup. Nebo naopak máte nějaká data tam, kde běží XML parser, a potřebujete je dostat ven – pokud nejsou moc velká, můžete je přidat do adresy toho externího zdroje (třeba jako parametry), a parser pak nasměrujete pomocí XXE na svůj server, kde si ty parametry přečtete.

158

Server / Re:Bezpečná distribuce hesel a privátních klíčů

« kdy: 03. 03. 2023, 07:56:01 »

Také hlasuju pro HashiCorp Vault. Má to v sobě zabudované i to předávání hesel klientům nebo umí generovat jednorázová hesla – klient si požádá o heslo do nějakého systému a dostane vygenerované jednorázové heslo s omezenou platností.

159

Vývoj / Re:Jak funguje cache v relační databázi?

« kdy: 02. 03. 2023, 09:13:48 »

Jako teoretická otázka je to zajímavé, ale pro praktické použití na to jdete z úplně špatného konce.

Pro praktické použití si položte otázku, zda řešení bez cahce představuje nějaký problém. Je to pomalé, nedodržíte SLA? Nebo máte vysoké náklady na provoz DB a potřebujete je snížit? Pak řešte, jak to zrychlit nebo snížit náklady na provoz DB. Cache v aplikaci je pak jen jedno z mnoha řešení, je potřeba vybrat to nejlepší. Žádný takový problém neřešíte? Pak neřešte žádnou cache, je to klasický příklad předčasné optimalizace – a jediné, čeho dosáhnete, bude zesložitění kódu a více chyb. (Ne nadarmo se říká, že invalidace cache je jeden ze dvou největších problémů při programování. Ten druhý je správné pojmenování.)

160

Vývoj / Re:Regex na zmazanie null poli z jsonu

« kdy: 27. 02. 2023, 13:50:46 »

jenomže většina běžných implementací regulárních výrazů obsahuje podporu pro neregulární výrazy.

Jenže i ta podpora pro silnější prostředky než jsou regulární výrazy v běžných implementacích nestačí na parsování běžných programovacích a podobých jazyků.

Jak je vidět např. na tomhle příkladu:

Samozrejme ze to ide aj regexom, ked tak vyraz odchytavajuci aj "blbe" kluce, ktore su v sulade so specifikaciou JSON:

Kód: [Vybrat]

,?\s*\"(\\.|[^\"])+\"\s*:\s*null

pieskovisko aj s prikladom tu https://regex101.com/r/Cj3vBX/1
toto ale odchyti len kluc:null v objektoch, pre to aby to odchytavalo aj null v poliach by to bol trochu komplikovanejsi vyraz.

Stačí si to zkusit na tomhle příkladu: https://regex101.com/r/SwsXx7/1

Problém samozřejmě není v jednoduchých příkladech, ty se dají vyřešit regulárním výrazem. Problém je, když se to, co hledáte, začne objevovat v části kódu, která má jinou gramatiku naž ta základní struktura. V JSONu tedy stringy, v klasických programvacích jazycích to nejsnáz rozbijí komentáře.

161

Vývoj / Re:Regex na zmazanie null poli z jsonu

« kdy: 26. 02. 2023, 21:20:43 »

Regulárním výrazem to nejde. Obecně programovací jazyky a podobné formáty (JSON, XML, XAML atd.) nejdou regulárními výrazy zpracovávat, jsou pro to potřeba silnější výrazové prostředky.

162

Vývoj / Re:Python SQL: validace vstupu obsahující speciální znaky

« kdy: 26. 02. 2023, 13:51:44 »

Důležité je použít binding hodnot, který bývá obvykle s prepared statements spojen. Tj. v SQL dotazu jsou místo hodnot zástupné znaky (často otazník) a pomocí propojení (bind) se pak před spuštěním dotazu propojí tyto zástupné parametry se skutečnými hodnotami. O to, aby to proběhlo správně, se postará databázový ovladač nebo samotná databáze.

Vy pak vstup žádným způsobem neošetřujete, prostě předáte vstup od uživatele tak, jak byl zadán.

Pokoušet se to řešit jinak, než bindováním, např. nějaké escapování vstupu, je bláhové, a s největší pravděpodobností by se vám nepodařilo ošetřit to správně (a hlavně nikdy nebudete míst jistotu, že je to správně).

163

Vývoj / Re:Příklad abstraktní třídy

« kdy: 26. 02. 2023, 11:11:37 »

Jako Java-amatér se zeptám: co přesně je na tom příkladu tak hrozně špatně?

Nemyslím si, že ten kód je hrozně špatně – zejména když neznáme kontext. Nicméně abstraktní třídy v Javě mají jediný účel – sdílení kódu („kód“ v širčím slova smyslu, ne jen výkonný kód, tedy třeba i definice fieldů). Přičemž v tom příkladu žádný kód ke sdílení není. Navíc v Javě jsou dva koncepty, které vypadají podobně – abstraktní třídy a rozhraní. Je potřeba se naučit mezi nimi rozlišovat – a abstraktní třída, která vlastně funguje jenom jako rozhraní, k tomu není zrovna dobrý příklad.

Ale jak jsem psal, neznáme kontext, je tady jenom jedna vytržená třída, nad kterou se xyz pohoršil, ale vůbec nenapsal, co se mu nelíbí. A spíš to vypadá, že se potřeboval vypsat ze své frustrace (nevíme, čím přesně byla způsobena), než že by o tom chtěl diskutovat.

164

Vývoj / Re:Priklad abstraktni tridy

« kdy: 25. 02. 2023, 12:28:54 »

Asi těžko budete hledat v Java JDK jednoduchou abstraktní třídu, jejíž význam bude každému na první pohled jasný. Pokud o nějaké takové třídě víte, poraďte ji autorovi.

Ten příklad není moc dobrý z jiného důvodu – pokud se ta abstraktní třída ještě nějak neupravuje, místo abstraktní třídy by v tomhle případě bylo mnohem lepší použít interface. Abstraktní třída má smysl tehdy, když rovnou poskytuje nějakou implementaci, tedy když je tam i něco jiného, než jen abstraktní metody.

165

Distribuce / Re:Nefunkční HTTPS mirror od CZ.NIC

« kdy: 24. 02. 2023, 12:51:27 »

Před obědem mi dorazila odpověď od správců z CZ.NICu, a Qualys SSL Labs už nic nenamítá.

Dobrý den,

duplicitní certifikát z chainu jsme odstranili. Snad by někteří uživatelé už neměli mít problém.

Děkuji za upozornění!

Prosím, kdo jste ten problém pozoroval, tak ověřte, jestli už je to v pořádku.

Ano, také jsem dostal odpověď:

Dobrý den,

děkujeme za upozornění. Chybný chain jsme opravili.

S pozdravem.

Podle OpenSSL už jsou tam jen 3 certifikáty, které na sebe navazují správně:

Kód: [Vybrat]

Certificate chain
 0 s:CN = mirror-r-01.nic.cz
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   i:O = Digital Signature Trust Co., CN = DST Root CA X3

Formálně by to tedy mělo být správně, teď je na uživatelích Ubuntu ověřit, zda tohle opravdu byla ta příčina.