Příspěvky

1861

Sítě / Re:Interní IPv6 a domény ve veřejném DNS

« kdy: 25. 05. 2020, 07:59:51 »

Iste ze musia byt aj inac chranene, ale naco zbytocne davat utocnikom dieliky do skladacky?

Protože to není dílek do skládačky, ale něco mnohem menšího. A protože nedávat útočníkům tu informaci je zbytečně komplikované, vede to k problémům a chybám a nakonec to může vést k mnohem větším bezpečnostním dírám.

1862

Software / Re:Dvojí licencování

« kdy: 25. 05. 2020, 07:56:51 »

Ano, je to možné. Licenci určuje autor a klidně může dát podmínky „pro komerční užití je cena X, pro soukromé použití zdarma“. Je tak licencována spousta softwaru.

„Open source“ nemá žádnou závaznou definici, obecně to znamená jenom to, že uživatel programu má přístup i ke zdrojovým kódům. Vůbec to nemusí znamenat, že máte právo program dál šířit. Takže klidně i k placenému softwaru mohou být zdrojové kódy – není to nijak výjimečné.

1863

Sítě / Re:Interní IPv6 a domény ve veřejném DNS

« kdy: 24. 05. 2020, 23:31:19 »

A-ckove zaznamy, OK. Ale SRV mozu byt problem. Nikto nepotrebuje, aby mu ludia zvonku robili query na _ldap._tcp alebo _kerberos._udp a potom sustredovali svoju pozornost na tieto stroje.

Ty stroje musí být chráněné lépe než tím, že nikdo nepřečte jejich adresu z DNS.

1864

Sítě / Re:Interní IPv6 a domény ve veřejném DNS

« kdy: 24. 05. 2020, 12:34:51 »

To filtrovani si predstavujete jak?

Filtrováním jsem myslel dvě různé zóny pro jednu doménu. Jenda se používá pro dotazy z venku, druhá pro dotazy zevnitř. Mohou to být třeba dva různé servery nebo Bind views. Ale osobně si myslím, že je to zbytečná práce na víc, potenciální zdroj chyb, a užitek prakticky žádný. Pokud se někdo venku dozví interní doménové jméno, může si ho přeložit na IP adresu. No a co?

1865

Sítě / Re:Interní IPv6 a domény ve veřejném DNS

« kdy: 22. 05. 2020, 13:43:04 »

Pokud máte tu možnost, dával bych vše do veřejné DNS. Pak můžete třeba bez problémů vystavovat důvěryhodné certifikáty přes ACME (Let's Encrypt). Můžete zvážit filtrování a záznamy o privátních zařízeních používat jen v interní síti a nepublikovat je ven, ale připadá mi to jako zbytečná komplikace.

1866

Vývoj / Re:Synchronizacia real-time dat, s datami z RESTu

« kdy: 22. 05. 2020, 13:38:55 »

Tohle už má hotové třeba Firebase Cloud Firestore nebo PouchDB.

1867

Server / Re:Ovlivní spam status emailu špatná reputace IP adresy vázané na stejnou doménu?

« kdy: 20. 05. 2020, 15:58:03 »

Na onu blokovanou adresu mého VPS míří pouze A záznam domény.

To nemůžete vědět. Odkaz klidně může být v nějaké doméně, o které vůbec nevíte.

Nicméně pokud je vaše IP adresa na blacklistu, nějaké domény bych neřešil, nejsou podstatné. Podstatná je ta IP adresa. To, že se dostala na blacklist před dvěma roky, nikdo neřeší. Dokud nepožádáte o její odstranění, na blacklistu zůstane. Když požádáte o odstranění, určitě po vás budou chtít vědět, co jste udělal pro to, aby spam z dané adresy nechodil. A možná ještě také stojku na uších a úpis vlastní krví nebo co já vím, co si vymyslí. Také bacha na to, pokud byste požádal o odstranění z blacklistu a pak se tam znovu dostal – to se pak s vámi správce blacklistu nejspíš už ani nebude bavit.

Nebo také můžete za odstranění z blacklistu zaplatit, to je předpokládám hlavní business model jejich provozu. On je vůbec provoz blacklistů hodně podobný ransomware, akorát blacklisty jsou bůhvíproč považovány za legální a ransomware za nelegální.

1868

Server / Re:Ovlivní spam status emailu špatná reputace IP adresy vázané na stejnou doménu?

« kdy: 20. 05. 2020, 07:48:46 »

Při odesílání e-mailu je z hlediska reputace IP adresa to nejdůležitější. Na doménu ji můžete převést přeložením reverzního DNS záznamu (který ale není povinný – „měl by“ existovat, ale nemusí). Doména je pak ještě v e-mailové adrese, k té můžete zjišťovat MX záznam, ale ten vůbec existovat nemusí nebo nemusí vést na IP adresu, ze které se e-mail odesílá.

Spravovat poštovní server vůbec není jednoduché a nemyslím si, že je to pro někoho, kdo sám píše, že se v tom nevyzná. Už samotná konfigurace, aby to správně fungovalo a neobtěžovalo okolí nevyžádanými e-maily není jednoduchá. A pak do toho přijdou požadavky různých nekompetentních adminů, které nejsou nikde napsané a obvykle nedávají smysl, ale když je nesplníte, e-maily od vás se jim nedoručí. Požadavky jako že v reverzním DNS záznamu nesmí být číslo, že MX záznam musí vést zpět na odesílajícího klienta apod.

1869

Software / Re:Údajné zneužití licence SW

« kdy: 19. 05. 2020, 17:58:41 »

Nemusí, ale z 99% tak skončí.

Tvrdíte na základě toho, že nevíte nic ani o tomto případu, ani o právu, ani o ničem souvisejícím. Hm.

Důkazy se posuzují jako celek, pokud jsou ale složené jen z domněnek vývojáře a naprosto neověřitelných logů, i právník amatér, takové důkazy smete ze stolu.

Ty logy ale nejsou neověřitelné.

Pokud jsou jeho důkazy vrtkavé a při prvním výslechu je naprosto zdiskredituješ jasnými fakty, že si takové důkazy obstaráš sám během následující hodiny, je situace vcelku jasná.

To, že si takové důkazy během hodiny obstaráte, ovšem není fakt, nýbrž lež. Vyrobit takový log, aby seděl s jinými důkazy, by bylo zatraceně těžké.

-> Znamená, stroj ze kterého mají logy, nemusí být ten a samý stoj, co je s touto MAC ve firmě. Postačí otevřená wifi, někdo poblíž s wiresharkem a bum, hotovo.

Což nic neznamená. Vy stále nechápete, jak se hodnotí důkazy. Vy si to představujete tak, že se vezme jeden důkaz, posoudí se „je tento důkaz sám o sobě 100% věrohodný a nezfalšovatelný?“, a když se zjistí, že ne, tak se vyhodí. Jenže takhle to nefunguje. Pokud byste chtěl argumentovat tou otevřenou WiFi, nebude stačit, abyste soud přesvědčil, že to tak mohlo být, ale že to tak bylo. Že se k firemní WiFi takhle někdo připojil, komunikoval s licenčními servery té aplikace na nestandardních portech, byl v té firmě celé dny po dobu několika měsíců, a vy vůbec nevíte, kdo to byl. Zkrátka byste soud musel věrohodně přesvědčit, že máte ve firmě opravdu takový b… nepořádek.

-> Opět a znovu, jen tvůj názor. Pokud někdo, sbírá jakékoli záznamy z mého PC, kdykoli se mu zamane, je nanejvýš pravděpodobné, že se mu pošle i něco, co já jakožto majitel PC a dat v něm, nechci.

To, že něco nechcete, neznamená, že to porušuje GDPR.

Budu mít otevřené okno s jeho SW, vedle dokument s osobními údaji zaměstnanců a bum, jejich SW udělá screenshot a pošle ho na jejich servery(což je dle diskuze na abclinuxu fakt).

Není to fakt ani podle té diskuse na AbcLinuxu. To za prvé. A za druhé, do té diskuse to mohl napsat někdo, kdo tomu rozumí stejně, jako vy.

Tohle Vám fakt příjde jako korektní chování v rámci zákona? Asi těžko, že?

Jenže to chování jste si vy vymyslel.

-> Je rozdíl mezi tím, co lidé(velice úzký okruk lidí) vědí a jaký názor by si udělala laická veřejnost, která by se dozvěděla, že software za který někdo chce tak nechutné prachy, ještě vývojáři slouží jako spyware.

Problém je, že v ruce nemáte žádná fakta, jenom vlastní báchorky. V projekčním softwaru se zpracovávají osobní údaje a ten software dělá snímky obrazovky; když se vám něco nelíbí, je to proti GDPR; v občanskoprávním řízení platí presumpce neviny; každý jednotlivý důkaz musí být 100% spolehlivý a neprůstřelný, jinak se jím soud nebude zabývat – to je jenom pár nesmyslů, které jste tu už stihl napsat.

Já jsem to psal už na začátku, že mi chování té firmy připadá až příliš agresivní. Ale tím, že si budete vymýšlet, ničemu nepomůžete.

Co říct u výslechu: Jejda, kdysi jsem koupil wifi-router a zapomněl tam zadat heslo, asi se tam někdo připojil.

To vám pomůže maximálně u policajta, který nemá zájem to řešit a potřebuje věc co nejdřív zastavit. Právníci téhle firmy by se vám za tohle jen vysmáli.

Když člověk smete ze stolu ty nezákladnější pylíře, na kterých obžaloba stojí, je za vodou.

Jenže vy jste nic nesmetl.

A to chci doporučit i tazateli, zdiskreditovat všechny důkazy, co prozradili že mají, při případném výslechu vysvětlovat jak k obstarání takových důkazů mohlo dojít, aniž by došlo k domnělému zneužití licence firmou/jejím zaměstnancem a je půl hotovo.

Opět, výslech je trestněprávní záležitost, tady se bavíme o občanskoprávním sporu. No a pokud by před soud nastoupili právníci zastupující autora s tím „takhle se to stalo“, a vy proti nim „nemám pro to žádné důkazy, ale takhle se to teoreticky mohlo stát“, bude to opravdu krátký proces.

Oni stejně budou mít jen IP adresu, MAC adresu + nějaké screeny. A ani jedno, nedokáže s určitostí identifikovat toho, co seděl za monitorem a ani tu firmu, na jejímž hardware mělo k tomuto domnělému porušení dojít.

Identifikovat osobu fakt nepotřebují. A identifikovat firmu může třeba jen ta IP adresa.

Inu, představte si situaci, mám otevřenou wifi bez hesla, pouze s filtrem MAC adres:
Venku sedí nějaký "black-hat", co se mi snaží dostat do sítě a nemá jinou možnost, než si naklonovat MAC adresu nějakého zařízení, co je na white-listu APčka. Tento black-hat má v NB i cracklý software.
Vývojář cracklého SW zrovna obdrží informace z jeho SW o IP adrese a MAC adrese nějakého existujícího firemního zařízení.

Jak moc je tato situace nepravděpodobná? Kdo komu dokáže, jak to bylo?
A kdo z Vás má s něčím podobným praktickou zkušenost, aby dokázal na předchozí otázku odpovědět?

Vy pořád bájíte o tom, jak to teoreticky mohlo být. Jenže když bude mít autor v ruce pádné důkazy, nebude po vás soud chtít vědět, že to mohlo být jinak – ale bude po vás chtít důkaz, jak to bylo podle vás. Nikoho by nezajímalo, jak je to pravděpodobné (že vám bude někdo měsíce squattovat před firmou celou pracovní dobu a nikdo si toho nevšimne je hodně nepravděpodobné).

Kdo komu dokáže, jak to bylo?

No, byl byste to vy, kdo by to musel dokazovat, že to tak bylo. Já bych si na to, že se vám to povede, rozhodně nevsadil.

1870

Software / Re:Údajné zneužití licence SW

« kdy: 19. 05. 2020, 16:13:16 »

Proč teoretizujeme v rovině, že se něco stalo, když samotný název tématu označuje, že se jedná o !!domnělé!! zneužití licence?

Protože diskutujeme o tom, jaké možnosti má autor a jaké možnosti má tazatel. Protože ten případ samozřejmě nemusí skončit tím, že zaměstnanec prohlásí, že jde o domnělé zneužití licence, a autor sklapne podpatky a odkráčí.

Ano, samozřejmě že prokazování nelegálního používání software je velice složitá záležitost, rozhodně to ale nefunguje tak, že nějakej soukromej subjekt řekne: "tady mám záznamy z našeho SW, že k tomu došlo"

Tak to samozřejmě fungovat může. Nemusí to být jediný důkaz, ale může to být i důkaz, který bude mít velkou váhu – zejména pokud ostatní důkazy budou svědčit o tom, že ten log je pravý.

To totiž může říct naprosto každý. Těch důkazů musí být více, ne jen nějaké záznamy z jejich systému.

Vlamujete se do otevřených dveří. To už jsme vám tu psal jak já, tak Miroslav Šilhavý, že se důkazy posuzují jako celek. Jsem rád, že to začínáte chápat.

Nikdo totiž nedokáže u výstupu ze serveru říct, jestli jde o uměle vyrobené logy, nebo logy korektní. Není jednoduše způsob, jak to zjistit.. Proto se jedná maximálně tak o důkaz nepřímý.

Zase to vaše černobílé vidění. Samozřejmě, že o logu lze říct, že je s nějakou pravděpodobností uměle vyrobený nebo naopak pravý. To, zda je důkaz přímý nebo nepřímý vůbec nesouvisí s tím, s jakou jistotou víme, zda je důkaz pravý nebo falešný.

Základem je tedy mlčet, zatloukat a nikomu nic neříkat. Říká se tomu presumpce nevinny, důkazní břemeno je na protistraně.

Presumpce neviny není „mlčet, zatloukat a nic neříkat“. Navíc tady se bavíme především o občanskoprávní rovině, kde žádná presumpce neviny neplatí. Stejně tak zde neplatí, že důkazní břemeno je na protistraně.

Ani ta blbá MAC adresa neidentifikuje daný stroj, dá se totiž jednoduše změnit.

Což nic neznamená.

I v případě, že souhlasím s podmínkami služby/software, které jsou mimo zákonné hranice státu kde žiji, je nadevše jasné, že je souhlas neplatný.

Což se nijak nevztahuje k této diskusi.

Celá má teorie vychází z informací z odkazu na diskuzi abclinuxu, kde je psáno:

To je právě ten problém. Přečetl jste si nějakou diskusi, a hned jste získal dojem, že jste odborník na dané téma. Proč tu opakujete argumenty, které už byly v předchozích komentářích vyvráceny?

To prostě není korektní a není to v rámci zákona o ochraně osobních údajů.

Zase jen vaše ničím nepodložené dojmy.

Tato informace mě tolik rozohnila, že jsem měl nutkavou potřebu sem napsat, aby to někdo pořádně rozmázl v médiích, protože takové chování software, už jasně splňuje definici spyware.

Nic nevědět je nejlepší způsob, jak se rozohnit. To, že jste teď vy něco objevil, není důvod to rozmazávat v médiích. Kdybyste si přečetl tu diskusi celou, věděl byste, že lidé, kteří ten program znají, vědí o tom, že je dost agresivní co se týče hlídání dodržování licence. Jestli to je nebo není korektní je jedna věc, ale ty vaše výmysly určitě ničemu nepomůžou.

1871

Hardware / Re:YubiKey, smart card a podobné - základní informace

« kdy: 19. 05. 2020, 13:36:38 »

A jak to zařízení může potvrdit?

Třeba tak, že žádost elektronicky podepíše privátním klíčem patřícím tomu zařízení. A k tomu privátnímu klíči bude výrobcem zařízení vystaven certifikát.

Uniká mi smysl tohoto.

Chápu. To, že vám uniká smysl něčeho, ovšem není směrodatné.

A ten oficír je kdo, jak se pozná? Má hodnost a uniformu ?Ten je určen, jmenován? Nebo podle vědomostí nebo znalostí tajných informací? Nebo musel udělat zkoušky na securiťáka ?

Když vám to moderátor smazal, znamená to, že to do diskuse nepatří. To byste mohl pochopit i vy. Když to sem nepatří, znamená to, že se to tu nemá objevit v žádné podobě – ani přilepené k jinému dotazu, který je těsně nad čarou.

1872

Software / Re:Údajné zneužití licence SW

« kdy: 19. 05. 2020, 13:09:35 »

Ale samozřejmě že není, já si vytisknu na papír:
Filip Jirsák, využil můj SW v hodnotě 10000 USD včera od 20:00 do 22:00.
Půjdu s tím k soudu a co? No, nic, že jo.

Děkuji za důkaz, že dokážete rozlišit evidentně uměle vyrobené logy od těch věrohodně vypadajících. Myslím, že když jste se sám usvědčil z omylu, můžeme tuto debatu považovat za ukončenou.

Nějaké logy v jejich soukromém SW, jsou naprosto to a samé, jako text napsaný na papíru.

Text napsaný na papíru se u soudů jako důkaz používá stovky let.

Za osobní údaje se dá považovat mnoho věcí. Kdybych v tom programu, dělal pro klienta video, kde je vidět jeho RČ, či jakýkoli jiný osobní údaj a někdo mi dělal screeny a ukládal to k sobě, tak je to dobytek, na tom se snad shodneme, že?

Spíš se shodneme na tom, že ukládání obrazovek jste si teď právě vymyslel, v původním příspěvku nic takového nebylo. Takže to vaše „důkazy porušující GDPR“ byl jen váš výmysl. Přesně jak jsem psal.

To co je v licenčním ujednání, je naprosto šumák, pokud to je v rozporu se zákony země, kde k porušení došlo.

Jenže ten rozpor se zákony je jenom ve vaší fantazii.

1873

Software / Re:Údajné zneužití licence SW

« kdy: 19. 05. 2020, 12:18:45 »

Já bych v první řadě, nepovažoval logy či screeny nějaké firmy, za jakýkoli pádný důkaz. Takových "důkazů" si může vyrobit kdo chce, kolik chce.

Důkaz to samozřejmě je. Ajťácké „to si snadno můžu vyrobit“ v reálném světě neplatí – jednak vyrobit to tak, aby to vypadalo věrohodně, není vůbec snadné, ale hlavně v reálném světě se důkazy posuzují společně.

Navíc jsou zde pochybnosti, jestli by takové důkazy, naprosto odporující GDPR vůbec šly použít.

Nepište „jsou zde pochybnosti“, když pochybnosti máte akorát vy. Vy v tom logu vidíte nějaké osobní údaje? O žádných nevíte, že. Takže to s GDPR nijak nesouvisí.

Podívejte, firma X/Y má v software backdoor, který jí umožňuje sledovat vše, co na svém stroji děláte!

To, že ten software umožňuje sledovat vše, co na svém stroji děláte, je ovšem jen vaše ničím nepodložená domněnka. To, že ten software umožňuje sledovat, jak se s ním pracuje, je napsáno v licenčním ujednání (bylo zda citované) – a mezi uživateli se to evidentně všeobecně ví.

1874

Vývoj / Re:Heslo ve skriptu

« kdy: 19. 05. 2020, 11:40:55 »

Preco by mal byt nejaky program rot13 lepsi, ako urobit si to sam pomocou tr

Například proto, že rot13 funguje správně a je to otestované.

1875

Hardware / Re:YubiKey, smart card a podobné - základní informace

« kdy: 19. 05. 2020, 08:08:32 »

V případě Yubikey, smart card apod. platí, že privátní klíč nikdy neopustí dané zařízení (to zařízení ani nepodporuje funkci „dej mi privátní klíč“), veškeré operace (dešifrování, podpis) se provádějí přímo na tom zařízení.

Pokud máte privátní klíč uložený na flash disku, operace s ním provádí počítač a přístup ke klíči má každá aplikace ve vašem počítače, která může číst vaše soubory – včetně třeba webového prohlížeče. Bezpečnost takového klíče tedy závisí na tom, že v počítači nemáte žádný vir; že v žádném používaném programu není chyba, která by umožňovala číst vaše soubory; a také že ten klíč omylem nezpřístupníte aplikaci, které byste neměl (např. soubor s klíčem vyberete ve webovém  prohlížeči a tím klíč zpřístupníte webové stránce).

Můžete argumentovat tím, že flash disk budete připojovat k počítači jenom tehdy, když budete potřebovat něco dešifrovat nebo podepsat. Jenže třeba vir bude zrovna na připojení externího média čekat a jakmile flash disk připojíte, bude se zajímat, co zajímavého s ním může dělat.

To, že privátní klíč nikdy neopustí dané zařízení, má ještě dvě varianty – buď můžete klíč na zařízení nahrát, pak existuje jeho kopie, kterou můžete mít třeba někde v trezoru. Ale ten klíč původně existoval jako soubor, a je jen na vaší odpovědnosti, jak s tím souborem zacházíte – nikdo neví, zda nemáte někde kopii, ke které může mít přístup i někdo jiný. Druhá varianta je, že je ten klíč vygenerován přímo na tom zařízení – tudíž je zaručené, že žádná jeho kopie neexistuje, je pouze v tom jednom zařízení. A tam je docela pečlivě chráněn, takže není možné jej běžnými prostředky získat. (Samozřejmě je to otázka motivace. Někdo se může pokusit to zařízení rozebrat a přečíst klíč přímo z paměti. Proti tomu se zase lepší zařízení chrání tím, že v případě pokusu o rozebrání paměť zničí.)

V případě kvalifikovaných podpisů dle eIDASu (které mají v EU stejnou platnost, jako vlastnoruční podpis), je vyžadován ten režim, kdy je klíč vygenerován přímo na bezpečném zařízení, takže nemůže existovat žádná jeho kopie. Příslušný kvalifikovaný certifikát vám certifikační autorita vydá jedině tehdy, pokud byl privátní klíč vytvořen na zařízení, které má certifikaci, že se takhle chová, a navíc to zařízení musí potvrdit, že privátní klíč byl opravdu vygenerován na něm – že na něj nebyl importován z venku.

Kdybyste totiž podepsal nějaký pro vás nevýhodný dokument klíčem, který máte uložený na flash disku, můžete se později vymlouvat, že jste to nepodepsal vy, že jste klíč neměl uložen bezpečně a možná ho získal nějaký vir a dokument pak podepsal někdo za vás. Samozřejmě je otázka, jak byste s takovou argumentací uspěl u soudu, ale je to komplikace. Proto jsou pro kvalifikované podpisy v rámci EU vyžadována právě ta bezpečná zařízení, u kterých je prakticky jistota, že neexistuje žádná kopie privátního klíče. V ČR ale máme výjimku pro komunikaci se státní správou, které stačí i méně důvěryhodné podpisy – takové, které jsou sice založené na certifikátu od kvalifikované certifikační autority, ale právě privátní klíč nemusí být uložen bezpečně, může být třeba v souboru na flash disku.

Nevýhodou privátního klíče uloženého jenom na takovémhle zařízení je to, že když o to zařízení přijdete nebo se poškodí, přijdete i o ten privátní klíč. U podpisového klíče to zamrzí, budete muset zaplatit vydání nového certifikátu, ale to je vše. Horší je to u dešifrovacího klíče – pokud o něj přijdete, už nikdy se k datům zašifrovaným tím klíčem nedostanete. Teda pokud si nepočkáte, až bude výkon procesorů tak velký, že to půjde rozlousknout hrubou silou. Proto doporučuju používat klíče uložené jen na takovémto bezpečném zařízení pro podpis a pro autentizaci, kde případně jen vyměníte klíč za nový a jedete dál. Ale pro šifrování bych to velmi zvážil – pokud se jedná o data, která budete potřebovat dešifrovat i v budoucnosti, je dobré mít někde bezpečně uloženou zálohu privátního klíče.