Příspěvky

2596

Vývoj / Re:Zpracovani XLSX v PHP/Java

« kdy: 12. 04. 2019, 00:14:58 »

Teorie je to hezká, ale dělal jste to někdy? Tohle právě (a další věci) řeší ty knihovny...

Ano, dělal. Ty knihovny se z toho souboru snaží dělat objektový model, který je podobný objektovému modelu skutečného Excelu. Někdy je to zbytečný kanón na vrabce, protože se nepotřebujete zabývat všemi detaily dokumentu, pouze chcete data transformovat do jiného formátu nebo struktury.

2597

Vývoj / Re:Zpracovani XLSX v PHP/Java

« kdy: 11. 04. 2019, 21:56:53 »

Záleží, jak ten soubor chcete zpracovávat. Pokud jenom potřebujete vytáhnout data, XLSX je jenom XML soubor zabalený s další bižuterií do ZIPu a ten ZIP má příponu XLSX. Takže stačí rozzipovat, vytáhnout to XML, ve kterém jsou data, a to můžete XSLT transformací převést do struktury, jaká vám vyhovuje. Trochu to může zkomplikovat fakt, že texty mohou být uloženy mimo ten hlavní datový soubor v souboru sdílených textů, ale to se dnes dá v XSLT snadno vyřešit.

2598

Sítě / Re:Bezpečný přístup na veřejnou IP přes SSH

« kdy: 11. 04. 2019, 08:22:56 »

Preco sa hned v prvej vete branis vpn (napr. openvpn) pre znaleho je to nastavovanie na par minut.

Já jsem to pochopil tak, že se aigor.net nebrání VPN, ale že se ptá, zda to jde i bez VPN udělat přiměřeně bezpečné. Nakonfigurovat VPN na serveru je jednoduché, ale nemusí to být stejně jednoduché na všech klientech a v některých sítích může být problém protlačit VPN provoz – u SSH je přeci jen o něco pravděpodobnější, že projde, zvlášť když to chce mít na portu 443.

Neznám VPN klienty pro Android – je tam možnost do VPN tunelu směrovat jen určitý rozsah IP adres nebo jednu IP adresu?

2599

Sítě / Re:Bezpečný přístup na veřejnou IP přes SSH

« kdy: 11. 04. 2019, 08:14:41 »

je to druha moznost, a lepsi s pouzitim 20mistneho Velke/male/cisla/znaky passphrase, nez mit ruzne klice s bez passphrase nebo s "Filip" ;-)

Takže to není druhá možnost, ale třetí možnost – druhá možnost je ten váš vynález s žádným nebo slabým heslem. Jenže vy jste se tvářil, že to porovnáváte s tou první možností, tedy klíč chráněný silným heslem. Takže se znovu ptám – v čem je lepší vaše varianta „jeden klíč se silným heslem všude“ oproti variantě „unikátní klíč se silným heslem pro každého klienta“?

Taky by mne zajímalo, kolik těch dvacetiznakových hesel si pamatujete. Pokud si to heslo nepamatujete a používáte správce hesel, je to zase další prostor pro útok, který jste zapomněl zmínit.

jak sem psal, prolomeni takove dukladne passphrase vyzaduje miliony superpocitacu s sanci v radu let, nebo tvuj domaci pocitac za ~trilion let ;-)

To ovšem vycházíte z předpokladu, že se nenajde žádná chyba ani v algoritmu ani v programu a že nedojde k žádné neočekávané změně v používané technice. Což klidně za půl roku platit nemusí. Je zbytečné zvyšovat zabezpečení z milionu let na bilion, protože je velmi nepravděpodobné, že by zrovna tahle změna zastavila nějaký útok. Mnohem účinnější je přidat jinou vrstvu zabezpečení, která funguje na úplně jiném principu a nebude dotčena průlomem v té první vrstvě.

Z tohoto důvodu třeba může dávat smysl port-knocking, protože i kdyby někdo zjistil, jak rozlousknout heslo ke klíči za vteřinu na kapesní kalkulačce, port-knocking by byla druhá vrstva, která by tímhle zůstala nedotčená a server by ochránila. (Což neznamená, že bych port-knocking osobně doporučoval – riziko, že pomocí port-knockingu vyrobím nějakou jinou bezpečnostní díru nebo že nebude fungovat považuji za mnohem větší, než že někdo bude umět louskat hesla ke klíčům lusknutím prstu.)

Druhou takovou vrstvou k tomu louskání hesel od klíčů je mít kontrolu nad tím, kde se ten zaheslovaný klíč nachází. Když totiž útočník nemá ani ten zaheslovaný klíč, nepomůže mu, že by ho uměl rozlousknout během pár vteřin. A když už mám kontrolu nad tím, kde všude ten klíč je, je jednoduché mít na každém klientovi jiný klíč.

2600

Sítě / Re:Bezpečný přístup na veřejnou IP přes SSH

« kdy: 10. 04. 2019, 16:33:53 »

nerozporoval sem vyhodnost oddelenych klicu pro zarizeni, pouze zminil druhou moznost mit klic stejnej ale zabezpecenej passphrase (a ano logicky, silnou)...

Možnost to je. Ale má ta možnost nějaké výhody?

puvodne si psal ze pri ztrate tabletu clovek nemusi rychle resit vymeny klicu, ted pises (kdyz sem upozornil na moznost silne passphrase ktere potrebuje miliony superpocitacu k rozlousknuti v radu let) ze za pul roku muze byt nalezena dira...
jinak "tve" reseni ma take mouchu, kdyz mi ukradnou tablet a nebudu mit u sebe NB, nebo nekoho na telefonu, tak nemuzu na serveru zrusit ten ukradenej klic a s tvojim snadnym heslem mi ho nekdo rozlouskne driv nez se k NB dostanu

Asi jste můj příspěvek nečetl úplně pozorně. Psal jsem o tom, že heslo by mělo být takové, aby ho útočník reálně zkoušel několik let. Počítám samozřejmě s nějakou rezervou, výkon se neustále zvyšuje, odhodlaný útočník si může pronajmout nějaký botnet s grafickými kartami nebo si to zaplatí v cloudu, takže počítám s teoretickou odolností toho hesla v řádu měsíců. Pokud se nenajde žádná chyba v implementaci. Takže mám několik měsíců na to dostat se k tomu notebooku – to mi připadá jako dostatečný čas. Ale zase pokud by k té ztrátě/krádeži skutečně došlo, nebudu tu rezervu několika měsíců využívat do poslední minuty (navíc se pohybuju v řádech, takže nedává smysl „řádově měsíce“ převádět na minuty), ale budu se snažit ten klíč (a třeba spárování s Google účtem a další) řešit bez zbytečného odkladu, v řádu hodin nebo maximálně jednotek dní. Tím opět získávám smysluplnou bezpečnostní rezervu.

Podstatné je to, že ochranu heslem (sebesilnějším), na kterou může útočník útočit off-line, nechápu jako absolutní ochranu „navždy“, je to časově omezená ochrana. A na takovou ochranu mám nějaké minimální požadavky, ale pokud je splní, už mne nezajímá, že za současné situace je ta ochrana  přemrštěná a teoreticky bych se tedy na ní mohl dívat jako na neomezenou. Prostě je omezená a v případě úniku ten klíč zneplatním. Stejně jako bych zneplatnil certifikát k privátnímu klíči uloženému na čipové kartě, kdybych tu kartu ztratil – bez ohledu na to, že přístup k privátnímu klíči je chráněn PINem a po třech neúspěšných pokusech se přístup zablokuje. Jde o to, že pokud chcete něco mít bezpečné, musíte mezi tím, co je teoreticky bezpečné, a tím, co reálně používáte, mít odstup v dostatečných řádech, ne v jednotkách. Protože až příliš často dochází k tomu, že se někomu podaří prolomit přes několik řádů.

2601

Sítě / Re:Bezpečný přístup na veřejnou IP přes SSH

« kdy: 10. 04. 2019, 07:32:48 »

to je teorie, v praxi, kdyz pouzijes 20mistne passhrase s kombinaci male/velka pismena, cisla a specialni znaky, tak si zpocitej kolik milionu superpocitacu bys potreboval na rozlousknuti v radu let ;-)

Já bych takové heslo v praxi na tabletu zadávat nechtěl. Nehledě na to, že bych příslušný klíč stejně v případě ztráty tabletu zablokoval, protože nechci myslet na to, že pokud by se třeba za půl roku našla díra ve způsobu, jak se s tím heslem nakládá, budu muset klíče vyměnit. Navíc nějak nevidím důvod, proč bych se měl bránit použití více klíčů – znamená to přidat jeden řádek do souboru s povolenými klíči.

2602

Sítě / Re:Bezpečný přístup na veřejnou IP přes SSH

« kdy: 08. 04. 2019, 18:52:06 »

nebo stejnej klic s passphrase,  na tabletu (predpokladam Android) pouzivat ConnectBot v kterem pred pripojenim odemkne klic a po zavreni ConnectBoot je passhrase zapomenuta...

Nikoli. Louskání hesla ke klíči může útočník dělat off-line, tedy může zkoušet hesla jak rychle chce a na jakém množství zařízení chce (resp. zaplatí). Heslo ke klíči tedy neslouží jako absolutní zabezpečení (typu „když mi ten tablet ukradnou, klidně ten klíč budu používat ještě za dva roky“), ale jenom vám dává čas příslušný klíč zablokovat. Rozumné heslo vám samozřejmě neposkytne pár sekund nebo minut, mělo by i odhodlaného útočníka zbrzdit minimálně na měsíce – bavíme se o bezpečnosti, takže je potřeba mít rezervu v řádech. I tak je lepší používat na každém klientovi jiný klíč, protože až k té ztrátě zařízení s klíčem dojde, nemusíte ve stresu všude vyměňovat klíče, ale prostě ten jeden klíč zablokujete (což samozřejmě předpokládá, že ty klíče máte pořádně označené a na serveru ten klíč snadno najdete). Postupy pro krizové situace by měly být co nejjednodušší – když vám někde ukradnou tablet, určitě budete řešit spoustu jiných věcí, než abyste se zabavoval generováním nových klíčů.

Ze začátku jsem se jakoby snažil mít zakazanyho roota a řešit všechno přes sudo, ale to je strašná ztráta času.

Chápu, že se někde sudo používá pro potřeby auditu kdo co dělal, i když mi to připadá trochu zvláštní postup. Ale pokud je někde sudo nakonfigurované tak, že se dá spustit shell pod rootem, a má to sloužit k většímu zabezpečení, je to podle mne kontraproduktivní. Víc bych se bál chybné konfigurace sudo nebo chyby v sudo než toho, že někdo něco omylem spustí pod rootem a tím napáchá škody. sudo bych dál používal k tomu, k čemu bylo původně určeno – tedy ke spuštění vybraných aplikací s vyššími oprávněními. Pokud to daná aplikace ještě vyžaduje a nedá se to řešit např. přes capabilities.

2603

Sítě / Re:Bezpečný přístup na veřejnou IP přes SSH

« kdy: 08. 04. 2019, 13:44:27 »

Jak píšou ostatní, SSH nechat na standardním portu (někde blokují odchozí provoz podle portů, SSH tam obvykle potřebují pro sebe, takže se pak i z takové sítě dostanete na svůj server). Povolil bych přihlášení jenom klíčem, hádači hesel pak mají smůlu a podle mne je to i pohodlnější. Pokud byste přeci jen chtěl povolit přihlašování heslem, vyjmenujte uživatele, pro které to povolíte a u kterých si budete jistý, že mají dostatečně silné heslo. Ohlídejte si, ať máte aktuální verzi jádra a OpenSSH, abyste tam nepovolil nějaké staré protokoly nebo algoritmy, a ať na té veřejné IP adrese neposlouchají jiné programy, než to OpenSSH (a to ani po restartu – ať se vám programy pro naslouchání nepřipojují na 0.0.0.0). Klíče doporučuji použít různé pro každého klienta – když vám někdo ukradne tablet, pohodlně se na server přihlásíte z desktopu a tabletový klíč deaktivujete a nemusíte hned řešit jeho výměnu i na desktopu.

Pokud máte na těch stanicích s Windows uživatele, kteří klikají na kde co, jsou řádově větším rizikem pro firemní data, než ten OpenSSH server. U toho serveru hrozí to, že něco špatně nakonfigurujete, krádež přístupového klíče (dá se posílit zabezpečením klíče heslem – po dobu, co útočník louská heslo, máte čas na deaktivaci klíče) a zero-day v softwaru – to všechno jsou řádově menší rizika, než málo obezřetní uživatelé.

2604

Odkladiště / Re:Minimální interval mezi změnami hesla

« kdy: 29. 03. 2019, 19:04:07 »

Tak systém, který při změně hesla neresetuje všechny sessions daného uživatele bych nepovažoval za bezpečný.

Ono nic jako session uživatele nemusí existovat. A i když existuje, autentizační systém nemusí být ten samý, jako systém poskytující služby – je to běžné ve webovém prostředí (weby i webové služby), třeba u OAuth nebo OpenID. Autentizační systém tedy vůbec nemusí vědět, jaké kde existují session. Třeba kdybych si teď na MojeID změnil heslo, nemá MojeID žádnou možnost, jak zjistit, že jsem zrovna přihlášený na diskusním fóru na Rootu, natož aby mne dokázalo odhlásit.

2605

Vývoj / Re:práce s JSON objekty v AJAX Success

« kdy: 28. 03. 2019, 17:20:03 »

lepsi pouzivat Fetch API. Uz je podporovane ve vsech prohlizecich.

I Fetch API pomocí response.json() vrátí rozparsovaný objekt.

2606

Vývoj / Re:práce s JSON objekty v AJAX Success

« kdy: 28. 03. 2019, 13:10:30 »

Pokud je to jQuery a použijete getJSON(), dataType=json nebo server posílá správný mime-type souboru, jQuery odpověď parsuje za vás a dá vám už hotový objekt.

2607

Vývoj / Re:práce s JSON objekty v AJAX Success

« kdy: 28. 03. 2019, 12:18:55 »

Jediné rozumné řešení je ten JSON parsovat. Předpokládám, že jste v prohlížeči, takže stačí zavolat JSON.parse(json) – takže o nějakém řešení pomocí regexpů nebo vyhledávání ani nemá smysl uvažovat.

Druhá věc je – opravdu to píšete v čistém JavaScriptu, nepoužíváte tam žádnou knihovnu, třeba jen pro ta AJAXová volání? Snad každá knihovna ten jeden řádek pro parsování JSONu zavolá za vás.

2608

Odkladiště / Re:Minimální interval mezi změnami hesla

« kdy: 27. 03. 2019, 16:11:11 »

Profesor pri prednasce omylem napsal heslo do fieldu pro username. Videlo to 120 lidi v sale na platne. Tak si ho zkousel zmenit, ale nemohl, protoze si ho zmenil tesne pred prednaskou...

Ještě by to chtělo, aby toho někdo opravdu zneužil, a aby za to zneužití byl potrestán „bezpečnostní expert“, který tohle pravidlo v dané instituci zavedl.

Jinak ten sleep uz by byl nepohodlny.... pri 12 ti heslech by se dostal zpet ke svemu puvodnimu za nejakych 6 - 7 hodin...
A v mezicase by se musel vzdycky divat do toho scriptu jake ma aktualne heslo.
To uz je asi dostatecny opruz aby uzivatel radsi pouzival ruzna hesla...

Jen pokud by se potřeboval opakovaně přihlašovat. Často ale stačí se někam přihlásit jednou a pak můžete pracovat třeba celý den bez potřeby zadávat heslo znova. A do některých systémů se přihlašujete třeba jednou za několik týdnů nebo i měsíců – takže 7 hodin změny hesla vás opravdu netrápí.

Pořád jde o to, že ne každé opatření, které je otravné pro uživatele, zvyšuje bezpečnost. Ve skutečnosti je to přesně naopak, jak je napsáno v článku – i kdyby nějaké opatření mělo pozitivní vliv na bezpečnost, pokud bude pro uživatele otravné, bude se ho snažit obejít a povede se mu to, čímž se bezpečnost nakonec sníží.

2609

Vývoj / Re:Několik nejasností začátečníka s Gitem

« kdy: 27. 03. 2019, 15:56:49 »

Pokud s gitem začínáte, submodulům bych se raději vyhnul. Nepoužívá se to zas tak často, takže k tomu není moc dokumentace a praktických příkladů, nemusí to podporovat všechny nástroje. Používá se to hlavně tehdy, když už máte nějakou infrastrukturu a postupy nějak nastavené, chcete v tom začít používat Git (beze změny té infrastruktury a postupů), a zároveň je projekt tak velký, že by bylo problematické mít ho celý jako jeden projekt. Myslím, že to používá např. Microsoft pro zdrojáky Windows. Pokud s gitem začínáte, udělejte si samostatné repository na každý projekt – ušetříte si tím spoustu starostí.

2610

Odkladiště / Re:Minimální interval mezi změnami hesla

« kdy: 27. 03. 2019, 14:57:32 »

Podle me jde jen o to, aby si ho nemohl zmenit na to puvodni.
Nekde jde zmena hesla naskriptovat a potom by bylo jednoduche spustit tu zmenu ve smycce 12x.

OK. Ne že bych to považoval za odůvodněné – kdyby někdo věnoval energii tomu, že si napíše skript, aby se dostal zpět na původní heslo, klidně do toho skriptu přidá i sleep(2000) – ale asi takhle někdo mohl uvažovat. Ale líbí se mi, jak tohle pravidlo jde už vyloženě proti bezpečnosti – když uživatel zjistí, že mu během změny hesla někdo stál za zády a heslo odkoukal, tak má prostě smůlu, to heslo půl hodiny nezmění, a „útočník“ si může s heslem dělat, co chce.