Příspěvky

3271

Sítě / Re:HTTPS na privátní adrese

« kdy: 13. 06. 2018, 16:56:37 »

Nejsnazsi se domluvit s temi sitemi a pouzivat verejnou IP z jejich rozsahu.

Když se chce Stilett vyhnout NATu, není asi moc dobrá rada napsat (a ještě ne otevřeně)  „nejsnazší je použít NAT“. Může to tak být, ale pak je asi potřeba napsat „to, co chcete dělat, není z toho a toho důvodu dobrý nápad“.

Navíc úplně stejný problém nastává i tam, kde žádná veřejná IPv4 adresa není – kde je server v lokální síti, který z venku nemá být dostupný a žádnou nadbytečnou veřejnou IPv4 adresu, kterou byste na něj dal, nemáte. Představte si třeba školní síť se serverem, a od ISP dostane ta škola v lepším případě jednu dynamickou veřejnou IPv4 adresu pro vnější rozhraní routeru, v horším případě se bude dělat NAT až u ISP.

3272

Vývoj / Re:Docker image pro Spring + Tomcat + PostgreSQL

« kdy: 13. 06. 2018, 16:48:59 »

Problem asi bude v tom, ze JRE nie je aplikacia, ale runtime s virtualizovanou spravou pamate, vlakien, IO atd.

Což je aplikace. Z pohledu operačního systému se běžící JVM nijak neliší od vimu, LibreOffice nebo Apache.

Este ked ten vas linuxovy docker image pofici na windowse tak bude super.

Pofičí, jmenuje se to Docker for Windows.

Viete, to Spring Boot monoliticke jarko vam pojde aj na Windowse aj na Linuxe, staci ked ho nezabalite do docker image pre Linux...

Pojede na Windows, kde není nainstalované JRE? To bych chtěl vidět. Nebo když budu mít to monolitické JARko přeložené pro Javu 9 a na cílovém systému bude jen Java 8.

Neviem o tom, ze by ste nemohli mat trebars 6 roznych JRE od 3 roznych vendorov vedla seba na jednom OS. Vy ano?

A pak musíte vždy při spuštění uvádět přesnou cestu k JRE, hlídat, aby vám příslušné JRE neodinstalovala aktualizace, a pokud příslušná aplikace sama spouští JRE (třeba Maven), musíte ještě přímo té aplikaci nastavit, které přesně JRE má spustit… Jistě že to jde, ale je to komplikované. Docker slouží právě k tomu, že máte prostředí zafixované (takže nemusíte zkoumat, zda je tam správná verze toho a toho), a že je to prostředí izolované (takže vás nemusí zajímat, co potřebují jiné aplikace, protože to neovlivní vaše prostředí).

Mozete mat 6 docker verzii vedla seba?

Mít 6 verzí Dockeru vedle sebe nedává moc smysl. Ale spustit pod jedním Dockerem 6 verzí jedné aplikace, nebo klidně 6 instancí jedné verze aplikace, to smysl dává, a je to jeden z důvodů, proč se Docker používá.

A take ze Windowsovy docker na Linuxe?

Proč takovou hloupost, když mám na Linuxu linuxový Docker?

To este pojde bez paravirtualizacie alebo full HW virtualizacie?

Nepůjde. Docker s virtualizací nijak nesouvisí, Docker jsou kontejnery. Tak abyste si k tomu Spring Bootu ještě nastudoval, co je Docker…

3273

Sítě / Re:HTTPS na privátní adrese

« kdy: 13. 06. 2018, 16:18:42 »

To podle mě není dobré řešení. Přebíjet DNS odpovědi je "nebezpečné"

Vaše řešení asi dobré nebude. V mém řešení se ale žádné přebíjení DNS odpovědí nevyskytuje.

Daleko lepší je dotaz na routeru, i za cenu více router-cyklů přechroustat SNATEM i DNATEM

To, že se musí vedle DNATu udělat ještě SNAT, je na tom celém to nejmenší. Podstatné je to, že tu komunikaci nuceně ženete přes router, přestože by mohla jít přímo. Když budete chtít mezi klientem a serverem přenášet větší objem dat, je dost podstatný rozdíl, zda budete ze serveru na klienta přímo přes switch stahovat třeba 800 Mbit/s, nebo jestli to poženete přes router, který tím pádem bude potřebovat odbavit 1,6 Gbit/s a ještě to bude prohánět NATem.

Vzhledem k tomu, že Stillet píše o omezení zátěže NATu, je ta vaše rada přesně to, čemu se chce vyhnout.

3274

Sítě / Re:HTTPS na privátní adrese

« kdy: 13. 06. 2018, 15:22:18 »

Ano, IP adresy z privátních rozsahů by se ve veřejném DNS neměly objevovat, tvrdí RFC. Správné řešení je používat IPv6, kde je dost veřejných IP adres. Ostatní řešení jsou špatná – a z těch špatných je to nejméně špatné používat veřejné domény směřující na privátní IPv4 adresy.

Je to tedy pitomé chování toho routeru a řešením je uživatelům to vysvětlit a přesvědčit je, aby si ten router přenastavili (uživatelé OpenWRT to snad budou umět). Když nás takových bude víc, třeba autoři OpenWRT pochopí, že není ani rok 1998 ani 2038 a že je potřeba se s veřejnými doménami směřujícími na privátní IPv4 adresy smířit.

Další možnosti jsou používat vlastní certifikační autoritu nebo self-signed certifikáty, nebo HTTPS nepoužívat vůbec – všechno nesrovnatelně horší možnosti oproti privátním IPv4 adresám ve veřejném DNS, které jsou pouze kosmetickým problémem (DNS rebind je pouze zástěrka – pokud nějaký server zveřejňuje něco, co veřejné být nemá, je to bezpečnostní problém bez ohledu na to, jestli ten server má nebo nemá jméno).

3275

Vývoj / Re:Docker image pro Spring + Tomcat + PostgreSQL

« kdy: 13. 06. 2018, 13:32:51 »

Radsej si precitajte, co ten Spring Boot vlastne robi.

Doporučil bych vám to samé… Spring Boot usnadňuje konfiguraci Spring frameworku a ostatních springovských komponent. To je vše. Tvrdit, že je to Docker pro Javu, je totálně mimo.

Docker pro Javu má úplně stejný význam, jako Docker pro jakoukoli jinou aplikaci. Máte prostě jasně definované prostředí, bez ohledu na systém okolo. Když máte aplikaci otestovanou se standardním Java 9 JRE od Oraclu, vytvoříte si image, kde je tohle prostředí, a nemusí vás zajímat, že se to bude spouštět na počítači, kde není vůbec žádná Java, nebo je tam OpenJDK 7 s knihovnami nainstalovanými v lib/ext, protože to tak potřebuje nějaká jiná aplikace, která tam běží.

3276

Software / Re:App na čtení a ukládání textu z QR kodů do tabulky (excel, txt,..)

« kdy: 12. 06. 2018, 21:40:28 »

Barcode Scanner+ od jednoho z autorů knihovny ZXing umí dávkové skenování, kdy jednotlivé přečtené kódy ukládá jako řádky do souboru pod sebe a umí to vyexportovat jako textový soubor. Ale je to bez časových značek.

3277

Odkladiště / Re:Veřejné telefonní číslo

« kdy: 11. 06. 2018, 22:51:23 »

Chcete tedy řešení, kdy někdo pošle SMS na české telefonní číslo, a vy si tuto SMS přečtete přes nějaké API, aniž byste musel řešit hardware (modem do nějakého zařízení)? To umí každá druhá SMS brána, ne? ATS Praha, Mobilem.cz, SMS Manager, SMS operátor…

3278

Odkladiště / Re:kvalifikovaný elektronický podpis -lze nekde (nejak) levneji

« kdy: 10. 06. 2018, 19:52:53 »

Ano proto se to prave v nekterych zemich dava do obcanky nebo pri jejim vystaveni, protoze kdyz si jdete vyzvednout obcanku tak je logicke ze si vas stat musi overit ze ji predava spravnemu obcanovi. Ale tu v cechach se snazime vytriskat penize i tam kde je to vlastne nesmysl, ba dokonce kontraproduktivni.

Komerční certifikační autority opravdu nejsou český vynález. A opravdu pochybuju o tom, že je státní certifikační autorita levnější, než autority komerční.

3279

Odkladiště / Re:Lze získat kvalifikovaný elektronický podpis levněji?

« kdy: 10. 06. 2018, 19:50:49 »

kdyz to slovensko estonsko umi zadarmo nepovazuji muj pozadavek za premrsteny, jde o princip

Oni to ale neumí zadarmo, platí to z daní.

O jaký princip jde? Že vám stát má něco platit? Já tady nevidím žádný důvod, proč by to měl stát platit – je možné to nabízet jako komerční službu, poskytovatelé si v tom můžou konkurovat, pořídí si ji jenom ten, kdo o to má zájem. To mi připadá jako ideální podmínky pro to poskytovat to komerčně a netahat do toho stát.

ostatne ted od 1.7.2018 uz se budou vydavat zdarma nove eOP ktere uz umozni komunikaci se statni spravou ... staci jednorazove koupit ctecku, eOP je na 10 let

Pokud budete chtít něco elektronicky podepsat, pořád si budete muset na tu občanku pořídit od nějaké certifikační autority kvalifikovaný certifikát. Ta občanka samotná bude sloužit jen jako identifikátor, takže se s ní jen přihlásíte do systémů, které to budou podporovat. A to bude od 1. 7. 2018 možná nějaký jeden pilotní systém, na kterém se to bude testovat.

3280

Odkladiště / Re:kvalifikovaný elektronický podpis -lze nekde (nejak) levneji

« kdy: 10. 06. 2018, 11:38:48 »

Všechny aplikace nebudou připravené nikdy, protože většina aplikací nepotřebuje nic podepisovat. A ty, které to potřebují, umí většinou spolupracovat s operačním systémem, takže USB tokeny podporují.

Postup vydání certifikátu je na jednu stránku – vizte třeba Získání Twins certifikátu.

3281

Odkladiště / Re:kvalifikovaný elektronický podpis -lze nekde (nejak) levneji

« kdy: 10. 06. 2018, 10:46:31 »

no mne zajima kdyz certifikat nahraji do te eOP (musim ho nejdriv privatne na sve naklady koupit?) jak to fyzicky vypada - to je nejaka usb fleska (nebo kontaktni ci bezkontaktni cipova karta) kterou jak pripojim k PC ? taky se mi nelibi ukladat si klice na PC radeji bych byl kdyby bylo vse ulozeno jen na te klicence a ja to pri podpisu jen sparoval a podapsal (bezpecnost klicu na pc resp. odcizeni laptopu apod.)

Elektronický občanský průkaz je klasická čipová karta s kontaktním čipem – podobně jako třeba platební karty s čipem. Musíte k němu mít ještě čtečku čipových karet. Certifikační autority mají podobná řešení, akorát to někdy není čtečka + čipová karta ale jen USB token (vypadá jako USB flash).

Generování vypadá tak, že se vygeneruje klíčová dvojice (privátní a veřejný klíč) přímo na USB tokenu nebo čipové kartě (případně eOP), k veřejnému klíči pak certifikační autorita připojí svůj certifikát a ten se nahraje zpět do USB tokenu nebo čipové karty. Privátní klíč tedy nikdy neopustí bezpečné úložiště v tokenu/kartě, a jednoduchými prostředky jej ani nejde dostat ven. V rámci EU se uznávají jen podpisy vytvořené tímto způsobem (tj. na zařízení, z nějž nelze privátní klíč získat), ČR má výjimku, že tady stát uznává i podpisy vytvořené na základě privátního klíče uloženého v počítači.

Třeba I.CA má různé balíčky – buď vám vydají jen kvalifikovaný certifikát (nebo za stejnou cenu kvalifikovaný i komerční, máte pak tedy kvalifikovaný certifikát pro uznávaný podpis a komerční certifikát pro šifrování a přihlašování, třeba do datových schránek). Nebo si můžete koupit certifikát i s čipovou kartou, případně certifikát s čipovou kartou a čtečkou čipových karet, a pak mají speciálně pro elektronické občanky balíček certifikát plus čtečka čipových karet (protože od státu „dostanete“ jen tu čipovou kartu, bez čtečky).

E-maily umí podepisovat Outlook, Thunderbird i jiní klienti. Problém je s webovými klienty, tam je k tomu potřeba nějaký doplněk do prohlížeče. „Velký“ Acrobat umí podepsat PDF, Adobe Reader to dříve neuměl, mám pocit, že poslední verze Readeru už elektronický podpis umí, ale ruku do ohně bych za to nedal. Já pro podepisování PDF používám JSignPDF. Exportované PDF umí myslím elektronicky podepsat i OpenOffice/LibreOffice a myslím že i MS Office.

3282

Odkladiště / Re:kvalifikovaný elektronický podpis -lze nekde (nejak) levneji

« kdy: 10. 06. 2018, 10:05:19 »

Žádný elektronický podpis nekupujete, kupujete kvalifikovaný certifikát pro vytváření elektronických podpisů. Pokud ho chcete na čipové kartě, je lepší použít to, co nabízejí příslušné certifikační autority – české občanky na to ještě nejsou moc připravené. Certifikát pro elektronický podpis byste používal tak, že byste jím prostě v aplikaci, která elektronický podpis umožňuje, něco podepsal – nejčastěji se takto podepisují e-maily nebo PDF dokumenty.

3283

Odkladiště / Re:kvalifikovaný elektronický podpis -lze nekde (nejak) levneji

« kdy: 10. 06. 2018, 09:46:28 »

Z principu veci je platba za epodpis pri komunikaci se statem spatne. Slovensko, Estonsko tam dostavate certifikaty k obcankam a neplati se za to nic navic. Jako uprimne nechapu za co tu chteji many, i muj mobil by za hodinu vygeneroval certifikaty pro kazdeho obcana v cr.

Za e-podpis při komunikaci se státem ani při jiné komunikaci neplatíte nic, podpis si vytváříte sám. Neplatí se za vytvoření certifikátu, ale za ověření osoby a za bezpečnost. Váš mobil by certifikáty vygeneroval, ale byly by úplně k ničemu, protože by tam chyběla podstata důvěryhodných certifikátů – ověření, že držitel privátního klíče je ten, kdo tvrdí, že je.

3284

Odkladiště / Re:kvalifikovaný elektronický podpis -lze nekde (nejak) levneji

« kdy: 10. 06. 2018, 09:43:21 »

mne jenom zajimalo jestli to nekde v EU neumeji levneji, use case by byl asi hodne malo pouzivany podpis (tak jednou do roka), proto bych si pral cenu konvertujici k nule

Výrazně levněji asi těžko, protože náklady jsou pořád stejné – technika, zabezpečení, lidé, akreditace. Navíc mi není jasné, jak byste se na nějaké registrační místo mimo ČR dopravil za výrazně méně než 400 Kč.

3285

Odkladiště / Re:kvalifikovaný elektronický podpis -lze nekde (nejak) levneji

« kdy: 09. 06. 2018, 19:46:49 »

České autority jsou momentálně tři: I. CA, PostSignum a e-Identity. Nebo teoreticky kterákoli kvalifikovaná autorita v EU, ale to by bylo komplikované.