Příspěvky

3511

Server / Re:Nefunguje ssl proxy

« kdy: 09. 04. 2018, 21:56:39 »

Nepomůže ti SRV záznam v DNS?

Nepomůže, protože prohlížeče SRV záznamy nepoužívají.

3512

Server / Re:Nefunguje ssl proxy

« kdy: 09. 04. 2018, 17:30:34 »

Filipe to ale není problém dvou odkazů. Jde o to, že některé php aplikace jsou tak prasácky napsaný, že si ten port neudrží.

A vědí o tom, že běží na jiném portu?

Jinak pokud je problém na straně serveru, nevymýšlel bych rovnáky na vohejbáky v prohlížeči. Dejte před ten server reverzní proxy na standardní porty, třeba nginx, a v něm přeposílejte komunikaci na ty nestandardní porty. Máte tam i ngx_http_sub_module, kterým můžete odkazy nahrazovat dle libosti. Apache má podobný mod_proxy_html.

3513

Server / Re:Nefunguje ssl proxy

« kdy: 09. 04. 2018, 16:41:06 »

Přesně tohle chci, vyhradit celý prohlížeč pouze na jedinou IP adresu s portem 881 a 4431.

Jak jsem psal, dejte si to do záložek. Odkaz si můžete dát i na úvodní obrazovku a bude se vám nabízet při psaní do adresního řádku. Pokud mermomocí chcete změnit ty výchozí porty, nezbyde vám, než si to upravit ve zdrojácích prohlížeče a zkompilovat si ho.

3514

Server / Re:Nefunguje ssl proxy

« kdy: 09. 04. 2018, 16:26:10 »

Abych ale nemusel pokaždé zadávat čísla portů, nastavil jsem v prohlížeči proxy něco jako

Kód: [Vybrat]

HTTP proxy        -IP SERVERU-      PORT:881  
SSL proxy         -IP SERVERU-      PORT:4431

a pak zadám do prohlížeče http://example.com tak se data taky načtou
ale pokud zadám https://example.com tak dostanu chybu "Chyba zabezpečeného spojení".

To jste ale nastavil úplný nesmysl. Když teď do prohlížeče zadáte http://cokoli, půjde požadavek vždy na ten náš server na portu 881. Proxy server dělá úplně něco jiného, než si myslíte.

Dejte si ty dvě adresy v prohlížeči do záložek (oblíbených), a máte po problému.

3515

Odkladiště / Re:Je situace ohledně bezpečnosti Androidu opravdu tak bizarní?

« kdy: 08. 04. 2018, 13:07:21 »

Nemá smysl porovnávat dobu dodávání bezpečnostních aktualizací, když zároveň neporovnáte dobu životnosti zařízení, kde se ten systém používá.

3516

Odkladiště / Re:Bezpernost Androidu, cloudu obecně a jak se bránit

« kdy: 08. 04. 2018, 13:03:43 »

budu mít všechna svoje data někde na Google Drive, ten budu mít synchronizovaný s PC a taky s Androidem

Z téhle trojice je zdaleka nejnebezpečnější to PC s Windows. Takže pokud vám do teď nevadilo mít tam data, nemělo by vám to vadit ani když přidáte bezpečnější způsoby uložení.

Pravidla, jak se bránit, jsou pořád stejná – používat aktuální software, nespouštět každý nesmysl, na který narazíte na internetu, používat bezpečné přihlašovací údaje, ke každé službě jiné heslo. Tam, kde to jde (třeba Google to umí) používat dvoufaktorovou autentizaci.

3517

Server / Re:Nemůžu spustit ukázkovou konfiguraci pro Nginx

« kdy: 07. 04. 2018, 21:21:52 »

nginx má na webu dokumentaci. U každé direktivy je zdokumentováno, ve které části konfigurace se dá použít. Je zbytečné zkoušet to metodou pokusu a omylu.

3518

Vývoj / Re:Gitflow a údržba několika starších verzí (backports)

« kdy: 06. 04. 2018, 09:18:59 »

Zial myslel som si, ze zrejme nic ine neostava. Stale som dufal, ze sa to da nejako elegantne riesit - aspom rozdelenim jedneho pull-requestu do viacerych branchov - viem, ze je to proti logike. Ale slo mi hlavne o to, aby tam nebola taka komplikovana rezia - ale to bude asi dan sa code review a pull requesty.

Přesně tak, ta režie je „daň“ za to, že chcete mít kvalitní kód. Ty backporty samozřejmě můžete do starších branchů nacpat bez code review a bez pull requestů – se všemi důsledky z toho plynoucími. Ale pokud chcete dělat code review, i když je to třeba aplikace stejného patche do tří větví, pořád jsou to tři různé změny, proto je potřeba to třikrát zkontrolovat. Protože ta změna není jen v samotných úpravách zdrojového kódu – jestli ten kód půjde přeložit vám ostatně zkontroluje kompilátor. Ta změna může mít vliv i na logiku programu, což by se mělo při code review také kontrolovat – a tam stejný patch může být pro jeden branch správně, ale pro jiný branch špatně.

Takže ten, kdo tu změnu backportuje, by se měl zamyslet nad tím, zda je možné ji opravdu v nezměněné podobě provést, a při code review by to pak měl někdo zkontrolovat. To samozřejmě žádný automatický nástroj neudělá. Ve srovnání s tou kontrolou, zda je opravdu možné použít záplatu beze změny, je pak samotná režie spojená s tím pull requestem zanedbatelná.

3519

Sítě / Re:Zneužití otevřeného rekurzivního DNS

« kdy: 30. 03. 2018, 19:51:22 »

diky ondro (cs, alebo cz a neni to jedno )
Ak by chcel teda utocnik zautocit na root.cz, tak na moj resolver posle udp paket kde je v hlavicke sfalsovana IP adresa (na ktorej sedi root.cz) a moj resolver (pokial to nema v cache (tak by to postupne cez korenove dns do cache dostal)) by neustale posielal udp pakety na root.cz az zahlti linku (samozrejme moj resolver je maly a linku mam pomalu, takze takych resolverov by sa muselo pouzit viac).
Moze byt ?

Útočník se zeptá vašeho resolveru, ale jako adresu odesílatele uvede adresu serveru root.cz. Pokud ISP útočníka povolí takový paket odeslat, resolver na ten dotaz odpoví a odpověď pošle na root.cz. Princip útoku je v tom, že útočník pošle takový dotaz, aby odpověď resolveru byla co největší. S tím, jestli resolver má nebo nemá odpověď v cache o nijak nesouvisí.

Podstatné je to, že kdyby útočník útočil přímo na server root.cz, bude útočit třeba ze své 100 Mbit/s linky, což bude zároveň maximální síla jeho útoku. Když bude útočit skrze DNS resolvery, pokud by odpověď DNS resolveru byla jen 10× větší, než dotazy, se svou 100 Mbit/s linkou dokáže vyvolat tok dat  1000 Mbit/s na server, na který útočí. Druhý efekt je ten, že kdyby útočník útočil přímo, půjde veškerý provoz z jednoho směru a ISP cíle ten provoz třeba dokáže odfiltrovat. Když bude útočník útočit skrze DNS resolvery, bude útok na cílový server distribuovaný, takže nepůjde tak snadno odfiltrovat.

3520

Sítě / Re:Zneužití otevřeného rekurzivního DNS

« kdy: 30. 03. 2018, 09:15:40 »

Video je z r.2011 takze "palebna sila" tomu odpovida = 200Mbps UDP dotazu od utocnika vyrobilo "dopadovy potencial" 20Gbps.
Dneska jsou tyhle pocty o rady vyssi.

Čím jsou ty vyšší počty způsobené? Odpovědi s DNSSEC jsou o řády větší, než v roce 2011?

3521

Sítě / Re:Zneužití otevřeného rekurzivního DNS

« kdy: 29. 03. 2018, 21:14:15 »

UDP nemá spojení, jsou to jen jednotlivé pakety. V DNS jedním paketem přijde dotaz a jako odpověď se pošle zase jeden paket. Tím pádem není nutné, aby v UDP paketu byla správná adresa odesílatele. Pokud na rekurzivní DNS resolver přijde dotaz se zfalšovanou odchozí IP adresou, DNS resolver odpoví na tu adresu. Čehož využije útočník – vytvoří dotaz, na který DNS server odpoví pořádně velkou odpovědí, a v dotazu zfalšuje adresu odesílatele. Útočníkovi tedy stačí poslat malý paket s dotazem, a na cíl útoku dorazí podstatně větší paket s odpovědí.

Rekurzivní DNS servery se k tomu využívají proto, že rekurzivní server posbírá záznamy i k nadřazeným doménám, takže odpověď pěkně nabobtná. Autoritativní server odpovídá jen na záznamem, na který byl dotázán, nepostupuje po DNS stromu nahoru směrem ke kořenové doméně, takže jeho odpovědi jsou obecně menší.

3522

Vývoj / Re:Private maven repo

« kdy: 24. 03. 2018, 12:05:39 »

Nexus, Artifactory

3523

Sítě / Re:Hardware pro linuxový router

« kdy: 23. 03. 2018, 09:28:05 »

Turris Omnia.

3524

Odkladiště / Re:HTML element rale na iDnes

« kdy: 21. 03. 2018, 20:52:02 »

V normě HTML5 je přesně specifikováno, co má prohlížeč dělat, pokud narazí na element, který nezná. Takže prohlížeči ten neznámý element nijak nevadí, a pracovat s ním mohou třeba skripty.

3525

Software / Re:Spouštění programu

« kdy: 20. 03. 2018, 15:21:35 »

Jiné programy antivir také kontroluje, ale každý program kontroluje jenom jednou, pak už si (asi podle kontrolního součtu) pamatuje, že daný soubor je čistý. Váš program se ale při každé kompilaci změní, proto ho antivir kontroluje znova. Jediná možnost je nakonfigurovat antivir tak, aby cestu, kterou používáte při vývoji, ignoroval.

Na programovacím jazyku to nijak nezávisí, když budete spustitelné soubory vytvářet jakkoli jinak, antivir je bude také kontrolovat – od toho tam ten antivir máte.