Příspěvky

3766

Sítě / Re:ipv6 a blacklisty

« kdy: 19. 09. 2017, 08:21:16 »

Podle mě blacklist obrana je. Už samotný mechanismus fail2ban je formou blacklistu s dynamickým listingem a deslistingem.

To jsme se ale dostali jen z deště pod okap – fail2ban nepovažuju za obranu, nýbrž za nesmysl, který nezabrání ničemu, maximálně odřízne oprávněného uživatele.

Blacklisting má tu výhodu, že se dá poměrně jednoduše offloadovat, předsadit na technologii před chráněným prvkem. Chráněný prvek pak může být jednodušší, jednodušeji konfigurovaný, nebo i třeba méně výkonný, protože ušetřen o peaky nevhodného provozu.

To jste popsal jak se to snadno nasazuje, ale z toho vůbec neplyne, že by to byla obrana nebo dokonce že by to byla výhodná obrana.

Je také možné, že se zjistí, že forma blokování (blacklistingu) je už méně účinná, než jiné metody ochrany.

Já pořád na blacklistu nevidím nic, co by něčemu bránilo. Jak se něco dostane na blacklist? Teprve po detekovaném útoku. Takže tomu útoku blacklist rozhodně nezabrání. A přidávat něco na blacklist vychází z předpokladu, že útočník bude příště útočit ze stejného místa. Je ten předpoklad oprávněný? Podle mne ne, protože útočníkovi nic nebrání příště zaútočit odjinud. Takže podle mne blacklist není obrana, protože novým útokům nedokáže zabránit z principu a při opakovaných útocích je jednoduché ho obejít.

3767

Sítě / Re:ipv6 a blacklisty

« kdy: 19. 09. 2017, 06:49:29 »

jak se pak budou sluzby branit?

Stejně jako dnes. Blacklist není obrana. Je to jako kdybyste chtěl dům „bránit“ tím, že vytvoříte seznam jmen těch, kteří vás vykradli.

3768

Server / Re:Dvě různé e-mailové adresy, s tečkou a bez tečky

« kdy: 15. 09. 2017, 12:05:26 »

Co se stalo by se dalo odhadnout z Received hlaviček v e-mailu (např. tam bude opravdu vidět, zda to forwardoval Seznam). E-maily se nedoručují podle adresy, která je uvedená v e-mailu, ale podle adresy, která je na „obálce“ e-mailu – tu si mezi sebou předávají jen poštovní servery. Váš e-mail mohl být uvedený jako kopie nebo skrytá kopie (např. odesílatel znejistěl, když viděl e-mail bez tečky, a poslal to raději na obě adresy).

3769

Windows a jiné systémy / Re:Okamžité odstřihnutí aplikace od internetu

« kdy: 14. 09. 2017, 10:14:07 »

Statefull firewally by po změně pravidla musely detekovat, čeho se změna pravidla týká, a v conntracku shodit už navázaná spojení. Je možné, že to některý umí, ale já o tom nevím.

Nemusely. Úplně stačí zahazovat všechny pakety daného spojení. V podstatě záleží jen na tom, zda ten firewall vyhodnocuje nejdřív příznaky paketu (a pokud zjistí, že je to paket, který podle příznaků patří k už navázanému spojení, dál ho neřeší – pak by ale propouštěl i nevalidní pakety, které nepatří k žádnému spojení), nebo nejprve vyhodnocuje příslušnost paketu k aplikaci – pak by prostě zahodil všechny pakety náležející dané aplikaci a neřešil by, zda ten paket zahajuje spojení nebo je už v navázaném spojení.

Ale nevím, jak dnes vypadají možnosti konfiguraci Windows firewallu, to bude podle mne podstatnější omezení.

3770

Windows a jiné systémy / Re:Okamžité odstřihnutí aplikace od internetu

« kdy: 14. 09. 2017, 09:40:29 »

Co znamená předsazený?

Firewall, který běží na jiném zařízení, než které je chráněno, a k chráněnému zařízení se dostává až filtrovaná komunikace.

Statefull a State less je že zkoumák každý packet a nebo zda zkoumá jen TCP spojení?

Stateless firewall znamená, že si nepamatuje žádný stav, vidí vždy jenom jeden procházející paket. Takže nemůže dělat u konkrétního paketu rozhodnutí závislá na informací z jiných paketů. Statefull firewall si pamatuje nějaký stav – třeba informace o navázaném spojení, a dokáže konkrétní paket k tomu spojení přiřadit. Takže při vyhodnocování paketu může použít třeba informace o tom, kolikátý je to paket ve spojení, jaká byla prodleva od předchozího paketu, kolik už se ve spojení celkem přeneslo dat. Nebo může (pokud rozumí i protokolu) mít i informaci, že daný paket patří k datovému FTP spojení, které souvisí s jiným řídícím FTP spojením. Pro zákaz komunikace konkrétní aplikace není stavový firewall potřeba, jediná informace, kterou firewall potřebuje navíc k obsahu paketu, je to, k jaké aplikaci paket patří – a tuhle informaci musí umět poskytnout síťová vrstva OS.

3771

Windows a jiné systémy / Re:Okamžité odstřihnutí aplikace od internetu

« kdy: 14. 09. 2017, 09:32:42 »

Vycházím z Windows Firewallu, který je statefull. Tazatel se ptal na ovládání pomocí netsh.
Stateless FW je možný, ale není moc zvyklý, a upřímně ani nevím, jestli lze spolehlivě do windows implementovat, jestli by nemusel být předsazený.

Statefull firewall je stateless firewall, který navíc dokáže přiřadit paket do nějakého kontextu (např. spojení) – takže to určitě nemůže být příčinou, že by neuměl něco, co stateless umí. Windows určitě umí i packet firewall, ale nevím, zda má informace i o aplikaci. Různé firewally (např. Avast apod.) podle mne také umí k aplikacím nastavovat i pravidla pro jednotlivé pakety.

Předsazený firewall by neměl informace o tom, ke které aplikaci který paket patří, tuhle informaci by se musel nějak dozvědět z venku – a stejným způsobem už se jí může dozvědět i ten paketový firewall ve Windows.

To, že Windows firewall neřeší už navázaná spojení máte ověřené?

3772

Windows a jiné systémy / Re:Okamžité odstřihnutí aplikace od internetu

« kdy: 14. 09. 2017, 07:10:53 »

Už navázaná spojení tímto způsobem neutnete. Můžete scriptem povolovat / zakazovat nadefinované pravidlo ve windows fireallu, ale účinné to bude až od dalšího spojení. Tedy: 1. prodleva = provedení příkazu, 2. prodleva = účinnost až od dalšího spojení.

To ale platí jen pro TCP/IP (případně SCTP) spojení a případ, kdy na firewallu kontrolujete jen první paket spojení a ostatní pakety již navázaného spojení propouštíte bez kontroly. Pokud se pravidla na firewallu nastaví tak, že má zahazovat všechny pakety daného spojení, komunikace v daném spojení se ukončí okamžitě (ale samotné spojení zůstane otevřené až do timeoutu).

3773

Server / Re:Nešmírovaný mail

« kdy: 13. 09. 2017, 07:17:06 »

pochybuji, že někdo, kdo si zakládá tyhle nešmírované maile a surfuje torem, tak nepoužívá adlock, umatrix,ublock, hosts a filtrování, a blokování JS a nevypne si v browseru nebezpečnou funkcionalitu (v posledni době se mi zdá , že s broswerů se stávají OS: service workers, audio api, wallet api, canvas, mikrofon, storage, webgl,  file system api, beacon-behind-scene requesty, atd)

Já jsem si myslel, že kdo si zakládá tyhle nešmírované e-maily a surfuje TORem, bude na e-mail používat nativního poštovního klienta, ne webovou aplikaci. Například protože e-maily šifruje, což mu webový prohlížeč neumožní (tedy pokud nechce vydat svůj soukromý klíč). Ale pravda, tady se neřeší skutečná bezpečnost, tady se řeší paranoia.

3774

Vývoj / Re:Programátorský úkol

« kdy: 12. 09. 2017, 22:40:14 »

Když se objekty nebudou vnořovat tak bude o to složitější ta konfigurace jak se má s daným pohledem zacházet - můžete totiž celkem jednoduše udělat 4 pohledy pro různé otočení matice, ale vybrání patřičných prvků nebude úplně jednoduché (protože tam nebude Xkrát vnořeno odříznutí prvního řádku), budou tam potřeba vzorečky podobně jako byly v tom řešení od Kolemjdoucího, čímž se ta rádoby krásnost krátkých řešení poněkud vytratí.

Otočení matice je dané pouze pořadím, v jakém se má procházet (zda nejprve sloupce nebo řádky) plus směrem procházení (vpřed nebo vzad). Oříznutí znamená, že se pole bude místo od nuly do délka pole - 1 procházet od zadané hodnoty po zadanou hodnotu. Znamená to tedy pamatovat si příznak osa X nebo osa Y, směr (+1 nebo -1) a 4 hodnoty ohraničující pole. Jediné vzorečky použité při procházení budou for cyklus a přičtení hodnoty (+1 nebo -1) k indexu.

3775

Vývoj / Re:Programátorský úkol

« kdy: 12. 09. 2017, 06:59:44 »

Hm, tohle byl zcela trivialni ukol. Jesteze to neni treba o naprogramovani piskvorku, to by si urcite vyzadalo alespon tri vedecka sympozia.

Snad “piškvorek”, nebo si už pleteš i rody?

http://www.pravidla.cz/hledej/?qr=pi%9Akvorky
https://cs.wiktionary.org/wiki/pi%C5%A1kvorky#sklo.C5.88ov.C3.A1n.C3.AD

Trhni si nohou, zretelne existuji oba tvary.

Pravidla.cz jsou nesmysl, používat slovník spellcheckeru jako slovník opravdu není dobrý nápad. Oficiální slovník češtiny máte zde: http://prirucka.ujc.cas.cz/?slovo=pi%C5%A1kvorky

3776

Odkladiště / Re:google overeni

« kdy: 11. 09. 2017, 21:31:05 »

Myslím, že si je poměrně jistý. Featura je jmenuje Factory Reset Protection, a je to normálně uložené na zvláštním oddílu v MTD. Jak to odstranit je pro každého výrobce jiné.

Aha, to dává smysl – teda až na tu možnost, že by se to zase dalo odstranit.

3777

Odkladiště / Re:google overeni

« kdy: 11. 09. 2017, 17:57:17 »

Jste si jistý, že to po vás chce ten původní účet? To by ten reset nebyl moc „hard“… Normální je, že to po vás chce jakýkoli účet, pod kterým se přihlásíte ke Google službám (a nebo to přeskočíte, pak ale nebudete mít dostupné žádné Google služby, tedy toho na tom tabletu moc neuděláte).

3778

Vývoj / Re:Programátorský úkol

« kdy: 11. 09. 2017, 15:01:39 »

přesně tak funguje numpy. Slicování a transpozice nic nekopíruje, pouze mějí pohled na data.

Tak v tom pripade naprosto bez ironie dekuji za doplneni vzdelani.
(Moje jedina zkusenost s numpy je zatim pouze takova, ze jsem ho musel pribalit k matplotlib a tim padem mi binarka pro zakaznika povyskocila o 13 MB, coz je pro me "starou skolu" docela dost.)

Ale jak to je s nejakym uvolnovanim pameti, kdyz si z matice 1000000x1000000 vezmu vyrez 10x10 a vim, ze ten zbytek uz nikdy potrebovat nebudu?

vyrobite si kopii toho vyrezu. Treba takto

To už pak ale není nový pohled na původní data. Princip pohledů je právě v tom, že neměníte data ale jenom způsob, jak se na ně díváte. Samozřejmě je nutné vždy zvážit, zda je lepší ponechat data v původní podobě (protože jejich transformace by byla drahá a s pohledem se bude pracovat jen málo), nebo zda je lepší je transformovat (protože se s nimi dále bude hodně pracovat a režie spojená s transformací se vrátí v následném lepším zpracování).

Pokud máte matici projít a pak se celá zahodí, nevadí, že se během procházení drží v paměti data, která už jsou k ničemu. Pokud vám vznikne výřez 10×10, se kterým budete dále pracovat, vyplatí se ten výřez si zkopírovat do nové datové struktury a tu původní velkou matici zahodit.

3779

Vývoj / Re:Programátorský úkol

« kdy: 11. 09. 2017, 14:48:21 »

Ono i s tím vypsáním prvního řádku a pak otočením (nebo transpozicí a reverse) může být ten algoritmus lineární, když se použijí slices nebo “view onto”. U seznamů to je běžná implementace, nicméně matice nebývají součástí standardní knihovny, takže záleží na volbě third party, ale jde to lineárně. Čili ano, s otáčením to je elegantní a jednodušší, jen člověk musí mít chytře udělané matice. I v tom Haskellu by to tak šlo.

Šlo by prosím nějak rozepsat to "slices" nebo "view onto"? Mě jediné co napadá je mít data pořád stejná, jen je obalovat objekty které budou realizovat ty požadované transformace - takže na střídačku odříznutí prvního řádku a otočení. I to ale povede ke zhoršení výkonu, protože čím dál se to dostane tím větším počtem objektů budu mít ta data obalená a přestane platit že přístup k prvku v matici je O(1).

Ty objekty se nemusí vnořovat. V objektu budete mít dva prvky – odkaz na data, a konfiguraci, jak se má s daným pohledem zacházet. Když vytvoříte nový pohled, vytvoříte nový objekt, vložíte do něj odkaz na stejná data a novou konfiguraci. Na tom původním pohledu tento nový nijak nezávisí. Samozřejmě to nelze použít tehdy, kdybyste ty transformace objektů skládal (třeba v geometrii – něco otočíte, otočený objekt zmenšíte a otočený a zmenšený objekt překlopíte podle svislé osy). Ale v případě transpozice matice není skládání potřeba, mnohem jednodušší je z aktuálního pohledu a požadované transformace odvodit konfiguraci nového pohledu.

3780

Vývoj / Re:Programátorský úkol

« kdy: 11. 09. 2017, 09:41:12 »

Programator se IMO ma snazit nemit svuj program zbytecne dlouhy

Podstatné je tam to zbytečně (což se zároveň těžko měří). Ale stejně, jako by program neměl být zbytečně dlouhý, neměl by být ani zbytečně neefektivní. Podle mého názoru je z tohohle pohledu ta transpozice matice už za hranou (pokud by nešlo o prototyp).

smozrejme, se to nesmi prehnat, aby zase neutrpela citelnost

Já to vnímám spíš opačně – program by se měl zkrátit, pokud se tím zlepší čitelnost. A pokud se tím zlepší čitelnost, měl by se naopak prodloužit (pokud to není místo kritické na výkon). Proto by ty výše uvedené příklady, které matici procházejí pomocí cyklů, byly mnohem čitelnější, kdyby tam místo vnořených cyklů byly čtyři funkce pro procházení pole ve čtyřech směrech.

Po pravde vice necitelne mi prijde treba if-else roztahane na 5 radku, prestoze obe vetve vraci trivialni vyraz -> po prevedeni na podm. vyraz v return je to na jeden radek misto 5, kde vice jak polovina jsou zbytecne (priklad z pouzivani JS a bezneho stylu vynucenych slozenych zavorek u if a else).

Tohle já vnímám přesně opačně. Podmíněným výrazům se vyhýbám, pokud to není jednoduchá podmínka a dvě konstanty. Jinak z toho vznikají tři složité výrazy na jednom řádku, je to nepřehledné, musí se řešit priorita operátorů, špatně se to debuguje nebo upravuje. Vynechání složených závorek u triviálních výrazů považuju za chybu – už jsem viděl tolik chyb způsobených tím, že to vypadalo, že je v podmínce složený příkaz, ale on to byl jednoduchý výraz a zbytek pokračoval za ifem…

Jak jsem psal - zadani to splnuje, pro zadana data to funguje, o nejakem skalovani ci omzenenich neni v zadani ani slovo.

Ano, ale to je problém školních úloh, že zadání splňují i velmi hloupá řešení, a často naopak chytrá řešení zadání školní úlohy nesplní (přestože by se v praxi dala použít).

To, co pise nekdo s parserem v Pythonu, to vidim jako chybu zadani

Tohle je ovšem věc, kterou musí umět každý analytik, a také každý programátor, který není jen lepič kódu – rozpoznat, co v zadání je špatně nebo co by tam mohlo chybět, a případně si to se zadavatelem vyjasnit. Zadavatel vždy v zadání požaduje něco jiného, než co chce, a chce něco jiného, než co potřebuje. Ideální je, když nakonec dostane to, co potřebuje, ne to, co chtěl nebo co požadoval.

V praxi se nesetkavam s tim, ze mam presne predepsany algoritmus (ale priznavam, ze to se muze dost lisit, asi jsem spis dev, nez programator, pracuju v male firme, na projektu doslova par lidi, klient setri jak muze a asi bude hrat roli jeste vice faktoru) - vetsinou jde o vyreseni ukolu, ne o implementaci presne zadaneho algoritmu. Stejne tak nemivam zadane vnitrni struktury, omezeni na pouzivane oprace atp. Pokud knihovna vyrazne zkrati dobu implementace, tak navrhnu jeji pouziti a ve vetsine pripadu je to schvalene (maloco z obecnych veci si opravdu musim implementovat sam).

Ano, tohle je dost podstatné a moc nechápu, proč se dnes u programátorů často řeší jenom algoritmy, když už jsou stejně všechny naprogramované v knihovnách a programátor často potřebuje vědět především to, kde tu implementaci najde hotovou a hlavně jak si ověřit předpoklady té knihovny a jak ji správně propojit se svým kódem a s dalšími knihovnami.