Příspěvky

5551

Vývoj / Re:Proč je Java pomalá a problémová?

« kdy: 15. 12. 2013, 22:46:41 »

Pokud nejaky program vyzaduje specificky runtime (a neni to jen rozdil mezi dejme tomu Javou 6 a 7), tak je to vetsinou prasacky napsana aplikace.

Nebo prasácky napsaná standardní runtime knihovna Javy. Např. některé zajímavé události při startu Java appletu jsou schované v package sun nebo podobném, takže pokud chcete informovat uživatele, že se něco děje, nezbývá než navázat kód na konkrétní runtime (i když zrovna v tomhle případě se to dá obejít a když ta třída není na classpath, prostě se nic nezobrazí a doufá se, že si uživatel počká).

Nebo třeba přístup do systémového úložiště certifikátů pod jmény KeychainStore, Windows-MY a Windows-ROOT je také záležitost Oracle Javy a ostatní implementace to mohou mít nazvané jinak nebo vůbec nemusí systémová úložiště certifikátů zpřístupňovat. A podobných příkladů by se našlo spousta. Ona totiž nestačí jen specifikace JVM plus standardní knihovna, ale musela by být specifikována i spousta věcí, které aplikaci ovlivňují zvenku.

5552

Vývoj / Re:Proč je Java pomalá a problémová?

« kdy: 15. 12. 2013, 21:34:30 »

To je ovsem prave volba az toho interpretru - JVM kod interpretuje, zda ho v ramci toho prelozi a na co neni az tak podstatne, podstatne je, ze bez JVM se to neobejde.

Na platformě AMD64 (a dalších) vezme procesor výstup kompilátoru C a přeloží jej do vnitřní instrukční sady, kterou používá výkonná část procesoru. Bez toho překladu se to také neobejde. V různých emulátorech (třeba i JavaScriptových) můžete spouštět "nativní" kód pro jiné platformy, který je emulátorem interpretován. Budeme proto nazývat C interpretovaným jazykem? Existovaly i nějaké procesory, které uměly vykonávat přímo javovský bajtkód. Pořád ještě chcete jazyky rozdělovat na interpretované a nativní a dělat z toho nějaké závěry?

5553

Software / Re:Přenos 6 TB pomocí rsync

« kdy: 13. 12. 2013, 13:50:44 »

Co se týče rozdílu velikostí, může to mít asi tak milion důvodů. Vzhledem k tomu, že jediné, co víme, je název programu, který byl použit pro kopírování, těžko některé z důvodů vyloučit. Mohou to být různé souborové systémy, různé konfigurace souborového systému, data mohou být jinak uložená (hardlinky, řídké soubory), mohou tam být soubory s jiným obsahem (na cílovém disku už něco bylo a rsync nebyl nastavený, aby to smazal, nějaké soubory se po zkopírování změnily nebo smazaly na zdrojovém disku)...

Pokud tazatele zajímá důvod, proč jsou velikosti rozdílné, bude asi muset prozradit další informace. Bylo by vhodné taky zjistit, jestli se velikostí liší "vše", nebo jestli se postupným porovnáním jednotlivých podadresářů nedí ukázat na jedno místo, které způsobuje ten rozdíl.

5554

Software / Re:Přenos 6 TB pomocí rsync

« kdy: 12. 12. 2013, 14:05:46 »

rsync nepřenáší nezměněná data – pokud přenášíte 6 TB na čistý disk, bude se muset přenést 6 TB, stejně, jako kdybyste data normálně kopíroval (ve skutečnosti se kvůli režii přenese ještě víc, pokud nemáte soubory s opakujícími se bloky dat). rsync má v takovémhle případě „jen“ tu výhodu, že mu nevadí výpadek – prostě jej spustíte znova se stejnými parametry, a rsync dokopíruje to, co ještě chybí.

rsync je potřeba pouštět tak, aby se nad nejužším místem přenosu (třeba internet) používal právě rsync protokol. Pokud tedy budete přenášet data přes internet nebo přes lokální síť, je potřeba, aby to síťové spojení bylo řešené přes rsync, ne třeba přes NFS. Pokud si přes internet připojíte disk přes NFS a pak „lokálně“ spustíte rsync, musí se přes síť přenést celý soubor, lokálně se pak zjistí, že je stejný a zahodí se.

Co se týče rozdílné velikosti, mohou to být různě velké bloky, hardlinky, řídké soubory…

5555

Odkladiště / Re:Alternativa ku Gmail?

« kdy: 10. 12. 2013, 16:15:40 »

Své maily pouze na svém serveru (stačí VPS), mně se osvědčila kombinace Postfix + MySQL + PostfixAdmin + Dovecot + Sieve + Roundcube + desktopový imap klient dle libosti.

A pak to donekonecna opecovavat, konfigurovat a patchovat.

Donekonečna ne. Jenom do první havárie, kdy o všechny e-maily přijde. Po té už není co opečovávat.

5556

Sítě / Re:Přehledný firewall pro Linux

« kdy: 09. 12. 2013, 16:04:32 »

Mě by spíše zajímalo, kde se dají najít nějaké komplexnější stránky pro pravidla pro iptables proti různým typům útoků - např. Xmas, syn-floods, NULL, LAND Attack, WordPress wp-login.php brute force attacks a další. Nenašel jsem stránku, která by se podrobně tímto zabývala - popis jednotlivých útoků, obrana v iptables atd.

Otázka je, jestli má smysl takovou dokumentaci udržovat. To jsou útoky na chyby v jádře nebo chyby v aplikacích, řešením je opravit ty chyby. Firewall je nouzové řešení vhodné nanejvýš do doby, než se chyba opraví – a málokdy je možné ten problém na firewallu odstranit, spíš je to takové záplatování.

5557

Sítě / Re:Přehledný firewall pro Linux

« kdy: 09. 12. 2013, 15:55:50 »

Jakou práci, pokusy a omyly? Pokud z toho udělám rozumné zadání „v příchozí komunikaci povolit jen ICMP zprávy a TCP spojení na port 22“, jsou to tři primitivní příkazy, které s otevřenou manuálovou stránkou nemůžete napsat špatně. Nenapadá mne situace, kdy byste kvůli syntaxy iptables nastavil pravidlo jinak, než jste chtěl. Něco jiného je nutná znalost toho, jak funguje jaderný firewall, tedy jaderná část iptables, ale to musíte znát stejně, ať už je budete konfigurovat jakýmkoli nástrojem.

5558

Sítě / Re:Přehledný firewall pro Linux

« kdy: 09. 12. 2013, 14:47:41 »

O syntaxy příkazu iptables vůbec nebyla řeč. Já si většinu parametrů taky nepamatuju, ale když firewall upravuju, tak si jednoduše otevřu manuálovou stránku a na přesný název parametru se podívám. To je přece to nejmenší.

5559

Sítě / Re:Přehledný firewall pro Linux

« kdy: 09. 12. 2013, 13:48:45 »

To jste ale asi četl jiný komentář, než jsem já napsal.

Já v původním dotazu vidím například to, že tazatel netuší, proč ve firewallu nějaká pravidla má. A nebo že se něco jednou za rok učí, když potřebuje firewall změnit. Z toho mi neplyne, že by byl tazatel vůl, ale že prostě nerozumí sítím natolik, aby dokázal firewall rozumně nakonfigurovat. Na tom není nic špatného – ale žádný nástroj to nevyřeší. Ano, existují nástroje (oblíbené jsou zejména na Windows), které o sobě tvrdí, že si v nich neznalý uživatel nakliká firewall. Jenže bezpečnostní přínos takovýchhle nástrojů je v nejlepším případě nulový, zpravidla spíš záporný. Protože firewall prostě nejde rozumně nastavit bez znalosti sítí a bez znalosti toho, co a jak má chránit.

Takže když tomu tazatel nerozumí a rozumět nechce (což je v pořádku), a pokud má pocit, že nějaký firewall potřebuje, tak ať si to nechá nastavit od někoho, kdo tomu rozumí. Kdo si od tazatele zjistí, co má firewall chránit, jak to má chránit a pak jej nakonfiguruje – a je jedno, zda rovnou v iptabels, nebo v nějakém nadstavbovém nástroji. Samozřejmě je taky otázka, proč si tazatel myslí, že firewall potřebuje, a jestli si to myslí správně.

Jinak samozřejmě je možné postupovat i tím způsobem, který je běžný ve Windows – tazatel si někde něco nakliká, vůbec nebude tušit co a proč, ale bude mít dobrý pocit, že „má firewall“. Pokud jde jenom o ten pocit, tak prosím… Ale s bezpečností to nemá vůbec nic společného.

5560

Sítě / Re:Přehledný firewall pro Linux

« kdy: 09. 12. 2013, 11:00:35 »

Programátorská poučka praví, že kód, který potřebuje komentáře, aby byl čitelný, je špatný.
Znám to z vlastní praxe, člověk se to naučí, chápe to a pak přeci nebude vysvětlovat, že a=1 znamená, že mám vložit jedničku do a.

Tady ale nejde o komentáře o tom, co ten kód dělá, ale proč to dělá.

Takže např. budu mít u iptables pravidla komentář: „Aplikaci XYZ naslouchající na portu ABC nelze nakonfigurovat, aby naslouchala jen na vybraných IP adresách. Nedostupnost aplikace z internetu je tedy nutné ošetřit následujícím pravidlem firewallu. Až bude aplikace opravena, je možné pravidlo zrušit“. No, a až se ta aplikace opraví a já jí správně nakonfiguruju, můžu to pravidlo zrušit a mít zase prázdný seznam pravidel. Jestli ten prázdný seznam vyrobím v iptables (bez práce), nebo  ho někde naklikám, to už je podle mne nepodstatný detail.

Jinak já nezpochybňuju užitečnost nástrojů, které mají zjednodušovat konfiguraci firewallu. Akorát že tazateli nepomůžou, protože pokud neví, k čemu jeho pravidla slouží, není to problém použitého nástroje.

5561

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 09. 12. 2013, 08:23:36 »

Samozřejmě se myslí čas bloku, do kterého byla transakce zahrnuta, snad jste neuvažoval něco jiného. Čas bloku ovlivňuje miner, který první vydoloval blok.
To, že odpovídáte na něco jiného, než na co se vás ptám, to je úmysl nebo neschopnost? Ale dobře, z vaší odpovědi se dá usoudit, že čas transakce je libovolný a záleží jen na libovůli těžaře, kterého následně síť uzná za prvního, jaký čas tomu bloku nastaví. A vy prostě spoléháte na to, že tenhle čas bude ± odpovídat přesnému času. To jste to nemohl napsat rovnou? Mimochodem, pokud u zapojování bloků do sítě opravdu není nijak zajištěno, aby čas aspoň přibližně souhlasil s přesným časem, je to podle mne docela vážný problém protokolu, se kterým asi málokdo počítá.

Pak je tu čas systému, na kterém běží vlastní aplikace (přesněji databáze). Tam se čas syncuje pomocí NTP. Záleží na výběru poskytovatele. Jestli narážíte na to, že by čas mohl ovlivnit správce telehausu, ve kterém server běží a ze kterého si to syncuje čas obvykle?
Pokud používáte obyčejné veřejné nezabezpečené NTP, pak jste ISP vydání na milost a nemilost v tom, jak budete mít seřízený čas. Jiný útočník by to měl obtížnější, ale nezabezpečená varianta NTP prostě věří kterémukoli údaji o čase, který dostane.

5562

Sítě / Re:Přehledný firewall pro Linux

« kdy: 09. 12. 2013, 08:11:44 »

Chcete říct, že je možné za pár hodin rozumět sítím na docela dobré úrovni, a pak to zase za rok zapomenout? Chcete říct, že když někdo neví, proč má nějaká pravidla ve firewallu, že mu nějaký nástroj pomůže, aby to věděl? Maximálně zařídí, že bude dotyčnému jedno, proč tam ta pravidla má – jenže to už je pak mnohem lepší a bezpečnější nemít tam firewall vůbec.

Jak jsem psal, konkrétní způsob, jakým se konfiguruje firewall, je jen nepodstatný detail. A v tom podstatném – pochopit ty principy – vám žádný nástroj nepomůže.

To, že vy používáte Firehol, nevypovídá vůbec nic o tom, zda máte firewall nakonfigurovaný tak, aby k něčemu byl.

5563

Sítě / Re:Přehledný firewall pro Linux

« kdy: 09. 12. 2013, 07:04:28 »

Jediná použitelná rada ve vašem případě je: najměte si na to někoho, kdo to mu rozumí. Způsob zápisu pravidel pro iptables je to nejmenší, co pro nastavení firewallu potřebujete znát. Hlavně potřebujete vědět o tom, jak fungují sítě, a jak fungují sítě v Linuxu. Přičemž ovládací program iptables je velmi tenkou obálkou nad částí síťování v jádře, takže to potřebujete znát tak jako tak. Pokud nevíte, co některá pravidla vašeho firewallu znamenají, a nedokážete to zjistit ani z dokumentace vašeho nastavení firewallu, žádný jiný způsob konfigurace vás stejně nezachrání.

Další věc je, pokud nevíte, k čemu jsou pravidla ve vašem firewallu -- jak jste vůbec přišel na to, že nějaká pravidla do firewallu potřebujete? Co za tím firewallem máte tak důležitého, že chcete přidávat redundantní stupeň ochrany, a zároveň tak nedůležitého, že se s tím chcete patlat sám, i když tomu nerozumíte? Nebo tam máte aplikaci, která se nedá správně nakonfigurovat, a musíte to obcházet na firewallu?

5564

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 08. 12. 2013, 23:25:14 »

Tak chce to trochu znát princip bitcoinu, jinak by Vás nenapadla tak naivní otázka. Ta transkace má samozřejmě datum a čas vzniku (přesněji unix-timestamp). Není tedy možné uznat transakci, která vznikla před vznikem závazku. Není ani možné uznat transakci 24 hodin po vzniku závazku.

Tak chce to trochu znát princip, odkud se v nějakém systému bere čas, jinak by Vás nenapadla tak naivní odpověď. Odkud se bere datum a čas vzniku transakce, a odkud se bere datum a čas vzniku závazku? Asi už vám dochází, že pokud dokážu jeden z těch časů ovlivnit, dokážu i změnit pořadí toho, co bylo před a co po.

Z toho důvodu bylo v pravidlech uvedeno, že by si obchodníci měli pro obchodování na burze založit separátní adresy.

Bylo uvedeno, nebo je to tam uvedeno stále? Jinak mi to připadá jako docela důležitá věc, která by neměla být jen zastrčená někde v pravidlech, ale měla by být uvedená všude možně, třeba v FAQ.

No kupující musí bitcoiny zaplatit převodem peněz ze svého účtu. Prodávajícího musíš zase na nějaký účet vyplatit. Z toho důvodu nevím, jak to udělat, aniž bych se vyhnul párování bitcoinových adres a bankovních účtu.

Já jsem se neptal, proč je to tak uděláno, to je mi samozřejmě jasné. Já jsem se ptal, proč na to explicitně neupozorňujete uživatele. Spousta uživatelů bitcoinu věří v jeho anonymitu, takže nad tím nebudou přemýšlet a nedojde jim, že tady jsou ještě méně anonymní než obvykle.

5565

/dev/null / Re:Nevzdáváme to - nová burza bitcoinů

« kdy: 08. 12. 2013, 08:03:40 »

Peníze se převáděly jakmile se by se objevil záznam v blockchainu.

Jak jste se chtěli bránit útoku (ne)opakováním transakce? Tj. prodám bitcoiny na vaší burze tak, aby transakce, kterou budete v blockchainu hledat, už nedávno proběhla, nebo ji provedu za jiným účelem později. Např. pokud bude trafika přijímat bitcoiny a zároveň bude se stejnou peněženkou obchodovat na burze, budu tvrdit, že moje platba za noviny byla zároveň splacením transakce dojednané na vaší burze.

Vzhledem k tomu, jak je pro některé u bitcoinu důležitá anonymita -- proč není na bitstock.cz explicitně a důrazně uvedeno, že párujete bitcoinovou peněženku se skutečnou identitou osoby prostřednictvím bankovního účtu?