Příspěvky

691

Server / Re:nginx: jak deaktivovat https na default vhost?

« kdy: 20. 04. 2020, 16:44:39 »

Já třeba ACME.sh pouštím v separátním uživatelském účtu, který nemá žádná práva a rozhodně mi nemůže nic překonfigurovávat.

To je další smutná kapitola. Měla by to být samozřejmost, ale co jsem tak viděl, není to ve výchozím stavu nikde nastavené. Vše se prasí, když už ne jako root, tak aspoň jako www-data, mod o+r je samozřejmost a ne zřídka člověk potká i o+rw. Nezkušení kolegové nenajdou nikde dobré články. Ty jsou buďto pro úplná jelita a nabádají ke špatným praktikám, nebo jsou naopak psaná pro znalé profesionály a ostatní jim nerozumí. Situaci ztěžuje i to, že pro každou distribuci musí existovat jiný postup, i to, že pro každou situaci se musí upravit. Já např. běžím v produkci weby oddělené v různých instancích nginx i php-fpm, každá pod svým userem. Tomu je poplatné i nastavení ACME klienta a jeho hooků.

692

Server / Re:nginx: jak deaktivovat https na default vhost?

« kdy: 20. 04. 2020, 15:48:02 »

Mimochodem ta přesměrování pomocí if jsou ošklivá a je to silně nedoporučovaný postup. Vím, že to psal Certbot. Doporučuji zvolit jiného ACME klienta a napsat si tu konfiguraci správně.

If jsou zpracovávány poměrně složitě při každém požadavku, a pokud je v podmínce jen protokol (http/https) nebo hostname, je pro rychlost zpracování vhodnější použít zadefinovaného virtualhosta a v něm jediný return. Protohol / host se dohledává v tabulce mnohem rychleji, než se vyhodnocuje if a nehrozí ani chyby ze špatného pořadí ifů.

Na druhou stranu, pro velmi jednoduché weby s běžným počtem přístupů, je IF daleko menší výkonnostní zlo, než jakýkoliv PHP script. Takže bych asi IF neodsuzoval tak strašně moc příkře.

Certbot je nejvíc doporučovaný, ale považuji ho za pitomý. Snaží se o magickou automatizaci a díky tomu je omezený. Získat přes certbot dva certifikáty v páru (RSA+SECP) stejně znamená vzdát se všech jeho vymožeností. Docela příjemný mi přišel dehydrated.

693

Server / Re:nginx: jak deaktivovat https na default vhost?

« kdy: 20. 04. 2020, 15:40:13 »

Spousta direktiv u listen lze použít jen jedenkrát. Je to popsané zde, jsou nadepsané "These parameters can be specified in any listen directive, but only once for a given address:port pair.": http://nginx.org/en/docs/http/ngx_http_core_module.html#listen

694

Sítě / Re:Reklamace WiFi routeru

« kdy: 15. 04. 2020, 17:40:10 »

@Logik

Prevenční povinnost neukládá přemýšlet nad budoucími riziky. Prevenční povinnost je o tom, že když někde vidíte, že vzniká škoda, máte povinnost se zachovat tak, aby se minimalizovala. Např. někde hoří, a Vy jdete odklidíte (klidně násilím a s poškozením) další hořlavé předměty. To je prevenční povinnost.

Naopak nemusíte chodit po ulici a uklízet tam hořlavé předměty, co kdyby chytly. To už by byla prevence "do budoucnosti".

U routeru splníte prevenční povinnost tím, že zasáhnete ve chvíli, kdy probíhá (třeba router odpojíte). ISP prevenční povinnost naplní tím, že Vás dočasně zablokuje.

Ani jedno nemá vliv na vztah kupující-prodávající a nesouvisí to s jakostí. (I jakostní dřevo může hořet)


K legálnosti: Protiprávní by bylo prodávat výrobek, který nesplňuje zákonné požadavky. Tím jsou nejčastěji myšleny normy.

Vaše abstraktní úvaha, že router s chybou = zcela nepoužitelný router = nelegální router je mylná. Sám jste se i zde přesvědčil, že co člověk, to jiný názor na to, co má router splňovat. Nutně dojdete k závěru, že nikdo není s to to objektivizovat. Bez objektivních zjištění nenajdete ani odpovědnost. Tak prostě funguje právo (a z dobrých důvodů).

Bylo by na místě (a mně by se to líbilo), kdyby začaly vznikat normy, podle kterých by se dala jakost zajistit. Dost patrně by vedlejším efektem vzrostly i ceny výrobků.

695

Sítě / Re:Reklamace WiFi routeru

« kdy: 15. 04. 2020, 12:38:51 »

Klasika. Dojdou argumenty, začnou urážky.

Houby. Argumentů jste dostal spoustu, zejména jak a proč funguje právní systém a že jedna upjatá myšlenka "jak by to mělo fungovat" na tom nic (aspoň ne hned) nezmění.

Tvrdíš, že provozovat děravý router (tedy router se známou zranitelností) je legální?

Ano, je.

Nebo tvrdíš, že soud prohlásí, že výrobce neručí za to, že se prodávaný výrobek může legálně používat pro svůj obvyklý
účel?

Snažíte se argumentaci redukovat do ano/ne. Obvyklý účel je: připojí mě to k internetu. Jestli router plní nějaké další funkce, už je to na argumentaci, jak moc nedílnou a vyžadovanou součástí vlastností výrobku to je.

Takže kdyby router "čas od času" neroutoval díky chybě softwaru, jsem přesvědčený, že odpověď je: NE (soud by to neřekl). Pokud se bavíme např. o občasné pády Admin UI, nebo nějaké bezpečnostní díry, tam si myslím, že odpověď je: ANO.

Mimochodem, slovo "legálně" tam nepatří. Legálně smíte provozovat i přípojku bez firewallu, nikdo Vám za to pokutu nedá.

A pokud není výrobce za ty 300Kč schopen vyrobit funkční výrobek, tak ať ho nevyrábí. A ne ať prodává lidem, co se v problematice neorientují, nepoužitelné šmejdy. Poškozuje tím nejen ty lidi, ale celou společnost, protože botnety z takových routerů pak škodí všem.

Že je to nepoužitelný šmejd říkáte Vy. Já zase tvrdím, že ve většině případů to není vada, která by se projevila a router normálně funguje.

696

Sítě / Re:Reklamace WiFi routeru

« kdy: 15. 04. 2020, 12:14:34 »

Né nutně. Myslím, že v té diskuzi měla většina lidí opačný názor.

Jojo, je to tak. Pro ajťáky (zde) je taková představa nemilá, ale žádný jiný životaschopný nápad jsem tam neviděl. Životaschopný = takový, který dá zákazníkům právní ochranu v evropském právním systému. IT svět jede podle amerických pravidel džungle. Tam by ale nikoho nenapadlo řešit toto téma: tedy jestli mám podle práva nárok na aktualizace SW v SOHO routeru.

697

Sítě / Re:Reklamace WiFi routeru

« kdy: 15. 04. 2020, 10:14:44 »

Jak to, že u elektroniky resp. software se neřeší že něco je nebezpečné, ikdyž to neohrožuje přímo na zdraví.
Jak se stalo, že je normální prodávat nebezpečnou elektroniku.

Toto téma jsem řešil v jiných diskusích. IT obor je dnes pro život kruciální, bez něj už nežijeme. Přesto na naši práci neexistují žádné normy, neexistuje žádná organizace, která by hlídala jejich dodržování. To se bude v příštích desetiletích nutně měnit.

Kdysi lékařem mohl být kdokoliv, kdo vystudoval "cokoliv", co se zaobíralo zdravím. Postupně se přišlo na to, že tato profese se musí velmi regulovat. Pacient totiž nedokáže (obzvlášť, když mu není dobře) rozlišit, jestli narazil na opravdu zodpovědného lékaře, nebo na šarlatána. Tak začaly vznikat lékařské komory, procesy aprobací atd., které mají svoje postavení zakotvené přímo v zákoně.

Očekávám, že v (delší) budoucnosti bude muset ajťák mít také vzdělání, složit zkoušky, být organizován v nějaké komoře a hlavně: bude muset za svoji práci ručit stejně, jako lékař, advokát, notář, statik, ... Na druhou stranu, díky existenci základních norem, bude ajťák nejen moci, ale i muset odmítnout práci non lege artis. To se teď neděje, bastlí kdejaký "Pepa odvedle" a podle toho to vypadá.

Do té doby, než k tomu svět dospěje, budeme žít v digitálním středověku a zákazníci nebudou umět rozlišit, jestli se svěřili do rukou zodpovědného ajťáka, nebo do rukou nevzdělaného klikoše. Díky absenci základních norem zatím nebudou mít ani soudy, ani ČOI v ruce žádný podklad, podle kterého by objektivně posuzovaly odpovědnost.

698

Sítě / Re:Reklamace WiFi routeru

« kdy: 14. 04. 2020, 21:08:58 »

Pokud někdo od krabičky za 300 kč očekává stejnou úroveň podpory a zabezpečení jako u krabičky za 300t Kč, nechť investuje do soudního poplatku a přesvědčí se sám. Já od levného routeru nic extra neočekávám.

Měl jsem podobně radikální názory taky, ale to mi bylo tak devatenáct. Za další dvě dekády jsem se naučil, že zákony se musí vykládat zejména v souladu s realitou a možnostmi tohoto světa. Nelze do liter zákonů vypsat všechny nuance, je potřeba si uvědomit, že stejná ustanovení se týkají kupních smluv na sirky, televizor, ošacení i lokomotivu.

Soudy tyto bagatelní spory opravdu berou šmahem a "výchovně", aby s nimi lidi moc neblbli. Odvolání v těchto případech není přípustné. Soudy chrání spotřebitele tam, kde je opravdu v jasné nevýhodě, je proti němu zneužita síla silnější strany, nemohl ani při nejlepší vůli konat lépe. V případě routeru, kde většina znalců popíše stav na trhu jaký je, není pro soudní ochranu moc důvodů. Lidem by se spíš měl vrátit mozek do hlavy a umět si přiznat, že něčemu nerozumí a udělali chybu ve výběru.

699

Hardware / Re:Jak si zařídit „moderní televizi“?

« kdy: 14. 04. 2020, 15:12:48 »

To je pravda technologie idu dopredu. Dolezite je to, ci ludskym okom rozoznas s 3-5 m ci sa jedna o FullHD, 2K, 4K, 8K... Urcite by s tym mal bezny uzivatel velky problem a urcite by o FullHD povedal ... fuuuha, to je ale krasny obraz a pri 8k by povedal, ved to je to iste co som uz videl a detailista by sa pri 8K posral 
A 8K si zobrazis aj na starej CRT.

Tyto řeči (obavy) se opakují s příchodem každé nové generace displejů. Rozdíl 4k => 8k je oko schopné rozpoznat, když je to krmené z kvalitního zdroje. Snad vždy zatím platilo, že obsah je dostupný jen o generaci zpět.

700

Hardware / Re:Jak si zařídit „moderní televizi“?

« kdy: 14. 04. 2020, 10:59:32 »

Trápil jsem se s tím víckrát a nenašel jsem žádné dobré řešení. Požadavky jsem měl podobné.
Nakonec mi přišlo nejlepší pořídit televizor, který splní maximum funkcí sám. Co nedokáže splnit doplňuji malým multimedia centerem s Androidem a ovládání jedním ovladačem zajistí (jakš takš) HDMI CEC.

Reproduktory bez zesilovače (receiveru) nepřipojíte, možná tak nějaká počítačová prdítka přes 3,5mm jacka, ale to není moc výhra proti TV reproduktorům.

701

Sítě / Re:Reklamace WiFi routeru

« kdy: 13. 04. 2020, 19:29:22 »

Tak po stopadesáté první. Mění to, že prodejce nedeklaruje, že je rohlík k jídlu, něco na tom, že ho mohu reklamovat, pokud není jedlý?

Oni deklarují, že routuje. To dělá.
Bezpečnost řeší firewall (nebo obecně security appliance) a to podle mě nedeklarují, nebo jsem se s tím nesetkal.

U rohlíku máte tři jistoty: 1) že nebude zdravotně závadný (hyginenické a potravinové normy), 2) že bude mít deklarovanou hmotnost, 3) že obsahuje jen deklarované alergeny. Pokud rohlík nebude k žrádlu (přesolený ale stále v rámci potravninářských limitů, přepečený, ...), není to důvod k reklamaci, ale jen k tomu, že si ho příště od stejného pekaře nekoupíte.

702

Sítě / Re:Reklamace WiFi routeru

« kdy: 13. 04. 2020, 18:47:18 »

@Logik

Pojďme se podívat na nějaký konkrétní výrobek. Pošlete sem odkaz na nabídku prodejce (Alza?), kde se můžeme podívat, co vlastně slibují. Třeba tam najdeme, co máte na mysli Vy a co já (a M_D).

703

Sítě / Re:Reklamace WiFi routeru

« kdy: 11. 04. 2020, 22:15:07 »

jako kdybys tvrdil, že výrobce auta neručí za výrobní nalezené až během funkčnosti auta, protože ten, kdo auto koupil přeci může hned po koupi si zaplatit automechanika, který auto prověří a všechny případné závady opraví....

Zákon klade požadavek na to, že musíte reklamovat ihned, pokud máte možnost závadu zjistit s přiměřenou péčí o věc. Pokud je Vaším měřítkem bezpečnost, tak se patrně za přiměřenou péči rozumí to, že se v problematice aspoň částečně orientujete. Těžko budete s úspěchem reklamovat a prokazovat vadu a zároveň tvrdit, že jí nerozumíte. V takovém případě soud povolá znalce. Znalecké závěry bývají dost neurčité (málokdy znalec něco označí za vadu, za kterou nese odpovědnost prodejce). Takže skončíte tam, kde jste začal: v důkazní i argumentační nouzi.

Zákon hovoří jasně: výrobce ručí za vady bráníci OBVYKLÉMU užití, a objednání externí firmy na zapojení SOHO routeru fakt NENÍ obvyklé užití.

Vážně není? Prodejce k soudu předloží běžné spotřebitelské nabídky operátorů, kde taková služba je. Má ji k dispozici každý, a přesto je podle Vás neobvyklá?

Pokud instaluji router sám, tak riziko ze samoinstalace samozřejmě přijmout musím, ale mezi ně NEPATŘÍ to, že má výrobce ve firmware nezáplatovanou chybu. Za tu ručí výrobce routeru, jak jsem doložil a Ty jsi nijak nevyvrátil.

Myslím si, že to není vada, ale Vás neodhad situace. Jakýkoliv profesionál by Vám ihned vysvětlil, jaká jsou bezpečnostní rizika a co od jakého výrobku máte očekávat. Jak zde psal pan kolega M_D, v nabídkách nenajdete, že se jedná o bezpečnostní řešení. Najdete tam, že se jedná router s firewallem. Jakým způsobem před soudem dokážete, co se rozumí "firewallem"? Já bych Vám třeba hned vysvětlil, že v praxi se dodává mnoho typů firewallů, každý má svá pro a proti, a že u většiny je potřeba dbát na aktualizace. ...že jste si laickým úsudkem domyslel něco jiného, za to prodejce nemůže.

V OZ je někde, že pokud si mohu něco objednat jako službu, tak výrobce neručí za vady routeru, že to do toho pleteš ? ? ? ?

To neříkám, ale ukazujete to na to, že trh zná řešení problémů i jako službu a zkoumalo by se, proč asi. Došlo by se dost možná k tomu, že problematika je složitější, než koupit jakýkoliv router na Alze a sám si ho připojit.

Podobný příměr jsou např. lepidla a laky v hobbymarketech. Z popisů nepoznáte, který typ se hodí na to, co potřebujete, obvykle se popisem hodí dva až tři produkty z regálu. Ano, můžete lepit plast epoxidem a dřevo kontaktním lepidlem, prahy lakovat akrylátem, lze to. Jen to nevydrží tolik, co správně zvolený (mnohdy dražší) výrobek.

Evidentně jsou to rizika pouze teoretická, protože normální, běžně výrobcem updatovaný router je v prostředí internetu v dostatečné míře bezpečný, jak dokazují miliardy takových nainstalovaných a botnety nenapadených SOHO routerů. A přesně takovouto míru bezpečnosti mohu požadovat po výrobci routeru.

A další miliony mají stejný problém, jako ten reklamovaný, a další miliony trpí jinými typy bezpečnostních rizik.

Debata byla o tomto problému:

nevychází aktualizace a WiFi router je zranitelný

čili o klasických "dírách ve firmware" - tedy o opravitelných chybách. Ne o teoretických slabinách IP NATu, které jak sám tvrdíš opravit vlastně nejdou.

[/quote]

Zapomínáte pořád na jednu zásadní věc: musíte před soudem dokázat, že tento konkrétní výrobek záplatovaný být mohl a měl. Prodejci bude stačit tvrdit, že daný hardware danou záplatu neumí zvládnout. Jak chcete prokazovat opak? Vzpomeňte si na dieselgate.

704

Sítě / Re:Reklamace WiFi routeru

« kdy: 11. 04. 2020, 15:12:07 »

? ? ? ? ? ? Ty chceš tvrdit, že je v silách běžného BFÚ objevit v routeru díru ? ? ? ? ? ? Pokud ne, tak ? ? ? ? ? ?

Budu už reagovat jen na toto.

BFU má dvě další možnosti:
a) Na dodávku si sjedná odbornou firmu a vymíní si, jakých kvalit žádá. Např. dvouletý provoz bezproblémový s jeho zvoleným ISP. Odborná firma pak zváží rizika (umí je zhodnotit) a předloží nabídku.
b) Pořídit to celé jako službu. Velká část operátorů nabízí kromě samoinstalace i plnou instalaci a pak si za to ručí jako za jeden funkční celek.

Pokud ale zůstává prioritou cena, musíte umět přijmout rizika z neodborné samoinstalace.

A možná ještě dodám:
Existuje spousta rizik, která se nedají eliminovat (aspoň ne na současném stupni poznání a stavu vývoje). Mnoho rizik můžete eliminovat jen tím, že něco dalšího nežádoucího způsobíte. Některé typy ochran uberou výkon a propustnost. Některé ochrání před jistým typem útoku za cenu nekompatibilit s některými aplikacemi (týká se hodně NATU/conntracku). => Z toho vyplývá i to, že proti všem rizikům neexistuje komplexní ochrana.

Jestli umíte vyrobit router, který bude vše splňovat, udělejte startup a lidi Vám utrhají ruce.

705

Sítě / Re:Reklamace WiFi routeru

« kdy: 10. 04. 2020, 22:45:01 »

Ve smyslu průniku ano. Bavíme se o dírách, tedy nikoli o DDOS útocích apod.

Asi se mi to plete, ale nepsal jste něco o zesilovacích útocích a prevenční povinnosti? Nicméně ani tak nelze firewall udělat neprůstřelný, historie zranitelností je dost pestrá a nevím, že by se to někomu opravdu kdy podařilo.

§2095 OZv  kterém o přiměřenosti prostě nic není. Vada je jednoduše cokoli, co znemožňuje obvyklé užití.

Vážně? Já tam tedy čtu: Nejsou-li jakost a provedení ujednány, plní prodávající v jakosti a provedení vhodných pro účel patrný ze smlouvy; jinak pro účel obvyklý. Je tam tedy zcela jasně zdůrazněno, že se ohlíží na zvyklosti (např. v oboru).

Jinak se k tomu vyjadřuje rovnou jeden z předních paragrafů OZ:

§ 4

(1) Má se za to, že každá svéprávná osoba má rozum průměrného člověka i schopnost užívat jej s běžnou péčí a opatrností a že to každý od ní může v právním styku důvodně očekávat.

(2) Činí-li právní řád určitý následek závislým na něčí vědomosti, má se na mysli vědomost, jakou si důvodně osvojí osoba případu znalá při zvážení okolností, které jí musely být v jejím postavení zřejmé. To platí obdobně, pokud právní řád spojuje určitý následek s existencí pochybnosti.

U kupní smlouvy tedy musí být prodejci zřejmé, k čemu výrobek kupujete (routerem nebudete okopávat zahradu). Jenže ono to platí i na druhou stranu. Pokud kupující nevyužije službu nějaké odborné firmy, která mu (pod smlouvou) zaručí fungování připojení (k internetu), je v postavení, kdy jí mělo být zřejmé, jaká rizika samoinstalace a provoz technického zařízení (routeru) obnáší. Je spousta lidí, kteří by si router nikdy nezapojovali a sjednají si odborníka. Bohužel je i spousta takových, co si myslí, že všemu rozumí... ...a jak to pak vypadá tu vidíme.

Dále pak u samotných ustanovení o záruce:

§ 2113

Zárukou za jakost se prodávající zavazuje, že věc bude po určitou dobu způsobilá k použití pro obvyklý účel nebo že si zachová obvyklé vlastnosti.

Zjevně si vykládáte slovo "obvyklý" jen jednostranně. Tedy že se má splnit to, co obvykle kupující očekává. Jenže jde jaksi o dvoustranný právní úkon a prodejce taky ručí jen za obvyklý stav.

A dále pak ještě:

§ 2116

Kupující nemá právo ze záruky, způsobila-li vadu po přechodu nebezpečí škody na věci na kupujícího vnější událost. To neplatí, způsobil-li vadu prodávající.

Nové hrozby jsou vnější událost. Stejně jako u toho airbagu.

Mimochodem, Vy považujete probíhající útok za běžné užití výrobku? Proboha, je to router!, který zároveň částečně umí (díky firewallu a dalším technologiím) odolávat i neběžným situacím - útokům.

Když budete mít router na přístupném místě, budete reklamovat i to, že šel rozšroubovat a jeho flash šla přečíst externí čtečkou? To je totiž také vektor útoku a ohrožuje bezpečnost stejně tak. Nebo v případě šroubováku chápete, že je na Vás, abyste měl router doma, staral se o něj a chránil ho?

Budete reklamovat u výrobce auta, že Vám ho někdo ukradl? Přeci výrobce měl povinnost instalovat takové zámky a imobilizér, aby to nešlo! Nebo i v případě auta rozumíte tomu, že za jeho provoz (a ochranu) jste odpovědný především sám?

? ? ?  To se fakt ptáš? Samozřejmě, že tak dlouho, jak dlouho má router záruku.

Opět špatně:

§ 2100

(1) Právo kupujícího z vadného plnění zakládá vada, kterou má věc při přechodu nebezpečí škody na kupujícího, byť se projeví až později.

A dále ještě:

§ 2103

Kupující nemá práva z vadného plnění, jedná-li se o vadu, kterou musel s vynaložením obvyklé pozornosti poznat již při uzavření smlouvy.

Vy jste si nevšiml té "drobnosti" že si nekupujete dvouleté aktualizace?

No a nakonec Vám srazí vaz i toto:

§ 2112

(1) Neoznámil-li kupující vadu bez zbytečného odkladu poté, co ji mohl při včasné prohlídce a dostatečné péči zjistit, soud mu právo z vadného plnění nepřizná.

Těžko pak můžete argumentovat, že se jedná o podstatnou vadu, na kterou jste sám nepřišel, a zároveň tvrdit, že výrobce o ní měl vědět.

Takže když si to shrneme:

• Pokud existuje vada hned od koupě a nemohla se dřív projevit, máte právo reklamaci poté, co se projeví.
• Pokud existuje vada hned od koupě, mohl jste ji (při dostatečné péči) zjistit, ale sám jste ji nezjistil, máte smůlu.
• Pokud existuje potenciální vada, která se projeví až později vlivem externích vlivů (útok), máte smůlu.
• Pokud vada vznikne až dodatečně (např. nové protokoly, ...), máte smůlu.
• Pokud daný projev není obvyklé (např. u srovnatelných výrobků) řešit, nejedná se o vadu a máte smůlu.

Chce to používat Logiku, a pokud si neumím představit digitální svět a přiměřeně do něj převést pravidla života, tak bych se raději do takových věcí neměl plést.