Příspěvky

46

Windows a jiné systémy / Re:Notifikace nového emailu

« kdy: 24. 04. 2023, 16:06:27 »

Ten primární účet posílá notifikace do mobilu speciálním kanálem pro notifikace. Tj. mobil může být částečně uspaný, server pošle notifikaci o novém e-mailu, mobilní síť pošle mobilu signál, že pro něj má data, mobil se probudí do plného běhu, přijme komunikaci a zobrazí notifikaci.

Mobilní síť pošle mobilu signál, že pro něj má data? Uhf? Tak to ale přece vůbec nefunguje. Ty notifikace se řeší na L7, tj. na aplikační úrovni, mobilní síť s tím nic společného nemá, tohle jsou vše internetové služby.

Je to problém implementace IMAP protokolu na klientu a podpory na straně serveru. Gmail je implementován přes svoji api. O jakého email klienta se jedná? A kdo provozuje imap?

IMAP protokol podporuje příkaz IDLE (to tady je 25 let), kdy klient si vyžádává od serveru informace o nových zprávách. Je ale nutná aktivní spolupráce klienta, TCP spojení se neudržuje věčně, ale klient se musí zeptat, v rfc je myslím horní čas kolem 30 min, prakticky se ptají klienti rychleji.

Problém u imapu je, že IDLE je druhý kanál, pokud si klient sám emaily v rámci nějakého kolečka stáhne, IMAP mu už IDLE/PUSH neposkytne a pokud klient má navázané notifikace pouze na IDLE, nezobrazí ti notifikace. Tenhle problém měla celá řada klientů vč. Outlooku.

Zkus jiného email klienta, na Android jich máš celou řadu, třeba nějaký bude notifikace zobrazovat přesněji.

47

Software / Re:TLSA kontra SSH

« kdy: 21. 04. 2023, 13:14:17 »

Nac to chces, co chces docilit?

Openssh umi pam, a tudiz pokud najdes/napises si, bude pouzivat cokoli co chces.

pam je ale až přihlášení, před ním se musí ověřit identita serveru. Ale ano, je lepší popsat, jaký problém se řeší než nastínit řešení a chtít ho zfunkčnit.

48

Studium a uplatnění / Re:Plat Java vývojáře na živnost

« kdy: 21. 04. 2023, 12:59:53 »

a je mi jedno, odkud vlastně pracují, jen to musí být ČR a práce ze zahraničí se musí domluvit smluvně.

A to predpokladam, ze tu cizinu resis ve finale jen kvuli statni sikane skrze zakony, abys nemel problem s bernakem.

Berňák je vlastně v pořádku, teda pokud by tam zaměstnanec nebyl víc než půl roku, pak mi tam vznikne provozovna a musím tam řešit daně a odvody tam. Na krátké cesty je problém hlavně BOZP (musí být podle lokálních předpisů), ochrana dat, pojištění a pracovní úrazy, za vše jsem odpovědný a ze zahraničí se to řeší hůře, takže je potřeba si dopředu nějaké mantinely sjednat a zajistit. Pak je lepší to řešit jako pracovní cestu a nikoliv jako místo práce. Mluvím teda jen o EU, nemám zkušenost s prací někde dál.

Ty to nazýváš šikanou, ale ve výsledku to je prospěšné pro všechny strany, jen papírování by mohlo být snažší. Některé země vůbec práci ze zahraničí neumožňují, jiné to neřeší a pak ten člověk je v jiné zemi jako turista se všemi důsledky a bez právní ochrany (tj. může třeba dostat výpověď, protože nebyl oficiálně v práci; spolupracuji s Větnamci a mají to tam právě takhle vtipně na černo).

49

Software / Re:TLSA kontra SSH

« kdy: 21. 04. 2023, 12:16:14 »

ssh host key můžeš mít podepsaný svoji CA a ověřovat pouze CA při přihlášení, nestačí ti tohle?

50

Studium a uplatnění / Re:Plat Java vývojáře na živnost

« kdy: 21. 04. 2023, 09:19:16 »

Paradoxně jdou platy lehce dolu, protože se zvyšuje nabídka na straně uchazečů. Remote je už běžnou součástí spousty firem, jde o to si jen vybrat. Pokud je někdo neschopný a chce se flákat, je úplně jedno, kde sedí, cestu si vždy najde a je to vždy odpovědností nadřízeného, aby to vyřešil nebo nechal.

v IT jsem začínal pracovat za 10 násobku průměrné mzdy, dnes zaměstnávám lidi, kteří mají 2 - 3 násobek, tyhle nůžky se asi budou postupně zmenšovat i nadále a je nesmysl pořád trvat na 10 násobku. Stejně tak, když jsem začínal, bylo běžné, že junior toho moc neuměl a musel se hodně zaučit, dnes junioři jsou s diplomem, umí programovat v jednom, dvou jazycích, rozumí algoritmů, umi se v tom orientovat, obvykle už první/druhý týden dokáží produkovat produkční věci a v během zkušebky často příjdou s výrazně inovativními nápady. Remote není problém ani u juniorů, ze zkušenosti se dokáží zapojit a učit stejně rychle jako on-site, někdy to je dokonce lepší. Odpadá totiž všudepřítomné rušení v prostředí, mluvení o ničemu, ty cally jsou efektivnější. Remote dnes neznamená, že sedím doma a nikam nejdu, naopak i u nás vznikají v malých městech sdílené kanceláře a ti lidé tam chodí, já to klukům třeba proplácím, pokud chtějí a je mi jedno, odkud vlastně pracují, jen to musí být ČR a práce ze zahraničí se musí domluvit smluvně.

Vloni jsem přešel na práci komplet ve webovém IDE (ala codespaces co má github), odpadlo nekonečné nastavování všeho při onboardingu, funguje to se všemi OS a stačí pouze zajistit nějakou základní hygienu pracovní stanice a poslat token na přihlašování. Nejsem první a ani poslední, který na to přešel. Korporáty ale pořád hodně běží na nekonečném nastavování notebooků, může klidně zabrat i týden práce, ale jde si vybrat firmu, kde to tak není.

51

Server / Re:Optimalizace TCP-in-TCP v SSH

« kdy: 13. 04. 2023, 12:51:31 »

tohle přece není ani tak problém TCP-in-TCP, ale v tom, že ssh čeká na ACK pořád dokola, takže čím vyšší latence, tím je propad o to vyšší.

Mrkni třeba na HPNSSH (https://www.psc.edu/hpn-ssh-home/) nebo přestaň tunelovat přes ssh a použij nějakou VPN (wireguard, tinc, stunnel).

52

Hardware / Re:Poraďte box k televizi

« kdy: 09. 03. 2023, 16:54:24 »

Co apple TV? Má vše, co máš v požadavkách, teda až na instalaci linuxu.

Tak dlouho jsem hledal podobný box na TV s linuxem, aby to dokázala ovládat rodina a fungovalo to na vše, až jsem pořídil Apple TV, napojil na nasku, koupil v Apple app storu aplikaci Infuse pro přehrávání videí z nasky (4k zvládá, jen to nesmíš mít na wifi).

Výhoda je, že pro vlastní potřebu mohu používat intel nuc s linuxem, ovladač a ani cec nepotřebuji, nemusím řešit, že to zbytku rodiny nefunguje nebo občas musí u některých videí čekat dlouho než se transkóduje (protože open source a kodeky s HW offloadováním jsou tak trochu nespolehlivé u těch spousty formátů).

53

Server / Re:Bezpečná distribuce hesel a privátních klíčů

« kdy: 03. 03. 2023, 14:14:20 »

V závěru je snad úplně jedno co za "tajemství" je tam uložené ne?
Důraz na zabezpečení je pro všechna uložená "tajemství" stejný.
Některé hesla mohou napáchat mnohem větší škody než privátní klíč.

No, tiket pre kerbera je unikatny pre kazdeho user@host. Cize je mozne definovat ze user@host1 sa dostane na user@host2, a user@host2 sa dostane na user@host3. Mozete si v tomto pripade kopirovat tikety ako chcete, user@host1 sa nedostane priamo na user@host3 a uz vobec sa neostane user@host4 na user@host2 alebo user@host3...

to je trochu nepřesné. V kerberosu většinou mám UPN ve stylu <user>@REALM, který nese identitu konkretního uživatele, poté mám SPN něco jako host/<hostname>@REALM, který nese identitu konkrétního zařízení nebo obecněji <service>/<hostname>@REALM, které identitu konkrétní služby na konkrétním zařízení. Přes policy/ACL poté mohu určit z jakých SPN akceptuji UPN pro uživatele, protože UPN není vázáno na hostname jako je SPN. Zbytek je pak v duchu jak píšeš, mohu si určit, kdo může komunikovat s kým, nikoliv ale na úroveň pouze hostname, ale i na úroveň služeb.

Uživatel pak třeba svůj UPN ticket (krbtgt) získává prokázáním své identity ať už jenom zprostředkovaně přes SPN ticket daného zařízení nebo aktivně zadáním hesla či potvrzením přes 2FA aplikaci. Ticket je vygenerován a podepsán pro každé takovéhle přihlášení znovu.

Pokud jde o aplikace, ty si mohou při spuštění od KMS (či třeba od Hashicorp vault nebo Directory service) vyžádá svůj SPN ticket, které je vázáno na host, z kterého žádost posílá, s ním pak může komunikovat s předem danými službami či si vyžádat další přístupové údaje (connection stringy do legacy systémů, např.). Výhoda tohohle řešení je, že ACL pro host můžeme nastavit v momentě deploymentu, kdy víme na které sítí a hostnamu bude daná služba, ta si poté může vyžádat další přihlašovací údaje, pokud by existoval MitM útok, nestačilo by mu komunikaci odposlechnout a udělat repply attack nebo komunikaci modifikovat. Přístupové údaje nejsou nikde na serverech persistované, nelze je vypátrat na disku, visí pouze v paměti a jsou platbné pouze pro konkrétní pár host/service - host/service.

Pokud někdo nemá či se nechce pitvat s kerberosem, lze využít jednorázové schránky s hesly. Podporuje třeba hashicorp vault jako wrapped response (počet použití 1 a TTL cca 1 minuta je ideální), v ní může být připravena celá sada hesel, které daná aplikace potřebuje, identifikátor dostane při jejím spuštění (env proměnná, argument), data si vyzvedne přes https požadavek, po vyzvednutí se smažou, případně se smažou sami do minuty. Nezůstávají tedy opět nikde persistentě žádné přihlašovací údaje na prostředních a třeba CI/CD je nikdy nevidí, vidí je až aplikace, ta si je nechá v paměti.

54

Server / Re:Bezpečná distribuce hesel a privátních klíčů

« kdy: 03. 03. 2023, 10:12:01 »

řešení je velká řada, máte Doménu a můžete upravit aplikaci? Pro takové řešení je asi poměrně robustní použít kerberos z domény a ať si o hesla požádat až aplikace svým SPN, příjdou jí zašifrovaná, zůstanou pouze v paměti a neválí se nikde na disku.

me vzdy pobavi, jak se pri honbe za hyperbezpecnosti dojde do stavu, kdy se 'predavaji privatni klice'

mě zase vždy pobaví, když si lidé myslí, že bezpečnost se dá nejlépe řešit privátním klíčem uloženým persistentně na lokálním disku.

55

Windows a jiné systémy / Re:Spuštění instalace Linuxu pod Win XP nebo 8.1

« kdy: 02. 03. 2023, 16:06:11 »

tak instalování linuxu je vlastně naformátování oddílů, připravení /boot a rozbalení zbytku do /, pak si občas nějaká distribuce dělá nějaké kejkle navíc, ale to není krytické a ani podstatné, podstatné je, že tohle vše je možné dělat přes cygwin vč. spuštění některých scriptů pro instalaci z distribucí (samozřejmě pouze headless, bez grafického rozhraní).

Kdysi jsem takhle něco instaloval a disk připravoval, někteří klienti mají občas obskurní požadavky, že se linux server instaluje pouze z Windows stanice.

Ono to ve výsledku není tak složité, potřebuješ Ext2Fsd driver, který ti umožní mountovat a pracovat s ext4 diskem, poté postupuješ podle distribuce, např. u alpine linuxu stačí pouze rozbalit soubory na správné umístění, u ubuntu stačí vzít jejich .iso, to rozbalit a přidat k tomu cloud-config s autoinstall nastavením, pak při prvním spuštění se systém sám nachystá, u centos stačí stáhnout jejich .img a tu rozbalit na disk atd.

Pokud ti tyhle hinty nestačí, nedělej to a prostě si nabootuj s flashky a projdi si průvodcem.

56

Sítě / Re:HW hotové řešení IDS/IPS, security onion

« kdy: 02. 03. 2023, 08:55:14 »

firem je tady celá řada, mrkní na velké konzultačky, všechny dodávají hotová/polotohová řešení

57

Vývoj / Re:Lua a cyklus

« kdy: 24. 02. 2023, 13:06:16 »

jenže lua nevyhazuje chybu "out of rage" při přístupu k neexistujícímu prvku v poli, vrací pouze nil, když prvek neexistuje.

ta část "to index" v chybové hlášce je sloveso, říká, že nemůže přistoupit na nějaký prvek/vlastnost u typu "nil". Text v závorce "field '?'" mi zase říká, že prvek na který přistupuji není explicitně ve výrazu zadaný, ale pochází z proměnné, tady je jen proměnná t, takže viník je nalezen hned.

Když se kouknu do zdrojáku, tak tam je v řětězci několik volání atributů a indexů v poli v rámci výrazu "table.properties.timeseries[t].data.instant.details.air_temperature", jakýkoliv prvek v pořadí může neexistovat a vrátit hodnotu nil, pak bude i následný prvek uveden v chybě jakou hodnota field, programátor by to měl ověřovat a nespoléhat na správnou strukturu.

Lua je takhle navržena, s tímhle design vznikla a takhle funguje tak 30 let.

58

Vývoj / Re:Lua a cyklus

« kdy: 24. 02. 2023, 12:14:11 »

Docela by mě zajímalo, proč interpreter Lua, který je na světě tak dlouho, nedokáže vyplivnout smysluplnou chybovou hlášku pro tak jasný problém. 

chyba "attempt to index a nil value" na řádku 19 mně příjde dostatečně vypovídající. Pokud prvek v poli neexistuje, vrací se nil, chyba odkazuje na to, že se snažím k přistupovat k atributu hodnoty nil.

Jak by podle tebe ta chyba měla znít? Vždyť interpret neví, jestli náhodou tam nedáváš pole, kde máš i prvek s indexem 0

59

Vývoj / Re:Lua a cyklus

« kdy: 24. 02. 2023, 09:40:23 »

já se nejraději účím ze zdrojáků a testy přímo pro luu samotnou mi příjdou nejlepší https://github.com/lua/lua/tree/master/testes, hlavně vidím jak to autoři zamýšleli, co je pokryté a funguje v pořádku.

60

Vývoj / Re:Lua a cyklus

« kdy: 23. 02. 2023, 13:29:24 »

a víš, že lua indexuje pole od 1? asi by mělo být "for t=1,6".

Ta chybová hláška ti jasně říká, že index t není v poli nalezený, tj. nemáš správně ošetřený přístup k poli, to je asi hlavní příčina chyby. Netuším jaká máš  vstupní data...