Příspěvky

8116

Sítě / Re:IPv6 - Pověry a fakta

« kdy: 20. 09. 2012, 04:01:02 »

To není pravda, je to naopak velmi jednoduché: iptables -A OUTPUT -m owner --uid-owner apache -j DROP

Ok, každý máme jiný způsob práce. Pokud myslíš, že má smysl mít firewall, kde budeš vyjmenovávat všechny uživatele, kteří nemají komunikovt ven, a že udržování takového firewallu je efektivní, tak pak jo. Však jsem taky psal, že to je "v podstatě" nemožné. Principielně je možné všechno, jde jenom o to, jestli efekt odpovídá námaze a jaké jsou vedlejší efekty.

8117

Sítě / Re:IPv6 - Pověry a fakta

« kdy: 19. 09. 2012, 17:11:15 »

A teď trochu konstruktivnější odpověď. Síťové služby jsou přirozeně určené k tomu, aby se na ně někdo připojil. Tudíž je lze (resp. mají být nastavené s ohledem na bezpečnost) nastavit tak, aby byly bezpečné.

No konečně někdo se zdravým selským rozumem!

Jediná poznámka: ve firemních sítích většinou člověk chce pásek i kšandy. Primárně proto firewall. Doma je to jinak - a o domácích uživatelích tady byla řeč především.

Ano, ostatní služby na serveru nemají co dělat. Ale co když se tam omylem dostanou?

To je argument jak noha

Mám podobný: root má mít rozumné heslo. Ale co když má omylem heslo prázdné?

Typický příklad: děravý webserver (např. za pomoci PHP) umožní útočníkovi cosi spustit - a útočník zkusí buď odchozí síťové spojení, nebo naslouchat na nějakém portu. V tomto případě je firewall který tomu zabrání prostě nutnost.

Tak jako tak zkusí odchozí spojení - a tomu zabránit je v podstatě nemožné.

8118

Vývoj / Re:K čemu je v Javě prázdný String konstruktor?

« kdy: 19. 09. 2012, 16:57:30 »

Diskuse byla v podstate o tom, ze pokud stejne musim vedet, ze jde o tridu String a jeji konstruktor bez parametru, a zaroven je zaruceno, ze tento konstruktor musi vratit novou instanci, ktera je obsahove shodna s konstantou prazdny retezec, tak mohu rovnou vratit konstantu prazdny retezec a na volani konstruktoru se vybodnout. Tedy by se zdalo, ze se bez tohoto konstruktoru da obejit a odtud puvodni otazka, proc tam vlastne je.

No výborně. Od odboček jsme se vrátili zpátky k tématu. Přesně kvůli tomuhle, co píšeš, nechápu, proč by ten konstruktor měl být nutný - pro String beztak potřebuju speciální zacházení, takže místo String() tam můžu dát prostě "".

8119

Vývoj / Re:K čemu je v Javě prázdný String konstruktor?

« kdy: 19. 09. 2012, 10:14:01 »

Aha, koukam, ze o generikach v jave nic nevis. Souhlasim, ze je to duvod, proc bys je nemel pouzivat.

Je to pravda, že generika v javě jsou v podstatě jenom syntaktický cukr - všechno se provádí jenom při překladu a v runtime už je všechno přeložený v podstatě stejně, jako by to bylo v době, kdy ještě generika neexistovala?

To by pak měl Ondra celkem pravdu, že to je nuda...

8120

Sítě / Re:Síťová bezpečnost a IPv6

« kdy: 18. 09. 2012, 20:55:34 »

GRE tunelem na vnější adresu NAT krabičky?

No to by ale krabička musela GRE pakety přijímat a rozumět jim, ne?

Třeba přes Loose Source Routing. Ale je to trochu sázka do loterie, spousta routerů takové pakety blokuje

Odhaduju, že počet se bude limitně blížit 100%...

8121

Sítě / Re:Síťová bezpečnost a IPv6

« kdy: 18. 09. 2012, 17:21:46 »

pak uz mi jen staci na jeho verejnou IP poslat paket, kde bude cilem privatni IP - router s nim nalozi zcela normalne = odroutuje ho => klido muzu i scanovat porty.

A jak dosahnu toho, aby takovy paket prosel internetem?

8122

Vývoj / Re:K čemu je v Javě prázdný String konstruktor?

« kdy: 18. 09. 2012, 15:08:05 »

No nic, vidím, soudruhu Lenine, že jsi výhrady vůči mimoběžnosti tvého plkání k původní otázce buď nepochopil nebo nevzal v potaz.

Když dovolíš, nemusím na sobě v tomhle ohledu makat, protože v Javě nedělám a dělat nechci. Jednak nejsem primárně programátor, jednak v současnosti používám hlavně Erlang. I ne úplně dobrá znalost Javy stačí na to, aby člověk poznal, jak vaříš z vody.

S dovolením komunikaci s tebou končím, nic mi nedává.

8123

Sítě / Re:Síťová bezpečnost a IPv6

« kdy: 18. 09. 2012, 07:50:23 »

P.S. navrhuju založit nové téma "Kdo si vezme na triko, aby lidi neklikali na prilohu i_love_you"

8124

Sítě / Re:Síťová bezpečnost a IPv6

« kdy: 18. 09. 2012, 07:46:54 »

Přijde IPv6, router vyhodíš, protože nebyl IPv6 kompatibilní a provider ti řekne, že už ho stejně k ničemu nepotřebuješ, že ti stačí switch a situace se radikálně změnila. Kdo se má postarat o bezpečnost? Je to povinnost providera? Asi o tom nemá ve smlouvě ani zmínku a určitě si to nikdo z nich dobrovolně na triko nevezme. O tom je celá debata.

A kdo si bere na triko, když si k UPC modemu (bridge, veřejná IP) nepřipojím router, ale jeden počítač?

Jednu dobu to UPC dokonce mělo v podmínkách, že tam může být jenom jeden.

Kde se bude starat? Nikdo. Když si koupím soustruh, tak taky nikdo nebude kontrolovat, jestli u soustružení nosím brýle - a myslím, že lidské zdraví je daleko větší hodnota, než bezpečnost našich domácich PC.

8125

Vývoj / Re:K čemu je v Javě prázdný String konstruktor?

« kdy: 18. 09. 2012, 00:43:13 »

No což o to, já vím, jak to myslel. Spíše mne ale zajímá, pokud to jde udělat, tak jak? Hodil by se prostě přiklad kódu.

No hlavně to nejde udělat u Stringu, takže to je úplně mimo mísu. Stejně pro jakýkoli String obecně musím mít nějaké speciální zacházení, takže nechápu, proč bych to speciální zacházení neměl mít ausgerechnet u prázdnýho Stringu...

Ale už bych se v tom nerejpal, tahle debata je ujetá.

Podle mě to do API dali prostě proto, že to nic nestojí a asi jim to připadalo logciký. A jestli to má nějaký využití? No v hodně mokrých snech asi jo...

8126

Vývoj / Re:K čemu je v Javě prázdný String konstruktor?

« kdy: 18. 09. 2012, 00:25:41 »

Framework může vytvořit objekt za použití prázdného konstruktoru a pak ho "dodělat" pomocí java.lang.reflect.*.

Jak konkrétně by se dal dodělat?

Nejspíš myslel vytvořit "prázdný" objekt "prázdným" konstruktorem a pak nastavit všechny vlastnosti pomocí java.lang.reflect.Field nebo tak něco...

Tahle myšlenka má jednu drobnou vadu: nemá to absolutně žádnou souvislost s tím, proč má String neparametrický konstruktor. (Nebudeme snad doufám tvrdit, že ho má proto, abysme mohli vytvořit prázdný String a potom ho pomocí reflect.Field změnit...)

8127

Vývoj / Re:K čemu je v Javě prázdný String konstruktor?

« kdy: 17. 09. 2012, 23:59:42 »

No vidite, tak jste na to prisli. Pokud jde o objekt varianty typu ala Integer, tak ty se diky efektivite serializuji jako primitivni typy a ne jako jejich objekt varianty.

Aha, mně to hnedka nedošlo, máš úplnou pravdu! Natix se ptal, proč autoři Javy do API ten konstruktor dali - a ono to bylo takhle:

A: Ty hele, ta naše serializace je zatraceně pomalá!
B: To je v poho, vyrojí se spousta knihoven, který to budou dělat líp.
A: No jo, jenže nebudou potřebovat String()?
B: No, my to obcházíme neveřejnýma funkcema...
A: Tak jim tam ten String() dáme, ať nám tu serializaci můžou udělat pořádně!

Tak to jo.

Stejně to ale museli být pěkní vohnouti, když to vyřešili takhle, místo aby udělali pořádný rozhraní umožňující custom serializaci...

No ale hlavně že to teda už vím a můžu už googlit jenom porno.

8128

Sítě / Re:Síťová bezpečnost a IPv6

« kdy: 17. 09. 2012, 23:52:54 »

Ach jo. Co je na tom tak složitého/magického/fascinujícího?

Když nějaká služba nemá být veřejně dostupná, nemá být veřejně dostupná - tj. nemá vůbec poslouchat na veřejně vystaveném rozhraní/adrese.

Pokud mám software, který tohle nerespektuje, neumím ho nastavit nebo chci mít systém "pásek a kšandy", mám firewall.

Pokud žádné služby ven poskytovat nechci, mám firewall zvenku zavřený.

Rozdíl situace "IPv6+zvenku_zavreny_firewall" a "IPv4+NAT" je v tom, že když za tím zařízením budou dva lidi, kteří si budou oba chtít explicitně povolit port 22, tak v první situaci si ho prostě povolí (oba), ve druhé si ho (oba) nepovolí i kdyby se rozkrájeli.

Fakt nechápu pointu těchle debat.

8129

Server / Re:HA cluster napříč sítěmi

« kdy: 17. 09. 2012, 21:00:08 »

Anebo muzes replikaci delat na jeste vyssi DB urovni(Oracle, Informix). Kazdy z tech pristupu ma svoje vyhody a nevyhody.

Jeste tady nezaznělo, že failover se dá dělat i ještě výš - na aplikační úrovni. Erlang by na to měl mít docela slušnou infrastrukturu.

A pak ještě asi nějaký to OpenVMS, ale to už je asi dost mimo horizont většiny z nás

8130

Sítě / Re:Praktické dotazy k IPv6

« kdy: 17. 09. 2012, 17:02:59 »

Co? Kterej Mikrotik? Mám RouterBoardy 433 a 750 a na obou si můžete porty poskládat, jak uznáte za vhodné

There are five individual Ethernet ports. Ports 2-5 are connected to a switch and can be switched together by
an option in the RouterOS software.

http://routerboard.com/pdf/356/rb750gl-ug.pdf