Příspěvky

331

Odkladiště / Re:„Vše o datových schránkách“ na jednom místě

« kdy: 05. 10. 2022, 22:21:14 »

Datový trezor nepoužívám, mám aplikaci Datovka od CZ.NIC, a ta mi starší datovky zálohuje.

Tohle neřeší že vyprší elektronický podpis. Orazítkoval bych to minimálně přes OpenTimeStamps (když už nedokáže stát/pošta poskytnout vlastní razítkovou autoritu za rozumný peníz nebo klidně zdarma).

332

Sítě / Re:Doporučte firewall pro malou firmu

« kdy: 04. 10. 2022, 18:08:03 »

Osobně nevidím žádný důvod, proč tam dávat OpenWRT.

Jednak tazatel už teď provozuje router na normálním Linuxu a nebude se tak muset učit další OS a nepořídí si tím vendor lockin, jednak na RouterOS chybí základní nástroje pro diagnostiku sítě, pro začátek třeba tcpdump - neexistuje nic ekvivalentního "tcpdump -ni eth0 port 53" spuštěného přes SSH, musíte si zařídit přímou síťovou viditelnost, nastavit sniffer, filtry a přeposílat si to.

333

Distribuce / Re:Instalace Kali Linuxu na externí USB disk

« kdy: 04. 10. 2022, 03:09:51 »

ackoliv pozadovane "uchovani zmen pri rebootu" muze dosahnout i s live, regulerni instalace na tom bude vzdy lepe...

(mírně OT) Upřímně jsem nepochopil, proč ještě existují „live“. Osobně jsem si před pár lety nainstaloval na flashku normální Debian, ujistil jsem se že se všude používají UUID (takže to naběhne ať už se flashka detekuje jako jakékoli zařízení) a od té doby používám na servis to. A neřeším nějakou perzistenci s overlayfs a já nevím co, prostě to funguje.

334

Sítě / Re:Doporučte firewall pro malou firmu

« kdy: 04. 10. 2022, 00:59:18 »

Mikrotik RB750Gr3 s OpenWRT, nebo PC s Debianem - buď https://www.i4wifi.cz/cs/239600-pc-engines-apu-4d4 nebo něco „obyčejného“, třeba Intel NUC, co má ale málo síťovek, a k tomu switch s VLAN, což bude nedostatek síťovek kompenzovat.

První řešení žere málo elektřiny a je levnější, druhé řešení žere trochu víc elektřiny (ale všechno jsou to řádově jednoty Wattů) ale zase je to úplně plnohodnotný Linux co do hardwarových prostředků.

Failover se řeší tak, že si to koupíš dvakrát, a synchronizuješ konfiguraci - OpenWRT má přímo příkaz "sysupgrade --create-backup /tmp/backup.tgz", na Debianu budeš muset rsyncovat (nebo držet např. v gitu) /etc, v případě poruchy to kdokoli v malé firmě prohodí kus za kus a popřepojuje kabely do stejných děr.

335

Distribuce / Re:Instalace Kali Linuxu na externí USB disk

« kdy: 03. 10. 2022, 02:31:04 »

Tak si to zkus ve virtuálu nebo dej do googlu kali installer screenshots a podívej se že se disk vybírá až dost pozdě v procesu.

336

Odkladiště / Re:jak moc je whatsapp end-to-end?

« kdy: 03. 10. 2022, 02:20:23 »

z hlediska bezpečnosti je to lichá otázka, podívejte se na video zadržení Ratha, první věc co si od něj policie vzala byl jeho mobilní telefon, a taky první věc, co policie analyzovala.

No a co? Já třeba věřím tomu, že když mi někdo sebere počítač, tak pokud bude vypnutý, tak nemá vůbec šanci z něj cokoli dostat (disk šifrovaný LUKSem s heslem které fakt neuhádne), a pokud bude zapnutý/uspaný, tak pravděpodobně taky ne, i když u toho si tak jistý nejsem (napadají mě tři scénáře: 1) odkoukal mi předtím heslo k odemčení obrazovky, 2) zranitelnost přes USB/PCIe, 3) vyčtení zmražené RAM - ale to je prý u moderních DDR4 téměř nereálné).

Pokud (by) mobil dělal někdo s alespoň půlkou mozku, tak to bude stejně dobré, nebo dokonce lepší - bod 3 odpadá úplně (mobil má RAM připájenou na desce), bod 2 nejspíš taky, protože vystavená rozhraní bývají podstatně lépe kontrolována.

Proč by bod 3 odpadl, jestli se nepletu tak takhle nějak se dostávali do Applu pro FBI

Nespletl sis to s bodem 2? Myslel jsem, že se do toho dostávali připojením nějaké „speciální“ USB periferie.

3) vyčtení zmražené RAM - ale to je prý u moderních DDR4 téměř nereálné).

To je nerealne pokud pouzivas RAM encryption treba s AMD procesorem. Jinak jako proc by to nemelo jit?

To zatím není příliš rozšířené a tipoval bych, že to v noteboocích bude ještě později (spotřeba). A myslel jsem že to nejde protože 1) buňky jsou tak malé že ani zmrazené neudrží bez refreshe data ani chvilku (šlo by možná řešit nějakým strašně hustým mechanickým připojením co umožní to transplantovat bez vyndání), 2) při inicializaci se dělá nějaký náhodný scrambling (což je jen obfuskace, ale vyžaduje to značné reverzní inženýrství aby data člověk dekódoval).

Ale jak říkám, ruku do ohně bych za to nedal.

337

Odkladiště / Re:jak moc je whatsapp end-to-end?

« kdy: 02. 10. 2022, 15:58:49 »

z hlediska bezpečnosti je to lichá otázka, podívejte se na video zadržení Ratha, první věc co si od něj policie vzala byl jeho mobilní telefon, a taky první věc, co policie analyzovala.

No a co? Já třeba věřím tomu, že když mi někdo sebere počítač, tak pokud bude vypnutý, tak nemá vůbec šanci z něj cokoli dostat (disk šifrovaný LUKSem s heslem které fakt neuhádne), a pokud bude zapnutý/uspaný, tak pravděpodobně taky ne, i když u toho si tak jistý nejsem (napadají mě tři scénáře: 1) odkoukal mi předtím heslo k odemčení obrazovky, 2) zranitelnost přes USB/PCIe, 3) vyčtení zmražené RAM - ale to je prý u moderních DDR4 téměř nereálné).

Pokud (by) mobil dělal někdo s alespoň půlkou mozku, tak to bude stejně dobré, nebo dokonce lepší - bod 3 odpadá úplně (mobil má RAM připájenou na desce), bod 2 nejspíš taky, protože vystavená rozhraní bývají podstatně lépe kontrolována.

338

Odkladiště / Re:jak moc je whatsapp end-to-end?

« kdy: 02. 10. 2022, 02:10:50 »

• jak se tam ty klíče dostanou
• kdo tam ty klíče přenese
• a asi z toho vyplává, že ty klíče mohla na začátku znát i platforma

Jaké jsou předpoklady pro bezpečnou komunikaci?
1. Předání komunikačních klíčů out of band

Naopak, tohle se správně dělá tak, že si ty klíče vygeneruje ten uživatel / přímo na daném zařízení a nikdo další je nezná. Tak funguje asymetrická kryptografie. Není tak potřeba (soukromé) klíče někam přenášet nebo si je soukromě vyměňovat s lidmi se kterými chci komunikovat.

Problém je ale v tom, co správně uvádíš jako další - jak ověřit, že veřejný klíč co mám u nějaké protistrany, je opravdu této protistrany (tj. nikdo nedělá MITM), a další důležitá vlastnost, pokud se klíč protistrany změní, tak zda na to klient opravdu nepřehlédnutelným způsobem upozorní. A tady je právě ten problém - WhatsApp standardně používá jen ověření telefonního čísla pomocí SMS + distribuci veřejných klíčů přes své servery, takže je můžou změnit oni, operátor, kdokoli. Další věc je změna klíče: měnil jsem systém na kterém jsem měl WhatsApp nainstalovaný (z Androidu ve virtuálu na fyzický iPhone), data jsem nepřenášel, tj. ani klíče se nemohly nijak přenést/podepsat jeden druhým, a nikomu s kým jsem komunikoval pokud vím žádné varování nevyskočilo.

Jestli WhatsApp umí i nějaký bezpečnější režim (populární je třeba že se zobrazí QR kód s veřejným klíčem na displeji a protistrana si ho oskenuje a tím se navzájem ověříte), který to řeší, a jak dobře je řešeno, aby uživatel omylem nepřešel zpátky na ten méně bezpečný (protože úplně vidím jak provozovatel má osypky z toho, že se BFU ověří, pak si vymění telefon a pak jim to nebude fungovat a nebudou rozumět tomu co se děje), to nevím.

No a pak je tu ještě důvěryhodnost platformy na které se to typicky provozuje: na iOS je to celkem dobré pokud bezvýhradně věříš Applu, na Android-x86 na normálním počítači snad taky ale blbě se to používá, a na Androidu na fyzickém telefonu to bude tragédie, resp. záleží na výrobci a jaký zrovna adware, malware a díry tam přibalil a jestli vydal poslední bezpečnostní update před rokem nebo před pěti.

339

Server / Re:Apache s PHP: funkce echo nefunguje správně

« kdy: 01. 10. 2022, 17:00:02 »

Jako že nainstalovat do virtuálu Windows, nainstalovat WAMP a pak programovat ve Windows je jednodušší než nainstalovat balíček php.

340

Server / Re:Apache s PHP: funkce echo nefunguje správně

« kdy: 30. 09. 2022, 21:01:08 »

Jako že container nebude muset ladit ani tam nic instalovat. Protože ty containery (většina) jsou dělané tak že jsou by default nastavené aby fungovali a že stačí když namountuje adresář ze zdrojáky do jedné složky a nemá co pokazit.

To by člověk skoro řekl podle ostatních, co tu píšou, že na nainstalování apache a php (kde ten modul se navíc zapne sám) taky není co pokazit a je to jak nainstalovat ten kontejner. Bohužel tazatel z diskuze zdrhnul, a neřekl nám, jestli fakt jenom zapomněl nainstalovat php balíček (jak upozornil Filip Jirsák).

U kontejnerů bude muset umět zmíněné „namountuje adresář ze zdrojáky do jedné složky“, a pak také bude muset umět řešit perzistenci a aktualizace (oboje najednou) pokud zjistí, že potřebuje doinstalovat třeba nějaké php-gd.

BTW: HTTPS opravdu na lokále řešit nemusí.

Omlouvám se, přehlédl jsem že to má jen na lokále, v tom máš pravdu.

341

Server / Re:Apache s PHP: funkce echo nefunguje správně

« kdy: 30. 09. 2022, 00:54:54 »

To ako tu pracovat s kontajnermi sa tu uz riesilo milion krat a je to stale lepsie ako mu cpat wget

Jako že když bude ladit kontejner tak nebude potřebovat řešit „browser mi zobrazil prázdnou stránku a myslím si že je prázdná protože nevím jak fungují HTML tagy“ nebo „nastavil jsem si reverzní proxy aby mi to fungovalo se dvěma kontejnery a teď mi to blbě posílá HTTP hlavičky, potřebuju si je něčím snadno zobrazit“.

(omlouvám se že nedokážu pomoci přímo s jádrem problému, ale používám jiné technologie - Debian a lighttpd - a tam se to dělá takto:

Kód: [Vybrat]

apt-get install lighttpd php-cgi
lighttpd-enable-mod fastcgi
lighttpd-enable-mod fastcgi-php
systemctl restart lighttpd

přesný ekvivalent na Fedoře pochopitelně napsat nedokážu, ale obecně je potřeba nainstalovat balíček s příslušným PHP a modulem buď CGI nebo mod-php a následně ho zapnout)

342

Server / Re:Apache s PHP: funkce echo nefunguje správně

« kdy: 29. 09. 2022, 22:54:26 »

Zobrazí se prázdná stránka.

Musíš se podívat co ti server doopravdy pošle - teď jsem si to zkusil ve Firefoxu a obsah mezi <?php a ?> nezobrazuje (předpokládám že to v tomto případě bere jako neznámý HTML tag). Takže minimálně Zobrazit zdrojový kód. Ještě lepší je to ale testovat třeba wgetem, protože ti rovnou vypíše všechny hlavičky, délku obsahu, návratový kód serveru (200, 404, 500) atd.:

Kód: [Vybrat]

wget -S -O - http://localhost/mojestranka.php

Někdo zase má pro změnu rád vývojářské nástroje které jdou otevřít ve webovém prohlížeči a tam je panel "Network" a různé další panely kde je vidět spousta věcí.

Kontejnery jsou fakt "super" nápad na tohle, za chvíli tady budeme řešit jak spravovat kontejnery, jak konfigurovat věci uvnitř kontejneru a jak před kontejnery postavit reverzní proxy (s HTTPS!) protože potřebuje jeden kontejner na PHP a druhý na, já nevím, Python s Djangem.

343

Software / Re:Extrakce dat z videa pomocí OCR a export do tabulky

« kdy: 29. 09. 2022, 17:55:50 »

Ale je to fakt marny, protoze mi 1I detekuje jako 11 a nedokazu to nijak donutit, ze ta I neni 1.

Hodně pomáhalo správně nastavit DPI - když je blbě, tak se nechytá. Na screenshotu tedy podle velikosti fontu.

Potřeboval bys to dotrénovat na daných datech/fontu, a vyrobit jazykový model, který bude odpovídat tvé technické aplikaci. Možná, že pokud jsou to dost jasné věci (čísla, známý alfanumerický formát…), tak by se ten model dal i ručně nahardcodovat.

Pokud je obrázek skutečně statický, tak by možná šlo udělat klasifikátor i ručně. Na screenshotu by to mělo být jednoduché - vezmeš si těch 10 číslic a protože je to pixel-perfect (OK až na nějaký hinting/antialiasing) tak by to mohlo jít matchovat normálně natvrdo jako pixely. Na té kamerce už to bude chtít nějakou „inteligenci“, doufal bych že zvládnu natrénovat nějaký triviální klasifikátor třeba dle MNISTu na pár vzorcích.

344

Server / Re:Port forward na Wireguard klienta

« kdy: 28. 09. 2022, 21:21:01 »

Ještě reuseaddr. Každopádně jsem to taky používal a problém je při dlouhodobějším použití že tam je hromada dětí co jsou zaseknuté a nechtějí skončit. Používáme to v práci na náhodné SSHčkování a za poslední měsíc vidím 50 procesů co vytuhly. Nevím jestli se to stane když protistrana vytimeoutuje a proč to nevytimeoutuje po čase celé a neskončí to.

345

Software / Re:Čím rozmazat SPZ ve videu?

« kdy: 26. 09. 2022, 12:30:11 »

§ 55
(1) Na bicykli sa jazdí predovšetkým po cestičke pre cyklistov. Po cestičke pre cyklistov sa jazdí vpravo. Kde cestička pre cyklistov nie je alebo nie je zjazdná, jazdí sa pri pravom okraji vozovky.

FYI diskuze je o ČR a tady je to tak, že naprostá většina „cyklostezek“ jsou stezky pro chodce a cyklisty kde to (logicky) platí pokud pro tebe platí ta značka (e.g. je správně umístěná, přičemž co tohle znamená je nedořešené, protože v realitě člověk narazí na všelijaké kreativní instalace) a stezka vede „v daném směru“ (opět nedořešeno co přesně to znamená a good luck tohle zjistit v místě kde to dobře neznáš).

A paradoxně pro stezky pro cyklisty tato povinnost neplatí pokud by tím mohla být ohrožena bezpečnost nebo plynulost provozu na pozemních komunikacích.

a na 100% siel po ceste ktorej mal? Co ak tam bola cyklo cesta a on po nej nesiel lebo "pan cyklista" sa tak rozhodol? Nebolo to v nieakej neprehladnej zakrute? Nepriplietol sa pre kamion s bocnej ulicky a kamionak ho proste nemal sancu zbadat? Neviem ako v CZ ale na Slovensku je 99% "cyklobuzien" presvedcenych o tom ze cesta je primarne pre nich a ked sa rozhodnu ist stredom tak to vsetci musia respektovat. Druhy extrem su kolebezkary. akurat minuly tyzden jedneho zobralo auto lebo chlapec sa mimo obec rozhodol v neprehladnej zakrute kde je plna ciara len tak prejst na druhu stranu a samozrejme rovno do auta ktore nemalo ziadnu sancu nehode zabranit.

Nevím o tom, že by tě nějaké z uvedených porušení zákona protistranou nebo nepříznivých vlivů („v nieakej neprehladnej zakrute“) opravňovalo ujet od nehody a neposkytnout první pomoc.

Porovnavas 2 rozne veci. dialnica je spoplatnena, takze tam nie je povinnost ist.

OK, cyklostezky jsou zase téměř vždy defektní jak jsem psal…