Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Pivotal

Stran: 1 ... 24 25 [26] 27 28
376
Zajímalo by mě, proč komunikují android aplikace (asi desítka), přesto že jsem je všechyn povypínal. Přeneslo se asi 20000 paketů:

Síťové aplikace: vše zakázáno
Systémové aplikace: vše zakázáno kromě Wifi direct a Proxyhandler


Hodnocení používání wifi:
Obchod: 10MB
Google backup Tr(víc appek) 4M
Chrome 360kB
Gboad 314kB
Youtube 184kB
Sys.učet 184kB
Google 62k
OS android 24kB
Chránič 20kB
Film 8kB
Jak je sakra možné, že vůbec ty aplikace něco přenáší přes wifi, když na ni kliknu (z toho využití wifi)-daná apliakce-  Mají mobilní data zakázáno, data na pozadí zakáznáo., roaming zakázáno. Jde nějak nastavit, aby aplikace nemohl přenášet data, pokud jim to nepovolím explicitně? Nemám root.

Dál by mě zajímalo co je zač za aplikace:
menu - správa dat a sítí: Hodnocení datového provozu:  tady jde o přenos přes mobilní data.
Tethering & hotspot - 400MB - souhlasí - to jediné je povolené
Systémový učet 1.5MB - co je to zač
1014 30 kB - co je to zač


377
Ahoj, mám takový problém, v jedné službě prasata do webové rozhraní nedali jednu důležitou funkci, takže je dostupná jen přes jakousi "appku" pro nějaký šejdroid nebo hnisavé jablko, tedy na šmatlafonech. na reports.exodus-privacy.eu.org má sice jen jeden tracker, ale jde o starší verzi (nynější verze má trackérů víc, viděl jsem i něco jako crashlytics).

Potřeboval bych z té "appky" něco "naklikat",  tudíž nejprv sehnat emulátor. Jaký je vhodný? Nechci stahovat 100MB kvůli jednomu příkazu. APK mám již stažen  (služby mirror-apk apod, z 2 zdrojů, shodný soubor).

Dál bych potřeboval appku spustit a případný https traffic stripnout, abych viděl jednak co to dělá a abych si do budoucna zapamatoval případnou komunikaci s řídícím serverem a nemusel tyhle svinstva absolvovat jen kvůli tomu, že to není dostupné přes https (Paradoxně jiné funkce tam jsou, ale zrovna tu co chci ne).

+ bych potřeboval něco jako realtime firewall, aby se to samozřejmě nepřipojilo k těm šmírovacím serverům (vyšle li aplikace  request, zastaví se v  jako debuggeru) a já určím co s requestem, zda "paket" nedoručit, nebo vrátit fake response  (dns / ip záleží také) -*-- pokud by tohle nešlo, stačilo by něco jako jednoduchý firewall, kdy appka bude mít vše zakázáno hned a budu povolovat jednotlivé domény (lépe streamy,ale asi nic není dokonalý), dokud to neb ude fungovat..


Existuje něco takovéhle ho, když člověk nemá možnost jak primitivní věc, která by šla přes http protokol, ale musel by kvůli tomu používat šmírdroid nebo si pořízovat lesklý patlafon?

378
Sítě / Re:Veřejná, neveřejná IP adresa
« kdy: 24. 06. 2019, 09:41:48 »
1 A jak si tím poskytovatel pomůže?
2 Co je nutné z hlediska konfigurace udělat, aby byl nat 1:1 ( u uživatele nebo u ISP)? 
3 odkud bere ISP IP adresy?
4. Jak v domácích podmínkách zjistím, zda je má připojení za NATem 1:1?
5. Jak tedy vypadá nat, když je opravdu dobře provozovaný?


Zatím to chápu tak, že jde v podstatě NAT se všemi nevýhodami (nemožnost navázat spojení zvenku, případně nutnost žebrat o port forwarding),
Jen by mě zajímalo jak je to s těma adresama, jaký je anglický termín pro tohle, případně odkázat na nějaký teoretický článek, který srovná NAT připojení, NAT 1:1 v dotazu a připojení bez natu na modelových případech a srovná toto mezi sebou s popisem rozdílů, výhod a nevýhod

379
Sítě / Re:Veřejná, neveřejná
« kdy: 23. 06. 2019, 23:08:55 »
Možná laický dotaz, ale zajímalo by mě to, jak se to liší od normálního připojení k internetu plnohodnotného, případně když jsem v privátní síti za domácím ADSL NATem (spíš co to s tím bude mít společného). Čili dá se toto uspořádat takto: Plnohodnotné připojení > nebo >= Situace v dotazu > Připojení přes domácí NAT 10.0.0.4. ? Jaké jsou výhody a nevýhody konektivity vůči těm 2 modelům?

Jaká je například IP adresa providera, jaká je IP adresa např 4 jeho zákazníků bez "veřejné", 4 jeho zákazníků se touto poloveřejnou a 4 jeho zákazníků s plnoveřejnou za 4xpříplatek? Jaké jsou v těchto případech vnitřní a vnější adresy? Jsou snad některé stejné?

Bude daný komp globálně dostupné z celého internetu? Budou na sebe vidět klienti daného providera? Jak zjistíma podle čeho, že jde o tento případ "poloveřejné"  IP? Je (moje) označení "poloveřejná" korektní? Stojí dané chování providera nějaké prostředky nebo ušetří něco oproti 2 zbylým stavům v úvodu (všichni za NAT, všichni IP kvalitně)

Zajimají mě spíš praktické odpovědi

380
Sítě / Tečka za doménou udělá hokej?
« kdy: 23. 06. 2019, 22:54:26 »
Zdravím, doufám, že jsem na správném fóru a záhadu se podaří vysvětlit jako nikde jinde.
Když do prohlížeče zadám doménu + tečku na konci + Enter, otevře se uplně něco jiného
Příklad: priklad.cz ....  IP 123.123.123.45, priklad.cz. .... IP 89.012.34.5, Příslušná hlavička host se přenese s tečkou na konci
(Možná lépe študovat na HTTP:80, než na HTTPS) Obsah stránky samozřejmě hlásí Bad request 400 (+ Invalid Hostname) , ale to je asi věc daného  konrétního serveru/httpd.conf (někde to možná vrátí defaultní virtualhost), jinde chrome vrací jeho chybovou hlášku "ERR_CONNECTION_RESET" - co je to zač, to je o OSI slupku níž ,tedy místo HTTP kódu, jde o zavření TCP?)

Jak je tohle chování ošetřeno, je na to nějaký standard? Proč to vrací jinou IP? Jde o známou běžnou věc, kvůli které ostřílení admini ani nehnou chlupama a nebo jsem objevil ameriKu?

381
To mě nenapadlo s tím maskováním IP. Ale nebude tam nějaký problém s ověřením pravosti DNS serveru (pokud to není něco jako DNS STRIP) nebo nedůvěrhodností?

A jak podobnou věc udělat na androidovém telefonu nebo linuxovém notebooku? Je na to nějaký hotoví balík/distribuce/container/"appka-pro mobil"?

382
Dobrý den, rád bych si udělal "osobní" zařízení, které bude jako přístupový bod do internetu, na který se připojím já nebo pár známých (nejde o hackery, ale běžné lidi, co se jen budou připojovat k netu) . Je to nespecifikované, o jaké fyzické rozhraní půjde, ale bude to buď:
-telefon s androidem (fuj, androidový telefon s nějakým OS)
-vlastní notebook s Softwarovým wifi AP
-domácí ADSL router (s wifi AP+ethernet)

Ale především mi jde o technologickou implementaci (viz níže, co je potřeba udělat aby to splnilo cíl) a softwarovou (konkrétní sadu programů). Základní problém je ne uplně jasný vztah DNS a IP (v různých prostředích, nastaveních a technologiích DNS-HTTP. DNS-TLS)

Cíl: Mám seznam domén, které blokuji, chci ,aby se k nim nikdo nepřipojoval (protože spousta joudů nezná /hosts nebo adblock filtry). Budou mít vlastní prohlížeč

Speciálně ještě jedna věc, chci blokovat například p8.adroll.com i e7.adroll.com --- > stačí mít v seznamu filtrů jen adroll.com a prohlížeč to pozná., Avšask hosts soubor tohle neumí (*.adroll.com nebo adroll.com) - nevím jak na linuxu

0. otázka: jak nastavit na daném AP DHCP kolonku DNS - předpokládám adresu daného AP, že to bude.
1. otázka: stačí  tam rozjet vlastní DNS (jaký pro dané 3 platformy??) a je vše vyřešeno? Jak si to poradí se blokací subdomén -- Upozornění: Nebudou se připojovat žádný hackeři nebo IT vzdělanci, kteří budou chtít prolomit systém, ale jde spíš o ochranu před všaljakými dalšími kanály, kudy může blokace domén nepozorovaně projít - viz DNS-HTTP, , auto proxy, omylem nastavené DNS browseru nebo prohlížeče, defaulntí dns prohlížečů Samozřejmě můžete odpovědět, jak udělat ochranu co nejvíc neprůstřelnou (ale to ani nejde, stačí https proxy)
2. otázka (stále use case je pro běžné uživatele, kteří nechtějí cíleně obejít systém, ale třeba používají cizí DNS nebo jiný způsob překladu a neví o tom ): má cenu blokovat dané IP adresy příslušející daným DNS?: zd e je další komplikace, že jedné IP může náležet víc domén? Existuje nějaké řešení, které umí zablokovat traffic na danou IP  podle hlavičky Host (a při https, že) pokud vím, SNI je opravené, že neleakuje nešifrovaně hlavičku a nelze poznat žádanou doménu, ale možná se pletu a nebo to není všude takhle.
 - Existuje nějaký nástroj (nebo veřejná databáze), který dokáže zjistit, zda dané IP náleží víc domén? nebo existuje nějaký daemon, utilita, která bude získávat IP adresy daných domén a bude si je dynamicky přidávat do blokační tabulky? Je to ale dilema, protože dopředu nelze rozhodnout , neví se ,jestli na dané IP neběží i služba, kterou je nežádoucí blokovat (takových asi několik bude ) a nebo na ní žádná neběží a nebo na ní běží samé nežádoucí (typicky příklad reklamních serverů jako adroll, grmtech apod)

3. Co je potřeba nastavit ve firewallu ( například blokace odchozích DNS paketů s jinými cílovým  adresami (8.8.8.8) než routeru nebo blokace příchozích DNS paketů s jiným cílem než "routeru") a zda je to potřeba.

4. A co když už uživatel "má resolvováno"? Je tohle v reálu nějaký problém nebo je TTL tak nízké, že se klient ptá na překlad často? (asi záleží na OS), ale běžný osobní notebook s windows/linux

383
A čo je henten "medior" po česky?

384
Hardware / Re:fanless mini pc z ciny
« kdy: 12. 06. 2019, 14:32:30 »
Ale asi zalezi cemu rikas domaci server protoze v tom chcipnul  procesorovy pes.$
To je co?

385
Odkladiště / Mají e-občanky revokační certifikát?
« kdy: 04. 06. 2019, 12:11:17 »
Zajímalo by mě, zda mají e-občanky také možnost revokačních certifikátů, aby se nestal ten bordel jako v pobaltí, nebo když se zjistí, že v občance je nezná čip ve tvaru zrnka růže jako v SuperMicroServerech.

386
na youtube/uložto nebo na harddisku není?

387
Standardní TLS komunikace je taková, že pokud si někdo uloží obsah šifrované komunikace a následně by se mu podařilo získat privátní klíč serveru, dokáže zpětně komunikaci rozšifrovat.
Tohle je ten zakopaný pes. Asi jen z historických důvodů mě zajímá, jestli tehdy bez PFC samotné šifrování probíhalo přímo asymetricky(klíčem byl přímo priv.klíč) a nebo symetrickou šifrou(která byla nějak dohodnuta  jinak pomocí Diffí Hellmana a  tudíž šla odvodit z zaznamenané komunikace.)

Takže dnes se https používá 3 algoritmy:
-asymetrická šifra( RSA / Eliptické křivky), aby klient mohl ověřit autenticitu serveru
-algoritmus  pro vyjednání (tajného + volatilního ) šifrovacího klíče- Diffí Hellman (RSA / EC)
- nějaká symetrická šifra (AES,RC4 slabá?) pro vlastní obsah
Není to jednoduché pochopit, co je zač, když to člověk nezná, navíc když je tam "popis šifry" 3x a a navíc Eliptická může být šifra i DH výměna, různé přípony způsobu řetězení bloků CEC,XTS. V chromu vidím zase kulový. Dřív to ukazovalo tohle, ale není to vidět ani v konzoli-Security ani u zámečku.

druhý příspěvek sem nepatřil. Ptal jsem se i na " obyčejné forward secrecy".

388
Předchozí příspěvek jsem chtěl změnit, ale neuložil se. Smazat už nejde.
Chtěl jsem se zeptat na další  věci:

  • Jaký je rozdíl mezi Obyčejným a Perfect forward privacy
  • Když se mluví o forward privacy u https, znamená to že bez něj (dřív) to fungovalo tak, že se k šifrování používal  jedno z tohoto?
    - veřejný a soukromý klíč serveru (furt stejný)-tedy asymetrická šifra. Ale i v klubu zahrádkářů se ví, že asymetrické šifry jsou tak 1000x pomalejší, takže to se mi nezdá, takže 2. možnost
    - symetrický klíč, který je nějak určen na začátku komunikace, ale pokud asym. klíče se dozví protiNSAtrana, dozví se i ten symetrický?
    _ Následně se to změnilo tak, že je klíč generovaný pomocí Diffí Hellmana (tudíž náhodný, kde náhodnost pochází od klienta i servera) a jeho pravost zaručena pomocí soukromého klíče serveru.  tím pádem tohle stačí k tomu, aby se dalo mluvit o forward secrecy?

389
No a to je právě to.  Předpokládám, že u DNSSEC je to stejné, že s jiným časem tedy nelze zaručit tu autenticitu a klidně mohu komunikovat s někým jiným jiným. Chci, aby mi to fungovalo i s jiným časem (se všemi riziky). Ale chci mít možnost, aby to fungovalo i takto a ne že, když budu mít jiné datum, tak v rámci bezpečnosti "nenavážu ani bajt".

O jaké DNSSEC klienty jde? systémové? v prohlížečích? je na to nějaký flag jako výše?

390
No a to je právě to.  Předpokládám, že u DNSSEC je to stejné, že s jiným časem tedy nelze zaručit tu autenticitu a klidně mohu komunikovat s někým jiným jiným. Chci, aby mi to fungovalo i s jiným časem (se všemi riziky). Ale chci mít možnost, aby to fungovalo i takto a ne že, když budu mít jiné datum, tak v rámci bezpečnosti "nenavážu ani bajt".

O jaké DNSSEC klienty jde? systémové? v prohlížečích? je na to nějaký flag jako výše?

Stran: 1 ... 24 25 [26] 27 28