Příspěvky

391

Sítě / Re:Veřejná, neveřejná

« kdy: 23. 06. 2019, 23:08:55 »

Možná laický dotaz, ale zajímalo by mě to, jak se to liší od normálního připojení k internetu plnohodnotného, případně když jsem v privátní síti za domácím ADSL NATem (spíš co to s tím bude mít společného). Čili dá se toto uspořádat takto: Plnohodnotné připojení > nebo >= Situace v dotazu > Připojení přes domácí NAT 10.0.0.4. ? Jaké jsou výhody a nevýhody konektivity vůči těm 2 modelům?

Jaká je například IP adresa providera, jaká je IP adresa např 4 jeho zákazníků bez "veřejné", 4 jeho zákazníků se touto poloveřejnou a 4 jeho zákazníků s plnoveřejnou za 4xpříplatek? Jaké jsou v těchto případech vnitřní a vnější adresy? Jsou snad některé stejné?

Bude daný komp globálně dostupné z celého internetu? Budou na sebe vidět klienti daného providera? Jak zjistíma podle čeho, že jde o tento případ "poloveřejné"  IP? Je (moje) označení "poloveřejná" korektní? Stojí dané chování providera nějaké prostředky nebo ušetří něco oproti 2 zbylým stavům v úvodu (všichni za NAT, všichni IP kvalitně)

Zajimají mě spíš praktické odpovědi

392

Sítě / Tečka za doménou udělá hokej?

« kdy: 23. 06. 2019, 22:54:26 »

Zdravím, doufám, že jsem na správném fóru a záhadu se podaří vysvětlit jako nikde jinde.
Když do prohlížeče zadám doménu + tečku na konci + Enter, otevře se uplně něco jiného
Příklad: priklad.cz ....  IP 123.123.123.45, priklad.cz. .... IP 89.012.34.5, Příslušná hlavička host se přenese s tečkou na konci (Možná lépe študovat na HTTP:80, než na HTTPS) Obsah stránky samozřejmě hlásí Bad request 400 (+ Invalid Hostname) , ale to je asi věc daného  konrétního serveru/httpd.conf (někde to možná vrátí defaultní virtualhost), jinde chrome vrací jeho chybovou hlášku "ERR_CONNECTION_RESET" - co je to zač, to je o OSI slupku níž ,tedy místo HTTP kódu, jde o zavření TCP?)

Jak je tohle chování ošetřeno, je na to nějaký standard? Proč to vrací jinou IP? Jde o známou běžnou věc, kvůli které ostřílení admini ani nehnou chlupama a nebo jsem objevil ameriKu?

393

Sítě / Re:Vlastní AP: stačí blokovat domény nebo raději i IP?

« kdy: 14. 06. 2019, 12:06:07 »

To mě nenapadlo s tím maskováním IP. Ale nebude tam nějaký problém s ověřením pravosti DNS serveru (pokud to není něco jako DNS STRIP) nebo nedůvěrhodností?

A jak podobnou věc udělat na androidovém telefonu nebo linuxovém notebooku? Je na to nějaký hotoví balík/distribuce/container/"appka-pro mobil"?

394

Sítě / Vlastní AP: stačí blokovat domény nebo raději i IP?

« kdy: 13. 06. 2019, 09:46:21 »

Dobrý den, rád bych si udělal "osobní" zařízení, které bude jako přístupový bod do internetu, na který se připojím já nebo pár známých (nejde o hackery, ale běžné lidi, co se jen budou připojovat k netu) . Je to nespecifikované, o jaké fyzické rozhraní půjde, ale bude to buď:
-telefon s androidem (fuj, androidový telefon s nějakým OS)
-vlastní notebook s Softwarovým wifi AP
-domácí ADSL router (s wifi AP+ethernet)

Ale především mi jde o technologickou implementaci (viz níže, co je potřeba udělat aby to splnilo cíl) a softwarovou (konkrétní sadu programů). Základní problém je ne uplně jasný vztah DNS a IP (v různých prostředích, nastaveních a technologiích DNS-HTTP. DNS-TLS)

Cíl: Mám seznam domén, které blokuji, chci ,aby se k nim nikdo nepřipojoval (protože spousta joudů nezná /hosts nebo adblock filtry). Budou mít vlastní prohlížeč

Speciálně ještě jedna věc, chci blokovat například p8.adroll.com i e7.adroll.com --- > stačí mít v seznamu filtrů jen adroll.com a prohlížeč to pozná., Avšask hosts soubor tohle neumí (*.adroll.com nebo adroll.com) - nevím jak na linuxu

0. otázka: jak nastavit na daném AP DHCP kolonku DNS - předpokládám adresu daného AP, že to bude.
1. otázka: stačí  tam rozjet vlastní DNS (jaký pro dané 3 platformy??) a je vše vyřešeno? Jak si to poradí se blokací subdomén -- Upozornění: Nebudou se připojovat žádný hackeři nebo IT vzdělanci, kteří budou chtít prolomit systém, ale jde spíš o ochranu před všaljakými dalšími kanály, kudy může blokace domén nepozorovaně projít - viz DNS-HTTP, , auto proxy, omylem nastavené DNS browseru nebo prohlížeče, defaulntí dns prohlížečů Samozřejmě můžete odpovědět, jak udělat ochranu co nejvíc neprůstřelnou (ale to ani nejde, stačí https proxy)
2. otázka (stále use case je pro běžné uživatele, kteří nechtějí cíleně obejít systém, ale třeba používají cizí DNS nebo jiný způsob překladu a neví o tom ): má cenu blokovat dané IP adresy příslušející daným DNS?: zd e je další komplikace, že jedné IP může náležet víc domén? Existuje nějaké řešení, které umí zablokovat traffic na danou IP  podle hlavičky Host (a při https, že) pokud vím, SNI je opravené, že neleakuje nešifrovaně hlavičku a nelze poznat žádanou doménu, ale možná se pletu a nebo to není všude takhle.
 - Existuje nějaký nástroj (nebo veřejná databáze), který dokáže zjistit, zda dané IP náleží víc domén? nebo existuje nějaký daemon, utilita, která bude získávat IP adresy daných domén a bude si je dynamicky přidávat do blokační tabulky? Je to ale dilema, protože dopředu nelze rozhodnout , neví se ,jestli na dané IP neběží i služba, kterou je nežádoucí blokovat (takových asi několik bude ) a nebo na ní žádná neběží a nebo na ní běží samé nežádoucí (typicky příklad reklamních serverů jako adroll, grmtech apod)

3. Co je potřeba nastavit ve firewallu ( například blokace odchozích DNS paketů s jinými cílovým  adresami (8.8.8. než routeru nebo blokace příchozích DNS paketů s jiným cílem než "routeru") a zda je to potřeba.

4. A co když už uživatel "má resolvováno"? Je tohle v reálu nějaký problém nebo je TTL tak nízké, že se klient ptá na překlad často? (asi záleží na OS), ale běžný osobní notebook s windows/linux

395

Studium a uplatnění / Re:MD Rate medior / senior java developer v Praha v porovnani s Brnom

« kdy: 13. 06. 2019, 09:19:06 »

A čo je henten "medior" po česky?

396

Hardware / Re:fanless mini pc z ciny

« kdy: 12. 06. 2019, 14:32:30 »

Ale asi zalezi cemu rikas domaci server protoze v tom chcipnul  procesorovy pes.$

To je co?

397

Odkladiště / Mají e-občanky revokační certifikát?

« kdy: 04. 06. 2019, 12:11:17 »

Zajímalo by mě, zda mají e-občanky také možnost revokačních certifikátů, aby se nestal ten bordel jako v pobaltí, nebo když se zjistí, že v občance je nezná čip ve tvaru zrnka růže jako v SuperMicroServerech.

398

Odkladiště / Re:iTunes požaduje extra platbu za některé písničky?

« kdy: 04. 06. 2019, 12:04:04 »

na youtube/uložto nebo na harddisku není?

399

Odkladiště / Re:Perfect Forward Secrecy i pro „asynchronní komunikaci“?

« kdy: 31. 05. 2019, 12:09:50 »

Standardní TLS komunikace je taková, že pokud si někdo uloží obsah šifrované komunikace a následně by se mu podařilo získat privátní klíč serveru, dokáže zpětně komunikaci rozšifrovat.

Tohle je ten zakopaný pes. Asi jen z historických důvodů mě zajímá, jestli tehdy bez PFC samotné šifrování probíhalo přímo asymetricky(klíčem byl přímo priv.klíč) a nebo symetrickou šifrou(která byla nějak dohodnuta  jinak pomocí Diffí Hellmana a  tudíž šla odvodit z zaznamenané komunikace.)

Takže dnes se https používá 3 algoritmy:
-asymetrická šifra( RSA / Eliptické křivky), aby klient mohl ověřit autenticitu serveru
-algoritmus  pro vyjednání (tajného + volatilního ) šifrovacího klíče- Diffí Hellman (RSA / EC)
- nějaká symetrická šifra (AES,RC4 slabá?) pro vlastní obsah
Není to jednoduché pochopit, co je zač, když to člověk nezná, navíc když je tam "popis šifry" 3x a a navíc Eliptická může být šifra i DH výměna, různé přípony způsobu řetězení bloků CEC,XTS. V chromu vidím zase kulový. Dřív to ukazovalo tohle, ale není to vidět ani v konzoli-Security ani u zámečku.

druhý příspěvek sem nepatřil. Ptal jsem se i na " obyčejné forward secrecy".

400

Odkladiště / Re:Perfect Forward Secrecy i pro „asynchronní komunikaci“?

« kdy: 30. 05. 2019, 09:18:01 »

Předchozí příspěvek jsem chtěl změnit, ale neuložil se. Smazat už nejde.
Chtěl jsem se zeptat na další  věci:

• Jaký je rozdíl mezi Obyčejným a Perfect forward privacy
• Když se mluví o forward privacy u https, znamená to že bez něj (dřív) to fungovalo tak, že se k šifrování používal  jedno z tohoto?
  - veřejný a soukromý klíč serveru (furt stejný)-tedy asymetrická šifra. Ale i v klubu zahrádkářů se ví, že asymetrické šifry jsou tak 1000x pomalejší, takže to se mi nezdá, takže 2. možnost
  - symetrický klíč, který je nějak určen na začátku komunikace, ale pokud asym. klíče se dozví protiNSAtrana, dozví se i ten symetrický?
  _ Následně se to změnilo tak, že je klíč generovaný pomocí Diffí Hellmana (tudíž náhodný, kde náhodnost pochází od klienta i servera) a jeho pravost zaručena pomocí soukromého klíče serveru.  tím pádem tohle stačí k tomu, aby se dalo mluvit o forward secrecy?

401

Software / Re:Jak ignorovat NET::ERR_CERT_DATE_INVALID (tolerance data)?

« kdy: 30. 05. 2019, 09:07:35 »

No a to je právě to.  Předpokládám, že u DNSSEC je to stejné, že s jiným časem tedy nelze zaručit tu autenticitu a klidně mohu komunikovat s někým jiným jiným. Chci, aby mi to fungovalo i s jiným časem (se všemi riziky). Ale chci mít možnost, aby to fungovalo i takto a ne že, když budu mít jiné datum, tak v rámci bezpečnosti "nenavážu ani bajt".

O jaké DNSSEC klienty jde? systémové? v prohlížečích? je na to nějaký flag jako výše?

402

Odkladiště / Re:Perfect Forward Secrecy i pro „asynchronní komunikaci“?

« kdy: 30. 05. 2019, 08:59:03 »

No a to je právě to.  Předpokládám, že u DNSSEC je to stejné, že s jiným časem tedy nelze zaručit tu autenticitu a klidně mohu komunikovat s někým jiným jiným. Chci, aby mi to fungovalo i s jiným časem (se všemi riziky). Ale chci mít možnost, aby to fungovalo i takto a ne že, když budu mít jiné datum, tak v rámci bezpečnosti "nenavážu ani bajt".

O jaké DNSSEC klienty jde? systémové? v prohlížečích? je na to nějaký flag jako výše?

403

O serveru Root.cz / Re:opravdu je nutné Plevelit články linky ad.doubl ,eclick,net/ddm/trackclk/N11hld

« kdy: 27. 05. 2019, 22:41:25 »

https://www.lupa.cz/pr-clanky/ceske-firmy-ohrozuje-nespolehlive-a-nezabezpecene-pripojeni-k-internetu/
odkaz je přímo v http odpovedi, neni to zadny javascriptovy kouzlo

404

Sítě / Re:Kde je „nejvyšší patro“ internetu

« kdy: 26. 05. 2019, 23:50:06 »

Také se připojuji k odpovedi Pavouka106. Odpověď mě docela překvapila, z dálky se mi zdálo, že je to nějaký IT slang.
O Tier1 jsem trochu už slyšel, takže je to z mých  "neprobádaných" znalostí internetu (ASN, spoje, peery, kořen internetu). Není o tom nějaká série článků?

405

Sítě / Kde je „nejvyšší patro“ internetu

« kdy: 26. 05. 2019, 14:06:11 »

Kde leží a co je zač „nejvyšší patro“ internetu?