Poslední příspěvky

1

Sítě / Re:Vodafone chce výměnu modemu pro dual-stack

« Poslední příspěvek od Radek Zajíc kdy Dnes v 18:11:27 »

SFP+ moduly pro GPON (sit TM) moc k dispozici nejsou (pokud vubec). Huawei modul, zminovany na https://forum.turris.cz/t/sfp-modul-pro-gpon-od-t-mobile/19984/13, se sice snad jeste sehnat da, ale v diskusich se doctete o jeho prehrivani.

2

Sítě / Re:Výběr síťových prvků

« Poslední příspěvek od uwe.filter kdy Dnes v 18:00:02 »

Co se týče bezpečnosti, tak veškerá data jsou v cloudu u 3. stran, nic není uloženo na fyzickém úložišti v ordinacích.

No tak to potěš koště.

Ehm delal jsi nekdy v korporatu? Hadej kde ty maji ulozena data.
Znameni dnesni doby, az naroste zase pocet hacku cloudu, vrati se vsichni na on-premise

V korporátu to nepřekvapí. Ale že do toho někdo hrne veškerá data o pacientech, to už je dost na pováženou. Inu, čekají nás ještě zajímavé zítřky.

3

Server / Re:Certifikáty na souborovém systému jen ke čtení

« Poslední příspěvek od MrWhite69 kdy Dnes v 17:39:35 »

Mám embedded zariadenie, ktoré má read-only root filesystem a ktoré bude nainštalované bez ďalšieho prístupu k nemu niekde v teréne.
Chcem dať naňho aplikačného klienta, ktorý komunikuje s https serverom, ktorý bude mať certifikát podpísaný od Let's Encrypt.

Ako zabezpečiť, aby bolo toto zariadenie stále schopné akceptovať certifikát https servera?
Akú periódu obnovy má Let's Encrypt certifikát? Ako funguje v Linuxe update trusted root certifikátov?

A jak budes na read-only filesystemu resit patchovani exploitu?
Jen priklad, proc resis vec ktera roky nenastane. Ale exploitu vyjde mezitim hromada. Samozrejme nevim o jake zarizeni se jedna. Ale vsechno se da dneska reversnout a cim vic je to zarizeni uzavrenejsi tim vic zajimavejsi to je, pro urcitou skupinu lidi ;-)

4

Server / Re:Certifikáty na souborovém systému jen ke čtení

« Poslední příspěvek od Filip Jirsák kdy Dnes v 17:25:23 »

Ak začínam správne chápať, tak Let's Encrypt je CA najvyššej úrovne, t.j. ten ISRG, ktorý ma Expiration Date v roku 2035, patrí Let's Encrypt?

Ano, Let's Encrypt je „obchodní značka“, pod kterou poskytují certifikační služby, ale právní subjekt za tím je veřejně prospěšná společnost Internet Security Research Group (ISRG). Dříve měly svůj kořenový certifikát křížově podepsaný ještě jinou autoritou, ale ten už letos přestali úplně používat.

Znamená to, že už pri vydávaní certifikátu má certifikát zapísaných viacero alternatív k (PKI) rodičovským certifikátom?

Certifikát je podepsaný vždy jedním klíčem certifikační autority, ale ten jeden klíč certifikační autority se může nacházet v několika různých certifikátech. Tj. ten koncový certifikát, který máte na HTTPS serveru, je jen jeden, ale může k němu vést několik různých cest od různých kořenových certifikátů. No a protože si při vydání certifikátu od Let's Encrypt stahujete i ty nadřazené certifikáty, můžete si zvolit, kterou cestu chcete poslat. Pokud si nevyberete, pošle LE to, co v daném času má nastavené jako výchozí.

Ak som správne pochopil, tak Let's Encrypt vydáva certifikáty na krátke obdobie (niekoľko mesiacov, alebo pár rokov)

Koncové certifikáty (třeba pro váš HTTPS server) vydává vždy s platností 90 dnů (a chtějí to ještě zkracovat). Mezilehlé a kořenové certifikáty mají nastavenou platnost 20 let, ale tak dlouho se nejspíš používat nebudou.

takže ak pôjdem cestou certifikačnej autority, tak vidím skôr riešenie v manažovaní tých koreňových trusted certifikátov pre klienta a to tak, že bude treba vystihnúť dobu, počas ktorej sa budú musieť certifikáty na všetkých embedded zariadeniach updatovať.

Ano, přičemž ta doba výměny bude u kořenových certifikátů určitě několik měsíců. Přičemž Let's Encrypt na to vždy opakovaně upozorňuje a na začátku zveřejňuje harmonogram, jak to bude probíhat. Třeba tady je zpráva z července 2023 s harmonogramem výměny kořenového certifikátu, jehož platnost končí shodou okolností dnes.

V prípade, že si sám podpíšem certifikát, tak si musím update manažovať tiež sám. Poprípade nebudem updatovať certifikát vôbec, čím viac riskujem zvýšenú možnosť kompromitácie po nejakom čase...

Když ten certifikát nebudete updatovat vůbec (resp. nebudete mít tu možnost), existuje riziko, že když dojde ke kompromitaci privátního klíče, nemáte jak to vyřešit – jak ta zařízení přesvědčit, aby kompromitovanému klíči nevěřila. Tj. ani tak nejde o to, že by s delším používáním rostlo riziko kompromitace, to není tak velký problém – podstatné je, že kdyby k tomu došlo, nemáte jak tu situaci vyřešit. (Maximálně můžete informovat všechny zákazníky, ať to zařízení přestanou používat a odpojí ho od sítě.)

Pak je tam ještě jedno riziko – vystavíte certifikát s dlouhou platností, třeba 10 let, a pak zapomenete, že je potřeba to za 10 let nějak řešit. To se před pár lety stalo FlexiBee, když jim po 10 letech vypršel certifikát podepisující licence.

5

Hardware / Re:Nový monitor na práci vývojáře

« Poslední příspěvek od t2000 kdy Dnes v 17:20:02 »

Nedávno jsem kupoval, měl jsem podmínku 27" IPS, QHD, senzor jasu a obrazovku zaměřenou směrem k co nejpříjemnějšímu obrazu pro oči. Vzal jsem Dell U2724DE, certifikace TUV pro oční komfort. Jsem po operaci šedého zákalu a normální monitor jsem už nebyl schopen večer dlouhodobě používat i s minimálním jasem. U tohoto bez problému, něco na tom TUV asi bude. Thunderbolt dock, 120Hz, blackIPS (kontrast 2000:1). Cena vyšší, ale snad vydrží těch 10 let jako předchozí Dell U2515H. Je i levnější verze bez usb-c docku U2724D.

6

Desktop / Re:Proč mi zabiják OOM zabil Chromium

« Poslední příspěvek od mikesznovu kdy Dnes v 17:07:52 »

sčítat swap ležící v RAM

Máš pravdu, spočítal jsem to blbě neodečetl jsem vlastní režii swapu jak https://player.ceskatelevize.cz/?sidp=11698534957&IDEC=218512120250001 v čase 5:45 a 4:35

/sys/module/ /sys/kernel/mm/lru_gen/enabled[/pre]

To momentálně v této verzi 5.4 jádra nemám... Možná po upgradu.

7

Software / Re:Velmi pomalý grep -P oproti grep -E

« Poslední příspěvek od mikesznovu kdy Dnes v 16:21:11 »

Problém se mi zredukoval na to, že -P je pomalejší než -E... Nakonec jsem přišel i na jednogrepovou pipeline |grep -Ezo ":\"https://.[^/]+" .  Doba trvání je 2s cpu času mínus 1.6 na download ,což už jde (bohužel time měří i download a nechce se mi to ukládat, zatímco v bashi 5.1 jde příkaz time za pípu tak v 5.0 to nejde a curl zahlásí failed to) ...

Ale zarazilo mě, že to -P je šíleně pomalé.



Jo, \K je syntaktický sugar, navíc v -E nefunguje.
pps://.+?/ je  "aspoň 1 znak, požrat minimum, co je možné" narozdíl od varianty bez "?",  to je greddy/ungreedy operátor(modifikátor?), tím pádem by tam šlo i použít ttps://.*?/,  protože doména má minimálně 7 znaků (snad to není Jirsák trigger)

Ale důležité je to lomítko za ,aby to kde to má skončit.  takže ps://.*?/ je stejné jako ps://[^/]+/

8

Server / Re:Certifikáty na souborovém systému jen ke čtení

« Poslední příspěvek od alex6bbc kdy Dnes v 16:04:13 »

Ak začínam správne chápať, tak Let's Encrypt je CA najvyššej úrovne, t.j. ten ISRG, ktorý ma Expiration Date v roku 2035, patrí Let's Encrypt?

Tomuto celkom nerozumiem:

Pokud je víc alternativních certifikačních cest (což je třeba případ výměny kořenového certifikátu), je možnost při vydávání certifikátu si zvolit, která cesta se má použít.

Znamená to, že už pri vydávaní certifikátu má certifikát zapísaných viacero alternatív k (PKI) rodičovským certifikátom?

Ak som správne pochopil, tak Let's Encrypt vydáva certifikáty na krátke obdobie (niekoľko mesiacov, alebo pár rokov), takže ak pôjdem cestou certifikačnej autority, tak vidím skôr riešenie v manažovaní tých koreňových trusted certifikátov pre klienta a to tak, že bude treba vystihnúť dobu, počas ktorej sa budú musieť certifikáty na všetkých embedded zariadeniach updatovať.

V prípade, že si sám podpíšem certifikát, tak si musím update manažovať tiež sám. Poprípade nebudem updatovať certifikát vôbec, čím viac riskujem zvýšenú možnosť kompromitácie po nejakom čase...

letsencrypt nemusi byt top level, ale jeho certifikaty co certifikuji nizsi urovne jsou certifikovane top certifikaty, takze se letsencrypt certifikatum veri.

muzete si sam delat certifikaty pomoci nastroje openssl, ale pak si je musite rucne datna server, do prohlizece a treba i do systemu.

9

Server / Re:Certifikáty na souborovém systému jen ke čtení

« Poslední příspěvek od majvan kdy Dnes v 15:59:05 »

Ak začínam správne chápať, tak Let's Encrypt je CA najvyššej úrovne, t.j. ten ISRG, ktorý ma Expiration Date v roku 2035, patrí Let's Encrypt?

Tomuto celkom nerozumiem:

Pokud je víc alternativních certifikačních cest (což je třeba případ výměny kořenového certifikátu), je možnost při vydávání certifikátu si zvolit, která cesta se má použít.

Znamená to, že už pri vydávaní certifikátu má certifikát zapísaných viacero alternatív k (PKI) rodičovským certifikátom?

Ak som správne pochopil, tak Let's Encrypt vydáva certifikáty na krátke obdobie (niekoľko mesiacov, alebo pár rokov), takže ak pôjdem cestou certifikačnej autority, tak vidím skôr riešenie v manažovaní tých koreňových trusted certifikátov pre klienta a to tak, že bude treba vystihnúť dobu, počas ktorej sa budú musieť certifikáty na všetkých embedded zariadeniach updatovať.

V prípade, že si sám podpíšem certifikát, tak si musím update manažovať tiež sám. Poprípade nebudem updatovať certifikát vôbec, čím viac riskujem zvýšenú možnosť kompromitácie po nejakom čase...

10

Sítě / Re:Výběr síťových prvků

« Poslední příspěvek od MrWhite69 kdy Dnes v 15:58:23 »

Co se týče bezpečnosti, tak veškerá data jsou v cloudu u 3. stran, nic není uloženo na fyzickém úložišti v ordinacích.

No tak to potěš koště.

Ehm delal jsi nekdy v korporatu? Hadej kde ty maji ulozena data.
Znameni dnesni doby, az naroste zase pocet hacku cloudu, vrati se vsichni na on-premise