Byla vydána nová stabilní verze 24.05 linuxové distribuce NixOS (Wikipedie). Její kódové označení je Uakari. Podrobný přehled novinek v poznámkách k vydání. O balíčky se v NixOS stará správce balíčků Nix.
Byla vydána nová verze 1.48.0 sady nástrojů pro správu síťových připojení NetworkManager. Novinkám se v příspěvku na blogu NetworkManageru věnuje Fernando F. Mancera. Mimo jiné se v nastavení místo mac-address-blacklist nově používá mac-address-denylist.
Před 25 lety, 31. května 1999, započal vývoj grafického editoru Krita (Wikipedie). Tenkrát ještě pod názvem KImageShop a později pod názvem Krayon.
Farid Abdelnour se v příspěvku na blogu rozepsal o novinkám v nejnovější verzi 24.05.0 editoru videa Kdenlive (Wikipedie). Ke stažení brzy také na Flathubu.
David Revoy, autor mj. komiksu Pepper&Carrot, se rozepsal o své aktuální grafické pracovní stanici: Debian 12 Bookworm, okenní systém X11, KDE Plasma 5.27, …
Wayland (Wikipedie) byl vydán ve verzi 1.23.0. Z novinek lze vypíchnout podporu OpenBSD.
Craig Loewen na blogu Microsoftu představil novinky ve Windows Subsystému pro Linux (WSL). Vypíchnout lze GUI aplikaci pro nastavování WSL nebo správu WSL z Dev Home.
V sobotu 1. června lze navštívit Maker Faire Ostrava, festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí.
Webový server Caddy (Wikipedie) s celou řadou zajímavých vlastností byl vydán ve verzi 2.8 (𝕏). Přehled novinek na GitHubu.
Byla vydána verze 3.0 (@, 𝕏) svobodného softwaru HAProxy (The Reliable, High Performance TCP/HTTP Load Balancer; Wikipedie) řešícího vysokou dostupnost, vyvažování zátěže a reverzní proxy. Detailní přehled novinek v příspěvku na blogu společnosti HAProxy Technologies.
Bezpečnostní blog Mozilly informuje, že došlo k revokaci falešného certifikátu domény Googlu. Tento certifikát byl úspěšně použit k útokům v Íránu. K jeho vydání došlu již 10. července. Více viz rozbor EFF.
Tiskni
Sdílej:
Stačila by jednoduchá konvence spočívající v získávání otisků certifikátů z DNSSEC. Zkrátka by se přidal další typ záznamu, podobně jako v případě DKIM nebo dalších bezpečnostních mechanismů. DNS server by tedy poskytoval také informace o otiscích veřejných klíčů pro každou dvojici (stroj, protokol), kterou vede v patrnosti, pokud daná dvojice používá TLS.
Mezi poskytovateli připojení k Internetu jsou však bohužel stále ještě tupci, kteří o DNSSEC nejspíš neslyšeli. To je dost zásadní překážka v nasazení této technologie. Jednoduché rozšíření getaddrinfo() o podporu popsané funkcionality si ovšem umím snadno představit.
Každá klientská aplikace by díky tomu měla velmi silný prostředek k ověřování pravosti certifikátů, nesrovnatelně rychlejší a spolehlivější než všechny mechanismy založené na CRL.
Pravda, když nebudu mít zabezpečený last hop a budu slepě poslouchat AD, je jakékoliv úsilí marné. Ani bezpečný last hop nepomáhá, protože za ním se může skrývat nedůvěryhodný cizí stroj (u drtivé většiny domácností standardní situace). To je mrzuté. To aby měl rovnou každý prohlížeč v sobě svůj vlastní DNS resolver a hardcoded klíč kořenové zóny. 
Nicméně stále tu vidím ještě jedno možné řešení: Do getaddrinfo() by mohl přibýt další flag, který by nařídil do odpovědi vložit celý chain of trust (na konci rozvětvený...), který vedl k získání vrácené IP adresy a otisku certifikátu pro TLS. Díky tomu by pak
Takový chain of trust by sice mohl narůst do velkých rozměrů, ale last hop je rychlý, že ano. (Zbytek vyřeší cache.) Podvržení certifikátu tento mechanismus odhalí snadno. Horší je to ovšem s vyzrazením soukromého klíče. Tam by až do vypršení TTL stále hrozilo nebezpečí. Nicméně pořád to může být kratší doba ohrožení než extrémní třicetidenní platnost některých CRL. Navíc by tady (v ostrém kontrastu se soustavně ignorovanými, ne-li těžko dostupnými CRL) certifikát někdo konečně opravdu ověřoval.
Ani bezpečný last hop nepomáhá, protože za ním se může skrývat nedůvěryhodný cizí stroj (u drtivé většiny domácností standardní situace).Tím Last Hopem jsem myslel i tu důvěru v používaný resolver viz moje prezentace Securing Last Hop na posledním IETF.
To aby měl rovnou každý prohlížeč v sobě svůj vlastní DNS resolver a hardcoded klíč kořenové zóny.Tak to pravděpodobně ze začátku dopadne. Případně to nemusíte cpát do prohlížeče, ale stačí malinký validující stub resolver na localhostu, pokud byste si s něčím takovým chtěl pohrát, tak jsem udělal takový malý mashup evldns a libunbound, kterému pracovně říkám stubound: # git clone git://git.nic.cz/evldns-stubound
odpovědi vložit celý chain of trust (na konci rozvětvený...)Adam Langley (@Google Chrome) navrhuje DNSSEC "razítkovat" X.509 certifikáty, viz prezentace DNSSEC serialization na tomtéž a jeho poslední blogpost. Nesmíte zapomínat, že gai() je POSIX, takže tohle rozhraní nemůžete měnit jen tak hopsa hejsa. Spíš to dopadne tak, že vznikne nějaká obecná knihovna s dohodnutým rozhraním (podobně jako OpenSSL), která bude takové rozhraní poskytovat, a časem do toho POSIXu doputuje.
Tam by až do vypršení TTL stále hrozilo nebezpečí. Nicméně pořád to může být kratší doba ohrožení než extrémní třicetidenní platnost některých CRL. Navíc by tady (v ostrém kontrastu se soustavně ignorovanými, ne-li těžko dostupnými CRL) certifikát někdo konečně opravdu ověřoval.Souhlasím na 100%. Proto na tom pracujem, jak rychle to IETF dovoluje... (což není zrovna warp speed, ale dopředu se to hýbe docela svižně).
31.8.2011 10:37
pavlix | skóre: 54
| blog: pavlix
Tím Last Hopem jsem myslel i tu důvěru v používaný resolver viz moje prezentace Securing Last Hop na posledním IETF.Nevidím důvod, proč to, mimo corporate prostředí, řešit jakkoli jinak než lokálním resolverem přímo v systému.
31.8.2011 10:53
pavlix | skóre: 54
| blog: pavlix
31.8.2011 13:35
pavlix | skóre: 54
| blog: pavlix
Ad 1) přidáte TA pro .czf, tj. je to vaše lokální politika akceptovat i klíč pro .czfCož je podstatně odlišné od požadavku (1).
Ad 2) to jak vaše počítače vidí ostatní domény a pomocí kterých klíčů validují informace z DNS je opět vaše lokální politikaA přesně o tom mluvím, aby se s takovou lokální politikou počítalo. Součástní dobrých standardů přece není jen hrubý popis vnějších protokolů.
31.8.2011 14:15
pavlix | skóre: 54
| blog: pavlix
To, jak divně si nakonfigurujete vlastní síť, je čistě vaše věc.No moment… jestli základní požadavky na zabezpečení komunikace (tedy integritu a vzájemnou autentizaci) bude vyžadovat konfiguraci, kterou vy nazýváte „divná“, tak doufám, že se nad těmito požadavky zamyslí alespoň někdo jiný.
31.8.2011 16:19
pavlix | skóre: 54
| blog: pavlix
31.8.2011 17:26
pavlix | skóre: 54
| blog: pavlix
31.8.2011 19:34
pavlix | skóre: 54
| blog: pavlix
Já vám asi opravdu nerozumím, o co vám jde.Jen a jen o to, aby standardní implementace umožňovaly přímo svázat kteroukoli subdoménu (podstrom) s konkrétními kryptografickými klíči, tak jako je celý strom svázán s těmi globálními. Tedy abych mohl tomu podstromu dát vyšší úroveň zabezpečení, než je ta přes třetí stranu, a přitom pro celý podstrom šly dále používat stejné, už jednou vymyšlené, mechanismy. Teď si začínám uvědomovat, že by to možná stačilo řešit v samotném DNSSECu, protože už ten je pro daný podstrom v rukou provozovatele domény. Prostě a jednoduše, pro konkrétní vztahy mezi subjekty zkrátit řetěz důvěry tak, aby neobsahoval třetí stranu (bez ohledu to, kdo tou třetí stranou je). Mně to připadá srozumitelné (tedy alespoň v té podobě, v jaké jsem to teď napsal).
Pokud nepoužíváte standardní DNS strom, tak máte v DNS minimálně kus nestandardního stromu. A je to na vás, abyste si to nakonfiguroval tak, aby vám to fungovalo dobře. Nikdo vám v tom bránit nebude. Pokud zajistíte, že se informace o TLSA záznamu z DNS vrátí jako DNSSEC-validní, tak z hlediska standardu to bude v pořádku.Proto jsem ty dva body očísloval, aby se nepletly dohromady, například bod 2 žádné nestandardní TLD nezahrnuje.
Stejně tak, pokud se v Elbonii rozhodnout, že nebudou používat ICANN kořenové servery, ale budou mít vlastní s jiným podpisem a všem elbonijským ISP nakážou, že to bude tak a ne jinak, tak to tak budou mít.O tom jsem myslím nikde nepsal.
Nicméně nemůžete čekat od RFC, že v sobě bude obsahovat i popis konfigurace DNS v Elbonii.O tom jsem myslím také nikde nepsal.
P.S.: Taky nerozumím tomu, co si představujete pod "všeobecně konfigurace certifikátů pro jednotlivé podstromy". Možná bych navrhoval ke čtení DANE use cases a DANE protocol, abychom se bavili o tom samém.Tak předpokládám, že šifrovaná komunikace mezi dvěma subjekty pod usecases spadá (nevím, o čem jiném by ten stanard byl). Zbytek viz výše. Našel jsem čas na prolétnutí obou protokolů, ale spíš tam vidím hromadu technických detailů, jak to tak bývá, a ani v introduction nevidím nic, co by se týkalo toho, co píšu.
31.8.2011 10:33
pavlix | skóre: 54
| blog: pavlix
1.9.2011 09:56
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
1.9.2011 09:47
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
This latest attack was reportedly caught by a user running the Google Chrome browser in Iran who noticed a warning produced by the “public key pinning” feature which Google introduced in May of this year. Basically, Google hard-coded the fingerprints for its own sites’ encryption keys into Chrome, and told the browser to simply ignore contrary information from certificate authorities.Dalsim logickym krokom v Irane bude zakazanie pouzitia Google Chrome.
Takže to byla zřejmě vládní aktivita? Tomu se těžko odolává.To si myslím, že je dost divoká spekulace...
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
