Před 70 lety, 7. června 1954, ve věku 41 let, zemřel Alan Turing, britský matematik, logik, kryptoanalytik a zakladatel moderní informatiky.
NiceGUI umožňuje používat webový prohlížeč jako frontend pro kód v Pythonu. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.
Open source platforma Home Assistant (Demo, GitHub, Wikipedie) pro monitorování a řízení inteligentní domácnosti byla vydána ve verzi 2024.6. Z novinek lze vypíchnout lepší integraci LLM (OpenAI, Google AI, Ollama) nebo podporu Matter 1.3.
IKEA ve Spojeném království hledá zaměstnance do své nové pobočky. Do pobočky v počítačové hře Roblox. Nástupní mzda je 13,15 liber na hodinu.
Alyssa Rosenzweig se v příspěvku na svém blogu Vulkan 1.3 na M1 za 1 měsíc rozepsala o novém Vulkan 1.3 ovladači Honeykrisp pro Apple M1 splňujícím specifikaci Khronosu. Vychází z ovladače NVK pro GPU od Nvidie. V plánu je dále rozchodit DXVK a vkd3d-proton a tím pádem Direct3D, aby na Apple M1 s Asahi Linuxem běžely hry pro Microsoft Windows.
Byla vydána (𝕏) květnová aktualizace aneb nová verze 1.90 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Ve verzi 1.90 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.
Byla vydána (Mastodon, 𝕏) nová verze 2024.2 linuxové distribuce navržené pro digitální forenzní analýzu a penetrační testování Kali Linux (Wikipedie). Přehled novinek se seznamem nových nástrojů v oficiálním oznámení.
Počítačová hra Tetris slaví 40 let. Alexej Pažitnov dokončil první hratelnou verzi 6. června 1984. Mezitím vznikla celá řada variant. Například Peklo nebo Nebe. Loni měl premiéru film Tetris.
MicroPython (Wikipedie), tj. implementace Pythonu 3 optimalizovaná pro jednočipové počítače, byl vydán ve verzi 1.23.0. V přehledu novinek je vypíchnuta podpora dynamických USB zařízení nebo nové moduly openamp, tls a vfs.
Canonical vydal Ubuntu Core 24. Představení na YouTube. Nová verze Ubuntu Core vychází z Ubuntu 24.04 LTS a podporována bude 12 let. Ubuntu Core je určeno pro IoT (internet věcí) a vestavěné systémy.
ssl_client_certificate /etc/client-CA/client-ca.crt; ssl_verify_client on;Můžete mi prosím poradit? P.
…v prohlížečích podpora všelijaká a celkově na prd…
To je zajímavá novinka. To jsem se zase něco dozvěděl, po víc než dekádě bezproblémového používání právě téhle všelijaké na prd podpory.
To pak asi žádná z větších internetových firem ve skutečnosti vůbec neexistuje, což, když se žádní zaměstnanci nemůžou dostat na žádný firemní web.
Alternativní realita, par excellence.
400 Bad Request No required SSL certificate was sent nginx/1.22.1
curl
, tam máš pod kontrolou, co se posílá:
curl https://example.com --cert client.cert.pem --key client.key.nopass.pem --cacert ca.cert.pemVe výstupu z s_client můžeš vidět, které klientské CA nabízí server:
echo "\n" | openssl s_client -connect example.com:https
Osobnímu certifikátu nemáš kde (a nemáš jak (a nemáš proč)) nastavovat „vždy důvěřovat“.
Takže jsi udělal něco špatně. Znova přečíst návod a začít od začátku.
Je potřeba vygenerovat si (například pomocí OpenSSL) certifikační autoritu. Certifikační autorita je samopodepsaný kořenový certifikát a k němu příslušející pár klíčů.
Kořenový certifikát s veřejným klíčem autority se rozdistribuuje na servery, které pak mají ověřovat osobní certifikáty.
Každý uživatel má svůj osobní certifikát a k němu příslušející pár klíčů. Osobní certifikát je vytvořený za použití soukromého klíče autority veřejného klíče uživatele. Osobní certifikát potvrzuje uznání veřejného klíče uživatele autoritou.
Při autentifikaci se uživatel prokáže certifikátem od autority a veřejným klíčem, který tento certifikát potvrzuje. Následně pak prokáže (pomocí vhodného challenge-response mechanismu), že vlastní soukromý klíč ke svému veřejnému klíči.
Nepoužívat Macroshit Edge?
Jinak jde většinou o to (a dá se to nastavit), že klíče se odemykají třeba jednou, při spuštění prohlížeče, a pak zůstane klíčenka nějakou dobu odemčená (což může být konkrétní čas nebo celý uptime).
Je to takový kompromis mezi pohodlím a odolností proti neoprávněnému použití soukromého klíče, ať už jakýmikoliv způsobem (odlákáním uživatele něčím rádoby-urgentním, aby si nezamknul session, případně cold boot útokem). Pokud je software rozumně navržený, při zamčené klíčence by dešifrovaný soukromý klíč neměl zůstávat v RAM.
/etc/hosts
a je to. Odpadá tak veškeré žonglování s certifikátama a heslama. Odhodlaného útočníka který může tvůj http provoz odchytávat tcpdumpem to sice nezastaví, ale náhodné kolemjdoucí a boty to spolehlivě odfiltruje.
Ano je to takové trochu lamerské řešení, ale je to jednoduché, bezůdržbové, nevyžaduje to instalaci žádného speciálního software na straně klienta. Celou dobu se tu řeší akorát ty certifikáty tak mi přišlo fér zmínit taky jinačí možnost jak "omezit přístup na web server".
Dají se taky na serveru nastavit povolené zdrojové ip adresy, ale to už je dneska ůplné scifi protože pevnou veřejnou nesdílenou IP má jenom hrstka vyvolených.ale to už je dneska ůplné scifi protože pevnou veřejnou nesdílenou IP má jenom hrstka vyvolenýchIPv6 za 5 ... 4 ... 3 ... 2 ... 1 ...
Nemyslel jsem subdoménu ale nějaký jednoduchý hostname. Ano pokud hostname neobsahuje tečku, některé resolvery můžou frflat, ale to se taky dá snadno změnit v konfiguraci. Jsem měl za to, že když mám záznam přímo v /etc/hosts tak ten dns dotaz vůbec neopustí počítač.Jo takhle. No tak to pro změnu úplně vidím, jak ten jednoslovný hostname dáš do adresního řádku a prohlížeč to interpretuje jako dotaz pro vyhledávač (jasně, asi ti nehrozí útok, že by si toho někdo v Googlu všiml, pak uhádl kde ten server běží a poslal to tam). Pro zajímavost, proč jsi prostě nepoužil standardní HTTP autentizaci jménem a heslem?
Vetšina uživatelů neskáče od radosti ke stropu když musí v hlavě nosit a někam ručně datlovat další složité heslo.No já nevím co máš za uživatele, ale v mém okolí by asi měli lidi docela problém, když máš jako use-case „přijít k novému počítači“, přeložit tvoji normální doménu (IP si nepamatuju) a výsledek zadat spolu s „heslovým“ hostname do hosts. A ti co to dokážou už zase umí používat password manager nebo si heslo bezpečně a jednoduše (bez pamatování) přenést nějak jinak.
Standartní autentizaci jsem nepoužil asi taky proto, že v momentě jak se něco takového vystrčí do internetu tak se na to nalepí spousta botů kteří zkouší hesla.Museli by případně uhádnout i uživatele, a hlavně já takhle typicky zahesluju jenom adresář, takže by museli uhádnout ten adresář…
mojeheslo 171.25.221.158a svůj server (s adresou 171.25.221.158) nastavíš tak, aby když mu přijde požadavek s Host: mojeheslo, tak vrátil tvoje tajné stránky. Prohlížeč pošle takovou Host hlavičku sám od sebe, protože to vidí jako zadaný hostname. Problém je že na
mojeheslo
rozhodně nikdy nezískáš HTTPS certifikát, že takové použití vyžaduje od uživatelů mít admina aby mohli editovat /etc/hosts (nebo pokročilé kouzlení s LD_PRELOAD) a že ho na některých platformách (hlavně mobily) asi neuděláš vůbec.
když mu přijde požadavek s Host: mojeheslo, tak vrátil tvoje tajné stránky.no ale stále nevím jak mám odeslat takový požadavek z prohlížeče. Nebo to je dané tou IP adresou? Pokaždé když se připojím na server s 171.25.221.158 tak to vždy vrátí "tajné stránky"? Proč na to nezískám HTTPS certifikát?
no ale stále nevím jak mám odeslat takový požadavek z prohlížečeÚplně stejně jakýkoli jiný. Když zadáš do prohlížeče http://abclinuxu.cz/, prohlížeč se zeptá systému, jakou má abclinuxu.cz adresu, systém se podívá do hosts souboru, tam ho nenajde, tak pokračuje další možností a provede DNS dotaz, dostane odpověď že to je 171.25.221.158, prohlížeč se připojí na 171.25.221.158 a pošle HTTP požadavek s Host: abclinuxu.cz. Když si do hosts souboru napíšeš 171.25.221.158 mojeheslo a pak do prohlížeče http://mojeheslo/, prohlížeč se zeptá systému, jakou má mojeheslo adresu, systém se podívá do hosts souboru, tam najde 171.25.221.158, předá to prohlížeči, prohlížeč se připojí na 171.25.221.158 a pošle HTTP požadavek s Host: mojeheslo. Na straně serveru se tomuhle většinou říká virtual hosts, a je to běžný způsob jak udělat, aby na jedné IP adrese mohlo běžet root.cz a lupa.cz. (ale přijde mi to na „zaheslování“ jako bizarní řešení, které bych nepoužíval)
Pokaždé když se připojím na server s 171.25.221.158 tak to vždy vrátí "tajné stránky"?Ne, cílem je nastavit server tak, aby jako „defaultní virtualhost“ (tj. to co vrátí když mu v Host hlavičce pošleš IP adresu / neznámou věc / nepošleš ji vůbec) vracel nějaké jiné stránky.
Proč na to nezískám HTTPS certifikát?Protože certifikát potvrzuje, že vlastníš / máš právo nakládat s doménovým jménem, které je tam uvedeno. Tady bys potřeboval, aby v něm bylo napsáno "mojeheslo", ale to jednak nevlastníš, a jednak se vydávané certifikáty zveřejňují (aby si vlastník abclinuxu.cz mohl kontrolovat, že někomu cizímu nebyl vydán třeba nějakým podvodem certifikát pro abclinuxu.cz), takže by se zveřejnil i certifikát s "mojeheslo" a pak by ho všichni viděli.
Ne. Myslí že si dáš do hostsJeště upřesnění, a do prohlížeče zadám jakou adresu? "http://mojeheslo" ? Ještě k tomu SSL certifikátu, když si vygeneruji vlastní certifikát, tak to přes https pojede, ne?mojeheslo 171.25.221.158
Tiskni Sdílej: