Vlákno názorů k článku binenv: poslední binárka, kterou si do systému nainstalujete od mad - Tak az binenv dokaze nejak ovalidovat zdroj, tj...

Tak az binenv dokaze nejak ovalidovat zdroj, tj ze binarku zkompiloval nekdo duveryhodny a z duveryhodneho src, ma asi smysl si podobnou pitomost porizovat.

Zda se, ze kontejnerizace vubec neresi bezpecnost. Tyhle zkratky v IT (odsouvani fundamentalnich veci do jine "vrstvy") jsou pritom extremne nebezpecne, kdyz zacinala klasicka virtualizace, take kazdy radeji prohlasil hypervizor za "bezpecny" by-definition (a kolik zranitelnosti se severitou vynasobenou tim, ze na jednom zranitelnem systemu jich bezi "x" se "dodatecne" objevilo, a to dokonce az na uroven hardware)

Obdobne cloudove sluzby jsou bezpecne "by-definition". Prece za to platim, tak je to jejich vec, ne ? A auditora pripadne poslu "do cloudu".

Kde ten paradox asi nejvic krici, je nesmyslne pouziti certifikatu za kazdou cenu (k vystaveni verejnych dat), klidne garantujicich jen to, ze nekdo mel chvilku pristup k Vasemu serveru, a to cele automatizovane scriptem (certbot) stahovanym "tak nejak bezpecne" z ciziho webu. No jupiii, jak je to snadne, tak proc ne.

Zkratka generace hipsteru odkojena socialnimi sitemi nepotrebuje ani soukromi, ani iluzi bezpecnosti. To vse se prece "pak" a "nejak" vyresi ... teda pokud nekdo bude (mit) moc chtit.

Presne tak, docker pull a dalej sa nestaram.... Kde jme to jenom dospeli velebnosti...

vlastně tohle je jen špička ledovce, ani repositáře pro běžné jazyky (python, java, node.js, php, perl atd.) nejsou bezpečné, dostat tam zákeřný kód, který si pak každý nainstaluje je strašně snadné. U většiny z nich dokonce ani nemám jistotu, že nedošlo při stažení k modifikaci.

Vlastně snad jediné místo, kde se provádí určitá kontrola jsou repositáře jednotlivých distribucí, ale tam se to zase nikomu právě nelíbí, protože to je pomalé, kontrola trvá nějaký čas.

K tomu jazyku go a distribuci pouze binárních artefaktů místo balíčků. Mně to nevadí, dává mi to volbu si ten balíček udělat sám, klidně si to sám zkompilovat, naopak to považuji za poměrně lepší než kdyby mi cpali svoje konvence do balíčků (stačí to vidět u ppa/deb, kdy každý balíček se chová jinak, některé ani neumí řádně službu spustit a zastavit).

Uplne suhlasim, v kontainerizacii sa na bezpecnost kasle, pricom si kazdy mysli, ze docker oddeluje system (co nie je pravda). Docker Hub kasle na bezpecnost a jej obchodny model je taky, ze ak chces tu najprimitivnejsiu tak si zaplat.

Podobne je to aj s NPM kniznicami.

A s tymi certifikatami suhlasim, Google v mene zvysnia bezpecnosti (spolu s LE) poslali bezpesnost do haja.

To je daň za to, že dnes musí bezpečnost řešit spousta lidí, kteří o ní nic netuší. Třeba lidé, kteří si myslí, že ostatní certifikační autority validovaly a validují DV certifikáty nějak víc, než jak to dělá LE.

V tom pripade sa malo klepnut po prstoch danym CA-ckam, a nie odstavit vsetky a vykaslat sa na bezpecnost.

Ty CA to dělaly podle pravidel, která jednotlivé prohlížeče/OS vyžadují pro zařazení na seznam důvěryhodných certifikačních autorit. Netuším, co myslíte tím „odstavit všetky a vykašlat se na bezpečnost“. Nevím o tom, že by někdo někoho odstavil. A bezpečnost je co se týče ověřování domén stále stejná.