Názory k článku
Google omezuje sideloading aplikací do Androidu, bude vyžadovat povinné ID

GPLv3 vzniklo jako reakce na Tivolizaci (https://en.wikipedia.org/wiki/Tivoization)
Coz je presne toto.

Google by toto nedelal, protoze by to stalo hodne G$ (navic by nejak musel donutit vyrobce SoCs aby pro to psali drivery).
Google sam o sobe dnes je kompatibilni, protoze Pixel jde odemknout a dokonce pridat vlastni podpisovy klic a zace zamknout.

to je tazke povedat ako by k tomu google pristupil, ale mozno najpravdepodob­nejsie tak ako apple a zobrali by jadro z niektoreho bsd

Mám dojem, že kdyby Linux byl licencovaný pod takovou licencí, tak se zkrátka neuchytí jako kernel pro embedded věci v takové míře a výrobci SoC by psali drivery pro jiný systém. Například i proprietární. Tenhle svů whataboutismus můžu i rozšířit: Nedivila bych se, kdyby tím systémem bylo NT.

To bychom ale mohli vést úplně stejnou diskuzi i dnes - proč všechny ty mobily a jiné malé krabičky nejedou na nějakém BSD, ale na Linuxu, přestože by to z hlediska licence bylo daleko výhodnější.

Ale ne z hlediska práce. V Linuxu aspoň půlku práce udělal někdo jinej a musel to zvěřejnit. Co máš z toho, že třeba Sony (PlayStation) a Apple (Mac, iPhone) používají BSD, o většině úprav nevíš.

Předchozí komentář:
> Tenhle svů whataboutismus můžu i rozšířit: Nedivila bych se, kdyby tím systémem bylo NT.

To není tak divné. Windows pro embedované použití je běžný dodnes. Myslím např. automatické pokladny v supermarketu a asi i ty tabule s jízdními řády na nástupištích na hlaváku v Praze.

27. 8. 2025, 11:02 editováno autorem komentáře

Ale ne z hlediska práce. V Linuxu aspoň půlku práce udělal někdo jinej a musel to zvěřejnit. Co máš z toho, že třeba Sony (PlayStation) a Apple (Mac, iPhone) používají BSD, o většině úprav nevíš.
No právě, o tu práci jde, i když licence by byla výhodnější třeba BSD. Tím jsem chtěl nepřímo říct, že licencovat kernel pod GPLv3 by nemusel nakonec být takový problém a výrobci hardwaru by to překousli.

Ono ani tak nejde o licenci jádra, jako jestli pak "otráví" i licenci binárních blobů. Ovladače HW používají spoustu licencovaného IP (Intelectual Property) od třetích stran. Ono i když si výrobce HW vše vymyslí "od nuly", tak musí platit, co je pokryto patenty. Např. Intel za své iGPU platil AMD a Apple určitě Imagination Technologies (první generace jeho iGPU měly dokonce půlku obvodů ještě z předchozího licencovaného iGPU PowerVR).

Primárně ano, od toho jsou přepravní podmínky (forma smlouvy) a pošta má také nějaké "smluvní podmínky" - to je také forma smlouvy. Takže pokud se něco stane se zásilkou (podpálí sklad kde je uložena), nebo terrorista ohrožuje cestující, pojišťovna (a myslím, že i zákon) jde primárně po provozovateli. Je jasné, že pak se to řeší dále, protože nikdo si nechce nechat na sobě tíhu jakéhokoliv průšvihu. Samozřejmě, že jsou jisté meze rozumného rizika, které provozovatel podstupuje. (Cinklo to teď?) Takže to, že byla železniční policie v ČR zrušena TAKÉ znamená, že rizika pro cestující jsou dostatečně nízká. Neznamená to, že se na nás stát vykašlal (kdo teď volá: "Defenestrace!"?), ale že se máme opravdu dobře. Ale to už je jiné téma.

ano, nese. Pokud mi cizí zásilka třeba požárem nebo rozlitím poničí tu moji, pošta za ní nese odpovědnost a neřekne ať si to jdu vyřešit s odesílatelem té jiné. Zásilky ze zahraničí u ČP procházejí kontrolou a v některých případech i rentgeny.

Stejně tak pokud tě ve vlaku obtěžuje jiný cestující nebo ti zasedl třeba místo s tvoji místenkou, máš tady vlakový personál, který to za tebe řeší a pokud to nevyřeší (třeba ten dotyčný měl přednostní právo kvůli invaliditě), tak ti to finančně kompenzují.

Jenze ta elektronicka zprava zasilka, je ekvivalenetem dopisu nebo podledu - a jeho obsahu.
Obsah zadneho bezneho dopisu nebo pohledu (pismo nebo text) nemuze ovlivnit zadny jiny dorucovany dopis.

Tak ještě jednou. Jestliže zásilka nadělá nějakou škodu, přepravce bude hnán k odpovědnosti a vyústí to v nějaké opatření. Příklad je, co nyní udělal Google. A ta opatřerní v případě ČP "mohou"* být až takového charakteru, že ČP bude číst každou zásilku a schvalovat její přepravu.
*
1. Jistě, v dnešní době už snad nikdo nevěří, že v psaném textu přepravovaném ČP bude nasazena cenzura. To bylo relevantní v době, kdy jaksi nebyl internet a předávání zpráv na větší vzdálenost jinak než poštou (pro běžné smrtelníky) nebylo možné.
2. V případě pošty je tady však instituce listovního tajemství. Můžete si být jist, že pokud by nastala vyjímečná situace, takové výdobytky civilizace jako listovní tajemství by byly to první, co by bylo zrušeno.
Takže ten váš "ekvivalent" není dobrý příměr.

27. 8. 2025, 09:07 editováno autorem komentáře

Ne nemohou ty malý bolševiku.
"Listovní tajemství je chráněno primárně Čl. 13 Listiny základních práv a svobod a dále je upraveno a postihováno v Trestním zákoníku (§ 183 a násl.) a v zákoně o poštovních službách. Zákon umožňuje výjimky z tohoto pravidla (např. soudní příkaz), a jeho porušení může být hodnoceno jako trestný čin s různě vysokými tresty podle okolností a závažnosti. "

Zase špatně - nejsem ani malý bolševik, ani velký bolševik. Psal jsem o vyjímečné situaci, ale nenapsal, jakou mám na mysli. Myslel jsem něco jako vyjímečný stav.
Protože umím, na rozdíl od vás, použít veřejně a zdarma dostupné zdroje, přikládám výstup chatgpt.com. Možná ale chatgpt kecá, klidně mě můžete opravit protiargumentem:

Platilo by listovní tajemství i v případě vyjímečného stavu?
ChatGPT řekl:

Ano, listovní tajemství v České republice je ústavně chráněno – čl. 13 Listiny základních práv a svobod stanoví, že „tajemství listin a jiných písemností, a to buď v poštovním styku, nebo jinak doručovaných, jakož i tajemství zpráv podávaných telefonem, telegrafem nebo jiným podobným zařízením, je zaručeno“.

Nicméně – tato práva nejsou absolutní. V určitých situacích mohou být omezena zákonem, typicky:

pro účely trestního řízení (odposlechy, sledování zásilek),

pro ochranu bezpečnosti státu, veřejné bezpečnosti, práv a svobod druhých.

Pokud by byl vyhlášen výjimečný stav (podle ústavního zákona č. 110/1998 Sb., o bezpečnosti ČR), vláda může v nezbytném rozsahu omezit některá práva a svobody. Konkrétně čl. 6 odst. 2 tohoto zákona uvádí, že lze omezit listovní tajemství a tajemství jiných písemností a záznamů, ale jen pokud to vyžaduje bezpečnost státu nebo veřejný pořádek.

a nespadaju pod listove tajomstvo aj spravy ci uz cez email, alebo rozne dalsie formy elektronickej komunikacie?

tak ako nemozu byt listy hromadne a automaticky kontrolovane na nevhodny obsah tak by to rovnako malo platit aj pre elektronicku komunikaciu a malo by sa to diat len na zaklade sudneho prikazu a len v nevyhnutnych pripadoch pri vaznom podozreni na pachanie trestneho cinu

lebo ak budu automaticky kontrolovat odchadzie spravy na vyskyt nevhodnych slov, resp. data na ich nevhodny/proti­zakonny obsah a automaticky sa to potom bude bonzovat fizlom tak niesme daleko od toho aby si stat vynuti automaticku kontrolu vsetkych aj sukromnych kamier, ktore automaticky budu rozpoznavat obsah a ak sa tam objavi nieco co vykazuje protizakonne alebo protistatne/pro­tivladne(o toto im vskutocnosti ide) konanie tak sa to automaticky takyto zaznam posle novodobym stbakom

pokud prijde poskozena zasilka, nebo seztrati, tak to musi reit odesilatel, napr ti-sing, precti si prepravni podminky, sekce reklamace

Je to přesně opačně: Poškozenou nebo nedodanou zásilku řeší s poštou příjemce: https://www.ceskaposta.cz/rady-a-navody/reklamace Myslím, že nic nebrání odesílateli zásilku reklamovat a pouze odhaduji, že jej pošta nepošle do bažin, ale dokumentovaný postup je opačný než píšete.

Prednostni pravo kvuli invalidite se vztahuje jen na vybrana mista a nevztahuje se na vsechna mista pokud mam mistenku.
Sedim-li na takovem miste, tak jsem trotl ze jsem si ho rezervoval - je vyznaceno pred rezervaci.

To mi nepřipadá reálné.

Google neví hash apk, není tedy schopný říct, že tahle verze nesplňuje podmínky a musíš vydat novou. Může zablokovat pouze celou aplikaci nebo celého autora.

Z toho důvodu je i složitá kontrola samotné aplikace, Google (a nikdo jiný) neví, jakou verzi vlastně kontroluje a jestli aktuální je už podle jakýhkoliv pravidel v pořádku nebo jestli je více verzí jedné aplikace.

Google to na prezentaci odůvodňoval tím, aby se dala kontrolovat integrita a autenticita aplikace, tj. že není modifikována cestou a že pochází od daného autora. Zároveň chce ztotožnit autora aplikace.

Pokud aplikace bude porušovat zákony (nebo si to někdo bude myslet), Google asi nejspíš poskytne jen kontaktní údaje na autora a to bude vše.

Pokud budeš poskytovat nějakou aplikaci, kterou ti Google přes tohle bude blokovat, tak prostě budeš pokaždé registrovat nové ID a vydávat nově podepsané apk s novým názvem aplikace. Obcházet to lze velmi triviálně, takovéhle díry dělají politici v zákonech a nikoliv vyloženě technologická společnost jako Google, tam věřím, že ví jak to funguje.

jako v pripade aplikaci typu newpipe me prijde blokovani autora jako naprosto realne. A s jeho identifikaci nebude mit zadny problem (protoze k aplikaci se dostane stejne jako my)

A jak přesně ta OSS aplikace vypadá? Někdo konkrétní musí vlastnit majetková práva a mít nějakou právní subjektivitu, ten přesně může zaregistrovat to ID a poskytovat k němu podepsané balíčky.

Nebo bude dostupný zdrojový kód a ten kdo si to zkompiluje a podepíše, si musí zaregistrovat ID (tady to bude velmi nepříjemné nejspíš s požadavkem na unikátní název, ale kdo ví).

Podobný princip je přece s balíčky v repozitářích v distribucích, buď se o ně stará komunita, která dělá tu aplikaci nebo se o to stará střetí strana a tedy z pohledu distribuce je konktatní osobou.

Tak historicky by byl priklad takove aplikace treba TrueCrypt.
Nikdy nemel zadneho znameho autora (a vzhledem k jeho podivnemu konci asi dobre vedeli, proc).
Prikladu aplikaci, ktere se "nelibily" je vic a vzhledem o snahu o stale vetsi smirovani jich bude pribyvat.
Caste problemy mivaji i autori implementaci Toru.

Asi jste chtěl reagovat na martinpoljak. Já jsem mobil s autem nesrovnával. :-)
Ano, to co jsem popsal s autem se týká provozu na veřejných komunikacích. Neuvedl jsem to tam, to je pravda. Je v tom můj mlčenlivý předpoklad, že já mám auto proto, abych se přepravil z místa na místo a to pokud možno bezpečně. Můj use case není jízda mimo veřejné komunikace. Však s mobilem, kterým se nechcete připojovat do Google si také můžete dělat co chcete a Google proti tomu nic mít nebude. :-) Už?

No ta poslední věta právě není pravdivá. Nebo co to znamená “Připojit ke Google”?

Google nedovolí nainstalovat aplikaci ani v případě, že máte to zařízení ke speciálním účelům, případně ho používáte na soukromé 5g síti.

"Připojit ke Google" znamená mít google účet spárovaný s mobilem. Pak mobil můžete použít i bez Google účtu a ano, pak nepůjdou instalovat aplikace. Psal jsem: "Však s mobilem, kterým se nechcete připojovat do Google si také můžete dělat co chcete a Google proti tomu nic mít nebude." Ano, explicitně jsem nezmínil, že nepůjdou instalovat aplikace. Reagoval jste na analogii s použitím automobilu mimo smluvní podmínky (provoz na pozemních komunikacích). Také nemusíte platit povinné ručení, nebudou vás sledovat rychlostní kamery (ó, jaké to narušení soukromí!) atd atd. Ale nikam daleko za rozumný čas nedojedete, takže v mém použití automobilu popřete jeho účel. (Uznávám, jsou takoví, co hromadí vraky aut na zahradě, ale to fakt není můj případ.) Myslel jsem, že ta nalogie je zjevná - evidentně nebyla, tak pardon. Chodíme pořád dokola - máte ještě nějaký dotaz, nebo to můžeme uzavřít?

Proč by nešly instalovat aplikace? To neznáte třeba F-droid?

Takže otázka, kterou tu řešíme je: Má Google právo blokovat instalaci aplikací pro Android i z jiných zdrojů (F-droid, vlastní APK)? I v případě, že byl ten Android de-Googlován nebo je na privátní síti?

A jsou i automobily určené pro závodní okruhy. S úpravami, které je na silnici nepustí.

27. 8. 2025, 11:06 editováno autorem komentáře

Ano, Google má právo blokovat, co se mu zlíbí, protože dodává OS a za něj nějakým způsobem ručí. Pokud se vím to nelíbí, použijte jiný OS, který takové omezení nemá.
Ano, jsou i jiné automobily určené pro závodní okruhy. Ale ani tyto nesmí na veřejnou komunikaci, resp. je to speciální případ. Nebo i za upravené motory z Fordů ručí automobilka?
Tak já nevím, ale přijde mi, že pořád kličkujete. Nebo vám to opravdu není jasné? Asi není, tak naposled:
Před použitím Androidu souhlasíte s podmínkami použití. Jestli s nimi nesouhlasíte, použijte jiný telefon, který má takové podmínky, se kterými nebudete mít problém. Jesli takový najdete nebo ne je váš problém. Co na tom pořád nechápete a plantáte tam nějaké právo Google? Jestli máte pocit, že Google porušuje vaše práva, řešte to konstruktivně a ne tady v diskusi. Děkuji.

"protože dodává OS a za něj nějakým způsobem ručí. "

no si si isty, ze za ten os ruci? no ja by som dal krk na to, ze v eula ma, ze neruci za nic, tak ako to ma drviva vacsina softu

a za co vlastne podla teba google ruci, ze si z jeho obchodiku nestiahnes skodlivu appku? :)

alebo snad ruci za to, ze jeho os nesposobi ziadnu stratu dat? vazne? :)

ci snad nebodaj, ruci za to, ze ak ti cez jeho os vykradnu ucet, ze on to zaplati? :)

no tak za co podla teba ruci?

A přesně proto by měly regulační orgány šlápnout Googlu do úsměvu. Situace, kdy máte v podstatě jen dvě takto uzavřené platformy je ve výsledku sice oligopol ale vlastně už s mnohými vlastnostmi čistě monopolu.

Nemusi slapat primo do Googlu, ale meli by definovat, ze sluzby nelze vazat na oligopolni korporat (jeste k tomu ten vtip s EU digital sovereignty), ale mel by to byt open standard, ktery muze implementovat kdokoliv. S Googlem by v zasade diky AOSP (coz je celkem dobry krok k tomu, aby Google prosel u antimonopolnich zakonu) problem nakonec byt nemusel, jediny problem je vazba aplikaci na play services.
Vysledek je ten, ze pouzitelny telefone nelze bez podrizeni se Google v soucasne dobe vyrobit.
A to uz problem je.

Pozor, Google aktivně likviduje AOSP. Známý je příklad, kdy přesunul API pro geolokaci z AOSP do Google Mobile Services. Aplikace tak musely být aktualizovány na nové API, a pokud starou codepath odstranily (v nové verzi Androidu na telefonech není), tak app nebude fungovat na "de-googled" telefonech. AOSP slouží už jen pro antimonopolní úřady.

"použijte jiný telefon, který má takové podmínky, se kterými nebudete mít problém"

A to je presne ktery?
Aktualne je tu totalni ologopol dvou systemu podporeny jeste tim, ze mi to vnucuji banky a stat.

Ok, rekneme, ze mam obycejny tlacitkovy telefon bez os. Me by to nevadilo, ale je mi to cim dal vice nuceno nekym jinym.
A to ani ne tak, ze ja bych neco chctel, ale oni u sluzeb, ktere pouzivam 20+ let, meni podminky a fakticky mi vnucuji oligopolni OS.

"A to je presne ktery?"
Je to ten, který vám vyhovuje. Ale slovo "vyhovuje" neznamená, že vyhovuje jen HW, ale i SW a licenční podmínky. A já za vás fakt nebudu pátrat, co by vám vyhovovalo stylem "A co tenhle?" "Ne, ten také nechci." K tomu si najděte někoho jiného.

Google za ten OS ručí? Jak přesně? Četl jste někdy EULA u těch OS?

A za druhé. Nařízení EU o digitálním trhu se na Android a Google vztahuje. Takže Google dostal povinnost umožnit instalaci aplikací z alternativních zdrojů. Což doteď šlo snadno.

Apple za nedodržení tohoto nařízení a házení klacků pod nohy je a bude popotahován.

Apple to vyřešil, v EU povolil obchody třetích stran. Pod podmínkou, že bude mít procenta z prodaných aplikací v nich. Pro zbytek světa, aby nebyl smutný, aspoň povolil v AppStore emulátory, jako např. DOSBox.

27. 8. 2025, 21:36 editováno autorem komentáře

To se zdaleka netýká jen osobních nebo finančních dat.

Rozsah působnosti RED

RED se vztahuje na:

Každé zařízení, které úmyslně vysílá nebo přijímá rádiové vlny pro komunikaci nebo určování polohy.

tj. mobilní telefony, Wi-Fi AP/routery, IoT senzory, bezdrátové klíče, BT sluchátka, GPS přijímače, dálkové ovladače, RFID/NFC zařízení, drony s rádiem atd.

Od 2016 nahradila předchozí R&TTE směrnici a rozšířila rozsah tak, aby pokryla i přijímače (dříve některé spadaly pod EMC/LVD).

Za komunistov som si mohol aspoň postaviť kryštálku. Bude to ešte legálne?

Ale RED DA zajišťuje bezpečnost pro radiová zařízení, zejména pokud jsou připojena k internetu.

Rádiový modul Lega moc modifikaci neumožňuje.

Jasne, ze umoznuje, je to Armovy pocitac, kam se da strcit karta a nabootovat Linux...

Záruka je něco jiného než životnost. Lego by mohlo mít důvod a prodávat své produkty jako něco, s čím si může hrát několik generací dětí.

No a pak se zase mnozí diví, že EU řeší věci jako právo na opravu. Tohle je z podobného soudku.

Jenže pro výrobce je právně závazná jen záruka. Podobně např. baterie do elektroauta má záruku obvykle 8 let, ale to neznamená, že přestane po 8 letech fungovat (většina baterek auto přežije).

EU si v v mnoha ohledech nekoherentni - napr. prosazuje tyto opatreni (https://www.europarl.europa.eu/RegData/etudes/BRIE/2020/651992/EPRS_BRI(2020)651992_EN.pdf), a pak sama vytvori aplikaci pro overovani veku (ktera asi bude taky mandatory pro spoustu veci) a svaze ji s Play integrity API...

Je to vina autora té aplikace, že ji neudržuje aktuální. Google samozřejmě nechce dopadnout jako Microsoft s Windows a udržovat zpětnou kompatibilitu desítky let pro dávno neudržované aplikace. A je to tak správně.

A co presne je na ni neaktualni, kdyz je plne kompatibilni s API v aktualnim OS?
Tohle nema zadny racionalni technicky duvod.

Pokud to výrobce otestoval, že je to aktuální, proč to nedal na Google Play? Opravdu za tu dobu nebyla vydána nová verze žádné použité knihovny? Nebylo žádné API označeno za zastaralé? To mi připadá nepravděpodobné.

Ostatně důvod, proč Google odstranil aplikaci z Google Play, bude spíš ten, že aplikace deklaruje používání nějakého starého API, než že by to bylo jen kvůli tomu, že nebyla dlouho vydána nová verze.

Ne, Google skutečně např bumpuje verze, které má aplikace uvádět v manifestu, aby donutil autora znovu publikovat app, nyní již podle nových pravidel Googlu a jeho Play.

Je tomu pár desítek měsíců zpátky, co Google přišel s tím, že odstranil neudržované aplikace, tedy takové, kde nedošlo k žádné aktualisaci po dobu několika (šesti?) měsíců.

Z pěti mnou používaných aplikací to postihlo tři, přičemž jedna byla screensaver, tedy nedůležitá, další byla Open Sync (synchronizace kalendáře a kontaktů s domácím cloudem - alternativou je davx5, placená aplikace, ale horší na použití); ještě mí tam chybí Molly (alternativa k Signal, která umí být dalším zařízením na Androidu, například tablet k mobilu..., na Google Play nikdy nebyla). Další dvě aplikace, které na telefonu mám, jsou JRm (jízdní řády MHD, ale moc je nevyužiji, neumí hledat přes změny JŘ, které se tu dějí často). a bankovní klíč pro potvrzování plateb v e-shopu.
A to je vše. (Plus jsem spoustu aplikací odebral, protože je opravdu nepotřebuji.)

26. 8. 2025, 17:52 editováno autorem komentáře

Zrovna zpětná kompatibilita mi přijde jako hlavní výhoda Windows.

Naopak mi fakt vadí, že jsem si pro nějaké jiné platformy koupil aplikace a nemohu je po pár letech provozovat nebo fungují jen částečně.

Pak samozřejmě není divu, že lidé nechtějí aktualizovat, když by přišli o aplikace.

Místo toho, aby jedna firma držela kompatibilitu, tak miliony vývojářů musí pořád dokola předělávat aplikace. To mi nepřijde jako ideální stav.

Díky tomu je platforma PC/Windows a PC/DOS zachovatelem programů a her. Ostatním platformám tak stačí emulovat jen ty a pokryjou většinu aplikací. Je např. jedno, že app byla i pro macOS, Linux či Amigu, když většinou je i verze pro Windows nebo DOS která bude fungovat vždy.

Ono to s tou zpetnou kompabilitou zas tak slavne neni. Neni to tak davno, co se ve Windows 11 s updatem rozbilo D3D9, kdy aplikace v kombinaci s Nvidia ovladaci proste padaly na hubu... :-)

Zrovna zpětná kompatibilita mi přijde jako hlavní výhoda Windows.
Jistě že je to pro uživatele výhoda. Ale za jakou cenu? Jak na straně vývoje u Microsoftu, tak bezpečnostní problémy, ale také u autorů aplikací a knihoven.

Naopak mi fakt vadí, že jsem si pro nějaké jiné platformy koupil aplikace a nemohu je po pár letech provozovat nebo fungují jen částečně.
Ale když taková situace nastane, tak i kdyby vám ty aplikace díky zpětné kompatibilitě fungovaly, budou pravděpodobně nezabezpečené.

Místo toho, aby jedna firma držela kompatibilitu, tak miliony vývojářů musí pořád dokola předělávat aplikace. To mi nepřijde jako ideální stav.
Jenže ono to právě není o tom, že by jedna firma držela kompatibilitu. Museli by to řešit i autoři knihoven apod. A hlavně by ji musel držet celý svět okolo. Přijde se třeba na slabinu v hashovacím algoritmu, v šifrovací funkci, v nějakém protokolu – v některých případech to nejde řešit na straně knihovny nebo systému, musí to vyřešit aplikace (třeba začít používat novou verzi API).

Reálně Windows potřebuje držet zpětnou kompatibilitu. Protože k čemu by pak jinak byl. Jako "game loader" se začal prosazovat Steam Deck a Valve nabízí Steam OS i dalším výrobcům HW (na stejném HW běží hry rychleji s Linuxem než s Windows, ale vlastní Linux je moc práce, stejně tak emulace Windows her).

> Danny
> Ono to s tou zpetnou kompabilitou zas tak slavne neni. Neni to tak davno, co se ve Windows 11 s updatem rozbilo D3D9, kdy aplikace v kombinaci s Nvidia ovladaci proste padaly na hubu... :-)

DX9 je rozbitý poměrně nedávno (Win11, nové GPU NVidia a ARM SoC, což je zatím jen Qualcomm). Ale pro starší DX je od komunity vlastní implementace, wrapper na aktuální verzi API. Sám používám pro staré hry jako Colin McRae Rally 2.

Vyborne, takze koncime u toho, ze kvuli te "skvele zpetne kompabilite" beztak potrebujeme 3rd party wrappery se spoustou rucniho crcani... :-)

Ten wrapper to má jednodušší, že mapuje DirectX na DirectX, jen jiná verze. A samozřejmě zbytek API OS zůstává.

Ja na to koukal... ale nastrkat to ke vsem aplikacim, co to potrebuji muze byt solidni opruz (a ne, fakt to nemusi byt jen hry). A porad se bavime o tom, ze to kouzlo deklarovane historicke kompability se jaksi rozplyva :-) Specificky co se D3D9 problemu tyce, nastesti tam kde me to realne trapilo nebyl problem uhnat vyvojare, ktery to proste prekopal.

> Ale když taková situace nastane, tak i kdyby vám ty aplikace díky zpětné kompatibilitě fungovaly, budou pravděpodobně nezabezpečené.

Byl bych radši ať to alespoň funguje, i když to není zabezpečené, než když to vůbec nefunguje. Takhle bych se alespoň mohl rozhodnout, zda to risknu.

Navíc ten problém s bezpečností je často přeceňovaný. Když se ty aplikace nepřipojují na internet a nečtou soubory z nedůvěryhodných zdrojů a jsou od sebe izolované a nepracují s citlivými údaji, tak by často neměl být problém.

> Jenže ono to právě není o tom, že by jedna firma držela kompatibilitu. Museli by to řešit i autoři knihoven apod. A hlavně by ji musel držet celý svět okolo.

Proč by ji musel držet celý svět okolo? Když by ji držel Android a autoři aplikace by použili jen ta API, co drží zpětnou kompatibilitu, tak by to mohlo fungovat, ne? Nebo chybí něco?

Byl bych radši ať to alespoň funguje, i když to není zabezpečené, než když to vůbec nefunguje. Takhle bych se alespoň mohl rozhodnout, zda to risknu.
K tomu rozhodnutí drtivá většina lidí včetně vás nemá znalosti. To, že to není bezpečné, často neohrožuje jenom vás. Skoro všechen spam, malware, DDoS útoky jdou ze zařízení, u kterých to někdo risknul.

Navíc ten problém s bezpečností je často přeceňovaný. Když se ty aplikace nepřipojují na internet a nečtou soubory z nedůvěryhodných zdrojů a jsou od sebe izolované a nepracují s citlivými údaji, tak by často neměl být problém.
A ještě častěji je problém s bezpečností podceňovaný. Jak hezky ukazujete.

Proč by ji musel držet celý svět okolo? Když by ji držel Android a autoři aplikace by použili jen ta API, co drží zpětnou kompatibilitu, tak by to mohlo fungovat, ne? Nebo chybí něco?
Chybí třeba používané knihovny, algoritmy, protokoly. Když začalo být MD5 považováno za slabé, nespravil to patch operačního systému, ale musela každá aplikace přestat používat MD5 a začít používat novější hashe. Když byla nalezena slabina v TLS 1.0, nevyřešil to žádný patch - muselo se přejít na novější TLS 1.2. A každý, kdo dál používal TLS 1.1, ohrožoval ostatní – protože kvůli němu musela být i jinde povolená podpora TLS 1.1, takže i když dvě strany uměly použít TLS 1.2, pořád byly kvůli tomu uživateli TLS 1.0 ohroženi downgrade útokem.

Schválně jsem vybral křiklavé příklady, na kterých je to vidět na první pohled. Ale takových situací jsou spousty a dějí se dnes a denně. Každou chvíli se narazí na nějakou funkci, která se bez porušení zpětné kompatibility nedá spravit.

Jestli zo dobře chápu - znamená to tedy že provozovat jakýkoli WiFi router s OpenWRT je vlastně nelegální bez ohledu na (ne)rušení, protože software není oficiálně homologován?

V podstata je nelegalni prodavat router, do ktereho jde snadno OpenWRT nainstalovat - pozaduje se, aby FW byl podepsany.
Obecne jsou cesty, jak to udelat rak, aby se to splnilo (viz. google s Pixely) ale v praxi je to spis nepravdepodobne.
Plati to od 1.8, takze by jsi v zasade nemel bych schopen koupit router, kam si pres web nahrajes OpenWRT, plus asi budou osekane sluzby, ktere to umi.

26. 8. 2025, 16:20 editováno autorem komentáře

Tak ono všeobecně není moc nových routerů, kam by OpenWRT šlo naflashovat "snadno" přes webové rozhranní. Dost často je nutný TFTP boot, nebo dokonce sériová linka.

Je tedy jeste nevidel router, kam be se do BL dali importovat klice.
Pokud BL neoveruje FW klicem, tak by mel byt s RED nekompatibilni.

Ne nezbytně, ale je to cesta nejmenšího odporu pro výrobce. A není kompatibilní s GPL 3, což pro spoustu výrobců bude zajímavý problém.

A měl jste říct rovnou, že jde o RED DA, což je rozšíření ohledně bezpečnosti, které v principu dává smysl, protože uživatelé si sami bezpečnost neohlídají.

On i původní RED umožňoval stejnou argumentaci: Nemůžeme garantovat dodržení podmínek pro vyzařování, pokud vyměníte firmware. Protože radia jsou dnes polosoftwarová nebo softwarová.

Celé je to jen o zodpovědnosti před zákonem. Výrobce vs. provozovatel. Pokud bude výrobce mít jednoznačnou a spolehlivou možnost přenést zodpovědnost na provozovatele, tak nebude mít důvod to blokovat.

A není kompatibilní s GPL 3, což pro spoustu výrobců bude zajímavý problém.

Kde není žalobce, není soudce. Kdo přesně bude žalovat nadnárodní korporát za (částečné) nedodržení GPL?

FSF, https://en.wikipedia.org/wiki/Software_Freedom_Conservancy a pár dalších se tomu aktivně věnují.

Ne, homologace byly zrušeny. Dnes se funguje na principu prohlášení o shodě. Pokud zařízení importujete bez něj nebo upravíte, jste za něj zodpovědný jako provozovatel.

Kdyz ono z pohledu beznych uzivatelu je holt jednodussi sahnout po tom mobilu, nez nekde lovit ctecku cipovych karet. Mate specificke (minoritni az okrajove) potreby, ktere se holt nevyplati zadne bance implementovat... i kdyz takovy FIDO2/Passkey by se mi libil take, ale to jsou zas veci vcelku "nove" a urcite takove masove pokryti nemaji.... zatimco mobil coby i jen jako ten druhy faktor ma skoro kazdy.

Je celkem škoda, že banky zcela ignorují TOTP. Přitom je to jinak celkem rozšířený faktor ověření a hlavně bezpečnější než SMS.

TOTP je davno mrtvy kun. Bezpecnejsi nez SMSky je jen o malinko, porad se bavime o sdilenem klici, ktere drzi obe strany (a zbytek se odvodi z casu), ten klid kdyz z jakekoliv strany utece, tak je prusvih, zeano...

Dobre to bylo pred ctrnacti roky, ale dnes jsme uz fakt nekde jinde. V roce 2025 uz fakt.. nein, danke! :)

TOTP je dnes víc než dost relevantní a jako náhrada za SMS ideální, protože na rozdíl od těch ostatních je technologicky nenáročné, klienti to má prakticky pro cokoliv. A jestli to je pořád good enough pro naše IT, tak si myslím, že je to i dostatečně bezpečné.

Ze to je good enough pro vase IT nic neznamena. Pro takovy NUKIB je good enough buzerovat uzivatele s periodickou zmenou hesel, i kdyz ve svete se davno vi, ze to je blbost delat a rikaji to i takove autority jako NIST :-) Ono holt IT casto funguje s nejakou setrvacnosti...

Implementovat na necem nove TOTP v roce 2025 nedava smysl. Utika se od nej stejne jako od tech SMS. Krom jineho treba mojeid to komplet pohrbilo, uz pred asi trema rokama. Jako druhy faktor pro prihlasovani ke sluzbam statu to jako good enough povazovane nebylo a nikdy ani pouzit neslo.

TOTP se ale třeba neumí bránit MitM útokům, velmi snadno se dá zcizit a používat odkudkoliv, jako provozovatel systému pak nejsi schopný ověřit autentičnost, prostě jsi dostal "číslo" a nikdo neví, jestli ho náhodou už neumí generovat půlka internetu.

TOTP je ovšem jen jiné heslo. Banka ale potřebuje potvrzovat konkrétní transakce – potřebuje odlišit, zda schvalujete přihlášení, převod peněz na účet X nebo převod peněz na účet Y. To s TOTP nejde udělat.

Nevím, co potřebuje banka, ale podle evropské směrnice, která to reguluje, je AFAIK TOTP je povolený způsob autentizace. Že není dokonalý, je jasné, ale to není ani SMS.

Ona banka ani nepotřebuje dokonalý způsob ověření. Žádný není 100% a vyřešit ty poslední procenta do plného sta je dražší než interní fond pro kompenzaci poškozených zákazníků. Banka chce, abyste účet používali a peníze utráceli. Takže nabízené možnosti ověřování jsou kompromis mezi pohodlností pro zákazníka a bezpečnosti, kterou banka finančně utáhne.

Krom jineho PCI DSS v aktualnim zneni TOTP uz take povazuje za legacy vec. Neni to phishing-resistant multifaktor... stejne jako ty SMS. Realne PCI DSS hazi SMS i TOTP do stejneho pytle.

Ano, ale je to jen autentizace. Jenže banka potřebuje i autorizaci jednotlivých transakcí. A díky/kvůli BankID je dobré umět i rozlišit, kam se přihlašuju – zda do banky, k NIA nebo ke komerčnímu BankID.

Scénáře, kdy mi u banky bude stačit TOTP, jsou velmi omezené.

SMS vůbec neřeším, to je prostě dávno prolomená technologie.

která směrnice prosímtě dovoluje TOTP v případě bank? :)

V rámci PSD2 se pro na TOTP vztahuje "to, co drží pouze uživatel", což u TOTP dnes již není považované za platné. Přechází se na biometrii nebo vlastní bezpečné klíče v mobilní aplikace.

3D Secure 2.0 pak stanovuje TAN (jako transakční číslo), které ale musí doručit banka a není možné ho vygenerovat offline. Na offline ověření je potřeba mít patřičný kryptografický HW.

DORA pak stanovuje, že si banka musí pravidelně dělat audity bezpečnostních metod a pokud u nějaké odhalí, že již není dostatečně bezpečná, musí provést upgrade.

Jestli si dobře vybavuji, žádná z 10 největších bank v ČR dnes už nemá TOTP v provozu. Odkud čerpáš, že TOTP je u bank OK? V bankovních systémech se pohybuji pracovně a bezpečnost je obor, v kterým podnikám a dodávám.

A proc tedy nikdo nepodporuje FIDO2?
Komplet vsichni radeni nuti problemove aplikace na monopolni mobilni OS.

Pritom v USA s tim problem namaji, normalne pouzivat FIDO2 token s Bank Of America.
Pritom bezpecnost je jednoznacne vyssi, token se da ukrast pouze fyzicky.

protože to je jejich interní rozhodnutí, prostě chtějí prosazovat svoje aplikace a tak trochu si s tím přihřívat píseček.

FIDO2 neumožňuje snadno zobrazit informace o transakci, kterou potvrzuješ, může být tedy náchylný k řadě útoků. Jsou tady hlasy, aby se interní CTAP protokol rozšířil o možnost zobrazit rozumně informace. Němci to teď aktivně řeší, https://die-dk.de/media/files/GBIC_Recommendations_on_FIDO2.pdf, české banky vyčkávají.

S Fido2 koketuje Airbanka, ale zatím to není dostupné, viz i problémy výše.

Jednak ta čtečka je součástí notebooku, takže nic lovit nemusím, a druhak je ta banka podporuje už kvůli firemnímu bankovnictví, kde se to používá vcelku často. Jediný zádrhel je tedy v tom, že kombinace čipovka + Linux je minoritní...

Já osobně bych bral i možnost přihlášení pomocí tokenu a MojeID - když to stačí eráru, mělo by to stačit i bance.
Jenže to už tuplem nechtějí implementovat, protože je pro ně lepší lidem vnutit svoji bankovní identitu a mít přehled o tom, kam se jim klienti hlásí...

Tak to je spis uz byznys. Stejne jako prihlasovani pomoci jinych identit typu Google, AppleID na webu. I banka touzi po datech, stejne jako ostatni. A ono eraru MojeID mozna staci, ale na ruzich take ustlano zrovna nema. A ten enrollment neni uplne uzivatelsky... ne az tak pratelsky, clovek proste musi "neco dalsiho", aby tu identitu rozpohyboval. Zatimco diky legislative tu identitu z banky dostane bez nutnosti (zase) nekam chodit.

Já osobně bych bral i možnost přihlášení pomocí tokenu a MojeID - když to stačí eráru, mělo by to stačit i bance.
Jaký by to mělo smysl? Přihlásil byste se tokenem nebo přes MojeID – a pak byste potřeboval autorizovat platbu, takže byste stejně musel jít do mobilní aplikace nebo použít něco jiného, co dokáže autorizovat konkrétní transakci. Nebo se do banky přihlašujete tak často jen pro čtení?

transakci můžeš autorizovat naivně tím, že jsi použil silné přihlášení. Dříve třeba KB podepisovala transakce přihlašovacím certifikátem, dnes si můžeš třeba odvozovat klíč od sezení. Možné to je třeba i mobilních aplikací, kde je technicky velmi těžké obsah modifikovat nebo překrýt, u desktopu je ale velmi snadné překrýt a pozměnit stránku, tak je pořád potřeba potvrzení jiným kanálem.

No, mainstreamove implementace dokazuji relevantnost meho nazoru a naopak irelevantnost vaseho komentare :-)

V dnešní době např tlačítkový mobil vs smartphone s předem povoleným OS je docela rozdíl.