Názory k článku
Heslo pro kamerový systém v pařížském Louvru bylo „Louvre“

Security through obscurity, taky to tak v práci na některých místech máme :D

Na tom se ale nedá postavit bezpečnost. Je to jen falešný pocit bezpečí, který se zhroutí, jakmile se prozradí triviální tajemství. Takhle zajištěný systém není odolný proti kompromitaci vůbec nijak.

to se ti řekne, když to do nást všichni od mala hrnou. To jsou ty legendy o zakopaných pokladech na neznámém místě, ztracených městech. To se pak nedivím, že i v IT máme tendenci věci prostě schovat než je zamykat.

Byl-nebyl jeden bucket, který nešel listovat, ale jeho soubory jsou veřejně přístupné. Avšak, jména těch souborů jsou UUIDv4. A má otázka zní: je to security by obscurity, nebo má každý soubor 128b heslo? Soubory mají velmi krátkou životnost, tudíž birthday problem je nízký.

Podstatná otázka - zachází se s tím UUID v celém procesu jako s kryptografickým klíčem? Tedy není ani v žádném audit logu apod? Je dostupný jen oprávněným uživatelům a nikomu dalšímu? (==není indián admin, co by ho viděl)?

To, co je popsané v článku, ani to, co popisujete vy, není „security by obscurity“. Security by obscurity znamená, že se používá slabé zabezpečení, typicky slabý algoritmus, ale spoléhá se na to, že ten algoritmus nikdo nezná. Heslo, které je asi tak v prvních třech, které útočník vyzkouší, není slabý algortimus ani slabé zabezpečení, to je prostě prakticky nulové zabezpečení.

Krátká životnost souborů je ve vašem příkladu úplně jedno, těch souborů tam určitě nemáte tolik, aby byl birthday attack relevantní.

Security by obscurity by váš případ byl, kdyby se třeba s názvy těch souborů nezacházelo jako s tajemstvím, ta UUID by se někde odhalovala – ale spoléhalo by se na to, že případný útočník se sice dostane k tomu UUID, ale neví, v jakém bucketu by měl ty soubory hledat.

Jo v práci nám změnili firmu pro správu IT, a nové koště chce dvanáctipismenové heslo s velkým, malým a speciálním. Největší legrace byla že vyžadovali speciální znak, ale ty nebyly dostupné při zamčeném počítači, takže se nikdo nedokázal přihlásit. Navíc to chtějí měnit každých pár týdnů, ale nejsou dostupní 24/7, takže pravidelně část userů tráví dny s uzamčeným počítačem. Za ty roky jsem poznal spoustu správců, a zajímavé je že tímhle trpí tak 10% správců sítě, zbytek ne. Psychiatři tomu říkají obsesivní porucha, případně pokud to dělá naschvál, tak psychopatie.

Tomu se odborně říká ode zdi ke zdi. Ani jeden z těch přístupů není správný, jak řekl Buddha (možná): „Struny, které vydávají melodický zvuk, nejsou příliš napnuté ani příliš volné.“ Je nesmysl na bezpečnost kašlat, stejně jako kvůli ní zastavit provoz.

Ono ovšem v praxi stačí poměrně málo k tomu, aby se ta bezpečnost dramaticky zvýšila. Nikdy není možné se zajistit proti všemu na sto procent, ale stačí dodržovat doporučované základní postupy, nedělat vědomě školácké chyby a bezpečnost vzroste o mnoho řádů.

Co se hesla tyce, tam te nekdy donuti legislativa. Aneb tech 12 znaku je ve vyhlaskach k ZoKB, a je strasna tragedie, kdyz uzivatele jednou za cas k te zmene nedokopes. Aneb pokud subjekt vi, ze bude v nejakem rezimu zregulovany, tak na vyber ani moc nema (a ze jich pribude)... Jak znamo, urednik na kontrole se ti pri kontrole radeji zameri prave na podobne veci, ktere se snadno kontroluji :-) Checklist, co si odskrtnes.

Já jsem teda ve vyhlášce našel, že systém musí umožňovat heslo alespoň 64 znaků dlouhé a také je povoleno používat klíče. Takže 12 znaků nikde napevno není a každá normální firma i úřad má čipové karty.

Prave ze je § 8, odst. 4, pismeno a)... v pripade subjektu v nizsich povinnostech, tedy u vyhlasky 410/2025 Sb. Pro subjekty ve vyssich povinnostech (409/2025 Sb.) je to ekvivalentne § 19. Zkopirovali to ze stare vyhlasky (vyhlaska 82/2018 Sb a predtim i 316/2014 - v te teda bylo jen 8 znaku, na 12 se to zmenilo v roce 2018). Plus nucena periodicita zmeny 18 mesicu (drive po 100 dnech) - to rovnou zkopirovali s argumentem, ze kdyz to bylo dobre pred lety, tak to musi byt dobre i dnes...

A abych ti ušetřil další komentář, tak ano, skutečně tam je i 12 znakové heslo, ale celý odstavec začíná:

"Do doby splnění požadavků podle odstavce 3 nebo 4 musí nástroj pro ověření identity uživatelů, administrátorů a aplikací..."

Kde ve 3 a 4 se píše o multifactor a dalších možnostech jako klíče.

Ta vyhláška je z roku 2018 a v té době již všichni měli klíče. Navíc už je pár dnů zrušená. Jestli si někdo do nové vyhlášky z letošního roku stále dal požadavek na hesla a jejich pravidelnou změnu, tak je nějakých 7 let pozadu :-)

A "a aplikaci" je genialni past, ta je tam dokonce nova :-) Aneb technicke ucty. Kazdych osmnact mesicu menit treba hesla uzivatelum treba u databazi (a nejen tam)... to bude velmi, velmi zabavne... ;-) Bude zajimave pozorovat ty nahodne vybuchy v situaci, kdy se ta zmena nekam korektne nepropise.

Mám obavy, že se dopouštíte stejné chyby jako autoři těchto zákonů, tj. neuvědomujete si, že informační systémy, potažmo výpočetní technika, to nejsou jen počítače v kancelářích. A zvláště, bavíme-li se o kritické informační infrastruktuře - kdy jde hlavně o různé řídící systémy technologických procesů. U těch opravdu nejde upgradovat software tak lehce jako u smartfounu - a už vůbec ne hardware. Stejně jako blbnutí s hesly je tu naprosto kontraproduktivní. Bezpečnost tu má poněkud jiné aspekty a tradičně se řeší jinak. To, co sem cpe legislativa o kybernetické bezpečnosti, naopak vede ke snižování bezpečnosti a spolehlivosti.

No tak jasně, protože v momentě, kdy ti někdo stanovil požadavky a ty z nich dokážeš udělat checklist povinných položek, tak máš průser papírově podchycen a už to není TVŮJ průser, nýbrž toho, kdo vydal požadavky nebo je nedodržel. A je úplně jedno, jaká je to blbost, klíčové je, že je na tom štempl a že ty máš papír, žes opravdu udělal to, co po tobě někdo chtěl, a žes to udělal TAK, jak ON chtěl. Nikdo po tobě totiž nemůže chtít, aby ses zodpovídal z něčeho, na cos neměl vliv a o čem jsi neměl pravomoc rozhodnout.

Ono to ve velkých společnostech snad ani jinak nejde, když se tam mění lidé, k tomu dovolené, nemoci, někdy jedna ruka neví co dělá druhá. Pak se to musí standardizovat nějakým oficiálním postupem, určit role a odpovědnosti. Možná je to někdy neefektivní (zejména když to zavádí někdo, kdo pořádně neví co dělá), ale s jedním pánem, který má celé IT v malíčku si holt ve větší firmě nevystačíte.

Člověk by doufal, že se tohle v roce 2025 už dít nebude. Ale ono houby. V okolních papírnictvích se zvýší prodej nalepovacích poznámkových papírků. To bude zhruba jediný efekt.

U nas je za papirek firmalni "dudek". Ja si hesla provokativne kolem pocitace obcas davam - ta spatna. I na platebni kartu jsem si napsal spatny pin aby ho zlodej vyzkousel jako prvni a vycerpal pokusy. Nebo kdyz maji prijit securitaci tak je taky trochu poskadlim - mam locking screen s fiktivnim obrazkem desktopu.

Bral jsem to také jako srandu, než jsem dostal pokutu za to, že jsem měl heslo na papírku nalepené na počítači a vysvětlení, že to není správné heslo nefungovalo (vítejte v ČS; opravdu mají ve vnitřníh předpisech zákaz lepení hesel, už se tam ale nepíše nic o tom, že to musí být ta správná hesla). Od té doby si dávám pozor i na tohle a raději po vzoru Elona říkám, že to je jméno mého psa.

Dělám to ale stejně, také mám falešné piny, falešná hesla jen, abych někoho přesvědčil, že to má zkusit a pak měl aspoň ten záznam o neúspěchu.

To u nas nastesti neni ale diky za tip. Napisi si heslo co nevypada jako heslo. Napriklad Uzivatel ve fronte: Soudek69. I kdyz jako IT firma jsme pomerne progresivni v passwordless a ruznych metodach ktere hesla uz nevyzaduji nebo se na to migruji - premyslim kdo prudi vic. Jestli americka vlada nebo zelene trenyrky.
"Doporucuji papirek: Je zakazano lepit hesla na monitor!","Za­bezpeceni dle smernice: <uvest id realne vnitrni smernice> aj. ci vytisknout si varovnou znacku na rozvodne krabice: "Hlavni uzaver pristupu uzivatelu. Manipulace s hesly zakazana!".

Vždyť se to nestalo v roce 2025. Stalo se to cca 2005, kdy to koupili, a od té doby na to nikdo nesáhl. Dost možná proto, že to koupili na klíč, a nikdy neměli vlastního ajťáka, který by si za to zodpovídal.

7. 11. 2025, 08:26 editováno autorem komentáře

Ze pry se nema vynucovat struktura hesel ... sem nekde cet ...

Jak to dopadne? Uplne jednoduse, vsichni budou miti heslo "1"

Dobre, takze se rekne, ze heslo bude nejake dlouhe ... vyborne "123456789 ..."

Takze se rekne, ze tam musej byt pismena ... bezva login "vopicka" ... pass "vopicka"

Nakonec skoncis presne u tech ruli ktery se pouzivaj = ze to musi obsahovat ruzny znaky, nesmi obsahovat ani casti loginu/jmena osoby, ze si to pamatuje 20 hesel zpet abys pri zmene nepouzival stejny atd atd atd .... (podotykam, ze heslo ktery tim projde je vytvorit zcela trivialni a primitivni, presto to 99% uzivatelu nezvladne ani na 10ty pokus, asi bude lepsi je nahradit AIckem)

A zmeny hesel? 80% lidi svoje heslo rekne kolegovi, protoze on si prece potrebuje precist jejich maily (napriklad) kdyz jsou na dovoleny. Dokud za to nebude instatne trestni oznameni (a ano, je to trestny cin) tak se na tom nic nezmeni. A aby se to aspon marginalizovalo, tak se narizujou pravidelny zmeny.

Jaký je to trestný čin? Prosím o odkaz na konkrétní paragraf trestního zákoníku.

Máte na mysli § 230 trestního zákoníku 40/2009 Sb. ?

Nemám na mysli nic. Mám na mysli co asi má na mysli on.

Nebo spíš § 231

...každopádně pokud má na mysli ten, je to velice, ehm, divoký výklad. Pokud vám někdo sám, dobrovolně a o své vlastní vůli dá heslo, rozhodně nepřekonáváte žádná bezpečnostní opatření. Za ""překonávání" se obvykle považuje obcházení aktivní.

Stejně, jako je poměrně komplikované říci, co v tomto případě znamená "neoprávněně" z hlediska trestního práva protože ten, kdo vám to heslo dobrovolně a o své vůli dal na vás delegoval jeho vlastní oprávnění jeho maily číst. Nejspíš tím porušil vnitřní předpisy zaměstnavatele ale velice pochybuji, že by to soud vyhodnotil jako "neoprávněné" z hlediska trestního práva protože to udělal se souhlasem oprávněné osoby. Což je velmi podstatné.

6. 11. 2025, 13:10 editováno autorem komentáře

Všimněte si, že Fantux zmínil dvě věci – speciální znaky a pravidelnou změnu hesla. Vy jste psal, že pravidla dávají smysl – a pak jste vyjmenoval pravidla, kde zrovna ta dvě pravidla (speciální znaky a pravidelná změna) nejsou.

Ano, aby dávalo použití hesel smysl, musí pro heslo existovat nějaká pravidla. Jenže jsou pravidla, která dávají smysl, a pravidla, která jsou hloupá nebo velmi hloupá. Vyžadovat speciální znaky a pravidelnou změnu hesla patří do té poslední kategorie.

Vynucení pravidelné změny hesla je nesmysl proto, že to chrání proti jedinému případu – když heslo nepozorovaně unikne. To pak může útočník nějakou dobu používat, než dojde k pravidelné změně hesla. No jo, ale pokud to heslo uniklo nepozorovaně jednou, nejspíš unikne stejným způsobem znovu i po změně.

Speciální znaky proto, že je často problém je napsat – a když heslo, které obsahuje malá a vleká písmena a číslice, prodloužíte o dva znaky, získáte tím silnější heslo, než když vynutíte použití speciálních znaků.

Bohužel s tímhle neumí pracovat většina validátorů síly hesla – mají nastavená nějaká pravidla (třeba že heslo musí obsahovat malá a vleká písmena a číslice), a pak jen ověřují délku hesla. Správná validace by měla být taková, že zjistím, kolik skupin znaků v hesle je použito, a podle toho přizpůsobím požadovanou délku hesla. Pokud někdo chce používat speciální znaky, ať je použije, a bude mu stačit kratší heslo. A pokud někdo nechce, ať je nepoužívá, jenom po něm budu chtít delší heslo.

Zrovna včera jsem na požadavky na heslo k API na razil u jedné velké české w/vebhostingové firmy. Vygeneroval jsem heslo správce hesel – heslo je příliš dlouhé. Zkrátil jsem ho – musí obsahovat speciální znaky. Vygeneroval jsem nové kratší i se speciálními znaky – heslo obsahuje nepovolený znak. No kdyby Cloudflare uměl registrovat domény z TLD .cz a .eu, utíkám od toho w/vebhostingu pryč…

Ta nesmyslná pravidla pro hesla ve výsledku bezpečnost hesel jenom oslabují. Protože uživatel má nastavenou nějakou míru toho, kolik práce je ochoten heslům věnovat. A když ho donutím používat speciální znaky nebo heslo pravidelně měnit, ta energie, kterou je ochoten heslům věnovat, se vyčerpá na tyhle nesmysly – a heslo je pak jednoduché a předvídatelné, i když splní ta pravidla. Kdybych tahle pravidla nevynucoval a místo toho poučil uživatele, jak hesla vytvářet a používat a proč jsou důležitá, a nechtěl p oněm nesmysly, tu energii použije na to, aby používal bezpečnější heslo.

Vaše úvaha o adaptivních validátoru je sice technicky dobrá ale v praxi poněkud naráží na to, že ty požadavky na heslo musíte vysvětlit všem uživatelům. Což tohle poněkud komplikuje. Protože -- přesně jak jste napsal -- uživatel má nastavenou jen nějakou míru toho, kolik práce je ochoten heslům věnovat. To ten problém samo o sobě neodstraní, jen ho přetransformuje do něčeho jiného.

Hesla odpovídající požadavkům na heslo popsaným uživateli mohou být podmnožinou hesel, která akceptuje validátor.

Navíc mnohé validátory jenom ukazují sílu hesla. No a když tam dám náhodně vygenerované dvacetiznakové heslo složené z malých a velkých písmen a číslic, a validátor ukazuje stále žlutou, protože tam chybí symbol, myslím si o validátoru své.

Já jsem takhle jednou pohořel s heslem, které mělo entropii 256b. Prostě náhodně vygenerované a pouze malé znaky ASCII. Mělo asi 40 znaků (abeceda 26 znaků), ale nemělo speciální znak, ať už je to v binární soustavě teda cokoliv :-D. Příště tam pošlu 256b nul a jedniček a ať si s tím poradí jak chtějí.

"podotykam, ze heslo ktery tim projde je vytvorit zcela trivialni a primitivni, presto to 99% uzivatelu nezvladne ani na 10ty pokus"

Možná budete vyjímečně inteligentní, když zvládnete něco co nezvládne 99% lidí. Počkat, ale to byste asi věděl, že když něco nezvládne 99% lidí, tak to není triviální (protože snadné a triviální je právě určené tím, že to zvládne většina lidi). Víceméně antisociální správce asi dojde ke stejnému závěru jako vy, 40% userů to nezvládlo ne proto že pravidla jsou idiotská, vytvořená tech idiotem, ale proto že jsou blbí :))

Vzhledem k tomu, ze se semnou inzinyri dohaduji na tema ze apostrof nebo strednik nebo tilda ... je neexistujici znak, tak zvevne genialni jsem.

Tech 99% lidi totiz nezvladne Sk8kalPesP5esOves.

Strašně rád bych napsal, že jsem šokován a že mi to připadá neuvěřitelné. Ale bohužel už mne to vlastně ani moc nepřekvapuje.

Spíš je smutné, že se o tom ví, audity před tím varují, ale pak se neudělá nic dál. Často je to problém financování. Vždycky má oprava střechy, výměna oken a rekonstrukce toalet přednost před aktuálním a funkčním bezpečnostním systémem.

Neni to problem financovani. Je to problem managormentu, vyhradne a pouze. To oni to presne takhle chteji.

Oni si nechaj za hromadu prachu udelat audit, ten zasilazujou k ostatnim stosum nesmyslnych lejster, a tim sou prece z obliga protoze je vsechno OK ne? Kdyby ty stejny prachy dali uklizecce, a najali si jejiho mopse ... tak zvysej bezpecnost 10 radu.

Samozřejmě, já jsem to tak taky myslel. Že se vědomě dávají peníze jinam než do bezpečnosti. Vždycky je prioritou je něco jiného.

v SR to je horsie.
v Bruseli je to podobne
ale tam je to riesitelne heslom vo svojom jazyku

Miroslav Bárta v jedné ze svých knih napsal, že jsme (lidé obecně) skvělí ve vytváření nových složitých systémů (impérií, civilizací), ale příšerní v jejich udržování. A dochází k závěru, že každý systém (impérium, civilizace) je odsousen k zániku.

Tuhle zprávičku bych zařadil do kategorie zanedbávání údržby. A v tom jsme opravdu přeborníci. Dokonce nám kvůli tomu padají mosty (nejen Ponte Morandi collapse). Jeden audit za druhým upozorňuje na kritický stav prakticky všeho možného (u nás v ČR např. ty mosty, dále paneláky, aj.). Ale to nevadí. Jede se dál.

Nic moc tím ani nechci říct, jen takový povzdech nad tím, že tohle není žádná vyjímka, nýbrž naše lidská systémová vlastnost.

6. 11. 2025, 11:07 editováno autorem komentáře

On možná není problém na cokoliv upozornit, ale pak s tím něco udělat. Každý ví že paneláky fuj, ale nějak ty lidi kteří tam bydlí něchtějí vypláznout miliony na nový byt, a panelák zbourat. Jak vždycky říkal Buddha, není to perfektní ale ani úplně špatné, tak něco mezi. Problém s krásnými systémy je, že většinou náklady na ně jsou vyšší než přínos.

Jaký audit upozorňuje na kritický stav paneláků? Mnoho z nich by sice zasloužilo rekonstrukci ale prakticky nikdy jsem neslyšel, že by nějaký z nich byl v kritickém stavu. Což samozřejmě nic neznamená, ale...

To Vám už bohužel z hlavy neřeknu. Mám tu informaci na pozadí už mnoho let. Pokud si vzpomínám, je to vázané na odhadovanou životnost (panelových) konstrukcí, která už v některých případech přesluhuje a v dalších bude přesluhovat brzy. Situace je v tomto smyslu kritická ne tak, že by někomu hrozil kolaps pod nohama (i když co já vím - v Itálii ten most taky prostě z ničeho nic spadl), ale spíše tak, že tak jak byl boom panelové výstavby, tak nutně přijde boom panelové demolice a co pak se všemi těmi lidmi?

Další problém může vyvstat z pečlivosti, které se stavbám za socialismu dostávalo. Příkladem při rekonstrukci pláště výškové budovy VUT v Brně byly odhaleny zásadní nedostatky ve statice z důvodu ošizení základů (rozkradení materiálu při stavbě?), což vedlo k nutnému posílení celé konstrukce - realizovalo se to ocelovým krunýřem kolem všech železobetonových sloupů.

Takže končící životnost + zanedbávaná údržba + potenciální šméčko při výstavbě. Osobně pak jako největší problém vidím to, že se tyhle věci ví, ale (systémově) se neřeší. Na přetřes přijdou až když spadne most - to si tehdy Itálie nadiktovala audit "všech" mostů. Ani nevím, jak to dopadlo, ale mám svůj odhad.

Přihodím jednu historku. Před lety pro Správu železnic vznikl projekt, který by pomoci senzorů sledoval stav výhybek. Ty se samozřejmě pohybem mechanicky opotřebovávají a jednou za čas je třeba provést údržbu nebo výměnu. Před tím se vyhodnocení stavu provádělo tak, že je fyzicky procházel zaměstnanec železnic a svým odborným okem posoudil OK/NOK. Testování řešení ale ukázalo, že většina vyhýbek je ve špatném stavu a je třeba je vyměnit, na což SŽ nemá peníze. Celé to skončilo tak, že než aby pořád někde většina vyhýbek blikala jako nevyhovující, dodnes chodí zaměstnanci a svým odborným okem shledávají, že to ještě vydrží.

Třeba bude mít někdo znalejší detaily k oběma tématům..

Předpokládám, že plánovaná životnost sama o sobě neříká nic o tom, jaká je současná životnost. Pokud byly paneláky mezitím udržovány, střecha je v pořádku, pláštěm nezatéká nebo byl navíc ještě zateplen, okna vyměněna a podobně, mé laické oko neshledává důvod, proč by měl být panelák na konci životnosti nebo se k ní kvapem blížit. Leda by byly nějaké problémy s použitým materiálem a ten časem bez ohledu na vnější vlivy degradoval, ale tomu se mi u železobetonu moc nechce věřit.

Problém je v tom "laickým okem". Máme systémový přístup k posuzování té životnosti (normy, výpočty) a vyžadujeme jej (zákony, vyhlášky)? Máte se koho zeptat, ví vůbec někdo, jakou má (ať už plánovanou nebo současnou) životnost panelák, ve kterém zrovna vy žijete? Na to narážím.

Tak je pravda, že jako člověk, který v paneláku vyrostl (a naštěstí už v něm řadu let nebydlí) bych se nebál celkem bez větší odvahy tvrdit, že kvalita výstavby byla řekněme velice proměnlivá. Pokud by kvalita nosných konstrukcí byla podobná, jako kvalita vnitřních instalací, docela bych se o některé z těch domů třeba na tom sídlišti, kde jsem vyrostlá možná i obával. Řemeslníci a technici, co chodili upravovat různé věci nadávali pravidelně hrozně a nad tím, co nám občas ukazovali kroutil hlavou i laik.

A je pravda, že bychom asi neměli jen doufat, že kvalita nosných konstrukcí je lepší.

"u železobetonu moc nechce věřit."

Problemy jsou prave s tim zelezem ... ty panely jsou spojeny prave tim, a bez toho abys to odsekal a rozvrtal az na "dren" se nemas jak podivat, v jakym stavu je ten kterej spoj. To ze do toho netece ted neznamena ze neteklo v minulosti a i tak tam mas vzdycky nejakou vlhkost = korozi. Panely samotny budou IMO povetsinou vpohode, protoze to je proste odlity na ocelovou vyztuz.

U zdenych staveb tenhle problem nemas, protoze to typicky drzi pokupe i vlastni vahou.

Jo, soudruh Havel a jeho kralikarny. Kdyby je za sociku nepostavili, tak tu dneska nema minimalne 3M lidi kde bydlet. Pripadne uzasna vystavba kolem praglu = panelaky nalezato.

U paneláků v československu bývá problém v nedodržení technologické kázně při montáži. Ono se totiž šturmovalo, aby se stihnul plán, přičemž do toho dost házely vidle notoricky nepravidelné a zpožděné dodávky panelů. Takže když jich pak najednou várka přijela a honil se termín, ne vždycky se na spojovacích bodech provedly všechny svary armatur a ne všechny co se skutečně udělaly, se udělaly dobře. Pokud pak bydlíš v takovém paneláku, je jen otázkou času, kdy statik prohlásí budovu za neobyvatelnou z důvodu neopravitelného havarijního stavu, a bytová jednotka ti zanikne bez náhrady. Pár lidí, které byt v osobním nebo družstevním vlastnictví v paneláku ze 60tek a 70tek nepěkně vypekl, znám.

v Itálii ten most taky prostě z ničeho nic spadl

Ono to až tak z ničeho nic nebylo. Všechno bylo jenom z betonu (na svou dobu super), oprava nosné konstrukce prakticky nemožná a vědělo se to docela dlouho dopředu. Prostě někdo rozhodl, že kritický stav není až tak kritický. Prostě tam roky zatékalo.

Co se týče paneláků, alespoň z těch z osmdesátek, tak jsou konstruovány tak, že narušení nosné zdi neznamená vůbec nic. Problém nastane tehdy, pokud několik pater nad sebou oslabí nosnou stěnu nebo kdysi byla obliba dávat do koupelny (nebo celého bytu) dlaždice určené ven, takže několika násobě hmotnější (a v okolí dodnes nemají chodník ;-) ). Pokud tohle udělá 8 pater nad sebou, tak je sloup koupelen po celé budově zatížen přes nosný limit konstrukce. Tohle řeší i akvaristi, pokud si někdo chce dát do pokoje 800kg akvárium, tak by se měl nejdříve zeptat statika, protože ty stropní panely zase takovou nosnost nemají.

Takže konstrukce je vesměs dobrá, jen je potřeba sledovat, co si kdo kde ve svém bytě dělá.

A příklad se SŽDC je dobrý, opravdu někdy stav něčeho záisí pouze na množství peněz na již mnoho let odkládanou rekonstrukci.

To není přesné. Správce komunikace na havarijní stav upozorňoval už cca 20 let, už skoro 10 let probíhaly postupné opravy, ale kvůli nedostatku financí byly ustavičně přerušovány a vlekly se tak dlouho, až se most rozhodl, že toho má dost.
Zajímavé je, že před soudem skončila ta státní firma, která se to opravit a zachránit snažila a roky hlasitě křičela na poplach, nikoli ti, kteří jí systematickým krácením rozpočtu znemožnili to udělat.

Pokud si pamatuju spravne, jen v praglu je cca 1k mostu. Vetsinu z nich najdes jen kdyz vis kde a casto musis pod zem. Pohromade drzej vyhradne proto, ze naprosto drtiva vetsina z nich je stavena z kamene a tudiz dokud je to zatizeny, drzi to pokupe i bez malty, ktera tam davno neni. Udrzba totiz neprobiha vubec zadna.

Ano. Situace se údajně zlepšila od pádu Trojské lávky, nicméně pořád údržbu řešíme reaktivním způsobem. V podstatě necháváme mosty (ty si to chudáci slízly jako ukázka, ale týká se to i dalších technických objektů) chátrat až se dostanou do nevyhovujícího až havarijního stavu a když si toho zavčas všimneme, tak provedeme opravu.

Ale teoriticky bychom mohli chtít, a já bych si to jako občan (svým způsobem nucený zákazník státu) moc přál, abychom pokročili k údržbě preventivní, nebo dokonce prediktivní. Protože ta reaktivní je sice nejsnadnější z hlediska (absence) plánování, ale nejdražší nákladově.

Ale to je jsme už na pomezí snění a blouznění :)

Na tom je smutný to, že cca 2005, kdy jako první kvůli desítky let zanedbané údržbě spadl dálniční most v Pennsylvánii (a zařvalo tam snad 300 lidí), se tady spousta lidí američanům smála. Načež ŘSD zpřísnilo inspekce mostů, a zjistili že to tu je katastrofa úplně stejná. Akorát že tady jsou rezervy jak finanční, tak kapacitní, tak směšné, že se stav v podstatě jen stabilně zhoršuje.
Problém je, že všichni furt chtějí rozšiřovat sítě, ale nechtějí platit jejich údržbu, protože je to drahý. Málokdo si uvědomuje, že je hezký mít opici, ale ta že taky potřebuje nějaký banány.

Jeden audit za druhým upozorňuje na kritický stav prakticky všeho možného

On taky málokterý audit konstatuje, že je vše v pořádku. A málokdy tomu tak skutečně je. Takže situace, kdy audit konstatuje závady, je vlastně normální, ona i ta audity navrhovaná nápravná opatření by se dala rozdělit na rozumná a méně rozumná, takže po zklidnění hladiny se situace často stabilizuje ve stavu před auditem.

Což je ale jen další symptom toho, že to systémově nefunguje. Jestli jsem Vás správně pochopil, poukazujete na to, že může docházet k tomu, že ve své podstatě již při zadávání auditu očekáváme, že sice bude mít nálezy, ale že je lze vesele ignorovat, k čemuž, např. zde u Louvre docházelo opakovaně.

Pak je otázka, jaký má takový audit smysl, proč ho zadáváme, atd.. Souhlasím, že auditor může mít poněkud přehnaný názor v porovnání s praktickou zkušeností zřizovatele. Ale audit vůbec neprovádět nebo jej zcela ignorovat vede nutně jen k tomu pádu mostu...

A to je to, na co jsem narážel ve svém prvním příspěvku. My jsme skvělí v tom, oznámit nový most, zaplatit ho, vyprojektovat ho, postavit ho, a slavnostně ho otevřít. Ale tím naše snaha většinou končí. Od počátku tam chybí to, že most bude potřeba udržovat, že to bude mít své náklady, atd.. A je vlastně celkem jedno, jestli je to sféra veřejná, kde jsou volení politici na určité odbobí, nebo soukromá, kde manažer po pár letech prostě odejde či je odejit. V obou případech platí, že za slavnostní přestřižení pásky jsou velké bonusové body, ať už politické nebo na výplatní pásce, ale za údržbu (= výdaje) na 50 let starý most prakticky žádné. A není to vina těch konkrétních politiků nebo manažerů. Oni jen hrajou podle pravidel hry. A ta právě, jak poukazuje Bárta, nejsou nastavena pro dlouhodobou udržitelnost.

Samozřejmě, že to systémově nefunguje. Dostali jsme se do stavu, kdy se zkoumá, zda existuje nějaké lejstro (excelovská tabulka), ale jeho obsah je podružný - zkrátka "procesy nastavené jsou", takže je všechno v nejlepším pořádku. Odpovědnost v případě průšvihu se řeší systémem padajícího ... Dopadne na toho posledního pochůzkáře, který si měl nejdřív zkontrolovat něco, co vůbec nebylo v jeho možnostech. Na což se při vyšetřování taky nakonec přijde, takže se to uzavře s tím, že odpovědnost nenese nikdo, protože procesy jsou nastavené správně. O tom bych mohl na základě svých letitých zkušeností z průmyslu sepsat tragikomickou povídku.

"sepsat tragikomickou povídku"

Ani nemusis ... RSD.

Tak minimálně není správně nastaven proces kontroly dodržování stávajících procesů LOL
Ale asi to nevidím správně politicky.

NBU SR s heslom nbusr123 bledne zavistou

Vybavil se mi letitý vtip o heslech:
> Enter new password:
dragon
> Password is not strong enough. Use some uppercase character.
Dragon
> Password is not strong enough. Use some number.
1Dragon
> Password is not strong enough. Use some special character.
1Dragon!
> Password is not strong enough. Minimal length is 9 characters.
2Dragons!
> Now it's strong enouch, your password has been changed.

Od té doby říkám, že heslo musí mít sílu alespoň dvou draků. ;-)

To je vtip? Aha :-)

No, občas mám pocit, že se tím naši korporátních bezpečáci i řídí. Nedávno jsem, frustrován neustálým upozorněním, na nedodržení pravidel pro heslo, zkusil 2Dragons!-2025, a prošlo mi to. ;-D

No, právě. Právěže se tím celkem běžně řídí IT i zaměstnanci. To je ta kategorie vtipů, co jsou daleko víc pravdivé než vtipné. A v tomhle případě tedy vyloženě.

Password1*

To už je lepší ten vtip jak si projde celým tím kolečkem a pak tedy zoufale napíše:
" Jděte do prdele s těma vašema heslama"
A systém ho odpálkuje hláškou:
" Toto heslo již používá jiný uživatel "

To jsem skutečně zažil v jednom z přecházejících zaměstnání! (Byť to heslo bylo kratší, ale zato jadrnější.) Dokonce ten hloupý systém vypsal uživatelské jméno - a to odpovídalo jednomu z ředitelů. ;-)
Ještě, že to je pár desítek let pryč...!

Kdysi jsem měl co dočinění s Frantíky a byla to opravdu zajímavá zkušenost. Na jednu stranu se dokáží hecnout a vymyslet a realizovat fakt špičková technická řešení. A pak přijde Frantík 2. z téže firmy a ten se chová jako úplný jouda. Takže si dokáži představit, že dodané řešení kamer bylo na svou dobu možná i špičkové, ale Frantík 2. si nepřečetl dokumentaci, kde dodavatel důrazně upozorňuje na potřebu změny hesla. A protože je to jouda, ani jej nenapadlo, že by měl něco takového chtít. A tím to celé padne, protože bezpečnost systému je dána jeho nejslabším článkem, v tomto případě Frantíkem 2. Ale abych nekřivdil Frantíkům - pitomci jsou všude.

Podle toho, co jsem viděl (a slyšel), bych dokonce řekl, že v porovnání s jinými zeměmi jsme na tom ještě relativně dobře - a to i ve srovnání se zeměmi na západ od nás, pokud jde o kreativitu a bezpečnostní kulturu - tu faktickou, ne papírovou. Ale trend je velmi znepokojivý.

Jenze to je typicky doslova sabotazni prace ITku, kteri radsi s managorstvem vubec neresej, a proste si to aspon nejak udelaj... a pripadne pak managormentu tvrdej, ze to jinak nejde, a ze za to muze dodavatel ... to kdyz si managor stezuje, ze to po nem chce ....o boze .... HESLO ....

On tam často bývá konflikt v tom, že v provozních podmínkách systémů bývá dodavatelem stanoveno, že používat a hlavně spravovat jej smí jen příslušně vyškolení pracovníci, tedy odborně způsobilí. Jenomže lidi z pozic odcházejí a přicházejí noví, takže často velmi rychle nezbyde doslova nikdo, kdo by podmínku způsobilosti ke správě, a o něco později i k používání, vůbec splňoval. V lepším případě se udržuje dokumentace skutečného provedení a svědomití správci ji po změnách aktualizují, ale ti také časem odejdou a nastoupí noví, kteří nejenže nejsou způsobilí systém spravovat, ale často ani nevědí, kde ta dokumentace je nebo hůř že vůbec existuje, natož že by si ji měli po změnách aktualizovat. Pokud vůbec dostanou všechny potřebné přístupy. Takže to následně flikují jak umí (resp spíš neumí). A až nastane průser (a on nastane, jedinou otázkou je kdy), odnesou to oni, přestože to zavinilo jejich vedení které nezajistilo jejich potřebnou odbornou kvalifikaci, protože se ONI vlastně dopustili neodborného a tedy neautorizovaného zásahu do systému a tím průser bezprostředně zavinili.

Vis, on je problem dost casto uplne jinde ...

Prave zakosovi dodali krabici. V ty krabici jsou widle (10tky). A ma otevreny 2 porty. Jeden z nich je ftp.

Pripojit anonymne se na to nejde, takze tam je nejaky heslo, ale ani dodavatel nevi jaky. Jasne, muzu to od site uplne odstrihnout (a taky sem to udelal) ale to na veci nic nemeni. Za tohle by se melo rovno strilet - vyrobce vybombardovat.

Pricemz s dodavkou ty krabice nemam ja za IT nic spolecnyho, objenaval si to vi buh kdo vi buh proc ... (je to "vetrak").

Takze ... nekdo si objednal kamerovej system, dodavatel ho dodal, posadil manika pred monitor a rek mu "tady vidis live, tady mas zaznam". Tecka. Ze tam je nejaky "heslo" nemusl nikdo ani tusit.

Ostatne ... co myslis, treba upsky od apc ... maji default login apc/apc ... jenze to neni vsechno.

Každý hned reaguje, že heslo "Louvre" je ten největší problém, ale... přitom je to ve skutečnosti úplně jedno. Heslo klidně může být "fDjo98ý?wo23Q", ale stačí strčit do kapsy milion člověku, který ho zná.

Korunovační klenoty nemají chránit silná hesla, ale ozbrojené stráže a neprůstřelná skla.

Proc bys nekomu daval milion? Se necham najmout jako uklizecka, a za mesic mam hesla od vseho.

Me osobna na tom nejvic dojima prave to, ze bych cekal ze je to ulozeny v necem, co rozbit bude trvat dlouhy minuty i s hodne razatni technikou.

Jinak to zcela zarucene byla akce na objednavku, protoze jinak je to neprodejny.

Neprodejné je to jako celek. Kov prodáte bez problémů a kameny taky. A ne zrovna za málo. Sice se také kloním k tomu, že je to na objednávku ale spolehnout se na to bohužel nedá.

Ale pořád dostaneš řádově míň, než za celek od kupce, který chce právě ten originál.
Jistěže to bylo na objednávku, a ti co je pochytali, jsou jen pěšáci co neznají ani prostředníka, natož zadavatele. A evidentně to nebyli oni, kdo to připravil, protože zanechali dost stop na to, aby je během 2 dnů identifikovali a posbírali je na jejich známých bydlištích.
To nachystal specialista, který je s lupem dávno pryč.

Pokud to bylo jen heslo pro prohlizeni, tak je to0 OK, jakykoliv obcan tak mohl dohlizet na bezpecnost Louveru ;-) - neco jakly OSS da lidem zdrojaky, aby do nich mohli koukat

A co je spatneho na win 2003 ? - vsechny windows jsou sh* a 2003 je i bezpecnejsi nez ty posledni ;-) - a kdyby tam byl RHEL5 ?

Hackli ty windows, nebo tam na drazak nabehli i pod kamerama, ukradli co mohlki i pres alarmy a odesli ? - nebo to hackli, vypli a sli - nebo jen vypli elektrinu ? - pak by to9 ale nebylo o starem OS, ale o absenci UPS a generatoru ... hold Frantici ;-)

Já vám tedy vzdávám holt!

Ne. Prostě si půjčili plošinu, najeli vedle budovy, což nebylo nápadný, protože budova se opravuje a oblíkli se jako dělňasové, plošinou se zvedli do patra, přelezli na balkón, vlámali se do dveří na balkóně ve 3.patře, uvnitř rozmlátili pár vitrín, do pytle naházeli asi 10 kousků, plošinou se svezli dolů, skočili na mopedy a rozprchli se.
Nejspíš předtím strávili pár dní na prohlídkách, takže zjistili, že:
- jakožto památkově chráněná budova to má balkónovky dřevěný a starý, jen s magnety na otevření
- jsou tam sice kamery, ale kdoví jestli na ně vůbec někdo stíhá koukat
- kamerovej systém je starej, takže nabeton nedetekuje vstup skrz balkónovky
- magnety na balkónovkách nejspíš vyřešili štípačkama
- ostraha nemá zbraně, a nahoře v expozicích se vyskytuje, jen když mají někoho vyvést, jinak jen korzujou ve vstupní hale pod pyramidou (a na Apollonovu galerii odtud i sprintem to máš tak 4 minuty, spíš víc)
- nejbližší policajti jsou na ředitelství 1. okrsku na ostrově Notre Dame, což je prakticky 2 kilometry ucpanejma ulicema a ještě přes ucpanej most

7. 11. 2025, 08:56 editováno autorem komentáře

Mimochodem, tohle je hezké, ale podstatná informace mi chybí - bylo tohle důvodem, proč byla ta loupež úspěšná, nebo je to jen post mortem shrnutí bordelu, který tam maj, ale k snadnosti loupeže to nepomohlo?

Jistěže ne. Úspěch byl umožněn tím, že (cituji ministerstvo kultury) "muzea nejsou bankovní trezory ani vojenské pevnosti".
Shrnutí toho, co jsem tam minulý týden za dopoledne napozoroval já během prohlídky, o kousek výše.

Tak ono ano, pokud si nechcete exponaty prohlizet jen zpoza tlusteho skla, ktery vam bude delat ten pruchozi koridor nebo chcete-li akvarium... aneb vzdy je to o hledani nejakeho kompromisu. Moderni muzejnictvi se snazi i o jistou fyzickou interaktivitu... v momente, kdy bude vse za sklem to rovnou muze nahradit virtualni realita.

Haha, no tak zrovna u klenotů a obrazů, tím spíš s nevyčíslitelnou historickou hodnotou, je "fyzická interaktivita" argument vyloženě k smíchu. Je tam všude zákaz focení s bleskem včetně LED kvůli degeneraci pigmentů, a ty bys na to nechal desetitisíce vidláků hrabat mastnejma pazourama, kterejma si před pěti minutama oklepávali pinďoura o pisoár. Ruce turistů do vysokého lesku dokážou vyblejskat i bronzový sochy stojící staletí pod volným nebem a vystavený živlům, ani si nepředstavuj, jak by do týdne dopadly obrazy a korunovační klenoty. Ty VŽDYCKY budou za sklem nebo od návštěvníků oddělený (u obrazů mají provazový zábradlíčko metr od stěny).
Ty klenoty BYLY za sklem. Problém je, že za obyčejným minerálním sklem na běžný vitríny, který jde snadno rozbít. Čekal bych, že tam budou aspoň protitříštivý fólie nebo akrylát (bez ohledu na optický vady) na pevnostním rámu, ne obyčejný tabulkový sklo slepený silikonem.

Pro srovnání v Toweru jsou korunovační klenoty za 5cm tlustým bezpečnostním sklem s vnitřní fólií, a kromě dohledu sálu kamerami a v každým okamžiku minimálně 3 civilními zřízenci stojícími tak, aby se jim překrýala zorná pole a nezůstalo tam místo, na který nikdo nevidí, a kromě cca 30ti vždycky v areálu viditelných v ceremoniálních mundůrech sloužících stráží (což jsou do jednoho veteráni Royal Marines nebo SAS/SBS), má Tower přímo v objektu vlastní pohotovostní jednotku opět Royal Marines s plnejma zásobníkama ostrejch, a ti na tom nádvoří dokážou bejt a pokrejt ho palbou do 20 sekund. Těm bys neodnesl ani kliku od dveří kabinky na hajzlíku.

7. 11. 2025, 14:44 editováno autorem komentáře

Záleží, ale jaké pravomoce měla user-identita s jménem a heslem Louvre Louvre a þalos Θalos .... Třeba to nebyl jediný user account, natož administrátorský. třeba to byl pro veřejnou kontrolou, jak ostatně nařizuje směrnice o Open Datech, která by praze (nejen v kauze lítačka, operátor ict) prospěla jako sůl. (sůl v ranách hlubučkovi, Rittigovi, baxovi, svobodovi, bémovi, krndě – vlastně všem špičkám pražským)