Názory k článku
Platnost HTTPS certifikátů uživatelem přidaných CA je prakticky omezena na 2 roky

To, že je admin rozhraní dostupné je z admin VLAN neznamená, že nemůže být schované z reverzní proxy. Na tom, že to rozhraní nemá veřejnou doménu, nic samozřejmého není. To, aby ta reverzní proxy běžela jinde, než je zařízení, které přes ni chcete administrovat, se jeví jako dobrý nápad, který snad napadne každého. No a pokud by to nebylo možné, pořád je tu ta možnost v případu nedostupnosti kontaktovat ten server přímo a vyřešit ten nedůvěryhodný certifikát. Akorát tedy není dobrý nápad dávat tomu certifikátu platnost shodnou s odhadovanou životností železa, chce to mnohem delší platnost. Aby vás nezaskočilo, že ten hardware přežije déle.

"Tak zrovna pri ILO"

Kdybys tomu rozumel, pouzivas http ... to je prece mnohem bezpecnejsi a zadnej browser proti tomu neprotestuje.

Vsak uz ted znam osobne 10+bfu, kteri pouzivaji stary browser, jednoduse proto, ze s tim aktualnim se na nejakou z tech domacich krabek nedostanou. A naprosto klidne z nej lezou i na verejny web, protoze oni si to prece nerozbili, rozbil jim to ten ... t, co vyviji browser....

A maji zcela 100% pravdu.

Podotykam, ze set starych verzi ruznych browseru pouziva dnes kazdej admin, protoze se bez toho nedostane ani k administraci firemniho HW. A je to cim dal horsi.

Me teda prijde podstatne bezpecnejsi pouzivat aktualizovany prohlizec a v nem povolit legacy crypto algoritmy. Stejne tak jde nastavi treba i nova Java - to ze neco "nefunguje" je casto jen dusledek vychozich konfiguraci a nikoliv toho, ze by to nutne z kodu fakt zmizelo. Aneb i dnes opravdu neni problem se pripojit novym prohlizecem na vec, co umi jako svuj vrchol kryptograficke "slavy" algoritmy typu DHE-RSA-AES256-SHA nad TLS1.0 (zde se bavime o praktickem prikladu vraku z roku cca 2010). Ale chapu, je to "moc prace" se nad tim trochu vic zamyslet, procist si trosku dokumentaci a prizpusobit nastaveni mistnim podminkam. Ale admin, ktery ale tohle nezvladne by si radsi mel najit jinou praci.

Ty toho nechapes... sifrovaci algoritmy jsou jen nepatrna soucast vsech problemu. A ukaz mi, kde si v chromu/foxu bfu uzivatelsky neco takoveho zapne ... kdyz tam uz ani nejde nikde nastavit, aby se defaultne nenacitalo po spusteni nic a je na to treba instalovat addon ... lol.

A japa si uzivatel nastavi, ze vazne chce ignorovat to, ze ten certifikat je uz 20 let expirovanej. Jo ja vim, ma zahodit tu krabici (treba ovladani kotle) a za 100k si koupit novou. To aby ji za rok moh vymenovat znova.

Rec je ale o adminech, ne o radovych BFU. A admin by nemel mit problem s tim otevrit about:config... a pokud v tom kotli nejde ani vymenit certifikat, tak je tam neco hodne sakra spatne uz v jejim navrhu ;-) Pokud si takovej ausus kupujete, je to vas boj.

Nějaký certifikát je na kotli naprosto nepodstatný detail. Druhá část je samotný výběr neaušusového kotle. Protože poločas rozpadu různých bezpečnostních doporučení bývá občas kratší než záruka. A v porovnáním s morální životností nějakého normálního kotle už to začíná znít spíš jako špatný vtip.

Zrovna v tomto se orientovat clovek muze treba podle toho, jestli vyrobce toho kotle poskytuje nejake aktualizace. Pokud prodava "smart" kotel a pritom nikde ani nejde stahnout zadny update software, tak by to melo byt varovani samo o sobe - tech problemu tam casem muze byt vic nez jen expirovany certifikat. A predstava, ze si BFU bude resit nejakou segmentaci sve domaci site a firewalling mezi segmenty je take tak trochu z kategorie sci-fi, ze? ;-)

"Zrovna v tomto se orientovat clovek muze treba podle toho, jestli vyrobce toho kotle poskytuje nejake aktualizace."

Tys nekdy vzivote provozoval byt jen zarovku? Kazdej totiz sni o tom, ze uprostred zimy se mu opatchuje kotel, a prestane topit. Vsak uzivatele Turise si to mohli vyzkouset hned nekolikrat ze?

Pokud se vubec tyhle veci patchujou, tak vyhradne v situaci, kdy neco vazne nefunguje vubec, nebo opravdu hodne spatne. A typicky si na to musis zavolat servis. Pricemz mas tak 50% ze ti rovnou vymenej celou elektroniku, protoze je to jednodussi nez neco nekde patchovat. Je to mesic, co mi takhle vymenovali kompletne krabku na tankovacce. A bylo to kvuli aktualizaci SW, ktery zapricinoval, ze to ve zhruba 30% pripadu odmitalo tankovat ...

No tak revize a cisteni kotle taky typicky nechcete delat v puli zimy, ze? ;-) Tak proc to nespojit s aktualizaci firmware, ty zarovko. Ze se stalo bezne na to kaslat neznamena, ze to je v poradku.

Protože při revizi nechcete riskovat, že něco rozbijete. Navíc se ta aktualizace taky nemusí projevit hned.
Od STKčka taky nečekáte, že vám aktualizují firmware v autě, že?
Vyvíjet firmware tak, aby byl podobně spolehlivý jako zbytek toho kotle, je šíleně drahé. A rozdíl nejspíš poznáte až dávno po tom, co toho poctivého výrobce převálcuje konkurence.

STK neni servis. A cisteni kotle nemuzete prirovnat k STK, ale prave k navsteve autoservisu. A tam vam ten firmware aktualizuji. A nektera auta uz dnes zvladaji i OTA updaty. Samozrejme se nebavime o vasi ctvrtstoleti stare Felicii :-)

"A tam vam ten firmware aktualizuji."

Ne

V servisu aktualizuji SW auta pouze v pripade, ze to po nich chce vyrobce. Alternativne, pokud si to vyslovne (a na vlastni riziko) vyzada zakaznik.

Na dalku se neakualizuje SW auta, ale tak maximalne SW entertaimentu, ktery kdyz chcipne, tak to auto bude jezdit bez nej. A je tam vzdy s 30 vykricniky napsano, ze se prave to muze stat. Presne stejne jako u vsech ostatnich firmware ze? Biosy a dalsi komponenty kazdeho PC, ze?

Jasne, treba takova Tesla jezdi s tim, s cim vyjela z fabriky. Tak nyni jeste tu pohadku o Karkulce, at to mame komplet... dekuji ;-)

Tesla je známá tím, že spoustu věcí dělá úplně jinak než tradiční automobilky. A taky díky tomu řeší (a majitelé tesel taky) trochu jiné problémy : https://www.reuters.com/legal/tesla-owners-sue-over-impact-software-update-ev-batteries-2023-05-12/

Tak jestli je to z důvodu, že dodatečně zjistili, že může baterie začít hořet, tak ať mi trochu kapacitu sníží. USA vlastníci aut od koncernu VW by mohli vyprávět (taky se jim snížil výkon, aby dodatečně splňovaly limity). Vlastně vlastníci aut koncernu VW by byly rádi, kdyby updaty už konečně fungovaly vzdáleně.

Vlastnikum aut VW v US byla (narozdil od tech v EU) nabidnuta 100% cenova vratka, bez ohledu na stari/najete km. Spousta z nich to samozrejme vyuzila, protoze jen blazen by nevymenil klidne i jen 1/2 roku stare auto za nove.

Kazdy je urcite povine nadsen z toho, ze si koupil kubikovou nadrz, do ktere se po aktualizaci vejde jen 500l ...

Snížení výkonu motoru a zmenšení kapacity baterie bylo daleko k polovině. A ano, jistě, proč nevyužít nabízené možnosti. Tady v EU dýcháme pěkný sračky kvůli VW a pravidlům, které v EU prolobovali. Např. https://twitter.com/diagon_swarm/status/1692614214588731609

Tak se hlásím k bláznům. Aby mě znova brali na hůl na kontrolách. Nehledě na ty další věci, co se u toho mění. Pokud někdo najede za půl roku tolik kilometrů, tak to ještě chápu.
Navíc riskovat, že auto co funguje dobře půl roku nahradí horší kus, no nevím.

A revize taky není servis. Ta je srovnatelná právě s tím STKčkem. Nějaký pravidelný servis kotle po vás nikdo nechce, stejně jako po vás nikdo nechce pravidelný servis auta v autorizovaném servise.

"Rec je ale o adminech,"

Ne , neni

"Vsak uz ted znam osobne 10+bfu"

BFU na nejake iLO nepoleze :-) A ze admin svou praci nedela poradne je jinej pribeh. Aneb mozna byste si mel namisto vykecavani na rootu jit vymenit certifikaty... :P

BFU si chce nastavit ten kotel, chce si otevrit garaz, rozsvitit si ve sklepe, zkontrovat kameru ... a na to vsechno ma doma i desitky vsemoznych krabek, ktere typicky maji nejake http(s) rozhrani, ktere ovsem typicky umi tak maximalne 3des, a vymena certifikatu obtasi obrad krvave magie za uplnku a lidskou obet.

Proc by to mel delat?

Opět: řeč je o uživatelem přidaných CA, nikoliv o těch zadrátovaných.

Prectete si znovu a lepe ten dokument. Je tam explicitne rec o all TLS server certificates. A to opravdu neni totez, co CA.

Odkazovaný dokument řeší TLS certifikáty (koncové), ale zprávička je o přidaných CA. Asi je v tom trošku zmatek...

Ano, korekci titulku v tom duchu, ze pred "uzivatelem" pridat "z" by to asi sneslo :-) Ale ve vlastnim textu zpravicky je to popsane po vecne strance stejne jako v tom originale od Apple.

samozrejme, ze to je falosny poplach. Je hlupost oznacit situaciu "idem na spravnu stranku a tam je certifikat ktory nesplna formalne nalezitosti" za "som v ohrozeni".

Ked sa na to clovek pozrie z nadhladu, tak certifikaty vobec neplnia ucel "mam istotu, ze idem na spravnu stranku". To co plnia je "spojenie bude sifrovane".

"certifikaty vobec neplnia ucel "mam istotu, ze idem na spravnu stranku""

Ani nemuzou. Ale to spouste lidem nebrani v tom tuto lez neustale opakovat. Jakoz takoz s velkym ALE by se to dalo mozna rict o DANE.

Sorry, ale neplatný certifikát způsobený tím že někdo něco podělal a ne útokem? Nejaký certifikát jehož odklepnutí toho uživatele nijak neohrozí, protože leze přesně tam, kam chce? To prostě je z praktického pohledu falešný poplach.

Žádná hrozba se neděje, je to jen bug v zabezpečení. Chybí důvod, kvůli kterému jsme to zabezpečení vůbec zaváděli. Jestli tomu budete říkat falešný poplach nebo po novu otravný poplach je úplně jedno. Důležité je, že z pohledu uživatele tomu chybí pádný důvod a učí ho to tyhle poplachy ignorovat.

Je například úplně jedno, jestli požární alarm spustí upadlý drát nebo kuřák na záchodě. Stačí pár takových poplachů a celý alarm je k ničemu, protože ho všichni budou ignorovat.

A jak se dozvite, ze pod utokem nejste? :-) Jak se dozvite, ze nekdo neukradl vase privatni klice a nevydava se za neco, co neni?

Nedozvíte, respektive dozvíte se to až zpětně. O tom to právě je. Párkrát něco takového řešíte, zjistíte že to byl falešný poplach a za chvíli vás to přestane bavit a vykašlete se na to. Proto jsou falešné poplachy tak nebezpečné. Obzvlášť pokud jsou skutečné hrozby velmi vzácné.

Jasne, to se vubec nestava. A nejaka krabice, kde dva roky nevymenite ani certifikat bude mit v principu asi i dost jinejch problemu, ze?

Jasně že stává. Jen se to nestává často. Takže to uživatelé řeší jako jeden další falešný poplach.
Nediskutoval jste nedávno o falešném pocitu bezpečí u ".gov.cz"? Vždyť je za tím dost podobný princip. Uživatel na nedostatky v systému reaguje způsobem, který to komplet rozbije.

A to nestava casto mate na zaklade jake statistiky? ;-) O tom, ze klice utikaji mate popsane stohy papiru, obcas treba utecou v dusledku neopatrnosti a pokud tu popisuji nekteri to, jaky "problem" je vymenit jednou za dva roky klice, tak tam jiste bezi software, ze ktereho ty klice muzou utikat tak nejak by design, protoze zadny diry tam X let nikdo nezaplatuje.

"A to nestava casto"

Vymena klicu je PRESNE totez, jako opakovane zmeny hesel. NIC to neresi. Pokud klic utece, je treba to zjistit a pak ho vymenit, pokud neutece, muze tam byt klidne 100 let.

Vy ukladate hesla v plaintextu? ;-) Ne, neni to totez. Pri pouziti rozumne funkce ty hesla budete i pri uniku databaze lamat sakra dlouho, zatimco klic mate typicky nezaheslovany naservirovany k primemu okamzitemu uziti.

Podle jediné statistiky, co je relevantní pro uživatelovo rozhodování - jeho vlastní zkušenosti. Vím, na co s kolegy nadáváme.
Pokud v kanclu všichni svorně nadávají na nějaké otravné poplachy, tak víte s jistotou, jak budou reagovat na jakýkoliv další. Můžete je školit o možných útocích, můžete jim posílat varovné maily, je to úplně jedno. Oni chtějí dělat svou práci (s minimální námahou a opruzem) a budou sabotovat cokoliv, co jim stojí v cestě. Dělají to jeden každý den, takže zatraceně dobře ví že to funguje.
Pokud tohle bezpečák nevezme v potaz, tak nedělá bezpečnost, ale kargo kult.

Ano, popisujete zakladni prusvih IOT a bezpecnosti tam. Jasne, kazdeho to obtezuje, ale vysledkem je, ze kdejaka ta vase zarovka ci kotel muze byt a taky byva zdrojem utoku. A podobna bagatelizace rizika tomu fakt nenapomaha, ze? Jasne, kazdej to zacne resit, az kdyz pruser nastane... treba kdyz tu vasi chytrou domacnost ISP odrizne od sveta prave proto, ze utoci, ze? A to neni zadne sci-fi, to mate mj. typicky i napsane i ve vseobecnych podminkach.

"Nedozvíte, ...."

Problem (na webu) je predevsim v tom, ze ja (a 100% normalnich lidi) nechci resit "bepecnost" na 99,9999999% stranek. Je mi to uplne jedno. Mozna a hypoteticky me zajima, jestli se komunikace sifruje.

Pricemz tam, kde bych to potencielne resit chtel, nemam jak. Takze kdyz otevru web banky, tak maximalne vim, ze ma nejakej cert vydanej nejakou pochybout CA ... (vi buh jestli aspon stejnou jako vcera ...), o ktere tvurce browseru/systemu prohlasuje, ze je duveryhodna (coz vim se 100% jistotou ze neni).

A je to o to legracnejsi, ze kdyz na webu ten banky maji ten cert expirovany (zazil sem opakovane - kb napr), tak na supportu vesele reknou "no tak to odkliknete" ...

Proc to to pak mel kdokoli neodklikavat kdekoli jinde, kde na tom prd zalezi?

Presne tohle pak vede ktomu, ze bfu odklikne cokoli kdekoli, protoze neni a ani nemuze byt schopen zhodnotit, jestli tady muze a tamhle ne. A muzou za to prave vyvojari browseru.

Kdyby se tyhle hlasky daly omezit na vybrany seznam webu, kde dotycny o nejakou bezpecnost stoji, tak by se to nedelo, ale nedaji.

Divim se, ze s vasimi nazory se neodstehujete do jeskyne a nesvite si tam louci :-) BFU samozrejme bezpecnost neresi - jen obcas je pak rozcarovan a breci, kdyz se stane obeti nejakeho utoku. A hlavne pak hleda vinika, na ktereho by ten svuj problem hodil.

Myslím, že nechápete jádro problému. BFU ten problém neřeší, protože vůbec nedostane prostor ho řešit. Protože bez ignorování těch falešných poplachů se browsery používají fakt blbě.
Já bych řekl, že autor protipožárního alarmu, co pravidelně spouští zbytečne je vinen za nějakou případnou oběť skutečného požáru - aspoň částečně (spolu s těmi, co ten krám mohli zrušit a neudělali to). A rozhodně víc než oběti v tom baráku, co na ten alarm mohli dlouho jen nadávat.

Ale ten problem zpusobuje vyrobce - tim, ze pusti ven neco, co nefunguje jak by melo. A i u toho protipozarniho alarmu je treba pravidelne resit servis a kontrola, neni to tak, ze to namontujete a pak na to v zivote nesahnete. Jako ajtak nadavate zjevne na to, ze se vam nechce vase prace delat poradne :-)

Á, takže už rozumíte kde je problém? Že "výrobci" browserů pustili ven něco co nefunguje jak by mělo? Navrhli alarm, co i při pravidelné údržbě občas generuje poplachy a bez té údržby je úplně k ničemu.

Já tenhle bordel neudržuju, moje specializace je jinde. Takže tady píšu z pozice toho uživatele, co si jen vyžírá ty falešné poplachy. Kolik koleček "Zas to nefunguje" - "Tak to odklikni" by měl průměrný uživatel minimálně absolvovat, než se na to vybodne?

Ne, mluvime o vyrobcich tech zarizeni - co odflaknou vyvoj, neudelaji tu vec poradne a poslou to do sveta s tim, ze pro ne to konci v momente, kdy maji prachy pripsane na ucte. A reseni na strane browseru je technicky vlastne docela jednoduche - to tlacitko, kterym to odkliknete proste zmizi. Jen vam asi pak rupne cevka... :-)

Přidat k propadlým certifikátům i neaktualizované browsery je fakt "řešení" jak noha. To je fakt jak v korporátu - je úplně jedno jestli to dohromady funguje, hlavně že to není můj problém.

Připomíná to mít na všechno aplikaci od výrobce, která technicky je zabalená webová aplikace. Jakoby se vracíme do dob, kdy si uživatel musel nainstaloval custom plugin do prohlížeče (lokálně běžící neomezený kód, např. pro hraní myslím Quake Wars Online se tehdy instaloval plugin do prohlížeče).

22. 8. 2023, 14:17 editováno autorem komentáře

Myslím, že nechápete jádro problému. BFU ten problém neřeší, protože vůbec nedostane prostor ho řešit. Protože bez ignorování těch falešných poplachů se browsery používají fakt blbě.
Fakt by mne zajímalo, kam lezete, že se tam setkáváte s falešnými poplachy certifikátů. Na veřejném webu jsem se s tím nesetkal hodně dlouho – resp. náhodou jsem na špatný certifikát narazil nedávno na jedné překlepové doméně, kde to ale nebyl falešný poplach. A pak jsou s tím tradičně problémy, když někdo funkční systém „vylepšuje“ interními autoritami nebo inspekcí TLS provozu.

Řešení je jednoduché – prostě uživatele neučte, jak tu ochranu v prohlížeči obejít. Prostě je na tom webu chyba, a buď je ten web důležitý, tak to jeho provozovatel spraví, nebo ten web nikdo nepotřebuje, pak ani není potřeba tam lézt.

Už teď je to v prohlížečích udělané tak, že expirovaný certifikát není tak snadné obejít, a některé chyby certifikátů nejdou obejít vůbec. Pokud budou uživatelé nadále to důrazné varování obcházet, autorům prohlížečů nezbyde nic jiného, než obcházení znemožnit.

Já bych řekl, že autor protipožárního alarmu, co pravidelně spouští zbytečne
To je ale špatné přirovnání. Tady není řeč o protipožárním alarmu, který pravidelně spouští zbytečně. Tady je řeč o protipožárním alarmu, pod kterým pravidelně někdo rozdělává oheň, a protipožární alarm to zachytí. Řešením není omezovat alarm, řešením je nerozdělávat oheň tam, kde se to nemá.

Jenže pokud máte protipožární alarm v kuchyňce nad varnou deskou...

> resp. náhodou jsem na špatný certifikát narazil nedávno na jedné překlepové doméně, kde to ale nebyl falešný poplach.

Takže falešný poplach od padoucha, takže vlastně ok díky dvojité negaci? :D Co brání vystavit si pro překlepovou doménu i "překlepový" certifikát? Vždyť už je to kompletně automatizovaný proces.

> A pak jsou s tím tradičně problémy, když někdo funkční systém „vylepšuje“ interními autoritami nebo inspekcí TLS provozu.

Výborně, správně jste odhadl častý zdroj těchhle poplachů. Teď mi ještě řekněte, co má řadový zaměstnanec dělat, když ze stejného zdroje jako tyhle poplachy chodí i příkaz dělat svou práci. ;)

Jiný příklad v diskuzi, kdy to podělala třeba Komerčka jste zaznamenal?

> Prostě je na tom webu chyba, a buď je ten web důležitý, tak to jeho provozovatel spraví, nebo ten web nikdo nepotřebuje, pak ani není potřeba tam lézt.

Když je ten web _důležitý_ tak právě nemusí být čas a prostor čekat na to, až to někdo milostivě spraví. To si můžete dovolit spíš u webů na které lézt nepotřebujete a nějakou dobu se bez nich teda obejdete.

Pokud je ten web opravdu dulezity, tak je dost o drzku tam vkladat jakekoliv citlive udaje (heslem pocinaje) v momente, kdy to vraci jakoukoliv chybu. Protoze nikdy bez hlubsi analyzy nevite, jestli jde skutecne jen o nejake opomentuti spravce a nebo o skutecny utok. Argumentace stylem to nepocka naopak muze napachat skody jeste vetsi, ze? Nebo vy byste se snazil prihlasit do banky v situaci, kdy to hlasi jakykoliv problem s certifikatem, protoze ted honem potrebujete poslat nejake prachy...? :D

On je rozdíl, pro koho je ten web důležitý. Jestli tam lezete soukromě, nebo v práci.

A co myslíte, že udělá BFU, když mu na helplině banky řeknou, ať to odklepne (jak už to tu zaznělo u zmíněné Komerčky). A co myslíte, že udělá příště? Opravdu čekáte, že bude zase volat?

A co myslíte, že udělá BFU, když mu na helplině banky řeknou, ať to odklepne (jak už to tu zaznělo u zmíněné Komerčky).
To, že něco radí helpline Komerčky, neznamená, že je to správně.

A řekne mu to někdo pak?

A z jaké křišťálové koule má teda BFU vyvěštit tu správnou odpověď? Věštit z drobů nějakého toho managera mi bohužel nikdo nedovolí.

Takže falešný poplach od padoucha, takže vlastně ok díky dvojité negaci?
Ne, byl to poplach od vlastníka té správné domény (vlastnil i tu překlepovou), akorát měl tu překlepovou doménu nasměrovanou na server, který nepočítal s tím, že ji bude obsluhovat. Každopádně to ale zafungovalo správně, protože to upozornilo na to, že s názvem je něco špatně.

Co brání vystavit si pro překlepovou doménu i "překlepový" certifikát?
Úkolem certifikátů není vyřešit všechny problémy světa. Je to jako kdybyste se ptal, jak požární alarm zastaví zloděje – nu, nezastaví, není to jeho úkol.

Teď mi ještě řekněte, co má řadový zaměstnanec dělat, když ze stejného zdroje jako tyhle poplachy chodí i příkaz dělat svou práci. ;)
To ale není chyba prohlížečů, nýbrž těch, kdo takové „zabezpečení“ nabízí a těch, kdo ho vyžadují.

Jiný příklad v diskuzi, kdy to podělala třeba Komerčka jste zaznamenal?
To jako chcete učit uživatele, aby do banky lezli přes nevěrohodný certifikát? A co dál? Když jim někdo pošle e-mailem exe, mají ho spustit? Když po nich někdo bude chtít heslo, mají mu ho říct?

Když je ten web _důležitý_ tak právě nemusí být čas a prostor čekat na to, až to někdo milostivě spraví.
Každý web může mít výpadek. Vaše internetové připojení také může mít výpadek. Žádný web není tak důležitý, aby se kvůli němu porušovala základní pravidla bezpečnosti. Přesně o tomhle – že je to důležité, je potřeba spěchat a kašlat na bezpečnost – se vás bude pokoušet přesvědčit každý útočník.

"Žádný web není tak důležitý, aby se kvůli němu porušovala základní pravidla bezpečnosti."

To jiste ... statni byrokrat bude mit jiste pochopeni pro to, ze prislusne lejstro nebylo vyplneno a odeslano v terminu ... protoze web mel expirovany certifikat (coz vubec netusi co je).

A takovy bfu, v souladu s pisemnym pokynem, zvedne telefon, zavola do banky, nadiktuje jim, co mu to hlasa ... a dozvi se, ze to ma odkliknout ...

Mimochodem, z presne tohoto duvodu jsem si zavedl nahravani veskerych hovoru s podobnymi ourady.

To jiste ... statni byrokrat bude mit jiste pochopeni pro to, ze prislusne lejstro nebylo vyplneno a odeslano v terminu ... protoze web mel expirovany certifikat (coz vubec netusi co je).
Kdyby něco takového nastalo, tak to samozřejmě bude muset úřad zohlednit. Stejně jako musí zohlednit třeba odstávku datových schránek.

Jenže expirovaný certifikát není odstávka. Vždyť to přece funguje, jen to má drobné kosmetické chyby. Ukažte mi právníka/managera, který bude provokovat úřady kvůli intelektuální onanii IT oddělení.

Zkuste si expirovanym kvalifikovanym certifikatem neco podepsat a ukazte mi pravnika, co rekne, ze s tim prece neni vubec zadny problem... :-)

Aha, takže nemáte nic, když musíte skákat k úplně jiným certifikátům než jsou ty o kterých se bavíme.

Ne, ty principy jsou stejne. A je fuk, zda se bavite o elektronickem podpisu nebo serverovem certifikatu. Platnost od-do tam neni pro srandu kralikum.

A bavíme s i o fyzickém podpisu rukou, když už vás tolik baví odbíhání?

Kdyz si chcete nekam nutne odbehnout, zkuste to treba na ITU v Zeneve, kde to pred 35 lety vymysleli... a muzete jim tam rict, jaci to jsou blbci :-)

A nebo si - kdyz uz jsme u toho psani rukou - muzeme odbehnout k Rukopisu kralovedvorskemu pry udajne ze 13.stoleti.... co byl vlastne napsany ponekud pozdeji, ze? :D

JSH: Ne, web s neplatným certifikátem nefunguje. Mne by zase zajímalo, jak byste vysvětloval, že jste t osice podal na falešný web, takže úřad podání nikdy nedostal, ale jak jste to mohl vědět, když tam byl jenom neplatný certifikát.

Třeba si zkontroloval, že je správná doména webu, kam to posílá. A pak mu přišel informační email, opět se správnou doménou ve From.

A jak muzete vedet, ze DNS take neni zmanipulovane? ;-) Zvlaste u domen, kde neni implementovan DNSSEC - ale vlastne i s nimi, protoze na strane koncovych klientu se validace prijatych odpovedi vesmes moc neresi, ze? ;-) (v tom tradicnim/his­torickem pojeti, ktere tu ma spousta zdejsich tak rado). A From: policko v SMTP taky podvrhnout nejde... tak jisteze... :D

Může se kouknout na zdroj a přečíst si ty servery. Prostě má možnosti si to zkontrolovat sám, nespoléhá jen na ikonku v prohlížeči.

Jasne, ono dnes a denne nejsme svedky phisingovych utoku, co i ten "spravny vzhled" vcelku uspesne imituji ;-) No koukam, ze teto problematice rozumite asi tak stejne jako kompletaci pocitacu, jak jste predvedl vedle... jakoze vubec :D

Má k tomuhle vůbec někdo nějaký "tvrdší" materiál? Máňa říkala, že to není směroplatný.

Může se kouknout na zdroj a přečíst si ty servery. Prostě má možnosti si to zkontrolovat sám, nespoléhá jen na ikonku v prohlížeči.
Víte vůbec, k čemu HTTPS certifikáty slouží? Co se děje, když v prohlížeči chcete zobrazit nějakou stránku?

Na jaký „zdroj“ se podívá a jaké servery si „přečte“? Na DNS servery té domény? Jak je věrohodně zjistí? Jak zjistí, zda komunikuje skutečně s nimi? Dobře, dejme tomu, že ta doména bude chráněná DNSSEC. Takže věrohodně zjistí IP adresy webového serveru. A jak pak zjistí, že komunikuje s tím skutečným serverem?

Třeba si zkontroloval, že je správná doména webu, kam to posílá.
Jo, a jak to zkontroloval bez certifikátu? K tomu totiž právě certifikáty slouží, abyste si mohl zkontrolovat doménu.

A pak mu přišel informační email, opět se správnou doménou ve From.
A pak ještě dvě hodiny zkoumal, zda ta doména ve From je pravá.

To by mě fakt zajímalo, kde se pohybujete protože to je věc relativně (pro mě cca jednou měsíčně?) častá jakmile odbočíte z velkých webů. Používáte vůbec (kromě root.cz) internet?

Dnes? Domaci switchorouter, k administraci chce java 8.
Ze kterého je to století? A co je to za značku?

Ono je dost nepouzitelne stale, na tom se nic nezmenilo, jen v te posledni verzi uz se neda pouzivat ta aplikace co predtim.

Je to nejmene o rad pomalejsi a nektere veci tomu projistotu chybi vubec. To co bylo v te appce na kliknuti je ted na hodinovou session.

Jako bonus si k tomu musis poridt aspon 40" zobrazovadlo, to aby se ti na to aspon neco veslo ... cele je to naprosto nehorazne roztahane.

Jen doplním, že proto jsou taky stále ke stáhnutí podporované jejich LTS verze (až po tu 8) a instalují se vedle sebe.

Jasne a proto se na iDrac Dellu z roku 2010 dostanu s Javou 17.... :D

Gratuluju, našel jsi dobře napsanou Java app dopředně kompatibilní s novějšími JRE:

"Gratuluju"

Rek bych ze ani nenasel jen nevi, co vsechno na tom nefunguje. iDRAC 6 tu nahodou mam ... Funguje to s java 1.6. S vyssi verzi se k tomu mozna prihlasi, ale uz to nefunguje zdaleka cele.

Funguje vsechno, co od toho ja potrebuju - tedy vzdalena konzole a pripojeni vzdaleneho obrazu instalacniho/rescue boot media. Jakou dalsi udajne nefungujici potrebu mate? ;-)

No ty očividně další potřeby nemáš. Opět gratuluju ;-)

Dej důkaz, že tam něco nefunguje. Jinak je to tohle normální lež.

To je asi tak 90% všech aplikací napsaných v Java. Zbytek jsou aplikace, které využívají nějaké obskurní věci které již v době psaní byly deprecated. To, že se musí přidat navíc knihovna, která byla v Java 9 odstraněna z JDK není zas tak velký problém.
Mimochodem nic jako JRE, již pěknou řadu let neexistuje.

Tak tou poslední větou jsi ukázal, jak tomu rozumíš.

Mas pravdu, Ladiku... nerozumis tomu :-) Posledni JRE ke stazeni je verze 8. Tak si dopln mezery ve vzdelani, mas je fakt velky...

Ty už jsi úplně mimo, Daníku. Mezery tu máš spíš ty: https://adoptium.net/temurin/releases/?package=jre

Neni nad to poprit vyse odkazanou oficialni dokumentaci :-)

The present distinction between JRE and JDK images is purely historical, a consequence of an implementation decision made late in the development of the JDK 1.2 release and never revisited. The new image structure eliminates this distinction: A JDK image is simply a run-time image that happens to contain the full set of development tools and other items historically found in the JDK.

A to, ze je nekdo nekde zustal otrokem minulosti fakt neznamena vubec nic :D A jen dokazuje to, ze dotycny je otrokem minulosti a co se jednou naucil, tak uz nehodla nikdy zmenit - a naopak se krecovite snazi udrzet ty "stare" poradky. Co ze to programujes, Ladiku? ;-) At vim, cemu se vyhnout, ja otroceni minulosti nemam rad.

Tomuhle se říká střelit se do vlastní nohy. Adoptium mělo právě problém, že vydávalo pouze plnotučné JDK a zdůvodňovali to použitím jlink. Nakonec ustoupili a vydali osekanou verzi JDK, kterou spousta lidí nazívá jako JRE, ale to nic nemění na faktu, že JRE není nikterak definováno a v podstatě neexistuje. Je to jenom vykostěné JDK a člověk nikdy neví co je v jaké distribuci obsaženo a co není.

JRE snad někdy bylo něco jiného než vykostěné JDK? Mně stačí, že to má třetinovou velikost.

Me staci... aha :-) A to dodnes mate 2GB disk, ze takove ptakoviny jako rozdil 50MB vs 150MB vubec resite, pane programatore...? To, ze nekdo par veci z JDK vyhazel z toho oficialni JRE fakt nedela. Oficialne naopak toto rozlisovani uz pred lety zcela pozbylo na vyznamu. Nezbyva, nez vam pogratulovat k titulu otrok minulosti ;-)

Super, tak si kupte větší disk, když vám nevadí, že budu k 10megové aplikaci přibalovat o 100 MB větší Javu. Ale pak nenadávejte na programátory. Jinak když už jsme na webu o Linuxu - asi by mohli JRE vyhodit z repozitáře, když si každá aplikace má přibalovat vlastní Javu.

23. 8. 2023, 09:09 editováno autorem komentáře

Nikoliv, me staci jedna uplna standardni instalace JDK... a neriskuju eventuelni problemy, ktere to vase nekym "oskubane" neoficialni JRE muze zpusobovat v dusledku toho, ze tam pak neco chybi. A tech +100MB me fakt nevytrhne. O customizovanem baleni Javy vyrobenem pomoci jlink na miru distribuovane aplikaci tu rec nebyla, bavime se o generickem JRE, ktere si instalujete bokem mimo dodanou aplikaci. A jestli programujete stejne jako tady placate nesmysly, tak doufam ze vas software nikdy nepotkam :-)

Nikoli. Víte např, že těch "standardních" JDK je více než těch JRE?

> O customizovanem baleni Javy vyrobenem pomoci jlink na miru distribuovane aplikaci tu rec nebyla

Teď si protiřečíte. Sám jste řekl, že dnešní JRE je jen promazené JDK. Akorát že je to promazané někým jiným. A mně ušetřil práci, pokud nechci řešit posledních 5-10 MB, když se chlubíte, jak velký máte disk. Takže to vy tady plácáte nesmysly :-)

JRE vytvorene pomoci jlink konkretni aplikaci na miru muze - ale taky nemusi - fungovat s aplikaci jinou. No a jestli s kazdym paskvilem, co vytvorite sirite cele to sve "ocesane" JRE, tak moc mista lidem taky neusetrite. To se vracime zpet k tomu, ze jedna plna instalace JDK, kterou vyuzivaji (sdili) vsechny aplikace je lepsi - a to treba i z pohledu bezpecnosti, protoze Javu aktualizuju na jednom miste pro cely system a ne na padesati mistech u kazde aplikace extra... ale to jsou problemy, co jako programator hadam moc neresite, tyhle "provozni" problemy byvaji vesmes zcela mimo schopnosti bezneho vnimani programatoru ;-)

Sám jste mi řekl, že to tak mám dělat ;-)

Super, tak si kupte větší disk, když vám nevadí, že budu k 10megové aplikaci přibalovat o 100 MB větší Javu
To vy chcete k aplikaci přibalovat větší Javu, když chcete přibalovat nějaké univerzální (tudíž větší) JRE a ne JRE vytvořené na míru přímo vaší aplikaci.

JRE snad někdy bylo něco jiného než vykostěné JDK?
Ano. JRE bylo už dávno definováno jako běhové prostředí pro aplikace napsané v Javě, tj. uživatelé pro běh aplikací potřebovali JRE, vývojáři potřebovali JDK. JRE nebylo vykostěné JDK, naopak celé JRE bylo přibaleno jako součást JDK – uvnitř instalačního adresáře JDK byl adresář jre a v něm bylo rozbalené celé JRE. Takže mnohé soubory jste měl dvakrát, jednou přímo v JDK a podruhé v JRE.

S Javou 9 se to změnilo (viz odkaz výše), protože se Java modularizovala a dospělo s k tomu, že nemá smysl šířit JRE se všemi moduly, protože žádná aplikace všechny moduly nevyužije. Místo toho vznikl nástroj jlink, který vyrobí JRE na míru vaší aplikaci, tedy pouze s potřebnými moduly. Samozřejmě můžete takové „JRE na míru“ distribuovat i samostatně, bez vaší aplikace, ale nikde není řečeno, co takové JRE má obsahovat, a takže aplikace s takovým JRE může ale nemusí fungovat.

Dekuji vrele za portvrzeni, ze o tom nemas ani paru. Jednotlive verze javy mezi sebou navzajem nejsou komatabilni a nikdy nebyly.
Ani páru o tom nemáte vy.

Co to meleš. Chtěl bych vidět jazyk co má tak dlouhou zpětnou kompatibilitu než Java. Aplikace zkompilované pro Java 5 normálně běží i na Java 21. Jasně jsou tam nějaké výjimky, ale to jsou většinou věci co už byly označené v Java 5 jako deprecated. Jasně Java 9 odebrala některé knihovny z JDK ale normálně je můžete přidat jako externí knihovny. Jasně nelze provozovat aplikaci napsanou s věcmi co jsou v Java 17 s Java 8 (i když i na to jsou retrofit compilery, které to umožňují jako např. https://frgaal.org/ ).

"Co to meleš. Chtěl bych vidět jazyk co má tak dlouhou zpětnou kompatibilitu než Java. Aplikace zkompilované pro Java 5"

Takova aplikace ani jedna jedina neexistuje.

Takova aplikace ani jedna jedina neexistuje.
Tak určitě. A proč by jako nešla aplikace přeložená pro Javu 5 spustit pod novější JVM?

"A nakonec, tohle řeší IT"

Jiste, u lidi doma ...

Vemu jen rodinku ... lednice, s wifi. Ma nejake webove rozhrani, radsi nevedet. "Chytra" televize. Dtto. Jo, da se pres to treba prepinat kanaly, zapnout nebo vypnut ... prihlaseni to zadne nechce. Jakasi kamerka, vyzadujici flash. Jup, umi to video posilat i ven, ale konfigurace bez flashe jaksi nee. Ovladani kotle, chce java 6.

To neni zdaleka vsechno. A ten si zkus predstavit, ze ses ten BFU, a chces to nejak pouzivat.

A i v korporatu je fakt uzasny, kdyz chte nechte musis udrzovat v provozu nekolik ruzne historickych verzi systemu, a browseru a ruznych kombinaci verzi, protoze nejak se nam vyparila ta kompatabilita, takze treba jen pro java veci je treba asi 10 ruznych verzi.

Doma to obvykle lidi přestanou používat, pokud nemají někoho, kdo by jim to nějak vyřešil (jako vy nebo já). V práci bychom to jako ajťáci taky vyřešili (ale na tu pozici je nás asi škoda) a pro ostatní - ať se stará IT.

Jasne, ono nejde nainstalovat stary Linux do virtualu... :-) A na MACu mate k dispozici treba Parallels, kde mj. jde nainstalovat i legacy verze. Ale chapu, ze to pri svem omezenem programatorskem rozhledu nemuzete znat... :D

Tak jasně že jsou nějaké minoritní distribuce Linuxu, o kterých většina neví, stále podporované jejich skalními fanoušky. Mým příkladem je Ubuntu (jakkoli jej můžeme nemít rádi).

A je 4.10 Warty Warthog z roku 2004 dostatecne stara verze Ubuntu? :D To, ze to vy neumite fakt jeste neznamena, ze to nejde...

Měl jsem konkrétně na mysli, že mirorry, např. český, jsou vypínány/promazány. Řešením je editace URL zdrojů.

No to se prece tyka samozrejme i mirroru jinych vznesenych distribuci, treba CentOSu, ze? ;-) Tam ty zdroje musite zeditovat zrovnatak.

Ano, už to není BFU-friendly.

A tak ono diskova kapacita a jeji provoz taky neco stoji, elektrika neni zadarmo. Je pochopitelne, ze od spravcu mirroru distribuci se nevyzaduje, aby replikovali a udrzovali archivy veci beztak patricich do softwaroveho muzea. Ale nic vam nebrani podobne "vault/archive" mirrory replikovat, provozovat a zasponzorovat u sebe, ostatne takove mirrory take najdete. Ze jich bude mene je vcelku pochopitelne... tak kdyz tak lpite na starych verzich, muzete neco udelat pro jejich lepsi dostupnost :-)

Ale to jste dost vzdalil od toho sveho nejde to a doiterovali jsme k tomu, ze to je jen mene pohodlne, ale nikoliv nemozne...

Což jsem taky napsal ;-) (mirrory starších verze Ubuntu jsem tu už v diskuzích na Rootu řešil).