Diit.cz - Novinky a informace o hardware, software a internetu

Diskuse k Otevíráme měsíc bezpečnosti. Probrali jsme největší trhliny se specialisty

Zajimalo by me, jaky antivirovy system maji bezpecnostni experti nainstalovany na svem pocitaci. (Tim se snadno pozna, jestli jde o experta nebo frkulina, jakakoli jina odpoved nez zadny nebo Windows Defender je jasnym dukazem, ze ten clovek je pouze radoby expert, ktery bezpecnosti vubec nerozumi. :-))

+2 +1-1 Je komentář přínosný?

Já mám nainstalovaný antivírový systém a ten funguje naprosto dokonale. Jsem bezvýhradný ateista.

+2 +1-1 Je komentář přínosný?
Obrázek uživatele MrLolendo

Nezapomeň odpojovat ethernetoví kabel od svého PC když od něj odcházíš. :D

+1 +1-1 Je komentář přínosný?

Me by zajimalo, co by specialiste doporucili za wifi router do bezne ceske domacnosti. V poslednich letech neustale ctu o utocich na tato zarizeni, ovsem reseni typu Turris Omnia je pro ceske domacnosti cenove mimo. Obcas lidem instaluji routery, ale lide jsou ochotni dat tak maximalne 500-1000Kc. Nastaveni rozumneho hesla pro pristup i administraci beru jako samozrejmost, ktera bohuzel neresi chyby firmware. Alternativni firmware zase rusi zaruku a je mimo schopnosti vetsiny lidi.

+4 +1-1 Je komentář přínosný?

@Noxik

Alternativní firmware neruší záruku, to je pouze výmysl prodejců (podobně jako když se kecalo, že root Androidu také anuluje záruku). A kromě toho, jak by to asi poznal? Když router vůbec nenajede, tak logicky neví, co běží uvnitř. Pokud najede, tak je vždycky možnost vrátit původní firmware.

Souhlasím, že nahrání alternativního firmware je mimo schopnosti většiny lidí. Ale stejně tak je mimo schopnosti lidí vlézt do administrace a nastavit si heslo. Stejně to skončí u toho, že to musí dělat někdo alespoň trochu poučený a pro takového člověka by flashnutí na OpenWRT neměl být problém.

Pokud se nékomu opravdu nechce router flashovat, tak bych doporučoval MikroTik. SOHO modely začínají na asi 600. Taková mašinka umí celkem dost věcí a má slušnou bezpečnost. Nebál bych se ani něčeho od Ubiquiti. Pokud si vzpomínám tak za poslední roky měli jen jednu závažnější chybu.

+2 +1-1 Je komentář přínosný?

Souhlas, ale dneska router to chce 1Gbit minimalne na LAN strane a wifi, takze urcite ne za 600,- ale spis nad 1200,-. Nicmene porad proti Omnisu Turia je to za par kacek.
Jednoduse bud resim bezpecnost, tak si poridim aspon Mikrotik nebo na to pecu a pak holt muzu mit i neco za petikilo.
Jinak co se tyka open-wrt, tak neni to zrovna privetivy, takze to ani poucenej uzivatel nenastavi, to uz je pak na to, nechat si udelat konfiguraci a poleze to do penez. Takze za me vynechame-li ten zminenej Mikrotik jedine si najit levnej router a zaroven na webu DD-WRT, aby to melo tenhle alternativni a zaroven privetivej firmware a aby k nemu komunita vydavala i aktualizace.

+2 +1-1 Je komentář přínosný?

DD-WRT se už spoustu let nevyvíjí, takže bych ho na router necpal. OpenWRT a jeho fork LEDE mi nepřišlo nijak uživatelsky nepřivětivé.

Jinak je docela vtipné, že levné MikroTiky a nebo levné routery s OpenWRT toho umí daleko více než předražené krámy od ASUS, NETGEAR, TP-LINK a spol.
Nechápu, kdo si může koupit ASUS RT-AC5300 za 10 000. I jejich routery okolo 5k jsou nechutně předražené, na to že nic neumí.

+4 +1-1 Je komentář přínosný?

To jsou vyrobky urcene pro blbce s penezi, co jsou ochotni dat velke penize v podstate za nic. Takovych lidi dneska je. Druha kategorie jsou ti, co chteji zlate tele za korunu a jeste jim to prijde drahe.

+4 +1-1 Je komentář přínosný?

To mi povidej.
Ono je to jinak, predstav si, ze nejsi sitar, jsi proste pouceny uzivatel pocitace a chces si koupit kvalitni router a ne zadnou cinskou krabicku za peti kilo, kterou ti do 24 hodin nekdo hackne.
Mikrotik neznas a slysel jsi o tom super bezpecnem Turis Omnia, jenze kdyz se kouknes v Alze na cenu, tak te malem klepne infarkt a chces neco ne uplne levneho, ale zase nechces dat tydenni dovolenou u more treba.

No a prave sem cili Asus, TP-Link a Netgear.

Ja sam jsem poridil Netgear WNDR3700 za bratru 3 tisice a takovou blbost uz v zivote neudelam, nepredstavitelnej firmware, deravej jak cednik, neco strasneho. Nastesti prave u tohohle routeru dela nejaky clovek z dd-wrt podporu az doted a vychazi porad nove aktualizace. Na tomhle routeru je teda DD-WRT uplne perfektni a od zacatku uplne jina liga nez tovarni firmware od Netgearu. Zkousel jsem na tom i OpenWRT a CeroWRT, ale oboji bylo maximalne pro zkuseneho sitare a ne pro amatera jako jsem ja. LEDE slysim prvne, jak pisu, nemam v tomto oboru zkusenosti.

+2 +1-1 Je komentář přínosný?

@Redmarx

LEDE je fork OpenWRT, z uživatelského hlediska skoro stejné.

0 +1-1 Je komentář přínosný?

V realu je 1Gbit k nicemu, nebot vetsina lidi se pripojeje mobily a notebooky uz taky prestavaji mit Ethernet.

+1 +1-1 Je komentář přínosný?

No, ja mam 1Gbit k pripojeni NASu. Tam je to imho I docela znat, kdyz se kopiruji nejake velke objemy dat...

+3 +1-1 Je komentář přínosný?

Jenze vetsina lidi NAS nema, resp. pokud znam nekoho s NAS, tak dela v IT.

+1 +1-1 Je komentář přínosný?

Aha :-) No ja to lidem obecne doporucuju, pokud chtej neco na "zalohovani fotek" a podobne, tak at si to poridej, maj to na siti, takze se k tomu dostanou z cehokoliv, co do te site pripojej a muzou si na to vsechno nahravat
Pravda, spousta lidi misto toho ma nejakej USB disk - ale to mi prijde dosti nekomfortni. Pravda, je to levnejsi.
(Sam mam v NASu 2 disky v zrcadle, predpokladam, ze by nemusely pripadne odejit v jednu chvili)

0 +1-1 Je komentář přínosný?

Zalohovani :D ... byste me rozesmal. Bezni uzivatele samozrejme nezalohuji a resi az ztratu dat.
Ani to NAS neni uplne jisty, staci prepeti v siti a shori oba disky vcetne NAS. Idealne k tomu jeste USB HDD a obcas to presypat a odpojit.

+2 +1-1 Je komentář přínosný?

Mam to za velice solidni UPSkou :-))

0 +1-1 Je komentář přínosný?

@Lojza Suchánek

Kvalitní UPS ti je přesně na dvě věci, když se zblázní NAS a nebo ti vyhoří barák.

0 +1-1 Je komentář přínosný?

Kdyz mi vyhori barak (respektive byt), bude to pravdepodobne znamenat, ze vyhorel 14 ti patrovy panelak a v tu chvili me nejake fotky na nejakem PC budou zajimat ze vseho uplne nejmene :-D

Ja nerikam, ze mam doma 100% zalohovane fotky.
Rikam, ze v ramci normalnich moznosti pro bezneho cloveka je to relativne dobre.
Mam to v NASu, v nem 2 disky v zrcadle, to cele za UPS.
Vyhoda je, ze se tam dostanu odevsud ze site (mohl bych si to pustit i jako FTP smerem ven, ale to se mi nechce

0 +1-1 Je komentář přínosný?

jistě a až se vzpamatujete z následků požáru, tak budete řešit co? Nebo jednou vyhořet znamená do smrti řešit pouze život ohrožující problémy? :-)

-2 +1-1 Je komentář přínosný?

Problem bude, kdzy ten router pojede "napul". Pak jedine se s prodejcem soudit, zda to je jeho nebo majitelova vina.
Ten levny mikrotik vypada zajimave, bohuzel zatim jsem ho nemel v rukach. Mam jejich drazsi model a treba nastaveni automatickych aktualizace neni zrovna jednoduche a spolehlive. Dalsi otazkou je dosah v beznem panelovem byte nebo rodinnem domku.

+1 +1-1 Je komentář přínosný?

Robím jedine manuálne aktualizácie a vždy chvíľu počkám. Čo keď v tej novej je nejaká závažná chyba?

0 +1-1 Je komentář přínosný?

dělám síťařinu, cpem lidem mikrotik, většinou po nasazení nemají problém, je to cenově dostupné a trochu jinde než laciné- tp-link, tenda, netis, asus, aj.
co se vysílacího výkonu týká, HAP-lite od mikrotiku je na tom obdobně jako maj dosah třeba TP-link 740N.
s tim rozdílem že si tam můžete udělat od VPN, po firewall co chcete (omezení jen výkonem mašinky)
a pokud někdo chce mít gbit LAN, tak holt si vybere model s gbit a klidně duální wifi.

+2 +1-1 Je komentář přínosný?

Diky, neni nad to se docist o realnych zkusenostech. To pouzivate konkretne Mikrotik RB941-2nD-TC ? A k tomu automaticke aktualizace scriptem, nebo rucne na dalku?
Tim druhym myslite Mikrotik RB962UiGS-5HacT2HnT ? Ted koukam, ze se konecne neco takoveho prodava. Kdyz jsem se dival naposledy, tak jeste nic pouzitelneho v kombinaci s Gbit LAN a 5Ghz WiFi nebylo.

+1 +1-1 Je komentář přínosný?

"Kdyz jsem se dival naposledy, tak jeste nic pouzitelneho v kombinaci s Gbit LAN a 5Ghz WiFi nebylo."

Ona je spíš otázka, jestli není lepší mít zvlášť router a AP.

+1 +1-1 Je komentář přínosný?

ehm a k čemu je vám vysoká propustnost wifi, když konektivitu k NAS/routeru zařízenete na 100Mbps?!

0 +1-1 Je komentář přínosný?

ano a ano...
no doba jde dopředu, i mikrotik vydá sem tam novinku.
aktualizace jednou za čas ručně, netřeba mít vždy novou verzi.
Aneb pokud vše funguje k vaší spokojenosti, tak do toho pokud možno nevrtat.
Co se bezpečnosti týče, pokud umíte v MK základní firewall nastavit a nedáte si heslo 1111 a podobný, tak jsem nikdy nezaznamenal problem s bezpečností. taky je dobré povolit na administraci jen porty co chci, ne mít zaplé vše. Ale tak to je u všeho, většina bezpečnostních průserů je uživatel sám, kdy něco odklikne nebo vědomě zanedbá z lenosti.

0 +1-1 Je komentář přínosný?
Obrázek uživatele Sob

Povazuju se za velkyho fanouska, misty mozna az trosku zaslepenyho, ale na zcela automaticky aktualizace RouterOS jsem jeste odvahu nesebral. Ne kazda aktualizace se jim stoprocentne povede. I kdyz zakladni veci asi fungujou vzdycky a pokud clovek pochopi jejich nestandardni nazvoslovi u verzi (RC = alpha, current = beta, bugfix = bezpecna verze) a drzi se vyhradne bugfixu, tak by to asi jit mohlo.

Ale pokud si to clovek rozumne nastavi (= z venku nikdo na nic nemuze), lze zit bezpecne i se starsi verzi.

0 +1-1 Je komentář přínosný?

Ja mam automaticky aktualizace pres rok a nefungovaly jenom jednou - zmenil se nazev jednoho souboru. Jinak vse funguje, ale mam to jen jako beznej router 2x PC kabelem a 1x WiFi, zadny specialni nastaveni. Jen to nastaveni je peklo, ja nejsem sitar a ten jejich scriptovaci jazyk neovladam, jen jsem nekde opral navod. Neni to nejlepsi postup, ale vic nedavam a jelikoz se tim nezivim, tak vic ani davat nebudu. Bohuzel nemam v okoli koho se zeptat. Ocenil bych nejaky router, co zvladne nastavit i mirne pokrocilejsi uzivatel a nebude to bezpecnostni prusvih. V cenach pro ceskou domacnost.

0 +1-1 Je komentář přínosný?
Obrázek uživatele Sob

Nastaveni RouterOS (pres WinBox) je muj splnenej sen - sila iptables s peknym GUI, chrochtam blahem od chvile, co jsem to nasel. :) Pravda, bez znalosti siti to neni uplne ono. Obcas si pri cteni mikrotikackyho fora rikam, proc si to ti amateri, kteri o sitich nic nevi, vubec kupujou. Coz neni nic proti nim, pouze konstatovani, ze sitema nepolibenej uzivatel z toho musi mit hodne tezkou hlavu. On je tam sice QuickSet, coz je rychly zakladni nastaveni, ale problem je, ze to vubec nic neumi, takze tomu pokrocilejsimu se vyhyba tezko.

0 +1-1 Je komentář přínosný?

Tak ja si ho treba jako amater koupil proto, ze do byl asi jediny dostupny router s aktualizacema. Nastavil jsem QuickSet, z nejakeho navodu opral script na automaticke aktualizace a zatim jedu. Jasne, obcas by me lakaly veci jako zmerit mnozstvi protecenych dat za mesic, atd, ale to uz je mimo moje schopnosti.

+1 +1-1 Je komentář přínosný?

S výrokem, že nahrání alternativního firmware neruší záruku bych byl hodně hodně opatrný. Pokud to zakáže výrobce v manuálu tak, je jednáš v rozporu s návodem. V prvním kroku tě výrobce setře tímto způsobem. Pokud se budeš chtít soudit, tak budeš tahat za kratší konec. Je pravdou, že výrobce bude muset dokázat, že poruchu jsi způsobil nepovoleným zásahem, ale výrobce si něco vymyslí. A pokud nebude blbý, tak ani soudní znalec kterého si přizveš nebude moct dokázat opak. Ve svém výrobku se vždy výrobce vyzná lépe, než sebelepší soudní znalec.

Není pravdou, že je možné vždy vrátit původní firmware. Některé alternativní firmware vyžadují zásah i do bootloaderu a různých dalších konfiguračních oblastí. Návrat k továrnímu firmware tedy nemusí být za všech okolností možný nebo jednoduchý.

A i když router správně nefunguje je celkem jednoduché poznat, že do něj byl nahrán neoriginální firmware. Firmware je většinou uložen v sériové/paralelní flash paměti. Obsah paměti lze relativně jednoduše vyčíst pomocí různých GANG programátorů.
Neříkám že toto bude dělat výrobce/prodejce při reklamaci, ale možnosti existují. Takže raději doporučuji tak nezevšeobecňovat...

+1 +1-1 Je komentář přínosný?

Ve velkém obchodu (Alza, CZC...) nikdo nebude zkoumat, jestli jsi tam nahrál OpenWRT. V malém obchodu se ti možná prodejce bude snažit nabulíkovat, že změna firmwaru anuluje záruku, ale dál to zkoumat nebude, nemá na to čas.
Tak či tak, router se dostane do nějakého servisního střediska, kde ho také nějak moc zkoumat nebudou. U routeru s výrobní cenou $10 se to nikomu nevyplatí a moc se to nevyplatí ani u dražších kousků. Když si spočítáš, kolik stojí práce technika... Nakonec to dopadne tak, že reoutery vezme nějaký nekvalifikovaný dělník, připojí na desku sériový port a o obnovení se postará počítač, tím že tam nahraje originální firmware.

Nahrání alternativního firmwaru by zrušilo záruko pouze pokud kvůli tomu ten router odpálíš. Když přineseš prodejci router s OpenWRT, u kterého ti přestal fungovat třeba napájecí adaptér, tak reklamaci musí vyřídit, v tomto mluví zákon jasně.

+1 +1-1 Je komentář přínosný?

V reálu to opravdu bude tak, jak popisuješ. Chtěl jsem poukázat na to, že to co tvrdíš není všeobecně platné.
Ani v případě toho napájecího adaptéru nemáš tak úplně pravdu. Pokud je napájecí adaptér součást výrobku nikoliv volitelné příslušenství. Kdybych byl servisním technikem a chtěl s tebou vykývat, tak si neuznání záruky na adaptér obhájím i u soudu. Ani soudní znalec ti v tomto případě moc nepomůže. Stačí argumentovat tím, že změnu firmware došlo ke zvýšení příkonu, což způsobilo poškození adaptéru.

Přes 8 let se živím jako vývojář měřící techniky, takže o elektronice něco vím. Pokud naši servisáci dostanou přístroj s nějakou neobvyklou závadou, tak se mi takový přístroj dostane na stůl. V tomto případě nejde o uznání/neuznání záruky, ale zjištění jestli není nějaká chyba na naší straně. Tímto způsobem se zajišťuje vysoká kvalita produkce (máme asi jednu záruční reklamaci na 4000 prodaných přístrojů).

0 +1-1 Je komentář přínosný?

O nevyreklamovaný SOHO router se ti asi nikdo soudit nebude...

Znalec ti klidně může říct, že OpenWRT zvýšilo příkon routeru, ale stejně ti to nepomůže. Pokud jde hardware zničit na něm běžícím softwarem, pak se jedná o zmetek.
A to ani nemluvím o tom, že si zákazník přivede svého znalce, který řekne pravý opak toho, co ŕekl tvůj znalec.

0 +1-1 Je komentář přínosný?

"Pokud jde hardware zničit na něm běžícím softwarem, pak se jedná o zmetek.". Většina dnešního hardware jde zničit pomocí software. Výhradně hardwarové zabezpečení se v dnešní době používá pouze na úrovni funkční bezpečnosti SIL4 (https://en.wikipedia.org/wiki/Safety_integrity_level)

- Představ si že jedeš autem a řídící jednotce rupne v kouli a vystřeli airbag a ty to napasuješ do nejbližšího stromu.
- Máš pevný disk. Zblbne se firmware uvnitř a bude špatně řídit motorek pohánějící plotny a motorek se spálí nebo zadře.
- Jsi v letadle a zblbne se řídící počítač. Než pilot stihne reagovat jsi rozsekaný o zem.
...

Jan

0 +1-1 Je komentář přínosný?

Uznávám, to jsem řekl špatně. Nemyslel jsem to tak, že by někdo přeprogramoval MCU hlídající třeba teplotu.
Myslel jsem to tak, že HW by neměl jít zničit tím, že si třeba na PC pustíš stress test, který bude vytěžovat CPU na 100%. Nebo že si místo předinstalovaných Windows dáš Ubuntu a přehřeješ si procesor.

+1 +1-1 Je komentář přínosný?

No dříve to tak opravdu bylo, že hardware šel obtížně zničit pomocí software. Ale v dnešní době, kdy se binární bloby/firmware nahrávají skoro do každého kusu hardware je ta doba už dávno pryč.
I když i v dobách 286 existoval třeba virus, který se snažil zničit disk "kmitáním" hlaviček. Nebo v pozdější době vir co se snažil smazat bios ve flash paměti. Nejvíce se mi líbil One Half. Naprosto geniální výtvor ze Slovenska :)

0 +1-1 Je komentář přínosný?

One Half přece neničil hardware, pouze šifroval obsah disku.

0 +1-1 Je komentář přínosný?

Samozřejmě. To nic nemění na tom, že byl dobře napsán. Je to jeden z nejlepších multipartitních virů, který kdy byl napsán.

0 +1-1 Je komentář přínosný?

Fajn, takže teď se můžeme vrátit k diskuzi o šifrování a integritě dat.

0 +1-1 Je komentář přínosný?

Súhlasím. Tiež mám Mikrotik a som spokojný. Aktualizácie raz za čas. Ale bežne ide bez reštartu aj niekoľko mesiacov. Zvolil som kvôli výkonu. Konkrétne model RB2011UiAS-2HnD. Trochu drahší, ale prišlo mi vhod, že má aj gigové x5 aj 100megové x5 porty. Pripojené 2xPC, receiver, BD player, tlačiareň a jeden NAS cez 2 agregované porty a druhý backup už iba cez jeden, ale NASy už sú na samostatnom switchi HP 1810-8G, ktorý už mimochodom beží 308 dní bez reštartu. Okrem toho ešte priebežne pripájam počítače, ktoré dávam do poriadku. No a cez wi-fi 3 mobily, tablet a sporadicky 2 notebooky. No a z vonku je tiež zopár pripojení na primárny NAS. Dôležitá je hlavne stabilita. Doteraz ani raz nezamrzol.

0 +1-1 Je komentář přínosný?

> Obcas lidem instaluji routery, ale lide jsou ochotni dat tak maximalne 500-1000Kc

Asi koukali moc reklam typu "kvalita za nejnizsi cenu" a uverili jim. Kvalita stoji penize, pokud penize nemate nebo je davat nechcete, dostanete sracku. Muzete nadavat, muzete se s tim smirit, a to je asi tak vsechno co muzete. Ne, opravdu nikdo vam za par stovek nebude 10 let poskytovat updaty firmwaru zdarma.

+1 +1-1 Je komentář přínosný?

"Ne, opravdu nikdo vam za par stovek nebude 10 let poskytovat updaty firmwaru zdarma."

OpenWRT poskytuje zdarma ;-)

-1 +1-1 Je komentář přínosný?

Také je třeba rozlišovat "zdarma" a "v ceně výrobku".
Mikrotik poskytuje aktualizace taky dost dlouho.

+1 +1-1 Je komentář přínosný?
Obrázek uživatele Sob

Vic nez dost dlouho. Jediny, cemu zatim zarizli aktualizace (asi pred rokem), jsou misple zarizeni (RB1xx a RB5xx), coz jsou ty uplne stary, se kteryma zacinali pred vic nez deseti lety a ktery uz stejne zacinaly byt znatelne pozadu vykonove (hlavne RB1xx).

Na MikroTiku je sympaticky, ze system neustale vyviji, aktualizace jsou pro vsechny zdarma a i domaci routrik za par stovek ma vsechny funkce jako router za padesat tisic (az na par vybranych vyjimek a nejaky limity, na ktery stejne nelze narazit). Strasne dobre se na to zvyka, ale dalsi setkani s beznyma domacima routerama potom casto boli. ;)

+1 +1-1 Je komentář přínosný?

Spis "zdarma". Podivej se na https://wiki.openwrt.org/doc/howto/generic.sysupgrade, pak mi rekni kolik BFU zvladne ten snadny postup (= bez extra packages, ty uz jsou rocket science). Pak si vem ze hodina prace u IT shopu je zhruba tolik, co stoji novy cinsky router... takze asi tak - pro BFU opravdu OpenWRT neni zdarma.

+1 +1-1 Je komentář přínosný?

Jednoduchšie je spáchať harakiri. :-)

0 +1-1 Je komentář přínosný?

@franzzz

Ten návod, co jsi postoval není nic složitého. Pokud to ale někdo nezvládne, tak je pro něj jednodušší provést jedním příkazem upgrade systému a pak vše nastavit znova.
Takhle "složitý" je upgrade proto, že v tom návodu se počítá se zálohováním konfigurací.

0 +1-1 Je komentář přínosný?

Jednu radu v tomto směru - nepořizuj si Netgear. Ti pitomci neumějí naprogramovat IPv6. Neumí jiný prefix, než /64, na čemkoli jiném si vyláme chrup.

A nebo alternativní firmware do něj, samozřejmě. Potom musí být dostupnost alternativy jedno z kritérií výběru. Komunita kolem Netgearu dělá DD-WRT a Tomato.

+1 +1-1 Je komentář přínosný?
Obrázek uživatele RedHawk

mna by zaujimalo aky mailbox pouzivaju experti :-)
ci klasika, Microsoft, yahoo alebo Google.
a tiez ci odporucaju sifrovanie firemnych diskov :-)

0 +1-1 Je komentář přínosný?

@RedHawk

Z hlediska bezpečnosti je to celkem šumák, jaký mailbox používáš. Když si spravuješ vlastní mail server musíš se o něj starat a doufat, že jsi néco neposral v konfiguraci. Když máš mail u někoho jiného, tak tě zase může šmírovat (jak to třeba Google běžně dělá).
A pak tu jsou věci, které nemáš šanci ovlivnit. Pokud sedí útočník na drátě mezi dvěma mail servery, tak může snadno zařídit, že maily budou chodit mezi servery nešifrovaně.

Jediná jistota je šifrování a podepisování pomocí PGP nebo S/MIME. Jenomže kolik lidí alespoň jedno z toho má? Tipoval bych to na zlomky procenta.

Co se týče šifrování disků (nejen firemních, ale všech), tak je to celkem jasné - určitě šifrovat. Jenom tak se dá spolehlivě zabránit tomu, že kdokoli s fyzickým přístupem k počítači může na disk nahrát škodlivý kód. A kromě toho, každý má na počítači citlivá dat a nebo alespoň taková data, u kterých by bylo nepříjemné, aby se dostaly do cizích rukou. Vzhledem k tomu, že skoro každý procesor má AES-NI, tak není žádný závažný důvod proč nešifrovat.

-3 +1-1 Je komentář přínosný?
Obrázek uživatele PV

"Jenom tak se dá spolehlivě zabránit tomu, že kdokoli s fyzickým přístupem k počítači může na disk nahrát škodlivý kód"
Ale nepovídej. Když běží systém, má přístup k rozšifrovanému obsahu, a s ním i každý škůdce, co se do systému umí dostat.

+2 +1-1 Je komentář přínosný?

Když běží systém, tak je rozšifrovaný obsah kupodivu pouze v RAM. Takže pokud uživatel nenechá počítač odemčený, tak opravdu není způsob. Jediné, co může útočník udělat je zmrazit RAM tekutým dusíkem a pak se ji pokusit na svém stroji přečíst (jaká je asi úspěšnost?). Ale vložit vlastní škodlivý kód fakt nemůže.

+1 +1-1 Je komentář přínosný?
Obrázek uživatele PV

"pokud uživatel nenechá počítač odemčený" , tak tu stále ještě existují další PnP rozhraní a na ně navázané ovladače a služby, a v nich může být díra. Síť, USB, PCI Express. Díra může být i v té zamykací obrazovce.

-1 +1-1 Je komentář přínosný?

Pokud máš fyzický přístup k funkčnímu systému, uděláš s ním cokoliv.

+1 +1-1 Je komentář přínosný?

Přesně tak.

"určitě šifrovat! Jenom tak se dá spolehlivě zabránit tomu, že kdokoli s fyzickým přístupem k počítači může na disk nahrát škodlivý kód"

Ten blábol před chvíli, byl k smíchu. Šifrováním nikdy nezabráníš nahrání škodlivého kódu... a už vůbec podobným věcem nezabráníš, pokud útočník má fyzický přístup k počítači (a ještě k tomu během spuštěného systému).

+1 +1-1 Je komentář přínosný?

@Psycho Mantis

Víš, ony moderní šifry mimo jiné chrání i integritu. Takže škodlivý kód třeba nahraješ, ale pak to jde celkem snadno poznat.
Samotné šifrování je pro bezpečnost nutná (nikoli však postačující) podmínka.

Bohužel, většina lidí v diskuzích na DIIT jsou jen počítačoví fandové bez odborných znalostí. V tomto je třeba o hodně lepší komunita na root.cz.
Vlastně se ani nedivím, źe to nechápeš.

0 +1-1 Je komentář přínosný?

Tak to si rád poslechnu jak šifra zajistí integritu dat. Je to totiž totální hloupost. Šifra jako taková sama o sobě nikdy nezajistí integritu dat, notabene aby jsi rozlišil škodlivý kód.

Druhý odstavec jsi si klidně mohl odpustit, protože z toho vyplývá, že si též dost pleteš pojmy.

0 +1-1 Je komentář přínosný?

To je jednoduché. Blokové šifry pracují s bloky dat (např. u AES 16B), odtud také ten název. Plaintext je rozdělen na menší bloky, které jsou následně šifrovány. Pokud bys zašifrované bloky jenom tak naskládal za sebe, máš problém. Útočník sice nezjisti, jaká data v bloku jsou ani žádné vlastní nemůže přidat, zato může bloky libovolně mezi sebou přehazovat a také ví, že stejný vstupní plaintext dá stejný výstupní ciphertext.
Pak se ti může stát, že pošleš do banky platební příkaz, kde ve dvou sousedních blocích bude udedena částka |0000|8000|, ale útočník to prohodí na |8000|0000|. Místo 8 000 Kč bys měl platit 8 000 000 Kč. Tento mód šifry se nazývá ECB.

Existují ale i bezpečné módy, které určitým způsobem sousední bloky řetězí, napřílad tak, že dělají XOR šifrovaných dat prvního bloku s plaintextem druhého bloku, který se pak šifruje. XORujou se různé věci, módů je opravdu hodně (https://en.wikipedia.org/wiki/Block_cipher_mode_of_operation).
A nebo se využije se XORuje nonce a čítač s plaintextem nebo s ciphertextem nebo... Módů čítače je také spousta.

Jiné než ECB módy zajistí, že stejná vstupní data nedají stejný cipher text a také zamezí přehazovaní bloků. (vložení útočníkových vlastních bloků zabrání i ECB, protože útočník nezná klíč). V případě přehození bloků či změny přímo v bloku proces dešifrování selže a tím je jasné, že buď je špatný klíč a nebo je porušena integrita.

To co povídám není žádná teorie. Symetrické šifry jsou využívány pro zajištění integrity komunikace například v SSL/TLS, SSH, IPSEC, WPA2... Vlastně skoro všude. Asymetrická kryptografie se použije jen na autentizaci a samotná komunikace se pak šifruje symetrickou šifrou.

0 +1-1 Je komentář přínosný?

Promiň, ale to fakt neokecáš. Šifra jako taková prostě integritu dat sama o sobě nezajistí. Ano je to jeden z prostředků pro zajištění integrity dat ale sám o sobě nestačí. Můžeš psát sebedelší pojednání na to téma, ale prostě jsi svůj příspěvek formuloval špatně.

+1 +1-1 Je komentář přínosný?

Co neokecám?! Vždyť šifry se dnes běžně používají pro zajištění integrity. Otevřeš browser, zadáš google.com, proběhne TLS handshake, při kterém se asymetrickou kryptografií ověří, že komunikuješ opravdu se serverem Googlu, pak se pomocí D-H algoritmu dohodne tvůj browser a server Googlu na společném klíči pro symetrickou šifru. Dál už je veškerá komunikace šifrovaná (kvůli výkonu) pouze symetrickou šifrou. Moje otázka zní, může někdo na drátě mezi tvým browserem a serverem Googlu během této fáze (kdy se šifruje symetriskou šifrou) nějakým způsobem měnit přenášená data? Jestli ne, tak mám pravdu. Jestli tvrdíš, že ano, tak vysvětli jak. Jinak se není o čem bavit.

Jenom pro jistotu, abych nebyl osočen říkám, že jsem záměrně vynechal části jako procházení HSTS a HPKP cache, stahování CRL a dotaz na OCSP server, upgrade požadavku z implicitního http na https, ověřování certifikátového řetězu... tedy částí zcela nepodstatných pro naši diskuzi.

"Šifra jako taková prostě integritu dat sama o sobě nezajistí."
Z jakého důvodu? Jak mohu měnit data zašifrovaná například pomocí AES-CBC aniž by si toho někdo všiml?

"Ano je to jeden z prostředků pro zajištění integrity dat ale sám o sobě nestačí."
Co dalšího je podle tebe potřeba?

"Můžeš psát sebedelší pojednání na to téma, ale prostě jsi svůj příspěvek formuloval špatně."
Co konkrétně jsem měl formulovat lépe?

0 +1-1 Je komentář přínosný?

Moje reakce je k tomuto tvému výroky "Víš, ony moderní šifry mimo jiné chrání i integritu.". Na svém názoru trvám.

0 +1-1 Je komentář přínosný?

@J D

A nechrání snad? Máš zašifrovaný celý disk (kromě boot sektoru). Zapneš počítač, zadáš heslo, spustí se systém. Vše je v pořádku. Pak zase počítač vypneš a jdeš domů. V noci zlá uklízečka disk vytáhne a část dat přepíše. Ty druhý den přijdeš, zapneš počítač, zadáš heslo, ale šifrování buď selže a nebo dostaneš jako výsledek nesmyslná dat. Tak jako tak poznáš, že je něco zle.

0 +1-1 Je komentář přínosný?

>>A nechrání snad?
Presne tak, nechrani. Toto muze nastat v pripade pouziti CBC modu, ktery se prave ale na sifrovani disku nepouziva, protoze kvuli porusenemu 1bitu na zacatku disku prijdes o vsechna data. Na podobne veci se pouzivaji mody, ktere z blokove sifry udelaji proudovou (napr. OFB). V tom pripade se rozsifruji vsechna data i pres to, ze je cast z nich zmenena/poskozena. A tedy realne se zadna integrita sifrou nezajisti ;-)

+1 +1-1 Je komentář přínosný?

@Itchy

No tak teď jsi samozřejmě blbost. Přitom se jen stačilo podívat na obrázek, jak funguje OFB. https://upload.wikimedia.org/wikipedia/commons/thumb/f/f5/OFB_decryption...
Docela jasně je tam vidět, že výstup jednoho bloku jde do bloku následujícího. Je celkem logické, že změna v předcházejících blocích zapříčiní nečitelnost následujících.

Kromě toho, u šifrování disků se spíš používá XTS.

S určitým počtem chyb si dokážou poradit nižší vrstv pomocí samoopravných kódů a pak samozřejmě platí, že důležitá data musíš zálohovat.

Takže ano, šifrování zajišťuje integritu ve smyslu ochrany před vložením škodlivého kódů. Při změně bloku útočníkem dešifrování selže a nebo dá nesmyslná data. Tak jako tak, útočník na disk škodlivý kód nenahraje. A to platí pro všechny módy (kromě ECB, kde může bloky zduplikovat) i pro counter módy.

-1 +1-1 Je komentář přínosný?

>>No tak teď jsi samozřejmě blbost. Přitom se jen stačilo podívat na obrázek, jak funguje OFB.
Koukni na ten obrazek jeste jednou ;-) Zadna cast plain textu nikaj neovlivnuje dalsi sifrovani ;-)

>>Docela jasně je tam vidět, že výstup jednoho bloku jde do bloku následujícího.
Ano, jednoho bloku, ale bloku ceho? Blokova sifra se zde pouzije jako generator pseudonahodnych bitu, ktere se pote xoruji na plain/cipher text.Tedy Ci = Pi + RBi, kde Ci jsou zasifrovana data na pozici "i", Pi plain text na pozici "i", RBi je stream nahodnych bitu generovany blokovou sifrou v modu OFB na pozici "i" a "+" znaci XOR.

RB(i) pouzije jako "inicializacni vektor" hodnotu RB(i-1), ktera neni nijak ovlivnena plain textem ;-)
RBi je definovane POUZE pomoci pouzite sifry, inicializacniho vektoru, klice a konkretni pozice!

Maly priklad:
RBi na nejake pozici "i" je napr: 1010 1011 0011 0111
Pi na teto pozici je treba "ab", tedy v ASCII binarne: 0110 0001 0110 0010
Ci bude Pi + RBi tedy: 1100 1010 0101 0101

Nyni prijde k memu pocitaci zakerna uklizecka a zmeni 4 bity v mem zasifrovanem bloku Ci:
1100 1010 0101 0101 -> 0011 1010 0101 0101
C2i: 0011 1010 0101 0101
RBi je stejne jako pro sifrovani, tedy: 1010 1011 0011 0111
Pi = C2i + RBi = 0011 1010 0101 0101 + 1010 1011 0011 0111
Pi = 1001 0001 0110 0010, tedy prevedeno zpet do textu v zavislosti na kodovani muze byt "�b"

Muj text se tedy zmenil a pokud se jednalo o zaznam v souboru vetsim nez malem, tak je prakticky nulova pravdepodobnost, ze si toho nekdo vsimne. Zadna kontrola integrity se tedy nekona a samotnou sifrou nijak zajistena neni ;-)

+2 +1-1 Je komentář přínosný?

Ale o takové ochraně integrity jsem se nebavil. Myslel jsem to tak, že útočník nemůže na zašifrovaný disk vložit vlastní škodlivý kód. Ano, může data na disku změnit, ale nijak si tím nepomůže. Data projdou dešifrováním a buď samotné dešifrování selže a nebo z něj vylezou nesmysly. Takže data sice může uživatel ztrati, ale nemůže být ohroženo jejich utajení. Už to chápeš?

-1 +1-1 Je komentář přínosný?

>>Ale o takové ochraně integrity jsem se nebavil.
To je pak tezke, kdy si kazdy pod pojmem "integrita dat" predstavujeme neco jineho :-)

>>Myslel jsem to tak, že útočník nemůže na zašifrovaný disk vložit vlastní škodlivý kód.
No toto samozrejme neni mozne ani pro ten tebou kritizovany mod ECB ;-)

>>Ano, může data na disku změnit, ale nijak si tím nepomůže.
Souhlasim.

>>Data projdou dešifrováním a buď samotné dešifrování selže a nebo z něj vylezou nesmysly.
Desifrovani na urovni sifry muze selhat prakticky jen v pripade "blokovych modu" pri desifrovani posledniho bloku, kde nevyjde spravne padding, jinak neselze. Proc? Protoze se nijak nekontroluje integrita dat ;-) To zda je vysledkem nesmysl muzes overit jen a pouze nejakou kontrolou integrity. Tedy bud si nekdo vsimne, ze je neco spatne, nebo se data overuji vuci znamemu CRC nebo hashi.

>>Takže data sice může uživatel ztrati, ale nemůže být ohroženo jejich utajení.
Michas pojmy "utajeni" x "integrita" a dalsi. Nikdo nerozporuje, ze spravnym pouzitim silne sifry se silnym klicem neni obsah dat utajen. Pouze rozporujem to, ze samotnou sifrou se zadna integrita dat nezajisti.

>>Už to chápeš?
Ja to chapu od zacatku :-)

0 +1-1 Je komentář přínosný?

"No toto samozrejme neni mozne ani pro ten tebou kritizovany mod ECB ;-)"

U mnou kritizovaného ECB sice nejde vložit vlastní kód, ale útočník může stávající bloky na disku libovolně přehazovat a nebo je kopírovat na místo jiných, ale to samozřejmě zmiňuji.
A možnost přehodit některé bloky dat, aby se po dešifrování zachoval jejich původní význam může být pro útočníka cenné. Neříkám, že zrovna u zašifrovaného HDD, ale jinde...

"Protoze se nijak nekontroluje integrita dat ;-) To zda je vysledkem nesmysl muzes overit jen a pouze nejakou kontrolou integrity. "
Budeme-li se bavit o integritě dat ve smyslu, źe opravdu nebyla změněna, tak minimálně jeden mód takový druh integrity poskytuje a tím módem je GCM.

"Michas pojmy "utajeni" x "integrita" a dalsi."
Nemíchám, jenom se mi tam vytratila větička. Bylo to myšleno tak, že nemůže na disk nahrát malware, který by utajovaná data po dešifrování disku uživatelem a nabootování OS vyzradil.

"Ja to chapu od zacatku :-)"
Evidentně ne. ;-)

0 +1-1 Je komentář přínosný?
Obrázek uživatele RedHawk

urcite?
sifrovanie sa snazi eu zakazat.
kazdy tlaci na cenu, cize mnohi pouzivaju freemail sluzby google, microsoftu a podobne

druha vec je sukromna osoba ako ja, ktora pouziva free sluzbu, ale na dolezitejsiu postuurcite nie gmail ci outlook.
ja pouzivam mailfence a proton mail.

0 +1-1 Je komentář přínosný?

Bohužel jsem nikde nenašel podrobnější popis, jak mailfence šifruje. Ale tipnul bych, že mailfence zajišťuje pouze iluzi bezpečí... Protonmail je mi sympatičtější tím, že uveřejňuje podrobnosti o fungování.

Ale opět, jde spíše jen o iluzi bezpečí. Alespoň teoreticky chodí maily bezpečně pouze v rámci Protonmailu. Když je chceš poslat někomu mimo službu, tak musíš mail buď poslat nešifrovaně, protože protistrana šifrování Protonmailu neumí. Druhou možností je poslat odkaz do nějaké "schránky" u Protonmailu, kde si uživatel zprávu po zadání hesla přečte. Jenomže pak zase potřebuješ bezpečným způsobem předat klíč. Ve výsledku to pak vyjde nastejno, jako kdybys gmailem poslal zašifrovaný soubor a příjemci pak jen nějak doručil klíč.

Protonmail sice používá nějakou obdobu PGP a tvrdí, že k tvému privátnímu klíči se nedostane, což klidně může být i pravda... Ale... Šifrování zprávy se dělá pomocí Javascriptu, který si při každém připojení taháš ze serverů Protonmailu (stejně jako zašifrovaný privátní klíč). Stačí aby Protonmail jednoho krásného dne ten JavaScript upravil tak, že heslo pro rozšifrování privátního klíče pošle zpět na své servery. A jelikož pro zprávy Protonmail nemá a ani z principu nemůže mít forward secrecy, přečtou si všechno, co ti kdy přišlo.
Kromě toho, psát kryptografie psaná v JS je už samo o sobě nápad na palici.

Jediný alespoň trochu bezpečný způsob komunikace je emailový klient (ne ve webovém prohlížeči) a k tomu PGP nebo S/MIME. Bohužel ani tady nejde forward secrecy. Jestli on nakonec nebude nejlepší na tajnou komunikaci protokol Signal a nad ním postavené aplikace.

To, že používáš Protonmail je sice lepší než používat Gmail, ale zase to není lepší o moc. Pořád jsi závislý na libovůli provozovatele. Spíš tedy žiješ v iluzi bezpečí.

+1 +1-1 Je komentář přínosný?

Měsíc reklamní masírky od Avastu?

0 +1-1 Je komentář přínosný?

Proc tento clanek neni oznacen jako PR sdeleni ?

0 +1-1 Je komentář přínosný?

Protoze se o zadne PR nejedna. Jednoduche rozliseni, pokud to nedokazes s psaneho textu, ze u PR nejsou diskuze. Tohle je jen uvod a informace o tom, ze cely pristi tyden budou chodit pravidelne PR sdeleni. :-D

+1 +1-1 Je komentář přínosný?

Já bych měl dotaz na pány z Avastu, jestli si myslí, že je dobře, že jejich antivir při skenování HTTPS dělá v podstatě MITM "útok". Nejen že pak antivir uživatelům neumožňuje zkontrolovat původní certifikát, ale také zcela ignoruje HPKP hlavičky a nejspíš dodnes nepodporují OCSP stapling.

+1 +1-1 Je komentář přínosný?
Obrázek uživatele Sob

Na jednu stranu je to samozrejme spatne. Ale pokud cilova skupina stejne netusi co je to HPKP nebo certifikat, nemusi to nakonec byt uplne spatna vec. Protoze riziko nejakyho skutecnyho pokrocilyho MITM je pro ne podstatne mensi nez sance, ze si pres https stahnou nejaky svinstvo, ktery MITM provadejici antivir muze vcas chytit. :)

+1 +1-1 Je komentář přínosný?

Cílová skupina nemusí tušit, co je HPKP. V případě, že nemají antivir, co jim dělá MITM, je na špatný hash upozorní browser a dál je nepustí. Totéž bych očekával od Avastu.
Další věc je, že Avast si nainstaluje do systému další CA, přičemž její privátní klíč je uložen na disku, což není úplně ideální.

+1 +1-1 Je komentář přínosný?
Obrázek uživatele Sob

Antivir zase taky nebude uplne blbej, aby pustil vsechno. Nemam prehled, co presne kterej dela nebo nedela, ale obecne neni problem, aby k bezpecnosti pristupoval stejne jako prohlizec, kontroloval vsechno co se da a tak. Napr. kdyz nedavno GlobalSign na chvili rozdrbal revokaci certifikatu, tak MITM provadejici NOD rval spolehlive. Pokud ma v tomhle Avast nejaky nedostatky, je to urcite spatne.

Slo mi spis o to, co je obecne vetsi riziko, skutecnej MITM utok, nebo treba nejakej peknej exploit na Flash, jehoz aktualizaci uzivatel rozhodne neresi a automaticka miva neprijemny prodlevy? Pokud antivir MITMuje, muze takovou vec chytit driv, nez to dorazi k prohlizeci.

0 +1-1 Je komentář přínosný?

Ano, není to problém, ale Avast to prostě nedělá. OCSP stapling je nezajímá, HPKP je pro ně sprostě slovo... Abych byl spravedlivý, tak spoustu browserů v minulosti bylo v klidu při nedostupnosti CRL a OCSP. Jestli se to zlepšilo, to nevím.

Bohužel dnes je potřeba pro bezpečnost mít vypnutý javascript (což rozesere 90% stránek), všechno jako flash a silverlight, blokovat u každé stránky nespočet externích zdrojů, hrabat se v nastavení browseru... Mě už třeba toto přestalo bavit. Takže jeden dobře upravený browser na kritické věci. Na normální weby chodím přes browser ve virtuálním stroji, který se pravidelně obnovuje.

+1 +1-1 Je komentář přínosný?

Bezpečnost není radno podceňovat to je určitě pravda. Trochu mi však připadáš s těmi radami jako někteří "přemoudřelci" co chodí k nám na soom.cz a kážou ty svoje pravdy.
Určitě použitím virtuální mašiny svoji bezpečnost významně zvýšíš. Stejně žádné absolutní bezpečnosti nedosáhneš. Protože nic takového prostě není.

0 +1-1 Je komentář přínosný?

@J D

Na soom skoro nechodím, nic moc zajímavého tam není, vše co se tam objevuje bylo už tisickŕat popsáno o hodně lépe jinde.Poslední dobou tam ani nejsou nové články. Kromě toho je mi .cCuMiNn. svým vystupováním nesympatický. Hraje si na bezpečnostního guru, ale přitom se svými znalostmi zasekl někdy v době před 10 lety. Nejvtipnější na tom je, že samotný soom nemá dobře zabezpečený.
Docela dobře jsem se také bavil, když oznámil, že objevil 0-day zranitelnost u v systémech většiny eshopů. Nakonec to dopadlo tak, že neobjevil nic, chyba byla popsaná už předtím jinými.

Kolem soomu je zvláštní komunita. Navenek se tváří, jako hackeři z filmů z 90 let, ale spíš mi přijdou jako script kiddies.

No, zpět k tématu:
"Trochu mi však připadáš s těmi radami jako někteří "přemoudřelci" co chodí k nám na soom.cz a kážou ty svoje pravdy."
Nevím, jak té větě mám rozumět. Buď řekni že souhlasíš a nebo že ne, ale uveď argumenty. Třeba takový JavaScript je sakra nebezpečná věc.

PS: Napjatě očekávám tvoji reakci, kde mi vysvětlíš, jak šifrování nechrání integritu dat. :D

0 +1-1 Je komentář přínosný?

Nevím jestli znáš Romana osobně, je to prostě fajn člověk. To že udělal pár přešlapů je pravda a s tou 0-day zranitelností to opravdu byla hloupost, ale kdo nedělá chyby. Bohužel soom je jenom takový pohrobek protože prostě není čas. Byly tam sice určité neshody, ale většina lidí odešla hlavně z důvodu že už nestíhali. Každý si totiž časem uvědomí, že ten nájem a rohlíky je nutné zaplatit.

To že javascript může být nebezpečný je pravda, ale je na něm postaven celý moderní web. Když jej vypneš dost hrozeb eliminuješ, ale spousta jich zůstane. Síťový subsystém v dnešních OS je tak složitý, že kdoví kolik je v něm chyb hlavně když se používají různé zero-copy techniky pro zvýšení síťového výkonu. Podobně použití virtuální mašiny není samospásné jak se snažíš naznačovat.

+1 +1-1 Je komentář přínosný?

@J D

Pravda, neznám osobně, tak nebudu dál hodnotit. Jenom dodám, že tehdy se mi velmi zprotivil. V článku se vztekal, že psal na support firem, co měly zranitelné weby a všichni ho poslali do... a nic neopravovali. Ale když jsem viděl, jakým způsobem jim psal, tak se nedivím. On jim chtěl říct o té zranitelnosti, když přijdou na (asi) placenou přednášku.

JavaScript je zlo! Už jen to, že dokáže odesílát data na lokální sít. K čemu je taková blbost jakémukoli webu dobrá? Jo a taky se s pomocí Javascriptu výborně kradou hesla... No a nejlepší je, když se JS využije spolu s nějakou zero-day zranitelností.

Ano, moderní web je bez JS v pr... Je otázka, jestli je to dobře. Bohužel vývoj HTML a CSS stagnoval, HTML5 a CSS3 nepřináší nic zásadního. Proto vznikly blbosti typu JavaScript.

Nevím, jak to se síťovým subsystémem myslíš, já bych řekl, že je poměrně jednoduchý v ktérémkoli OS.

-1 +1-1 Je komentář přínosný?
Obrázek uživatele Sob

Kdyz on uzivatel bezpecnost neoceni. Pokud prohlizec A odmitne pripojeni v kazdym pripade, kdy nemuze overit certifikat (myslim revokaci) a prohlizec B k tomu pristoupi s vetsim nadhledem a pripojeni umozni, co si asi beznej uzivatel vybere? B je jasna volba, protoze on na ten web proste chce...

U prohlizece pro muj relativne klidny spanek zatim staci beh pod vlastnim uctem. Dokonaly to neni, virtualni stroj by byl lepsi a od zbytku site totalne izolovanej fyzickej stroj jeste vic. Jenze kazdy takovy zvyseni bezpecnosti snizuje pohodli a to nema rad nikdo. A nakonec zivot je plnej rizik, ani prejiti pres silnici neni stoprocentne bezpecny a taky chodim do obchodu, misto abych si nechal vsechno bezpecne dovyzt. ;)

+1 +1-1 Je komentář přínosný?

@Sob

Ano, pravda. Důležité je pohodlí. Já zase tak cenná data nemám, abych měl počítač totálně izolovaný od internetu, ale zárověn ne tak bezcená. Spustit virtuální stroj pro mě není nijak moc nepohodlné.

Trendy ve vývoji webu se bohužel dost posunuly. Dnes je úplný standard, že stránka načítá zdroje z deseti různých domén a všude je plno JavaScriptu, bez kterých frikulínštní webaři nedají ani ránu. Možná byla celá technologie webu špatně navržená. Možná vývoj deformují webařské "lopaty", které dovedou jenom sázet kód a o bezpečnosti nemají potuchy.

Ani nemluvím o tom, že celý systém certifikačních autorit má velké mezery a technologie, které by to mohly zlepšit mají slabou podporu.
Osobně mi u většiny stránek ani tolik nevadí, že browsery nekontrolují CRP a OCSP. Ale bohužel, dělají to pro všechny stránky i pro ty, na kterých mi záleží.

+1 +1-1 Je komentář přínosný?
Obrázek uživatele Sob

On ten virtual asi neni spatnej napad. Prvne to na me pusobilo jako overkill, ale pokud by se to jednou nastavilo a pekne zautomatizovalo, zadny nepohodli by byt nemuselo. Prohlizec stejne zapnu hned po spusteni pocitace a vypnu zase s pocitacem, takze pockat o pul minuty dyl na virtual by problem nebyl. A hodit prohlizec, aby se tvaril jako normalni okno v hlavnim systemu se taky da. Nedostupnost hlavniho filesystemu neni problem ale vyhoda a pripadny stahovani lze resit jednim sdilenym adresarem. A nutnost, aby se pripadnej skodlivej kod musel prokousat jeste navic ven z virtualu, mu rozhodne zivot zkomplikuje. A pokud by se to jeste cely pravidelne promazlo (aby skodlivej kod nemohl dlouhou dobu tise cekat na prilezitost), tak by musela byt dira v prohlizeci a zaroven ve virtualizaci ve stejnou dobu, aby to mohlo neco udelat. S tim asi nekdy zaexperimentuju.

K aktualnim trendum pri vyvoji webu se radsi nebudu vyjadrovat, to by byl dlouhej monolog a nakonec by me stejne akorat nekdo oznacil za hatera. ;)

+1 +1-1 Je komentář přínosný?

Tak k dnesnim webovym strankach je treba se chovat jako k virum - hlidat co kde ukladaji, zda nesezerou cely vykon PC, automaticky rusit prekryvajici prvky. Blby je, ze prohlizece neumoznuji trochu rozumne nastaveni, nedavno jsem napriklad patral po trvalem vypnuti oznameni ve FF, coz Chrome normalne ma, FF bohuzel jen v about:config. Sprava Cookies je taky jen rucni. Hlavne ze to i na 1KB textu bude za chvili chtit i7.

0 +1-1 Je komentář přínosný?

@Noxik

A nejsmutnější je, že když už v nastavení něco upravíš, tak je velká šance, že ti to příští aktualizace přepíše.

0 +1-1 Je komentář přínosný?

No a když si uděláš místo virtuálního stroje jail, tak máš srovnatelnou bezpečnost a nemusíś čekat na spuštění virtuálního stroje. Ale zase přijdeš o bunus odstínění browseru od hostitelského systému a hardwaru, takže jsi snáze identifikovatelný.

0 +1-1 Je komentář přínosný?
Obrázek uživatele RedHawk

robia to vsetci, nielen avast

0 +1-1 Je komentář přínosný?

@RedHawk

Vím, ale Avast to má asi nejvíc doprasené.

0 +1-1 Je komentář přínosný?

No kdyz uz se tu resi bezpecnost od Avastu, zajimalo by me, jake heslo na WiFi je podle tohoto programu bezpecne. Hlasilo mi to slabe heslo i u 9mistneho chuchvalce pismen a cisel, pritom kdyz jsem pridal dalsi stejne znaky, tak uz to najednou bylo ok. Navic ikdyz je program v Cestine, zrovna tuhle cast to hlasi v Anglictine, k nema radosti ceskych uzivatelu. Ono Avst se obecne stale vice chova jako cerna skrinka, kdy nikdo nevi, co se vlastne deje uvnitr a co je za problem.

+1 +1-1 Je komentář přínosný?

@Noxik

Kolem tvorby hesel je spousta mýtů. Správnou techniku tvorby hesel vystihli v mém oblíbeném xkcd komixu. https://xkcd.com/936/
Řádově bezpečnější než jakékoli heslo je pak autentizace privátním klíčem, tedy v případě WiFi EAP-TLS, ale s tím je docela dost práce a na doma to je overkill.

+1 +1-1 Je komentář přínosný?

Zakladni problem tvorby hesel jsou tyto tri zasadni pozadavky:
1) Heslo musi mit urcitou delku a slozitost
2) Heslo se musi cas od casu menit a pouzivat ruzna hesla na ruzne sluzby
3) Heslo by uzivatel nemel mit napsane na monitoru.
....
.... jen malokdo da alespon dva. Proto je v praxi nutny nejaky rozumny password manager. Ne ze bych o nejakem vedel.

0 +1-1 Je komentář přínosný?

V této souvislosti mi přijde takto plytký článek o bezpečnosti jako zástěrka před většími problémy jako jsou chytré televize, smartfony Samsung a další a absurdní neochota používat linuxové distribuce. Takže: Kdo chce mít nikoli pocit bezpečnosti, ale být zabezpečen, tak jej čeká přechod na některou z lěhčích a méně grafickým DE provázaných linuxových distribucí a v ní dodržování několika jednoduchých principů bezpečnosti. Dále, e-maily s citlivým obsahem mají být šifrované, minimálně dva webové e-maily to plně zajišťují (unseen.is a protonmail.com), na poštovních klientech je to nutno nastavit. Ohledně smartfonů je snadně povypínat veškerou konektivitu včetně datové a zapínat ji pouze na nezbytně nutnou dobu a v případě wifi pouze na zabezpečeném hotspotu. Chytrou televizi potřebují pouze ovečky, lidé ji k ničemu nepotřebují a zapínají ji pouze příležitostně. Samsung má dohodu s CIA o zasílání uživatelských dat bez vědomí uživatelů - věřte, nevěřte, ale prověřujte a se Samsungem (smartTV, smartfony) raději nic nemějte. Jinak tu jsou nástroje zabezpečení sítě, nejvíce jich je opět v linuxu. Některé aplikace vám na smartfonech samy odpojí konektivitu a na klik opět vše zapojí. Pozor na kameru, pokud tu na selfie považujete správně za bezpečnostní riziko, tak její čočku jednoduše přelepte. To není žádný výmysl Hollywoodu, to jsou tvrdá fakta. Svět je řízen a probíhá boj mezi těmi lepšími a těmi horšími o naše duše (identity). Proč je asi tolik reklamy na ty nejméně zabezpečené produkty?

0 +1-1 Je komentář přínosný?

@Petr Ježek

Služby jako Protonmail a unseen.is nabízí spíše iluzi bezpečnosti, jak jsem popsal v komentáři výše.

"Ohledně smartfonů je snadně povypínat veškerou konektivitu včetně datové a zapínat ji pouze na nezbytně nutnou dobu a v případě wifi pouze na zabezpečeném hotspotu."
A to je dobré k čemu?

0 +1-1 Je komentář přínosný?

Pro psaní komentářů se, prosím, přihlaste nebo registrujte.