Diit.cz - Novinky a informace o hardware, software a internetu

Diskuse k Unigine Valley 1.0 - další multiplatformní benchmark

bez problemov benchmarky od unigine pustam aj na kartach radeon HD3xxx,samozrejme v DX9 kedze DX10 v benchmarku nieje

+1
0
-1
Je komentář přínosný?

No na tom jsem se taky zarazil ATI-HD4xxx a ATI-HD3xxx a Intel-HD3000 jsou po strance DX stejny. Takze absenci ATI-HD3xxx rady nejak nechapu 3870 strci ten Intel do kapsy.

+1
0
-1
Je komentář přínosný?

Hm, me nejvic teda zarazi to, ze ty binarky nejsou podepsane .... vubec se mi nechce poustet nejaky balast od firmy, co nema par korun na certifikat ....

+1
0
-1
Je komentář přínosný?

I tech par korun se musi umet vydelat...

+1
0
-1
Je komentář přínosný?

Nejaky vyvojar da dohromady software za jehoz certifikaci by mel zaplatit jen proto aby si ho nejaky kritik mohl zdarma stahnout a pouzit?
Nepripada Vam to divne?

+1
-2
-1
Je komentář přínosný?

Gratuluji, úspěšně jsi podlehl masáži spočívající v přesvědčení BFU, že co není podepsané, je balast a proto by to člověk vůbec neměl spouštět, aby to náhodou nevrátilo jeho krvelačné prapředky zpátky mezi živé.

+1
-2
-1
Je komentář přínosný?

Kulaté razítko od specializovaného odborníka bylo vždycky ukazatelem kvality :D

+1
0
-1
Je komentář přínosný?

Podepsany software je hlavne k tomu, aby s nim nikdo nemanipuloval. Zvlaste pak, kdyz se to stahuje z torrentu a podobne ze? Navic jasne identifikuje toho, kdo to vyrobil.

+1
0
-1
Je komentář přínosný?

Na to existují elegantnější nástroje než nějakej pochybnej certifikát.

+1
0
-1
Je komentář přínosný?

Napriklad? Necham se poucit.

+1
+1
-1
Je komentář přínosný?

Co třeba kontrola integrity dat po stahování a další kontrolní součty? Stačí srovnat s číslem originálního distributora.

+1
0
-1
Je komentář přínosný?

Jenže to by ta stránka s těmi kontrolními součty musela být za ssl. A jsme opět u těch certifikátů. Mnohem lepší metodou je použití gpg (vydavatel podepíše balíček svým gpg klíčem a uživatel si to ověří -- standard u linuxových distribucí).

+1
0
-1
Je komentář přínosný?

PGP je uplne to same, nezarucuje vubec nic, pokud klice neprirazuje nejaka centralni organizace.
Jedina spolehliva moznost je digitalni podpis aplikace od duveryhodne CA ... o tom by snad, na takto technickem IT webu, nemela byt rec:o)
Samozrejme, ze ten certifikat neco stoji, jsou to megaprehnane prachy, ale zas az tak extremni to neni ... muze si to dovolit i jednotlivec. Navic se snad da pak pouzit v CR k podepisovani dokumentu, kdyz se to zakoupi nejak vyhodne dohromady s tim pro podepisovani SW. Za to, ze tam nekde maji server, ktery semtam vygeneruje klic a semtam overi noveho uzivatele, jsou to nehorazne prehnane prachy, ale neni to ani zdaleka nedostupne. U firem by to mela byt naprosta samozrejmost, ze podepisou sve veci .... proto me to u toho unigine naprosto zarazi (nemaji podepsane nic, co jsem si od nich stahl.....) a je to megalamerina!!!
A proc certifikat? Neveril bych, ze to zrovna na CDR budu vysvetlovat WIFTovi:o) Certifikat sam o sobe nezarucuje bezpecnost SW, ale zcela zarucuje to, ze se souborem nebylo manipulovano a pochazi od toho, kdo je pod nim podepsany. A tim podepsanym je konkretni, pravne dohledatelna osoba nebo subjekt. Kdyz nekdo podepise nejaky vir, tak je jeho certifikat okamzite revokovany, nikdy uz dalsi nedostane a jelikoz se jedna o konkretne dohledatelnou osobu, tak se muze obavat i nejakeho trestniho stihani ..... takze pro me, za certifikaty, 100% ANO .... cena je prehnana? Ano! Ale ma to smysl a vyplati se to? Na 100%!!!
Ten unigine jsem tahal ze vsech dostupnych zdroju a porovnaval, jestli je to fakt ono, zkratka jsem nemohl uverit, ze to neni podepsane ..... stale mam pocit, ze je to nejaka levota, proto jsem to dal jenom do vmwaru:)

+1
0
-1
Je komentář přínosný?

"nezarucuje vubec nic, pokud klice neprirazuje nejaka centralni organizace"

LOL

Přiznejte se, že vy jste nastrčený komik pro pobavení ostatních?

"od duveryhodne CA"

A to je konkrétně která? Verisign? Comodo? DigiNotar? TurkTrust a ty desítky dalších? Důvěryhodná CA neexistuje. Pouze existují ca, u kterých se to neprovalilo.

"Navic se snad da pak pouzit v CR k podepisovani dokumentu, kdyz se to zakoupi nejak vyhodne dohromady s tim pro podepisovani SW."

Což platí pouze pro kvalifikované certifikáty od třech akreditovaných autorit (ICA, Postsingum, E-Identity). Podepsaný software certifikáty od těchto autorit by vám byl ve světovém měřítku k ničemu, protože tyto CA nejsou v prohlížečích.

Zkrátka a dobře, model PKI nefunguje. Aktuálně je to pouze dojička na peníze a umělý pocit bezpečí.

Btw za rok přes můj stůl projde několik desítek certifikátů za šílené peníze. Víte co je nejpikantnější? Že mě žádný zástupce certifikační autority nikdy neviděl. Ověření je nulové, certifikát vydají komukoliv na cokoliv (konkrétně třeba Thawte za 1700kč). Jediná certifikační autorita, kde jsem skutečně fyzicky ověřen je CACert.org a tím je to pro mě jedna z nejdůvěrychodnějších autorit (tedy kromě té mé vlastní). "Samozřejmně" není v prohlížečích. Nenechají se připravit o velký bussines, že jo.

GPG je postaveno na úplně jiných pricipech.

+1
-2
-1
Je komentář přínosný?

Kdyz se zada o certifikat, tak minimalne je potreba overeni kreditni kartou ..... ano, za ty prachy by ke me mel prijit nejaky clovek, to je na jinou diskuzi.
Kazdopadne to zarucuje aspon to, ze je ta kreditni karta prava, coz je docela spolehlivy udaj o majiteli ..... PGP nezarucuje ABSOLUTNE nic ... kdyz budu chtit, muzu si vyblit tri prdele PGP certifikatu .... a co to jako dokaze??? Vzdy musi byt nejaka centralni autorita.

Duveryhodna CA je takova, ktera je mezi duveryhodnyma CA v pocitaci ... a nejlip (vlastne jak jinak), kdyz je tam od zacatku, coz ty vyse zminovane jsou.

Je to samozrejme dojicka na penize, o tom zadna .... ale umely pocit bezpeci to neni. Typickym zastupcem umeleho pocitu bezpeci je open source ... Kdyz pustim program, ktery je podepsany, tak pro me osobne bude daleko duveryhodnejsi nez nejaky nepodepsany. Uz jenom proto, ze programator onu sumu zaplatil a dal vsanc svoje osobni udaje. Tohle ovsem neplati u ostatni haveti, kde by byl certifikat okamzite revokovan a autor potencialne stihan ... kazdopadne by uz zadny dalsi certifikat nedostal ..... a wowowotomtoje!

+1
0
-1
Je komentář přínosný?

"Kdyz se zada o certifikat, tak minimalne je potreba overeni kreditni kartou"

Muzu se jen tak ze známosti zeptat, o kolik certifikátů jsi zažádal (vygeneroval žádost a nainstaloval na server)? Já za chvíli budu slavit stovku. Ani jednou to nebylo zaplacené kartou (což mě sice štve, celou věc by to jen urychlilo, ale to je teď vedlejší). Té autoritě je úplně jedno, od koho dostane peníze.

Jen pro info, aby si i ostatní udělali představu, jak to probíhá a jaká je to asi tak bezpečností záruka. Požádáte o certifikát na doménu heronovo.cz, vygenerujete žádost, a jediné ověření proběhne tak, že na neco@heronovo.cz přijde email (slovy email, nešifrovaný, nepodepsaný, veřejně čitelný email), kde se klikně na approve. Mezitím tedy zaplatíte již zmíněných 1700kč. na rok. Kdokoliv, kdo se může dostat k poště nějaké domény si může udělat zcela platný ssl certifikát. Důsledky nechám na laskavém posouzení. ;-)

"Duveryhodna CA je takova, ktera je mezi duveryhodnyma CA v pocitaci ... a nejlip (vlastne jak jinak), kdyz je tam od zacatku, __coz ty vyse zminovane jsou__."

To už si snad děláš legraci ne? Ten seznam není vůbec náhodný, to je seznam autorit, které měli v minulosti průser jak mraky.

Verisign vydal někomu cizímu certifikát na *.microsoft.com a ten někdo potom poslal do světa závadný software (ale krásně podepsaný). Dodnes je na to ve Windows památka a přesto že už tam dávno být nemusí, tak stále tam ty revokace jsou.

http://en.wikipedia.org/wiki/Verisign#2001_Code_Signing_Certificate_Mistake

Někdo cracknul Comodo a udělal si certifikáty na www.google.com apod.

http://blog.mozilla.org/security/2011/03/25/comodo-certificate-issue-fol...

DigiNotar, opět *.google.com a další.

http://blog.mozilla.org/security/2011/08/29/fraudulent-google-com-certif...

No a zatím poslední TurkTrust. Opět *.google.com a *.android....

http://www.root.cz/zpravicky/turktrust-subca-vydala-falesne-certifikaty-...

Takových případů jsou desítky ročně, ovšem jen některé mají globální dopad.

Ani jedna z těch uvedených autorit není ani omylem důvěryhodná. Všechny (no možná kromě TurkTrustu) jsou v těch tvojích slavých Windows. JInými slovy ten seznam důvěryhodných autorit je k ničemu. Kdokoliv si může pořídit libovolný certifikát. A když to nejde u jedné autority, tak u druhé to projde.

Jak z toho ven je jasné. Nevěřit slepě nějakému seznamu CA (kde jsou mimo jiné velmi ochotně přidávané i statní ca), ale dělat to třeba po vzoru distribucí linuxu (což ale neplatí jen zde). Mít veškerý software podepsaný certifikátem distribuce a při instalaci balíčků ničemu jinému nevěřit. Zkrátka gpg. Apple jde teda ještě o kousek dál a trochu jinou cestou, ale to už přesahuje tento komentář.

"PGP nezarucuje ABSOLUTNE nic ... kdyz budu chtit, muzu si vyblit tri prdele PGP certifikatu .... a co to jako dokaze???"

Poněkolikáté píšu GPG, ale když je někdo slepej... Ano, můžeš si vygenerovat neomezené množství gpg párů, ale budou ti naprosto, ale naprosto k ničemu, protože ti je nikdo nikdo nepodepíše. GPG funguje na triviálně jednoduchém principu. Mlj klíč podepíše mých 100 známých (kteří mě fyzicky znají, vědí kdo jsem apod) a když dokument podepsaný mým klíčem dorazí k tobě (nikdy jsme se neviděli), tak se podíváš, kdo mi to podepsal, uvídíš tam svých 20 známých (btw z teorie grafů plyně, že libovolní dva lidé na planetě jsou propojení přes 7 lidí, takže s důvěrou v gpg by neměl být problém) a už to mu můžeš věřit.

Tohle u PKI úplně chybí a centrální autority se ukázali jako zcela nedůvěryhodné.

+1
0
-1
Je komentář přínosný?

Ver si cemu chces .... ja jsem 100x opatrnejsi u veci, co neni podepsana ... tecka!
Povazuju za lamerinu, kdyz takova velka firma nepodepisuje svuj software ...... tecka! I kdyby to aspon podepsali vlastnim certifikatem, ale ani to neudelali ....
Jinak PGP je snad to same co GPG (krom toho, ze to prvni G znamena GNU, coz zavani linuxem a tudiz to museli o 100% obratit .... aspon nazev, takze ne PGP, ale GPG:o) LOL

+1
+2
-1
Je komentář přínosný?

Zdravim,
neudrzel jsem se a kvuli reakci jsem si zridil ucet na diit :) Ackoliv pomerne pekne ukazujete na problemy, ktere PKI ma i s priklady, je DOST odvazne a dle meho i mylne generalizovat to takto:
"Jinými slovy ten seznam důvěryhodných autorit je k ničemu. Kdokoliv si může pořídit libovolný certifikát. A když to nejde u jedné autority, tak u druhé to projde."
To samozrejme vubec neni pravda. Vsechny pripady, na ktere jste upozornoval, vyzadovaly netrivialni utok spojeny pravdepodobne s lidskou chybou.
Na nektere pripady se taky pomerne rychlo prislo (napriklad Comodo) a certifikat byl hned revokovan (pravda, kdo vsechno a jak casto stahuje revokacni listy :)
Je naprosto mylne, ze kdokoliv si muze poridit libovolny certitifkat od "duveryhodne" CA (=defaultne v OS/browseru), to proste neni pravda, to by se cely web zhroutil.
Ono podobne jako u vsech ochran, je dobre na to nespolehat na jednu na 100%. Tvrdit proto, ze na zaklade nekolika jednotek znamych bezpecnostnich problemu, ze kdyz je neco podepsane "duveryhodnym" certifikatem, ze to je stejne, jakoby to podepsano nebylo je docela mimo. Pravda ale je, ze naprosto slepe duverovat vsemu podepsanemu je podobny extrem.

Jiri Horky

+1
0
-1
Je komentář přínosný?

"Zdravim,
neudrzel jsem se a kvuli reakci jsem si zridil ucet na diit :)"
LOL +1:)

+1
0
-1
Je komentář přínosný?

Tak víte co, už jen tenhle váš komentář šel (nešifrovaný a nepodepsaný, takže neověřitelný) šel ke mě přes 6 routerů. Kolik je tam bridgů a tunelů nevím. Na každém z nich je možné tu komunikaci pozměnit, minimálně odposlechnout.

Když si objednáte certifikát u Thawte, tak pošlou obyčejný potvrzovací email (nešifrovaný, nepodepsaný). Pokud tedy někdo bude chtít si koupit certifikát na vaši doménu, tak mu stačí odchytnout komunikaci na kterémkoliv místě po cestě. Já netvrdím, že to zvládne každá cvičená opice, ovšem těch lidí, kteří mají k té trase přístup zase tak málo není a znalosti na tuhletu činnost by rozhodně měli mít. Takže stačí jen příležitost a motivace to udělat...

Nechci šiřit paniku nebo tak něco, ale existuje krásné české přísloví: příležitost dělá zloděje. Já můžu mít z fleku certifikáty aktuálně asi tak pro 500 poměrně zajímavých domén (a to jsem prakticky nula, existují samožejmně lidé s přístupem k mnohem větším a zajímavějším číslům). Samozřejmně to neudělám a právě naopak se na to snažím takhle veřejně a bez skrývání upozornit. Ale jsou opravdu všichni tak poctiví a morální?

Tohle je právě poměrně zásadní chyba návrhu PKI. Prohlížeč věří velkému množství ca. www.nic.cz má certifikát od DigiCert. Opravdu byste si všiml toho, kdybyste šel na podvrženou stránku www.nic.cz s certifikátem od Thawte? Pro váš prohlížeč by to bylo zcela důvěryhodné a přitom byste byl úúúúplně na jiné sajtě. Zkrátka man in the middle attack. V PKI se proti tomu můžete bránit třeba tak, že si ověříte fingerprint zcela konkrétního certifikátu (67 dd 15 43 de 3c 07 28 68 41 6c 1c 16 0e 0d 78 c8 a9 5f e3) a v prohlížeči si (jsou na to rozšíření) nastavíte, že tahle konkrétní sajta má tento konkrétní crt. Potom by ten MITM nefungoval.

Naštěstí je v řešení cesta, jak z toho ven. DNSSEC a DANE. Certifikát serveru bude uložený jako záznam v DNS, ten je zabezpečený přes DNSSEC a prohlížeč si to pro každý server zvlášť ověří. A konečně se tak zbavíme plateb za crt.

+1
0
-1
Je komentář přínosný?

"tak pošlou obyčejný potvrzovací email (nešifrovaný, nepodepsaný)" .... a? Jak by ho meli zasifrovat a cim? A podepsat? To by pravda mohl. Nicmene to, ze si to stahnete nesifrovane pres HTTP z postovniho serveru je vase blbost. Predpokladam, ze to thawte to odeslalo na vas emailovy server sifrovane se vsi paradou, takze zadny problem, zadny man in the middle.

Pokud spravujete certifikaty 500 domenam, tak asi mate i 500 certifikatu, to neni zadna novinka:)

Certifkat pro domenu jsem nikdy nemel, ale cekal bych, ze pujde udelat jen jeden a je jedno u ktere CA.

+1
0
-1
Je komentář přínosný?

"Predpokladam, ze to thawte to odeslalo na vas emailovy server sifrovane se vsi paradou, takze zadny problem, zadny man in the middle."

Tak to předpokládáte špatně. A i kdyby, jak by si ověřili pravost serveru? Pomocí PKI? ;-) To už skoro zavání problémem slepice a vejce, že jo.

"Certifkat pro domenu jsem nikdy nemel, ale cekal bych, ze pujde udelat jen jeden a je jedno u ktere CA."

Tak to čekáte špatně.

+1
0
-1
Je komentář přínosný?

Lol, to ma byt vtip? To jako mam po stazeni udelat hash a kontrolovat to s nejakym cislem na nejake strance? To bys me vazne pobavil:o)

+1
0
-1
Je komentář přínosný?

Zálohujete?

+1
0
-1
Je komentář přínosný?

Co?

+1
0
-1
Je komentář přínosný?

Data.

+1
0
-1
Je komentář přínosný?

Proc?:o)

+1
0
-1
Je komentář přínosný?

Budu předpokládat, že ano. Dnes snad každý rozumný zálohuje. Jak provádíte kontrolu integrity zálohy a originálu?

+1
0
-1
Je komentář přínosný?

Pres Paragon delam semtam zalohu systemu .... zbytek mam v jine geolokaci (tam samozrejme zalohuju jenom to, cemu se zmenilo SHA-1). Jinak do nejakych cloudu a podobnych nesmyslu nezalohuju a kdyby ano, tak by mi stacilo ono CRC ..... porad se ale nechytam, proc ta otazka?:o)

+1
0
-1
Je komentář přínosný?

Pokud zálohujete a pokud děláte kontroly integrity zálohy (zda se to tam nakopírovalo bez chyb a je to tedy platná záloha) a kontroly integrity originálu (zpětná kontrola), tak jediný způsob jak zjistit který ze dvou rozdílných souborů je vadný (mluvím o souborech, které by měly být stejné a je tedy minimálně jeden z nich poškozený, například vlivem vadného sektoru na disku), je mít pro každý soubor (nebo adresář ofc) CRC (pokud používáte k práci se soubory TC, tak tam je práce s CRC hračkou). Jedinou výjimkou jsou archivy, které samy CRC součty obsahují a u kterých lze udělat prostě test archivu. Pokud tohle vše patří k vašemu běžnému "fungování" s daty, pak udělat a zkontrolovat třeba md5 by pro vás mělo být přirozené a nevyvolávat pobavený smích ne? :) (MD5 Hash: E217BEBB15B3C4A05F425F9D512A788D je tam uvedený)

+1
0
-1
Je komentář přínosný?

Ale takovych hashu na strance muze udelat kdo chce, kolik chce ..... kdyz nevim, kdo ho tam dal, tak je mi to uplne zbytecne .... i kdyby byla stranka zabezpecena pomoci certifikatu .....
Proste je to lamerstvi, kazdy druhy i opensource projekt je podepsany .... smutne je, ze komercni firma nema 1500 na certifikat ......

+1
0
-1
Je komentář přínosný?

Můžete rozebrat to "Kdo chce, kolik chce?"? Zajímalo by mě to.

+1
0
-1
Je komentář přínosný?

TripWire ;-))

Dale ma kontrolu integrity dat treba ZFS, nebo BTRFS ... pokud je tam teda dostanete v poradku, zaruci, ze jsou konzistentni

+1
0
-1
Je komentář přínosný?

Děkuji, bohužel nic z toho nepracuje pod Windows, takže je to pro mne naprosto k ničemu. Přechod na Linux by pro mne znamenal více potíží, než kolik by jich tohle ušetřilo.

+1
0
-1
Je komentář přínosný?

"tak by mi stacilo ono CRC"

LOL

Víte doufám o tom, že udělat dva různé soubory se stejným CRC (což není ani hash, jen součet) lze vyrobit na počkání kolik jen chcete? CRC nebrat. Pro ověřování souborů (jako jištění proti neoprávněné manipulaci s nimi), je třeba použít minimálně něco z rodiny SHA2.

+1
0
-1
Je komentář přínosný?

Sorry, ja to bral jako zazitou zkratku CRC jako soucet, hash .... proste jsem mel na mysli to SHA-1 nebo cokoliv jineho.
Jako jo, CRC je algoritmus ... ale ja ho mam proste vzity jako hash:) Samotne CRC je pochopitelne mrtve.

+1
0
-1
Je komentář přínosný?

BTW: pres tucows stoji certifikat 75$ (1400Kc) na rok (cca 1200 na 3 roky) ..... jako muze se to zdat hodne, ale kdo to mysli s distribuci aplikaci aspon trochu vazne, tak to zas tolik neni .... jako vic penez se mine za dve tri navstevy hospody:o)

+1
0
-1
Je komentář přínosný?

Pro psaní komentářů se, prosím, přihlaste nebo registrujte.