Na weekend wybieramy się z moją Ulubioną Czarownicą w Bieszczady. Jeszcze do końca nie wiemy gdzie pójdziemy, plan jest taki, by się przespacerować po Połoninie Wetlińskiej, wyskoczyć na Smerek, a w drugi dzień może znowu “Worek Bieszczadzki” uskutecznić... Ale będzie fajnie :)
Marsz dla Życia i Rodziny jest odpowiedzią na wczorajszą Paradę Równości. – Jestem tu po to, by przeciwstawić się wstrętnym pederastom – powiedział uczestniczący w marszu wicepremier Roman Giertych. Giertych: Marsz przeciwko wstrętnym pederastom. Rozumiem, że seks i homoseksualizm to są ulubione tematy Romana G. Zastanawiam się tylko, czy to jakiś kompleks, czy może jakieś lęki...
Fragment jednego certyfikatu: Not Before: May 17 14:08:14 2006 GMT Not After : May 20 15:43:14 2007 GMT Subject: C=PL, ST=Malopolskie, L=Krakow, O=Onet.pl SA, OU=Dzial IT, CN=poczta.onet.pl Jest trochę później niż 15:43:14 GMT...
Wczoraj postanowiłem się trochę poruszać. Jak? Oczywiście – rower. Że późno już było, to miałem tylko jakieś 2 godziny czasu zanim zaczęło robić się ciemno. Ale i tak zrobiłem jakieś 50 kilometrów i nie byłem jakoś przeraźliwie zmęczony... źle jest, muszę znaleźć coś, co mnie bardziej męczy...
Tak się zastanawiam, czy przypadkiem nie natknąłem się na błąd w klasie HTTPSConnection w httplib (Python oczywiście). Jest sobie serwer HTTPS, który akceptuje (ale nie wymaga bezwzględnie) certyfikatu klienta. Prosty kod Pythona: import httplib con = httplib.HTTPSConnection("www.serwer.com") con.request("HEAD","/") resp = con.getresponse() ...nie działa. Konkretnie zgłaszany jest wyjątek BadStatusLine... Gdy serwer nie prosi o certyfikat klienta, wszystko jest w porządku... W rezultacie musiałem skorzystać z pycurl.
EDIT: 20070519 Co ciekawe dokładnie tak samo jak httplib zachowuje się openssl s_client...
Wiadomość o takim tytule pojawiła się w Chip. Twórcy złośliwego oprogramowania mogą być w stanie „przekabacić” komponenty Windows Update w taki sposób, by dystrybuowały wirusy, jak ostrzegają naukowcy w Symantecu. Naukowcy? Może lepiej badacze? Tylko nie wiem, czy badacze mierni, czy autorzy artykułu nie rozumieją, co czytają. Uwaga, autorzy złośliwego oprogramowania. Zdradzam tajne, hakerskie metody jak przekabacić BITS do robienia tego, po co został stworzony... Już o tym, że BITS nie jest komponentem Windows Update wspominać nawet nie będę.
Wrrr! TrueCrypt ma w zwyczaju chwilę po wydaniu nowej wersji, wydawać wersję “a”, która zawiera poprawki. TCGINA jednak nie pojawiła się jeszcze dla wersji 4.3a, a ponieważ ma w sobie zaszyte na stałe akceptowalne wersje TrueCrypt (konkretnie jedną wersję), to zbywało mnie przy próbie logowania ładnym komunikatem, że TrueCrypt nie ma. Na szczęście są źródła i poprawienie jednego #define z 430 na 43a nie było jakoś specjalnie skomplikowane, tylko raczej upierdliwe...
...lata pracy w jednym miejscu w dalszym ciągu działa. 11 maja jest ostatnim dniem mojej pracy w obecnym miejscu. A później pora wyruszyć ku nowym wyzwaniom :)
Oryginał tego wpisu dostępny jest pod adresem Zasada “mniej niż trzy”
Autor: Paweł Goleń
Na początek dlaczego jest ZŁE! A dlatego: How Credit-Card Data Went Out Wireless Door. Tak, implementacja była przeraźliwie idiotyczna, tutaj praktycznie nie było zastosowanych ŻADNYCH środków ochronnych. Dane takie powinny być szyfrowane co najmniej na dwóch, trzech poziomach (po pierwsze nawet ten słaby WEP, po drugie może jakiś IPSec lub/i SSL no i wreszcie może jakieś szyfrowanie w protokole aplikacji dla tych, dość istotnych jakby na to nie popatrzeć, danych). Opowiem jedną historię. Jakiś czas temu pewna firma stwierdziła, że otwiera kilka nowych placówek, na razie dla sprawdzenia, czy będą w stanie się utrzymać, niewielkich przy możliwie małych inwestycjach. Ludzie odpowiedzialni za adaptację nowych powierzchni stwierdzili w swoich zagmatwanych wyliczeniach, że można oszczędzić na sprzęcie sieciowym, jeśli zamiast kabli wykorzysta się WiFi. Nie będzie kucia i wiercenia w ścianach, a i likwidacja takiej sieci później jest dość prosta. Same zyski... Na szczęście znalazł się ktoś na tyle mądry, by poprosić innych ludzi o zrobienie tego w sposób w miarę bezpieczny. Zamiast tanich punktów dostępowych kupiono sprzęt nieco bardziej zaawansowany, który wspierał już WPA, próba z wykorzystaniem AES zakończyła się niestety niepowodzeniem, wykorzystano RC4, ale z TKIP. Dostęp do sieci był kontrolowany centralnie przez serwer RADIUS, wykorzystane zostały certyfikaty cyfrowe, ukryto SSID, zmniejszono moc urządzeń nadawczych, tak by ograniczyć nieco ich zasięg... W rezultacie koszt implementacji okazał się wyższy, niż starych, dobrych kabli. Nawet jeśli do kabli doliczyć koszt ich późniejszego usunięcia...
A co jest złego w WiFi? Przez długi czas firmy patrzyły na bezpieczeństwo na zasadzie “my i oni”. Granica była jasno sprecyzowana, wielki, huczący i migoczący wieloma lampkami “punkt styku”. Wszystko “u nas” było zaufane... I tu pojawia się problem. Istnieje gigantyczna liczba aplikacji, która do komunikacji wykorzystuje protokoły nie zapewniające żadnego bezpieczeństwa. Wykorzystywane są protokoły typu FTP, HTTP, TELNET. Jeśli przy analizie ryzyka założy się, iż całość działa w sieci “zaufanej”, gdzie każda stacja jest wpięta do oddzielnego portu na switchu, gdzie możliwość podłączenia “obcego” komputera jest mocno ograniczona, a to, co robią użytkownicy na swoich stacjach – mocno kontrolowane, to przy takich założeniach wykorzystanie tych protokołów nie jest bardzo istotnym ryzykiem (dla mnie jest, ale prawdopodobieństwo wykorzystania razy oczekiwane straty nie stanowią bardzo wysokiej wartości w zestawieniu z innymi ryzykami). Sytuacja drastycznie zmienia się, gdy ta sieć przestaje być zaufana. A tak się dzieje, gdy zaczyna korzystać się z niezbyt dobrze zabezpieczonej sieci WiFi... Co więcej, tak się dzieje również tam, gdzie wykorzystywane są “tradycyjne” kable, gdy w firmie pracuje coraz więcej konsultantów zewnętrznych, a goście mogą wpiąć swój komputer do sieci. O tym też się zapomina, niestety...
Ciekawa analiza tego, dlaczego błąd w plikach ANI znalazł się również w VISTA mimo zastosowania SDL. Błędy zawsze się zdarzały i będą się zdarzać. Najważniejsze jest to, by z błędów wyciągnąć lekcję na przyszłość. Microsoft zaczął to robić i efekty już są.