Planeta.OpenAlt.org

Pozvánka na 149. sraz OpenAlt – Praha

únor
12
Openalt.org

Únorový pražský sraz OpenAltu se koná 15. 2. 2018 a tentokrát se vydáme na návštěvu do jednoho pražského datacentra. Sejdeme se v 17:50 v severovýchodní části nástupiště tramvajové zastávky Koh-I-Noor. Po exkurzi se přesuneme do restaurace U Pštrosa (Moskevská 49), kde probereme tradiční témata (svobodný software a hardware, DIY, CNC, SDR, 3D tisk…) a tentokrát bude k vidění i IoT brána od The Things Network.

SOTA Praděd OK/MO-001 a Křížový vrch OK/MO-040

Se Sašou OK1RS jsme vyrazili na víkend do Jeseníků na první letošní  vrchloly do programu SOTA. Sobotním cílem byla nejvyšší hora Hrubého Jeseníku, Praděd OK/MO-001. Auto jsme nechali v Karlově Studánce a pokračovali jsme autobusem na Ovčárnu. Na Parděd šlo i přes mlhavé počasí poměrně hodně lidí. Vysílač byl vidět, až když jsme stáli před ním. Anténu jsme měli postavenou za chvíli a během pár minut jsme už vysílali na 40m a potom i na 20m.

RIG: mcHF v 0.6 - 5W
ANT: End Fed Half Wave anténa 40/30/20 m
WX: mlha, 0 C
QSO: OK1CDJ/P - 10, OK1RS/P - 12



Do Karlovy Studánky jsme se vrátili po NS Bílá Opava, která vede po mnoha mostcích, schodištích a lávkách po břehu Bílé Opavy. Cestou jsou vidět vodopády, ledopády, kaskády, peřeje, skalní útvary. Je to krásná zimní procházka.


V neděli jsme se cestou domů zastavili na Rešovských vodopádech a na Křížovém vrchu -  OK/MO-040. Počasí bylo ještě o něco horší než v sobotu a k mlze se přidal slabý déšť. Na vrchol vede barokní křížová cesta z 18. století a je odtud prý krásný výhled na Jeseníky, Hanou a Orlické hory.  

RIG: mcHF v 0.6 - 5W
ANT: End Fed Half Wave anténa 40/30/20 m
WX:  mlh, déšť, 0 C
QSO: OK1CDJ/P - 6, OK1RS/P  - 7




Pozvánka na 149 brněnský sraz a zároveň valnou hromadu spolku

únor
09
Openalt.org

Zveme příznivce svobodného přístupu na 149. sraz OpenAltu, který se uskuteční v pátek 16. února 2018 od 18:00 v bistru Andini na Pekárenské 12 (neplést s Pekařskou ;)).
Začneme caa hodinovou valnou hromadou (zpráva o činnosti, volba rady, zkrátka nuda nuda, šeď šeď). Členy a zájemce o členství prosíme o dochvilnost, ostatním doporučujeme spíše 19. hodinu a později.

Odborné videology

Abych efektivně využil čas, který strávím v autě, rozhodl jsem se dělat osvětu a tak jsem začal točit videology v autě. Konkrétně se bude jednat o volné povídaní z patra na technická témata například elektronika, počítače a jiná technika, sport a zdraví. ........

Nextcloud Talk: otevřeně na video konference

Open source nástroj na video konference byl docela problém. S vydáním Nextcloud 13 přichází také nástroj Nextcloud Talk, může to změnit?

nextcloud

Už rok a půl provozuji na vlastním serveru Nextcloud a stal se pro mě a moji rodinu takovou platformou pro různé online služby. Mám tam soubory, kontakty, kalendář, hesla, poznámky, úkoly, RSS čtečku. Vše zálohované a pod vlastní kontrolou. Nicméně co mi chybělo byla nějaká aplikace na video hovory

Na textovou komunikaci používám primárně Telegram. Ten umí i volat a umí to dobře, ale zvládá pouze zvuk a pouze hovor mezi dvěma lidmi. Dlouho jsem na hovory po Internetu používal Skype. Ještě teď si pamatuji, jak mi to v roce 2004 přišlo jako zjevení, když se objevil Skype, který uměl telefonovat po Internetu a prostě fungoval. Přijde mi ale, že dávno zaspal dobu. Je to zcela uzavřený nástroj, u kterého člověk netuší, jakým způsobem jsou přenášená data šifrovaná a jak je s daty nakládáno. Ještě nedávno jsem ho alespoň sporadicky používal na hovory ze zahraničí, ale to vyřešil Telegram. Video mi ovšem chybělo.

Až se objevil Nextcloud Talk. Je open source, můžu ho provozovat na vlastním serveru, používá standardní věci jako WebRTC, funguje v běžném prohlížeči a má také klienty pro mobilní telefony. Vypadá to jako ideální kandidát. Jaké jsou zatím zkušenosti?

Pokud už máte Nextcloud (je potřeba verze 13), instalace je triviální, prostě jdete do obchodu s aplikacemi a Talk jedním kliknutím nainstalujete. Aplikace vám umožňuje volat s uživateli dané instance Nextcloudu (případně přes federaci s uživateli jiných instancí), ale můžete také vytvořit konferenční místnost, do které můžete přes odkaz (je možné jej chránit heslem) pozvat kohokoliv. Volání mezi dvěma lidmi funguje spolehlivě. Jako bonus je podporováno také sdílení obrazovky.

Bohužel s konferenčním hovorem, kterého se účastnilo více lidí nemám tak dobré zkušenosti. Zkoušeli jsme to s kolegy a jeden kolega se nezobrazoval mně, ale druhému kolegovi zase ano atd. Toto očividně ještě není odladěné. Menší nedostatky se najdou také ve webovém UI. Talk nabízí k hovoru také textový chat. Pokud ale onen panel zavřete, je těžké ho znovu otevřít, protože se jedná o černé tlačítko na černém pozadí videa.

call-in-action

Nextcloud tuto aplikaci nabízí jako komerční produkt a nabízí možnost připojit se z normální telefonu (přes bránu SIP) a integraci se soubory a groupwarem. Tyto možnosti jsem ovšem v běžně dostupné verzi nenašel. Nicméně si dokážu představit, že v budoucnu bude možné rychle spustit konferenci pro lidi, kteří sdílí a editují nějaký konkrétní dokument.

Nextcloud Talk je momentálně dobrý nástroj na video hovory mezi dvěma lidmi. Nabízí sice pouze základní funkce a i rozhraní je zatím takové spartánské, ale v tomto ohledu funguje spolehlivě. Pro konferenční hovory už ho tak jednoznačně doporučit nemůžu. Snad se to časem zlepší.

Používáte nějaké jiné open source nástroje na video hovory a jak se vám osvědčily?

Prezidentské volby přilákaly na zpravodajské servery až 2,3 milionu uživatelů denně

Prezidentské volby přilákaly na zpravodajské servery až 2,3 milionu uživatelů denně tereza.tumova@… Út, 02/06/2018 - 10:18

Leden proběhl ve znamení prezidentských voleb, které přilákaly k návštěvě internetu až 2,3 milionu uživatelů. Tato rekordní denní návštěvnost byla zaznamenána u kategorie Zpravodajství v první den prvního kola voleb (12. ledna) pro všechna zařízení dohromady.  Díky důležitým politickým událostem bylo Zpravodajství nejnavštěvovanější webovou kategorií v případě mobilních telefonů a tabletů a třetí nejnavštěvovanější kategorií u klasických PC.

Z výsledků výzkumu NetMonitor vyplývá, že první kolo voleb bylo pro internetové uživatele zajímavější než druhé. Kategorie Zpravodajství rostla již během celého týdne, který předcházel prvnímu kolu voleb: v pondělí 8. ledna překročila hranici 2 milionů RU a rostla až do výše uvedeného pátku 12. ledna, kdy bylo dosaženo nejvyšší denní návštěvnosti v této kategorii. Druhý den prvního volebního kola (sobota 13. ledna) již ale návštěvnost klesla na přibližně 2 miliony uživatelů. Před druhým kolem voleb se návštěvnost této kategorie začala opět zvyšovat a dne 26. ledna (první den druhého kola voleb) dosáhla počtu 2,1 milionu RU dohromady ze všech platforem. Celkový meziměsíční nárůst počtu uživatelů pro kategorii Zpravodajství dosáhl více než 251 tisíc RU z klasických PC, téměř 200 tisíc z mobilních telefonů a 90 tisíc z tabletů.

Pravděpodobně také ve spojení s prezidentskými volbami rostla kategorie Ekonomika, finance, právo, která zahrnuje mimo jiné některé zpravodajské servery. Zde můžeme ze všech kategorií pozorovat nejvyšší meziměsíční nárůst návštěvníků přicházejících z mobilních telefonů, který dosáhl více než 250 tisíc uživatelů. Weby v kategorii Ekonomika, finance, právo zaznamenaly vysokou návštěvnost mimo jiné v týdnu před prvním kolem voleb (8. – 11. ledna), která následně ve čtvrtek 25. ledna, tj. poprvé ve druhé polovině měsíce překročila hranici 900 tisíc RU (910 tisíc RU ze všech platforem).

Začátkem roku se zvýšil zájem uživatelů o prodej/nákup nemovitostí a aut. Kategorie Bydlení – prodej, která zahrnuje webové stránky s nabídkou realit, rostla asi o třetinu v případě klasických PC a mobilních telefonů a o čtvrtinu z tabletů. Návštěvnost kategorie Auto-moto – prodej se zvýšila o 23 % z klasických PC, 13 % z mobilních telefonů a 18 % z tabletů. Dále výrazně rostla také návštěvnost kategorie E-commerce – obsah, která obsahuje mimo jiné nabídky práce.

Tab. 1. Výsledky měření návštěvnosti internetu na jednotlivých zařízeních – výsledky za prosinec 2017 a leden 2018.

Počítače

Prosinec

 

Leden

Absolutní
změna

Relativní změna

Reální uživatelé (RU)

6 803 600

6 808 499

4 899

0,07%

Zhlédnuté stránky (PV)

15 737 346 846

17 719 671 184

1 982 324 338

12,60%

Reální uživatelé (RU) – PC doma

6 647 741

6 674 701

26 960

0,41%

Zhlédnuté stránky (PV) – PC doma

12 723 990 893

13 771 415 979

1 047 425 086

8,23%

Reální uživatelé (RU) – PC v práci

1 883 265

1 890 177

6 912

0,37%

Zhlédnuté stránky (PV) – PC v práci

3 013 355 952

3 948 255 205

934 899 253

31,03%

Mobilní telefony

Prosinec

 

Leden

Absolutní
změna

Relativní změna

Reální uživatelé (RU)

3 749 111

3 785 596

36 485

0,97%

Zhlédnuté stránky (PV)

1 990 428 431

2 219 171 935

228 743 504

11,49%

Tablety

Prosinec

 

Leden

Absolutní
změna

Relativní změna

Reální uživatelé (RU)

1 707 235

1 713 112

5 877

0,34%

Zhlédnuté stránky (PV)

329 458 386

365 814 857

36 356 471

11,04%

Zdroj: SPIR - NetMonitor, prosinec 2017 a leden 2018.

Výlet do Austrálie: Krátce v Hongkongu a přílet do Sydney

Naše cesta do Austrálie začala na pražském letišti: odletěli jsme na londýnský Heathrow a odtud do Hong Kongu. Ten vypadá z evropské perspektivy „už docela blízko“ od Austrálie, ale cesta odtud do Sydney byla časově stejně dlouhá jako z Londýna do Hongkongu. Z Londýna jsme neviděli nic – jak přeneseně, tak doslova. Z letadla byly...

Jak připojit k PC ovladač pro PS4

Jste PCčkáři, chcete pařit pohodlně z gauče u televize a Xboxí ovladač vám nevyhovuje nebo ho nemáte? Nebo jste přešli z PS4

Příspěvek Jak připojit k PC ovladač pro PS4 pochází z Spajk.cz

Bez Facebooku

Před týdnem jsem se rozhodl, že se zkusím z Facebooku na nějaký čas stáhnout a uvidím, jak to bude fungovat. Po týdnu musím říct, že to nebyl vůbec špatný nápad.

Bezprostředním důvodem k tomuto kroku byly výsledky voleb. Posledních několik týdnů byl můj News Feed plný prezidentských voleb a politických diskusí a popravdě mi to začalo trochu lézt krkem. Potom, co vyhrál Zeman, jsem opravdu neměl náladu číst sračky od jeho příznivců a plačky od zbytku. Z pokusu jen v mentálním zdraví přežít prvních pár dní po volbách se vyklubal zajímavý osobní experiment. Dokážu se bez Facebooku obejít? A jaký to na mě bude mít dopad?

Účet Facebook jsem si založil v roce 2008. Už v létě 2007 to byla v USA velká věc, ale já požadavkům odolával ještě rok. V následujících letech se vkrádal do mého života čím dál víc. Tím, že jsem přes letní měsíce pracoval v USA, nějaký čas studoval v Kanadě a angažuji se v celosvětových open source projektech, mám známé po celém světě a na Facebooku jsem si vždy cenil, že mi umožňuje s nimi zůstat v určitém kontaktu.

Nicméně časem se Facebook jaksi vymknul kontrole. Opravdu hodnotého obsahu od přátel nebo stránek, které mě zajímají, ubývalo a naopak přibývalo odpadu a reklamy. Místo platformy pro udržování kontaktu s přáteli z toho vznikl takový poloveřejný prostor, kde se vám ukazuje velká část obsahu od lidí, které ani neznáte. Dalším problémem je soukromí a kontrola nad vlastními daty. Dřív jsem na Facebooku vytvářel alba z cest a dával tam všechny fotky. To jsem přestal dělat už před několika lety. Dávám tam jen pár momentek a zbytek si držím na vlastním serveru.

Přesto jsem na Facebooku dál trávil docela dost času. Zkontroloval ho ráno u snídaně, projel ho v autobuse směrem do práce, večer opět kontroloval, co je nového. Ideální prokrastinační nástroj. Nejde ale jen o čas, ale také o mentální hygienu. Už prostým procházením a čtením/sledováním nějakého obsahu člověk zatěžuje mozek a na úkor mnohem produktivnějších činností.

Už nějakou dobu tak ve mě zrál pocit, že Facebook mi víc bere, než dává. Volby pak byl moment, který mě konečně postrčil, aby s tím něco udělal. Nechci být žádný extrémista, takže jsem nechtěl odejít úplně. To mi přijde zbytečné. Pořád je to pro některé věci užitečná platforma. Začal jsem tím, že na Facebook téměř nechodím (maximálně několikrát týdně, abych prošel upozornění). Dál jsem si ho odstranil z hlavního webového prohlížeče. To má výhodu nejen v tom, že mě to tak neláká Facebook kontrolovat, ale také v tom, že nemůže tak jednoduše sledovat moji online aktivitu. Facebook mám přihlášený v GNOME Web, prohlížeči, který běžně nepoužívám. Aplikaci v mobilu zatím dál mám, ale stejně jako web ji kontroluji minimálně. Navíc má práva osekaná na minimum. Moc rád totiž sleduje, kde se pohybujete.

Čím Facebook nahradit? Už před více než dvěma lety jsem začal tíhnout k Twitteru. Ten je teď mojí primární sociální sítí. Líbí se mi na něm to, že si nehraje na všeobjímající platformu. Jeho zaměření je užší – veřejné zprávy, komentáře, základní diskuse. A je v tom lepší. Nehledě na to, že Twitter lze používat i jako zpravodajský a informační zdroj, což u Facebooku jde těžko. Výhodou pro mě také je, že tam není každý, ale především lidi z pravé části Gaussovy křivky rozložení IQ. Možná to zní elitářsky, ale je to tak.

Mluví se o tom, že trendem je vzrůstající důležitost IM služeb. Já to můžu na sobě jen potvrdit. Než bych něco sdílel na Facebooku, tak to raději pošlu člověku nebo skupině lidí na Telegramu. Člověk tam má větší soukromí a přijde mi, že tím internetová komunikace tak trochu vrací ke kořenům. Ten kontakt tam je mnohem přímější než skrze sdílení a prohnání algoritmy Facebooku.

Po týdnu musím říct, že mi Facebook vůbec nechybí. Občas tam nahlédnu, zkontroluju, jestli mě někdo nepozval na nějaký sraz (na organizování společných akcí je FB skvělý, to se mu musí nechat), ale příspěvky prakticky nečtu a diskusí se neúčastním. A také jsem zatím neměl potřebu ani nic sdílet (ručně, tento článek se na FB nasdílí automaticky). Přišel jsem o fotky z vaší dovolené v Karibiku? Nevadí, třeba bude někdy příležitost a ukážete mi je osobně 😉

P.S. mám pocit, že to není jenom můj pohled, ale objevují se náznaky, že současný model Facebooku se vyčerpal. Ve vyspělých zemích již dosáhl svého vrcholu a stagnuje. Ze všech stran to schytává, že funguje jako platforma na šíření fakenews, na což je ten poloveřejný prostor ideální. V internetovém světě není nikdo tak velký, aby se nedokázal zhroutit. Kde je dnes MySpace, služby typu XChat nebo u nás dlouhá léta extrémně populární ICQ. Zdá se, že i Facebook si to uvědomuje a chce se vrátit ke kořenům a být opět primárně platformou pro sdílení životních událostí s přáteli. Jsem zvědavý, jak se mu to povede.

Školení od Martina Hujera, Péhápkařů a zvýšení cen

Na konci minulého roku jsem měl poslední veřejné termíny školení Úvod do PHP a Třídy a objekty v PHP. Oba kurzy byly slušně zaplněné, bylo to fajn, ostatně jako vždycky! Účastníkům jsem navíc jako poděkování dal drobné dárky – knihu o PHP od Jakuba Vrány a nějaké ty samolepky od Péhápkařů – o nich bude ještě řeč.

Kniha 1001 tipů a triků pro PHP od Jakuba Vrány a samolepky od Péhápkařů

Krátce po vydání článku, ve kterém jsem psal o posledních termínech těch školení, se mi ozval Martin Hujer s tím, že by rád ve školeních PHP pokračoval. Martina znám skoro deset let, pracoval na několika známých projektech a má za sebou i nějaké to školení. Plně mu důvěřuji, že to zase posune o kousek dál. Termíny kurzů Úvod do PHP a Objektové programování v PHP jsou vypsané na polovinu dubna.

Mezi řečí mi Martin také prozradil, že chystá i nějaké pokročilé školení PHP, sám jsem zvědavý, co to bude. Pokud byste se chtěli dále vzdělávat, tak pokročilejší kurzy nabízí i komunita Péhápkaři, namátkou vybírám: vyhledávání pomocí Elasticsearch školí Tomáš Pilař, ovládání skvělého editoru PhpStorm se věnuje Tomáš Fejfar, jak na rapidní vývoj a Continuous Delivery prozradí Ondra Mirtes, autor šikovného „hledače problémů“ PHPStan. Školení probíhají na stejném místě jako moje školení bezpečnosti: v co-workingovém prostoru Node5 v Praze na Andělu. Péhápkaři mají také svůj Slack a livestreamy (v úterý 6. února budu mít svou streamovací premiéru o heslech).

Teď trochu z jiného soudku: rozhodl jsem se od března zvýšit ceny svých školení. Původní cena 3990 Kč bez DPH (4828 Kč s DPH) se zvyšuje na 4990 Kč bez DPH (6038 Kč s DPH). Zároveň zvednu i slevu pro studenty, z 30 na 42 %, aby pro ně školení bylo stále dostupné. Pokud se chcete školení zúčastnit, tak neváhejte, do konce února platí původní ceny. Rád vás přivítám třeba na školení bezpečného vývoje webových aplikací (13. 3. 2018 Praha) nebo HTTPS (14. 3. 2018 Praha). Firmám nabízím i školení v jejich sídle, vyplatí se již od čtyř účastníků.

Změna hashování existujících hesel

Aktualizace článku

  • 31.1. Přidán popis výstupu password_hash()

Z internetové nákupní galerie Mall.cz unikla uživatelská data včetně zahashovaných hesel. Někdo zatím neznámým způsobem získal přes 750 tisíc účtů, nahrál je na Ulož.to a odkaz v 27. července zveřejnil na Pastebinu. O incidentu informovala firma prostřednictvím poměrně skvělého příspěvku na blogu a e-mailu zákazníkům, ve kterém jim oznamuje, že Mall hesla resetoval a pokud se chtějí znovu přihlásit, tak si musí nastavit heslo nové. Data na Ulož.to již nejsou dostupná, ale Lupa soubor získala a prozkoumala a zjistila, že obsahuje 750 tisíc e-mailových adres a hesel v čitelné podobě. U části zákazníků byla uvedena i telefonní čísla.

Zatím není známé, jakým způsobem útočník získal čitelná hesla, Mall totiž údajně hesla hashoval:

Od listopadu 2012 jsme bezpečnost hesel zajišťovali hashovací metodou SHA1 + unikátní solí a od října 2016 chráníme přístupové údaje jednou z nejsilnějších hashovacích metod bcrypt. Do roku 2012 byly údaje hashovány metodou MD5, která dnes již není považována za bezpečnou. Většina prolomených hesel pochází právě z doby, kdy byla používána tato metoda. U starších účtů jsme proto změnili heslo a automaticky je převedli na zmiňovanou nejnovější hashovací metodu bcrypt, kterou aktuálně chráníme přístupové údaje všech účtů.

Pomineme-li, že bcrypt je z roku 1999 a že Mall.cz dříve MD5 zatajil, tak z toho nelze vyčíst, jestli hesla hashovaná pomocí MD5 nějak převáděli na bezpečnější bcrypt. V komentářích pod příspěvkem na blogu pak dodávají, že heslo „přehashovali“ po úspěšném přihlášení uživatele.

Jak to lze udělat lépe, aby ani při případném úniku nebyla ohrožena stará slabě hashovaná hesla uživatelů, kteří se dlouho nepřihlásili? Před několika lety jsme to udělali na Slevomatu a kdyby na to dělala návod IKEA, tak by vypadal asi nějak takhle:

SHA-1 → bcrypt nebo Argon2i

Změna hashování

Nejdřív bych měl připomenout, co to vlastně takový na ukládání hesel nevhodný algoritmus je. Jsou to všechny ty MD5, SHA-1, SHA-2, SHA-3 a to v jakékoliv variantě. Se saltem („solí“), nebo bez, „zesílené“ pomocí několika stovek tisíc iterací, nebo jen jedno volání, je to jedno. Na ukládání hesel by se měla použít některá z těchto funkcí: Argon2 (varianta Argon2id nebo Argon2i), bcrypt, scrypt, nebo PBKDF2. Jsou relativně pomalé, takže pro lamače je časově i finančně náročně hesla cracknout.

Také bych měl zmínit, že tento článek není o reakci na bezpečnostní incident. Pokud už vám jakkoliv uložená hesla unikla (a vy jste si toho všimli), tak je všem uživatelům vyresetujte. Nová hesla pak rovnou ukládejte pomocí „nového“ hashe.

Jestli používáte PHP, tak na uložení použijte funkci password_hash(..., PASSWORD_DEFAULT) a na ověření password_verify(). „Algoritmus“ PASSWORD_DEFAULT aktuálně zajistí použití bcryptu, do budoucna to může být např. Argon2i nebo Argon2id, nicméně hashe uložené dnes půjdou ověřit i po změně defaultního algoritmu. Ten se totiž určuje jen při vytváření hashů, pro ověření se použije nastavení zapsané do samotného hashe, resp. nastavení je součástí výstupu z password_hash(). Viz např. výsledek z volání password_hash('foo', PASSWORD_DEFAULT) (což je aktuálně stejný výstup jako z password_hash('foo', PASSWORD_BCRYPT), ale hodnota PASSWORD_DEFAULT se v budoucnu bude měnit):

 bcrypt (2y)
 ┌┐ cost (2¹⁰ = 1024 opakování)
 ││ ┌┐
$2y$10$7REcgj13ZZTW9XSYGWfZVODMB0uIPn3c2jZmse1kjz7LHGzTdUnGm
       └────────────────────┘└─────────────────────────────┘
            128-bit salt              184-bit hash
                  obojí nestandardní Base64

Součástí výstupu je také kryptografická sůl (salt), automaticky a správně vygenerovaná funkcí password_hash(), ručně tedy žádnou další přidávat nemusíte a ani byste neměli, algoritmus byste tím mohli nějak poškodit. Implementace bcryptu v PHP navíc heslo ořízne na maximálně 72 znaků (to nevadí), takže kdybyste před heslo připojili 80 znaků soli, tak k přihlášení nebude heslo vůbec potřeba. O sůl se tedy nemusíte starat, přenechte to funkcím password_hash() a password_verify().

Pokud chcete vylepšit hashování hesel již zaregistrovaných uživatelů, tak máte tyto možnosti:

  1. Vymazat hesla všem uživatelům a tím je donutit zadat nové heslo hashované novým způsobem. To není moc dobrý nápad, uživatelé nebudou nadšení, bude je to otravovat a budou se vcelku oprávněně zlobit, proč jste jejich hesla nezabezpečili mnohem dříve. Reset hesel se dá provést v aplikacích pro pár stovek zaměstnanců, ale rozhodně ne v aplikacích, do kterých se může registrovat kdokoliv.
  2. Můžete heslo uživatele „přeuložit“ po úspěšném ověření při přihlašování, v tu chvíli totiž v aplikaci máte heslo k dispozici v čitelné podobě, takže ho můžete pěkně zahashovat bezpečnějším hashem. Z pohledu uživatele je tento způsob mnohem lepší, nicméně databáze bude stále obsahovat slabé hashe hesel uživatelů, kteří se od změny hashování nepřihlásili. A těch může být docela dost, protože například zvolili „permanentní přihlášení“ apod. Podle všeho Mall zvolil právě tento způsob.
  3. Všechny staré hashe najednou „přehashujete“ novým silnějším hashem a při ověřování pak vezmete uživatelské heslo z přihlašovacího formuláře, zahashujete starým hashem a pošlete na ověření novým hashem. Když se ověření povede, tak to trochu vyčistíte: heslo zahashujete pouze novým hashem a uložíte. První krok tohoto způsobu nevyžaduje žádnou akci na straně uživatele, takže ochrání i hesla uživatelů, kteří se dlouho nepřihlásili.
  4. Můžete zkusit cracknout všechna hesla a ta cracknutá pak uložit pomocí nového algoritmu. Kdepak, nedělejte to. S největší pravděpodobností nedokážete obhájit útočení na uživatelská hesla, mohla by se z toho celkem jednoduše stát PR pohroma. Navíc byste potřebovali přesunout hashe z vaší databáze někam mimo a nějakou dobu někde uchovávat cracknutá hesla v čitelné podobě, z čehož se může rychle vyklubat i bezpečnostní problém. Vaší prací je chránit hesla, ne na ně útočit nebo je nechat uniknout. Tohle prostě nedělejte.

Pojďme ten třetí způsob trochu rozebrat na atomy. V příkladech se objeví pár PHP funkcí, ale na principu to nic nemění, ten se dá využít i v jiných jazycích nebo prostředích (třeba takhle se to dělá v Djangu). Kód zde uvedený je spíš ukázkou, jak takovou věc udělat, rozhodně ho nekopírujte, tohle není Stack Overflow.

Úprava databáze

Ujistěte se, že do sloupečku password se vejde nový hash, doporučuje se nastavit VARCHAR(255) nebo podobný typ, který pojme alespoň těch 255 znaků, bude se to hodit i pro případné rozšiřování do budoucna.

Budete potřebovat nový sloupeček, ve kterém bude uložen způsob hashování hesla pro toho konkrétního uživatele. Skript na přehashování (viz dále) může běžet klidně i několik dní, takže v databázi budou staré i nové hashe zároveň a přihlašování s tím musí počítat. Ten nový sloupec pojmenujeme např. type. Nenastavujte NOT NULL, hodnota NULL bude určovat starý hash.

Pokud váš starý hash používá unikátní salt pro každého uživatele (statický salt, stejný pro všechny uživatele, není salt), tak budete ještě potřebovat sloupeček, do kterého tento „starý“ salt uložíte, můžeme mu říkat třeba old_salt.

Tabulku s přihlašovacími údaji není třeba upravovat, typ a případný starý salt si můžete ukládat do jednoho sloupečku společně s hashem a oddělit je třeba dvojtečkou nebo dolarem a při zpracování si je zase „odseknout“. Pro jednoduchost budu používat samostatné sloupečky.

Skript na přehashování

Vlastní přehashování zajistí skript, který spustíte a on najednou „upgraduje“ všechna hesla. Skript vezme třeba tisíc řádků s type IS NULL a pro každý provede tuhle operaci:

  1. Vypočítá nový hash „přehashováním“ starého:
    $newHash = password_hash($row->password, PASSWORD_DEFAULT)
  2. Pokud starý hash používá salt, tak ho uloží do proměnné např. $oldSalt
  3. Provede UPDATE v databázi a uloží $newHash do sloupce password (a případně $oldSalt do sloupce old_salt), type nastaví na 1, ale vše pouze v případě, že typ je NULL, abychom nepřepsali heslo změněné uživatelem v době od vytažení dat z databáze do přehashování

Kód by mohl vypadat nějak takto:

$rows = $db->query('SELECT ... FROM ... WHERE type IS NULL LIMIT 1000');

foreach ($rows as $row) {
    $newHash = password_hash($row->password, PASSWORD_DEFAULT);
    $oldSalt = ...;
    $db->query('UPDATE ... SET password = ?, old_salt = ?, type = 1
        WHERE username = ? AND type IS NULL',
        $newHash,
        $oldSalt,
        $row->username
    );
}

Doporučoval bych takový skript spustit z příkazové řádky. Může totiž běžet docela dlouho, v případě velkých databází klidně i několik dní. Taky může z nějakého důvodu spadnout a vy ho budete muset spustit znovu. To nebude vadit, s tím se počítá, již přehashovaným heslům se skript vyhne.

Před spuštěním skriptu je potřeba upravit přihlašování, aby počítalo i s novým hashem.

Přihlašování

V databázi budeme mít uložen (nový) hash z původního (starého) hashe, takže do funkce na ověření hesel nebudeme posílat heslo zadané uživatelem do formuláře, ale nejdříve musíme znovu spočítat původní (starý) hash a teprve až ten pošleme na ověření. Ověřování ale musí počítat i se zatím nepřevedenými hesly, jinak by se část uživatelů nemohla přihlásit, dokud se jim heslo nepřehashuje.

K rozhodnutí jak uživatele ověřit využijeme obsah sloupce type. Neprovádějte ověření hesla nejdřív pomocí „nového hashe přes starý“ a pak, v případě selhání, pomocí starého. To je zbytečně pomalé, využijte raději ten sloupeček. Vůbec nevadí, když je způsob hashování známý, stejně musíte předpokládat, že nepřítel systém zná.

Podstatná část kódu:

$row = $db->query('SELECT ... FROM ... WHERE username = ?', $_POST['username']);

switch ($row->type) {
    case null:  // starý hash
        $verified = hash_equals($row->password, sha1($row->old_salt . $_POST['password']));
        break;
    case 1:  // nový hash přes starý
        $verified = password_verify(sha1($row->old_salt . $_POST['password']), $row->password);
        break;
    default:
        $verified = false;
        break;
}

Pokud starý hash nepotřebuje salt, tak $row->old_salt samozřejmě vynechejte. Funkce pro bezpečné porovnávání hashů hash_equals() je dostupná od PHP 5.6, pokud máte starší, tak upgradujte. V nejhorším případě ji můžete nahradit za obyčejné porovnání $row->password === sha1(...), to platí i pro ostatní jazyky.

Takovéhle „skládání“ různých hashovacích funkcí není z kryptografického hlediska úplně čisté, běžně se nedoporučuje a není to moc prozkoumáno, ale v tomto případě je mnohem lepší, než používat slabé hashe pro hesla uživatelů, kteří se dlouho nepřihlásí.

Uložení čistého nového hashe

Po úspěšném přihlášení má aplikace k dispozici heslo v čitelné podobě, takže ho můžeme zahashovat „čistým“ novým hashem a této kryptografické nedokonalosti se zbavit. Využijeme opět sloupeček type, aby ověřování hesla vědělo, že tentokrát nemá před voláním password_verify() dělat žádný cviky. V tomto případě určitě nepoužívejte ověřování stylem nejdřív zkusím čistý nový hash, pak nový přes starý a pak starý, šlo by se totiž přihlásit jen hashem nalezeným v nějaké zveřejněné databázi, jak správně podotkl David Grudl.

Připravíme si funkci pro uložení nového hashe, nastavení nového typu (2 pro „čistý“ hash) a případné vynulování starého saltu, už ho nebudeme potřebovat:

function saveNewHash($username, $password)
{
    $db->query('UPDATE ... SET password = ? , old_salt = NULL, type = 2 WHERE username = ?',
        password_hash($password, PASSWORD_DEFAULT),
        $username
    );
}

A po ověření hesla pomocí nového + starého hashe ji zavoláme. Můžeme ji volat také po ověření jen pomocí starého hashe, ničemu to vadit nebude a aspoň nepatrně ulehčíme skriptu na převod všech hashů. Dále přidáme větev case 2 pro ověření pouze pomocí nového hashe:

$row = $db->query('SELECT ... FROM ... WHERE username = ?', $_POST['username']);

switch ($row->type) {
    case null:  // starý hash
        $verified = hash_equals($row->password, sha1($row->old_salt . $_POST['password']));
        if ($verified) {
            saveNewHash($_POST['username'], $_POST['password']);
        }
        break;
    case 1:  // nový hash přes starý
        $verified = password_verify(sha1($row->old_salt . $_POST['password']), $row->password);
        if ($verified) {
            saveNewHash($_POST['username'], $_POST['password']);
        }
        break;
    case 2:  // pouze nový hash
        $verified = password_verify($_POST['password'], $row->password);
        break;
    default:
        $verified = false;
        break;
}

Spuštění skriptu

Náš úžasný skript na přehashování můžeme konečně spustit. Doporučuji ho předtím velmi dobře otestovat a případně si udělat zálohu té správné tabulky, kdyby se něco náhodou nepovedlo. Po doběhnutí skriptu můžete odstranit větev case null z přihlašování, staré hashe by již v databázi neměly být. Dá se to ověřit pomocí SELECT COUNT(*) ... WHERE type IS NULL, výsledkem by měla být nula.

Pokud jste si udělali zálohu, tak ji nezapomeňte bezpečně smazat. To se týká i všech ostatních pravidelných záloh databáze, ty také zlikvidujte nebo z nich staré hashe odstraňte. Zálohy se velmi často ztrácejí a mohou být zdrojem úniku starých slabých hashů.

Co dál

Nezapomeňte při registraci a změně hesla (i zapomenutého) ukládat pouze nový hash a nastavit typ na „pouze nový“ (v našich příkladech to je type = 2). Tedy v podstatě to, co dělá námi vytvořená funkce saveNewHash($username, $password).

Použití silného (a relativně pomalého) hashe samotnému lámání hesel nezabrání, jen útočníkovi bude trvat příliš dlouho, takže ho to snad přestane bavit. Slabá hesla typu password i přesto získá vcelku rychle (protože budou to první, co vyzkouší), takže by bylo fajn mu v crackování nějak zabránit. Občas se doporučuje přimíchat do hesla tzv. pepper („pepř“, jakože sůl a pepř, chápete), tedy další statickou „sůl“ stejnou pro všechny uživatele. Pravděpodobnost, že by útočník získal databázi i pepper z konfigurace, a mohl tak začít crackovat hesla, je o dost menší než že získá jen databázi.

Na pepper zapomeňte, hashovací funkce na jeho použití nejsou navržené a na jeho použití neexistuje žádný rozumný výzkum. Stejného efektu se dá dosáhnout zašifrováním hashů (ne hesel), to je navíc kryptograficky čistá operace. Ale o tom zas někdy příště.

V některém dalším článku si také ukážeme jak pomocí password_needs_rehash() transparentně měnit parametry hashovacích funkcí, příp. jak změnit algoritmus z bcryptu na Argon2i (nebo Argon2id, který snad bude v PHP 7.3). V současnosti je použití bcryptu stále v pořádku, hesla ochrání dostatečně i když použijete defaultní cost (měl by být aspoň 10) a na Argon2i (nebo -id) se dá přejít třeba až bude v PHP jako PASSWORD_DEFAULT. Pak to bude stačit udělat způsobem 2), tedy přeuložením po přihlášení, ale nebudeme předbíhat.

Prosím, chraňte hesla svých uživatelů.

Materiál EU k implementaci GDPR včetně otázek a odpovědí

Materiál EU k implementaci GDPR včetně otázek a odpovědí tereza.tumova@… Út, 01/30/2018 - 10:41

Doporučujeme Vaší pozornosti stránky EU k GDPR. Obsahují pravidla pro podniky a organizace, informace pro občany, otázky a odpovědi.

Půl roku na Rawhidu

Už je to půl roku, co jsem přešel na domácím počítači na Fedora Rawhide, vývojovou rolling release verzi Fedory. Jaké jsou mé dosavadní zkušenosti?

rawhide

Rawhide je takový „master“ Fedory, nikdy nekončící vydání, do kterého přistávají nové a nové verze balíčků. Jednou za půl roku se z něj oddělí větev, z které se po několika měsících testování stane stabilní vydání.

Z Rawhidu jsem měl docela respekt. Zkoušel jsem na něj přejít před několika lety a tenkrát se mi to ani nepovedlo. V posledních letech se ale klade důraz na zvyšování kvality Fedory a týká se to také Rawhidu. Nedávno byly zrušené alpha vydání, protože cílem je udržovat v alpha kvalitě už Rawhide, takže při oddělení větve už by budoucí vydání mělo mít alespoň alpha kvalitu.

To můžu po půlročním používání Rawhidu na domácím notebooku jenom potvrdit. Vlastně jsem nenarazil za žádnou zásadní komplikaci. Jen při bootu člověk vidí trochu víc warningů. Ze softwarem z repozitářů Fedory jsem zatím problémy neměl, ale to už tak úplně neplatí pro repozitáře třetích stran. Ty často nedrží s Rawhidem krok a objevují se problémy se závislostmi. To bolí zvláště u kodeků z RPMFusion. Naštěstí tu máme Flatpak. Přes něj jsem vyřešil Spotify a na multimédia stačí nainstalovat VLC a MPV a má člověk po starostech. Stejně jako se Flatpak hodí na provoz aplikací třetích stran na velmi starých distribucích, hodí se i na těch bleeding edge.

Samozřejmě všem běžným uživatelům budu i nadále doporučovat stabilní vydání Fedory, ale pokud patříte mezi early adopters a rolling release vám ve stabilních vydáních chybí, můžu přechod na Rawhide doporučit. Opravdu se jeho kvalita hodně zlepšila a malé děti nežere 🙂

Mimochodem víte, po čem je Rawhide pojmenovaný? Po westernovém seriálu o kovbojích, který běžel v televizi v 60. letech. Na úvodní znělce je docela dobře znát, proč po něm pojmenovali právě rolling release distribuci:

Čtvrtletní prezentace projektů SPIR

Čtvrtletní prezentace projektů SPIR petr.kolar@spir.cz Út, 01/23/2018 - 10:53

V úterý 23. ledna 2018 od 10 hod. se uskutečnila samostatná prezentace projektů SPIR v art & event gallery ČERNÁ LABUŤ, Na Poříčí 25, Praha 1. Prezentace jsou ke stažení v příloze.

Mediální trh společně podporuje pozměňovací návrh k zákonu o léčivech, kterým je regulována reklama

Mediální trh společně podporuje pozměňovací návrh k zákonu o léčivech, kterým je regulována reklama tereza.tumova@… Út, 01/23/2018 - 07:10

   

loga
tisková zpráva

Praha, 23. ledna 2018 – Provozovatelé médií a reklamní agentury sdružené v profesních asociacích[1] společně podporují pozměňovací návrh k zákonu o léčivech, o kterém se bude v pátek hlasovat na plénu poslanecké sněmovny a který navrhuje zrušit poslední novelizaci zákona o regulaci reklamy. V loňském roce byl totiž přílepkem právě k zákonu o léčivech novelizován zákon o regulaci reklamy tak, že byla rozšířena odpovědnost za soulad obsahu reklamy na vybrané typy produktů - humánní léčivé přípravky, doplňky stravy a potraviny pro zvláštní a kojeneckou výživu - se zákonem i na její pouhé šiřitele. Do té doby za soulad obsahu reklamy na takové produkty se zákonem odpovídaly pouze subjekty, které se na něm skutečně podílejí, stejně jako je tomu u ostatních typů produktů. Pozměňovací návrh usiluje o návrat k původní podobě zákona o regulaci reklamy.

Problematická novela, která zavedla solidární odpovědnost šiřitele reklamy za soulad obsahu reklamy na humánní léčivé přípravky, doplňky stravy, potraviny pro zvláštní a kojeneckou výživu se zákonem, je účinná od dubna 2017. Nevedla k žádnému zvýšení úrovně ochrany spotřebitelů, jen se ukázalo, že je snadno zneužitelná pro konkurenční boj výrobců dotyčných produktů. Už na jaře loňského roku celý mediální sektor upozorňoval na to, že rozšíření odpovědnosti na šiřitele reklamy k vyšší ochraně spotřebitelů vést nemůže. Šiřitelé reklamy totiž nedisponují odbornou kvalifikací ani právními nástroji k tomu, aby dokázali shromáždit potřebné podklady a kvalifikovaně zhodnotit, zda inzerovaný výrobek například skutečně posiluje imunitu či nikoliv.  

„Provozovatelé médií chápou, že cílem novely měla být větší ochrana spotřebitele, ale přenesení odpovědnosti na šiřitele reklamy není tou správnou cestou. Ochranu spotřebitele lze zvýšit pouze efektivním vymáháním zákonných povinností u zadavatelů reklamy. Doufáme, že zákonodárci tuto skutečnost pochopí a podpoří pozměňovací návrh, který navrací znění zákona o regulaci reklamy do původní podoby, a stávající novelu odmítnou jako nekoncepční a nesystémovou,“ komentuje společný postup Ján Simkanič, předseda Sdružení pro internetový rozvoj (SPIR).

 

 

 

Reportáž z účasti na konferenci OpenAlt 2017

Ještě během konference OpenAlt 2017 mě Jan 'Ivir' Mareš požádal, bych na základě účasti sepsal článek. Původně jsem si říkal, že je to zbytečné, protože o takové kvalitní akci každý odborník ví. Ale pak jsem si vzpomněl, jak nevěděl o jakou konferenci se jedná zaměstnanec RedHatu, přitom je to firma, která je hlavním partnerem této konference, a tak jsem si uvědomil, že sepsání článku je potřeba. Zároveň článek slouží mě jako připomenutí a dokumentace akce. ........

Pozvánka na 148. sraz OpenAlt – Praha

leden
14
Openalt.org

První letošní pražský sraz se koná již tento čtvrtek 18. ledna od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Vítáni jsou všichni příznivci svobodného softwaru a hardwaru, ESP32, DIY, CNC, SDR nebo dobrého piva. Prvních deset účastníků srazu obdrží samolepku There Is No Cloud… just other people's computers. od Free Software Foundation.

There Is No Cloud

…just other people's computers.

Pozvánka na 148. brněnský sraz - nanotechnologický

leden
14
Openalt.org

Neb sliby se mají plnit nejen o Vánocích, zopakujeme si sraz z roku 2015, kdy jsme navštívili Ústav fyzikálního inženýrství VUTBR (Vysoké učení technické v Brně) - viz.

Kam s dětmi: Technické muzeum Tatra v Kopřivnici

Začátek ledna, venku teplo, stavět bláťuláka ale s dětmi nechcete. Hledáte něco, co má náplň aspoň na půl dne, budou z toho hezké fotky a chvilku se tam musí jet, aby se času spotřebovalo co nejvíc. A nejlíp aby tam někde byla restaurace s obědem, když už to bude výlet (na vaření dneska nebude čas)....

Programovací jazyky a typy

Článek je volným přepisem mé přednášky na jOpenSpace 2017, vychází z mých zkušeností ze školení JavaScriptu a Angularu a z níže uvedených zdrojů.

Zdá se mi, že programátoři mají často sklon vnímat některé aspekty programovacích jazyků černobíle. Jedním z typických příkladů jsou typové systémy programovacích jazyků.

Často je to dáno předchozí zkušeností, stručně jde o to, že:


„Mnoho programátorů používalo velmi špatné staticky typované jazyky.“


„Mnoho programátorů používalo dynamicky typované jazyky velmi špatně.“


Pojďme se na problematicku podívat více věcně a ukázat si pár vlastností, podle kterých můžeme typovost jazyků snadno kategorizovat.

Je v kódu více než jeden typ?

První pohled, který se nabízí je, jestli je jazyk typovaný, či nikoli. Jinými slovy, jestli hodnoty jazyka jsou různých typů. Většina dnešních jazyků typy rozlišuje, poznají čísla, řetězce... S netypovým jazykem se setkáte jen když posunete až na úroveň assembleru.

Kdo nese typ?

Už víme, že náš jazyk je typovaný, důležité ale je, kdo je nositelem typu. Podlé této metriky rozlišujeme jazyky statické a dynamické. 

Dynamický jazyk poznáte tak, že typ nese hodnota. Reference (proměnná, konstanta) typ nenese. Důsledkem toho je, že do jedné proměnné můžete přiřadit hodnoty různých typů, nicméně to, že to jde ještě neznamená, že to chcete dělat. 

U staticky typovaných jazyků nese typ jak hodnota, tak reference a jazyk vám nedovolí přiřadit referenci hodnotu, která neodpovídá jejímu typu.

Co když typy nesedí?

Další důležitou otázkou je, co se stane, když použijete hodnotu určitého typu tam, kde je očekáván typ jiný. Poradí si s tím jazyk sám, nebo bude vyžadovat, aby situaci vyřešil programátor?

Podle toho rozlišujeme slabě a silně typované jazyky. 
Silně typovaný jazyk vám nedovolí např. násobit číslo se stringem, i kdyby hodnota ve stringu odpovídala číslu. 

Naproti tomu slabě typovaný jazyk zkusí hodnotu převést na správný typ a operaci provést.


Jde o název, nebo o strukturu?

Jak vlastně jazyk pozná, zda něco odpovídá určitému typu? Představme si třeba interface a metodu:
Jak vytvořit objekt, který můžeme předat uvedené funkci? To záleží, jestli má váš jazyk nominální, nebo strukturální typy.

Většina obecně známých jazyků vyžaduje jmenovité uvedení typu, který splňujete - např. jaký implementujete intefrace - jde o nominální typový systém (name-based type system).

S příchodem typů do světa JavaScriptu (TypeScript, FlowJS) se do popředí dostává opačný přístup, který staví na struktuře dat. Kontroluje jestli má objekt všechny vlastnosti které daný typ vyžaduje a jestli jsou datové typy těchto vlastností stejné. Označuje se jako strukturální typový systém, často se můžete setkat také s pojmem duck-typing.

A musím psát typy všude?

Když definujeme typy funkcím a metodám, když víme jaká instance vznikne voláním konstruktoru, může nás napadnout, že některé typy si může compiler odvodit sám, protože v kódu už typová informace je.
Záleží na jazyku, jestli si dokáže typ odvodit (podporuje type inference), nebo bude požadovat explicitní uvedení typu.


A co když někdy typy nechci řešit?

Některé jazyky vám dávají na výběr, jestli chcete psát typy, nebo ne. Jde o vlastnosti, kterou oceníte hlavně ve chvíli, kdy ve vašem ekosystému není statické typování zvykem - proto asi nepřekvapí, že volitelné typování nabízí TypeScript. 

Není to černobílé

Když se na typový systém programovacího jazyka podíváte z pohledu popsaných vlastností, uvidíte, že věci nejsou černobílé. Je třeba vědět víc, než jen jestli je jazyk staticky nebo dynamicky typovaný.
Potom vás nepřekvapí že i když TypeScript přináší typy do světa JavaScriptu, nebude se chovat tak, jak jste zvyklí třeba z Javy. 




Závěr

Ať už píšete v jakémkoli jazyku, je dobré znát jeho možnosti. A k tomu znát možnosti a přístupy ostatních jazyků. Pomůže vám to zamyslet se nad problémem z jiné perspektivy. Mě experimenty s novým jazykem rozšiřují obzory a vedou mě k přístupům, které můžu aplikovat všude, ale dříve by mě nenapadly.



„The structures of your language shape the way you think and perceive the world.“

[Sapir-Whorf hypothesis]

Zdroje:




Vánoce a Silvestra trávilo více lidí offline, návštěvnost internetu o svátcích klesla

Vánoce a Silvestra trávilo více lidí offline, návštěvnost internetu o svátcích klesla tereza.tumova@… Pá, 01/05/2018 - 10:29

Tisková zpráva

Zatímco první tři týdny v prosinci byla návštěvnost internetu poměrně vysoká (pohybovala se kolem 4,6 milionu RU denně), po 20. prosinci začala postupně klesat. Štědrý den a první vánoční svátek trávili lidé tradičně čas mimo internet; jeho návštěvnost klesla na 3,87 resp. 3,99 milionu RU. Nízká návštěvnost (4 miliony uživatelů ze všech platforem dohromady) byla také zaznamenána na Silvestra. Tento trend byl zaznamenán také v předchozích letech.

Největší nákupní boom na internetu probíhal do poloviny prosince, kdy se denní návštěvnost webových stránek v kategorii E-commerce prodej pohybovala kolem 1,2 milionu RU ze všech zařízení. Druhá polovina měsíce byla již klidnější, s průměrnou denní návštěvností o 200 tisíc RU nižší. Je tedy možné poznamenat, že kdo chtěl koupit vánoční dárky přes internet, snažil se tak učinit do poloviny prosince. Nakupování po internetu uživatele již tolik nezajímalo těsně před samotnými svátky a během nich – mezi 22. a 25. prosincem dosahoval počet návštěvníků zapojených internetových obchodů pouze asi 800 tisíc denně, na Štědrý den činil dokonce pouhých 669 tisíc RU (ze všech platforem dohromady).

O vánočních prázdninách se lidé mohli více věnovat svým koníčkům, rostla tedy kategorie Zájmové servery a hobby, ovšem pouze z mobilních zařízení – nárůst RU o 6 % z mobilních telefonů a o 8 % z tabletů. Naopak největší pokles zaznamenala kategorie Cestování – prodej, což by mohlo naznačovat, že pokud chtěl někdo na Vánoce odcestovat, objednal si zájezd s předstihem, naopak, kdo je zvyklý trávit svátky doma, zabýval se jinými aktivitami. Klesly také například kategorie Sport, Společenské magazíny či Zdraví.

V prosinci se výrazně zvýšila návštěvnost webových stránek určených mužům. Mužské magazíny o životním stylu zaznamenaly 17procentní meziměsíční nárůst počtu uživatelů z klasických počítačů, 18procentní z mobilních telefonů a dokonce 36procentní z tabletů. Rostl také počet uživatelů u další kategorie, navštěvované rovněž spíše muži, a to Auto-moto obsah. Největší nárůst byl zde zaznamenán u tabletů (14 %).

Tab. 1. Výsledky měření návštěvnosti internetu na jednotlivých zařízeních – výsledky za listopad a prosinec 2017

Počítače

Listopad

 

Prosinec

Absolutní
změna

Relativní změna

Reální uživatelé (RU)

6 835 647

6 803 600

-32 047

-0,47%

Zhlédnuté stránky (PV)

17 445 161 955

15 737 346 846

-1 707 815 109

-9,79%

Reální uživatelé (RU) – PC doma

6 785 265

6 647 741

-137 524

-2,03%

Zhlédnuté stránky (PV) – PC doma

13 275 271 212

12 723 990 893

-551 280 319

-4,15%

Reální uživatelé (RU) – PC v práci

2 627 476

1 883 265

-744 211

-28,32%

Zhlédnuté stránky (PV) – PC v práci

4 169 890 743

3 013 355 952

-1 156 534 791

-27,74%

Mobilní telefony

Listopad

 

Prosinec

Absolutní
změna

Relativní změna

Reální uživatelé (RU)

3 730 815

3 749 111

18 296

0,49%

Zhlédnuté stránky (PV)

1 925 736 258

1 990 428 431

64 692 173

3,36%

Tablety

Listopad

 

Prosinec

Absolutní
změna

Relativní změna

Reální uživatelé (RU)

1 705 956

1 707 235

1 279

0,07%

Zhlédnuté stránky (PV)

324 158 649

329 458 386

5 299 737

1,63%

Zdroj: NetMonitor, listopad a prosinec 2017.

Crackování hesel z úniku Mall.cz

České internetové nákupní galerii Mall.cz unikla jakási data. Rozebírá to Lupa, která se dostala k souboru s čitelnými hesly uloženému na Ulož.to. Data tam byla dostupná zhruba měsíc, přičemž se soubor na Ulož.to objevil koncem července 2017. Přečetl jsem snad všechny články (a komentáře pod nimi!), které se tématu týkají a kromě jiného jsem se dozvěděl, že se muselo jednat o únik dat v čitelné podobě a že hesla se lámou pomocí předpočítaných tabulek a hrubou silou, tedy zkoušením všech možných kombinací. Nemuselo a takhle se hesla dnes fakt spíš nelámou.

Co víme

Malá rekapitulace faktů: již smazaný soubor na Ulož.to obsahoval 735 956 unikátních e-mailových adres (Troy Hunt jich do služby na prohledávání úniků Have I Been Pwned? importoval jen 735 405, vynechal adresy s diakritikou a s dalšími nevalidními znaky) a celkem 766 421 hesel v čitelné podobě, z nichž zhruba 216 tisíc vypadá jako náhodně generovaný řetězec šesti alfanumerických znaků (malá a velká písmena a číslice). Později se ukázalo, že to byla hesla generovaná a posílaná Mallem při prvním nákupu.

Dále také víme, že ten soubor na Ulož.to neobsahoval všechny účty, např. moje heslo vygenerované password managerem a používané od roku 2009 pouze na Mallu (97DS9WK14qMrAbzftnwd) v něm není, což může být proto, že ho do doby zveřejnění toho souboru nikdo necracknul. Ostatně domnívám se, že někdo si z Mallu odnesl více (hashů) hesel než bylo v souboru na Ulož.to. Jednak Mall zresetoval i hesla, která v něm nebyla, viz třeba já, a jednak mi pár dní po zveřejnění incidentu jeden člověk, říkejme mu třeba Honza, napsal, že se mu někdo úspěšně přihlásil do jeho účtu na Steamu, což prý byla jediná služba, na které měl stejné heslo jako na Mallu. Jenže Honzův účet a (prý v hlavě vymyšlené) heslo ve zveřejněných datech Mallu nejsou. Všechno naštěstí dobře dopadlo, Honzu i jeho účet na Steamu zachránila dvou-faktorová autentizace.

Unikla data v čitelné podobě? Mohla, ale taky nemusela.

8× GeForce GTX GPU

Výkonné stroje na crackování hesel staví Sagitta HPC, foto Jeremi Gosney

Cože, grafické karty?

Na lámání hesel z uniklých databází (tzv. offline útoky) se dnes nepoužívají tzv. předpočítané tabulky, známé také jako rainbow tables. Jejich vytváření je časově náročné, navíc zbytečně obsahují spoustu záznamů, které neodpovídají tomu, jak uživatelé hesla vytváří. S možností obecných výpočtů na grafických kartách (GPU) se na crackování hesel používají spíš ty. Programy jako např. hashcat nebo John the Ripper na GPU vytváří tzv. kandidáty, které porovnávají s dostupnými hashi. Když najdou shodu, tak kandidáta označí jako heslo, které danému hashi odpovídá. U hesel, tedy u krátkých řetězců s omezenou znakovou sadou se nemůže stát, že by došlo ke kolizi a dvě různá hesla měla stejný hash. Jedna grafická karta dokáže vygenerovat třeba miliardy MD5 hashů za vteřinu, navíc lidé vytváří hesla předvídatelně, takže je možné efektivně vytvářet jen takové kandidáty, které odpovídají heslům vytvářeným v hlavách uživatelů.

V současnosti nejvýkonnější grafická karta na crackování hesel NVIDIA GeForce GTX 1080 Ti umí spočítat 31 miliard MD5 hashů za vteřinu (GTX 1080 je o pětinu pomalejší). Když chcete crackovat hesla, tak chcete tzv. Founders Edition, tedy referenční kartu navrženou přímo výrobcem grafického čipu, která zvládne pod plnou zátěží běžet 24 hodin denně, 7 dní v týdnu. „Herní“ (nebo OEM) edice to nezvládnou, hry se hrají spíš nárazově, pár hodin denně, takže „herní“ karty mohou používat levnější a méně kvalitní komponenty (netýká se vlastního čipu, ten je stejný), což se tedy bohužel na výsledné ceně moc neprojevuje.

GTX 1080 Ti Founders Edition se u nás už nedá sehnat, co takhle zkusit cloud? Amazon AWS nabízí Elastic GPUs (které na crackování hesel nejspíš použít nejdou) a servery řady p2, p3 a g3 s následujícími grafickými kartami (uvádím vždy maximální konfigurace, ceny jsou orientační, pro aktuální se podívejte do ceníku):

  • NVIDIA Tesla V100 v p3.16xlarge instanci s 8× GPU za $26,44/h on-demand, $5/h spot
  • NVIDIA Tesla K80 v p2.16xlarge instanci s 16× GPU za $14,4/h on-demand, $2,52/h spot
  • NVIDIA Tesla M60 v g3.16xlarge instanci s 4× GPU za $4,56/h on-demand, $1,35/h spot

Pro porovnání, Microsoft Azure nabízí následující servery s kartami NVIDIA Tesla:

  • Tesla V100 v NCv3 series instanci NC24s_v3 s 4× GPU za $6,12/h
  • Tesla K80 v NC series instanci NC24 s 4× GPU za $3,60/h
  • Tesla M60 v NV series instanci NV24 s 4× GPU za $4,56/h

OVH má v nabídce pouze následující dedikovaný server:

  • 4× NVIDIA GeForce GTX 1080 za 30 944,99 Kč bez DPH / měsíc

Karty Tesla obecně nejsou na crackování hesel moc výkonné (neplatí pro novou V100), jak ukazují počty spočítaných MD5 hashů (kde MH = milion hashů) v porovnání s kartami GTX:

  • 1× Tesla V100: 52 729,6 MH/s (!), výkon p3.16xlarge instance s 8× GPU je 421,8 GH/s (!!!)
  • 1× Tesla K80: 4558,4 MH/s, výkon p2.16xlarge instance s 16× GPU je 72,9 GH/s
  • 1× Tesla M60: 10 581,7 MH/s, výkon g3.16xlarge instance s 4× GPU je 42,3 GH/s
  • 1× GTX 1080: 24 809,8 MH/s
  • 1× GTX 1080 Ti: 30 963,5 MH/s

Crackování hesel

V tom souboru na Ulož.to bylo 381 908 unikátních hesel, všechna jsem je zahashoval pomocí algoritmu MD5 a zkusil zase cracknout. Chtěl jsem ověřit, jestli by to šlo a jak daleko se dostanu. Pokud by to šlo cracknout relativně rychle, tak to opravdu mohlo uniknout jako hashe a někdo to prostě cracknul. Tak jsem si od Amazonu pronajal p2.16xlarge s kartami Tesla K80 (P3 s Tesla V100 jsou dostupné až od října 2017, tento „příběh“ je ze začátku září), stáhl dva asi nejznámější seznamy uniklých hesel rockyou.txt a phpbb.txt a v podstatě bez přípravy jsem se do toho pustil. Profík by přípravu zcela jistě nepodcenil, hesla by nelámal na Amazonu, ale já to schválně ani jako profík dělat nechtěl. Používal jsem jen standardní pravidla pro další úpravu kandidátů dodávaná s hashcatem a seznam českých slov, jmen a příjmení jsem sestavoval až za běhu. Seznam českých ulic už se mi dělat nechtělo. Profík by si tohle všechno připravil a za stejný čas by měl cracknutých hesel přece jen více.

Kromě zmíněných seznamů jsem zkoušel hesla lámat následujícími způsoby:

  • kombinatorickým útokem, ten kombinuje data ze dvou seznamů (třeba jmena.txt a prijmeni.txt)
  • útokem hrubou sílou (brute-force), protože vyzkoušet všechny kombinace z 8 malých písmen nebo 12 číslic bylo rychlé
  • útokem PRINCE, který generuje kandidáty kombinováním více slov z jednoho souboru

Všechny tyto útoky se navíc dají upravit a rozšířit pomocí pravidel, která například nahrazují písmena za čísla (a4, e3, o0 a další, takže se zkusí heslo i h3sl0) nebo mění některá písmena za velká, přidávají do vygenerovaných hesel na různá místa čísla nebo speciální znaky, zdvojují slova apod. takže kandidátů je k dispozici habakuk.

Za 45 minut jsem měl vylámáno 165 tisíc hesel, tedy cca 43 %. Za 12 hodin jsem cracknul skoro všechna, zůstalo mi 935 nevylámaných hesel, a to jen proto, že jsem už chtěl jít spát. Nechat to běžet ještě pár hodin, tak jsem si celkem jistý, že bych dostal všechna.

Podařilo se cracknout i tato hesla, která v žádném použitém seznamu nebyla:

  • JK52jarka
  • lockap7gia – anglické slovo („lock“) + hmm, něco
  • soyouitknow – 4 anglická slova, „nesprávně“ seřazená
  • str3ela9133 – slovo strela upravené pravidly + číslo
  • Marketa19.. – jméno s velkým na začátku + číslo + dvě tečky
  • Renik2510!! – to samé, jen s vykřičníky, obojí je klasika
  • 15zdenek1973
  • to neuhodnes – hele, spíš asi jo (tohle je výjimka, bylo to v seznamu rockyou.txt)
  • andalusan89T@
  • natoneprijdes – no nekecej
  • čokoládamilka – v seznamu rockyou.txt byla podobná varianta bez diakritiky cokoladamilka
  • lindisfarne793
  • kobylamamalybok – 4 česká slova, program palindromy nezkouší
  • fm9fytmf7qkckct – prvních 15 znaků ze sériového čísla pro Microsoft Office
  • asdfghjkl0123456789 – „procházka po klávesnici“ asdfghjkl + číselná řada

…a 380 961 dalších. Necracknutá zůstala třeba tato:

  • carolinepassword2680? – jméno + password + číslo + otazník
  • passwordusuniversalis – dvě slova rozšířená o -us-is
  • 3681913234731michal – číslo (ve skutečnosti CD key ke hře) + jméno
  • Qawsedqawsed11+ – 2× „procházka po klávesnici“ qawsed + číslo + plus
  • j4 n3v1m v073 – ja nevim vole s předvídatelně nahrazenými znaky
  • PyQ7z4XwBf1o9 – tohle mi nejdřív přišlo jako asi nejsložitější heslo, ale už je v nějakém seznamu hashů, otázkou je jak dlouho (jiná hesla z Mallu tam nejsou)
  • ●●●●●●●●●●● – moc nechápu, jak se to tam dostalo, nicméně o tři znaky delší varianta ●●●●●●●●●●●●●● se cracknout podařila

V tom zbytku není ani jedno heslo generované správcem hesel a všechna jsou podobná těm, co se cracknout podařilo, takže si myslím, že by se podařilo relativně rychle cracknout i ten zbytek.

Co s tím

Myslím, že hesla mohla opravdu klidně uniknout nějak hashovaná. Lámání SHA-1 s kryptografickou solí (metoda, kterou Mall používal od 2012 do 2016) by zabralo o dost víc času a to nejen proto, že rychlost generování SHA-1 je zhruba třetinová, ale také proto, že nelze použít porovnávání kandidáta se všemi možnými hashi, protože každý má jinou sůl. Z hesel uložených pomocí bcryptu (od 2016) by šla cracknout jen opravdu jednoduchá hesla typu password (GTX 1080 Ti pro bcrypt umí 646 hashů/s s p­očtem opakování 210, Tesla V100 1707 hashů/s), ale sám Mall tvrdí, že většina prolomených hesel pochází právě z doby, kdy byla používána [metoda MD5].

Na závěr dvě rady:

  1. Pokud hesla vymýšlíte v hlavě nebo pokud používáte jedno heslo na více místech, tak spíš asi přestaňte. Silné heslo nevypadá tak, že obsahuje minimálně jedno malé a jedno velké písmeno, jedno číslo a jeden speciální znak, protože velké dáte na začátek a číslo na konec a za něj dáte vykřičník. Síla hesla spočívá v jeho náhodnosti, která se dá částečně dohnat délkou, ale i když takové heslo použijete na více místech, tak se síla vytrácí. Zkuste použít správce hesel (ale pozor, ne všechny jsou stejně dobré, líbí se mi 1Password, ačkoliv z historických důvodů stále používám KeePass) a hlavní heslo si vygenerujte třeba pomocí kostek, tedy metody diceware.
  2. Jestli provozujete nějakou aplikaci a uživatelská hesla ukládáte pomocí MD5 nebo SHA-1 či SHA-2, tak to změňte třeba na bcrypt nebo Argon2i a stávající hesla přehashujte. Hesla tak budou mnohem lépe chráněna.

Óda na 3D tiskárnu i3 MK2 po roce provozu

Když jsem si v říjnu 2016 konečně vybral 3D tiskárnu, sliboval jsem, že po určité době znovu napíšu, jak tiskárna funguje - jestli je tak spolehlivá, jak jsem při výběru požadoval. Dnes je to 13 měsíců od chvíle, kdy jsem originál Průša i3 MK2 sestavil, takže je nejvyšší čas trošku rekapitulovat.

SCAD program pro krabičku WiFi Teploměru
můj zatím nejsložitější design v OnShape



Především je potřeba říct, že tisknu mnohem méně, než bych sám chtěl, a to ze dvou důvodů: za prvé nemám čas vytvářet modely. Když už mě něco napadne, že bych vytiskl, tak je to potřeba nejdříve narýsovat v nějakém CADu, a to mi trvá dlouho. Přestože jsem se zlepšil v používání aplikace OpenSCAD, a také se nově naučil tak 20 % vlastností čistě webového CADu OnShape, což mi umožňuje tvořit relativně složité věci, pořád nejsem dost rychlý nebo nemám dost času vytvořit modely věcí, které potřebuji vytisknout.


návh krabičky pro laboratorní zdroj v OnShape

hotový laboratorní zdroj

Druhým důvodem je, že mám tiskárnu ve stejné místnosti, kde mám pracovní počítač. Přestože při tisku plast nesmrdí, tak mi vadí ty výpary, nebo jak nazvat ten roztavený plast ve vzduchu. Představuju si naturalisticky, jak se mi plíce zalepují nanočásticemi plastu hůř než kuřákovi dehtem, a tak z pracovny při tisku raději utíkám. No a protože mám pořád nějakou práci na počítači, tak zkrátka tiskárnu nepouštím ani když bych chtěl a měl co tisknout. Každá drobnost se totiž tiskne několik hodin a na takovou dobu obvykle bez počítače nevydržím.

část vzduchotechniky ke krbu

speciální pružný držák krabičky KM 22

Zde bych rád apeloval na všechny tiskaře chystající se stěhovat - pokud do bytu, tak volte zásadně byt s více pokoji, než kolik máte členů v rodině (tedy pro čtyřčlennou rodinu je nutný 5+1). Jedině tak zbyde pro tiskárnu jeden volný pokojíček, jaký si zaslouží. Pokud se chystáte stavět rodinný dům, rozhodně naplánujte jednu místnost jen pro tiskárnu. Není potřeba nic velkého, stačí dva metry čtvereční jak pro WC, zkrátka nějaký kamrlík, kam nikdo nemá potřebu chodit a kde je možné instalovat aktivní odvětrání přes zeď (trubka a ventilátor, co ty tiskové zplodiny vytáhne ven).

ruční ovladač systému pro havarijní zastavení přívodu vody v domě

Luskoun z Thingiverse.com - pohyblivý výtisk z jednoho kusu

I přes tato omezení jsem za posledních 400 dní tiskl celkem 9,5 dne (= 230 hodin) čistého času a vytiskl jsem více než 834 metrů tiskové struny (dle statistik tiskárny). A teď to nejdůležitější, kvůli čemu tento blog post píšu: po celou dobu tisk funguje přesně tak, jak jsem potřeboval, tedy naprosto bezúdržbově. Jen přijdu k tiskárně, strčím kartu s připraveným modelem v gcode, kliknu na tisk, utřu MK42 podložku papírovou kuchyňskou utěrkou namočenou v Okeně (pro tisk z PETG) nebo IPA (pro tisk z PLA) a je to. Už ani nekontroluju, jestli přilne první vrstva, rovnou odcházím z pracovny. Až se vrátím, je vše v pořádku vytištěno. Nikdy mi žádný tisk neselhal, nikdy se nic neodlepilo od MK42 podložky.

krabičky na čidla vlhkosti a vysoké teploty pro WiFi Teploměr

krabičky na čtyřportovou USB nabíječku (vlastní vynález)

Naopak, odlepování od MK42 podložky je jediná činnost, která není s i3 MK2 pohodová. Vyžaduje to velké úsilí a častokrát i násilí. PETG drží na PEI více než dobře. Nejsem zvíře, abych do výtisků mlátil z boku kladivem, jak někteří doporučují - většinou se uchyluji k podebrání rohu výtisku nabroušenou špachtlí, což bohužel trochu zdeformuje rožek výtisku. Zde je stále prostor pro zlepšení, které vlastně už nastalo v podobě magnetické podložky MK52 u Průša i3 MK3 - tu stačí jednoduše prohnout a výtisk by měl sám odskočit.

krabička na DC-DC UPS (bude brzy publikováno)

tiskl jsem krabičky na všechny Orange Pi počítače (tohle je One)

Dlužno dodat, že jsem za celou dobu nemusel na tiskárně nic měnit ani spravovat. Všechno funguje dobře od prvotního sestavení. Akorát jsem teď trošku olejem na šicí stroje a kola namazal pojezdové tyče, ale asi to bylo zbytečné, protože se nic nezměnilo (ani k lepšímu, ani k horšímu). No a samozřejmě průběžně aktualizuju firmware v tiskárně, který Průšův tým pořád vylepšuje.

spojky záclonových tyčí pro posuvný baldachýn nad terasou (bude publikováno)

krabička na míru pro WiFi Teploměr

Nezdůrazňoval jsem to dřív, ale pro jistotu to zmíním. Díky odladěným profilům v Průšově Slic3ru jsem nikdy nemusel s ničím laborovat, nic ladit nebo tunit. Hotový model ve formátu .STL nahraju do Slic3ru PE, kliknu Slice a Export gcode a je to. Tisk vždy funguje s výchozími parametry (aspoň při tisku z PLA a PETG). Tohle jsem považoval za samozřejmost, ale po rozhovoru s majiteli 3D tiskáren od jiných výrobců jsem pochopil, že to tak samozřejmé není - že někteří s laděním parametrů tisku tráví dost času. To s i3 MK2 dělat nemusím, a jsem za to moc rád.

tajný projekt s WiFi, LCD a Li-Ion baterií (pořád není dokončen)

speciální složitý držák VDSL modemu na zeď

Závěr je zřejmý: s tiskárnou i3 MK2 jsem velmi spokojen, jelikož funguje stejně spolehlivě jako jiné dílenské nářadí (třeba vrtačka). Prostě přijdu a používám, nemusím nic před tiskem spravovat či ladit. S Průšou už naštěstí neplatí můj starší výrok "3D tiskárna je jako domácí zvířátko - musíte se o něj starat, aby vám nezdechlo". Chybí mi akorát tak magnetická podložka z i3 MK3, protože výtisky z PETG (primárně už tisknu pouze z PETG) drží na PEI opravdu moc dobře. Jelikož se pro i3 MK2 dá magnetická podložka získat v rámci upgrade na MK2.5, vidím budoucnost 3D tisku zářnou :-)



P.S. aby ta chvála výše nevypadala jako placená reklama, tak mám dvě špatné zkušenosti s profilem FAST ve Slic3ru, který nastavuje výšku vrstvy 0,35 mm. Dvakrát jsem ho použil a dvakrát jsem se přitom spálil. V prvním případě mi ventilátor nafoukal infill do jakýchsi vlnek, které vyčnívaly nad výtisk a pak do nich brnkala tisková hlava a PINDA. To bylo zlé. Podruhé jsem použil FAST a vypadalo to, jako by výrobek chytil celulitidu. Tím jsem se definitivně naučil, že profil FAST je špatně. A pak mě zkušenější tiskaři naučili pravidlo, že výška vrstvy nemá být vyšší než 2/3 šířky trysky, což u 0,4mm trysky znamená, že 0,25mm vrstva je maximum.

vlevo nahoře je vidět zvlnění vrstvy, které vyčnívalo a brnkalo o hlavu

Plastová celulitida? Profil FAST raději nepoužívat...

P.P.S. ještě jeden problém jsem si dodatečně vybavil. To velké zvíře, co leží přes celou podložku nahoře, se narodilo mé tiskárně s problémem na páteři v dolní části zad. Mohlo za to nedostatečné a pouze jednostranné chlazení výtisku. Ventilátor u MK2 totiž fouká jen zepředu. Pomohlo by přídavné chlazení zezadu (stačí obyčejný ventilátor, který fouká na výtisk). U MK3 je to myslím také vyřešeno lepším vývodem chladicího ventilátoru kolem trysky ze tří stran.

WSJTX na Raspberry PI

Minipočítač Raspeberry PI není třeba asi přestavovat. Velkou výhodou je minimální spotřeba elektrické energie. Digitální mód FT8 je teď velmi populární an nechtěl jsem aby mi doma běžel trvale notebook nebo stolní počítač a zkusil to na instalovat na Raspberry PI 3. Musím říct,že to funguje docela dobře za 2 měsíce mám uděláno před 500 QSO a 115 zemí DXCC s výkonem 30W a EFHW anténou.


Budeme potřebovat USB zvukovou kartu a interface pro DIGI módy.
Já používám kartu AXAGON ADA-15 MINI HQ koupenou na Alze za 250 Kč:
https://www.alza.cz/axago-ada-15-mini-hq-d1470922.htm?o=2

Jak na instalaci. Je třeba stáhnout Raspbian s desktopem a ten dát na SD kartu. Raspbian získáme zde:
https://www.raspberrypi.org/downloads/raspbian/

Nainstalujeme ho na microsd kartu. Jak to pro různé OS najdeme zde:
https://www.raspberrypi.org/documentation/installation/installing-images/README.md

Instalace WSJT-X není také složitá. Existuje repozitář a nebudeme mít problém s intalací nových verzí.
V terminálu je třeba spustit tyto příkazy:


sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 862549F9
sudo nano /etc/apt/sources.list

Do souboru sources.list přidáme:
 

deb http://ppa.launchpad.net/ki7mt/wsjtx-next/ubuntu trusty main 

Pak spustíme:

sudo apt-get update
sudo apt-get install wsjtx

a máme nainstalováno a můžeme spustit wsjtx.
 
Dále je třeba program nakonfigurovat. Důležité je vybrat správnou zvukovou kartu v nastavení wsjtx a nakonfigurovat komunikaci s rádiem.




Další šikovná je věc je vzdálený přístup. V Raspbianu je nainstalováno RealVNC. Stačí si vytvořit na RealVNC účet a můžeme se připojovat z jiného PC nebo tabletu či mobilního telefonu. Nepotřebujeme řešit žádné přesměrovaní portu a veřejnou IP adresu. RealVNC je cloudová služba.



Nový cyklistický dres

prosinec
31
Josef Jebavý
Jízda na kole je specifický pohyb a proto kdo k pohybu používá hodně kolo, neobejde se bez vhodného oblečení. Jízda na kole má mnoho výhod. Je velmi ekologická. Prospívá zdraví, což uvítá v dnešní technologické době velmi mnoho pracujících. Je v úspornější pro peněženku. A v konečném důsledku, kdy se jezdí na kole za prací, i uspoří čas. ........

Jak udělat z WYSIWYG editoru WYSIWYM editor?

prosinec
28
Franta Kučera

Mám pár nápadů na projekty, ke kterým bych potřeboval komponentu WYSIWYM editoru (what you see is what you mean). Nikoli WYSIWYG (what you see is what you get).

Vybrat chytré hodinky a náramek není vůbec jednoduché

prosinec
27
Jiří Eischmann

Trh s chytrými hodinkami a náramky se postupně rozvíjí, existují desítky modelů. Dalo by se říct, že je z čeho vybírat, ale když chce člověk něco bez kompromisů, nabídka se zúží na pár možností, což je dost velký rozdíl oproti mobilům, kde dnes koupíte desítky modelů s podobnými vlastnostmi.

smartwatch-2301284_640

Já mám už víc než rok chytré hodinky Samsung Gear S3 Frontier a musím říct, že i po roce jsem s nimi hodně spokojený (napsal jsem o prvních dojmech a taky jak je používám na běhání). Fungují velmi dobře jako sport tracker, umí volat, mají velmi nadprůměrnou výdrž, bezkonkurenční ovládání přes lunetu, jako jediné umí přehrávat hudbu ze Spotify offline. Narazil jsem jen na dvě výraznější omezení: hodinky mají certifikaci IP68, což znamená, že v laboratorních podmínkách vydrží po dobu půl hodiny 1,5 metru pod vodou, což oficiálně stačí na déšť, omytí rukou, sprchu. Existuje hodně lidí, kteří s nimi zkoušeli plavat a bez problémů, ale oficiálně není plavání podporované a záměrně chybí podpora i v aplikaci Health, která by vám počítala počet uplavaných bazénů atd. Druhým omezením je velikost. Já mám rád větší hodinky a Gear S3 Frontier byly první chytré hodinky, které se mi jako pánské líbily, ale na ženské ruce vypadají prostě příliš mohutně.

samsung-gear-s3-frontier_1b9f63efb6636aa2_450x400Samsung Gear S3 Frontier

Když jsem se tedy rozhodl, že koupím k Vánocům sestře chytré hodinky, Gear S3 byly kvůli velikosti mimo hru a musel jsem hledat jinde.

Slušnou variantou jsou Apple Watch. Já osobně bych si je asi nevybral, protože na pánské ruce vypadají vyloženě neatraktivně (ale to je jenom můj vkus) a ovládání malým kolečkem je výrazně za pohodlností ovládání lunetou, ale musí se jim nechat, že v nejnovější verzi nemají výrazný výpadek ve funkcích. Podporují i plavání. Nicméně i ony mají výrazné kompromisy. Fungují jen s iPhonem, což je vyřadilo z výběru pro sestru, a mají slabou výdrž (Apple udává 18 hodin, já s Gear S3 běžně dávám 3-4 dny i po roce používání). Pokud vám ale toto nebo design nevadí, jsou to jedny z mála hodinek bez výrazných funkčních kompromisů.

apple_watch_series_3_ceramic_1200Apple Watch 3

Další možností jsou hodinky od Garminu. Ty mi doporučovalo hodně lidí. Nicméně podle specifikace a recenzí jsou hodinky od Garminu spíše špičkové sport trackery než chytré hodinky. Mají špičkovou výdrž, odolnost, špičkové funkce pro sledování sportovních aktivit, ale nemají mnoho běžných funkcí chytrých hodinek: neumí volat, displej se kvalitou nerovná AMOLEDu, neumí přehrávat hudbu (což je u běhání super věc) atd. Nevýhodou je také velikost. Mají podobný problém jako Gear S3 a většina modelů se prostě na ženskou ruku nehodí. Navíc cenově jsou top modely ještě hodně nad Apple Watch a Gear S3. Pokud vám jde ale především o sledování outdoorových sportovních aktivit, nikdo vám nenabídne nic lepšího.

r_fenix5_1_2Garmin Fenix 5

A pak je tu řada hodinek s Android Wear, ale když jsem udělal selekci na základě funkcí a dostupnosti u nás, vypadly na mě víceméně jen Huawei Watch 2. To jsou solidní chytré hodinky, ale celkově na úroveň Gear S3 a Apple Watch nesahají. Slabinou je dle mého názoru taky Android Wear. Většina hodinek s tímto systémem se spoléhá jen na fyzická tlačítka a dotykový displej a nemůžete si v navigaci systémem a aplikacemi pomoct lunetou nebo kolečkem, což výrazně ubírá na pohodlnosti. Nicméně LG Watch Style, které u nás zatím nejsou dostupné, už mají kolečko jako Apple Watch, tak se možná v pohodlnosti dotáhnou alespoň na ně, i když luneta je luneta. Dále jsem měl možnost na živo porovnat několik hodinek s Android Wear s mými Gear S3 a Tizen v Gear S3 je výrazně svižnější. Několik lidí kolem mě si stěžovalo taky na problémy po upgradu na Android Wear 2. Já jsem neměl s přechodem na Tizen 3 žádné problémy. Pro Android Wear zase mluví to, že má dost široký ekosystém aplikací, a v poslední době také to, že už je u nás dostupný Android Pay (na rozdíl od Apple Pay a Samsung Pay), takže pokud to hodinky podporují, můžete s nimi platit.

71ypa1g4gwl-_sx466_Huawei Watch 2

Jaké hodinky jsem nakonec pro sestru vybral? Volba padla na Samsung Gear Sport. Hrála v tom velkou roli moje pozitivní zkušenost s Gear S3. Oproti nim jsou Gear Sport voděodolné do 50 metrů a je podporováno plavání a tělo je znatelně menší a i designově se více hodí na ženskou ruku. Naopak nepodporují volání, což zamrzí.

81jmgqr2bpdl-_sx342_Samsung Gear Sport

K Vánocům jsem hledal také chytrý náramek pro máti. Doteď měla Sony SmartBand Talk SWR30, který ale ztratila kvůli špatně řešenému upínání. Tento náramek měl sice jen základní funkce pro sledování aktivity, ale zase uměl volat, takže ho bylo možné používat jako handsfree. Jak jsem při průzkumu trhu zjistil, mezi náramky se jedná o funkci zcela unikátní a zdaleka samozřejmá není ani u chytrých hodinek. Nakonec jsem vybral Fitbit Charge 2. Má pěkný design, náramky Fitbit jsou velmi dobře hodnocené jako sport trackery. Bohužel mě náramek v několika ohledech zklamal.

smartband-talk-swr30-black-1240x840-be853124cb7ffcd5fbfe77b692c137f2Sony SmartBand Talk SWR30

Jak už jsem psal, tak podporou volání je SmartBand zcela unikátní, takže tuto funkci jsem musel oželet. Nicméně Fitbit Charge 2 nepodporuje ani další praktické funkce, které bych považoval za základ. Nemá funkci pro vyhledání telefonu, kdy můžete dát mobilu z náramku povel, aby se rozezněl a vy ho nemuseli dalších 5 minut hledat po bytě. Neumí vás ani upozornit, že jste se vzdálili z dosahu mobilu, což se hodí jako prevence ztráty mobilu, nebo abyste jej ráno nezapomněli doma. Posílání notifikací z telefonu je taky neočekávaně omezené. A tou úplně největší nevýhodou pro moji máti je, že jak rozhraní náramku, tak rozhraní aplikace a webu není vůbec počeštěné. To bych u tak etablovaného výrobce nečekal.

10481848Fitbit Charge 2

Kdybych vybíral dnes, tak asi vyberu Samsung Gear Fit2, který je funkcemi v kategorii chytrých hodinek, ale tělem mezi náramky. Nejen kvůli funkcím, ale hlavně kvůli té češtině.

samsung_sm_r365nzrnxar_gear_fit2_pro_red_1353341Samsung Gear Fit2

Používáte nějaké chytré hodinky nebo náramek? Jaké s nimi máte zkušenosti?

Waters, hudba a přehrávačeNový počin od Rogera Waterse a mírný mišmaš okolo

prosinec
26
Lukáš Kotek
Tenhle příspěvek je, uznávám, mírně nesourodý. Jeho společným jmenovatelem je hudba, byť v poměrně obecné rovině, nicméně konečně se mi daří danou myšlenku (soubor myšlenek) přetavit do konkrétnější textové podoby – pokud mám nějaké pravidelné čtenáře, nemohli si nevšimnout, že současný stav blogu je poněkud zanedbaný. Rozepsané a nikdy nedokončené příspěvky by mohly vyprávět. Budu […]

Deset let suricaty

prosinec
24
Jozef Mlich
V listopadu jsem byl kromě OpenAltu ještě na SuriConu v Praze. Suricata má už deset let a je to velký open source projekt. Na konferenci jsem si udělal pár poznámek.. Co je nového v suricatě Projekt se točí kolem několika málo lidí. Jeho hlavní vývojář je Viktor Julien, který mluvil o tom co se udělalo … Continue reading "Deset let suricaty"