Planeta OpenAlt

Asi som si to privolal. Práve minulý týždeň som na jednom meetingu, keď padla otázka v čom si to budeme kresliť neuvážene povedal, že „kľudne Jamboard, než ho Google zareže“. No a cez víkend mi prišiel mail z Google, že sa tak naozaj stane.

Online whiteboard Jamboard bude ukončený 1. októbra 2024, čiže presne o rok. Vaše tabule budú ešte do konca roka 2024 dostupné pre čítanie, ale žiadne nové nebude možné už vytvárať.

Google priamo odporúča prejsť na nástroje tretích strán a to konkrétne FigJam, Lucidspark a Miro.

Okrem online služby skončí aj hardvér Google 55 Jamboard, čo je dotyková TV za 5 tísíc dolárov a to už teda nie je málo.

A tak na Google cintorín, kde už je takmer 300 pomníčkov rôznych služieb a produktov tejto spoločnosti pribudli ďalšie. A ja opäť hovorím, že okrem vyhľadávania, mailu a dokumentov s tabuľkami je mimoriadne odvážne používať čokoľvek ďalšie kvôli neistej budúcnosti.

„V těžko dostupných místech v Africe převáží drony léky a různý zdravotnický materiál.  Používají se na místech, kde auto jede v některých oblastech celý den. Může to být třeba 10 kilometrů, ale oblast je tam velmi neprostupná a dron může vzlétnout a znovu přistát do hodiny. V Irsku už dnes roznáší drony pizzu do okrajových částí města.“

Sbalit dron do batohu, na dovolené pořídit působivá videa a pochlubit se s nimi rodině – tam většina uživatelů dronů s nápady končí, ale rozhodně ne vědci. S pomocí moderních kvadroptér sází i opylují stromy, učí drony létat v hejnu jako ptáky a nechávají je mapovat neznámý terén. V dnešní době ale bohužel o dronech lidé nejčastěji slyší ve spojitosti s válkou, kde se stávají velmi levnou a účinnou smrtící zbraní. Jaké jsou etické hranice a kde limity už musí nastavit zákon, jak se dronem měří zralost kukuřice a jak zruční jsou piloti dronů na sportovních zápasech – o tom všem přišel do podcastu promluvit doktorand Jiří Janoušek z Fakulty elektrotechniky a komunikačních technologií VUT. Ten momentálně pracuje mimo jiné na projektu s vojáky, ale také programuje světelné dronové show například pro festival Rock for People. 

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na zajímavou phishingovou techniku využívající text s nulovou velikostí fontu pro zvýšení důvěryhodnosti zpráv…

Už od studentských let jsem měl touhu postavit si vlastního robota, bohužel však žádný projekt nikdy nebyl dokončen do stavu, který bych považoval za přijatelný (vždy jsem vyzkoušel jednotlivé komponenty, ale už jsem byl moc líný dát je dohromady). Když jsem dostal možnost vést kroužek robotiky v domově dětí a mládeže, řekl jsem si, [...]

Říjnové RoboDoupě bude 21.10. proto sledujte web a fórum, kde se postupně dozvíte podrobnosti.

Místo konání: MFF UK, kampus Troja, pavilon N („Impakt“), 2. patro, Laboratoř robotiky.Adresa: V Holešovičkách 2, Praha 8 (zastávka MHD Kuchyňka; auto lze zaparkovat podle mapy tady)1.

Program:

Po Janu Beránkovi, ostříleném wikipedistovi, přibyl do našeho týmu Hynek Kaplan. Ten je sice na wikipedickém poli nováčkem, jeho dlouhodobě kladný vztah k Wikipedii a zkušenosti z oblasti PR a psaní textů je však přesně tím, co jsme hledali. Právě PR a fundraising je pozice, kterou bude Hynek v našem týmu zastávat. Nahradí tak na této pozici svou předchůdkyni Natálii Schejbalovou. 

PR a fundraisinová posila Hynek Kaplan

Hynek žije v Hradci Králové, kde poslední roky především pečoval o svého malého syna, pracoval na disertační práci a rozjel projekt první hradecké komunitní zahrady. Při tom se také stačil věnovat editorské a redaktorské práci pro odborný filozofický časopis a pracovat jako grafik a vývojář webů na volné noze nebo jako lektor a metodik pro Ministerstvo pro místní rozvoj.

FOTO: Natálie Schejbalová (WMCZ), CC BY-SA 4.0, via Wikimedia Commons

Hynek ve volném čase rád čte současnou českou i zahraniční beletrii, organizuje sousedské akce, hraje videohry a, jak sám hrdě dodává, dělá Pána jeskyně ve stolních hrách na hrdiny.

„Wikipedie mě provází celé mé dospívání, studijní i dospělý život. Proklikávání se hlouběji a hlouběji do propojené sítě informací se už kdysi stalo mou oblíbenou prokrastinací. A zůstalo jí dodnes. Kromě zprostředkovatele informací pro mě ale také zůstala tím, co jsme kdysi mysleli, že bude internet jako takový. Tedy svobodným prostorem, komunitním hubem tvořený všemi pro všechny. Možnost přispět k jejímu rozvoji a pomáhat těm, kteří ji pro nás budují, mě proto okamžitě nadchla,“ říká Hynek o svém vztahu s Wikipedií.  

Těšíme se až Hynek svoje zkušenosti a nadšení přetaví v práci pro Wikimedia ČR. S Tali se s těžkým srdcem loučíme a přejeme jí mnoho úspěchů v její další, tentokrát scénáristické, dráze.

V úterý 3.10. se v Red Hat Labu (místnost Q305) uskuteční další Fedora installfest. Od 10 do 16 budou v labu připravení odborníci na Fedoru ze společnosti Red Hat, kteří vám můžou pomoct nejen s instalací, ale taky pomoct s dalšími problémy a dotazy ohledně Fedory. Akce je primárně zaměřená na studenty FIT VUT, ale vítáni jsou i lidé, kteří tuto školu nenavštěvují.

Aktualizace článku

• 19.9. Dependabot umí kontrolovat a aktualizovat i samotné actions
• 25.1. Přidán odkaz na článek o composer audit
• 17.1. Na GitHubu si lze nechat posílat i jen security alerty k používaným balíčkům
• 16.1. Skenování závislostí na GitLabu a další alternativy k Dependabotu
• 20.11. GitHub přesunul nastavení upozornění na nové Releases do kategorie Custom

Chybu, kterou objevil Cyku Hong z Taiwanu, může útočník za určitých okolností využít ke vzdálenému spuštění kódu na některých webech pomocí speciálně sestaveného URL. Takové chyby spadají do kategorie Remote Code Execution (RCE) a zažijete s nimi spousty legrace, nebo možná taky ne, to podle toho, na které straně barikády stojíte.

David Grudl, tvůrce Nette, s chybou zatočil správně: opravené verze balíčků vzhledem k závažnosti té chyby vydal nejdříve „potichu“, přičemž opravil i již dávno nepodporované vykopávky typu Nette 2.0, poslal e-mail podporovatelům, měsíc a něco počkal a teprve poté informaci uveřejnil na blogu, na diskuzním fóru a v seznamu Common Vulnerabilities and Exposures, ve kterém dostala číslo CVE-2020-15227. (A když si něčím nebyl jistý, tak se mě zeptal 🤓)

Část upozornění, které podporovatelé dostali už 25. srpna

Ve velkém a bez Composeru

Týden po zveřejnění se začaly objevovat nejen nástroje na otestování i demonstraci zranitelnosti („Proof-of-Concept“, PoC), ale i vývojáři, kteří chybu do té doby z různých důvodů zatím nezaregistrovali. Když jsem to viděl, tak mě napadlo, že by řešení problému mohl pomoci jednoduchý skript, který na serveru najde zranitelné soubory a příp. je rovnou opraví náhradou jednoho řádku kódu za jiný.

Cílem byly převážně různé webhostingové firmy, které by mohly vytipovat své zákazníky a přímo je informovat, nebo jim to rovnou opravit. Napsal jsem 2 prográmky v shellu (fungují v Bashi v Linuxu i FreeBSD), David to později reimplementoval i v PHP. Lukáš V. mi dokonce za ty skripty jen tak, sám od sebe, poslal nějaké to kilčo, dík!

V Active24 chybu našli a opravili na více než 2500 webů, podobně reagoval i Blueboard, WEDOS a další

Tohle samo o sobě už by vám mohlo dát pár nápadů jak postupovat poté, co vám někdo ve vašem frameworku, balíčku nebo knihovně najde nějakou docela závažnou bezpečnostní chybu. Neméně důležité je ale informaci o chybě a nutnosti aktualizovat dostat také k uživatelům vašeho výtvoru. A jak se o tom mohou dozvědět co nejrychleji?

Podporujte a sledujte vývojáře

Pokud používáte nějaké knihovny nebo frameworky jako např. Nette nebo cokoliv jiného, tak máte několik možností, jak se dozvědět, že fakt musíte aktualizovat a tohle je asi ta nejdůležitější.

Podporujte vývojáře nástrojů, které používáte. Vy budete mít dobrý pocit a ti vývojáři, kromě jiného, budou na vás mít nějaký kontakt a mohou vám napsat, že byste měli aktualizovat. Win-win situace. Když jsme začali chybou v Nette, tak osobně Nette podporuji, v seznamu přispěvovatelů mě nejspíš nepřehlédnete. Najdete tam i Scotta Helmeho, protože Nette mj. používáme i na Report URI, na kterém s ním pracuji. David Grudl podporovatelům poslal info o tom, že by měli aktualizovat už 25. srpna, pár hodin po vydání opravených verzí verze, a o měsíc a něco dříve, než informace o chybě zveřejnil.

Sledujte twittery a blogy vývojářů a diskuzní fóra (viz příspěvek na blogu Nette a na diskuzním fóru). Pokud navíc vývojáři používají GitHub, tak ten vám může poslat notifikaci klidně i jen při vydání nové verze nebo při objevení bezpečnostního problému:

Můžete „watchovat“ jen nové verze nebo bezpečnostní upozornění (co všechno sledujete)

GitHub Dependabot

Pokud vyvíjíte na GitHubu a spravujete závislosti pomocí Composeru, tak můžete využít Dependabota – robota, který hlídá a automaticky aktualizuje všechny vaše závislosti. Dependabot zvládá nejen PHP, ale i jiné jazyky a správce balíčků. Nastavíte ho ve vašem repozitáři v menu Settings > Security & analysis:

Prozkoumejte i sekci Security > Dependabot alerts, ve které najdete všechna otevřená i vyřešená upozornění, která Dependabot vytvořil:

Tohle upozornění jsem kliknutím na Dismiss pustil z hlavy, kód nikde neběží

Jsou tam i odkazy na automaticky vytvořené pull requesty, viz příklad. Tenhle opuštěný projekt naštěstí nikde neběží, balíček nette/application zde tedy nemusím aktualizovat, pull request chci nechat v tomto stavu, abyste viděli, jak to případně bude vypadat u vás.

Automaticky vytvořený pull request s aktualizací závislosti

Dependabot také umí kontrolovat nové verze samotných actions, viz moje konfigurace, automaticky vytvořený pull request pro update jedné takové akce a dokumentace.

Kdybyste někdy potřebovali získat číslo CVE i pro nějaký váš výtvor a informaci o chybě tak dostat „do oběhu“, tak se vám bude hodit sekce Security Advisories. V seznamu zveřejněných upozornění balíčku nette/application najdete i ono CVE-2020-15227. Podobný záznam je i v databázi všech GitHubových upozornění.

GitLab také nabízí skenování závislostí, ale pouze v nejdražší placené verzi. Alternativami k Dependabotu jsou např. Snyk nebo Renovate.

Roave Security Advisories

Dalším nástrojem, který vám může pomoci odhalit neaktualizované PHP knihovny s bezpečnostními chybami je balíček Roave Security Advisories. Pojďme si ho ukázat v praxi, opět na mém starém a nepoužívaném projektu. Nejdříve nainstalujeme závislosti uvedené v souboru composer.lock, přičemž vhodnější by bylo použít composer update, ale tím bychom nainstalovali již opravenou verzi a to v tomto případě nechceme:

$ composer install
Loading composer repositories with package information
Installing dependencies (including require-dev) from lock file
[...]
  - Installing nette/application (v2.3.7): Downloading (100%)
[...]

Verze 2.3.7 obsahuje bezpečnostní chybu (a to v řadě 2.3 až do verze 2.3.13 včetně), takže instalace balíčku Roave Security Advisories pomocí

composer require --dev roave/security-advisories:dev-latest

selže s tím, že jakože konflikt, protože nette/application máme ve verzi 2.3.7:

$ composer require --dev roave/security-advisories:dev-latest
./composer.json has been updated
Loading composer repositories with package information
Updating dependencies (including require-dev)
Your requirements could not be resolved to an installable set of packages.

  Problem 1
    - roave/security-advisories dev-latest conflicts with nette/application[v2.3.7].
    - roave/security-advisories dev-latest conflicts with nette/application[v2.3.7].
    - roave/security-advisories dev-latest conflicts with nette/application[v2.3.7].
    - Installation request for roave/security-advisories dev-latest -> satisfiable by roave/security-advisories[dev-latest].
    - Installation request for nette/application (locked at v2.3.7, required as ~2.3.1) -> satisfiable by nette/application[v2.3.7].


Installation failed, reverting ./composer.json to its original content.

Museli bychom nejdříve aktualizovat nette/application na 2.3.14 nebo novější a pak půjde nainstalovat i roave/security-advisories:dev-latest. Od této chvíle nepůjde pomocí composer require nebo composer update nainstalovat žádný balíček se známou bezpečnostní chybou.

PHP Security Advisories Database

Roave Security Advisories nemá žádný kód, veškeré jeho know-how spočívá v sekci conflict v souboru composer.json, ve které jsou uvedené verze PHP balíčků s nějakou známou bezpečnostní chybou. Ty se tam dostávají z PHP Security Advisories Database (viz Contributing), která jde používat několika dalšími způsoby. Jde používat dokonce i jako GitHub Action (viz můj příklad), takže se kontrola bude provádět například při každém pushi (a v mém příkladu i jednou za hodinu).

Od Composeru 2.4 lze využít i příkaz composer audit.

Bylo by skvělé, kdyby tuto databázi uměly pro upozorňování svých zákazníků nějak využít i klasické sdílené hostingy.

disable_functions

Bránit se proti chybám, jako je právě vzdálené spuštění kódu, asi nejde jinak než včasnou aktualizací. Jasně, můžete si někde na firewallu zablokovat nějakou konkrétní URL adresu, ale to je spíš reaktivní opatření. Můžete ale aspoň zásadně snížit dopad útoku aneb je blbý, když někdo ve vaší aplikaci spustí nějaký PHP kód, ale je ještě mnohem blbější, když pomocí PHP spustí nějaký prográmek z příkazové řádky. Důrazně bych tedy doporučoval zakázat v PHP volání funkcí, které takové prográmky mohou spouštět. Jsou to tyto:

• exec – spustí externí program
• passthru – spustí externí program a zobrazí výstup včetně binárních dat
• proc_open – spustí program a vrátí ukazatele na vstup a výstup
• shell_exec – spustí program pomocí shellu a vrátí výstup jako řetězec
• system – spustí externí program a zobrazí výstup
• pcntl_exec – spustí program v prostoru aktuálního procesu
• popen – vrátí ukazatel na spuštěný proces

Zakázat je můžete jen v php.ini (a to dokonce jen pro určitý server nebo cestu) pomocí direktivy disable_functions nebo v konfiguraci FPM poolu pomocí php_admin_value[disable_functions], viz příklad.

Pro kontrolu, jestli náhodou tyhle funkce nepotřebujete volat ve vašem kódu, použijte analyzátor PHP kódu PHPStan a má pravidla pro hledání volání nepovolených funkcí a metod, stačí ve vaší konfiguraci inklůdnout přibalený soubor disallowed-execution-calls.neon.

Nezapomeňte také sledovat můj Twitter, o závažných problémech se tam určitě dozvíte také. A rád vás přivítám i na mém školení webové bezpečnosti (nejbližší termín: termín zatím nevypsán).

A ještě jedna věc: pokud jste doposud Nette neaktualizovali, tak už asi můžete počítat s tím, že do vašeho webu nebo aplikace někdo nakladl nějaké ty shelly nebo zadní vrátka a měli byste spustit proces obnovy, vyčištění a případně i pátrání po uniklých datech. A pokud už máte aktualizováno, tak se můžete pobavit třeba nad Easter eggy na mém webu.

Dnes vyšla Fedora 39 Beta, což je první a také poslední zastavení před finální verzí, která je momentálně plánovaná na 17. října.

sudo dnf upgrade --refresh
sudo dnf install dnf-plugin-system-upgrade
sudo dnf system-upgrade download --refresh --releasever=39
sudo dnf system-upgrade reboot

# Nainstalovat všechny dostupné aktualizace
gsettings set org.gnome.software show-upgrade-prerelease true
# a poté otevřít GNOME Software a obnovit záložku "Aktualizace"

Další kapitola směrem k větší efektivitě a přesnějšímu měření dopadů naší práce je dopsána. Od 1. 9. 2022 do 31. 8. 2023 jsme realizovali projekt Posílení neziskové organizace Wikimedia ČR. Jeho obsahem byl vývoj, testování a používání nástroje pro měření našich aktivit. Pojmenovali jsme ho Wikinside a umožňuje nám porovnávat cenná data v čase až 3 roky zpátky.

Co umí Wikinside teď?

Nástroj, který v rámci své bakalářské práce zpracoval externí expert Ivo Kořínek, je postaven na sběru dat o jednotlivých událostech pořádaných spolkem. Vyhodnocuje a zároveň sbírá statistické údaje o spolkových aktivitách, aby umožnil celou škálu analytických a metrických výstupů a usnadnil nám například vyhodnocování soutěží.

Události i účastníky je možné rozlišovat pomocí tagů, které se propojují do hierarchického systému dle aktivit a jednotlivých programů (Programy pro komunitu, Vzdělávací programy, Programy pro partnerství a souhrn). Stále ale platí, že pracujeme jen s veřejně přístupnými přezdívkami a nesbíráme osobní data.

Tagy pak umožňují jejich další dělení podle jednotlivých podprogramů (například Programy pro editory), až po samotné události (například Měsíc žen na Wikipedii) až na jednotlivé uživatele (konkrétní editory Wikipedie). Tagy umožňují i další vyhodnocování dat – např. podle let či typu události. Díky tomu můžeme snadno a okamžitě vyhodnocovat dopady aktivit a srovnávat události napříč roky.

Tato data nám poskytnou velkou část přehledu o výsledcích naší práce v reálném čase. 

Co zvládne náš nástroj do budoucna?

Wikinside je zároveň navržen tak, aby jeho nastavování a rozšiřování zvládli samotní zaměstnanci a mohli ho tak bez další pomoci používat jako přirozenou součást realizace aktivit. Do budoucna plánujeme také veřejné API, sběr dat z aplikace Nástěnka a Wikimedia Commons.

Nástroj má potenciál být v následujících letech představen také mezinárodně a věříme, že jej budou moci využít i další pobočky Wikimedia po světě a jeho dopad bude tak multiplikován.

Nástroj jsme zájemcům představili 4. září 2023 na otevřeném callu, kterého se zúčastnilo 11 lidí z řad zaměstnanců, členů a příznivců spolku.

Podpora Nadace OSF

Projekt podpořila Nadace OSF v rámci programu Active Citizens Fund, jehož cílem je podpora
občanské společnosti a posílení kapacit neziskových organizací. Program je financován z Fondů EHP a Norska.

The project is being supported by the Open Society Fund Prague from the Active Citizens Fund. The programme promotes citizens’ active participation in the public life and decision making and builds capacities of civil society organizations. The Active Citizens Fund is financed from the EEA and Norway Grants.

Děkujeme za možnost posunout se a být zase o trochu efektivnější a silnější.

Zamýšlí se běžný uživatel Wikipedie nad tím, kdo všechny ty články vlastně dává dohromady? Ať je odpověď jakákoliv, my wikipedisté víme, že za statisíci články na české Wikipedii stojí velká „parta“ uživatelů, kteří mohou studovat nebo být v důchodu, pracovat v knihovně nebo třeba v korporátu. To, co však mají všichni společné, jsou hodiny práce u počítače, které každého uživatele obohatí o vědění a cenné informace.

Kdo se skrývá za anonymní přezdívkou? Zjistěte to na wikisrazu a wikiklubu!

Wikipedisté se již tradičně setkávají „Pod lípou“ a když v reálu, tak „Pod reálnou lípou“. Právě tyto názvy nesou stránky na Wikipedii, přičemž první slouží k online diskuzi, ta druhá k plánování fyzického setkání wikipedistů. Tak jak by mohla dokazovat i úvodní věta druhé zmíněné stránky: „Tato stránka slouží k dohodnutí a k vyhlášení osobního setkání wikipedistů nejspíše v nějaké hospůdce,“ wikipedisté jsou tvorové sociální.

Pokud by se vám zdál sympatický nápad sejít se s kolegy wikipedisty „v nějaké hospůdce“, poslouží vám k tomu tzv. wikisraz. Takové setkání slouží k tomu, aby se členové komunity mohli osobně poznat a diskutovat o wikipedických, wikipedistických nebo dokonce s wikipedií naprostou nesouvisících tématech. Všichny wikipedisté, ať už jsou nováčky nebo zkušenými editory, jsou zde vítáni. Většinou se wikisraz odehrává v neformálním prostředí, často při konzumaci piva nebo jiných nápojů, často v restauracích přátelských k Wikipedii.

„Tato stránka slouží k dohodnutí a k vyhlášení osobního setkání wikipedistů nejspíše v nějaké hospůdce.“

Pokud byste se ale společně s ostatními wikipedisty raději zaměřili na intenzivní práci a řešení témat primárně spojených s Wikipedií, zejména pak po praktické stránce, neváhejte se vydat na wikiklub! Na rozdíl od wikisrazů jsou wikikluby pravidelnými setkáními, která jsou určena zejména nováčkům (i pro zkušené wikipedisty jsou však wikikluby skvělou příležitostí k osobnímu setkání se s wikikomunitou). Během těchto setkání nováčci pracují s pomocí zkušených wikipedistů a mají příležitost editovat a položit jakoukoliv otázku, která jim přijde na mysl. Toto prostředí je ideální pro řešení konkrétních problémů, se kterými se při editování setkávají, a pro debatu nad úpravami článků, na kterých pracují.

Stý pražský Wikisraz (2023). Použitý obrázek: 100. pražský wikisraz U Kašpara 03.jpg, autor: Dobroš, CC-BY-SA-4.0, prostřednictvím Wikimedia Commons.

Wikisrazy: Kde se nyní setkat na pivem či limem?

Kde se můžete setkat s wikipedisty na wikisrazu? Nejbližší termíny v době publikování článku:

• Praha – pondělí 18. září 2023 od 1800 hodin, Café AdAstra (Podskalská 2054/8)
• Brno – středa 20. září 2023 od 18:00, Restaurace Baroko (Orlí 469/17)

Aktuální přehled je vždy na stránce Pod (reálnou) Lípou.

Wikikluby: Kde pracovat s dalšími wikipedisty?

Kde se můžete setkat s wikipedisty na Wikiklubu? Nejbližší termíny v době publikování článku:

• Wikiklub Praha – každý čtvrtek od 16:00 do 18:00 hodin, nově v prostorách organizace Elpida (Na bělidle 34, Praha 5)
• Wikiklub Olomouc – každé pondělí od 15:00 do 17:00, poprvé se uskuteční 18. září 2023, a to ve Vzdělávacím centru Vědecké knihovny Olomouc (Ostružnická 362/3)
• Wikiklub České Budějovice – jedenkrát měsíčně v době od 16:45 do 17:45, poprvé se uskuteční 19. září 2023, a to v místnosti Klub v přízemí budovy Akademické knihovny Jihočeské univerzity (Branišovská 1646/31b, dále také AK JU)
• Wikiklub Brno – každé úterý od 17:00 do 20:00, Café+, literární kavárna (v ústřední budově Knihovny Jiřího Mahena), přízemí, bezbariérový vstup (Kobližná 70/4, 602 00 Brno-střed)

Brněnský wikiklub (2018). Použitý obrázek: Moravská zemská knihovna – Tvůrčí dílny pro pokročilé wikipedisty 2016-12-12 (5913).jpg, autor: Martin Strachoň, CC-BY-SA-4.0, prostřednictvím Wikimedia Commons.

Wikiporadna: Potřebujete poradit?

Pokud preferujete online prostředí a možnost konzultace, místem, kde vám aktivní wikipedisté mohou poradit, je Wikiporadna. Ta probíhá nejen „na objednávku” v termínech, které si můžete zvolit v kalendáři, ale také pravidelně každé pondělí od 18:00 hodin. Stačí se připojit na Google Meet a zeptat se na cokoliv, co vás zajímá nebo trápí v souvislosti s Wikipedií.

Nemáte žádné setkání blízko? Můžete mít!

Wikikluby i wikisrazy jsou daleko? Chybí vám podobná akce u vás ve městě nebo obci? Víte o vhodném místě konání takové akce? Neváhejte se nám ozvat, rádi vám pomůžeme či poradíme.

Bývalý kolega mě na jaře pozval na setkání OWASP Czech Republic. Zaujala mě tam především krádež session na Seznam.cz (Marek Tóth). A pak ještě popis výchozího zabezpečení některých systémů, což mi připomnělo moji vlastní zkušenost, o kterou bych se s vámi tentokrát chtěl podělit. Je známo, že bezpečnost a uživatelská/programátorská přívětivost jdou proti sobě. Je otázkou, kde najít vhodnou hranici. Odvážím si tvrdit, že se nám v konkrétním případě nakonec podařilo najít pěkné řešení.

Úvod

Předesílám, že věc se udála před lety, všude je to již dávno opravené a reálně zneužitelné to nebylo. Implementovali jsme OpenID Connect protokol. Pro naše vyprávění je podstatné, že v rámci toho se vydává podepsaný JSON Web Token (JWT). A pro podpis potřebujete privátní klíč. Mám rád přístup, který upřednostňuje konvence před konfigurací. A taky, když vývojáři rozběhají projekt za minuty a ne dny. Zkrátka na classpath byl testovací klíč a v instalační příručce pokyny, že si máte v produkci vygenerovat vlastní. Ovšem žádná ruční brzda, která by vás zastavila. A co se nestalo? Hádáte správně, v produkci použili testovací klíč. (Pro zvídavé čtenáře, na samotný útok zdaleka nestačí, křížově se kontroluje ještě UserInfo). Úkol zněl jasně, pro testování se vyhnout složité konfiguraci a zároveň ochránit produkci.

Řešení

Ukážeme si řešení za použití podmíněné konfigurace ve Spring Boot. Byť je omezené na konkrétní framework, tak principy jsou obecně použitelné. Záměrně se vyhýbám kryptografickému API a používám nějaké tajemství (secret).

Popišme si tři případy použití:

1. Bez konkrétního zásahu do konfigurace aplikace nenastartuje. Pro produkci bezpečné, pro vývoj nepohodlné.
2. Při zapnutí Spring profilu dev se vygeneruje náhodné tajemství. Pro vývoj pohodlné, pro produkci bezpečné. Jednak logujeme WARN ale hlavně tajemství se neukládá a po restartu aplikace se generuje nové (co kdyby někdo zapnul dev na produkci a WARN ho nezastavil).
3. Pro prostředí vyžadující stabilitu i po restartu (nemusí jít pouze o produkci) konfigurujeme zdroj tajemství ze souboru (ideálně například z HSM, ale to je mimo rozsah tohoto článku).

@Configuration
public class SecretConfiguration {

    @Bean
    @ConditionalOnProperty(prefix = "cz.zvestov.secret", name = "type", havingValue = "file")
    @ConditionalOnMissingBean
    SecretService fileSecretService(@Value("${cz.zvestov.secret.file.path}") Path path) {
        return new FileSecretService(path);
    }

    @Bean
    @Profile("dev")
    @ConditionalOnMissingBean
    SecretService devSecretService() {
        return new DevSecretService();
    }
}

Anotace @ConditionalOnProperty zajistí konfiguraci jen v případě definované potřebné property. Anotace @Profile nám podmiňuje konfiguraci pro konkrétní profil. Anotace @ConditionalOnMissingBean nám zajistí, že konfigurujeme nanejvýš jednu beanu. Pakliže byste potřebovali řídit pořadí vyhodnocení, můžete sáhnout po anotaci @Order. Nechám na čtenářích k posouzení případ, kdy máte definovaný profil dev a zároveň i property, kterou zapínáte načítání ze souboru.

Rozhraní SecretService má v našem příkladu dvě implementace, DevSecretService a FileSecretService, ale to už je takové drobné programátorské cvičení. Celý ukázkový projekt naleznete na GitHubu. Mimo jiné si povšimněte, že soubor s tajemstvím zůstává na classpath, ale pouze pro unit testy.

Závěr

Napsat do dokumentace, že si máte v produkci změnit výchozí heslo, nestačí. Zároveň bychom měli myslet na pohodlí programátorů. Ukázali jsme si způsob, jak lze dosáhnout obojího při zachování bezpečnosti.

Související

• Pomalý SecureRandom

Jak naučit žáky a studenty kriticky myslet a pracovat se zdroji? Jak je naučit rozpoznat seriózní článek od fake news, skutečné zpravodajské záběry od deep fake videa? Jakou roli může sehrát umělá inteligence a chatboti ve školství, inovacích nebo umění? Mediální vzdělávání je skloňováno dnes a denně. Jakou roli v něm hrají nebo mohou hrát projekty nadace Wikimedia?

Wikipedie a knihovny: partnerství, které má smysl

Mediální vzdělávání se v roce 2022 stalo hlavním tématem knihoven na léta 2023 a 2024 a podtrhlo tak význam mediálního vzdělávání, o jehož rozvoj usilovaly (nejen) knihovny minimálně poslední dekádu. Wikimedia se posledních dvacet let, tedy od počátku existence, také snažila o rozvoj mediální gramotnosti i kritického myšlení. Nicméně trochu jinou cestou a nepřímo. V roce 2023 však vstoupilo toto úsilí do „horké fáze“.

Vystoupením na konferenci Knihovny současnosti v Olomouci v září 2022 se Wikimedia spolu s knihovnami přihlásila k závazku a zájmu o aktivní rozvoj mediální gramotnosti. Jelikož spolek Wikimedia i komunita wikipedistů je malá a závislá na dobrovolné práci a entusiasmu každého člena, spolupráce s knihovnami se ukázala být jako naprosto stěžejní. Wikipedie totiž může být skvělým a tvárným nástrojem (navíc bezplatnám), který může naplňovat mediální vzdělávání a šířit mediální gramotnost. Jak?

Jak uvádí lektor a pedagog Jaroslav Mašek ve svém článku, jedná se o poslední seriózní a důvěryhodný zdroj, který je založen na relevantních a netriviálních pramenech. Vedle toho se také jedná o zdroj nekomerční, prosazující principy svobodného sdílení informací a svobodných licencí. Mediální vzdělávání a Wikipedie je tedy duem, které dává smysl. Jak se ukázalo v následujících měsících, důležitá je zejména triáda knihovny – školy – Wikipedie, která celé úsilí završuje. Školy totiž mají povinnost nabízet mediální výchovu jako průřezové téma, ale mnohdy si s ní nevědí rady. A právě tady mohou pomoci knihovny a Wikipedie.

Portál Mediální gramotnost

Prvním společným projektem, který stvrdil společný zájem o rozvoj mediálního vzdělávání, byl portál Mediální gramotnost. Ten je dnes dostupný pod zkratkou medialka.wikimedia.cz a má sloužit jako hlavní vstupní brána pro všechny, koho zajímají témata mediálního vzdělávání.

Veřejnoprávní a komerční média, hoaxy, dezinformace, fake news, deep fake videa nebo digitální wellbeing – to všechno jsou termíny, které v „mediálce” často zaznívají. Jejich význam, historii a užití ale málokdo zná a přitom je může nalézt společně s odkazy a referencemi právě na Wikipedii.

Přehled zpracovaných i chybějících článků, včetně významných českých i světových osobností, je součástí nabídky portálu. Vedle toho zde můžete nalézt také populární sekci „Víte, že?“, která vás informuje mimo jiné o tom, že na Wikipedii existuje také článek V Kohoutovicích hořel pařez. Že tuto mediální událost neznáte? Tak si o ní přečtěte. Jde o seriózně zpracovaný článek, byť samozřejmě s lehkou mírou nadsázky.

Autor: Brněnský deník, volné dílo

Portál Mediální gramotnost je otevřen všem, kteří mají zájem se tématu věnovat. Nejen v roli uživatelů, ale nejlépe také v roli autorů a editorů článků či autorů fotografií, zvuků a videí na Wikimedia Commons. Na Portálu se také můžete snadno dozvědět o aktuálním dění na poli mediálního vzdělávání. Pokud byste chtěli mít přehled o tématech, která (ne)jsou zpracovaná na české Wikipedii, můžete nahlédnout nebo přispět do tohoto seznamu.

FOTO: Anthony Quintano from Honolulu, HI, United States – Mark Zuckerberg F8 2018 Keynote, CC BY 2.0,

Wikiverzita jako rozcestník

Dalším významným krokem k rozvoji mediálního vzdělávání, tentokrát zaměřeným spíše na učitele a zástupce knihoven, je projekt Mediální vzdělávání na Wikiverzitě. V čem se liší od portálu? Wikiverzita není založena na principu ozdrojovaných článků a informací. Nabízí učebnice, skripta a další vzdělávací a učební texty, které je možné – opět pod svobodnou licencí – poskytovat dalším uživatelům.

Wikiverzita není natolik známým a rozšířeným projektem, na druhou stranu se může stát pro svou neutrálnost, nekomerčnost a vazbu na Wikipedii vyhledávaným rozcestníkem učebních materiálů. V tuto chvíli je důležité, aby projekt Wikiverzity věnovaný Mediálnímu vzdělávání dosáhl veřejného povědomí u pedagogů, badatelů, studentů a všech, kteří učební materiály potřebují. A kteří jsou také ochotni se o ně podělit s ostatními.

Wikipedie v roli nástroje mediálního vzdělávání

Zatím jsme se věnovali pouze tomu, co Wikimedia ČR dělá pro rozvoj mediální gramotnosti. Důležité je však položit si daleko významnější otázku: Jakou roli sehrává a může sehrát Wikipedie (a další projekty Wikimedia) v mediálním vzdělávání samotném? Wikipedie, Wikiverzita, Wikislovník nebo Wikimedia Commons jsou jen nástroje. Vzdělávání, získávání informací, rozvoje editačních dovedností, šíření svobodné kultury nebo konceptu duševního vlastnictví.

Jak ale tento nástroj používat? O tom se můžete přesvědčit na desítkách kurzů, školení, přednášek a lekcí, které pořádá Wikimedia v knihovnách, školách, kulturních a vzdělávacích centrech. Přesvědčit se také můžete v nově vydané publikaci Uč (s) Wiki, která nabízí několik konkrétních cvičení, jak Wikipedii zapojit do výuky (a rozvíjet přitom digitální, čtenářské či informatické dovednosti).

FOTO: Pavel Bednařík (WMCZ) – Vlastní dílo, CC BY-SA 4.0

Učit se dá ale jednoduše také tak, že prověříte u svých žáků, studentů nebo seniorů čtení s porozuměním a schopnost rozpoznat, nebo rovnou formulovat encyklopedicky správně text na Wikipedii. Například tím, že žáci dokážou posoudit, zda je dané téma či osobnost dostatečně encyklopedicky významná, aby o ní existoval článek v encyklopedii, zda jsou použité zdroje nezávislé a věrohodné, zda je dodržován nezaujatý úhel pohledu, který zdroj je primární, sekundární a terciární ad.

Může to být věta do stávajícího článku nebo samostatný článek nový. Může to být přidaná reference (primární, sekundární a terciární zdroje zde otestujete snadno a rychle), může to být vhodně označená fotografie. Cvičení a úkoly sahají ve své škále od nejjednodušších po ty nejkomplexnější.

FOTO: Josef Šlerka, CC BY-SA 4.0

Přijďte na setkání do knihovny

Závěrem bychom všechny čtenáře rádi pozvali do komunity lidí, kteří vnímají význam mediálního vzdělávání a zároveň ctí Wikipedii. Právě pro ty je určeno setkání nazvané „Mediální vzdělávání a projekty Wikimedia”, které proběhne v úterý 26. září 2023 v 17:00 hodin v Městské knihovně v Praze (hybridně také na Zoomu). Registrovat se můžete na v tomto formuláři.

Těšíme se na viděnou a budeme rádi, pokud se zapojíte do samotného psaní a editací.

Seniorské WikiMěsto zavítá poprvé do Lysé nad Labem. Od pátku 15. do neděle 17. září zde budou senioři a seniorky psát články o tomto městě. Akci pořádá spolek Wikimedia Česká republika se záštitou města. Město se dočká lepšího pokrytí na Wikipedii a absolventi kurzů Senioři píší Wikipedii i místní senioři se budou rozvíjet v editaci Wikipedie. 

V uplynulých 5 ročnících se senioři v rámci Seniorského WikiMěsta podívali například do Olomouce nebo Broumova. Letos došlo na Lysou. Senioři zde navštíví například vodní elektrárnu, zámek a další významná místa ve městě. Setkají se se zástupci města a zúčastní se zajímavých přednášek. Následně společnými silami zpracují informace na Wikipedii. Nové články a fotografie čtenářům Wikipedie poskytnou lepší přehled o domintátch, událostech a osobnostech města. 

„Senioři jsou stále skupinou, která je mezi wikipedisty zastoupena poměrně skromně. Přitom mají díky celoživotním zkušenostem možnost Wikipedii velmi obohatit a předat jejím prostřednictvím své vědomosti mladším generacím. Programem Senioři píší Wikipedii se navíc snažíme seniorům pomoci prožívat stáří aktivně a zároveň jim umožnit i nadále přispívat společnosti. Mám radost, že město Lysá nad Labem s tímto naším záměrem souzní a naši iniciativu podpořilo,“ říká Lucie Schubert, manažerka Programů pro komunitu a Vzdělávacích programů Wikimedia ČR.

Den před samotným začátkem akce, tedy ve čtvrtek 14. září, se mohou něco nového o dění na české Wikipedii dozvědět také místní. Od 18:00 se totiž v městské knihovně uskuteční bezplatná přednáška Nevěříte Wikipedii? 

Základům editování Wikipedie je pak možné se naučit druhý den ráno, v pátek 15. září od 09:30 v prostorách Radnice v rámci krátkého dopoledního workshopu. Zájemcům stačí vzít si notebook a dát organizátorům vědět na seniori@wikimedia.cz

Kontakt:
PR specialistka a fundraiserka
Natálie Schejbalová
natalie.schejbalov@wikimedia.cz

Náhledové foto z Wikiměsta Týn nad Vltavou: Marie Čcheidzeová, CC BY-SA 4.0, via Wikimedia Commons

Vážený pútnik v kráľovstve technológie, tak ako žiadajú časy, buďme technológii súčasníkmi, opísanými veršami, vyrytými z diela nášho otcovského barda, Williama Shakespeara. Táto prozaická sonáta je o tom, ako inštalovať Wordpress na Ubuntu server.

Akt I: Scéna I - Príprava scény

"Ako škótský Banquo sa v tichosti lúči s pochmúrnou nocou, tak sa my, otvoreným príkazovým riadkom, pripájame k nášmu Ubuntu serveru."

ssh your_username@your_server_ip

Akt II: Scéna I - Aktualizácia a inštalácia

"Podobne ako Hamlet núti človeka myslieť, nech príkaz apt prejde cez našu serverovú myseľ a premietne tie najnovšie aktualizácie."

sudo apt update
sudo apt upgrade

Akt II: Scéna II - Inštalácia LAMP

"Vytvorme základy našej divadelnej hry, tak ako Prospero zaklíňa svoje divadlo na ostrove, inštalujme LAMP (Linux, Apache, MySQL, PHP)."

sudo apt install apache2 mysql-server php php-mysql libapache2-mod-php php-cli

Akt III: Scéna I - Konfigurácia MySQL

"Rozhodujúci okamih prichádza. Aký je váš príbeh, MySQL? Macbeth by sa opýtal. Nastavme bezpečné nastavenia MySQL rovnako, ako Macbeth nastavil svoj osud."

sudo mysql_secure_installation

Akt IV: Scéna I - Stiahnutie Wordpress

"Podobne ako Romeo túži po svojej Júlii, my túžime po Wordpress. Stiahnime si ho a rozbaľme v našom dokumentovom koreni /var/www."

cd /tmp
wget https://wordpress.org/latest.tar.gz
tar xzvf latest.tar.gz
sudo cp -a /tmp/wordpress/. /var/www/html/

Akt V: Scéna I - Nastavenie práv

"Podobne ako kráľ Lear udeľuje svoje kráľovstvo, udeľme správne súborové práva našej inštalácii Wordpressu."

sudo chown -R www-data:www-data /var/www/html/
sudo chmod -R 755 /var/www/html/

Akt V: Scéna II - Finálna konfigurácia Wordpress

"Otázka, ktorej sa Otelo nikdy nevyhol: &aposAko nastaviť Wordpress?&apos Poďme na to!"

sudo cp /var/www/html/wp-config-sample.php /var/www/html/wp-config.php
sudo nano /var/www/html/wp-config.php

"A v týchto prázdnych riadkoch, napíšte svoj príbeh (alebo skôr pridajte svoje databázové informácie): DB_NAME, DB_USER, DB_PASSWORD."

"Odpútajme sa od tohto textového editora, rovnako ako sa Othello odpútal od Desdemony."

ctrl+x, potom Y a nakoniec Enter

Vaša cesta je dokončená, milý pútnik. Wordpress je inštalovaný na Ubuntu serveri, a vy ste sa stali súčasťou tohto virtuálneho divadla. Tak ako vás viedol Shakespeare v jeho divadle, tak ste boli vedení tu. Divadelná hra sa končí, ale váš príbeh len začína.

Text vytvoril ChatGPT, obrázky DreamStudio.

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na závěry vyšetřování situace okolo podepisovacího klíče ukradeného společnosti Microsoft, novinky okolo spywaru Pegasus a potenciálně přelomové vyjádření zástupců Mezinárodního trestního soudu…

Mozilla konečně zpřístupnila své placené služby taky v České republice. Z toho, co nabízí, se mě dlouhodobě oslovovala služba Firefox Relay. Za pár korun vám umožní skrýt e-mailovou adresu. Jak to funguje?

E-mailová adresa dnes funguje jako online identita. V registracích už se dnes jako uživatelské jméno převázně používá e-mailová adresa. Používat ale svoji identitu všude zcela otevřeně také není nejlepší nápad.

E-mailová adresa se používá jako identifikátor v „dohledové“ ekonomice. Když o vašem chování má nějaká firma dvě datové sady, pomocí identifikátoru jako e-mail si je může spojit dohromady a vědět o vás ještě podstatně víc. Stejně tak když nějaký útočník prolomí nějakou službu a dostane se k účtům a heslům uživatelů, okamžitě zkouší přihlašovací údaje i u jiných služeb. Tomuto můžete předejít tím, že u každé služby budete mít nastavené jiné heslo, ale když budete mít u každé služby i jinou e-mailovou adresu, přidáte ještě další vrstvu ochrany.

Nepoužívat svoji e-mailovou adresu zcela veřejně se hodí i kvůli spamu. Čím méně ji někde uvádíte, tím menší je pravděpodobnost, že se dostane na seznam někoho, kdo vám na ni začne posílat nevyžádané zprávy. A nakonec se to hodí i kvůli anonymitě. Každá služba vám slibuje soukromí, ale Internet je plný ukradených databází uživatelů. Pokud jako uživatelské jméno používáte skutečný e-mail, kdokoliv se může v budoucnu dozvědět, co jste používali a případně i jak.

Proto vznikají služby jako Firefox Relay. Funguje vcelku jednoduše: můžete si vygenerovat adresy, které budou přeposílat e-maily na vaši skutečnou adresu. Ty můžete použít při registraci, e-maily vám budou chodit, ale služba nebude znát vaši online identitu. Ve verzi zdarma můžete takových adres vytvořit 5, v placené verzi pak neomezené množství. Placená verze také nabízí vlastní poddoménu vlastninazev.mozmail.com, ale to mi přijde spíš kontraproduktivní, protože to dělá adresy méně anonymní.

Kromě toho služba také umožňuje filtrování z reklamních zpráv u jednotlivých adres a také odstraňování sledovacích prvků, které jsou často umísťovány do těla zprávy. Firefox Relay také umožňuje na zprávy odpovídat tak, aby adresátovi dorazily z e-mailové adresy, na kterou byla poslaná původní zpráva. Pokud se rozhodnete, že už přes danou adresu e-maily přijímat nebudete, stačí ji vypnout. Tím odstřihnete jakoukoliv službu, která vám přes ni posílá zprávy, aniž byste se museli spoléhat na to, že daná služba vás odstraní ze seznamu adresátů.

Firefox Relay Premium, jak se placená služba nazývá, stojí při zaplacení na rok dopředu 23 Kč měsíčně, což dnes není velká částka. Už to není v dnešních cenách ani jedno pivo. Beru to nejen jako platbu za užitečnou službu, ale taky podporu posledního nezávislého prohlížeče, protože bez Firefoxu by web ovládly už jen dvě firmy – Google a Apple, s jasnou dominancí té první.

Mozilla kromě Firefox Relay nabízí i Mozilla VPN, která je v ČR taky dostupná. Provozovatelem samotné služby je švédská společnost Mullvad, která sama nabízí jednu z nejlépe hodnocených VPN služeb. Zde už se ale jedná přece jenom o vyšší částku – 119 Kč měsíčně. A vzhledem k tomu, že si provozuji vlastní VPN, takovou službu vyloženě nepotřebuju, i když oproti mé VPN má výhodu stovek serverů po celém světě a anonymitu.

Podobnou službu a dokonce zcela zadarmo nabízí DuckDuckGo pod názvem Email Protection. Z nějakého důvodu ale vyžaduje k registraci mobilní aplikaci a k používání na desktopu rozšíření do prohlížeče. Firefox Relay také nabízí rozšíření do prohlížeče, který používání usnadňuje, ale jinak není na nic vázaný, ani na prohlížeč Firefox. Prostě stačí jít na webovou stránku služby a tam si adresy spravovat. Z tohoto důvodu mi vyhovuje víc i za cenu malého poplatku.

Webové rozhraní Firefox Relay

Tento typ služby má také jednu nevýhodu, s kterou je potřeba počítat: pokud jednou taková služba skončí, musíte zase e-mailové adresy u všech služeb přenastavit. Žádná služba vám neslíbí nekonečnou životnost, ale Mozilla se alespoň zavázala, že pokud se službou jednou skončí, dá zákazníkům vědět dostatečně včas.

S koncem letních prázdnin je tu i nová epizoda pravidelného speciálu podcastu ALEF SecurityCast. Najdete ji na YouTube a na Spotify a podíváme se v ní na vlnu DDoS útoků cílených na české banky, zajímavé přednášky z konferencí Black Hat a DefCon, zranitelnosti ve WinRAR a produktech Ivanti a řadu dalších témat…