Mara: mój blog

Przegapilam to. Trolltech wydal Qt4. Nowa wersja ma wiele nowych wlasciwosci, ale to, o czym mowi sie najczesciej to dostepna na GPL wersja dla Windows (wersje dla Linuksa i MacOS X dostepne sa od dluzszego czasu).

Zrodla nowej wersji mozna pobrac z serwerow FTP.

Dodalam kategorie 'blogi ktore czytam' do paska po prawej stronie. Na razie jest tam jeden odnosnik, nowe beda sie pojawiac.

Omawialam w tym blogu kilka artykulow dotyczacych bezpieczenstwa. Nie wszystkie te, ktore chcialabym/potrzebuje przeczytac sa tak latwo dostepne. Niektore mozna dostac wylacznie w formie papierowej, albo przez Internet - placac. Poszukujac kilku dowiedzialam sie nawet, ze zgadzam sie z prof. Bernsteinem!

Uwaga dla tych, ktorzy nie wiedza kto to: bardzo znana postac w swiecie bezpieczenstwa, ale niemal tak kontrowersyjna, jak znana.

Example.com to zarezerwowana nazwa domeny. Jest uzywana w poderecznikach, dokumentacji i roznego rodzaju materialach szkoleniowych. Domeny tej nie mozna zarejestrowac. Istnieja jednak jej wykorzystania... Jakie? Powiem za chwile.

Na Slashdocie pojawila sie wiadomosc, ze norweski rzad przestawia sie na otwarte formaty. W momencie kiedy to pisze, nie jestem w stanie dostac sie do materialow, ktore mialyby na to wskazywac. Strona docelowa wskazuje obecnie wlasnie na example.com. Dlaczego? Albo takich materialow w ogole nie ma, albo, co bardziej prawodopodobne, wlasciciel serwera wie, ze nie da razy obsluzyc tak duzego ruchu, jaki obecnie na ten serwer naplywa i stad zmiana sposobu rozwiazywania domeny. Taki efekt, kiedy z powodu nadmiaru ruchu z serwiosow informacyjnych jakas strona staje sie niedostepna ma nawet wlasna nazwe - efekt Slashdota.

BusinessWeek pisze o tym, jak kilka bardzo duzych firm zostalo zlapanych na uzywaniu adware (czyli, w skrocie, programow wyswietlajacych reklamy na komputerach uzytkownikow; zazwyczaj tego typu programy instaluja sie bez pytania uzytkownika o zdanie, wykorzystujac bledy w systemie badz udajac pozyteczne programy. Trzeba jeszcze dodac, ze adware wystepuje tylko na jednym systemie operacyjnym). Ciekawe sa ich tlumaczenia: adware to taki sam sposob reklamowania sie jak inne lub placilismy i nie wiemy jak byly pokazywane nasze reklamy.

Jest taka strona dzieckowsieci.pl o kampanii, ktora ma (miala) promowac bezpieczne korzystanie z Internetu przez dzieci. Idea sluszna i dobra. Co do wykonania mam jednak kilka uwag :)

Pierwsza sprawa, ktora wpadla mi w oczy jest pkt 2 rad dla rodzicow. Brzmi on tak:

Nie uzywaj kilku kont w systemach operacyjnych, ktore oferuja taka mozliwosc. Dzieki temu bedziesz sie orientowal w rodzajach aktywnosci podejmowanej w Sieci przez Twoje dziecko.

Uzywania formy meskoosobowej nie bede sie specjalnie czepiac, ale warto to zauwazyc (cala strona jest tak sformulowana, uwagi do dzieci rowniez).

To, co mnie uderzylo w tym tekscie (jesli go oczywiscie rozumiem zgodnie z zamierzeniami autorow) jest brak poszanowania prywatnosci dziecka. To samo konto uzywane przez rodzica i dziecko daja rodzicowi dostep (rodzic powinien uzywac konta administratora, ale nie czytac tych danych) do historii przegladanych stron, wiadomosci email czy historii komunikatora. Moim zdaniem, informacje rodzica powinny pochodzic z rozmowy, a ze szpiegowania tylko w drastycznych przypadkach.

Tyle na temat rad. Inna kwestia to to, ze glownym zagrozeniem jest pedofilia, ale juz wykorzystanie dziecka do instalacji trojana (a przy jednym koncie to bardzo latwe) czy innego oprogramowania szpiegowskiego, do rozsylania spamu itd. Wiem, ze worm czy wirus to rozwiazanie latwiejsze, ale zagrozenia nie nalezy lekcewazyc...

Slashdot pisze o tym, ze SPF i Sender ID zostaly uznane przez IETF za standardy eksperymentalne.

IETF to organizacja zajmujaca sie internetowymi standardami. SPF i Sender ID to z kolei dwie konkurujace technologie, ktore maja ucyznic zycie spamerow trudniejszym. W tym celu wymagaja autentykacji nadawcy wiadomosci.

Konkurencja miedzy nimi wynika w duzej czesci z faktu, ze Sender ID uzywa wielu opatentowanych technologii i nie moze sie z tego powoduj pojawic w produktach Open Source. SPF, z kolei, jest wolny od patentow i juz dosc czesto uzywany.

Jako ze sprawa patentow na oprogramowanie w Europie jest wlasnie rozpatrywana, na ich temat wypowiada sie wiele osob. The Guardian zamiescil opinie (artykul po angielsku) Richarda Stallmana, zalozyciela fundacji FSF i przeciwnika patentow na oprogramowanie.

Stallman w jasny sposob przedstawia roznice miedzy patentami a prawem autorskim. Tekst powinien byc zrozumialy szczegolnie dla osob nie zajmujacych sie pisaniem programow.

KDE 3.5 to bardzo tajemnicze wydanie KDE. Nie widnieje w oficjalnym planie, ale wyglada na to, ze jednak bedzie. Projekt KDE jest w fazie przechodzenia do wersji 4, ktora bedzie oparta na Qt4, co oznacza wprowadzenie wielu zmian w istniejacych programach. Dlatego wersja posrednia (wlasnie 3.5) moze sie jednak ukazac.

Pojawily sie zrzuty ekranu z wersji z CVS. A z tej wiadomosci na grupie kde-core-devel mozna wysnuc wniosek, ze 3.5 sie pojawi. Kiedy? Nie widac informacji, wiec pewnie bedzie to zalezalo od prac nad Qt 4 i KDE4.

Jak pisalam kilka miesiecy temu, sa ludzie, ktorzy czesto usuwaja ciasteczka (ang. cookies) ze swoich komputerow. Martwi to branze reklamowa, dlatego pojawilo sie kilka inicjatyw (po angielsku) majacych na celu zatrzymanie tego.

Zaczne od tego, ze ciasteczka moga byc uzywane zarowno w zlym, jak i dobrym celu. Daja mozliwosc realizacja koszykow na zakupy w sklepach internetowych, pokazywania juz przeczytanych watkow na forum czy automatycznego logowania. Powodem, dla ktorego ludzie je usuwaja jest to, ze moga byc takze wykorzystywane do identyfikacji (a nie kazdy i nie zawsze sobie tego zyczy) i sledzenia. Marketingowcy wykorzystuja to zbyt czesto, tak wiec pojawila sie na to reakcja. Przegladarki pozwalaja blokowac ciasteczka i nimi zarzadzac.

Usuwanie ciasteczek psuje kampanie reklamowe...Z drugiej strony Adblock psuje je jeszcze bardziej. Ja widze reklamy tylko wtedy, kiedy tego chce (i te, ktore chce).

Pomysl wplyniecia na producentow programow usuwajacych spyware, zeby nie pozbywaly sie takze ciasteczek nie wydaje mi sie dobry. Programow tego typu jets duzo i jesli ktos chce usuwac ciasteczka - to znajdzie taki, ktory to zrobi (albo usunie je uzywajac opcji przegladarki).

Inne pomysly zapobiegania usuwaniu ciasteczek to lista 'etycznych' firm, pokazywanie zawartosci ciasteczek czy korzystanie z mozliwosci sledzenia, jakie daje Flash.

Wymyslajacy te wszystkie metody nie wzieli pod uwage jednego: wiele osob nie chce widziec reklam i byc sledzonym (a wielu nie chce, ale nie wie sie bronic). Kazda metoda, ktora ma spowodowac pokazuwanie niechcianych elementow spowoduje reakacje i metody usywania takich elementow. Rozwiazaniem, jakie przyniosloby wiekszy sukces sa takie reklamy, ktore ludzie chca ogladac, a nie sa do tego zmuszani.

Mandriva to nowa marka w swiecie Linuksa po tym jak Mandrake przejelo Connective. Teraz Mandriva wchlania Lycoris. Lycoris to ciekawa, ale niezbyt popularna dystrybucja zorientowana na uzytkownika (na desktop).

DesktopLinux publikuje wywiad z Josephem Cheekiem, tworca tej dystrybucji. Nie pada tam wiele nowych stwierdzen. Najwazniejsze wydaje mi sie pytanie o graczy na rynku Linuksa na biurka: RedHat sie z niego wycofal (zostala Fedora) a Mandrake/Mandriva po wyjsciu z finansowych problemow zaczyna inwestowac. Konkurencji nie widac (Novell?), a z akcji i slow wynika, ze Mandriva na serio sie tym zajmuje. Nowe wersje moga byc interesujace...

System platnosci PayPal akceptuje wreszcie wysylanie pieniedzy z Polski. Uaktualniona zostal lista krajow.

Mila wiadomosc, znacznie ulatwiajaca zycie.

Sun upublicznil kod systemu Solaris. Dostepne archiwum (ponad 40MB) nie zawiera jednak zrodel kompletnego systemu, a tylko jadra i podstawowych bibliotek.

Jest to nowy projekt i jak na razie trudno powiedziec, czy spowoduje on upowszechnienie sie tego (dobrego) systemu. Z cala pewnoscia mozna przewidywac przechodzenie idei miedzy jadrem Solarisa, Linuksa i systemow BSD.

Astronomowie odkryli (artykul po angielsku) prawdopodobnie skalista planete okrazajaca gwiazde Gliese 876, ktora znajduje sie tylko 15 lat swietlnych od Ziemi (patrz takze: informacja prasowa uniwersytetu Berkeley, po angielsku).

Planeta ta ma mase rowna 7,5 masom Ziemi i dwukrotnie wieksz promien. Poza tym znajduje sie bardzo blisko gwiazdy - zaledwie 0,021AU (gdzie 1AU to srednia odleglosc Ziemi od Slonca).

Jest to najmniejsza dotychczas odkryta planeta poza naszym Ukladem oraz trzecia w ukladzie Gliese 876 (dwie pozostale sa gazowymi gigantami).

Ciekawy raport (PDF, ok 20 stron, po angielsku) pokazuje mozliwosci wykorzystania roznic w sposobie parsowania zapytan HTTP przez serwery i oprogramowanie miedzy nimi a uzytkownikami.

Autorzy pokazuja na przyklad jak zatruc pamiec podreczna (ang. cache poisoning) serwera proxy, tak aby pokazywal inna strone niz powinien. Wykorzystuja do tego tylko jednego, odpowiednio skonstruowanego zapytania.

Przedstawione techniki sa ciekawe, ale odnosza sie tylko do specjalnych kombinacji oprogramowania. Tego typu ataki moga sie jednak okazac bardziej niebezpieczne w praktyce, gdyby okazalo sie, ze sa powszechniejsze niz obecnie sadzimy i/lub moga wykorzystac wieksza liczbe programow.

Gartner opublikowal (po angielsku) liste najbardziej przereklamowanych, ich zdaniem, zagrozen bezpieczenstwa. Oto ona z moimi komentarzami:

• Niebezpieczna telefonia internetowa — nie jest bezpieczna, tak samo jak tradycyjna. Zbieranie ruchu w sieci lokalnej tak, aby wejsc w posiadanie rozmowy jest tak samo trudne(?), jak zbieranie danych. Jesli ktos uwaza, ze latwiejsze, to raczej nie ma racji.
• Wirusy, robaki na urzadzenia przenosne — jeszcze nie jest to wielkie zagrozenie, ale jesli producencie oprogramwoania na nie nie pomysla o bezpieczenstwie...
• Robaki rozpowszechniajace sie bardzo szybko (kwestia minut) — jak na razie sie taki nie pojawil. Glownie dlatego, ze ich autorzy nie uzywaja tzw. zero-day exploits, czyli nie wypuszczaja robakow uzywajacych nowej, nieznanej dziury.
• Regulacje oznaczaja bezpieczenstwo — zgadzam sie, ze nie jest to prawda. Problemy z bezpieczenstwem sa dynamiczne i zaskakujace. Procedury moga nie pomoc a nawet (jesli bezmyslnie zastosowane) spowodowac, ze reakcja bedzie gorsza.
• Niebezpieczny dostep bezprzewodowy — to najlatwiejsza metoda wchodzenia w posiadanie czyis hasel, danych osobowych itd. Wielszosc ludzi nie korzysta z banku w kawiarni, ale hotspoty nie sa jeszcze zbyt popularne.

NASK wprowadzil obsluge IPv6 w glownych serwerach DNS dla domeny .pl.

IP wersja 6 (IPv6) to nowa wersja protokolu IP, na ktorym opiera sie Internet. Wersja 4 zawiera wiele wad, jedna z nich jest zbyt mala liczba adresow, stad pojawienie sie rozwiazan takich jak NAT. Wersja 6 zostala opracowana juz kilka lat temu, jednak nie jest jeszcze powszechnie stosowana, a to dlatego, ze nie jest zgodna z powszechnie wykorzystywana wersja 4. Posuniecie takie jak to NASK-u przybliza upowszechnienie sie nowej wersji, ale nie wyglada na to ze w znaczny sposob.

Po prawie trzech latach od poprzedniej pojawila sie nowa stabilna wersja dystrybucji Debian GNU/Linux (nazwa kodowa: Sarge). Informacja o wydaniu jest oznaczona data 6 czerwca.

Debian to jedna z najstarszych, ponad 10-letnia, dystrybucja Linuksa.

Jak donosi hacking.pl Eurobank ciagle nie ma w palni dzialajacego systemu informatycznego po burzy w zeszly poniedzialek. A wydawaloby sie, ze banki maja systemy zapasowe i taka awaria powinna trwac maksymalnie kilka godzin...

Uaktualnienie: Dzisiaj wydaje sie, ze awaria zostala naprawiona. Jest to najdluzsza, o jakiej slyszalam w odniesieniu do banku. Ciekawe kiedy (bo czy, to nie mam watpliwosci) rekord zostanie poprawiony.

Wiele zrodel (po polsku: hacking.pl, po angielsku: news.com, Slashdot) pisze o prawdopodobnym przestawieniu sie Apple z procesorow PowerPC (IBM) na Intela.

Zmiana jest znaczna (rozne zestawy instrukcji, co spowoduje, ze aplikacje nie beda dzialac) i ryzykowne, nie tylko z powodu samego procesora. MacOS na Intelu oznacza dla Apple znacznie wieksze ryzyko pojawienia sie klonow uzywajacych MacOS, ale nie sprzetu Apple (i spadek przychodow). Interesujace, szczwegolnie ze PowerPC jest "czystsza" architektura niz utrzymujacy zgodnosc z wersjami sprzed wielu lat Intel.

Hacking.pl (za Slashdotem) pisze o kontrowersyjnej stronie na Wikipedii zaiwerajacej osoby z takimi samymi haslami. Dla slabych hasel (a to jednak dosc czeste zjawisko) oznacza to ujawnienie hasla.

najciekawsza sprawa jest jednak to, ze strona zostala usunieta dluugo po tym jak zostala opublikowana.