Skip to Content

IT nieuczesane.
archive

> Monthly Archives: Listopad 2012

MS Security Essentials już nie takie dobre jak kiedyś

Jako użytkownik MS Security Essentials trochę się „przeraziłem” czytając załączony test – w zasadzie wniosek taki, że prawie żadnej ochrony owy pakiet nie zapewnia- ocenia 1,5 /6 czyli najsłabszy wynik ze wszystkich przetestowanych. No cóż pilnie szukam alternatywy – skłaniam się ku ZoneAlarm Free Antivirus + Firewall.

http://www.av-test.org/en/tests/home-user/windows-7/sepoct-2012/

Wujek Steve

Wpis ten ma dwa cele.
1. Zachęcić Szanownych czytelników do lektury. Nie bloga, czy rss’a ale książki, takiej z papieru, o ile jeszcze pamiętamy jak wygląda (względnie audiobooki są) – chodzi o biografie Steva Jobsa. W dwóch słowach: pomimo iż to kloc 700 stronicowy i momentami, szczególnie na początku nudnawy, uważam, że to obowiązkowa lektura dla naszej branży. Tym bardziej zachęcam, że zawsze byłem przeciwnikiem produktów appla, jako ograniczonych, może ładnie wyglądających, ale nie przystających do naszych realiów i nastawionych na rozwalenie branży i zagarniecie kasy gadżetów dla sekciarzy. Choć w większości wciąż zgadzam się z tą teorią, to nie można odmówić Jobsowi racji. O tym i o naszej branży, a raczej jej badziewności jest ta książka. Lektura obowiązkowa.
2. Uchylić czoła przed tym co zrobił Steve Jobs. A zrobił rzecz niezwykłą. Wypuścił na rynek produkty (ipod, ipad, iphone…), których nikt przez najbliższe kilkadziesiąt lat (obstawiam) nie pobije. Pomimo wielu wad, robią to co chciał ten facet i robią do dobrze. Na dokładkę są doskonale zaplanowane i tak naprawdę utworzyły rynek… rynki i nikt, literalnie NIKT nie przebije tego co wyprodukował ten facet – z prostego powodu – tacy jak on trafiają się raz na stulecie? Ostatnim takim był… przykro mówić, ale w moim odczuciu Hitler – podporządkował sobie niemalże cały świat – co prawda w delikatnie mówiąc w okrutnym i złym celu, ale miał siłę przebicia. Jobs zrobił to samo, tylko zdecydowanie stał po jasnej stronie mocy. Obecnie, nawet największe korporacje nie wyprodukują czegoś tak przemyślanego i dopracowanego jak produkty Appla. Za żadne skarby świata. Do tego potrzeba człowieka, który ma wizje, moc i siłę, aby wdrożyć pomysły w życie. Jobs miał to wszystko, a na dokładkę był zdrowo pierdolnięty i poświęcił temu swoje życie zdrowie i rodzinę. Nikt nie porwie się na coś takiego, bo zwyczajnie, po kolejnym posiedzeniu zarządu, rzuci to wszystko i pojedzie do domu bawić się z dziećmi, albo medytować.
*Update (ucieło mi arta…) Końcówka była o tym, o czym skomentował Nexor: daje Applowi jeszcze 4 lata i zacznie produkować buble jak wszyscy…

There is a problem with this website’s security certificate

standardowy komunikat IE informujący, że coś jest nie tak z certyfikatem. dodatkowo dwie opcje: wejdź lub wyjdź. opcja kontynuacji obarczona jest informacją żeby tego raczej nie robić, że to niebezpieczne i tak dalej…

no dobra… ale chciałbym zobaczyć ten certyfikat żeby móc podjąć decyzję i co w ogóle jest nie w porządq. tylko żeby go zobaczyć muszę najpierw wejść.. czyli teoretycznie jest już za późno…

jaka w tym logika?

eN.

Szyfrowanie poczty certyfikatem x5o9

*UPDATED…again*

pamiętam, że na uczelni – czyli ponad dekadę temu – każdy gówniarz, włączając mnie, wiedział co to PGP, miał certyfikat i się tym bawił. oczywiście ponieważ nasze dane były bardziej super fajne niż super tajne, po dwóch-trzech miesiącach każdy się nudził zabawą i certyfikaty poszły w zapomnienie… a było tak:

Projekt PGP został zapoczątkowany w 1991 przez Philipa Zimmermanna i rozwijany z pomocą społeczności programistów z całego świata[1].

Wydarzenie to stało się pewnym przełomem – po raz pierwszy zwykły obywatel dostał do ręki narzędzie chroniące prywatność, wobec którego pozostawały bezradne nawet najlepiej wyposażone służby specjalne.

Wikipedia

Ponad 2o lat temu powstała idea, aby przeciętny obywatel mógł zabezpieczyć swoją pocztę.wtedy chodziło o zabezpieczenie się przed rządem – to było jeszcze echo po zimnej wojnie. po tylu latach bezpieczeństwo jest niemal wbudowane w każdy produkt i dostępne wszem i wobec, więc można przyjąć, że bułka z masłem coś takiego skonfigurować…

podstawowym problemem PGP jest zaufanie do certyfikatu, które opiera się na wymianie kluczy – nawzajem lub przez jakieś ‘zaufane miejsca’. mało wygodne przy użyciu ‘publicznym’ – lepiej skorzystać z zaufanych serwerów Root CA, które poświadczają tożsamość. w sumie na oddzielną dywagację, bo standardowy certyfikat można wystawić na “reksia kosmonautę” – i tak nikt nie wyryfiqje tożsamości przy najniższej klasie bezpieczeństwa… ale o nie o taki cel wpisu. chodzi o ideę szyfrowania wiadomości jako-takiego, oraz o weryfikację na ile to jest zadanie proste po 2o latach od rozgłosu, jaki osiągnęło PGP…

testy dotyczyć będą certów x5o9.

 

Ceryfikat

po pierwsze okazuje się, że zniknęły z rynq praktycznie wszystkie portale wydające darmowe certyfikaty do poczty z firm, które są globalnie w Trusted Root CAs. zostało comodo i masa ‘odsprzedawaczy’ którzy kierują na stronę comodo. jak dłużej się poszuka, znajdzie się “coś tam”:

  • CAcert – ale jak można ufać komuś, kto nawet nie potrafi ustawić kodowania znaków na stronie? poza tym RootCA jest dystrybuowany społecznie, a więc trzeba go ręcznie importować
  • startssl – początkowo go nie znalazłem, wymaga podania sporej ilości danych, rejestracja nie jest automatyczna.

no więc niech będzie comodo – w sumie co za różnica…. potem przetestowałem na certyfikacie startssl – i nawet się udało… ale to za chwilę.

Klient

po drugie żadna poczta publiczna webmail nie obsługuje certyfikatów – gmail, live/hotmail czy inne wynalazki. a więc pozostaje to poza zasięgiem większości userów. warto byłoby zerknąć na klienty na urządzenia mobilne, ale to zostawiam innym [będę wdzięczny za informacje – może korzystacie z jakiegoś klienta wspierającego szyfrowanie?]. więc przetestujmy na najpopularniejszych stacjonarnych klientach poczty.

dla testu stworzyłem dwa konta na jakieś tam skrzynki i wygenerowałem certyfikaty comodo i startssl. dwa konta w windows, oczywiście zaimportowane na krzyż po certyfikacie prywatnym jednego i publicznym drugiego. bułka z masłem…

[po trzecie] no może nie do końca – nie dla common-usera. ponieważ windows nie pozwala ani przesłać pliku .cer, ani kiedy się go zzipuje, rozpakować. trzeba wejść we właściwości i go odblokować – kolejne utrudnienie, które dla kogoś z IT może być śmieszne, ale dla przeciętnej osoby wymaga sporo wysiłku. pozostaje jeszcze jedna sprawa – skąd taki cer wziąć. i znów – dla mnie oczywiste jak wyeksportować część publiczną – ale nie jest to metoda ‘użytkownikowa’. raczej zaliczyłbym to do ‘zadań administracyjnych’.

idziemy dalej. odpalam Windows Live Mail 2o12 – bez trudu konfiguruje się własny certyfikat. drugi – publiczny, już zaimportowany i sprawdzony – siedzi w other users i wszystko się zgadza, cały łańcuch weryfikowalny, email ok. szyfruję wiadomość, wysyłam… i dupa “Digital ID is missing”. godzina ślęczenia, sprawdzania, bez szans. po prostu się nie da. wszędzie opisy jak wyłączyć szyfrowanie, nigdzie jak je skonfigurować – owszem, gdzieniegdzie opisy jak skonfigurować swój, ale nigdzie jak prawidłowo zaimportować czyjś. brak instrukcji. mam wrażenie, że robię coś źle – więc weryfiqję dalej.

testuje outlooka 2o1o. qrva – to samo! nie do wiary. nie mówiąc o tym, że sama konfiguracja czy szyfrowanie wymaga trochę umiejętności, ze względu na to przez ile okien trzeba się przeklikać w outlooku żeby to skonfigurować – przeciętny user się obsra a tego nie znajdzie. no ale to raczej korpo-aplikacja.
może głupi jestem – nie wykluczam, poza tym jest późno, a ja pracuje 17tą godzinę [ale update piszę następnego dnia i nadal nie jestem pewien – co robię źle?]… jeszcze jeden test:

‘by the book’, czyli tak, jak w zamyśle powinna wyglądać wymiana kluczy… najpierw z certami comodo.
wysyłam z jednego konta podpisaną wiadomość. dochodzi do nadawcy i .. jest prawidłowo zweryfikowana. dodaję kontakt do książki adresowej przez opcje tegoż zweryfikowanego kontaktu… – już trochę mniej oczywiste i trzeba się nieźle przeklikiwać ale w końcu działa! nic dodać nic ująć – super intuicyjny system, security w każdym domu! no to teraz to samo w drugą stronę – dla Live Mail… podpisuje wiadomość, wysyłam, przychodzi, zweryfikowana, przekilqje się przez info o certach i znajduję opcję “dodaj do książki”… i dupa. kontakt jest ale certu nie ma. następnego dnia zrobiłem ten sam test ale z certami startssl: ZADZIAŁAŁO! i to z Live Maile po obu stronach. nie będę już testował czy wczoraj coś namodziłem, czy certy comodo są do d. ale jest jedna rzecz, która mnie bardzo zastanawia: czemu zaimportowany cer nie jest rozpoznawany??

postanowiłem wyciągnąć ciężką artylerię. stawiam własny CA i tworzę template dla szyfrowania poczty. generuję cert z tym samym mailem, exportuję część publiczną instaluję… nie ma żadnych problemów z importem – zarówno outlook jak live mail łykają taki cert bez mrugnięcia ekranem. porównuję certy żeby zobaczyć różnicę:

  • key usage: dla comodo digital signature i key encipherment; dla mojego – tylko key encipherment.
  • enhanced key usage: w obu Secure Email. comodo ma jeszcze własny OID do logowania na swoich stronach. nieważne.
  • CN – ten sam, czyli E=email
  • Application policies: brak w certach z zewnętrznych CA. MCA dodaje ‘Secure Email’

o co c’mon? certutil weryfikuje bez zajęknięcia. jedyna różnica jaką znalazłem to to, że w wygenerowanym przez MCA jest Application Policy, którego nie ma w certach zewnętrznych – ale to nie powinno mieć znaczenia. tej części nie udało mi się rozwiązać.

na koniec biorę pod młotek thunderbirda…

nie lubię tego produktu – jest toporny, brzydki i nie korzysta z systemowego cert stora. o ile kojarzę to dodatkowo TB i FF mają oddzielne cert story! ale pal to licho – nie o to chodzi. próbuję dodać publiczny email cert – dupa. niezaufany. okazuje się, że brakuje ostatniego ogniwa zaufania – dla COMODO email. exportuję ze stora systemowego, dodaję do TB. działa.

Konkluzja

na jakim poziomie trzeba być userem, żeby zacząć korzystać z szyfrowania poczty? można x5o9 zastąpić openpgp czy GNUPG i szyfrowanie wiadomości z linii poleceń. tak, wiem, jest jakiś dodatek do systraya, który jakoś to automatyzuje – ale co z tego? target użycia pozostaje ten sam. zresztą opinię czy jest łatwiejsze czy trudniejsze pozostawię – może będę miał siłę to przetestować?

pomimo dwóch dekad – szyfrowanie poczty pozostaje instytucjom i zdesperowanym. zwykłym, ani nawet trochę mniej zwykłym userom, po prostu się to nie uda. być może drążyłbym jakąś teorię spisq – ale raczej projektu opensource typu mozilla nie podejrzewałbym o przyłączenie się do niego. żaden klient nie ułatwia wymiany kluczy, o ile w ogóle je obsługuje… a może nie ma się co dziwić? ostatnio częściej się słyszy o uzależnieniu od porali społecznościach – ludzi, którzy mają na bieżąco publikowane swoje położenie odczytane z GPS, każda myśl przelana od razu pro publico… ale czy bono to już wątpię. ‘jestem na wakacjach’, ‘właśnie wylało mi się mleko, cholera ale się pobrudziłem’, ‘ale walnąłem kloca! [+zdjęcie]’ … minęło 2o lat i ze skrajnej paranoi i strachu przez rządem, ludzie przenieśli się w epokę totalnej publikacji siebie.

tego nie rozumiałem wczoraj, będąc zmęczony, a dziś wydaje mi się oczywiste – nie ma popytu – nie ma podaży. kto potrzebuje – kupi, albo się nauczy.

eN.

DFS initial replication usuwa katalogi

zachowanie jest na tyle nieintuicyjne, że po raz drugi się na to naciąłem – tym razem z dodatkową adrenaliną. dwa serwery, które miały być replikowane na trzeci. dwa, bo jeden jest nowy – większy, lepszy i tak dalej. już wcześniej nauczony, zrobiłem preseeding. celem replikacji na ten trzeci – hub, z którego będzie robiony backcup.

włączam replikację jakoś tak w czwartek… dziś dzwoni przerażona laska ‘nie ma moich plików! :/ ‘ … a to było tak…
laska miała mieć migrowany komputer. okazało się, że ma niewiarygodną ilość danych. na starym serwerze nie ma miejsca, ale nowy już jest – “wrzuć swoje dane na serwer. na serwerze jest bezpieczniej”…

okazuje się, że DFS w fazie wstępnej replikacji wybiera mastera – czyli jeśli jest katalog “user” na obu serwerach, pliki nie zostaną zsumowane – wynikiem będzie katalog mastera. w sumie nie wiem i na razie nie chcę sprawdzać co, jeśli jej katalogu by w ogóle nie było, ale wydaje mi się, że to się tyczy całej struktury drzewa nawet, a nie pojedynczych katalogów.

no i tak – backupów jeszcze nie ma, bo przecież po to była robiona replikacja, żeby go zrobić, previous versions nie ma.. bo świeży serwer i jeszcze nie dokonfigurowany… program do odzyskiwania danych nie pokazuje żadnych usuniętych plików – to dziwne. generalnie pupa blada i sprawdzanie cennika w ontracku…

okazało się, że nie pokazuje usuniętych, ponieważ nie zostały usunięte. DFS potraktował katalog jako konflikt i przeniósł go do dfsPrivatepreExisting. katalogi co prawda w sieczce – pododawane jakieś suffixy do nazw, ale DFS jest na tyle miły, że pełne info trzyma w xml’lach – ”preExistingManifest.xml”

$pe=new-object XML
$pe.load(“x:DFSfolderdfsrprivatepreExisitngManifest.xml”)
$pe.PreExistingManifest.Resource |%{ if ($($_.path).indexof("USERNAME") -gt 2) { move $_.newname $(($_.path).substring(4)) } }

..a co stanie się teraz jak włączę replikację? znów to wytnie?

eN.

Zrobimy tableta z Twojego peceta

a ja się nie zgadzam q:

broniłem się jakiś czas przed instalacją classic shell – po pierwsze chciałem się przekonać czy dam się przekonać, po drugie opis mówi o win7, nie ma słowa o win8. efekt jest dokładnie taki, jakiego oczekiwałem. zainstalowałem wyłącznie komponent classic start menu – bloqje ekran ‘start’ na dzień dobry, i dodaje menu start wraz searchem. ctrl-esc znów otwiera podręczne menu nie znikając mi wszystkich okien. oczywiście darmowy.

obowiązkowy tool.

ciekawe jak skoczyła sprzedaż windowsBlinds? (; sam astanawiam się, czy nie wydać tych $2o…

eN.

Windows 8 first look

ano – first. nie miałem czasu do tej pory zweryfikować swoich opinii na podstawie tego, co czytałem i co widziałem na prezentacjach. jednak moja opinia nie uległa wielkiej zmianie.

w naszym zawodzie przed ekranem monitora spędza się długie godziny. jakby się tak zastanowić to być może większość życia, z którą konkurować może tylko sen. a więc wygląd *ma znaczenie*. i choć starożytne przysłowie mówi de gustibus non est disputandum – nowy Windows gdzieś skręcił, wyraźnie nie w tym kierunku i zagubił się pomiędzy przyszłymi planami, niedojrzałym pomysłem i modernistycznym minimalizmem na pograniczu z kiczem. jest ohydny, obrzydliwy, fatalny, koszmarny, pasqdny, brzydki… jest pomyłką. przez wszystkie lata był coraz ładniejszy, coraz bardziej kolorowe ikony, coraz śliczniejsze kształty, Aero, bajero, trutajpy, wygładzania… aż tu nagle … prostokąty. modern art qrva. to gorzej niż w trylogii Kieślowskiego – część pierwsza, “trzy kolory – niebieski”. ostre kształty tnące tęczówkę oka jak żyletka… i ja mam przy tym pracować? cholera… zaczynam z prawdziwą zazdrością zaglądać do Maców, z łezką w oku wspominając jaki Windows przez chwilę próbował być śliczny… jak można tak skrzywdzić świat?

generalnie ‘Modern art UI’ jest wersją beta. pomyłką w przypadku laptopów. jestem gotów się założyć, że albo w w9 albo już w SP1 do w8 podczas instalacji będzie opcja “korzystam z laptopa/korzystam z tableta” pozwalająca zmienić styl interfejsu. nie wyobrażam sobie korporacji, gdzie ludzie pracują z ”modern-qrva UI”. zainstalowałem specjalnie wersję enterprise i dodając do domeny, spodziewając się, że jest to wersja dla ‘enterprise’… jakoś nie wyobrażam sobie tego w firmie.

nie przeczę – super pomysł na tablety,telefony czy konsole [choć i tak brzydkie to strasznie], ale dla środowiska “łorkstacjowego” to się po prostu nie nadaje. spodziewałem się łatwej metody wyłączenia tego niedopracowanego czegoś i … znalazłem płatne dodatki, które to robią. czemu niedopracowanego? wprowadza schizofreniczny interfejs – IE uruchomione z modern UI – to taki czarny prostokąt dla niedowidzących, a odpalony z dekstopu – normalne IE. otwarte zakładki w jednym nie są widoczne w drugim. skydrive jest od razu zainstalowany… ale tylko w świecie prostokątów. nie widać nigdzie plików w systemie i nie da się [nie wiem jak] do niech dostać z exploratora. trzeba doinstalować Windows Essentials 2012. są dwa oddzielne światy, między którymi niezbyt wygodnie się przełącza – a o przenikaniu ciężko powiedzieć…

jedną z najmocniejszych stron w w7 był świetny search – jedno okienko, szybko dostępne – i wyszuqje wszystko… a tu proszę – aż trzy oddzielnie wyszukiwania – win-q, win-w i win-f… niezłe ułatwienie… ręce opadają. desktop bez menu start jest jak samolot bez tylnego statecznika – ciężko się steruje, i głupio wygląda. szczęśliwie wszystko i tak robię z klawiatury.. ale to nowe wyszukiwanie… damn. no i nowy sposób wyłączania: win-i a potem myszkowanie, bo z klawiatury to potem sporo strzałek trzeba ponaciskać.

wszystkie zalety nowego Windowsa tracą znaczenie wobec tak druzgoczącego faktu – dosłownie “rzucającej się w oczy” ułomności, jaką jest jego nowy look. to jest straszna krzywda dla ludzkości, porównywalna z wynalazkiem BIOSu czy architektury x86.

ah. no i kolejne pierwsze zderzenie – to wstyd, że system nie radzi sobie z proxy. i to żeby jakieś tam niekoszerne – ale TMG! nie chce mi się nawet pisać.. po prostu spróbujcie zainstalować sobie świeży systemem w sieci z proxy wymagającym uwierzytelnienia…

eN.

Quest Network Tools

trafiłem na bardzo fajne, darmowe narzędzia quest. panowie od dawna specjalizują się w ergonomii interfejsów i ich aplikacje są zawsze warte polecenia – ta ma dodatkową zaletę: jest darmowa. owszem, wymaga rejestracji, ale umówmy się, kto z nas nie ma jakiś spamowych adresów. wymaga prawdziwego adresu, bo dostaje się link z tokenem sesji, ale warto. zestaw kilki bardzo przydatnych narzędzi w jednym interfejsie, oraz możliwość stworzenia sobie dashboarda. dzięki obsłudze WMI i SNMP daje możliwość stworzenia czegoś aka nagios. oczywiście porównując ten śliczny produkt z niekonfigurowalny paszkwilem, jakim jest nagios, trochę go obrażam, niemniej potencjalne możliwości są zbliżone.

jedyny mankament – pomimo, że jest skanowanie portów, ze względu na brak guzika ‘zaznacz wszystkie porty’ oraz braq możliwości ręcznego wpisania zakresu – do skanowania jako-takiego się nie nadaje. a może jak zwykle jestem ślepy? jak ktoś znajdzie dajcie znać (;

warto potestować się pobawić

eN

anytime upgrade

podczas instalacji w7 na VMWare standardowo wybrana jest wersja home. w razie pomyłki, zamiast robić ponowną instalację, można zrobić anytime upgrade do professional… tyle, że wymagany jest klucz.

w takim wypadku można użyć klucza KMS (:

eN.