Arhiv novic @ Slo-Tech

Slo-Tech - Pri varnem brskanju po spletu, ko moramo biti stoodstotno prepričani, da je obiskana stran res to, za kar se predstavlja, se uporablja certifikatsko podpisovanje. Gre za verigo zaupanja, kjer na vrhu najdemo tako imenovane overitelje digitalnih potrdil (CA). To so bila včasih velika in ugledna podjetja ali vladne ustanove, ki podjetjem izdajajo certifikate oziroma digitalna potrdila, s katerimi jamčijo za njihovo istovetnost. Pri deskanju po spletu brskalnik pogleda, kdo je strani izdal certifikat. Če je izdajatelj na seznamu zaupanja vrednih CA-jev, lahko verjamemo, da smo res tam, kjer želimo biti. Kurt Seifried pa si je v članku (PDF) za majsko izdajo Linux Magazina ogledal, kako se je ta sistem v zadnjih letih izmaličil.

CA-ji so se namreč znašli med konkurenčnim tnalom in nakovalom, kar jih sili v omiljenje zahtev za izdajo certifikatov. Konkurenčni pritisk ni le znižal cen certifikatov, marveč tudi poenostavil njihovo pridobivanje. Če je bilo treba včasih za pridobitev na vse možne načine dokazati upravičenost in istovetnost prosilca, je danes pri nekaterih CA-jih dovolj, da lahko prejemamo pošto na naslov ssladministrator@domena ali nekaj drugih podobnih naslovov. Tako lahko zlikovci z malo truda dobijo certifikat legitimne strani.

Nadaljnji problem je, da so tudi tako malomarni CA-ji v seznamu zaupanja vrednih izdajateljev v brskalnikih, tako da jim brskalnik brez dodatnih nastavitev avtomatsko zaupa. Še več, Seifried je ugotovil, da je izjemno enostavno dodati nov CA v brskalnik. Zaradi lažjega spremljanja razvoja dogodkov si je izbral Firefox in ugotovil, da lahko z malo truda v dveh tednih skupnost Mozilla prepriča, da v repozitorij zaupanja vrednih izdajateljev doda nov CA, ki ima morda zle namene ali pa je zgolj neznan. In vsi uporabniki novih različic spletnega brskalnika bodo verjeli stranem, za katere bo certifikat podpisal novi, neznani CA.

Komu torej lahko zaupamo?

Slashdot - Med razvijalci Mozille poteka zanimiva debata, ali naj kitajski CNNIC ostane na seznamu zaupanja vrednih overiteljev digitalnih potrdil (CA-jev) ali ne. CA-ji so pomemben steber varnosti na internetu, saj brez njih komunikacija po varnih kanalih s šifriranjem ne bi bila varna. Ko se brskalnik poveže na neko stran, ki uporablja šifrirano komunikacijo (s predpono https), bo strežnik najprej pokazal, da pozna določen ključ za enkripcijo. V drugi fazi pa bo moral dokazati svojo istovetnost, kar se stori z digitalnim certifikatom (cert), ki ga podeli eden izmed zaupanja vrednih CA-jev. Če zaupamo CA-ju, potem ta jamči, da je strežnik res, za kogar se predstavlja, in da ključ ni poznan nikomur drugemu. V nasprotnem primeru je povezava res lahko varna, a kaj ko je na drugi strani lažna stran.

Od lanskega oktobra je v seznamu zaupanja vrednih CA-jev v Mozilli tudi kitajski CNNIC (China Internet Network Information Center). Mnogi so takrat uvrstitvi CNNIC-a v to elitno druščino nasprotovali, saj naj ne bi šlo za nepristranski organ. Podobne debate se porajajo tudi sedaj. Če bi bil CNNIC pod nadzorom in vplivom kitajske vlade, bi ga ta lahko uporabila za prisluškovanje. Kitajski uporabnik bi se želel povezati na Gmail, a bi ga preusmerili na lažno stran. Ta bi imela od CNNIC-a podpisan certifikat, da gre za Google, in uporabnik ne bi nikoli posumil, da se dogaja nekaj čudnega.

Nasprotniki izbrisa pravijo, da so na seznamu že mnogi CA-ji, ki so povezani z vladami ali so dejansko vladni. Odpisati CNNIC le zato, ker je kitajski, se zdi nekako nepravično. Debata tako ni le nepomembna tehnična podrobnost, ampak pomembna odločitev, komu v današnjem svetu velja zaupati. Problem je razdrobljenost trenutnega sistema, saj lahko katerikoli zaupanja vreden CA kateremukoli uporabniko jamči, da se katerikoli strežnik nahaja na kateremkoli naslovu. Prave rešitve za vse uporabnike ni.

Microsoft - Microsoft je pred nekaj dnevi sporočil da je uvrstil državne certifikate, izdane pod okriljem ministrstva za javno upravo preko agencij SIGEN-CA in SIGOV-CA, skupaj z agencijami AC NLB in Halcom na seznam zaupanja vrednih ponudnikov, ki izpolnjujejo najvišje varnostne zahteve. Za domačega uporabnika to pomeni, da nas bo po namestitvi popravka brskalnik nehal spraševati ali res zaupamo certifikatom zgoraj naštetih agencij.

EETimes - Kot poročajo na EETimes, je podjetje Microsoft pred kratkim s francoskim izdelovalcem avtomobilov sklenilo servisno in vzdrževalno pogodbo za - da, prav berete - SUSE Linux, ki ga distribuira Novell.

Microsoft bo Renaultu prodal 1000 certifikatov za SUSE Linux Enterprise strežnik, Microsoft pa bo - spet berete prav - Renaultu pomagal integrirati računalnike z operacijskim sistemom Linux s tistimi, na katerih teče operacijski sistem Windows.

Dogovor med Microsoftom in Renaultom vključuje tudi tim. zagotovila o intelektualni lastnini, v okviru katerega Microsoft kupcem Novellovih Linux distribucij zagotavlja, da jih ne bo tožil zaradi domnevnih kršitev njihovih patentov. Microsoft je tak dogovor z Novellom sklenil leta 2006.

S tem Microsoft vsaj nekaterim uporabnikom Linuxa zagotavlja, da jih ne bo tožil zaradi kršitve domnevnih patentov, vprašanje pa je, če bi s svojimi zahtevki lahko sploh uspel, saj odprtokodni razvijalci Linuxa trdijo, da njihova koda ne krši Microsoftovih patentov. Kot podporo svojim trditvam so Microsoft že lansko leto izzvali, naj jim prikaže točno kateri patenti naj bi bili kršeni, vendar natančnega odgovora še nismo dobili.

Reuters - Po poročanju The inquirer in Reuters je Microsoft ponudil za nakup Yahooja 44,6 milijard USD. S tem nakupom naj bi se še bolj zaostril boj med Redmondom in Googlom za internetno prevlado. Microsoft je pripravljen plačati 31 USD za delnico Yahooja, kar je za 62% več, kot je bila včeraj cena delnice po zaprtju na ameriški borzi - Nasdaq.

Yahoo pričakuje nadaljnjo strmo rast spletnega oglaševanja, ki naj bi do leta 2010 obsegalo že 80 milijard USD, v primerjavi s 40 milijardami USD v letu 2007. Dodajajo pa, da je na tem področju vse bolj dominanten le en igralec - Google.
Yahoo je bil zadnje čase tarča vse več kritik zaradi ne najboljšega konkuriranja Googlu na področju spletnega oglaševanja in spletnega iskalnika ter, še bolj pogosto, porastu "social network" strani, kot sta Myspace in Facebook.

Microsoft pravi, da so identificirali štiri področja, kjer bo prihajalo do medsebojne sinergije. Ta pa bo vredna milijardo USD letno.

Na novico sta nas opozorila tudi root987 in metalc.

Slashdot - Po poročanju InfoWorlda naj bi Microsoft 12. februarja nadgradil vse sisteme z brskalnikom Internet Explorer 7. Kar so do sedaj omogočali na izbiro, bo po novem vključeno v kritične popravke. Govora je tudi o preprečitvi za sistemske administratorje, ki ga na svojih sistemih ne želijo.

Pri Microsoftu zatrjujejo, da so se za ta korak odločili iz varnostih razlogov.

Izvorna novica.

Kaj bo naslednji korak? Nadgradnja XP-jev na Visto...

Microsoft - Pirate v naslednjih nekaj mesecih znova čaka delo. Microsoft je namreč napovedal, da bo prvi servisni paket za Windows Vista, izšel naj bi v prvi četrtini naslednjega leta, onemogočil dva znana načina za izogib aktivaciji. Tako naj sistema ne bi bilo več mogoče prelisičiti s spremembo oznake BIOSa, ki bi Okna prepričal, da gre za OEM različico. Ravno tako naj se ne bi več dalo spreminjati časa med namestitvijo in aktivacijo (Grace Timer).

Uporabniki, ki si bodo Okna z razgledom™ omislili na livadi ali v Salamonovem oglasniku, naj bi sicer lahko uporabljali vso funkcionalnost izdelka, le uporabniška izkušnja naj bi se "popestrila" z opaznimi sporočili o nelegalnosti programske opreme in napotki, kako jo legalizirati.

Ali bo servisni paket prinesel še kakšno izboljšavo za uporabnike legalnih Oken, izvirna novica ne poroča.