Evropský parlament: internet je fundamentální právo občanů EU

zeby sa nam ty rysoval velky cerveny firewall....pardon modry :D :D :D

http://www.pravidla.cz/hledej.php...

Mé fundamentální právo je přístup na Internet, nikoliv pouze na jeden ze statisíců internetů.

Už zas?

znamenalo by to konec online bankovnictví a vůbec nákupů přes internet, při špiclování online komunikace by si jen naprostý idiot troufl vlézt do internetové banky nebo něco nakupovat na internetu, nemluvě o tom, že si nedovedu představit i lecjakou firemní komunikaci v tom případě, že by na lince "seděl naslouchající soudruh" z UE

kdo by chtěl bílý internet s pěti weby?

Urednici.

Problem posrancu je, ze jim vsechno nekdo strci az podnost. Tudiz takovej posranec predpoklada, ze kdyz neco zakaze jinymu clovekovi (popr mu to ISP nestrci az podnos), tak to danej clvoek delat nebude.

Standardni uvazovani blba.

Realita je ale takova, ze to lidi skusi obejit a bud pri to prijdou na bezpecnostni slabiny (v lepsim pripade), nebo rovnou nejaky novy vytvori (to spis).

To uz maj posranci takovyho hosipa, ze si nepamatuji na fiasko "Operation Sun Devil"?

http://en.wikipedia.org/wiki/Operation_Sundevil...

Nebo si mysli, ze decka prestali hackovat jejich spojovy systemy protoze jejich uzasny system nyni vychovava same sporadane a slusne obcany, kteri vi, ze se to nedela?

Decka prestali hackovat jejich systemy, protoze jim staci dat 10 vdolku mesicne a maji neomezeny internet, po kterym muzou zdarma telefonovat a provadet cokoliv se jim zachce. Tak proc by se sr-ali s necim tak pomalym a pracnym.

Takze zkuste cenzurovat internet.

Myslite, ze dostanete kontrolu nad inteligentnima lidma.

A dostanete akorat novou generaci hackeru, kteri budou mit lepsi informace (internet) nez mela ta predchozi, lepsi vybaveni nez mela ta predchozi a nesrovnatelne vetsi motivaci nez mela ta predchozi.

Je to jak dat psovi flak masa a pak se mu ho rozhodnout vzit.

Preji hodne stesti a velkou zasobu obvaziva a leku.

Ať jdou do háje s takovým internetem, kdo by si pořídil internet s blokovaným P2P? Z P2P sice už dlouho netahám, ale stejně bych si ho nepořídil. Zaprve jde o princip a za druhe, když pak budu chtít stáhnout nějaké linuxové distro tak budu čekat na přetíženém serveru?

A pak bude spadat google? Ten přeci v archívu má spoustu odkazů na nelegální soubory a pornografii, tudiž budou muset google zařadit do balíčku "černého internetu" ?

cele je to proste blbost, kdo by urcoval co ma jakou barvu?

O všem se má pochybovat.

Přesně, já bych to udělal všechno růžové

kdo asi - ten kdo urcuje firmy, ktery smi zateplovat baraky z eko-dotaci. Ten kdo ma zajem, moc a prostredky prosadit svou vuli.

A vo vo vo tom to je.

Omezovat P2P sa da iba dovtedy pokial nieje sifrovane. Potom uz provider nenablokuje nic.

Tak na to pojde obratene, co nepozna automaticky blokne.

to neni tak jednoduchy.

Dejme tomu, ze mame https://www.banka.cz.

ISP logicky nemuze kontrolovat obsah komunikace, ALE zaroven by musel overit, ze komunikujes s bankou. Coz neni tak jednoduchy.

To bude primo svadet poctivyho urecnika, co odpoledne vedle manzelky demonstroval za zakaz porna, aby se vecer touto cestou k pornu dostal a overil tak na vlastni kuzi jeho skodlivost (propr. rozvracel pornoprumysl zevnitr jako to delali nekteri nasi soudruzi).

Proste super napad - iniciativa za nebezpecnejsi internet. Komu tyhle zakony pripominaj neco z minulosti?

Nevidim v tom az tak velky problem. Jednoducho sa to spravi formou "whitelistu," na ktorom budu len spravne a overene stranky, pripadne adresy/rozsahy len spravnych a overenych providerov - kontrolovat obsah bude potom spadat do zodpovednosti poskytovatela hostingu alebo aspon registratora domeny. Nu a ak na tom whiteliste www.banka.cz nebude, nedostanes sa k nej.

Tak v takovem pripade me uz v EU nikdo neuvidi.

kozec, bez urazky, ale tys asi nic takovyho jeste v behu nevidel.

banka.cz je samozrejme na whitelistu. Problem ale je, jak ISP zkontroluje, ze se pripojuju na www.banka.cz a ne nekam jinam.

ad problem s IP whitelist) Predne udrzovat tak podrobny routovaci tabulky je vykonove nesmysl. Jinak by se to totiz delalo uz ted z technickych duvodu.

Kdyz vyresis vypocetni narocnost, tak prichazi na radu aktualizace, ktera, pokud by se podarila zrealizovat by zahltila internet.

A jak rikam - pokud by to slo, pouzivaly by se tyhle routovaci tabulky uz ted misto pofiderniho posilani na nadrazeny routery vseho, s cim si router nevi rady (skoro vsechno).

Nicmene pripustme, ze by nekdo zafinancoval tak neuveritelny naklady a dejme tomu, ze se to ciste hypoteticky podari osefovat a ISP skutecne bude schopny overit, ze se pripojujes na povoleny rozsah IP 77.75.76.1-77.75.76.255

(jen podotykam, ze uz jen zajisteni tohoto by spolehlive paralizovalo internet ve vsech rovinach)

Nicmene dejme tomu, ze to ISP overi. Takze ted kdo ohlida tech 255 pocitacu a kdo za ne bude zodpovedny?

Lukacovic? Senzam? Nejaky jejich admin? Videl's nekdy pocitace na skole, kde studujou ITici? Kdyz jsem na skolnich compech potreboval vlastni OS, tak jsem ho mel cca za 2 dny. A to to zajistovali lidi co tomu rozumeli (dokonce zamkli a zadelali vsechny otvory, aby neslo vyzkratovat baterku). Takhle mi to ztezovat. Parchanti

Stejne sem pustil vlastni OS. Co by mi branilo pustit tam docasnou proxy a odejit?

Nic. (podotykam, ze spojeni jde iniciovat zevnitr pomoci e-mailu)

Takze by pak zabanovali senzam? Dali ho na blacklist? To muzou dat rovnou na blacklist vsechny skoly kde studujou ajtici.

Nebo dat na blacklist rovnou vsechny. To bude nejlepci.

Proste v idealnim pripade (pro establisment) by whitelist fungoval v noci a kazdy rano by po cely republice zacaly startovat proxy, ktery by jely dokud by je nekdo nevypnul. Tedy dovecera.

navic jestli tvou teorii spravne chapu, tak by overeny muzely byt obe strany (white-white). Jinak by to nefungovalo ani teoreticky.

Takze jeste vetsi tlak aby clovek ziskal IP s necenzurovanym pristupem.

A jak to vypada, kdyz se vic jak 50% uzivatelu rozhodne obchazet jen blbou transparentni proxy cache se muzes zeptat libovolnyho providera. Kazdej, kdo v brandzi dela vic jak 10 let ti o tom rad poreferuje.

A to neslo o zadnou kontrolu. Jen se ISP snazili usetrit za konektivitu... a jak dlouho jim to vydrzelo

nemluve o tom, ze pokud to dojde opravdu daleko, tak se vsad, ze nakej studentik presmikne ethernet kabel, vrazi tam upraveny netbook a najednou ma primo IP adresu skolniho serveru (a ten kupodivu dal bezi jakma).

whups:-o

Ano, priznavam, v praxi som obdobne riesenie este nevidel (respektive videl, ale o jeho "neobiditelnosti" si nerobim ziadne iluzie.)

Iste, bolo by mozne dosiahnut, aby zo siete mojho ISP vyrazil dotaz na 77.75.76.12 a niekde na pol ceste by sa presmeroval na 83.13.26.2, ale taketo riesenie by bolo podla mna mierne komplikovane a hlavne znacne napadne a pri troche stastia aj vystopovatelne.

Pokial ide o proxac, v mojom (stale ciste teoretickom) pripade by si mal dve prekazky. Prvou, mensou by bolo samotne nepovolenie proxyserveru zo strany ISP (vlastne nie mensou, velmo malou.) Druhy by ale bol zaujimavejsi - proxyserver na tvojom naburanom skolskom PC by sa "von" pripajal zasa len cez skolsku siet a "whitelistoveho" providera. Takze by si sa komplikovanou cestou nikam nedostal.

Rovnako tak by ti nepomohlo "vypozicat" si adresu skolskeho servera (naviac si viem predstavit konfiguraciu, pri ktorej by to bolo fyzicky nemozne ,) nakolko by aj ten podliehal whitelistu providera.

S cim ale suhlasim (teda ak som spravne tvoju poznamku o necenzurovanej IP pochopil,) praktickym dosledkom takehoto filtrovania by bolo rozdelenie internetu na "biely" a "cierny," pricom jedna strana by nemala pristup k druhej.

a pak tu mame veci jako TOR a Onion routing... krasny veci na tech krasnych IT skolach se vymysleji :)

ad reseni "presnerovani na trase": ano, hodne komplikovane. Ne, zcela nevystopovatelne a hlavne zcela nenapadne (bez moznosti detekce).

ad proxac)

>nepovolenie proxyserveru zo strany ISP

ISP si muze povolovat nebo nepovolovat co se mu zachce. Pokud pusti sifrovanou komunikaci na 77.75.76.12, tak nema sanci jakkoliv ovlivnit nebo overit co je obsahem teto komunikace.

>proxyserver na tvojom naburanom skolskom PC by sa "von" pripajal zasa len cez skolsku siet a "whitelistoveho" providera

V tom pripade nechapu, proc by existoval white/black internet. To je daleko jednodussi proste vsechno non-whte odstrihnout.

Nicmene jsem predpokladal, ze na skolni servery budeme chtit poustet i non-white abychom se pochlubili. Tudiz musi existovat cesta black-white.

Pokud neexistuje, tak neni co resit - jak jsem rekl to je ekvivalent prostymu odstrihnuti vsecho mimo white zonu.

>"vypozicat" si adresu skolskeho servera (naviac si viem predstavit konfiguraciu, pri ktorej by to bolo fyzicky nemozne ,)

vyplazeny jazyk se pouziva, pokud nekoho nachytas na nezalosti. Ty jsi tu nachytal akorat sam sebe. Pokud nekde rozstrihnu ethernet kabel k nemu vedouci (kdekoliv po ceste), tak je to velmi velmi velmi jednoduche. POkud nevis jak, tak zakladni kurzy IT napovi.

Zacit mozno treba tady:

http://en.wikipedia.org/wiki/Address_Resolution_P... ...

(ano, jde to osetrit, ale nedela se to kvuli ruznym duvodum - hlavne protoze dosud takto IP adresy nikdo nekrade)

>praktickym dosledkom takehoto filtrovania by bolo rozdelenie internetu na "biely" a "cierny," pricom jedna strana by nemala pristup k druhej

jo, ale ja to ukazoval jako nesmysl. Nejak jsem nepostrehl, kdo by mel mit pristup k tomu cernemu. A jestlize by vsichni meli pristup jen k tomu bilemu, tak by cerny neexistoval.

Coz je mimochodem aktualni situace. Akorat ze nikdo nema potrebu krast IP adresy a vyvadet voloviny, protoze kdyz chce nejaky "zavadny" obsah nekde vystavit, tak ho tam proste vystavi a nic se nedeje dokud si s nim neprijdou popovidat uniformovani spoluobcane.

Pokud se bude kazdej legitimovat pri kazdym pozadavku, tak si da sakra pozor, aby po nem pritom nezustaly nikde stopy.

A nadela pritom stejnyho bordelu, jak lupici co po ceste zapali nekolik (ukradenych) aut aby za sebou zametli stopy. Uz se nemuzu dockat az to budu moct (muset) uklizet

> ad reseni "presnerovani na trase"

Detekovatelne napriklad v pripade, ak sa cez toho isteho ISP pripoja na "banku" dvaja a ak ISP neumozni presne identifikovat "ktory je ktory." Par krat by to mozno preslo, ale casom by sa urcite niekto na porno zobrazene namiesto jeho prehladu obratov stazoval. A nasledne vystopovatelne, proste si odsledujem, u ktoreho routeru sa mi "meni adresa."

> ad proxac)

Preto som vravel "velmo mala." Ale v pripade nudze najvyssej ti proste ISP zatrhne vsetko, co nebude vediet precitat *a* nepojde to na "overene miesta."

> V tom pripade nechapu, proc by existoval white/black internet. To je daleko jednodussi proste vsechno non-whte odstrihnout.

Prave tak si ten nas buduci raj na zemi predstavujem

> vyplazeny jazyk se pouziva, pokud nekoho nachytas na nezalosti.

Takyto vyznam pre "" nepoznam. A hlavne, rozstrihavanie kabelaze predpoklada fyzicky pristup k nej. A neviem ako to bolo na vasej skole, ale u nas bol server v zamknutej miestnosti istenej alarmom a kabelaz vedena v muroch.

Naviac je taketo odstrihnutie detekovatelne (kludne i s casom v ramci milisekund,) takze nez by si ty nastikal nahradnu koncovku, admin by ti uz nad hlavou machal sekerou

> jo, ale ja to ukazoval jako nesmysl.

A ja o tom hovorim ako o stave, do ktoreho zrejme casom dospejeme. "Biely," oficialny internet, v mene ochrany pred teroristami/homosexualmi/rusmi/pedofilmi/cinanmi/martanmi/duchmi/pokemonmi/... sledovany az tak, ze sa z logov bude dat rekonstruovat 3 roky stary zapas v Counterstrike a "cierny" internet vedeny cez sifrovane spojenia maskovane za ping requesty a kabelaz tahanu "z domu do domu." (prehanam)

A ked sa to niekomu nebude pacit, spytaju sa ho "Robis tam nieco nelegalne? Lebo ak nie, nemas co skryvat."

sorry kozec, ale rozumis aspon zakladum siti?

>Detekovatelne napriklad v pripade, ak sa cez toho isteho ISP pripoja na "banku" dvaja a ak ISP neumozni presne identifikovat "ktory je ktory."

Kazdy vetsi ISP ma nekolik uzivatelu zaraz, kteri se pripojuji treba na www.google.com. Nejak jsem nepochopil, co ma ISP identifikovat. Do sifrovane komunikace mu nic neni.

>casom by sa urcite niekto na porno zobrazene namiesto jeho prehladu obratov stazoval

uplne mimo.

Pokud se bavime o PC nekde v kancelari, tak by musel znat IP a PORT a nasledne ho omylem zadat kdyz chce pristupovat na www. Nesmysl.

Pokud se bavime o routery vsunutymu mezi nadrazeny router a www server banky/skoly/etc. (nebo mezi nadrazeny router a nadrazenejsi router), tak ten by samozrejme veskerou komunikaci urcenou www serveru musel posilat dal jako kazdy jiny router. Uz z principu nemuze zasahovat do komunikace, ke ktere nema klice, takze by ji musel poslat dal. Porno by vratil jen tomu, kdo by mel spravny podpis - nikdo jiny by sifrovanou komunikaci od routeru stejne nemohl precist, protoze router by jiz z logiky veci mel zcela jinou sifrovaci sadu klicu nez www server.

Tedy opet blbost.

> A nasledne vystopovatelne, proste si odsledujem, u ktoreho routeru sa mi "meni adresa."

ISP nic sledovat nemuze.

ad PC v kancelari) spravce by musel dotycne PC najit a odpojit. To by bylo vse. Na PC ve skole (tisice), kde nekdo nabootoval do vlastniho OS by to slo leda pres kamerovy system a svedecke vypovedi spolustudentu. Sak ale tak tezky zlociny by mela stejne setrit nejmin tajna sluzba nebo UOOZ, ne?

ad router na ceste k WWW) fungoval by do te doby, nez by nekdo uporoznil admina, kterej by ho proste odstrih. Krom otisku prstu opet leda pres kamerovy system.

Proste na skole nebo v nejake vetsi instituci super zabava hledat nekoho, kdo delal na pocitacich neco podezrelyho, co mu zabralo celych 5 minut.

V realite, jak jsem napsal, by se tyto servery rozbehly rano se zacatkem vyuky a bezely by do vecera, kdy by je spolu s ostatnimi pocitaci nekdo stejne vyplnul. Tedy zadne patrani po proxy by nebylo treba.

> v pripade nudze najvyssej ti proste ISP zatrhne vsetko, co nebude vediet precitat *

nezamkne. To by totiz nesla sifrovana komunikace k bankovnim uctum a hadam ani posranci nejsou takovy prasata, aby pozadovali otevrenou komunikaci pro prihlasovani k e-mailum, bankovnim uctum, skolnim uctum, nebo dokonce na ty samotny www servery pokud admin potrebuje neco udelat mimo kancelar.

A pokud jo, to by byl teprve ten spravnej hackerskej hukot

> Prave tak si ten nas buduci raj na zemi predstavujem

prave tak to ale funguje ted. Nepovoleny obsah "neexistuje" a kdykoliv na nej policie prijde, tak ho odstrihne. POkud neni v zahranici.

To by bylo asi navic - kompletni odstrizeni zahranici. A co na to WTO?

>u nas bol server v zamknutej miestnosti istenej alarmom a kabelaz vedena v muroch

no jo, ja holt nestudoval ve tretim svete

U nas jsou zamceny dulezity servery (resp. vetsina serveru je v serverovne, kam pravda volny pristup neni, nicmene rada serveru lezi poruznu v kancelarich, kde jsem byl opakovane osamote z ruzncyh duvodu a par serveru fakulty je v mistnosti, kam je pristup na pozadani) a kabelaz je vedena v listach, ktery maji vyvody po cele skole (protoze je k nim pripojny wifi a rada dalsich vychytavek urcenych ke sdileni informaci - nemluve o tom, ze zaklady pokladali jeste v dobe, kdy PC nebyly).

Ale to je holt ten pristup vezeni (vsichni jsou potencioalni zlocinci) vs. sdileni prostredku (vsichni jsou slusni dokud se neprokaze opak).

V tom prvnim svete zit nechci a dosud jsem nastesti nemusel.

Pokud ty ano, tak docela chapu tvy smysleni o pristupu k IT (vsechno zabetovnovat).

>je taketo odstrihnutie detekovatelne (kludne i s casom v ramci milisekund,)

a jeje, tady nekdo chrapal na hodinach fyziky. Mel bys pravdu, pokud bys prestrihaval optiku, nicmene jsem tak nejak mlcky predpokladal, ze ostatni by radsi stipali kroucenou dvoulinku

ad stav do ktereho dospejeme) tak to aby zacali pracovat na SuperMegaUltraHD televizi, protoze jestli odstrihnou porno, tak ani stavajici linky jinak nevytizi

Tady se skutecne vymysli hovadiny kvuli par hopsalum, ktery uz nikdo neposloucha a ze se nasobne vetsi skody zpusobi v rade dalsich odvetvi nikoho nese_re. At jim radsi nechaj to vypalny, pokud pak budou drzet hubu. Vyslo by to levnej.

> sorry kozec, ale rozumis aspon zakladum siti?

Jo, co-to sa na mna uz nalepilo

> Nejak jsem nepochopil, co ma ISP identifikovat.

Vobec nic. A prave o tom hovorim - sposob presmerovania, ktory popisujes nepresmeruje len jedno konkretne spojenie.

> Pokud se bavime o PC nekde v kancelari, tak by musel znat IP a PORT a nasledne ho omylem zadat kdyz chce pristupovat na www. Nesmysl.

Eee... Hovorime este stale o domene "banka.sk?" Ta pravdepodobnost je podla mna naopak az mimoriadne vysoka.

> ISP nic sledovat nemuze.

Co mu v tom brani?

> ad PC v kancelari) spravce by musel dotycne PC najit a odpojit. To by bylo vse. Na PC ve skole (tisice), kde nekdo nabootoval do vlastniho OS by to slo leda pres kamerovy system a svedecke vypovedi spolustudentu. Sak ale tak tezky zlociny by mela stejne setrit nejmin tajna sluzba nebo UOOZ, ne?

Tu suhlasim, najdenim presmeruvavajuceho stroja by sa vpodstate nic nedosiahlo. Ale spojenie by sa prerusilo a niekto by si mozno pripisal odmeny

> Proste na skole nebo v nejake vetsi instituci super zabava hledat nekoho, kdo delal na pocitacich neco podezrelyho, co mu zabralo celych 5 minut.

Ani nie, ak to tam bude musiet robit 3x do tyzdna. A odsledovat si, ze mam niektory stroj dlhodobo vypnuty (teda nie nabootovany do spravneho OS) zasa nieje az taky problem.

> V realite, jak jsem napsal, by se tyto servery rozbehly rano se zacatkem vyuky a bezely by do vecera, kdy by je spolu s ostatnimi pocitaci nekdo stejne vyplnul. Tedy zadne patrani po proxy by nebylo treba.

To sa nezhoduje s tvojim planom spustit tam vlastny OS. Taky stroj spravcovi oznami prvy ziak, ktoremu sa "nepojde prihlasit."

> nezamkne. To by totiz nesla sifrovana komunikace k bankovnim uctum a hadam ani posranci nejsou takovy prasata, aby pozadovali otevrenou komunikaci pro prihlasovani k e-mailum (...)

Trocha to preformulujem... zamkne vsetko, co nebude poznat alebo vediet precitat. Ale suhlasim, take nieco je mimoriadne nepravdepodobne.

> prave tak to ale funguje ted. Nepovoleny obsah "neexistuje" a kdykoliv na nej policie prijde, tak ho odstrihne. POkud neni v zahranici.

To by bylo asi navic - kompletni odstrizeni zahranici. A co na to WTO?

Nie, teraz to funguje presne naopak. Mame blacklisty, vsetko o com vieme, ze sa nam nepaci odstrihavame. To, k comu mozno casom dospejeme budu whitelisty a odpojenie vsetkeho, o com naisto nevieme, ze sa nam paci.

> U nas jsou zamceny dulezity servery a kabelaz je vedena v listach, ktery maji vyvody po cele skole (...)

Lenze na to, aby si sa dostal cez skolsky whitelist by si potreboval nahradit prave ten dolezity (hlavny) server. Posadit proxac pod stol ucitelke prirodopisu by bolo sice nenapadnejsie, ale neprinieslo by to zelany efekt

> a jeje, tady nekdo chrapal na hodinach fyziky. Mel bys pravdu, pokud bys prestrihaval optiku, nicmene jsem tak nejak mlcky predpokladal, ze ostatni by radsi stipali kroucenou dvoulinku

Ok, tak teda v ramci sekund Aky mas rekord v nastikavani erjé-styridsatpatky? A mysli na to, ze pri tretom odstrihnuti servera na teba admin povola armadu

> ad stav do ktereho dospejeme) tak to aby zacali pracovat na SuperMegaUltraHD televizi, protoze jestli odstrihnou porno, tak ani stavajici linky jinak nevytizi

Uvolnenu kapacitu pouziju na trojcestnu autentifikaciu router-server-router a synchronizaciu whitelistov

Jo a s tvojim zaverom suhlasim

> sposob presmerovania, ktory popisujes nepresmeruje len jedno konkretne spojenie

hmm. Pust si konfiguraci fw, nebo jakyhokoliv lepsiho sitovyho prvku. Vetsina umoznuje tridit spojeni podle vychozi IP + casove. To by uplne stacilo. Navic neni problem pridat dalsi vrstvu.

> Co mu v tom brani?

sifrovani

> Ale spojenie by sa prerusilo a niekto by si mozno pripisal odmeny

ach jo, ale o tom mluvim celou dobu. Rano by se po cele akademicke siti robehly tisice proxy, ktery by bezely dokud by je nekdo nevypl (tedy dovecera).

> ak to tam bude musiet robit 3x do tyzdna.

tvy predstavy o naplni prace adnimu, kteri hlidaj kamerovy systemy a hledaj "znamy" xichty jsou ponekud zkresleny. Tohle dela akorat sluzba u vchodu a ta vetsinou nevi kera bije (resp. je tam od reseni zakladnich problemu na uzivatelske urovni).

Nevim, a opakuji NEVIM o pripadu, kdy by nekoho capli na vratnici, ze tam dela neco nekalyho. Vsechny pripady zacly sledovanim sitovyho provozu.

> A odsledovat si, ze mam niektory stroj dlhodobo vypnuty (teda nie nabootovany do spravneho OS) zasa nieje az taky problem.

to se dokonce dela. Prave proti fiskulinum, co si pousti vlastni OS

1) prazdniny: zcela nevystopovatelne, protoze polovina pocitacu je permanentne neobsazena (a vzhledem k ruznym navalum nemuzou "otvirat" na pozadani dalsi stroje, protoze by nedelali nic jinyho. Parkrat uz to zkouseli a prestalo je to bavit docela rychle.

2) skolni rok: pravda, to by se musel spusti puvodni OS ve virtualnim stroji. Coz by znamenalo jisty problemy, ale slo by to. Opet jsme u bodu, ze bezpecnost je otazka sil, ktere proti sobe stoji (financni, znalostni, casove). Tipuju, ze alespon par studentu poslednich rocniku IT by tohle zvladla. Po par tydnech laborovani nepochybne i lepsi studentni nizsich rocniku.

> Trocha to preformulujem... zamkne vsetko, co nebude poznat alebo vediet precitat.

a ja ti tu furt dokola opakuju, ze jestlize se pripojuji na https://www.banka.cz (muze byt skolni server, nebo cokoliv, co vyzaduje overeni), tak ISP proste NEPOZNA co je obsahem komunikace.

A zakazat sifrovanou komunikaci je blbost.

Omezit sifrovanou komunikaci na "schvalene" servery o neco mensi, ale stejne dost velka blbost, aby to nekoho napadlo. Znovu pripominam: e-mail, skolni servery, pracovni servery, pracovni porady, firemni VPN a tuna dalsiho proste MUSI byt z principu sifrovana.

Omezit sifrovani na par serveru je blbost. Nebo spis "hackerske vanocni svatky" by byl presnejsi termin

> Posadit proxac pod stol ucitelke prirodopisu by bolo sice nenapadnejsie, ale neprinieslo by to zelany efekt

hmm, fakt by me zajimalo kde's studoval. Na ty "obycejny" servery je treba taky pristupovat z "domova". A pokud na nich clovek dela skolni projekt, tak je tam taky potreba se prihlasit = sifrovana komunikace.

> Ok, tak teda v ramci sekund

tak znova: zopakuj si ZAKLADY FYZIKY. A to myslim bez legrace. Nevim, jestli ti to mam rict, protoze se na to ted vyflaknes, ale dalsi poznamku na tohle tema bych nevydrzel, takze: prodleva je NULOVA. Nula, nic, zero, nicht, nullite.

Mozna (asi urcite) by se par packetu ztratilo kvuli ruseni, co bys pri tom zpusobil, ale to neni sance detekovat. Packety se ztraci v kazde siti.

Krome toho jsme zpatky u toho, ze lze zakazat nevyzadane ARP a podepisovat uplne vsechno.

A zpatky u toho, ze bezpecnost je otazkou pomeru sil (ne jeji absolutni vysi).

A zpatky u toho, ze ted se to neresi, protoze IP takhle blbe (pracne) nikdo nekrade a admini maj lepsi zabavu.

Treba jako resit zkutecny pruniky do jejich site a ne pruniky do site aby se utocnik dostal vn ze site.

> Jo a s tvojim zaverom suhlasim

no aspon neco

> hmm. Pust si konfiguraci fw, nebo jakyhokoliv lepsiho sitovyho prvku. Vetsina umoznuje tridit spojeni podle vychozi IP + casove. To by uplne stacilo. Navic neni problem pridat dalsi vrstvu.

Hmm... uz asi viem, v com je nas problem. Ja tak-nejak automaticky predpokladam na strane providera NAT. Uznavam, s verejnou IP by to nebol problem.

> ach jo, ale o tom mluvim celou dobu. Rano by se po cele akademicke siti robehly tisice proxy, ktery by bezely dokud by je nekdo nevypl

Nie, tak som to nemyslel. Akonahle by sa na take presmerovanie prislo, router by bol "opraveny" a dotycny zaskodnik by ho musel vylepsovat znova. A neviem, koho by to prestalo bavit skor

Jo a po x-ty krat opakujem, akademicka siet nieje dobry priklad. Tie budu imho filtrovane prve.

> to se dokonce dela. Prave proti fiskulinum, co si pousti vlastni OS

Ja viem. Plus proti hajzlikom, co na konci hodiny kompiuter rozoberu

> a ja ti tu furt dokola opakuju, ze jestlize se pripojuji na https://www.banka.cz (muze byt skolni server, nebo cokoliv, co vyzaduje overeni), tak ISP proste NEPOZNA co je obsahem komunikace.

Myslim, ze sme v tomto subvlakne trocha stratili nit, povodne som hovoril o zablokovani proxy servera, nie pristupu na banku.

> hmm, fakt by me zajimalo kde's studoval. Na ty "obycejny" servery je treba taky pristupovat z "domova". A pokud na nich clovek dela skolni projekt, tak je tam taky potreba se prihlasit = sifrovana komunikace.

A opat... Ano, prihlasis sa na server, ano mozes ho pouzit ako proxy, ano, pravdepodobne nebude problem tunelovat to tak, aby ISP netusil, co tam robis. *Ale* nebude ti to k nicomu, pretoze prelezies z jednej casti "bielej zony" do inej casti "bielej zony." Cierna zona bude z oboch bodov nepristupna.

> tak znova: zopakuj si ZAKLADY FYZIKY. A to myslim bez legrace. Nevim, jestli ti to mam rict, protoze se na to ted vyflaknes, ale dalsi poznamku na tohle tema bych nevydrzel, takze: prodleva je NULOVA. Nula, nic, zero, nicht, nullite.

Myslim, ze si pod detekovanim predstavujeme nieco ine. Vysvetlim to takto... Na mojom serveri bezi demon, ktory sa kazdych 30 minut pripoji na Jabber a odosle spravu "zijem" na preddefinovanu adresu. Na mojom pocitaci bezi daemon, ktory na tuto spravu caka a ak do 35 minut nedorazi, spusti poplach (upozornujenm, este nez na mna opat nakricis, ze toto je len priklad.)

Ak by si moj server "odstrihol" a nahradil inym, sprava nedorazi. Ak by si ho len nadpojil, pravdepodobne pride, ale az by som na to prisiel, druhy krat to nezopakujes.

Mimochodom, ako dosiahnut nulove zdrzanie pri preruseni kabla, to je naozaj mimo moje fyzikalne znalosti

>Akonahle by sa na take presmerovanie prislo, router by bol "opraveny" a dotycny zaskodnik by ho musel vylepsovat znova.

jo, ale rozdil mezi nama je, ze ja to povazuju za "it's not bug it's feature" Ostatne zivotnost vetsiny podobnych proxy jsem odhad na par hodin.

>A neviem, koho by to prestalo bavit skor

tak studentiky nikdy.

V cine a islamskym svete maj centralni fw od pocatku veku (internetu) a dosud je bavi vymyslet zpusoby obchazeni. A ze podobny vylomeneni neprestanou bavit studenty, tak na to muzes vsadit.

Obzvlast pokud budou mit motivaci (zakaz je motivace uz sama o sobe - pridej k tomu porno a z vezeni pro ITiky muzes udelat pruchozi mistnost, protoze novi budou vyrustat rychlej, nez ty stary vyexpedujes )

> Jo a po x-ty krat opakujem, akademicka siet nieje dobry priklad. Tie budu imho filtrovane prve.

mozna by bylo dobry vratit se k puvodu diskuse. Ke sdileni "nevhodneho" obsahu potrebujeme:

1) nekoho, kdo to bude sdilet (tedy IP adresa dostupna alespon odnekud)

2) informacni portal, ktery informuje ze na te a te IP je dostupne tamto a tamto porno/warez/etc.

3) pristup z PC na uzly 2 a 1 - pricemz pristup na uzel 2 lze nahradit e-mailovou komunikaci, hospodou, studentskymi vecirky, etc. etc.

Ted, pokud mame pocitac vsunuty mezi www.skola.cz a jemu nadrazeny router, tak

1. tento pocitac se chova jako router, tudiz vse co je urceno www.skola.cz (a ne jemu) posila dal - coz musi uz z principu sifrovane komunikace, protoze on sam neni schopen se vydavat za www.skola.cz

2. tento pocitac odfiltruje komunikaci urcenou jemu a presmeruje ji.

Tudiz mame 2 pocitace:

1. PC (server) nekoho, kdo chce sdilet "nevhodny" obsah

2. PC (user) nekoho, kdo chce stahnout "nevhodny" obsah

(3. clanek v retezu je dotycny router vsunuty pred www.skola.cz)

Oba PC (sdilec i sosalek) se pripojuji na dotycny falesny router. Oba navazuji spojeni https://www.skola.cz. Vsichni ISP vidi radu spojeni mezi www.skola.cz a dotycnymi PC. To je vse. ISP nemaji sanci precist obsah zasifrovane komunikace. Predpokladam, ze sifrovany pristup je na www.skola.cz povolen (musi byt, nejde se prihlasovat na skolni ucty nesifrovane).

Takze tu mame 2 legalni spojeni sifrovanou komunikaci na www.skola.cz. Obe spojeni konci na poslednim sitovym prvku pred samotnym www serverem. Tudiz jedinej zpusob, jak dotycny proxy odpojit je ho fyzicky najit.

Slo by v podstate o takovou novodobou BBSku s par vylepsenima. A asi nemusim rikat, ze tehle masinek co by instalovali studenti by brzo zacali vyuzivat skutecni zlocinci.

Podobne jako to bylo s alkoholem, ktery postavil radu gangu obzvlast v Chicagu.

> Cierna zona bude z oboch bodov nepristupna.

to uz je v podstate i ted. Zadna cerna zona ofirialne neexistuje. Akoratze se potira aposteriori misto potirani apriorniho. A o cem to je, ze apriori neco potirat akorat prinese akorat problemy (to jsou presne ty prohlaseni cernych a neprizpusobivych spoluobcanu "kdyz je stejne vsichni povazujou za zlodeje, tak proc by se chovali jinak").

Zatim je na internetu anarchie a policie potira jen zlocince a naky ty sosalky, co to prezenou (nebo co padnou do oka BSA).

Ted se chysta zakon, kterej velkou skupinu _inteligentnich_ lidi postavi mimo zakon.Tady se vylozene zadelava na dalsi problem typu "neprizpusobivi a co s nimi".

Akoratze tentokrat to nebude par negramotu, kterym se daj socialni davky aby nedelali bugr, ale vzdelani lidi. O to je to nebezpecnejsi.

> Ak by si moj server "odstrihol" a nahradil inym

tady bude zakopanej pes. Puvodne jsem mluvil o levnych netboocich - tak jen at se bavime furt o tom stejnym - jde o PC vsunuty mezi www server a jemu nadrazeny router.

Tak toto PC (netbook) by musel dal posilat packety urceny www serveru na tento www server. Uz z logiky sifrovane komunikace by ji musel predavat opravnenemu prijemci. Tudiz www server by bezel dal a fungoval porad stejne.

> Mimochodom, ako dosiahnut nulove zdrzanie pri preruseni kabla, to je naozaj mimo moje fyzikalne znalosti

- odstranime izolaci

- premostime

- prestrihneme (predpokladam chceme spojeni point2point)

- namontujeme koncovky

- nasadime

A pustime (v tomhle bode bude asi sit chvili blbnout)

A pokud neco nevyzkratujeme, tak mame prakticky nulovou dobu nefunkcnosti site... (a samozrejme pri tom nic nezvorame, nebo bude nefunkcni, dokud nekdo nevymeni celej kabel)

Jen podotykam, ze sam jsem to nikdy nezkousel (taky to chce nemit obe ruce levy) ale kdesi to bylo na videu. A nepredpokladam, ze by to byl kouzelnicky kousek se strihem Takze neni duvod, aby to neslo.

Alespon fyzikalni zakony o vedeni elektriny tomu neodporuji.