Minulý týden na mne ze seznamu aplikací pro iPhone na iTunes Store „vykoukla“ novinka od Active24. Je zdarma, jmenuje se Active24 a slouží k registraci domén. To jsem si samozřejmě nemohl nechat ujít – ne, že bych dopodrobna sledoval všechny možnosti registrací domén našich registrátorů, takže možná něco podobného již existuje, ale na aplikaci, která mi umožní zaregistrovat doménu .cz přes mobilní telefon jsem zatím nenarazil.
Takže staženo a pojďme se na to podívat. Začátek výborný – předdefinována koncovka .cz, ověření existence, přehledný ceník. Objednáno, doména v košíku. Aplikace mi umožní vytvořit si nového uživatele nebo se jednoduše přihlásit pod tím, kterého už mám (pokud ho mám) vytvořeného, objednávka pak pokračuje klasickou cestou. Odeslání mailu s výzvou k platbě, atd. Za to atd. už jsem se nepustil (doménu jsem nezaplatil) takže úplně netuším, jak si systém Active24 poradí například s tím, že jeho aplikace nekontroluje, zda jsem vyplnil ID držitele. Předpokládám ale, že v takovém případě za držitele prohlásí prostě toho, kdo doménu objednal a pokud nemá přiřazený handle, tak mu ho vytvoří. Mě osobně se to úplně nelíbí (mohlo mě to na nevyplněné ID aspoň upozornit) ale pro jiné uživatele je to možná plusem – nikdo je neotravuje zbytečnostmi, které za ně může udělat někdo jiný ;-). Co mi přece jen vadilo trochu víc je další objednávka – pokud se totiž pustím do objednávání další domény po odeslání té předchozí, aplikace mi nabízí okna ve stavu, ve kterém jsem je opustil – nemohu tedy v sekci „Hledat“ rovnou zadat další doménu, ale musím se přes tlačítko zpět dostat k výběru, podobně je tomu i v ostatních sekcích. Tady by měli vývojáři A24 ještě přiložit ruku k dílu.
Celkově ale – alespoň pro mne – příjemná záležitost, kterou bych celkem v klidu v „nouzových situacích“ použil. Vždyť kdo z nás ještě neměl alespoň jednou, někdy třeba v sobotu večer v restauraci s přáteli pocit, že si nutně musí zaregistrovat tu báječnou doménu, která ho právě napadla :-D. Kdybych měl hodnotit obligátními hvězdičkami, jak je u těchto aplikací zvykem, řekl bych – až půjde přihlásit se přes mojeID a vychytáte pár drobností, ode mne
za 5* :-).
Martin Peterka
Přečetli jsme za vás – nález ÚS ve věci tzv. data retention
Minulý týden vydal ÚS nález ve věci uchovávání provozních a lokalizačních údajů (tzv. data retention). Pokusím se pro vás pětadvacet stránek textu shrnout: ÚS nálezem ruší ustanovení § 97 odst. 3 a 4 zákona č. 127/2005 Sb., o elektronických komunikacích a vyhlášku č. 485/2005 Sb., o rozsahu uchovávaných údajů, formě a způsobu jejich předávání.
A argumentace je moc hezká a v podstatě reflektuje výtky, které na napadenou úpravu směřovaly od počátku: úprava byla přijata v souvislosti s bojem vůči nejzávažnější kriminalitě, ale zákon umožňoval uchovávání a poskytování bez rozlišení závažnosti trestného činu, který je vyšetřován. Jako v mnoha případech, i tady šli národní legislativci nad rámec požadavků Evropské unie (poznámka autorky: což však není specifikum pouze ČR – stejný argument se objevil i v Německu), protože právě Směrnice 2006/24/ES výslovně uvádí, že uchovávané údaje mají být dostupné pro účely vyšetřování, odhalování a stíhání závažných (poznámka autorky: podle českého trestního zákoníku se trestné činy dělí na přečiny a zločiny, rozhodující je míra zavinění – úmysl nebo nedbalost, a horní hranice trestu odnětí svobody; zvlášť závažné trestné činy jsou trestné činy spáchané úmyslně, s horní hranicí trestu odnětí svobody nejméně 10 let) trestných činů. Tuzemská úprava žádný takový limit neobsahovala, navíc ani nestanovila podmínky uchovávání údajů, jejich použití, záruky proti zneužití a případné sankce. Pro oprávněné orgány, které ostatně nebyly úpravou ani vymezeny, tedy bylo vyžádání provozních a lokalizačních údajů velmi pohodlné usnadnění práce. A protože obecně je státní správa spíše pohodlná instituce, pro kterou je snadnější přinutit jiného k aktivitě než jí vyvinout samostatně, mohlo se vesele předávat i v jednoduchých případech, kde by např. neměl šanci projít odposlech.
Napadená právní úprava tedy umožňovala masivní zásah do základních práv a svobod jednotlivců, aniž by byla určitá a jasná a byl jasně a přesně vymezen její účel. Údaje byly shromažďovány plošně a preventivně, bez předchozího podezření. Navzdory tomu, že uchováván není obsah zpráv, přesto, jak uvádí ÚS, bylo možné v kombinaci údajů o uživatelích, datech, místech a formách telekomunikačních spojení, jsou-li sledovány v delším časovém úseku, sestavit detailní informace o společenské nebo politické příslušnosti, osobních zálibách, sklonech, slabostech jednotlivých osob a s vysokou mírou pravděpodobnosti předvídat její aktivity v budoucnosti. Stát se tak stával pověstným „Velkým bratrem“, který je všudypřítomný, a, jak uvedl německý soud, ústavní práva na soukromí, právo svobodné volby a svobodu projevu přestávají prakticky existovat.
Kromě rozhodnutí, že úprava není v souladu s ústavněprávními limity, protože porušuje požadavky plynoucí z principu právního požadavku a koliduje s požadavky na omezení práva na soukromí, ÚS vyjádřil pochybnost nad samotnou nezbytností a přiměřeností plošného a preventivního uchovávání provozních a lokalizačních údajů. Na statistikách objasněnosti kriminality se totiž přijetí napadené právní úpravy nijak pozitivně neprojevilo.
V souvislosti s výše uvedeným ÚS rovněž doporučil úpravu příslušných ustanovení trestního řádu a neodpustil si rýpnutí do navrhovatele (poznámka autorky: poslanci PSP ČR, zastoupení Markem Bendou (ODS)), který má v současnosti v PS většinu a mohl zákon změnit standardní cestou. Na rozdíl od německého Spolkového ústavního soudu však nepřikázal všechna uchovávaná data bezodkladně smazat. Operátoři zatím zůstávají zdrženliví, ostatně nález ještě nebyl vyhlášen ve Sbírce zákonů, tudíž dosud není vykonatelný, nicméně i bez výslovného rozhodnutí by pak měli dosud shromážděné údaje smazat a orgány, které si údaje vyžádaly v rámci své činnosti, je již nepoužít.
Zuzana Durajová
Poslední alokační dostihy
Když jsem ve svém příspěvku o lednových alokacích ohlašoval rekord v éře po zavedení CIDR, nečekal jsem, že budu tak rychle ohlašovat rekord nový. Březnové alokace nejenom že předehnaly ty lednové, ale se spotřebou cca 48 miliónů se stal březen rekordním měsícem všech dob! Je zjevné, že hráči především na asijském trhu se snaží „urvat“ na poslední chvíli, co se dá. Závratnou rychlost alokací poslední doby nejlépe ilustruje následující graf.
A dá se předpokládat, že podobný rekord už překonán nebude, Ptáte se proč? Důvod je poměrně jednoduchý: z těch 48 miliónů totiž připadlo neuvěřitelných 41 miliónů na region Asie-Pacific. A registru pro tento region – APNIC – už zbývá na duben pouze cca 32 miliónů adres. Jinými slovy, pokud se nějak nezblázní ostatní regiony, tento rekord už není jak překonat. Druhým neblahým důsledkem je i to, že v regionu Asie-Pacific dojdou tento měsíc zcela IPv4 adresy. Známé počítadlo ukazuje dnes na 20. duben.
Pro dokreslení situace mi dovolte jeden obligátní graf. Pořadí zemí vede již tradičně Čína se spotřebou téměř 22 miliónů, to mimochodem dříve bývala silnější spotřeba za celý svět. Druhé je Japonsko s 5,2 milióny a třetí příčku obsadila Indie s 3,7 miliony.
Naopak v IPv6 alokacích došlo k mírnému zpomalení. Bylo alokováno 242 prefixů, což je o hodně méně než v únoru, ale i tak jde o slušné tempo i s ohledem na to, že IPv6 prefix by měl běžnému poskytovateli vystačit na vždy.
V tomto měsíci tedy dojde k události, které se každý poskytovatel obává. První regionální Internetový registr začne odmítat žádosti o IPv4 z důvodu nedostatku adres. Tím se Internet dostane do další fáze; bude zajímavé sledovat, jak ji zvládne.
Ondřej Filip
.com podepsána DNSSEC!
V poslední době se s oznámeními o zavedení DNSSEC do domén nejvyšší úrovně doslova roztrhl pytel. Proto jsme o většině z nich informovali především na našem Twitteru. Tentokrát bych rád zmínil jednu přímo zde na našem blogu. Včera byla totiž podepsána nejpopulárnější doména nejvyšší úrovně na světě, tedy doména .com. Její správce, společnost VeriSign, eviduje více než 90 milionů domén s touto koncovkou.
Při této příležitost si nemohu odpustit zmínku o tom, jak jsme na tom s DNSSECem my. Krátká rekapitulace: DNSSEC jsme do domény .CZ zavedli na podzim roku 2008. Byli jsme teprve pátou země na světě, která tuto technologii začala pro svou ochranu využívat. K dnešnímu dni je v našem registru 119 773 podepsaných domén, což nás stále staví na první místo před všechny ostatní doménové registry. Je to samozřejmě především zásluhou našich registrátorů, kteří DNSSEC aktivně nabízejí, někteří z nich jako automatickou součást registrace domény. Dnešní novinkou na naší straně je rozšíření našich doménových statistik o počty podepsaných domén u jednotlivých registrátorů.
Podpis domény .com je rozhodně velkou událostí. A už teď zde mohu oznámit, že nás v blízké době čeká zavedení DNSSECu do další velké domény nejvyšší úrovně. Smím sice více než jen naznačovat, nechci vás ale ochudit o to překvapení.
Ondřej Filip
Jak registrátoři domén podporují aktuální technologie
V souvislosti s plánovanou odstávkou registračního systému (proběhla v noci z 22. na 23. března) došlo mimo jiné k jedné změně na našem domovském webu www.nic.cz. V sekci Registrátoři teď najdete rozšířený seznam, který nově obsahuje ikony symbolizující podporou aktuálních internetových technologií u jednotlivých registrátorů domén .CZ. Konkrétně se jedná o ikony spojené s podporou DNSSEC, mojeID a IPv6. Všechny tyto moderní technologie považujeme za důležité jak z pohledu zákazníků, tak z pohledu CZ.NIC, a proto jsme se rozhodli dát veřejně najevo, jak si kdo v které oblasti stojí. Abychom mohli jednotlivé registrátory s danými technologiemi spojit, museli jsme vytvořit pravidla, podle nichž bychom je mohli „klasifikovat“.
Registrátor s ikonou DNSSEC musí splňovat tyto podmínky:
- hlavní stránka tohoto registrátora musí být zabezpečena DNSSEC
- registrátor musí na svých stránkách DNSSEC nabízet
- registrátor má minimálně 50 domén, u kterých je určeným registrátorem, zabezpečených technologií DNSSEC
Na ikonu mojeID má nárok ten registrátor, který:
- umožňuje použití služby mojeID svým zákazníkům, a to pro: registrace nových zákazníků, přihlašování zákazníků do systému registrátora, autorizaci změn pro validované kontakty (tato funkcionalita je pro zařazení ikony do konce roku 2011 nepovinná)
Ikona IPv6 patří registrátorovi:
- jehož hlavní stránka, na kterou vede odkaz ze seznamu registrátorů, je dostupná přes síť IPv6 only včetně DNS resolvingu
- jenž umožňuje zákazníkům přiřadit IPv6 adresu do GLUE záznamu a má alespoň dva takové záznamy v registru
Kteří registrátoři podmínky splnili, můžete zjistit na našich stránkách. Je potřeba ale říci, že prázdná místa v tabulce ještě nutně nemusí znamenat, že registrátor podmínky nesplnil nebo že danou technologii nepodporuje. Možnost zviditelnit používání moderních technologií prostřednictvím seznamu na www.nic.cz je dobrovolná. Registrátoři zároveň nemají striktní termín, do kdy se mohou nebo musí k danému projektu připojit. Kromě ikon mají také registrátoři stále možnost mít v této tabulce konkrétní návod, jak u kterého subjektu registrovat doménu .CZ.
Martin Peterka
Šedý trh adres na startu?
IPv4 adresy nám ještě ani pořádně nedošly a už tu máme první zdokumentovaný případ prodeje adres, nebo přesněji zatím pokusu o prodej. O co přesně jde? Ústřední postavou příběhu je společnost s poměrně dlouhou i slavnou historií s dnešním názvem Nortel. Tato společnost získala v době rané éry Internetu v lednu roku 1991 blok IP adres 47.0.0.0/8 o velikosti téměř 17 miliónů adres.(v databázi IANA má označení Bell-Northern Research). O osmnáct let později tato společnost zkrachovala. Od té doby postupně rozprodává svůj majetek, což je činnost v bankrotovém režimu poměrně obvyklá.
Co je ale neobvyklé je skutečnost, která v nedávné době rozvířila mnoho diskusí lidí zabývajících se internetovou infrastrukturou. Dow Jones Daily Bankruptcy Review přinesl informaci, že Nortel prodal část svého adresního prostoru společnosti Microsoft. (Pozn. aut.: Bohužel nemám placený přístup do této aplikace a tak se v tomto případě spoléhám pouze na sekundární zdroje.) Z údajného dokumentu Delawarského úpadkového soudu vyplývá, že Microsoft koupil 666 624 IP adres za cenu 7 500 000 USD. Z toho 470 016 adres je k okamžitému použití a 196 608 je zatím využíváno a bude k dispozici později. Dlužno podotknout, že jde pouze o návrh smlouvy. Soud by měl ještě vše stvrdit.
Musím říci, že tato zpráva je pro mě zatím trochu záhadná. Především mi není úplně jasné, o jaké adresy jde a proč je jich tak podivné množství. IP adresy nejde převádět po jedné, lze to pouze po blocích. 666k sice vypadá jako poměrně magické číslo, ale velikosti IP bloků bývají vždy nějaké mocniny dvojky, nebo chcete-li kulatá čísla ve dvojkové soustavě. Číslo 666 624 se ve dvojkové soustavě zapisuje jako 10100010110000000000. Počet jedniček v tomto čísle udává nejmenší možný počet IP bloků, které by se mohly převádět. Ale možná bude vysvětlení prozaičtější, dokument jistě nepřipravoval žádný správce routerů.
Tedy pro teď předpokládejme, že čísla jsou v pořádku. Pak by hodnota jedné IP adresy byla o něco více než 11 USD. Vzhledem k tomu, že Nortelu ještě zůstala větší část z původního velikého bloku čítající cca 16 miliónů adres, mohou další prodeje vydělat věřitelům ještě slušných 162 miliónů USD. Proč nebyly prodány všechny IPv4 adresy? Že by byly všechny využity? Nebo odprodány s jinými částmi společnosti?
Vlastní dokument dokonce cenu IP adresy komentuje. Zmiňuje fakt, že cenu nelze určit na základě předchozích transakcí, protože takových mnoho není. Je tedy odůvodněna cenou, kterou za přidělení IP adresy účtují ISP, a také náklady na přechod na protokol IPv6 a podmínkami trhu po vyprázdnění IPv4 registrů.
Z tohoto vyplývá, že celý alokovatelný adresní prostor by pak byl oceněn na cca 42 miliardy USD, což je už celkem solidní číslo. Bohužel, ladem nám pak v tomto světle leží cca 3 miliardy USD za nevyužité adresy třídy E. Je otázkou, zdali by někdo za takovou sumu nepřišel na způsob, jak je využít.
Je ještě předčasné dělat závěry, jestli byl sekundární trh s IPv4 adresami spuštěn či nikoliv. Zatím není úplně zřejmé, co se vlastně Microsoft snaží koupit. Transakce ještě nebyla dokončena a velice důležité bude, jak se k problému postaví správce severoamerického adresního prostoru ARIN, který je zmíněn jako příjemce oznámení o této transakci. Bude velmi zajímavé dále sledovat, jak se kauza vyvine.
A jaká je situace u vás? Nemáte pocit, že právě výrazně vzrostla hodnota vašich sítí?
Ondřej Filip
Smlouva s .xxx schválena
Už to vypadá skutečně jako hotové. Představenstvo ICANNu na svém pátečním veřejném jednání v rámci ICANN konference schválilo smlouvu se společností ICM Registry a pověřilo zaměstnance podpisem smlouvy. Dá se tedy předpokládat, že kontroverzní doména .xxx se brzy objeví v kořenové zóně. Od podání žádosti to zatím trvá již zhruba sedm let. Už od samého začátku vzbuzovala silné emoce a bylo nesmírně zajímavé tuto bitvu sledovat.
Dovolte mi jen stručně představit historii této kauzy. Po podání žádosti v březnu 2004, byla tato žádost poprvé schválena v červnu 2005. Již od samého počátku měl k žádosti silné připomínky poměrně vlivný vládní výbor – GAC (Government Advisory Comittee). První návrh smlouvy k veřejným komentářům byl zveřejněn v dubnu 2006 a v květnu nebyl schválen představenstvem. Po té byly publikovány další dva návrhy smluv v lednu a únoru roku 2007. A kompletní žádost pak byla zamítnuta v březnu 2007. Celá záležitost působila poměrně zvláštně a očekávala se žaloba ICM Registry na ICANN, tato společnost ale místo toho využila interní mechanismus ICANNu a požádala o tzv. nezávislé zhodnocení (Independent Review) v červnu 2008. Výsledky tohoto zhodnocení byly známy v únoru roku 2010 a daly za pravdu spíše argumentům ICM. A proto v červnu 2010 představenstvo pověřilo zaměstnance ICANN provést „due dilligence“ a v srpnu 2010 publikovalo materiály a návrh smlouvy ke komentování, což se ještě téhož měsíce stalo. Přišlo zhruba 700 komentářů a ICANN se rozhodl smlouvu již neměnit. Smlouvu nakonec schválil tímto pátečním usnesením. Hlasování trvalo dlouho, hodně členů chtělo vysvětlit svá stanoviska a jestli jsem dobře počítal (bohužel úplný přepis ještě nebyl publikován), tak proti hlasovali jen tři a zhruba obdobný počet se zdržel. Teď už tedy vzniku domény nic nebrání a další kroky budou spíše technického rázu.
Osobně na vlastní kauzu nemám žádný vyhraněný názor. Rozhodně jsou tu ale lidé, kterým tato doména vyloženě vadí a dokonce kvůli tomu ve čtvrtek před konferenčním hotelem demonstrovali, což je zachyceno na tomto videu:
Je mi poměrně jedno, jestli tato doména vznikne. Dle mne Internetu neublíží, ani ho nijak nevylepší. Co je ale mnohem zajímavější je fakt, že představenstvo ICANNu ve svém rozhodnutí explicitně uvedlo, že se neřídí radou GACu. V GACu zasedají zástupci velkého množství vlád celého světa (včetně ČR) a doposud byly rady GACu téměř bezvýhradně respektovány. Nepřijde mi to příliš moudré, spíše bych doporučoval představenstvu ICANNu více naslouchat závěrům jednotlivých organizací a hlavních výborů, obzvláště v době, kdy na základě smlouvy (Affirmation of Commitment) s americkým ministerstvem obchodu běží vnitřní zhodnocení činnosti ICANNu, ve kterém má právě předsedkyně GACu důležité slovo a toto zhodnocení může mít zásadní dopad na budoucí podobu ICANNu.
Mimochodem GAC má výhrady i ke vzniku nových generických domén, jejichž vznik se v pátek také zásadně přiblížil. Ale o tom již v nějakém dalším příspěvku.
Ondřej Filip
Datové schránky na iPhone
Datovým schránkám se Laboratoře CZ.NIC věnují už od jejich počátků. Webové rozhraní systému datových schránek vyžaduje instalaci binárního pluginu do prohlížeče, ale prostředí má naštěstí také SOAP rozhraní, které umožňuje tvorbu aplikací třetích stran. V našich „LABS“ postupně vzniklo hned několik knihoven a aplikací, které umožňují práci s datovými schránkami i na minoritních platformách jako je Mac OS X nebo Linux. Členem této rodiny je také iDatovka, která slouží pro přístup k datovým schránkám z iPhone.
Historie projektu
První experimentální verze iDatovky vznikla už v létě 2010. První podání do App Store proběhlo 8. srpna, ale bohužel nebylo úspěšné. Apple požadoval testovací datovou schránku a vadil mu název aplikace DS@iPhone. Aplikace totiž nesmí mít ve svém názvu slovo iPhone. Celý proces posouzení trval 11 dnů. Během srpna se aplikace dál vyvíjela, takže jsme se s dalším pokusem rozhodli počkat až na dokončení některých nových vlastností.
DS@iPhone byla přejmenována na dsgui. Název dsgui vznikl historickým vývojem. V Laboratořích v rámci podpory datových schránek pro desktop vznikla knihovna pro přístup k datovým schránkám, která byla pojmenována dslib. V další části projektu bylo vytvořeno uživatelské rozhraní, které bylo pojmenováno dsgui; dsgui mělo být jméno celé rodiny aplikací pro přístup ke schránkám na různých platformách.
Druhá verze už byla vybavená testovací datovou schránkou na jméno Steve Jobs a navíc už byla dvojjazyčná, protože byla obava, zda budou zaměstnanci Apple schopni otestovat ryze českou aplikaci. Aplikaci jsme podali 3. září a po 14 dnech se dočkali schválení. Verze dsgui 1.0 byla na světě.
Verze 1.0 byla stále experimentální. Záměrně jsme její existenci nikde nezveřejnili, protože uživatelské rozhraní ještě potřebovalo doladit. První veřejná verze dsgui 1.1 byla podána 29. října a schválena 6. listopadu. Oficiálně byla téhož dne představena v Brně na konferenci LinuxAlt. Zájem o dsgui nás příjemně překvapil, během prvního týdne jsme měli přes 1000 uživatelů.
Řada uživatelů si stěžovala na kryptické pojmenování dsgui, proto byla další verze přejmenována na iDatovku. iDatovka 1.2 vyšla 20. prosince a přinesla mnoho dalších drobných vylepšení uživatelského rozhraní jako datum poslední aktualizace zpráv a možnost pojmenování účtů.
Verze 1.3 vyšla 7. března. V předchozích verzích iDatovky nemohl uživatel během čekání na dokončení síťové operace aplikaci ovládat. Aplikace v iOS nemají možnost spustit další vlákno, které by operaci provedlo na pozadí. iDatovka 1.3 v rámci jediného vlákna umožňuje práci s aplikací i během stahování dat ze serveru, díky čemuž je použití mnohem pohodlnější a práce s aplikací plynulejší. Navíc přibyla možnost odeslat datovou zprávu e-mailem; po této funkcionalitě mnozí uživatelé volali.
Jak autoři testují
Titulek jsem si částečně vypůjčil z jednoho komentáře v App Store. Testování u aplikací pro iPhone je obzvlášť důležité, protože každá oprava se dostane k uživateli nejdříve po týdnu od podání do App Store. CZ.NIC má své testery, kteří mají aplikaci k dispozici dříve, než je podána do App Store. Navíc máme sadu testů, kterými musí aplikace projít, než je poslána do světa. Bohužel i přesto došlo k nepříjemné chybě, která znemožnila komunikaci se serverem. Správce serveru datových schránek vyměnil certifikáty, což je obvyklý a správný postup, ale iDatovka poté už nedokázala ověřit identitu serveru. Chybu jsme navíc zjistili 15 minut po zveřejnění nové verze 1.3 v App Store. Většina uživatelů tak došla k závěru, že nová verze nefunguje. Nefungovala by ale ani předchozí verze 1.2. Novou verzi 1.3.1 s aktualizovanými certifikáty jsme podali do App Store prakticky okamžitě, ale schválení stejně trvalo obvyklý týden. Pokusíme se najít takové řešení, aby se situace při příští výměně certifikátů neopakovala a zároveň aby zůstala zachována vysoká úroveň bezpečnosti.
Další vývoj
V současné době probíhá úprava iDatovky pro iPad. Dále plánujeme kontrolu nových zpráv i během doby, kdy je aplikace na pozadí a upozornění uživatele, podobně jako to dělá mail. Stále zvažujeme možnost odesílání datových zpráv.
Budu rád, když se o nápady podělíte v komentářích pod článkem.
Petr Hruška
DNSSEC Validátor nabírá nový dech
Určitě jste si všimli, že Laboratoře CZ.NIC již nějakou dobu vyvíjí DNSSEC Validátor pro prohlížeč Mozilla Firefox. Tento doplněk prostřednictvím rekurzivního DNS serveru kontroluje validitu DNSSEC záznamů a výsledek dává najevo zobrazením patřičné barevné ikonky v adresním řádku prohlížeče. Uživatel tak snadno zjistí, jak je na tom jeho rekurzivní DNS server a zobrazená webová stránka s DNSSEC zabezpečením.
Před několika týdny jsme vydali novou verzi doplňku 1.1.0 (a posléze další minoritní verze s drobnými opravami), která obsahuje jednu pro uživatele na první pohled neviditelnou, ale podstatnou změnu. DNSSEC Validátor byl dříve implementován jako rozšíření s binární komponentou, která zajišťovala vlastní komunikaci s DNS servery. Volání binárních funkcí se dělo přes rozhraní XPCOM, které ovšem s vývojem Firefoxu prochází nemalými změnami; udržovat doplněk funkční napříč různými verzemi prohlížeče bylo dosti pracné. Proto jsme se rozhodli udělat změnu a binární komponentu nahradit zásuvným modulem komunikujícím přes rozhraní NPAPI.
Jako framework pro tvorbu modulu jsme použili FireBreath. I když se jedná o poměrně nový projekt, jeho vývojáři na něm intenzivně pracují; čekání na opravu případně nalezeného nedostatku zpravidla nepřekročí několik dnů. Kromě Mozilla Firefoxu NPAPI rozhraní podporují i další prohlížeče (z těch známějších Google Chrome, Safari a Opera), což umožňuje provozovat binární modul DNSSEC Validátoru napříč těmito prohlížeči na dané platformě bez jakýchkoliv dodatečných úprav. FireBreath umožňuje také jednoduchou implementaci vláken, čehož jsme využili a tím odstranili kolize DNSSEC Validátoru s některými jinými současně nainstalovanými doplňky, např. Firebugem.
Po úspěšném přechodu z XPCOM na NPAPI rozhraní jsme novou verzi DNSSEC Validátoru nahráli do AMO repozitáře a čekali na schválení editorem. Jaké bylo naše překvapení, když doplněk byl zamítnut právě kvůli změně na NPAPI. I když toto rozhraní přináší mnoho výhod a ulehčuje vývoj, AMO editoři měli nějaké interní, blíže nespecifikované, nařízení striktně takovéto doplňky odmítat. Poněkud zvláštní je, že tuto informaci se vývojář na webu Mozilly nikde nedozví a potom se může divit podobně jako my. Jelikož jsme v použití NPAPI nespatřovali žádné zásadní nedostatky, nechtěli jsme se proto s nastalou situací smířit a pokoušeli se alespoň pro nás vyžádat výjimku. Po několika „dobře mířených“ e-mailech zejména na vývojáře Firefoxu se nám podařilo odmítavý postoj editorů zvrátit a vyvolat změnu v akceptaci doplňků s NPAPI moduly do AMO repozitáře. Povedlo se nám tedy více, než o co jsme usilovali, a věříme, že tuto změnu ocení i všichni ostatní vývojáři, kteří se rozhodnou NPAPI ve svých doplňcích pro Firefox využít.
Poslední verzi DNSSEC Validátoru 1.1.2, která používá zmíněný NPAPI modul a která podporuje mj. i brzo očekávaný Firefox 4.0, můžete stahovat prostřednictvím domovské stránky projektu nebo přímo z AMO repozitáře. Web AMO nabízí také docela hezké statistiky, kde se zájemce může kromě celkového počtu stažení doplňku dozvědět např. i počet aktivních uživatelů.
Aby těch novinek nebylo málo, tak prozradím, že v současné době pracujeme na verzi DNSSEC Validátoru pro Internet Explorer, takže se i uživatelé tohoto zatím nejrozšířenějšího prohlížeče můžou těšit na barevnou ikonku indikující stav jejich DNSSEC zabezpečení.
Zbyněk Michl
Zabezpečení domény scitani.cz
Český statistický úřad na stránkách scitani.cz včera upozornil na falešné sčítací komisaře. Nejen komisaři ale mohou být falešní (a prázdní? ;)). Letos poprvé – od půlnoci z 25. na 26. března – se na stránkách scitani.cz půjde přihlásit a vyplňovat formulář on-line.
Elektronickému sčítání by jistě šlo vytknout více nedostatků, já však upozorním jen na jeden: doména scitani.cz není zabezpečena technologií DNSSEC. Oblíbenost elektronické komunikace stoupá, přímo úměrný je ale počet uživatelů, jejichž povědomí o bezpečné komunikaci přes internet není, řekněme, příliš vysoké. Dá se tedy očekávat, že možnost on-line vyplnění využije značný počet osob. A rozhodně se najde pár lidí, kterým by se údaje z formulářů celkem hodily jako cenný zdroj informací, ať už je zamýšlejí (zne)užít jakkoliv. Vyplněné formuláře budou obsahovat množství citlivých osobních údajů a je s podivem, že ČSÚ doménu, na které budou on-line formuláře umístěny, nezabezpečilo prostřednictvím DNSSEC, který zajišťuje, že po zadání adresy www.scitani.cz do internetového prohlížeče jste se skutečně dostali na web, který je ovládán statistickým úřadem. Řešení je přitom jednoduché a levné a dá se stihnout ještě do spuštění sčítání – začít můžete třeba na www.dnssec.cz. Za stávajícího stavu se ale dostává vyplnění formuláře na webu scitani.cz na roveň vložení do obálky a zaslání poštou v předtištěné obálce. Schránka, do které zásilku vhodíte, bude v tomto případě nejspíš pravá, ale dostane se, neporušená, svému adresátovi?
Zuzana Durajová