Na třetí ročník kurzu Internetové technologie pro pedagogické pracovníky, jak už název napovídá, přijeli učitelé z nejrůznějších míst České republiky, kteří se na svých školách věnují výuce informatických předmětů. Cílem programu bylo představit technologie, pomocí kterých Internet funguje a s nimiž učitelé na většině středních škol studenty detailněji neseznamují – IPv6, DNS a DNSSEC, či to, co najdete na webu http://www.háčkyčárky.cz, tedy používání znaků národních abeced v doménách, tzv. IDN.
Ačkoliv se termíny musely přesouvat kvůli povodňové situaci, která by komplikovala dopravu účastníků na kurz, byly nakonec oba dva obsazeny více než z poloviny. Nebylo snadné vyvážit obsah tak, aby si na své přišli jak učitelé na gymnáziích, tak i učitelé na středních odborných školách, kde se předpokládá hlubší znalost technických témat. Přesto z hodnocení vyplývá, že ač nebyla témata pro všechny stejně zajímavá, splnila akce svůj cíl – představit vybrané internetové technologie těm pedagogům, kteří o nich doposud příliš nevěděli, nebo se chtěli dozvědět více. V závěru dne pak došlo na přiblížení projektů pro školy, jimž se věnují kolegové v našich laboratořích.
Dva kurzy máme již letos za sebou. Ještě jeden plánujeme na 26. září. Pokud víte o někom, komu byste tento kurz doporučili, určitě neváhejte; několik volných míst ještě zbývá. Rezervace je možná na e-mailové adrese akademie@nic.cz. Více informací o projektech pro školy se dozvíte na webu http://www.nic.cz/skoly.
Igor Kytka
Distribuovaná kybernetická bezpečnost
Na konferenci IT 13 jsme mimo jiné představili nový projekt zaměřený na vývoj bezpečného domácího routeru. Ten je součástí většího projektu zaměřeného na zlepšení bezpečnosti v českém síťovém prostředí a to pomocí aktivního monitoringu a analýzy síťového provozu. Zmíněný domácí router bude v rámci tohoto projektu plnit roli síťové sondy a zároveň aktivního prvku v ochraně koncových uživatelů.
V tomto krátkém článku si představíme především hlavní důvody vzniku tohoto projektu a jeho cíle.
Motivace
Každý, kdo provozuje nějaký veřejně dostupný server a podívá se občas do jeho logů, ví, že internet není klidné a bezpečné místo. I bez jakéhokoli zásahu uživatele se s počítačem připojeným k internetu neustále pokouší spojit různé cizí stroje a to málo kdy s dobrými úmysly (vizte např. výsledky z našeho honeypotu).
Vzhledem k tomu, že většina domácích sítí je připojená k síti svého poskytovatele přes jeden přístupový bod, kterým je domácí router, a často používá NAT, který schovává celou domácí síť za jedinou IP adresu, vedou první útoky v podstatě vždy právě na domácí router. Ten je tedy ideálním místem jak pro detekci pokusů o neoprávněný přístup do sítě, tak pro aktivní ochranu před nimi. Pokud by si navíc routery byly schopny mezi sebou informace o detekovaných útocích vyměňovat, mohlo by to vést ke zvýšení účinnosti ochrany jednotlivých strojů a zároveň detekci velkých útočníků.
Protože se v našem sdružení dlouhodobě věnujeme problematice internetové bezpečnosti, rozhodli jsme se vytvořit systém, který by s pomocí sítě domácích routerů dokázal monitorovat podezřelý síťový provoz a reagovat na zjištěné bezpečnostní hrozby úpravou pravidel pro přístup do sítě. Takto získané výsledky by pak byly k dispozici i pro ochranu dalších uživatelů Internetu.
Distribuovaný adaptivní firewall
Systém, který jsem nastínil v minulém odstavci, interně nazýváme „distribuovaný adaptivní firewall“ a je v této chvíli ve fázi aktivního vývoje. Součástí systému je klientská část, která po aktivaci na domácím routeru monitoruje nevyžádané pokusy o přístup do sítě zastavené firewallem a také provádí analýzu protékajících dat. V těch se pokouší odhalit anomálie, které by mohly být příznakem úspěšného útoku nebo již existující nákazy. Výsledky obou zmíněných částí klientského systému jsou nahrávány na druhou část systému, kterou je centrální server, kde jsou data dále zpracovávána a porovnávána s výsledky z ostatních sond.
Pokud je systémem některá část provozu vyhodnocena jako anomální a odborná obsluha systému vyhodnotí danou anomálii jako potenciální útok, připraví pro ni nové pravidlo pro firewall. To je potom formou aktualizace nahráno zpět na všechna zařízení zapojená do sběru dat.
Pro případy, kdy je třeba o dané anomálii získat doplňující informace, je součástí systému také nástroj na spouštění specializovaných „mikrosond“, které je možné formou modulů nahrávat na sledovaná zařízení. Ty pak umožní zaměřit analýzu na konkrétní typ provozu a získat detailnější data o daném jevu.
Výsledkem výše popsaných opatření je systém, v rámci kterého budou moci uživatelé chránit své sítě i sítě ostatních účastníků před vnějšími útoky a který se bude postupně „učit“ reagovat na nové hrozby. Navíc bude možné takto získaná data použít i pro ochranu další uživatelů Internetu, kteří nejsou do projektu přímo zapojeni, a také pro další analýzy získaných informací.
Závěr
V tomto článku jsme si představili nový projekt sdružení CZ.NIC zaměřený na distribuovanou kybernetickou bezpečnost. V blízké budoucnosti si v samostatném příspěvku ukážeme hlavního aktéra tohoto projektu, kterým je otevřený domácí router vyvíjený pod interním označením „CZ.NIC router“.
Bedřich Košata
Response rate limiting pod drobnohledem
O RRL již krátce psal Ondřej Surý v článku Ochrana obětí před DNS amplification útoky, tak tedy jen v rychlosti oč se jedná. RRL je jedna z metod, jak se poprat s amplifikačními útoky na DNS, která shlukuje podobné odpovědi do tříd a následně omezuje rychlost toku odpovědí v pro danou třídu. Jedná se v podstatě o opak filtrování dotazů na firewallu a výhodou je právě třeba identifikace různých dotazů vedoucí na podobnou odpověď, typicky na neexistující jméno. RRL v současné chvíli implementuje BIND9/10, NSD od verze 3.2.15 a Knot DNS od verze 1.2.0-rc3.
Vzhledem k tomu, že v současné chvíli není tento mechanismus nijak standardizován, každá implementace se chová mírně odlišně. Podívejme se trochu blíže na tři nejzajímavější rozdíly a to, jaký vliv mají na chování serveru pod útokem.
Základní časovou jednotkou pro měření rychlosti toku je vteřina, pro kterou do každé třídy přibyde počet tokenů odpovídající povolené rychlosti. S každou odpovědí se pak token odebírá, a pokud už jsme vše vyčerpali, odpověď zahazujeme. BIND9 k tomu navíc zavádí ještě jedno „makro okno“, které průměruje rychlost toku pro několik následujících vteřin. Zásadním rozdílem je, že v rámci tohoto okna se může počet dostupných tokenů snížit do záporných hodnot, a tím vyčerpat kapacitu pro celý zbytek okna. Jestli je například okno dlouhé 5 vteřin, limit je 10 odpovědí za vteřinu a v první vteřině přijde 50 podobných dotazů, tak následující 4 vteřiny nebude podobné dotazy zodpovídat. Knot DNS ani NSD takový koncept nemají, dá se tedy říct že délka časového okna je 1s. Důvodem je větší férovost odezvy, každá vteřina začíná s čistým štítem, avšak za cenu menší agresivity potlačení nárazových toků.
Co ale dělat v případě, že přijde legitimní dotaz v době, kdy byl vyčerpán počet tokenů? Úplně jej zahodit? Takový dotaz jen velmi těžko rozlišíme od útoku, ale přesto bychom měli dát legitimnímu tazateli možnost získat odpověď a ne jej úplně odstřihnout. Místo toho, aby tedy server dotaz zcela ignoroval, tak odešle prázdnou odpověď s nastaveným TrunCated bitem v hlavičce. Tazatel je pak nucen opakovat dotaz po TCP, na který už dostane odpověď. Takovému mechanismu se říká SLIP (podporují ho všechny implementace). Knot DNS se odlišuje tím, že má počítadlo pro každé vlákno zvlášť, a pro menší rychlost toku není tak přesný. Během testování se ale nepřesnost nijak zvlášť neprojevila a největší vliv má konzervativní výchozí nastavení.
(Zdroj: Comparison of RRL behaviour in BIND9, Knot DNS, and NSD, Dave Knight, DNS-OARC Spring 2013)
Třetí zásadní odlišností je způsob klasifikace odpovědí. Technické memo a BIND9 klasifikují odpověď pomocí:
- Zdrojové adresy (podsítě)
- Dotazovaného jména (nebo zóny v případě chyb, nadřazeného jména pokud je odpověď pokrytá wildcardem)
- Návratové hodnoty (RCODE)
NSD navíc rozlišuje několik podtříd dotazu, např. pokud je dotaz na typ ANY, Knot DNS dotazy navíc ještě klasifikuje podle velikosti. Všechny současné implementace jsou založené na hash tabulkách. Liší se ale výrazně v tom, jakým způsobem řeší kolize. Implementace v BIND9 je založená na přeplňování tabulek, přičemž kolidující klíče se řetězí za sebe (do omezeného počtu). A právě o kolizích probíhala na mailinglistu RRL dost živá diskuze. Abych to vysvětlil, řetězení dobře řeší kolize pokud je zdrojová podsíť různá, ale pořád zůstává možnost kolize hashe dotazovaného jména, které se neukládá celé. Nově ale zavádí potenciální problém, a to že útočníkovi do určité míry možnost kontrolovat množství alokované paměti pro tabulku a ztrácí výkon na procházení zřetězených hodnot.
NSD používá tabulku pevné velikosti, bez řetězení. Netrpí tedy na výše popsané problémy, ale s větší pravděpodobností umožňuje útočníkovi předem spočítat kolidující odpovědi (Birthday attack) v závislosti na velikosti tabulky. Protože není kolize kam řetězit, tak pro danou třídu resetuje počet tokenů, což sice na jednu stranu vylučuje riziko omezení kolidujících odpovědí, ale umožňuje při nalezení dvou kolidujících dotazů rate limiting zcela obejít.
Knot DNS využívá hopscotch hashing, který je velmi dobrým kompromisem s nízkou pravděpodobností kolize (1/32!) při zachování pevné velikosti. Zároveň do klíče přidává náhodně generované tajemství pro znesnadnění predikce kolizí a umožní jen jeden reset počítadla třídy za vteřinu.
Ze zatím dostupných měření na reálných datech vyplývá, že chování všech implementací je i přes popsané rozdíly velmi podobné a liší se především citlivostí u pomalého toku dotazů. Hlavním omezením metody založené na rate limitingu je především nemožnost rozlišit právoplatný dotaz od útoku, což ale při rozumné spolehlivosti není ani prakticky možné. Příliš agresivní omezení by tak mohlo vést k přílišnému zahazování právoplatných dotazů, konzervativní zase k nižší účinnosti. BIND9 doporučuje agresivnější nastavení, Knot DNS je spolu s NSD spíše na konzervativní straně (RRL ve výchozím nastavení vypnuté, v dokumentaci 50 r/s).
Marek Vavruša
mojeID se začíná zabydlovat v městech a obcích
Dlouhou dobu bylo mojeID využíváno zejména elektronickými obchody a zpravodajskými portály a jejich návštěvníky. V loňském roce se tuto skupinu podařilo rozšířit o komunitní servery a knihovny. Další skupinou provozovatelů, jimž může mojeID hodně přinést, je více než 6 000 měst a obcí, z nichž drtivá většina má svoje webové stránky a chce (především se svými občany) komunikovat rovněž elektronicky. Přesto, že využití mojeID není v některých případech z legislativních důvodů možné, objevily se v samosprávě již první vlaštovky, v jejichž webech mojeID zahnízdilo.
Zkušenosti s anonymními anketami a podezřelým „nárůstem hlasů“ již zaznamenala vybraná města. V loňském roce se jednalo například o výběr nové podoby Elsnicova náměstí na Praze 8, v letošním zase o pojmenování Havlovy ulice v Brně.
Také na základě těchto zkušeností se společnost Galileo Corporation rozhodla své více než tisícovce zákazníků z řad měst a obcí nabídnout ankety, do kterých mohou hlasovat pouze uživatelé mojeID a tím se vyhnout problémům s podvodným hlasováním pomocí robotů či díky mazání tzv. cookies. Jako první zprovoznila důvěryhodnou anketu obec Droužkovice, ke které se nedávno přidal Rožmitál pod Třemšínem. Jeho zastupitelé se rozhodli návštěvníkům webu položit zajímavou otázku, a to který zastupitel je nejprospěšnější :).
Výhodou anket za použití mojeID je především možnost snadno odlišit ty, kteří mají v daném městě (či obci) trvalé bydliště. Z pohledu ochrany osobních údajů je klíčové, že při hlasování nedochází k předávání atributu jméno a příjmení, resp. adresa, ale pouze atributu města, případně věku. Anketa tak zůstává nadále neadresná, ale přesto díky atributu z mojeID umí rozlišit v anonymním prostředí internetu hlasující z daného města.
Třetí vlaštovkou, která začala používat mojeID, jsou Hořice v Podkrkonoší. Tamní zastupitelé se rozhodli, podobně jako některé české zpravodajské servery, skoncovat s anonymními a často urážlivými komentáři v diskuzích a vkládání názorů pod jednotlivé články umožnili jen těm, kteří se přihlásí přes mojeID a zveřejní své jméno, příjmení a e-mail.
Byť Droužkovice, Rožmitál pod Třemšínem či Hořice v Podkrkonoší jsou vlaštovkami, které jaro zatím nedělají, v CZ.NICu věříme, že se mojeID postupně mezi městy a obcemi zabydlí a příští rok na jaře těchto vlaštovek bude už několik stovek. A to je již pořádné hejno, které může ukázat cestu k elektronické demokracii v českých luzích a hájích.
Jiří Průša
Nová podoba Katalogu routerů
Loni spuštěný projekt Katalog routerů, mapující podporu IPv6 u aktuálně prodávaných routerů, se letos dočkal aktualizace. Kromě nové várky testovaných modelů nastaly změny i v samotném pojetí stránek – rozhodli jsme se zaměřit na běžnějšího uživatele a koncipovat stránky tak, aby dokázaly posloužit jako rádce pro nákup domácího zařízení. Tedy strohé přehledy parametrů doplňují slovní hodnotící komentáře a modely jsou ohodnoceny informativním skóre, které umožňuje řazení modelů podle pořadí do kategorií Výhodná koupě, Špičkové routery a IPv6 za dobrou cenu.
V naší laboratoři máme k testování připraveno téměř 30 modelů, od miniaturních zařízení s jedním ethernetovým portem až po luxusní routery s integrovaným pevným diskem. Testováním zatím prošla jen část z nich, další recenze budou publikovány průběžně, jak se je podaří dokončit. Oproti předchozímu kolu testujeme veškerá zařízení s ethernetovým WAN portem, takže už není nutná deklarovaná podpora IPv6. Zůstává zaměření na domácí routery, neboť tam vidíme největší potenciál v zavádění IPv6.
Novinkou v metodice testování jsou testy rychlostí routingu jak pro IPv4, tak i IPv6, rychlost downloadu a uploadu pomocí FTP, sdílení ve Windows (samba) a případně stahování z webového rozhraní.
Na rozdíl od dosavadní praxe hromadného testování velkého množství zařízení budou nové modely do Katalogu přibývat postupně, tak jak je budou distributoři uvádět na náš trh.
Jako marketingovou podporu projektu se chystáme nabídnout distributorům možnost opatřovat zařízení, která projdou testováním a splní uspokojivě daná kritéria, speciální pečetí.
Martin Sojka
Náš IPv6 den se blíží, tentokrát i s netradiční nabídkou
Zítra je 6. 6.! Přesně před rokem jsme v tento den pořádali konferenci ke Světovému dni IPv6 (IPv6 Day), od něhož řada renomovaných společností začala trvale využívat IPv6. Cílem akce bylo upozornit na blížící se konec protokolu IPv4, připomenout si důležitost přechodu na IPv6 a ukázat, jak jsme na tom v České republice s jeho zaváděním . Záznamy jednotlivých vystoupení včetně zajímavé panelové diskuse, v níž se představili zástupci firem Telefónica, T-Mobile nebo UPC najdete na stránkách naší konference. Tolik historie. Pojďme do současnosti.
Letos IPv6 den na mezinárodní úrovni nebude. Není asi také třeba, vždyť ti, kteří za touto zajímavou a účinnou akcí stáli, mají prakticky splněno. My jsme ale co se osvěty v oblasti IPv6 týká vytrvalí, což snad potvrdila i nedávná konferenci Internet a Technologie (13), kde téma přechodu a zhodnocení stavu (po roce) bylo opět jedno z hlavních témat. Na zítřek tedy něco k IPv6 chystáme, to hlavní si necháme až na 6. 6. Dnes prozradíme jen něco na úvod.
Součástí vzdělávacího centra Akademie CZ.NIC je také kurz o IPv6, který patří k jednomu z nejnavštěvovanějších. Proto jsme na zítřek, kdy se mimochodem jeden jeho běh koná, připravili speciální akci. Kdo se v průběhu čtvrtka (6. 6.) zaregistruje na libovolný kurz z nabídky Akademie CZ.NIC, dostane při příchodu populární a jedinečnou knihu IPv6 od „IPv6 guru“ Pavla Satrapy zdarma a navíc s autorovým podpisem.
Co tomu říkáte? Přihlásit samozřejmě můžete nejen sebe, ale i některého z kolegů, přátel, známých, rodinných příslušníků :). Děkujeme za váš zájem o toto téma. Budeme se mu věnovat i nadále a nejdříve už zítra – 6. 6.
Igor Kytka
Všechno nejlepší!
Už to na tomto blogu několikrát zaznělo, sdružení CZ.NIC sfouklo na dortu patnáctou svíčku, což je u člověka věk, při kterém mu stát dá tolik důvěry, že může požádat o povolení řídit pomalé jednostopé motorové vozidlo. O své vzpomínky na toto období dospívání se již s Vám podělili dva služebně nejstarší zaměstnanci sdružení, Zuzana a Martin. A protože třetí v pořadí jsem již já, dovolte i mně přispět svou vzpomínkou.
Do sdružení jsem vstoupil na konci roku 2003, když jsem se se skupinou podobně smýšlejících lidí snažil otočit kormidlo těžkopádně plující lodě. CZ.NIC v té době rozhodně neměl dobré jméno. Cena domény byla poměrně vysoká, pravidla a nastavení registračního systému příliš nepřipomínala 21. století a mnoho lidí mělo v živé paměti rozporuplně přijímanou migraci na decentralizovaný systém. Sdružení mělo jen minimum zaměstnanců a drtivá většina všech jeho činností, včetně těch klíčových, byla outsourcována. Komentáře tehdejších diskutujících pod články o české doméně by bylo možné v televizi předčítat jedině až po dvaadvacáté hodině. Tedy nic moc okamžik jít s kůží na trh a nabídnout jen další změny a následně ještě jednu migraci. Ani onen pokus o změnu nevypadal ze začátku kdo ví jak. Celkem dlouho trvalo, než došlo k obměně většiny členů představenstva a padlo finální rozhodnutí vyvinout vlastní registrační systém.
Nicméně povedlo se a v roce 2005 již mělo sdružení úplně nové vedení, stanovy, dokonce i v přípravě nové logo, nové podmínky vstupu a začalo nabírat zaměstnance, kteří měli za úkol na zelené louce vyvinout úplně nový a pružnější systém a zcela změnit tvář sdružení. Na svém seznamu neodkladných úkolů jsem měl vyřešit vztah mezi sdružením a státem a po odškrtnutí tohoto políčka byl nejvýše nový registrační systém. Pojmenovali jsme jej FRED a on rostl velmi rychle. Poprvé se v plné kráse a síle mohl ukázat v září 2006, kdy jsme jej nasadili na správu ENUMové domény 0.2.4.e164.arpa. To byl poměrně klíčový milník celého procesu, protože v té chvíli přestal být FRED jen projektem programátorů, ale od této chvíle bylo všechno „doopravdy“. Veškeré změny se musely pečlivě testovat, provádět pouze v odstávkových časech, získávali jsme cenné zkušenosti s provozem.
Ty jsme nejvíce zúročili o rok později, přesně v období 28. až 30. září 2007. V tomto období byl zastaven provoz starého registračního systému a veškerá data byla migrována do FREDa. Bylo to pro mne tehdy úžasné období. Na jednu stranu jsme byli pochopitelně všichni neuvěřitelně nervózní, jestli jsme v našem migračním scénáři, který měl stovky položek někde přeci jenom neudělali chybu, ale na druhou stranu to bylo završení téměř čtyřletého úsilí mnoha lidí. Nervozita byla celkem pochopitelná, neměli jsme v podstatě záložní variantu, sice existovala možnost požádat tehdejšího provozovatele o prodloužení běhu outsourcovaného systému, ale je jasné, že takový krok by měl zcela devastující účinek na pověst sdružení a nás, kteří jsme migraci prováděli. Samotná migrace proběhla až nečekaně hladce s dvaatřiceti hodinovou rezervou a tak jsme těch 32 hodin nervózně čekali na start nového systému, který byl naplánován na 1. říjen, na 10:00. Okamžik nastal, FRED najel a tři vteřiny po startu se začaly registrovat první domény. Skvělá zpráva, ale přesto jsme objevili jednu malou chybičku. Nový systém chránil WHOIS výpisy pomocí Captcha. Takže každý, kdo si chtěl vypsat na webu nějaké informace o doménách, musel přepsat do znaků obrázek. Ačkoliv byl celý systém mnohokrát testován jedné drobné věci jsme si nevšimli. Ano tušíte správně. Zátěžové testy obvykle provádějí automaty. Ty nedokáží přepisovat Captcha obrázky a proto byla tato částečka systému při testech deaktivována. A právě v ní byla chyba, která se za celou dobu neprojevila u ENUMu, protože ten nikdy nebyl vystaven zátěži uživatelů lačných po informacích. Špatné ukládání dočasných dat způsobilo, že při současných přístupech více uživatelů přestal WHOIS fungovat. V ten okamžik nastalo v místnosti, odkud jsme spouštění řídili, hrobové ticho. Nebylo hned zřejmé, že chybička je pouze u WHOIS a že systém jinak bez problémů funguje. Všichni jsme měli velký strach, že jde o něco vážného. Já sám jsem si z toho okamžiku odnesl pár šedivých vlasů, což je při hustotě mé kštice poměrně vidět. Nejvíce duchapřítomnosti ukázal kolega Surý, který hned popadl klávesnici a zhruba do tří minut provedl tu spásnou změnu kódu, která vše vyřešila. Od té doby si dobře pamatuji, že čas je relativní, málo kdy později mi pak přišly tři minuty tak strašně dlouhé. Nicméně to už bylo vše. Systém naběhl, o žádnou doménu jsme nepřišli a tak trochu se začala psát nová epocha sdružení. Cena domény dramaticky poklesla, pravidla registrace a související podmínky se značně zjednodušily, vstoupilo mnoho nových členů, sdružení se přestalo zabývat především samo sebou a nasměrovalo velké množství energie do projektů pro lokální internetovou komunitu. Jen soupis těchto všech projektů by zabral na tomto blogu mnoho místa a pokud se podíváte na některé starší příspěvky, jistě si obrázek uděláte. Velmi dobrým průvodcem může být i strategie sdružení na nejbližší čtyři roky. Změnu vnímaní sdružení nejvíce vystihují již zmíněné příspěvky pod články, které se nás týkají. Netvrdím, že jsou to ze 100 % výkřiky nadšení, ale poměr kritických poznámek se dramaticky zmenšil a pokud už se objeví nějaká kritika, je poměrně vstřícná.
Co dodat na závěr? CZ.NIC pomalu opouští své dětské období, už má poměrně jasno o své budoucnosti a ukázalo, že internetová samospráva může fungovat, a to kvalitně a stabilně. Připojuji se k zástupu gratulantů a přeji vše nejlepší, a hlavně zdraví! Zdraví české doméně! A svobodnému Internetu!
Ondřej Filip
Přínosné a ostudné používání QR kódů
V opojení z příchodu nové technologie se QR kódy množí jako mravenci veřejným prostorem. Jejich použití ale zatím plní víceméně propagační status, kterým se inzerent snaží říci, že je “moderní”. Zoufale špatné použití ve většině případů přináší inzerentovi spíše ostudu a uživatelům zklamání. Proč a jak toto mraveniště použít, aby přineslo co největší užitek?
Proč vlastně?
QR kód jako můstek mezi hmotnou realitou a virtuálním světem může urychlit a zjednodušit některé úkony, které nám jinak zaberou spoustu času. Přesto si musíme uvědomit, že jeho použití vyžaduje od uživatele poměrně namáhavou operaci – vyndat telefon > najít příslušnou aplikaci > zaostřit > sejmout > načíst obsah (web, adresu, kontakt). Je tedy neoptimalizovaný web se stejnou, nebo mírně rozšířenou informací z plakátu to, co chtěl uživatel za tuto námahu vidět?
QR kód by měl nabídnout přidanou hodnotu, kterou uživatele potěší a zkrátí mu cestu k vašemu cíli. Před použitím QR kódu je tedy dobré si položit otázky: “Jaký je můj cíl? Jak k němu QR kód ulehčí cestu? Co z toho bude uživatel mít?” Odpověď: “Přepis průměrné webové adresy” to pravděpodobně nebude.
Přidaná hodnota QR kódu může spočívat především v napojení na aplikace a další funkce zařízení, do kterých by nám zadávání trvalo delší dobu, než jednodušší focení.
Pár příkladů, kdy je QR kód k užitku:
QR platba – české banky na podzim 2012 přistoupily na společný protokol QR kódu obsahujícího veškeré platební informace. V kombinaci s bankovní aplikací se tak jedná o poměrně účinný nástroj jak se vyhnout nepříjemnostem při chybném přepisu čísla účtu, variabilního symbolu a dalších náležitostí.
QR platba se zatím používá především na faktury, velký potenciál má například u darů pro neziskové organizace, kde zkrácení doby mezi vyplněním a odesláním platby zmenšuje šanci, že si to dárce rozmyslí.
Napojení na sociální sítě – likování oblíbeného klubu, nebo restaurace bude s QR kódem rozhodně kratší, než dlouhé dohledávání podniku na Facebooku nebo jiných sítích. Navíc nehrozí, že si stránku spletete s jiným stejnojmenným podnikem.
Událost v kalendáři – mnoho lidí si fotí plakáty v dopravních prostředcích a na ulici, aby si akci zapamatovalo. Málokdy vás zajímají další informace o interpretovi, jako místo, čas a cena. Dobře umístěný QR kód může obsahovat událost do kalendáře, kterou si uživatel rovnou uloží. Variantou může být unikátní stránka akce, kde kromě uložení do kalendáře mohou být další možnosti interakce, jako sdílení, koupě lístků a více informací o akci.
Kontakt – asi nejznámější a nejpraktičtější možností je uložit do QR kódu kontakt. Pěkně vyplněná vizitka včetně telefonů, emailu, webu a adresy, potěší zkrácením přepisování do telefonu.
Wifi nastavení – u složitě zabezpečených sítí ušetří čas správné nastavení zařízení, které se vejde do jednoho zaostření fotoaparátem. Vhodné do kaváren, zaměstnání, hotelů atd.
Rozšíření informací – pokud jsme si neodbytně jistí, že uživatel stojí o rozšíření informací o daném produktu, exponátu, památce…, pomocí svého smartphonu nebo tabletu, měli bychom stále myslet na přidanou hodnotu, kterou uživatel za skenování získá. Obyčejný text, který by se jinak vešel na papír A4 z vašeho QR kódu udělá pouze privilegovanou záležitost, pro majitele smartphonů. Na odkazu by měl uživatel nejlépe nalézt pěkně optimalizovaný obsah pro čtení v mobilních zařízeních, přidané fotky, videa nebo audio nahrávky, které by se zkrátka nedaly na místě QR kódu prezentovat. Možnost nějaké další interakce z QR kódu udělá spíš užitečnou věc, než techno-machrovinku.
Adresa a geolokace – pro rychlou navigaci v mapě také ukrátí čas zdlouhavé zadávání adresy. Zadávat nemusíte jen adresu, ale i GPS souřadnice, takže můžete odkazovat i do odlehlejších míst světa.
Jak na to
Na generování QR kódů naleznete spoustu služeb. Má nejoblíbenější pro svou jednoduchost a komplexnost je tato http://zxing.appspot.com/generator/. Pak už zbývá držet se následujících rad.
Místo
Ujistěte se, že místo na kterém se chystáte QR kód použít odpovídá předpokládaným činnostem spojeným s jeho používáním.
– Tedy kód je ve výšce a vzdálenosti vhodné k fotografování, na stropě či u země ho nikdo snímat nebude.
– Pokud QR kód obsahuje odkaz musí na místě být také signál. Vagon metra povětšinou není to místo.
– Na místě je dost světla pro snímání, v šeru tanečního klubu nikdo kód nesejme.
– Dostatečný klid a nehybnost kódu jsou podmínkou dobrého užití. Eskalátory, tramvaje a jiné dopravní prostředky jeho užití naprosto znemožňují.
– Jeho snímáním nikoho neohrozíte. Na billboardech u dálnice, zadních dveřích kamionu, střed rušné ulice atd.
Velikost a tvar
Minimální doporučená velikost kódu je 3×3 cm. Tehdy si můžete být jistí, že jej opravdu všichni oskenují. Stále ale platí, že čím větší, tím lepší. Myslete také na to, že čím více informací kód obsahuje, tím je složitější a tím větší velikost si zaslouží.
Díky až 30 % samokorektivní schopnosti QR kódu je možné s jeho tvarem a barevností všelijak zacházet. Je ale dobré mít na paměti, že na standardní černý QR kód jsou již uživatelé zvyklí a tak to s jeho úpravami nepřehánět.
Pokud už QR kód používáte, dejte mu raději náležité místo a důležitost, než ho zastrčit někde v pozadí či patičce.
Co se stane, až…
Tím, že je QR kód trochu jako dvířka do jiného světa, je dobré uživatele připravit na to, co se stane po jeho naskenování. QR kódu tak uděláte malou reklamu, blýsknete se, že nejste trendoví grafici, co strčí kód všude a navíc ubezpečíte uživatele, že na něj nečeká žádná nepříjemnost. Stačí jedna věta.
Odkazy, jednoduchost a proměnlivost
Jak již bylo řečeno, složitost a tudíž čitelnost QR kódu závisí na velikosti jeho obsahu. Pokud chcete odkazovat na delší internetové adresy, vyplatí se použít některý ze zkracovačů. Předtím se ale ubezpečte o trvanlivosti takto zkrácených adres, protože některé zkracovače po nějaké době odkazy mažou.
Využít se dají i různé formy přesměrování dynamických adres. Buď si to uděláte sami, nebo k tomu využijete některou z placených služeb. Výhodou pak jsou především statistiky o používání a jednoduchá správa jednotlivých kódů.
Vybrané služby: www.tagomobile.com, www.smartytags.com.
Jak opravdu ne
Bohužel špatných použití QR kódu se kolem nás vyskytuje opravdu valná většina. Částečně to bude tím, že časté zadání grafikovi na tiskovinu zní: “A nezapomeňte tam dát ty černý čtverečky, to je teď moderní, to mají všichni.” Díky čemuž pak vznikají obskurní plakáty s kódy na eskalátorech, tramvajích, malým čtverečkem u země nebo na billboardech u dálnice.
Ještě horší varianta je, pokud odměna za naskenování je nulová nebo odfláknutá a z celého použití tak čiší spoléhání se na technologii, která zachrání špatné zpracování. Pro inspiraci a pobavení, kam kódy opravdu neumisťovat, doporučuji www.wtfqrcodes.com.
Jeden příklad mizerného použití za všechny
Po Jizerských horách byly rozmístěny na rozcestníky kódy s odkazem na přepis báječné knihy Miloslava Nevrlého o historii jednotlivých míst. Po naskenování, které musíte provést zdvižením telefonu nad hlavu, se vám objeví ošklivý od kraje do kraje displeje nalitý text, který by se vešel na půl A4. Špatné pokrytí hor signálem snad netřeba zmiňovat. Člověku se pak vkrádá otázka, proč místo poměrně drahé plechové cedulky nezvolili nějakou formu informační cedule, která by byla přístupná všem, bez rozdílu telefonu.
Jak by mohlo vypadat ideální použití? Poutavý text o Stammelově kříži by mohl být napsaný na standardní cedulce A4 doplněný QR kódem ve výšce hrudi s popiskem “Objevujte, ukládejte a sdílejte zajímavá místa Jizerských hor ve vašem telefonu.” Po jeho načtení by se objevil pěkný mobilní web s tlačítky k Uložení místa do mapy, Uložení textu do záložky na později, Sdílení místa s přáteli a samozřejmě nejdůležitější Seznam dalších takto popsaných míst a popisem kudy k nim. Všechny tyto úkony můžeme označit za přínosné cíle, jejichž provádění pomocí telefonu by trvalo několik minut, které nám QR kód zkrátí.
Dobrý plod, zlý plevel
Ačkoli jsem byl dlouhou dobu ke QR kódům velmi skeptický a nesnášenlivý, především pro jejich nadužívání, dá se najít několik velmi praktických využití. Důležitá je jen prvotní úvaha, zda kód potřebuji k praktickému ulehčení uživatelovy cesty, nebo k dosažení společenského statusu. Takové použití je spíš trapné, dělá ostudu a zabírá místo sdělení, které by mohlo být daleko užitečnější. Vždy proto myslete na přidanou hodnotu, kterou by měl kód nést oproti obyčejnému odkazu. Doufám, že se bude jeho použití racionalizovat a že se brzy objeví další praktická využití.
Článek byl inspirován konferencí pořádanou Mediářem.
Jakub Rumler
Jak „zacvičil“ čas s CZ.NIC
Historie sdružení CZ.NIC nejsou jen projekty a aktivity jako třeba FRED, mojeID, Akademie CZ.NIC nebo konference Internet a Technologie, ale také jeho vizuální identita. Ta doznala za 15 uplynulých let řady změn. Nejlépe ji lustrují loga sdružení, a tak vám je tu nabízíme společně s roky, v nichž jste se s nimi mohli setkat. To poslední, nejaktuálnější, jsme představili světu na podzim loňského roku.
Tomasz Hatlapa
Patnáct let historie sdružení CZ.NIC
V letošním roce jsme v prostředí českého internetu svědky řady jubileí. Své dvacáté výročí slaví česká národní doména .CZ a patnáctiletým působením na trhu se může pochlubit také řada komerčních subjektů založených v přelomovém roce 1998, v období boomu českého internetu. Tento rok byl významný také proto, že dal vzniknout sdružení CZ.NIC, dnešnímu správci české národní domény. V tomto článku se pokusím shrnout jeho historii a načrtnout aktuální stav.
Domény se v Česku registrují již od roku 1991. Tehdy to byly dnes již neexistující domény .CS pro tehdejší Československo. Registraci mělo na starosti výpočetní centrum při Vysoké škole chemicko-technologické v Praze. 13. února 1992 byla ČSFR oficiálně připojena k internetu a po rozdělení federace vznikla 13. ledna 1993 doména .CZ.
Doménu .CZ spravovalo nejprve VC VŠCHT a poté soukromá společnost, která byla jedním z poskytovatelů připojení. Na podzim roku 1997 došlo ke značné liberalizaci dosavadních restriktivních podmínek pro registraci českých domén a začalo být zřejmé, že bude nutné správu domény .CZ předat nezávislému subjektu. Zamýšlené jméno této instituce bylo CZ-NIC a předpokládalo se, že si pro správu národní domény najme servisní organizaci.
V květnu (21. 5.) 1998 byl založen CZ.NIC (nově s tečkou) jako sdružení 16 právnických osob – poskytovatelů internetu působících v České republice. V srpnu 1999 došlo na základě výběrového řízení k podpisu smlouvy se společností EUnet Czechia o správě národní domény a od 1. 9. převzal CZ.NIC oficiálně zodpovědnost za správu domény .CZ.
Zatímco v prvních letech svého působení byl CZ.NIC zároveň správcem registru domén i registrátorem, sdružení se postupně začalo snažit o decentralizaci těchto pravomocí. V roce 2002 bylo vypsáno výběrové řízení na provozovatele decentralizovaného systému registrací a vítěz tendru, společnost T-Systems Pragonet, spustila nový systém v září 2003. Držitelé domén tím získali možnost převést své domény k libovolnému registrátorovi. V této době také došlo ke změně cen registrací – předchozí fixní zřizovací poplatek 800 Kč a roční poplatek ve stejné výši byly nahrazeny velkoobchodními cenami, díky čemuž si registrátoři začali navzájem konkurovat cenami pro koncové zákazníky.
V roce 2005 začaly práce na vývoji vlastního registračního systému. Tyto práce intenzivně probíhaly od září roku 2006, kdy byl tento nový systém (oficiálně se jmenuje FRED – Free Registry of ENUM and Domains) nasazen na správu registrací ENUM domén. Tento registr nám pomohl k definitivnímu otestování systému, který jsme potom v říjnu 2007 nasadili do ostrého provozu v doméně .CZ. FRED byl v té době zpřístupněn jako open source a k dnešnímu dni ho nasadilo několik domén nejvyšší úrovně, mezi nimiž jsou například Estonsko, Kostarika, Tanzánie či Angola.
Zavedení nového systému registrací, provozovaného přímo sdružením, s sebou přinesl výrazný pokles velkoobchodních cen domén, který v dalších letech pokračoval. Ze 400 Kč v roce 2007 klesla cena registrace postupně až na dnešních 125 Kč.
Získané prostředky z registrací domén vrací CZ.NIC české internetové komunitě v podobě řady projektů, které mají za cíl podporu internetu v ČR. Mezi tyto aktivity patří například výukové centrum Akademie CZ.NIC, které kromě Prahy najdete teď už i v Brně, knižní Edice CZ.NIC, provoz národního bezpečnostnícho týmu CSIRT.CZ, pořádání konferencí typu Internet a Technologie a další. Mimo to dnes CZ.NIC provozuje zrcadla kořenových serverů nebo vlastní NTP server.
Pro projekty podporující internetovou infrastrukturu máme dokonce vlastní oddělení, Laboratoře CZ.NIC. Mezi jejich hlavní projekty patří autoritativní DNS server Knot DNS, vyvíjený s důrazem na rychlost zpracovávání dotazů, protokol DANE sloužící k distribuci SSL certifikátů prostřednictvím DNS nebo globálně úspěšný směrovací démon BIRD. Běžným uživatelům internetu je určen například aplikace Datovka, usnadňující přístup k datovým schránkám z platforem Apple OS, iOS a Linux.
Značnému mezinárodnímu ohlasu se dostalo nasazení technologie DNSSEC v .CZ, kterému jsme věnovali poměrně značné úsilí. K dnešnímu chrání tato technologie téměř 400 000 domén, což je vzhledem k celkovému počtu registrací nejvyšší podíl mezi všemi světovými registry. Dalším významným projektem sdružení je systém mojeID. Tu již využívá řada významných zpravodajských webů, e-shopů a dalších služeb.
Za těch 15 let se CZ.NIC změnil z firmy s kompletně outsourcovaným provozem prakticky bez zaměstnanců na sdružení s vlastním řešením a vývojovým programem. Z centralizovaného registru je systém se 46 registrátory, cena za registraci klesla více než desetinásobně. Z cca 40 tisíc domén v roce 1999 jsme dnes na více než milionu. Z takřka nulové aktivity „mimo“ registr domén je dnes celá řada životaschopných, užitečných a komunitou přijímaných projektů, na kterých aktuálně pracuje cca 70 zaměstnanců. Z původních 16 zakládajících členů je jich dnes 109 a měsíc za měsícem přibývají další.
Přeji CZ.NICu co nejvíc úspěchů i do budoucnosti a osobně doufám, že až někdo bude za dalších 15 let psát podobný souhrn, bude jeho výčet ještě mnohem impozantnější. A kdo ví, možná to budu zase já :-).
Martin Peterka