Webdesign, CMS » MyEgo.cz - Radek Hulán webzine

MyEgo.cz

home foto blogy mywindows.cz kontakt

Zakázání protokolů PCT 1.0, SSL 2.0 a slabých šifer na IIS7

Webdesign, CMS 12.11.2009

V případě používání SSL na IIS je vhodné zakázat protokoly PCT 1.0, SSL 2.0 a slabé šifry, které jsou na Windows 2008 Serveru / IIS7 defaultně povoleny. Nastavení se děje v registrech, viz KB187498, a výsledkem je například takováto modifikace registrů a následný restart serveru:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers\DES 56/56]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers\NULL]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers\RC2 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers\RC2 56/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Ciphers\RC4 64/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\PCT 1.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\PCT 1.0\Server]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000

Po této úpravě bude povoleno jen SSL 3.0 a TLS 1.0, plus zakázané slabé šifry.

"Státní" datové schránky jsou registrovány na soukromé s.r.o.

Datové schránky jsou největší IT projekt a událost tohoto roku v ČR. Používají se pro ně dvě oficální domény, a to DatoveSchranky.info a MojeDatovaSchranka.cz.

Při pohledu na vlastníka té první "oficiální" domény ovšem neuvidíte MVČR, ale toto:

$ whois datoveschranky.info

Registrant Organization:e-invent s.r.o.
Registrant Street1:Na Cihlarce 30/3177
Registrant City:Praha 5
Registrant Postal Code:15000
Registrant Phone:+420.270005027
Registrant Email:domeny@e-invent.eu

Vlastníky e-invent s.r.o. jsou Tomáš Čejp a Vlastimil Čejp. Půvabné a v ČR nepřekvapující...

Internet Explorer - změna editoru pro prohlížení zdrojového kódu

Internet Explorer umí specifikovat jaký editor chcete použít pro prohlížení zdrojového kódu. Pro toto nastavení musíte udělat malý zásah do registrů, v případě 64bitového systému na dvou místech (pro dvě různé verze IE).

Pro 64bitovou verzi IE na x64 systému (anebo pro 32bitovou na 32bitovém systému) musíte nastavit default hodnotu v této větvi:

HKEY_LOCAL_MACHINE
|_ Software
|__ Microsoft
|___ Internet Explorer
|____ View Source Editor
|_____ Editor Name (Default) = C:\Program Files\EmEditor\emedhtml.exe

A pro 32bitovou verzi IE v x64 systému v následující větvi:

HKEY_LOCAL_MACHINE
|_ Software
|__ Wow6432Node
|___ Microsoft
|____ Internet Explorer
|_____ View Source Editor
|______ Editor Name (Default) = C:\Program Files\EmEditor\emedhtml.exe

V mém případě jsou použil extrémně rychle se spouštějící EmEditor. Pokud dané klíče neexistují, tak je samozřejmě vytvořte.

View Source v IE8

E-shop, který zaujal (maličkostmi)

Provozovat dnes e-shop není právě snadné. Na každé zboží existují stovky prodejců, někteří pře-prodejci pracují s marží směšných jednotek procent, řada z nich také lže o skladové dostupnosti. Navíc spoustu klientů nakonec zajímá jen a pouze cena, čemuž napomáhají agregátory jako je Zboží.cz.

V této situaci je potřeba se odlišit. Třeba jako GoldFitness.cz.

Vyberete si nějaký produkt, vložíte do košíku, bez povinné registrace jej objednáte, a během pár minut vám přijde email, který zní (na to, že jsme v ČR) až tak osobně a nepočítačově, že vás to zarazí:

Dobrý den pane Huláne,

velice Vám děkujeme za Vaší objednávku sportovní výživy, která byla ještě dnes v pondělí 2.11.2009 vyřízena i odeslána na Vaší adresu.

Ještě jednou Vám tímto pane Huláne velmi děkujeme za Vaší přízeň, přeji Vám krásný den a těšíme se na naší další spolupráci.

Skladové zboží má obchodník skutečně skladem, takže hned příští den vám přijde balíček poštou a v něm kromě obvyklé faktury i vizitka a dále onen osobní text natištěný na hlavičkovém papíře a podepsaný skutečným živým člověkem.

Náklady pro obchodníka ve výši tak 5 Kč (práce + papír), pro klienta to ale znamená, že obchod se odlišil.

Klient si jej zapamatuje. Zboží dodané ihned, dobré ceny, navíc osobní přístup namísto robotických emailů, přestože se zde bavíme jen o stokorunových položkách.

I'm sold!

Omezení naslouchání IIS jen na některé IP adresy

Microsoft IIS webový server ve standardní instalaci naslouchá na veškerých IP adresách. Pokud máte server s více IP adresami a potřebujete použít některé z těchto IP adres pro jiné služby, je nutné toto naslouchání omezit. Slouží pro to příkaz netsh http.

Následující příkaz zobrazí aktuální IP adresy, na kterých IIS naslouchá:

netsh http show iplisten

Takto konkrétní IP adresu smažete:

netsh http delete iplisten ipaddress=xxx.xxx.xxx.xxx

A ekvivalentně následující příkaz přidá IP adresu:

netsh http add iplisten ipaddress=xxx.xxx.xxx.xxx

Související: dokumentace netsh na Technetu.

Bezpečná administrace: SSL certifikát pro vaši doménu zdarma

StartSSL

Jiří Brejcha na svém webu popisuje možnost získat SSL certifikát zdarma pro váš email i pro vaše domény, a to od StarComu - StartSSL.com.

Kořenový SSL certifikát od StarComu je nově obsažen přímo v aktualizaci Windows (ve Firefoxu, Chrome a Safari je už delší dobu), takže je to skvělá varianta pro okamžité použití na vašem webu pro zvýšení bezpečnosti redakčního systému, zejména proti možnosti odposlechnutí údajů zasílaných na server při přihlašování.

V celém procesu nastal jen drobný zádrhel - část registrace zatím nefunguje v novém IE8 na Windows 7, použití Firefoxu 3.5 či IE6 a XP Mode to ale řeší.

Ve finále je také vhodné si vynutit redirect na https pro část administrace, třeba tímto zápisem do web.config:

 <rule name="Redirect ADMIN to https">
<match url="^admin/(.*)" />
<conditions>
<add input="{SERVER_PORT}" pattern="443" negate="true" />
</conditions>
<action type="Redirect" url="//myego.cz/admin/{R:1}" />
</rule>

Prvotní registrace účtu, vystavení privátního SSL certifikátu, ověření emailu a konfigurace je otázka zhruba 10 minut. Ověření další domény je poté záležitost zhruba jedné minuty, takže se jedná i o výbornou možnost, jak nabídnout bezpečnou SSL adminstraci webu a přihlášení i pro vaše klienty.

Podrobnější popis instalace SSL certifikátu na IIS, Apache a dalších naleznete zde.

Twitter a Verified Account

Twitter a Verified Account

Pokud jste dostatečně známá osoba (aka celebrita), vždy se vedle stovek tisíc normálních lidí co vás znají najde i pár desítek kriminálních živlů, kteří ve své mentální zaostalosti páchají trestné činy poškozování cizích práv, pomluv, křivého obvinění či dokonce zločinného spolčení.

Twitter je jedna ze společností, které si tento problém uvědomují (ne, nejedná se jen o české specifikum), a můžete jej nejen požádat o verifikaci vašeho Twitter účtu, ale také třeba případné impersonation accounts nechat zrušit.

Samozřejmě, nejedná se o "řešení" v pravém slova smyslu, nicméně verifikovaný Twitter účet je znamení pro čtenáře, že alespoň něčemu na internetu mohou věřit.

A to je rozhodně pozitivní věc :-)

Jak šel čas (s grafikou tohoto blogu)

Zapátral jsem v archívech a dal dohromady screenshoty starších verzí tohoto blogu. Myslím si, že to je zajímavé podívání :-)

2009

2009

MyEgo.cz má po dvou letech nový design

MyEgo.cz, spuštěné téměř před 2 roky, má nový design. Za grafiku a šablony je zodpovědný Pavel Kout (Webface) a jsem s jeho prací moc spokojen. Nové pojetí, které má připomínat tištěné noviny, je modernější, integrovány jsou odkazy na Facebook, Twitter a Linkuj.cz, zlepšené jsou i komentáře.

Je fakt, že poslední dobou nemám tolik času na psaní, ale v (téměř) nadcházející zimě člověk nebývá tolik sportovně aktivní, takže toho bude vycházet více :-)

Za dobu 6 let existence blogu jsem mimochodem napsal přes 1 500 článků a publikováno je přes 24 000 komentářů.

Soud v Texasu zakazuje Microsoftu prodávat Word - update

Reuters.com: soud v Texasu dnes zakázal s realizací nejpozději do 60 dnů prodej Microsoft Wordu v USA, respektive veškerých Microsoftích aplikací zpracovávajících Open XML (DOCX, DOCM). Důvodem je údajné porušení patentu kanadské firmy i4i z roku 1998, který se zabývá obecným "oddělením obsahu dokumentu od jeho architektury či formy".

Osobně to nechápu a očekávám, že ve stejných intencích bude zakázán celý World-Wide-Web, respektive kombinace HTML a CSS. Obecně, oddělení obsahu a formy je něco tak standardního, že nikdo asi nechápe, jak to může být patentováno.

Microsoft považuje uvedený patent za neplatný a samozřejmě se odvolá, ale bude velice zajímavé sledovat výsledek.

Mimochodem, na základě toho samotného patentu může být identicky zlikvidován i OpenOffice (ODF), jenže tam není tolik peněz.


Aktualizace 4.9.2009: ten samý soud uvedený zákaz dnes zrušil, dokud poběží odvolání Microsoftu.

Microsoft tedy může prodávat Word a Office i nadále.