Mumble

[Dominika.Michailidu]

Zítra máme schůzku s koordinátorkou a nemůžu se připojit. Před chvílí to šlo a ted se to odpojilo a nejde to. Návod "Stáhni aktuální verzi mumble" je mi na nic. Mumble mám stažený. Jakou posloupnost mám použít? Nejdřív "přihlásit se" nebo nejdřív pustit program a pak "přihlásit"? Certifikát už jsem nějak odpálkovala, ale heslo mám špatný. Nebo to aspoň tvrdí.

[Stanislav.Stipl]

Zkus ted. Byl spadly auth. Celkem klasika.

[Lukas.Novy]

Mas Windows nebo linux?

[Lukas.Novy]

Zkus ted. Byl spadly auth. Celkem klasika.

To bylo opraveno, proc to pada?

[Lukas.Novy]

Nastaveni je tu

https://www.pirati.cz/to/navody/mumble

[Dominika.Michailidu]

windows už to jde, sry. (možná by to mohlo házet jinou hlášku než "blbé heslo", když není chyba u mě?)

[Lukas.Novy]

Nedokazeme.

[Zdenek.Kubala]

Spolehnout se na to nemuzes.

Jaktoze ne? Ten kdo ma pristup k heslu na mumble, ktere najde jenom na foru, toho lze legalne povazovat za tu stejnou osobu, jako je osoba prislusna k uctu na foru se stejnym jmenem.

Ano, ale stejne tak heslo na foru muze byt zcizeno(jak se tu uz ukazalo). A navic je mumble pass ulozeno na PC(v profilu pravdepodobne). Na to se taky spolehnout nemuzes. Trochu me zarazi, ze zrovna tohle povazujes za "spolehnout se na ".

Ten hrozi prece vzdy. Urcite kroky prevence podniknout lze i bez hesel.

Jak chces bez hesel zabranit tomu, ze ti tam naleze 1000 nahodnych nicku a vycerpaji sloty?

iptables a pokud tam naleze 1000 lidi z 1000 adres, tak je neco spatne a predpokladam, ze by to ovlivnilo i zaheslovany mumble. Kdyby to ohrozovalo diskuzi, tak se pusti zalozni kontejner, kam se nedostanou(ackoliv ten by mohl byt taky poznamenan i kdyz by byl zaheslovany).

Zatim tu nikdo nic moc nenapsal(krome tebe) k tomu proc zachovavat/nezachovavat prihlasovaci hesla. A tocime se tu porad dokola kolem toho sameho, takze to muzeme utnout a pockat na vyjadreni ostatnich. Diky.

Tocime se v kruhu, protoze evidentne nechapes, jak to cele funguje a ja se ti to uporne snazim vysvetlit.

Pravdepodobne se nechapeme. Ja to vidim jako verejny mumble pro diskuzi piratu a priznivcu(nektere mistnosti zaheslovat) a ty jako ciste vnitrostranickou vec.

Pro jednani tajna/prisne tajna by si stejne musel udelat separatni mumble server s realnym overenim uzivatelu[1], kteri tam smi a vytvorit jim platne certifikaty, atd. Mezistupen muze byt "vlastni ca".

Tak jako tak je to vec ucelu a miry rizika(kompromitace uzivatele, unik obsahu diskuze, atd.).

Za me je verejny mumble ok. Pro tajne diskuze/jednani vyuzivat napr. jine kanaly ci servery.


[1]: http://wiki.mumble.info/wiki/Mumble_Certificates

[Lukas.Novy]

Ano, ale stejne tak heslo na foru muze byt zcizeno(jak se tu uz ukazalo).

Pokud ti nekdo muze vzit heslo, muze ti vzit i certifikat (predstava, ze by nekdo k prihlasovani na mumble pouzival smartcardu je nerealna). Pri kompro celkove kompro uctu na foru je to, ze utocnik v te chvili zna i heslo na mumble naprosto marginalni problem.

A navic je mumble pass ulozeno na PC(v profilu pravdepodobne).

Pokud si ulozis server a pokud si ulozis heslo. Naprosto stejne bezpecne jako kdyz mas ulozeny certifikat.

Na to se taky spolehnout nemuzes. Trochu me zarazi, ze zrovna tohle povazujes za "spolehnout se na ".

Mohu se na to spolehnout vice nez na rucne zaregistrovany certifikat, jelikoz je vynechan lidsky faktora admina mumble serveru. Tedy se na vazbu skutecne mohu spolehnout. Dokonce v tom ohledu, ze dokud je uzivatel na mumble pripojeny a hlasove si ho overim kontrolni otazkou, mohu mit jistotu, ze je to skutecne on, dvojte pripojeni s jednim uctem totiz neni mozne... narozdil od fora.

iptables a pokud tam naleze 1000 lidi z 1000 adres, tak je neco spatne a predpokladam, ze by to ovlivnilo i zaheslovany mumble.

Prave ze neovlivnilo, jak sem psal, dokud se uspesne neprihlasis, coz v soucasne situaci bez hesla nejde, tak nezabiras prostredky serveru. Vim, ze jsou dnes povoleni i regp, takze pri dostatku regp uctu mohu sloty zaplnit, v te chvili je ale fix trivialni zakaz regp a clenove (pripadne specialni skupina podobne jako u mailu) jsou opet v pohode.

Tvoje reseni pres iptables popsane situace by me zajimalo, podle me to neni mozne.

Kdyby to ohrozovalo diskuzi, tak se pusti zalozni kontejner, kam se nedostanou(ackoliv ten by mohl byt taky poznamenan i kdyz by byl zaheslovany).

Proc tedy soucasny server nezachovat tak jak je a k tomu nespustit dalsi verejny, kde heslo nebude vyzadovano v pripade, ze pouziji nick, ktery neni na foru registrovan?

Pravdepodobne se nechapeme. Ja to vidim jako verejny mumble pro diskuzi piratu a priznivcu(nektere mistnosti zaheslovat) a ty jako ciste vnitrostranickou vec.

A on uz se nekdo nekdy chtel pripojit na mumble a pritom nebyl clen nebo regp? Pokud vim, za celou dobu se tak nestalo.

Pro jednani tajna/prisne tajna by si stejne musel udelat separatni mumble server s realnym overenim uzivatelu[1], kteri tam smi a vytvorit jim platne certifikaty, atd. Mezistupen muze byt "vlastni ca".

Z pohledu autorizace je to stejne bezpecna jako soucasna situace, z pohledu autentizace mas moznost bud to svazat s ucty na foru a pak bys musel mit zpusob jak zaregistrovat certifikat k uctu na foru, nebo bys musel mit povolene registrace na mumble, mit cloveka, ktery by resil konflikty/squatting nicku a revokaci certifikatu + odregistrovani nicku a take mit nejaky dalsi zpusob jak overit identitu, kterou ti to at chces nebo ne nezaruci. Vzhledem k potrebe lidskeho faktoru, ktery ma admin opravneni je to opet mnohem mene bezpecne nez soucasny stav.

Vlastni CA je fajn, ale bud opet to musi delat clovek nebo to musi byt svazane s ucty na foru (resp. nepodepise se zadny certifikat, ktery by v nejake urcene property nemel odpovidajici uzivatelske jmeno z fora + potrebujes stejne pri kazdem pripojeni zkontrolovat, jestli predlozeny certifikat patri aktivnimu uctu, ktery je ve skupine celostatni forum ci regp).

Tak jako tak je to vec ucelu a miry rizika(kompromitace uzivatele, unik obsahu diskuze, atd.).

Coz uz doufam sem ti konecne vysvetlit, ze to, co nabizis je prakticky v kazdem ohledu vice rizikove nez soucasne reseni.

Za me je verejny mumble ok. Pro tajne diskuze/jednani vyuzivat napr. jine kanaly ci servery.

Proti zrizeni noveho mumble serveru, ktery nevyzaduje overeni hesla pro nicky nezaregistrovane na foru, samozrejme nic nemam (krom toho, ze si myslim, ze to neni potreba). Pro vnitrostranicke diskuse bych zanechal soucasny.

[Zdenek.Kubala]

Sorac za pozdni odpoved.

Aktualne mi prijde nejzajimavejsi co si napsal... muzeme mit oba servery. Jeden verejny bez auth. A druhy neverejny. Od toho bych se odpichnul.

Verejny mumble je prakticky pripraven a uz bezi.
Asi by to chtelo upravit wiki s navodem tak, aby reflektovala "primarni" verejny a sekundarni pro "ty kteri chteji uzivat heslo".

Klidne bych pro to pouzil hostname mumble.pirati.cz. A nechal stavajici "www.pirati.cz" tak jak je. Kdyz pobezi primarni, muzeme sekundarni zmigrovat.

Co na to Ondra Profant?