Капризный Chrome

Последние версии браузера Google Chrome (кажется, начиная с 58-ой версии) стали до фига капризны и требовательны к содержанию полей X509-сертификата, предоставляемого сервером.

Раньше было как. Браузер сначала смотрел на "X509v3 Subject Alternative Name". И если там пусто и/или имя сервера не соответствует тому, что там написано, то дальше глядел в "Common Name" Subject-а. В случае, когда Common Name совпадает, то сайт признается валидным.

Теперь же такое поведение по умолчанию выпилили. Лично я не бегаю за последними версиями браузеров, поэтому не могу сказать в какой именно момент. Говорят, что в FireFox-е произошло такое же ужесточение. Так что при пустом / незаполненном поле "X509v3 Subject Alternative Name" сертификата тупо даётся отлуп, и ниипёт.

Но и это ещё не все. Я тут зело удивился, когда выяснил, что Chrome одной и той же версии / номера_билда под Windows и Linux ведёт себя по-разному. Помимо вышеизложенного, Linux-овая сборка проверяет ещё и значение в поле "X509v3 Key Usage". Там обязательно должны фигурировать слова "Digital Signature", "Key Encipherment". В противном случае хромой выдаст совершенно неинформативный отлуп вида "NET::ERR_CERT_INVALID" с комментарием "этот сайт прислал вам какую-то дичь, которой раньше не присылал" (ага, как будто он помнит что было раньше). А в консоль выплюнет ошибку с кодом 8102 ("SEC_ERROR_INADEQUATE_KEY_USAGE"). Виндовый хром в этом отношении чуть более толерантный, он почему-то нормально жрёт некорректные с точки зрения своего линуксового собрата сертификаты.

Таким образом, при самостоятельном создании X509-сертификата для своего [внутреннего] сайта с целью его беспроблемного отображения в свежих версиях Google Chrome, необходимо помимо прочего обязательно заполнить поля:

  • "X509v3 Key Usage" → "Digital Signature, Key Encipherment"
  • "X509v3 Extended Key Usage" → "TLS Web Server Authentication, TLS Web Client Authentication"
  • "X509v3 Subject Alternative Name" → "DNS:www.MySuperSite.com"

И чтоб два раза не вставать. Чтобы научить линуксовый хром отправлять Kerberos-тикет на веб-сервер в рамках GSSAPI, нужно определить список "доверенных" сайтов. Под виндой оный автоматически забирается из системных настроек Internet Explorer-а. А в линуксе есть два варианта.

Первый: добавить в строку запуска хрома параметр "--auth-server-whitelist". Например, так: $ /opt/google/chrome/chrome --auth-server-whitelist="*.mysuperdomain.local" . Если же хочется сохранить данную настройку навсегда, для пользования будущими поколениями пользователей, то придётся немного пошаманить (см. второй вариант).

Второй: создаём директорию "/etc/opt/chrome/policies/managed". Следим, чтобы непривилегированные пользователи не имели туда прав на запись (а не то хром проигнорирует настройки). Туда кладём файлик "что-нибудь.json" примерно нижеследующего содержания.

{
 "AuthServerWhitelist": "*.mysuperdomain.local"
}

Перезапускаем Chrome, радуемся.

Полный список директив для настройки можно посмотреть здесь. Проверить действующие (активные) в данном сеансе директивы можно проследовав по служебному URL-у "chrome://policy/".

Пока всё.

http://klink0v.livejournal.com/418256.html

хорошоплохо (никто еще не проголосовал)
Loading...Loading...

Почувствуй себя датацентром. Еще один вариант пассивного заработка

Если кому интересно - мой финансовый эксперимент продолжается, как только исполнится год - выведу, подсчитаю потери на комиссиях и отчитаюсь.
Давеча нашел тут интересное. "Сдай свой жесткач в аренду". В принципе есть ничем не занятая Raspberry и лишний винт на 250 Гб - так что почему бы и не попробовать захостить часть их облака. По результатам опять таки отчитаюсь. Не переключайтесь.

http://mike-lambert.livejournal.com/271750.html

хорошоплохо (никто еще не проголосовал)
Loading...Loading...

Груздь

http://colorizator.livejournal.com/480966.html

хорошоплохо (никто еще не проголосовал)
Loading...Loading...

Часто ошибаетесь, набирая слова в командной строке?

Эта программа поможет их подправить: https://github.com/nvbn/thefuck

Причём не только в линуксе, а ещё и в macOS..

Оригинал этой записи в личном блоге.

(comment count unavailable | Комментировать в Dreamwidth)

http://dil.livejournal.com/1526484.html

хорошоплохо (никто еще не проголосовал)
Loading...Loading...

Помодничал

(с) Кто хиппует, тот поймёт.

Решил поддастся моде, установил на диск xfs. Через 48 часов файловая система пошла по бороде. Вернулся на старый добрый ext4.

http://iadminko.livejournal.com/939080.html

хорошоплохо (никто еще не проголосовал)
Loading...Loading...

Тест Logjam`а

Logjam -- ещё одна полезная для блоггерского хозяйства программка.

Обслуживает, правда, только блоги и сервисы на базе движка Livejournal, зато всерьёз -- можно ввести любой адрес, а не только livejournal.com.

Из ограничений -- очень своеобразный интерфейс: по сути, только текстовое поле, в которое вводится текст с html-разметкой; кнопки для форматирования текста отсутствуют.

Чтобы оформить текст, нужно его выделить, а затем из меню "HTML" выбрать нужное оформление -- жирное, курсив, подчёркнутое, перечёркнутое, выделенное(сейчас узнаем, что это такое), моноширинный; выбрать стили заголовков и тому подобное.
Картинки вставляются с помощью меню "Вставить" -- и увы, их предпросмотр недоступен.

Пост можно сохранить как черновик или как запись; впрочем, для того, чтобы без особых проблем перепостить его на другую блоговую площадку, работающую на отличном от livejournal движке,
достаточно и того, что после отправления записи на сервер окно программы НЕ закрывается -- и его можно спокойно скопировать в другое окно.

(Например, в окно программы Blogilo -- как раз хорошо приспособленное для постинга на платформы на движке WordPress и некоторые другие -- кроме него заявлены

Blogger 1.0 ; MetaWeblog ; Movable Type и Blogspot.com)

Однако возвращаемся к описанию Logjam`а.

Кроме того, программа позволяет менять пользователя -- это означает, что внутри ЖЖ вы можете постить как в свой журнал, так и во все сообщества, в которых состоите;
а кроме того, переключаться между Livejournal.com и, например, Dreamwidth.org.

И если у вас на какой-то из площадок не один журнал -- постить в любой из них, разумеется, при условии, что вы настроили все учётные записи.

Есть возможность менять картинки, настраивать доступность комментирования, просмотра комментариев и самой записи.

Разумеется, кроме картинок можно вставлять и ссылки, и в принципе любой html-код -- только с ограничениями просмотра; вставлять опросы, кнопки репостов и кат.

В общем, рекомендую.

Копия: http://rex-lockheart.dreamwidth.org/624922.html

http://rex-lockheart.livejournal.com/785749.html

хорошоплохо (никто еще не проголосовал)
Loading...Loading...

Китайская рулежка

Внезапно после долгого гугленья оказывается, что самые нормальные модули для IoT делаются китайцами из китайских чипсетов. Внезапно, блеать - MTK. LinkIt 7688 и его производные на SoC MT7688.

  • 580 МГц чип.
  • 32 Мб флэша и 128 Мб RAM
  • Свеженький OpenWRT 15.05 Chaos Calmer
  • Поддержка Arduino, python, node.js из коробки
  • Куча периферии, вкомпиленной в ядро
  • Официальные SDK и регулярные апдейты

На Atheros AR9331 же одно унылое говно - OpenWRT старый, флэша в лучшем случае 16 Мб (питон и уж тем более нода не лезет), где брать апдейты - х его з, памяти всего 64, тактовая - 400 МГц. Радость одна - можно прошить Linino и баловаться Yun-ом.

Зачем эта вся ебала нужна в IoT-е - потом напишу отдельный псто. 

http://mike-lambert.livejournal.com/262590.html

хорошоплохо (никто еще не проголосовал)
Loading...Loading...

Казалось бы, такая простая вещь…

…как копирование структуры разделов в Linux, может обернуться небольшой проблемой, если используется GPT.

Очень многие утилиты поддержки GPT не имеют, в виду своей древности. Обычно применяемый для этой цели sfdisk не работает, например.

Решается так:

sgdisk /dev/sdX -R /dev/sdY
sgdisk -G /dev/sdY

Где sdX откуда берём структуру, а sdY куда. Если необходимо сменить GUID для разделов на рандомные, то используем ключ G.

http://techquisitor.livejournal.com/313186.html

хорошоплохо (никто еще не проголосовал)
Loading...Loading...

О Скайпе, Токсе, и о мне, вредном до невозможности

Хм, уже довелось услышать, что это я такой капризный гад, ухожу с офигенно удобного для всех скайпа и принуждаю знакомых ставить "этот ваш Токс".

Что ж, давайте разбираться.

На Линукс я переходил совершенно сознательно, ибо выверты Майкрософт и прочих проприетарщиков достали.
Реклама, спам, вымагательство денег на каждом шагу, запреты на просмотр видео в вашем регионе...

Не говоря о вирусах, глюках и всём прочем.

ЗА-ДОЛ-БА-ЛО!

Макось, о которой у меня  некоторое время были весьма романтичные представления -- а именно, пока не познакомился с ней поближе, также прошу не предлагать.

Мало того, что безумно дорого, так ещё и неудобно -- во всяком случае, она оказалась гораздо менее удобной для меня, чем беслатный Линукс с КДЕ.  Ну, и плюс многие те же выверты, что и у Самой Великой Операционной Системы от Майкрософт.

Планшеты и смартфоны, независимо от брендов, не устраивают, так как для чтения предпочитаю большой экран, для телефонных звонков -- нормальный мобильник, а для работы с графикой эти девайсы не подходят по определению. Да и писать на экранной клавиатуре неудобно.

Итак, остаётся обычный компьютер с Линуксом.

На данный момент по независящим от меня причинам мне доступны только довольно старые, 32-битные компьютеры. 

Таким образом отпадают: Читать далее »

хорошоплохо (никто еще не проголосовал)
Loading...Loading...

Удаленный доступ к Orange PI через Интернет

Периодически задумываюсь об организации удаленного доступа к апельсинке через Интернет. Сложность ситуации заключается в том что провайдеры все чаще выдают пользователям "серые" динамические IP адреса. Как следствие - нет возможности использовать сервисы динамического DNS наподобие DynDNS, NoIP, и.т.д
Да и делать проброс портов на маршрутизаторе муторно, небезопасно, а иногда и вовсе невозможно. К тому же в этом случае управляемому устройству необходимо назначать статический IP адрес. Есть способ лучше - подключаем устройство к Интернету и создаём связь через промежуточный сервер. На прошедших выходных я протестировал работу сервиса Weaved

Weaved Logo.png
Читать далее »

хорошоплохо (никто еще не проголосовал)
Loading...Loading...