Vánoční RoboDoupě bude 6.12. proto sledujte web a fórum, kde se dozvíte podrobnosti.

Místo konání: MFF UK, kampus Troja, pavilon N („Impakt“), 2. patro, Laboratoř robotiky.Adresa: V Holešovičkách 2, Praha 8 (zastávka MHD Kuchyňka; auto lze zaparkovat podle mapy tady)1.

Program:

10:00 – 10:15   Slovo úvodem… 10:15 – 11:00   Nesourodé povídání o [...]

Poměrně bez povšimnutí v mé bublině proběhla zpráva o obřím výzkumu mezi dětmi a já si myslím, že by

Příspěvek AI, agrese a děti on-line: Šokující data z výzkumu mezi 53 tisíci českými žáky pochází z Spajkovo postřehy z kyberprostoru 👾

 Ahoj kolegové, radioamatéři,

s lítostí vám oznamuji smutnou zprávu. 15. listopadu  2025  zemřel ve věku 81 let náš kamarád, radioamatér

Josef Suda, OK1IJS. 

Josef byl dlouhé roky předseda klatovského radioklubu OK1KCY. 

Poslední rozloučení proběhlo  v klatovském arciděkanském kostele Narození Pany Marie. 

JOSEF SUDA

Josef Suda se narodil 25. srpna 1944 v Němčicích u Předslavi jako mladší ze dvou synů. Jeho rodiče byli drobní zemědělci a jeho otec sloužil také v Němčicích jako kostelník. Absolvoval Střední průmyslovou školu elektrotechnickou v Plzni. V roce 1975 se oženil s Ilonkou Majerovou. Novomanželé se poté přestěhovali do Klatov, prožili spolu celých následujících 50 let a měli syna Richarda.

Většinu života pracoval v klatovské Škodovce jako elektro projektant pro výrobu elektrických vysokých pecí, několik let před odchodem do důchodu pracoval také ve firmě K&H Kinetic, která stavěla čističky odpadních vod. Byl aktivním členem klatovské i němčické farnosti. Jeho hlavní koníčky byly radioamatérství, focení a cestování, byl oldskaut, angažoval se také v Sokole, v Přátelích české historie a ve Spolku na záchranu němčických varhan.

 

Na konci srpna skončil první ročník mezinárodní výzvy Wiki Loves Film, pořádané spolkem Wikimedia Česká republika. Jejím cílem bylo doplnit a rozšířit filmová hesla na Wikipedii napříč zeměmi střední a východní Evropy. Navázala na mikro-soutěž Filmy na Wikipedii z roku 2024 a díky podpoře Wikimedia CEE Hubu pokryla region od Aše až k Černému moři. Editorky a editoři ze šesti zemí vytvořili 404 nových článků a přes 1 000 stránek dále rozšířili či upravili.

Jak výzva a soutěž dopadla?

Wiki Loves Film navázala na předchozí mikro-soutěž Filmy na Wikipedii, která probíhala v roce 2024 pouze na české Wikipedii. V roce 2025 se výzva rozšířila na země střední a východní Evropy, tedy do celkem 28 zemí. Do úvodní fáze se zapojili účastníci a účastnice ze šesti z nich. Některé komunity však projevily mimořádnou aktivitu a rychle se dostaly na vrchol žebříčku – nejvýrazněji Rumunsko, kam také směřovala většina cen od našich partnerů.

V celé výzvě v regionu CEE se aktivně zapojilo 59 účastnic a účastníků ze šesti zemí. Společně vytvořili 404 nových článků v sedmi jazykových verzích Wikipedie a upravili 1 056 stránek, což představuje celkem 1 416 editací. Zapojila se také fotografická část výzvy – 10 autorů a autorek nahrálo dohromady 448 fotografií.

Nejvíce editací proběhlo na české Wikipedii (767), následovala rumunská (599), polská (37) a makedonská (27). Mezi zajímavosti, které letos nemohly být zařazeny do soutěže, patří například rozšíření článku Film na uzbecké Wikipedii od uživatele Panpanchik.

„Velmi mě těší, že jsme letos výzvu pojali mezinárodně a zapojili do ní také CEE Hub, u jehož zrodu jsem stála a jehož aktivity považuji pro region i celé hnutí za důležité. Mám radost i z toho, že nevznikají pouze hesla o významných světových osobnostech, ale také o mladých tvůrcích a tvůrkyních, jako je Monika Omerzu Midriaková. Zvlášť mě pak těší, že se do letošní výzvy zapojila i řada mladých editorů a editorek – přinášejí novou energii a perspektivu, která je pro budoucnost Wikipedie nepostradatelná,“ říká výkonná ředitelka Wikimedia ČR Klára Joklová.

Smysl mezinárodní soutěže

„Mezinárodní soutěž Wiki Loves Film jsme se rozhodli uspořádat proto, že film je univerzálním jazykem a uměním, kterému rozumí a mají jej rádi wikipedisté a wikipedistky z celého světa. A to se nám potvrdilo,“ říká Pavel Bednařík, hlavní lektor Wikimedia Česká republika a iniciátor soutěže. „Dalším důvodem byla skutečnost, že se tak propojuje má odborná kvalifikace, moje posedlost a má práce jako hlavního lektora,“ dodává.

Propojení jednotlivých zemí regionu CEE neznamenalo jen paralelní editování článků v různých jazykových verzích Wikipedie. Vedle vzniku mezinárodního seznamu významných článků se editoři a editorky vzájemně inspirovali a vyhledávali témata z dalších evropských kinematografií.

Publicitu české kinematografii například výrazně podpořili polští kolegové, kteří zveřejnili článek motivující polskou komunitu k zapojení do výzvy. Z polské komunity se nejaktivněji zapojili wikipedisté Ironupiwada a Damian Kujawa. První z nich vytvořil na polské Wikipedii mimo jiné dvě klíčová hesla: jedno věnované českému Národnímu filmovému archivu (Czeskie Narodowe Archiwum Filmowe) a druhé dokumentaristovi a ikoně českého dokumentu Karlu Vachkovi. Zároveň rozšířil také článek o mezinárodní osobnosti s českým původem, Alexandru Hackenschmiedovi.

Jak už bylo uvedeno výše, velkou část editací, nových článků i fotografií měli na svědomí wikipedisté a wikipedistky z rumunské komunity. Ti ve spolupráci s Wikimedia Romania připravili samostatnou stránku k výzvě a zajistili také peněžité odměny pro soutěžící. V hlavní soutěži však byli účastníci a účastnice ze všech zemí odměněni rovnocenně.

Výsledky mezinárodní CEE soutěže naleznete zde:

1. Ironupiwada (Poland)
2. AlessioRO (Romania)
3. Elena Ancu Damian (Romania)
4. Oly23lid (Romania)
5. StanDG80 (Romania)
6. ToniSant (Malta)
7. Valivia.M (Romania)

Soutěž vznikla díky mikrograntu Wikimedia CEE Hubu. Děkujeme.

Co přibylo na české Wikipedii?

Nejvýraznější účast ve výzvě byla pochopitelně započítána z České republiky. Na české Wikipedii se zapojilo 37 účastníků a účastnic, kteří upravili 713 stránek a dalších několik desítek článků vytvořili.

Záběr nových českých článků vzniklých během výzvy je velmi pestrý. Nové heslo má například polský herec Daniel Olbrychski, dánský režisér Nicolas Winding Refn (Dealer 1, 2, 3, Neon Demon, seriál Kodaňský kovboj) nebo nedávno zesnulý polský dokumentarista Marcel Łoziński. Nová hesla získaly i další legendy světové kinematografie, litevský průkopník animace Ladislav Starevič nebo významný francouzský režisér Jules Dassin (Rvačka mezi chlapy). Samostatný nový článek má také fenomén trezorový film.

Mezi české vítěze domácí soutěže a oceněné patří následující wikipedisté:

• Karelkam
• Hadonos
• Regi Novo
• Meloun1212
• Bazi
• Kurkic5
• Jklamo
• ZSsen

Všem děkujeme za zapojení do soutěže!

Akce a zapojení partnerů

Doprovodnou mezinárodní akcí výzvy byl online editaton CEE Hubu, který proběhl v pondělí 18. srpna 2025 od 16:00. Zapojilo se do něj více než 15 účastnic a účastníků, včetně silné uzbecké komunity, která zároveň deklarovala zájem zapojit se do příštího ročníku ještě výrazněji a aktivněji. Součástí editatonu byl i vědomostní kvíz, který program zpestřil a propojil online i osobní účast na akci.

Na editaton navázala druhý den 19. srpna procházka po pražských kinech, kterou zajistil partner výzvy Edison Filmhub, a které se účastnilo na dvě desítky účastníků. Wikipedisté a wikipedistky během ní pořídili řadu fotografií, které poté v rámci výzvy nahráli na svobodné uložiště Wikimedia Commons. Po prohlídce proběhla projekce nového dokumentu distributora Film Europe (navázaný na Edison Filmhub) Bratři Lumiérové: dobrodružství pokračuje, kam měli účastníci výzvy vstup zdarma.

Zapojení festivalů se neomezilo pouze na dva české – Mezinárodní filmový festival Karlovy Vary a Letní filmovou školu v Uherském Hradišti. Do výzvy přispěli také účastníci a účastnice s fotografiemi z festivalů MakeDox a Manaki Brothers v Severní Makedonii.

Výhled do dalšího ročníku

První mezinárodní ročník Wiki Loves Film ukázal, že filmová témata spojují wikipedistky a wikipedisty napříč celým regionem CEE. Výzva přinesla desítky nových kontaktů, rozšířila komunitní spolupráci a podpořila vznik rozsáhlého množství nového i rozšířeného obsahu o filmu.

Věříme, že energie, která během výzvy vznikla, bude pokračovat i dál – a že se v příštím roce zapojí ještě více lidí, zemí i partnerských organizací z hnutí Wikimedia. Výsledky výzvy jsou zveřejněny na stránce Wiki Loves Film. Všem účastnicím a účastníkům děkujeme za jejich práci a oceněným gratulujeme!

Čínský výrobce 3D tiskáren Bambu Lab představil koncept výměny nástrojů - toolkitů a zároveň i novou tiskárnu - H2S, Creality zase K2 Pro, Snapmaker boduje na kickstarter, Josef Průša kontroval fotografií části 3D tiskárny s názvem Core One a (nejspíše) vyměnitelnými toolkity s označením T0 až T6 (T jako toolkit?). Souboj zajímavější než zápas Sparta vs. Slavia, Baník, Plzeň a Jablonec.

📖 Přečíst celý článek →

„Náš výzkum směřuje směrem k biomateriálům, jako jsou různé bioaktivní implantáty. Potom jsou to součástky do high-tech přístrojů. Dokážeme tisknout ve velkém rozlišení, velmi přesně a velmi komplikované tvary. Je to metoda, která slouží k výrobě malých keramických součástek, které můžou být velmi drahé.“

Každý, kdo byl někdy u zubaře pro keramickou korunku asi ví, jak drahá je to záležitost. Co kdyby se ale pomocí 3D technologie tiskly i další součásti lidského těla? Keramika už dnes totiž nepatří jen na hrnčířský kruh do rukou šikovného řemeslníka, poslední měsíce si s ní hrají v laboratořích i vědci z CEITEC VUT. Do medové tekutiny přimíchávají keramický prášek, z kterého pak na 3D tiskárně vznikají například součástky do elektronových mikroskopů. Vytiskneme si třeba ušák na čaj? Jaké jsou nevýhody keramického tisku? A proč se na výrobek čeká i týden? Nejen o tom v podcastu mluvil Přemysl Šťastný z projektu 4Slurries.

Žil byl, nebo tedy právě spíš nebyl, jednou jeden timeout (ono jich vlastně nakonec chybělo dokonce víc). Stalo se to už před nějakou dobou, tak snad je to částečně odžité. Na testovacím prostředí všechno vyzkoušené a krásně funguje. Z produkce jsou hlášené divné chyby, které postupně vedly až ke zhroucení komponenty. Dlouho se mi nedařilo bug reprodukovat natož odhalit příčinu. Nakonec jsme na to samozřejmě přišli, proto si zapisuju poučení. Stejně jako v případě leteckých havárií, se sešlo víc věcí najednou.

Expozice

Java backend provolával službu třetí strany přes REST API. Daná servisní metoda běžela úmyslně v databázové transakci i s vědomím, že REST volání může trvání neúměrně prodloužit. Nicméně konzistence dat byla v tomto případě naprosto klíčová. Tak klíčová, že bylo dokonce nezbytné použít pesimistické zamykání databáze.

Co by se asi tak mohlo pokazit

Tak já vám povím, co by se asi tak mohlo pokazit.

Upřímně, vůbec nemám rád aplikační servery, ale jednu věc jim nemůžu upřít. Mívaly výchozí nastavení timeoutu databázové transakce. Spring má výchozí timeout -1, tedy nekonečno.

PostgreSQL nepodporuje lock na úrovni statementu a tudíž nefunguje Hibernate JPA hint spring.jpa.properties.jakarta.persistence.lock.timeout. Můžete to nastavit globálně pro celou databázi pomocí ALTER DATABASE powerauth SET lock_timeout=10000;, ale jednak to musíte vědět a jednak na to nesmíte zapomenout.

Spring WebClient postavený na Reactoru nenastavuje response timeout, výchozí hodnota je nekonečno.

Takže se to pokazilo

Nepřekvapivě tedy zásek na volání REST API vyžral celý db connection pool. Když se něco může pokazit, tak se to zaručeně pokazí, a je naší zodpovědností to ošetřit. Byla to tedy naše chyba, že jsme správně nastavili všechny timeouty. To přišlo opravit. Ale proč situace nastávala opakovaně?

Co se vlastně pokazilo

Služba třetí strany běžela za Azure Load Balancerem, který ukončoval idle TCP connection po čtyřech minutách. K čemu tedy došlo na produkci jinému než při testu?

Provolá se REST API, naváže se nové TCP spojení, odbaví se request, a spojení se vrátí do poolu. Má se znovu provolat REST API, vyzvedne se spojení z poolu, které nikdo víc jak čtyři minut nepoužil. Spojení je vadné, ale pool se mylně domnívá, že je stále živé. K naší smůle není nastavený timeout. Tady se dostávám na tenký led síťování, kterému nerozumím. Spojení pravděpodobně nevypadlo z poolu, protože nebyl zapnutý TCP reset, ale i kdyby byl, tak na něj stejně nemůžeme spoléhat. Nabízí se ladit keepAlive, ale to nechávám zvídavému čtenáři k nastudování,

Závěr

Spring Boot není jediný a nebyl ani první, kdo razí přístup convention over configuration a kdo přináší smysluplné výchozí hodnoty. Tedy neměň, co nepotřebuješ. Když není důvod něco specificky nastavovat, tak spoléhám na výchozí hodnoty. Ale některé výchozí hodnoty jsou méně či více nebezpečné a je bezpodmínečně nutné vědět, co člověk dělá.

Související

• Baeldung - Set a Timeout in Spring WebClient
• Stack Overflow - How to set lock timeout in postgres - Hibernate
• javax.persistence.lock.timeout does not fully work with PostgreSQL
• Azure - Load Balancer TCP Reset and Idle Timeout

Uběhl měsíc od vydání Fedory 43, což znamená, že končí třináctiměsíční podpora Fedory 41. K dnešku tak toto vydání přestává dostávat aktualizace včetně těch bezpečnostních a pokud jej stále používáte, měli byste co nejdříve přejít na novější. Fedora 42 bude podporovaná dalšího půl roku a Fedora 43 celý rok.

Celková délka podpory Fedory 41 trvala 393 dní, během kterých se do ní dostalo 31799 aktualizací, z nichž 870 bylo bezpečnostních.

Potřeboval jsem zvětšit jeden oddíl na NVMe, jenže za ním byly systémové oddíly Windows, konkrétně oddíly pro UEFI Boot a System Recovery. Hledal jsem program pro přesun těchto oddílů ke konci disku, abych mohl zvětšit datový oddíl. Zvětšení nebo zmenšení oddílů umí Windows už dlouho a mají na to vlastní nástroj “Create and format disk partitions”. Jenže ten neumí posunout oddíly. K tomu mi vždy sloužil placený Partition manager, teď jsem našel alternativu zadarmo.

Našel jsem program NIUBI Disk Editor, který je v základní verzi dostupný zdarma.

Myslel jsem, že mi AI ušetří práci. Ona ji ale zdvojnásobila. A vznikl z toho adventní kalendář AI výzev Pavel Hodál 25. 11. 2025

Na portálu Root.cz byl dnes publikován můj nový příspěvek do seriálu Postřehy z bezpečnosti, v němž se podíváme na integraci nástroje Sysmon do Windows, zdarma poskytované modely hrozeb nebo překvapivé důvody pro generování zranitelného kódu ze strany velkých jazykových modelů…

Pořídil jsem si nový stolní počítač. Dělám to maximálně jednou za dekádu, takže je to pro mě velká věc, o které jsem se musel rozepsal i na blogu. :)

Dnes vyšel můj nový příspěvek na stránkách SANS Internet Storm Center. Podíváme se v něm na phishingovou stránku, v níž bylo - zřejmě v zájmu obfuskce - využito velké množství zbytného CSS kódu…

Short version: I wanted to write more, but my friend said “TL;DR”.

Many people asked me about the postmarketOS ban I've been given, so here we go.

What was I accused of?

On 10.11.2025 I received an email that the postmarketOS team had received CoC reports that they would like to discuss over Jitsi.

13.11.2025 ‒ The Call

After a short introduction I was told that the reason for the call was:

1. I used the wrong pronouns.
2. The COVID thing.
3. I promoted AI within the postmarketOS channels.

The CoC process

I had the feeling that the CoC should be more neutral. The process felt like:

Hey, here's the ban, goodbye.

No evidence was presented to me.

Enforcement completely skipped

1. Correction
2. Warning

and we went directly to the

3. Temporary ban.

See: postmarketOS Code of Conduct page

Hopefully, the upcoming CoC training mentioned in the news will yield some results:

The team approved a new entry to the budget of 1800€ for Code of Conduct enforcement training.

What I did

Pronouns

Yes. On 4 March 2025, in a conversation with my friend (now ex-friend), I used the wrong pronouns when I was speaking about a other friend in a private conversation.

This conversation was later screenshotted by my ex-friend and given to the friend I was speaking about, including the part where, after writing the wrong pronouns, I said I don't care much about pronouns.

Guilty. Yes.

After a long time, on August 31, I was told by my friend in question that they didn't feel comfortable working with me.

I tried to explain my attitude and ensure there was enough of respect towards my friend identity, but the conversation ended with my friend still not being comfortable to continue working with me.

Well, if you can’t fix things online, why not try offline? There are events where you can meet people.

I tried to address the issue also in person at an event, where we sat for about an hour, accepted mediation from another community member, and then another 3–4 people later joined. I presented my views and listened to my friend about the topic. I felt like we were moving forward, as we started speaking again.

Here I understood that some members of communities really consider pronouns very important.

Another event was a bit quiet, as it directly followed the previous one in a different location and we were both very tired, but there were no major changes.

COVID

COVID divided Czechia, where I live, quite a lot: many opinions, vaxxers, anti-vaxxers, etc. etc. I honestly cannot remember what this was about. I was told that someone dislikes me because of something related to COVID already about 2 years ago, but no one told me who and why exactly.

Since COVID I have personally been keeping my opinions on politics, health issues, and lifestyle to myself and sharing them only with my close friends.

AI

Yes, I used AI to review my code, and honestly it spotted a mistake I made in my C-PHY patches approx. year ago. The broken code was pulled into postmarketOS and no one noticed until AI gave me a hint.

I understand a policy where a project doesn't like people shouting nonsense about AI in their channels. I respect that. On the other hand…

Taking away the freedom to speak openly about today’s relevant topics (putting aside whether AI is good or bad) feels oppressive and not aligned with Free and Open Source values.

In the future, I'll most likely adhere to the Linux kernel AI/LLM recommendations and rules, though I'll definitely avoid speaking about AI in any postmarketOS channel to avoid upsetting people.

Excerpt from the last paragraph of the policy (hard to be found):

postmarketOS Contributing and AI page

The rules

Was my effort enough? Maybe not for the postmarketOS project. Hopefully, they will clarify in the future what is important and make the rules clearer, so situations like my ban can be avoided.

Wrapping up

People are more than a few letters to me. Doesn't matter if it's pronouns, university title, or anything which we will see in the future before or after the name. We cannot reduce human complexity to a few simple rules. We need to use social intelligence (which is much harder to apply in the online world, where we only see text, without emotions and human expressions).

I think real life is much easier to navigate than the online world, as we can feel others better and react to their needs and expressed feelings.

What do you think?

Výpadok Cloudflare z 18. novembra 2025 spôsobil, že množstvo webov a služieb zostalo na niekoľko hodín nedostupných. V reakcii na to sa viacerí správcovia rozhodli pre rýchle riešenie – vypnúť proxy a publikovať origin servery priamo. Technicky to fungovalo. Z biznisového hľadiska to pomohlo. Z bezpečnostného pohľadu je to však rozhodnutie s dlhodobými dôsledkami.

Táto situácia otvára diskusiu, ktorá je v bezpečnostnej komunite známa, no často podceňovaná:

Čo je menšie riziko – dočasný výpadok, alebo trvalé odhalenie origin IP adries?

Keď sa origin raz odhalí, nie je to možné vrátiť späť

Origin IP je verejná IP adresa skutočného servera, na ktorom beží web alebo aplikácia – teda „zdrojový“ server, ku ktorému by inak priamo smeroval všetok traffic.

Pri používaní CDN alebo proxy služieb, ako je Cloudflare, sa origin IP schová za ich infraštruktúru, takže používatelia komunikujú s Cloudflare a nie priamo s týmto serverom.

Inak povedané: Cloudflare ťa chráni len dovtedy, kým nikto nevie, kam útočiť priamo.

Akonáhle je však origin IP adresa verejná:

• uložená v DNS logoch resolverov
• zachytená monitoringom veľkých poskytovateľov
• zverejnená náhodnými ľuďmi
• scrapnutá botmi, ktoré automaticky sledujú zmeny DNS
• uložená v Shodane, Censuse, RiskIQ a podobných scaneroch
• rozšírená screenshotmi a tweetmi

Cloudflare môže byť po čase opäť v prevádzke, ale origin IP zostáva uniknutá. Táto informácia sa nedá „odverejniť“ a pretrváva aj po návrate do bežného režimu.

Je to ako poslať e-mail: už ho nezmažeš.

Prečo je to problém aj po obnovení Cloudflare?

Ešte raz. Cloudflare dokáže chrániť origin len vtedy, keď útočník nepozná jeho adresu.

Ak má origin IP k dispozícii, môže spustiť:

• priame L3/L4 DDoS útoky
• zahltenie linky alebo firewallu na strane hostingu
• útoky mimo siete Cloudflare, ktoré tento už nemá ako filtrovať

Inými slovami: poznať origin IP znamená mať alternatívnu útočnú cestu, ktorú Cloudflare nevie blokovať.

Dá sa tomu vyhnúť? Áno, ale v praxi to nie je bežné

Z technického hľadiska je správny postup jasný: po obnovení Cloudflare je možné znova obmedziť prístup na origin tak, aby ho prijímal len z IP rozsahov Cloudflare.

Organizácia, ktorá má:

• správne nakonfigurovaný perimeter firewall
• striktne nastavené allowlisty Cloudflare IP
• kontrolovaný a auditovaný postup návratu do pôvodnej konfigurácie

…môže fallback zabezpečiť bez dlhodobých rizík.

Problém je, že takto nastavená infraštruktúra je skôr výnimkou než pravidlom.

Odhad podľa praxe

• Enterprise, banky, telco – 60 až 80 percent správne nakonfigurovaných origin firewallov
• Stredné firmy, e-shopy, SaaS – 15 až 30 percent
• Malé projekty, VPS hostingy – 1 až 10 percent

Príčiny výpadku Cloudflare podľa oficiálneho reportu

Podľa Cloudflare začal incident 18. novembra 2025 o 11:20 UTC, keď interná zmena práv v databáze spôsobila, že systém pre Bot Management vygeneroval poškodený a veľmi rozsiahly „feature file“. Ten prekročil limity proxy infraštruktúry a vyvolal zlyhania, ktoré sa následne reťazili naprieč sieťou.

Následkom boli masívne 5xx chyby a narušená prevádzka veľkej časti služieb. Odstraňovanie problému začalo približne o 14:30 UTC a úplná normalizácia bola dosiahnutá o 17:06 UTC. Podľa Cloudflare išlo o ich najzávažnejší výpadok od 2019.

Incident ukazuje, že aj veľmi robustné infraštruktúry môžu zlyhať na zdanlivo vnútornej, neškodnej zmene. A že je dôležité mať plán B – ale zároveň musí ísť o plán B, ktorý neoslabí bezpečnosť.

Dôležitý faktor: trvanie výpadku nikdy nie je možné poznať dopredu

Správcovia v čase výpadku nevedeli, či potrvá:

• niekoľko minút
• hodinu
• niekoľko hodín
• alebo viac než deň

Táto neistota je prirodzená. Cloudflare a iní veľkí provideri síce komunikujú situáciu, ale interné technické príčiny a odhad doby obnovy nie je možné okamžite sprístupniť verejnosti.

V tejto neistote robia organizácie rozhodnutia, ktoré majú okamžitý pozitívny efekt – no ich dlhodobé dôsledky sú často horšie než samotný výpadok.

Aj preto je dôležité mať pripravený bezpečný fallback vopred, nie až počas incidentu.

Legislatíva a smernice: kde môže vzniknúť problém

Samotné zverejnenie IP adresy zväčša nie je porušením zákona. Avšak v regulovaných sektoroch, ako sú banky, zdravotníctvo alebo kritická infraštruktúra, môže byť:

• vypnutie DDoS ochrany
• publikovanie infraštruktúrnych údajov
• zmena v DNS mimo schváleného procesu
• zásah bez analýzy rizík

posúdené ako porušenie interných bezpečnostných smerníc, NIS2 povinností alebo napríklad PCI-DSS pravidiel.

Mnohé organizácie majú priamo zakázané:

• vypínať bezpečnostné vrstvy počas incidentov
• meniť DNS bez schváleného procesu
• odhaľovať interné IP rozsahy
• obchádzať perimeter firewall

Z tohto pohľadu môže byť reakcia typu „prepni to na origin“ v rozpore s auditnými požiadavkami.

Výpadok vs. bezpečnostné riziko: ktorý problém je väčší?

Krátkodobý výpadok

– nepríjemný

– zasiahne používateľov

– poškodenie trvá len počas incidentu

Odhalený origin

– posúva riziko do budúcnosti

– mení útočný model natrvalo

– môže vyústiť do DDoS útoku o mesiac, o rok alebo kedykoľvek

– oprava si vyžaduje zmenu IP alebo migráciu originu

Najväčší rozdiel je v charaktere rizika: Výpadok je dočasný. Odhalenie IP je trvalé.

Po výpadku: Bez nápravy

Samozrejme, takáto situácia sa nedeje každý deň. Pre ilustráciu - počas výpadku som si uložil origin IP viacerých spravodajských webov, komerčných projektov a veľkých ecommerce hráčov. Všetci už opäť fungujú za Cloudflare a ich origin IP sú napriek tomu stále dostupné priamo z internetu.

Okrem toho sa počas incidentu objavilo aj niekoľko administrátorských a DevOps spoločností, ktoré tento postup propagovali ako „sofistikované záložné riešenie“ a prezentovali ho s istou dávkou hrdosti.

Odporúčania pre správcov

1. Overte, či váš origin neprijíma priame požiadavky mimo Cloudflare.
2. Nastavte perimeter firewall tak, aby povoľoval len Cloudflare IP rozsahy.
3. Vypracujte plán fallbacku a plán následného návratu do pôvodného režimu.
4. Po incidente vykonajte kontrolu DNS a firewallu, aby origin nezostal nechtiac otvorený.
5. V regulovaných sektoroch posúďte dopad na compliance.
6. Pravidelne auditujte architektúru a testujte incident response scenáre.

Záver

Výpadky infraštruktúry veľkých poskytovateľov sa budú opakovať. Je rozumné byť na ne pripravený. Rovnako dôležité je však mať architektúru, ktorá umožní reagovať bez toho, aby sme sa stali budúcim cieľom útoku.

V neděli 12. října 2025 se v pražské kanceláři spolku uskutečnila řádná Valná hromada spolku Wikimedia Česká republika. Členky a členové spolku během ní schválili výroční zprávu Revizní komise, projednali návrhy na změny organizačních pravidel a především zvolili nové vedení spolku pro další funkční období.

Předsedou spolku byl zvolen Martin Urbanec, který navázal na své předchozí působení v Radě. Dalšími řádnými členy Rady se stali Jan Myšák, Jan Loužek a Jiří Dlouhý. 

Také do Revizní komise byly zvoleny nové posily: Jiří Sedláček, Josef Klamo a Michal Staša.

Nová Rada zasedla poprvé 23. října

Na svém prvním zasedání nová Rada zvolila Jan Myšáka jako místopředsedu a přerozdělila jednotlivým radním oblasti, za které budou zodpovídat.  Zaměstnanecký tým spolku tak i nadále spolupracuje s Radou, která jednotlivé programové i provozní oblasti pokrývá následovně:

• HR: Martin Urbanec 
• Reprezentace spolku: Martin Urbanec 
• Finance: Jan Myšák 
• Právo a legislativa: Martin Urbanec
• Technická oblast a IT: Martin Urbanec
• Administrativa: Martin Urbanec
• Vzdělávací programy: Jan Myšák
• Programy pro komunitu: Jiří Dlouhý
• Programy pro partnerství: Jan Loužek
• PR a fundraising: Jiří Dlouhý
• Mezinárodní spolupráce: Jan Myšák
• Všeobecný kodex chování Nadace Wikimedia (UCoC): Jan Loužek
  

Spolek stojí na lidech. Děkujeme vám.

Děkujeme všem, kdo se aktivně zapojují do života spolku – ať už účastí na Valné hromadě, působením v orgánech spolku, nebo svou každodenní prací na projektech Wikimedia. Vážíme si vaší energie, času i zájmu o společné směřování. Právě díky této podpoře může Wikimedia Česká republika naplňovat své poslání – podporovat svobodné sdílení znalostí a budovat otevřenou komunitu.

Zvláštní poděkování patří členkám a členům dosavadní Rady i Revizní komise za jejich práci a nasazení. Novému vedení přejeme hodně sil a inspirace do dalšího období.

Dnes jsem na YouTube publikoval následující krátké video věnované základním možnostem použití nástroje MITRE ATT&CK® Navigator, který je dobře využitelný mj. pro taktické modelování kybernetických hrozeb nebo evidenci detekčních scénářů implementovaných v SIEM.

Zájemcům o detailnější informace k možnostem použití rámce MITRE ATT&CK a/nebo k problematice modelování hrozeb doporučuji zvážit účast na školeních Taktiky, techniky a postupy škodlivých aktérů v praxi a Modelování hrozeb prakticky.

Lab401 představuje svůj TermDriver 2, zařízení, které zjednodušuje ladění a komnuikace mezi zařízeními, aniž byste museli mít připojený počítač. Na vestavěném LCD displeji přímo vidíte real-time komunikaci – žádný externí monitor, počítač nebo software. TermDriver 2 navíc můžete rozšířit o dekódování I2C a SPI sběrnice.

📖 Přečíst celý článek →

Soutěž Československo 2025 běží na české Wikipedii a Wikimedia Commons a zve všechny, kdo mají blízko k historii, aby doplnili chybějící osobnosti, události i každodenní příběhy éry Československa. Už přes 20 editorek a editorů vytvořilo nebo rozšířilo více než 100 článků a zapojit se může každý – psaním hesel i nahráváním dobových fotografií. V rámci soutěže zveřejňujeme také speciální díl podcastu Přepište dějiny, který vznikl ve spolupráci s Wikimedia ČR a věnuje se roli Wikipedie v utváření historické paměti. Editaton městská doprava v Praze v době Československa se koná 26. listopadu.

Oslavte 17. listopad rozšířením Wikipedie

Výzva Československo 2025 běží na české Wikipedii a Wikimedia Commons od 28. října do 10. prosince a zve každého, kdo má vztah k historii, příběhům či místům, aby pomohl doplnit chybějící kapitoly společných dějin. Na Wikipedii stále chybí mnoho osobností, událostí i fenoménů spojených s érou Československa – od významných překladatelek a překladatelů až po témata každodennosti, jako byly budovatelské kulturní jevy nebo ikonické městské tramvaje.

Do soutěže je možné přispívat psaním a rozšiřováním článků, nahráváním dobových fotografií, plakátů či dokumentů na Wikimedia Commons, nebo získáním svolení autorů ke svobodnému zveřejnění snímků. Vítané jsou profesionální i amatérské fotografie – momentky z rodinného alba, snímky sídlišť, průvodů, školních tříd či velkých událostí.

Od zahájení výzvy se zapojilo už přes 20 editorek a editorů a vzniklo či bylo vylepšeno více než 100 článků. Přidejte se také – soutěž je otevřená zkušeným wikipedistkám i úplným nováčkům.

Speciál Přepište dějiny: Přepisuje Wikipedie dějiny?

V rámci výzvy také zveřejňujeme speciální díl podcastu Přepište dějiny, který vznikl ve spolupráci s námi během loňské výzvy Československo. Historici Martin Groman, Michal Stehlík a wikipedista, člen spolku Wikimedia ČR a historik Michal Louč v něm diskutují o tom, jakou roli hraje Wikipedie ve vnímání československé historie a dějin obecně. Řeší, zda může otevřená encyklopedie „přepisovat“ paměť společnosti, jak se tvoří historická vyprávění na Wikipedii a jak otevřenost přispívání ovlivňuje historiografii. Přejeme příjemný poslech!

Editaton městská doprava v Praze v době Československa

Soutěž zároveň připomíná, že do tvorby Wikipedie se může zapojit opravdu kdokoli – zkušené editorky i editoři, studenti a studentky, pamětnice a pamětníci i lidé, kteří přicházejí k editování úplně poprvé. Stačí mít chuť sdílet ověřené informace, řídit se základními pravidly Wikipedie a při ukládání editace přidat hashtag #ceskoslovensko. Zájemci, kteří si nejsou jistí prvními kroky, mohou využít pravidelnou online Wikiporadnu každé pondělí od 18 hodin nebo dorazit na některý z veřejných editatonů. Nejbližší z nich – tematicky zaměřený na městskou dopravu v Praze v době Československa – proběhne ve středu 26. listopadu 2025 v Městské knihovně v Praze ve spolupráci s oddělením Pragensií. Zkušení lektoři a lektorky zde budou k dispozici všem nováčkům a akce bude dostupná také online přes ZOOM, takže se lze připojit odkudkoli. Stačí se pouze registrovat.

Další doprovodná akce:

• Konec srpna v hotelu Ozon – pátek 28. listopadu 2025, 20:30 | Kino Ponrepo, Praha
  Speciální projekce a debata. Pro wikipedistky a wikipedisty, účastnice a účastníky editatonu a výzvy zdarma. Registrace zde.
  

Odměny a výhry

Každá účastnice a každý účastník výzvy Československo 2025 získá virtuální medaili – speciální uživatelské vyznamenání na svém wikipedickém profilu. Prvních sto registrovaných obdrží ikonické ponožky v národních barvách od Klubu Pánů z Ponožkovic, které se staly poznávacím znamením soutěže.

Nejlepší autoři a autorky si navíc odnesou knižní ceny od nakladatelství Historického ústavu AV ČR. Ocenění získají jak zkušené editorky a editoři s nejvyšším počtem kvalitních příspěvků, tak i ti, kteří se do soutěžení zapojí poprvé. Výhry budou udělovány také v losování a ve třech tematických kategoriích, o nichž rozhodne odborná porota.

Ta zpráva poněkud zapadla mezi vším ostatním, co se v PowerPC světě v říjnu stalo, protože novinkové kanály byly plné dění v rámci Amiga 40, nicméně zdá se, že schéma desktopové verze základní desky původem z open-source PowerPC notebooku (=Powerboard Tyche Desktop), bylo dokončeno, prošlo revizí na straně ACube Systems a zhruba od posledního týdne uvedeného měsíce probíhá jeho převod do návrhu zapojení a osazení základní desky. Jakmile bude tato fáze dokončena, dojde k určení ceny a časového rámce výroby hotového produktu.

V rámci návrhu bylo přistoupeno k několika rozhodnutím ohledně použitých komponent. Na desce bude například přítomen samostatný řadič SATA, konkrétně Silicon Image SiI3132 (z nějž umí bootovat například firmware UBoot a je nově podporován i v AmigaOS 4.x) a to i přesto, že zvolený procesor NXP T2080 v sobě již SATA řadič obsahuje. Jeho použití by ale omezilo použití PCIe sběrnice (pokud je aktivní řadič, nelze použít všechny PCIe linky), kterou autoři chtějí nechat v maximální možné konfiguraci pro připojení grafické karty. Na desce dále najdeme SPI sběrnici pro připojení například debugovacího externího LCD, nebo obecné GPIO piny ovládané softwarově.

Finální podoba desky určená pro výrobu by měla být známa do dvou měsíců, tedy zhruba na přelomu současného a příštího roku.

Zdroj:

• https://www.powerpc-notebook.org/2025/10/schematics-of-the-powerboard-tyche-desktop-version-completed-soon-starting-the-pcb-design/

Tak schválně, zda půjde dřív objednat Powerboard Tyche Desktop nebo Mirari. Já už šampiona mám, tak si můžu vsadit.

Ak vo svojich Kubernetes klastroch prevádzkujete Ingress NGINX mali by ste spozornieť. Komunita oznámila, že tento kedysi dominantný Ingress controller bude oficiálne ukončený v roku 2026. Pre mnoho organizácií to môže znamenť celkom zásadnú infraštruktúrnu zmenu.

Ingress NGINX bol bez preháňania ikonou. Riešil problémy, ktoré Kubernetes pôvodne sám nevedel (a ani vlastne nechcel) vyriešiť: termináciu TLS, routovanie HTTP, prácu s hostmi, anotácie, load-balancing. Používať čokoľvek iné bolo celkom náročné a v dokumentácii ťažko dohľadateľné.

Koniec Ingress NGINX nie je prekvapenie

Dôvody ukončenia sú jasné:

• technický dlh, ktorý sa roky hromadil
• komplexný templating NGINXu, ktorý otváral priestor chybám aj bezpečnostným rizikám
• minimálna udržiavateľnosť projektu, ktorý pokope držalo pár ľudí
• Kubernetes potrebuje štandardizáciu

Najväčšou príčinou je však jedna vec - Ingress API je zastarané a Kubernetes potrebuje niečo modernejšie. Preto vznikol Gateway API, ktorý už dnes nahrádza staré Ingress-y a rieši ich najväčšie nedostatky.

Čo pre vás znamená odchod Ingress NGINX

Ingress-NGINX bude do marca 2026 fungovať v režime „best effort“. Po tomto dátume nebude:

• žiadna oficiálna podpora
• žiadne bezpečnostné aktualizácie
• žiadne bugfixy
• žiadne rýchle reakcie na zraniteľnosti

Tento softvér bude rizikovým prvkom infraštruktúry - podobne ako staré nepodporované verzie databáz, OS alebo akéhokoľvek softvéru.

Aké sú reálne alternatívy pre Ingress NGINX?

Trh je bohatý, ale realistických možností je ~5–6. Každá má svoje výhody a cieľové použitie.

1. Gateway API – nový smer Kubernetes sveta

Gateway API nie je controller, ale nový sieťový štandard. Implementuje ho viacero vendorov (Envoy, HAProxy, Traefik…).

Prečo je dôležitý

• moderný, modulárny, stabilný,
• oddeľuje infra vrstvu od aplikačnej,
• minimalizuje vendor-lock,
• eliminuje chaos okolo anotácií,
• podporuje HTTP, TCP, TLS, gRPC, mesh koncepty.

Dlhodobo pôjde o najčistejšiu, najodolnejšiu a najviac podporovanú cestu.

2. Envoy Gateway – moderná náhrada s výkonom a bezpečnosťou

Ak potrebujete robustný L7 routing, je to jeden z najlepších kandidátov.

Výhody:

• stavia na Envoy Proxym (štandard v cloud-native svete)
• natívna podpora HTTP/2, gRPC, mTLS, traffic-splittingu
• veľmi dobrý výkon aj bezpečnostný model
• čistá implementácia Gateway API

Vhodné pre:

• moderné architektúry
• veľké traffic flows
• tímy, ktoré nechcú Ingress „hacky“, ale stabilné riešenie

3. HAProxy Gateway / HAProxy Ingress – rýchlosť a jednoduchosť

HAProxy je legenda v load-balancingu. V prostredí Kubernetes dnes ponúka:

• tradičnú Ingress verziu
• aj Gateway API implementáciu

Výhody:

• extrémny výkon
• nízke latencie
• spoľahlivosť a minimálne zdroje
• dobrý enterprise support

Odporúčané pre:

• heavy traffic
• systémy citlivé na latenciu
• infra, ktorá preferuje jednoduchosť pred L7 kúzlami

4. Traefik – jednoduché, rýchle, populárne

Zameraný na developer experience.

Výhody:

• jednoduché nasadenie
• natívny Let’s Encrypt
• middlewares (rate-limit, auth…)
• podpora Ingress aj Gateway API

Nevýhody:

• menej detailných L7 možností než Envoy

Kedy ho zvoliť:

• SaaS projekty
• malé a stredné tímy
• rýchle iteratívne nasadenia

5. NGINX Plus – komerčná cesta pre enterprise

Je to platená verzia od F5, nie komunitný Ingress-NGINX.

Výhody:

• oficiálna SLA
• stabilita, dlhodobá podpora
• integrovaný WAF, API security, rate-limit
• Gateway API kompatibilita

Vhodné pre:

• korporátne prostredia,
• finančný sektor,
• zákazníkov F5.

6. Istio + Envoy – keď chcete viac než len Ingress

Istio prepája gateway + service mesh.

Výhody:

• najpokročilejšie traffic riadenie
• mTLS všade
• routing, canary, mirroring, A/B testy
• jednotný model pre interný aj externý traffic

Nevýhody:

• komplexnejšie nasadenie
• sidecar architektúra = vyššie náklady

Použitie:

• mikroslužby vo veľkom
• vysoká potreba bezpečnosti a visibility

Ako si vybrať správnu alternatívu?

Zjednodušene:

Chcete dlhodobé riešenie?

👉 Gateway API + Envoy Gateway

Potrebujete hrubý výkon?

👉 HAProxy

Chcete jednoduchosť?

👉 Traefik

Enterprise s podporou, SLA, WAF?

👉 NGINX Plus

Chcete mesh + advanced routing?

👉 Istio (s vlastným Gateway)

Čo robiť teraz?

Nezostať pasívny. Navrhujem:

1. Inventarizujte: kde všade v klastroch beží Ingress NGINX
2. Mapujte konfigurácie: anotácie, snippets, TLS, middleware
3. Vyberte alternatívu podľa potrieb infra
4. Pr bere testovací cluster a skúste migráciu
5. Naplánujte postupné odstránenie Ingress NGINX do Q1 2026

Najhorší scenár (ako vždy) je čakať do poslednej chvíle.

V Kubernetes roku 2026 už Ingress NGINX nie je „štandard“. Je to technologická minulosť, ktorú treba dôstojne uzavrieť. Upgrade zdar.

Ak ešte vo svojej infraštruktúre používate PostgreSQL 13, je najvyšší čas plánovať upgrade. Táto verzia dosiahla dnešným dňom (13.11.2025) koniec podpory (EOL), čo znamená, že prestanú byť vydávané bezpečnostné opravy a aktualizácie. Databáza tak zostane bez záplat, a tým pádom otvorená zraniteľnostiam, ktoré by sa mohli objaviť.

Čo znamená EOL v praxi

Po skončení podpory už nebudete dostávať žiadne bezpečnostné ani stabilizačné aktualizácie. Ak sa objaví nová chyba, ostane neopravená. Staršie verzie PostgreSQL navyše prestávajú byť kompatibilné s novými knižnicami, rozšíreniami či cloud službami - napríklad PostGIS..

Z pohľadu bezpečnosti ide teda o vážne riziko. Útočníci často analyzujú opravy z novších verzií a cieľavedome útočia na staršie systémy. Databáza po EOL sa tak stáva slabým článkom vašej infraštruktúry.

AK ste ochotní toto riziko prijať je tu ešte jeden pohľad. Z regulačného hľadiska používanie nepodporovaného softvéru môže byť v rozpore s GDPR, PCI-DSS 4.0 či HIPAA, ktoré vyžadujú používanie aktuálne podporovaných systémov.

Komunita a extended support

Takže komunitná verzia PostgreSQL 13 po novembri 2025 definitívne stratí podporu.

Niektoré komerčné distribúcie (napr. EDB alebo Percona) síce ponúkajú dočasný „extended support“, no ide len o prechodné riešenie. Záplaty sa týkajú výlučne kritických chýb - nové funkcie či výkonové vylepšenia už stará verzia spätne nedostane.

Pre väčšinu firiem je preto plánovaný upgrade na vyššiu verziu bezpečnejšou aj ekonomickejšou cestou.

Ako sa pripraviť na upgrade

Migrácia medzi hlavnými verziami PostgreSQL nie je len update balíčka, ale presun dát na novú platformu.

Odporúča sa:

1. Zálohovať databázu a otestovať obnovu.
2. Vyskúšať upgrade nanečisto na testovacom prostredí.
3. Preštudovať release notes všetkých preskakovaných verzií.
4. Naplánovať downtime a zvoliť spôsob migrácie (pg_upgrade alebo dump/restore).
5. Otestovať výkon a kompatibilitu po upgrade a spustiť ANALYZE.

Pri väčších databázach sa oplatí zvážiť replikáciu na novú verziu - minimalizuje odstávku.

Čakať sa nevypláca

PostgreSQL 13 tu s nami bolo od roku 2020 a odviedlo dobrú prácu, no jeho čas sa končí. Po 13. novembri 2025 sa stane bezpečnostným rizikom aj prevádzkovou príťažou. Ako akýkoľvek iný nepodporovaný softvér. Upgrade na novšiu verziu vám prinesie nielen podporu, ale aj vyšší výkon, nové funkcie a dlhodobú stabilitu.

V supermarketech jsou už Vánoce v plném proudu, je tedy nejvyšší čas sepsat článek plný tipů, co by si kutil/ka, bastlíř/ka a 3D tiskař/ka mohli přát pod vánoční stromeček. Sepsal jsem zajímavé nářadí a věci, které se jim mohou hodit. Tak jako mě.

📖 Přečíst celý článek →

Měření ionizujícího záření (zobecněně radiace) má v dnešní době smysl nejen pro odborníky, ale i pro běžné nadšence nebo sběratele minerálů nebo starožitností. Ionizující záření není vidět, nejde jej cítit ani jinak přímo vnímat - a to je zrádné. Přitom má ale přímý dopad na lidské zdraví a životní prostředí. Článek vysvětlí, proč a jak záření měříme, co je při měření zajímavé sledovat, na jaké nebezpečné produkty si dát pozor a jaké dezinformace panují v médiích i na internetu.

📖 Přečíst celý článek →

Říjnové volby do Poslanecké sněmovny přinesly mimořádný nárůst návštěvnosti zpravodajských webů. Podle dat projektu NetMonitor, který měří návštěvnost českého internetu, navštívilo v pátek 3. října zpravodajské servery 3,4 milionu uživatelů ze všech zařízení. V sobotu 4. října, kdy probíhalo sčítání hlasů a zveřejňování výsledků, návštěvnost vzrostla na 4,3 milionu uživatelů...

Zdroj

(více…)

BUMeetGram – živý feed vzkazů bez programování Pavel Hodál 7. 11. 2025

Článek jsem doplnil o to, kdo tohle dělá, mrkněte níže! 🧠 „Neříkejte to nikomu. Ani manželovi. Jinak ohrozíte

Příspěvek Policie zveřejnila telefonát s kyberšmejdem, kterému 20 letá žena z Ostravy poslala milion pochází z Spajkovo postřehy z kyberprostoru 👾

Dostal se mi do rukou "mrtvý" regulovatelný zdroj RIDEN RD6006. Po zapnutí se neprojevoval žádnými známkami života. Jal jsem se ho tedy oživit a tady dávám návod pro ostatní. Navíc jsem nahrál alternativní firmware, který má několik předností oproti tomu oficiálnímu.

📖 Přečíst celý článek →

Zveme Vás na osmý letošní, tentokrát online sraz spolku OpenAlt.

Skoro třetí pátek v měsíci se blíží a jelikož naše spolkové srazy jsou volně přístupné a otevřené všem zájemcům nejen o otevřené technologie, i tentokrát Vás zveme na sraz spolku OpenAlt.
14.11.2025 v 18:00
Sraz tentokrát proběhne online prostřednictvím meet.vpsfree.cz/OpenAlt.

We invite you to the eighth meeting of the OpenAlt association this year, this time online.

The third Friday of the month is almost here, and since our association meetings are freely accessible and open to all interested not only in open technologies, we invite you to the meeting of the OpenAlt association this time too.
14.11.2025 at 18:00
This time the meeting will take place online via meet.vpsfree.cz/OpenAlt.