Planeta OpenAlt

Dnes by som sa s vami chcel pozrieť na jeden nie úplne obyčajný zápisník, ktorý vám môže pomôcť uviesť vaše nápady do života. Leuchtturm1917 Start-Up Journal je zápisník, ale aj pracovný zošit vo formáte A5.

Ja mam zápisníky mimoriadne rád, prídu mi veľmi osobné na rozdiel od digitálnych riešení. Rád hovorím, že každý dobrý nápad začína zapísaním. A musím povedať, že stále mi to lepšie myslí nad papierom, ako blikajúcim kurzorom.

Jedna z najlepších kníh, ktorú som minulý rok čítal – a nebolo ich málo - bola Utópia v Leninovej záhrade. Históriu československého družstva Interhelpo som vôbec nepoznal a netušil som, že niečo takéto sa vôbec odohralo.

Veľmi pútavý román, ktorý podľa mňa výborne podčiarkuje o čom bol komunizmus. Že naň doplatili aj tí, čo boli uveriť utópii o vysnívanom raji. Za akú cenu sa dozviete v knihe, ktorú veľmi odporúčam.

• Utópia v Leninovej záhrade na Martinus.sk
• Kniha na Goodreads

Jak dopadla wikipedistická Soutěž Československo 1948-1989? Wikipedisté celkem vytvořili a rozšířili 85 wikipedistických článků na témata související s tímto časoprostorem a významně tak pomohli popsání této etapy naší historie na největší české online encyklopedii.

Jedna z nově nahraných fotek na Wikimedia Commons. Letadlo Sokol Choceň, Public domain, via Wikimedia Commons

Protikomunistický odbojář Stanislav Stránský, sídliště Na Pendreku pro prominenty režimu nebo Okupace Liberce. Tyto a mnoho dalších článků napsali dobrovolní editoři a editorky Wikipedie v rámci 3. ročníku výzvy. Pojďte se podívat na všechny výsledky.

63 nově vytvořených článků o Československu v letech 1948-89: odbojáři i malířství

Výzva opět veřejnosti připomněla, že psát Wikipedii může každý, stačí najít relevantní zdroje a dodržet pravidla Wikipedie. Zapojili se zkušení wikipedisté i úplní nováčci. Výzvy se zúčastnilo 36 editorek a editorů, kteří celkem vytvořili 63 nových článků a rozšířili 22 článků týkajících se daného časoprostoru.

Osobně jsme se potkali na Editatonu v Praze, Liberci a Hradci Králové. Děkujeme všem účastníkům, že obohatili Wikipedii novými tématy. A že paleta je opravdu pestrá, ilustruje i následující výběr nových článků:

• Socialistický realismus (malířství),
• Dopis Václava Havla Gustávu Husákovi,
• Choceňský případ,
• vydavatelství Palach Press,
• Čínská restaurace.

Všechny články najdete tady.

Jak souvisí čínská restaurace s Československem?

Čínská restaurace je jedním z mnoha nových hesel, které nyní najdete na Wikipedii.

Jedna z nově nahraných fotek na Wikimedia Commons. FOTO: Sjermar, CC BY-SA 4.0, via Wikimedia Commons

„V 50. letech 20. století byla v Praze ve Vodičkově ulici 19 otevřena jedna z prvních čínských restaurací v Evropě, nazvaná Čínská restaurace. Byla založena na popud Adolfa Hoffmeistera, českého velvyslance v Paříži. Kuchaře a nábytek se slonovinou věnoval restauraci Mao Ce-tung. Po roztržce Sovětského svazu s Čínou v 60. letech se však kuchaři museli vrátit zpět do vlasti a byl také problém s dodávkami čínských potravin,“ dozvíte se v nově vzniklém článku.

Výzva měla také fotografickou část, díky které je nyní na Wikimedia Commons 43 nových fotek z tohoto období v Československu.

Nejčtenějším rozšířeným článkem je Invaze vojsk Varšavské smlouvy

Nejčtenější článek, který byl v rámci výzvy rozšířen, si denně zobrazí v průměru 400 uživatelů.

Čest vítězům vybraným porotou, ale sláva všem wikipedistům a wikipedistkám!

Odborná porota, kterou tvořili Wikipedisté: KPX8, Nadkachna a Romanvysansky, vybrala 6 účastníků, kteří prokázali zvláštní zápal pro věc a píli, a kteří vyhrávají drobné upomínkové předměty. Gratulujeme jim.

1. MojmirChuravy,
2. TheSubterranean,
3. Aktron,
4. JanaJin,
5. Naďa Čel,
6. Naughty Dava.

Všichni účastníci a účastnice výzvy vyhráli ponožky od Klubu pánů z Ponožkovic – partnera soutěže. Doufáme, že z nich měli radost a zapojí se i do příštího ročníku výzvy.

Letos jsme si opět potvrdili, že jsou na Wikipedii bílá místa, která se týkají naší historie, a nejen té. Další z bílých míst – tentokrát biografie žen a související témata, budeme pokrývat v březnu v rámci výzvy Měsíc žen na Wikipedii. Snad se k nám přidáte i vy!

Soutěž jsme pořádali my – spolek Wikimedia Česká republika a finančně ji podpořilo velvyslanectví USA v Praze v rámci programu Small Grants. 

Chybějící hesla vytipovali garant projektu Československo 1948–1989 Romanvysansky, Ústav pro studium totalitních režimů (ÚSTR) a spolek Wikimedia Česká republika.

Bol to môj prvý event v reálnom svete po rokoch globálnej pandémie. Konferencia Mouvo 2022 sa konala od 8. do 9. apríla a išlo v poradí už o jej siedmy ročník. Ja som si ju vyhliadol dávnejšie, ale plány mi narušila spomínaná pandémia.

• Jonas Pilz predviedol skvelé ukážky práce v Cinema 4D
• Sander Sturing zo Studio Dumbar rád experimentuje s pohybom a písmom pri budovaní identity a značiek

• Peter Eszenyi - design director maďarského pôvodu robil rôzne rozhrania pre Blade Runner 2049, Ghost in the Shell, Avengers nebo Pacific Rim
• v detstve preňho bola veľkou inšpiráciou Majka z Gurunu
• odporúčal Capturing Reality nášho Websupport klienta, ktorý patrí pod Epic Games

• Paul Heys pôsobil ako lektor na britských univerzitách, komentuje a popisuje smerovanie vizuálnej komunikácie
• Christoph Grünberger je autorom publikácii Analog Algorithm a The Age of Data

8. ročník konferencie Mouvo sa bude konať od 21. do 21. 4. 2023. Ak vás zaujíma grafický dizajn, film, animácia a technológie tak si toto podujatie určite užijete.

Nový rok – nová posila v našem týmu, a dokonce na nové pozici. Pracujeme pro velkou českou komunitu editorů Wikipedie po celé republice. Poptávka po našich akcích roste a koordinátorka bude velkou pomocí pro náš tým, komunitu dobrovolníků i lektory a lektorky našich programů. Výběrové řízení vyhrála Anna Janská.

Nová koordinátorka v našem týmu – Anna Janská

Anna Janská. FOTO: Klára Joklová (WMCZ), CC BY-SA 4.0, via Wikimedia Commons

Anna je novinářka, která se k písmenkům dostala zpočátku trochu proti své vůli od reportážní fotografie. Pracovala v Aktuálně.cz jako editorka domácí rubriky a stála při vzniku Deníku N, kde působila jako šéfeditorka online zpravodajství. V roce 2023 vyrazila na volnou nohu. 

Věnuje se bezpečnostní problematice, mediální gramotnosti a obraně proti dezinformacím, kterou také příležitostně školí. Zajímá se o humanitární a rozvojovou pomoc a urgentní medicínu. Miluje civilizaci a její vymoženosti, ale ráda utíká i mimo ní, nejčastěji do Českého krasu.

Bude u nás mít na starost koordinaci programů pro komunitu, především Měsíc žen na Wikipedii, Měsíc lidských práv a Soutěž Československo 1948-89. Těší se, že bude podporovat i zájemce o získání Komunitních minigrantů a pomáhat při organizaci lokálních akcí. A my se těšíme, jak se nám společně bude dařit Programy pro komunitu rozvíjet. Anno, vítej!

Aktualizace článku

• 27.1. Parametr --locked zajistí, že composer audit se bude dělat na základě obsahu composer.lock

Kromě balíčku roave/security-advisories, který díky svému dlouhému seznamu zranitelných knihoven a jejich verzí nedovolí takový balíček nainstalovat a upozorní na něj, používám i GitHub Action s názvem The PHP Security Checker, což je vlastně jen githubí omáčkou obalený security check ze Symfony CLI. O všech těchto věcech jsem již psal ve svém dřívějším článku včetně ukázek.

Pokud ale nechcete nic dalšího a rádi byste využili něco, co nejspíš už používáte, tak mám pro vás dobrou zprávu. Od verze 2.4 (vyšla v létě 2022) se Composer té databáze dotazuje rovnou sám, po každém composer require. Kontrolu lze také vyvolat ručně pomocí composer audit. K dotazování používá vlastní API, viz třeba seznam zranitelných verzí balíčku guzzlehttp/guz­zle.

Kontrola se provádí i po spuštění composer update (v obou případech lze přeskočit pomocí --no-audit), ale po composer install standardně ne – důvodem možná je obvykle automatizované spouštění, kdy výsledek stejně nikdo nevidí a možná taky to, že častá instalace, např. při spouštění testů, by posílala zbytečně moc požadavků na ono zmíněné API. Nicméně pokud i přesto chcete, tak kontrolu po instalaci můžete vynutit pomocí parametru --audit.

Po composer require

Pojďme se podívat na to, jak to vypadá. Dejme tomu, že bych teď chtěl nějakou tu zranitelnou verzi nainstalovat, konkrétně jsem si vybral Guzzle verze 7.4.4 – Composer to sice udělá, ale bude remcat a upozorní mě, všimněte si posledních dvou řádků:

$ composer require guzzlehttp/guzzle:7.4.4
./composer.json has been created
Running composer update guzzlehttp/guzzle
Loading composer repositories with package information
Updating dependencies
Lock file operations: 8 installs, 0 updates, 0 removals
  - Locking guzzlehttp/guzzle (7.4.4)
  - Locking guzzlehttp/promises (1.5.2)
  - Locking guzzlehttp/psr7 (2.4.3)
  - Locking psr/http-client (1.0.1)
  - Locking psr/http-factory (1.0.1)
  - Locking psr/http-message (1.0.1)
  - Locking ralouphie/getallheaders (3.0.3)
  - Locking symfony/deprecation-contracts (v3.2.0)
Writing lock file
Installing dependencies from lock file (including require-dev)
Package operations: 8 installs, 0 updates, 0 removals
  - Installing symfony/deprecation-contracts (v3.2.0): Extracting archive
  - Installing psr/http-message (1.0.1): Extracting archive
  - Installing psr/http-client (1.0.1): Extracting archive
  - Installing ralouphie/getallheaders (3.0.3): Extracting archive
  - Installing psr/http-factory (1.0.1): Extracting archive
  - Installing guzzlehttp/psr7 (2.4.3): Extracting archive
  - Installing guzzlehttp/promises (1.5.2): Extracting archive
  - Installing guzzlehttp/guzzle (7.4.4): Extracting archive
2 package suggestions were added by new dependencies, use `composer suggest` to see details.
Generating autoload files
4 packages you are using are looking for funding.
Use the `composer fund` command to find out more!
Found 2 security vulnerability advisories affecting 1 package.
Run composer audit for a full list of advisories.

S barvičkami v terminálu je to sice o dost výraznější:

Formát lze sice změnit, viz níže, ale i tak by se to dalo jednoduše přehlídnout. Zvlášť třeba pokud byste spustili composer require s parametrem --quiet, „nic nevypisuj“.

composer audit

Proto je asi důležitější ten úplně poslední řádek, který říká, že bychom měli spustit composer audit:

$ composer audit
Found 2 security vulnerability advisories affecting 1 package:
+-------------------+----------------------------------------------------------------------------------+
| Package           | guzzlehttp/guzzle                                                                |
| CVE               | CVE-2022-31091                                                                   |
| Title             | Change in port should be considered a change in origin                           |
| URL               | https://github.com/guzzle/guzzle/security/advisories/GHSA-q559-8m2m-g699         |
| Affected versions | >=7,<7.4.5|>=4,<6.5.8                                                            |
| Reported at       | 2022-06-20T22:24:00+00:00                                                        |
+-------------------+----------------------------------------------------------------------------------+
+-------------------+----------------------------------------------------------------------------------+
| Package           | guzzlehttp/guzzle                                                                |
| CVE               | CVE-2022-31090                                                                   |
| Title             | CURLOPT_HTTPAUTH option not cleared on change of origin                          |
| URL               | https://github.com/guzzle/guzzle/security/advisories/GHSA-25mq-v84q-4j7r         |
| Affected versions | >=7,<7.4.5|>=4,<6.5.8                                                            |
| Reported at       | 2022-06-20T22:24:00+00:00                                                        |
+-------------------+----------------------------------------------------------------------------------+

To už je o něco lepší, že? Rovnou vidíme, který balíček má nějakou zranitelnost a jakou. Dokonce i návratová hodnota je nenulová, došlo k nějaké chybě, takže se to dá použít i v různých skriptech:

$ echo $?
1

Když se pokusím nainstalovat nejnovější verzi bez známých bezpečnostních problémů, tak to bude vypadat takto:

$ composer require guzzlehttp/guzzle
[...]
No security vulnerability advisories found
Using version ^7.5 for guzzlehttp/guzzle
[...]

Výstup z composer audit pak bude vypadat následovně, včetně nulové návratové hodnoty, což znamená vše oukej:

$ composer audit
No security vulnerability advisories found
$ echo $?
0

Pro správnou funkčnost composer audit musí být balíčky standardně nainstalovány. Pokud ale použijete parametr --locked (composer audit --locked), tak balíčky nainstalovány být nemusí a kontrola se provede jen na základě obsahu composer.lock.

Pokud byste z nějakého důvodu nechtěli kontrolovat balíčky v sekci require-dev, tak můžete použít --no-dev. Osobně bych ale kontroloval vše.

Jako GitHub Action

Díky nenulové návratové hodnotě při nalezení známého bezpečnostního problému v nějakém používaném balíčku lze composer audit spouštět jednoduše například i v GitHub Actions. A přesně tak to používám i já:

composer-audit:
  runs-on: ubuntu-latest
  steps:
    - uses: actions/checkout@v3
    - run: composer audit

Tuhle kontrolu spouštím každé dvě hodiny, abych se o případném problému a nutnosti aktualizovat dozvěděl včas. Na nějaké důležitější aplikaci, než je můj web, bych to klidně spouštěl častěji, třeba každou hodinu.

Spouštění kontroly pomocí GitHub Actions

Formát výstupu

Composer nabízí několik různých formátů vypisovaných informací o známých zranitelnostech:

• table: tabulka viz výše, standardně se použije pro composer audit
• plain: obyčejný textový výpis, bez tabulky
• json: hádejte
• summary: jen krátká informace o tom, jestli se něco nalezlo, nebo ne; standardně pro composer require, composer update, composer install

Formát můžete změnit parametrem:

• --audit-format=FORMAT pro composer require, composer update, composer install
• --format=FORMAT pro composer audit

Dodám snad už jen to, že Composer můžete aktualizovat pomocí composer self-update.

Jednou za čas dostanu uklízecí mánii. Tentokrát mě k tomu dokopal aplikáč, kde nefungovalo něco, co v pohodě běželo na servlet containeru. Odpustím si plivání síry, protože pořádek v tom úplně nebyl. Problém měl dvě části. Kdysi už jsem psal o tom, že věci jako servlet API do waru nepatří. To je sice poměrně jasné, ale i tak se člověk dokáže nachytat. Pak je tu trochu větší past a to, že Java EE (aka javax) je mrtvá, nově už jako Jakarta EE.

Úvod

Doporučuji vaší pozornosti článek Transition from Java EE to Jakarta EE, ale abych to trochu předžvýkal. Java EE jako například javax.servlet-api byla v Oracle repozitářích. Kód se přesunul do open source. Zůstal java package name (v prvních verzí, později se rovněž mění), ale změnil se maven group ID z javax.* na jakarta.*. To sice dává jasně najevo rozdíl, ale zároveň to umožňuje používat oba artefakty současně. Navíc, a to je horší, to umožňuje mít závislosti odlišných verzí. Používáte-li například Spring Boot BoM, tak ten definuje obě sady artefaktů, ale co se týče verzí, tak vám alespoň napovídá.

Následuje ukázka rozdílu v definici maven závislosti servlet-api.

Javax

<dependency>
    <groupId>javax.servlet</groupId>
    <artifactId>javax.servlet-api</artifactId>
    <version>${servlet-api.version}</version>
</dependency>

Jakarta

<dependency>
    <groupId>jakarta.servlet</groupId>
    <artifactId>jakarta.servlet-api</artifactId>
    <version>${jakarta-servlet.version}</version>
</dependency>

Cíl

Chceme se tedy zbavit všech závislostí javax.*. Včetně com.sun.mail a com.sun.xml.bind. K javax.cache jsem nenašel jakarta alternativu. Přibalíte (maven scope compile) jen ty závislosti, které jsou nutné. Podle toho, kam nasazujete. Třeba servlet-api nepatří ani na servlet container.

Pro nižší verze jakarta artefaktů nemusíte měnit java importy. Tedy že budete stále používat javax.servlet.http.HttpServletRequest a teprve později přejdete na jakarta.servlet.http.HttpServletRequest.

Bezpečnostní pojistky

Ani sebelepší code review nezaručí, že vám pořádek vydrží. Můžete si tam knihovny zavést i neúmyslně přes tranzitivní závislosti. Pojistkou může být šikovně nastavený maven enforcer plugin. Konkrétně konfigurace zakázaných závislostí.

<plugin>
    <groupId>org.apache.maven.plugins</groupId>
    <artifactId>maven-enforcer-plugin</artifactId>
    <version>${maven-enforcer-plugin.version}</version>
    <executions>
        <execution>
            <id>enforce-banned-dependencies</id>
            <goals>
                <goal>enforce</goal>
            </goals>
            <configuration>
                <rules>
                    <bannedDependencies>
                        <excludes>
                            <!-- Force switching to Jakarta EE -->
                            <exclude>javax.*</exclude>
                            <!-- already on application server or servlet container -->
                            <exclude>jakarta.servlet:jakarta.servlet-api:*</exclude>
                            <exclude>jakarta.servlet.jsp:jakarta.servlet.jsp-api:*</exclude>
                            <!-- replaced by jakarta -->
                            <exclude>com.sun.mail</exclude>
                            <exclude>com.sun.xml.bind</exclude>
                        </excludes>
                        <includes>
                            <!-- Jakarta API are allowed to be provided -->
                            <include>jakarta.*:*:jar:*:provided</include>
                            <!-- Not yet migrated to Jakarta -->
                            <include>javax.cache:*</include>
                        </includes>
                    </bannedDependencies>
                </rules>
            </configuration>
        </execution>
    </executions>
</plugin>

Závěr

Java EE aka javax je mrtvá, ať žije Jakarta. Je nebezpečné mít obě závislosti současně, zejména s ohledem na možnou rozdílnost verzí. Ukázali jsme si, jak můžete nakonfigurovat maven plugin, který vám závislosti bude hlídat.

Související

• Jak velký je váš war
• Transition from Java EE to Jakarta EE
• Konflikt tranzitivních závislostí

Aktualizace článku

• 25.1. Přidán odkaz na článek o composer audit
• 17.1. Na GitHubu si lze nechat posílat i jen security alerty k používaným balíčkům
• 16.1. Skenování závislostí na GitLabu a další alternativy k Dependabotu
• 20.11. GitHub přesunul nastavení upozornění na nové Releases do kategorie Custom

Chybu, kterou objevil Cyku Hong z Taiwanu, může útočník za určitých okolností využít ke vzdálenému spuštění kódu na některých webech pomocí speciálně sestaveného URL. Takové chyby spadají do kategorie Remote Code Execution (RCE) a zažijete s nimi spousty legrace, nebo možná taky ne, to podle toho, na které straně barikády stojíte.

David Grudl, tvůrce Nette, s chybou zatočil správně: opravené verze balíčků vzhledem k závažnosti té chyby vydal nejdříve „potichu“, přičemž opravil i již dávno nepodporované vykopávky typu Nette 2.0, poslal e-mail podporovatelům, měsíc a něco počkal a teprve poté informaci uveřejnil na blogu, na diskuzním fóru a v seznamu Common Vulnerabilities and Exposures, ve kterém dostala číslo CVE-2020-15227. (A když si něčím nebyl jistý, tak se mě zeptal 🤓)

Část upozornění, které podporovatelé dostali už 25. srpna

Ve velkém a bez Composeru

Týden po zveřejnění se začaly objevovat nejen nástroje na otestování i demonstraci zranitelnosti („Proof-of-Concept“, PoC), ale i vývojáři, kteří chybu do té doby z různých důvodů zatím nezaregistrovali. Když jsem to viděl, tak mě napadlo, že by řešení problému mohl pomoci jednoduchý skript, který na serveru najde zranitelné soubory a příp. je rovnou opraví náhradou jednoho řádku kódu za jiný.

Cílem byly převážně různé webhostingové firmy, které by mohly vytipovat své zákazníky a přímo je informovat, nebo jim to rovnou opravit. Napsal jsem 2 prográmky v shellu (fungují v Bashi v Linuxu i FreeBSD), David to později reimplementoval i v PHP. Lukáš V. mi dokonce za ty skripty jen tak, sám od sebe, poslal nějaké to kilčo, dík!

V Active24 chybu našli a opravili na více než 2500 webů, podobně reagoval i Blueboard, WEDOS a další

Tohle samo o sobě už by vám mohlo dát pár nápadů jak postupovat poté, co vám někdo ve vašem frameworku, balíčku nebo knihovně najde nějakou docela závažnou bezpečnostní chybu. Neméně důležité je ale informaci o chybě a nutnosti aktualizovat dostat také k uživatelům vašeho výtvoru. A jak se o tom mohou dozvědět co nejrychleji?

Podporujte a sledujte vývojáře

Pokud používáte nějaké knihovny nebo frameworky jako např. Nette nebo cokoliv jiného, tak máte několik možností, jak se dozvědět, že fakt musíte aktualizovat a tohle je asi ta nejdůležitější.

Podporujte vývojáře nástrojů, které používáte. Vy budete mít dobrý pocit a ti vývojáři, kromě jiného, budou na vás mít nějaký kontakt a mohou vám napsat, že byste měli aktualizovat. Win-win situace. Když jsme začali chybou v Nette, tak osobně Nette podporuji, v seznamu přispěvovatelů mě nejspíš nepřehlédnete. Najdete tam i Scotta Helmeho, protože Nette mj. používáme i na Report URI, na kterém s ním pracuji. David Grudl podporovatelům poslal info o tom, že by měli aktualizovat už 25. srpna, pár hodin po vydání opravených verzí verze, a o měsíc a něco dříve, než informace o chybě zveřejnil.

Sledujte twittery a blogy vývojářů a diskuzní fóra (viz příspěvek na blogu Nette a na diskuzním fóru). Pokud navíc vývojáři používají GitHub, tak ten vám může poslat notifikaci klidně i jen při vydání nové verze nebo při objevení bezpečnostního problému:

Můžete „watchovat“ jen nové verze nebo bezpečnostní upozornění (co všechno sledujete)

GitHub Dependabot

Pokud vyvíjíte na GitHubu a spravujete závislosti pomocí Composeru, tak můžete využít Dependabota – robota, který hlídá a automaticky aktualizuje všechny vaše závislosti. Dependabot zvládá nejen PHP, ale i jiné jazyky a správce balíčků. Nastavíte ho ve vašem repozitáři v menu Settings > Security & analysis:

Prozkoumejte i sekci Security > Dependabot alerts, ve které najdete všechna otevřená i vyřešená upozornění, která Dependabot vytvořil:

Tohle upozornění jsem kliknutím na Dismiss pustil z hlavy, kód nikde neběží

Jsou tam i odkazy na automaticky vytvořené pull requesty, viz příklad. Tenhle opuštěný projekt naštěstí nikde neběží, balíček nette/application zde tedy nemusím aktualizovat, pull request chci nechat v tomto stavu, abyste viděli, jak to případně bude vypadat u vás.

Automaticky vytvořený pull request s aktualizací závislosti

Kdybyste někdy potřebovali získat číslo CVE i pro nějaký váš výtvor a informaci o chybě tak dostat „do oběhu“, tak se vám bude hodit sekce Security Advisories. V seznamu zveřejněných upozornění balíčku nette/application najdete i ono CVE-2020-15227. Podobný záznam je i v databázi všech GitHubových upozornění.

GitLab také nabízí skenování závislostí, ale pouze v nejdražší placené verzi. Alternativami k Dependabotu jsou např. Snyk nebo Renovate.

Roave Security Advisories

Dalším nástrojem, který vám může pomoci odhalit neaktualizované PHP knihovny s bezpečnostními chybami je balíček Roave Security Advisories. Pojďme si ho ukázat v praxi, opět na mém starém a nepoužívaném projektu. Nejdříve nainstalujeme závislosti uvedené v souboru composer.lock, přičemž vhodnější by bylo použít composer update, ale tím bychom nainstalovali již opravenou verzi a to v tomto případě nechceme:

$ composer install
Loading composer repositories with package information
Installing dependencies (including require-dev) from lock file
[...]
  - Installing nette/application (v2.3.7): Downloading (100%)
[...]

Verze 2.3.7 obsahuje bezpečnostní chybu (a to v řadě 2.3 až do verze 2.3.13 včetně), takže instalace balíčku Roave Security Advisories pomocí

composer require --dev roave/security-advisories:dev-latest

selže s tím, že jakože konflikt, protože nette/application máme ve verzi 2.3.7:

$ composer require --dev roave/security-advisories:dev-latest
./composer.json has been updated
Loading composer repositories with package information
Updating dependencies (including require-dev)
Your requirements could not be resolved to an installable set of packages.

  Problem 1
    - roave/security-advisories dev-latest conflicts with nette/application[v2.3.7].
    - roave/security-advisories dev-latest conflicts with nette/application[v2.3.7].
    - roave/security-advisories dev-latest conflicts with nette/application[v2.3.7].
    - Installation request for roave/security-advisories dev-latest -> satisfiable by roave/security-advisories[dev-latest].
    - Installation request for nette/application (locked at v2.3.7, required as ~2.3.1) -> satisfiable by nette/application[v2.3.7].


Installation failed, reverting ./composer.json to its original content.

Museli bychom nejdříve aktualizovat nette/application na 2.3.14 nebo novější a pak půjde nainstalovat i roave/security-advisories:dev-latest. Od této chvíle nepůjde pomocí composer require nebo composer update nainstalovat žádný balíček se známou bezpečnostní chybou.

PHP Security Advisories Database

Roave Security Advisories nemá žádný kód, veškeré jeho know-how spočívá v sekci conflict v souboru composer.json, ve které jsou uvedené verze PHP balíčků s nějakou známou bezpečnostní chybou. Ty se tam dostávají z PHP Security Advisories Database (viz Contributing), která jde používat několika dalšími způsoby. Jde používat dokonce i jako GitHub Action (viz můj příklad), takže se kontrola bude provádět například při každém pushi (a v mém příkladu i jednou za hodinu).

Od Composeru 2.4 lze využít i příkaz composer audit.

Bylo by skvělé, kdyby tuto databázi uměly pro upozorňování svých zákazníků nějak využít i klasické sdílené hostingy.

disable_functions

Bránit se proti chybám, jako je právě vzdálené spuštění kódu, asi nejde jinak než včasnou aktualizací. Jasně, můžete si někde na firewallu zablokovat nějakou konkrétní URL adresu, ale to je spíš reaktivní opatření. Můžete ale aspoň zásadně snížit dopad útoku aneb je blbý, když někdo ve vaší aplikaci spustí nějaký PHP kód, ale je ještě mnohem blbější, když pomocí PHP spustí nějaký prográmek z příkazové řádky. Důrazně bych tedy doporučoval zakázat v PHP volání funkcí, které takové prográmky mohou spouštět. Jsou to tyto:

• exec – spustí externí program
• passthru – spustí externí program a zobrazí výstup včetně binárních dat
• proc_open – spustí program a vrátí ukazatele na vstup a výstup
• shell_exec – spustí program pomocí shellu a vrátí výstup jako řetězec
• system – spustí externí program a zobrazí výstup
• pcntl_exec – spustí program v prostoru aktuálního procesu
• popen – vrátí ukazatel na spuštěný proces

Zakázat je můžete jen v php.ini (a to dokonce jen pro určitý server nebo cestu) pomocí direktivy disable_functions nebo v konfiguraci FPM poolu pomocí php_admin_value[disable_functions], viz příklad.

Pro kontrolu, jestli náhodou tyhle funkce nepotřebujete volat ve vašem kódu, použijte analyzátor PHP kódu PHPStan a má pravidla pro hledání volání nepovolených funkcí a metod, stačí ve vaší konfiguraci inklůdnout přibalený soubor disallowed-execution-calls.neon.

Nezapomeňte také sledovat můj Twitter, o závažných problémech se tam určitě dozvíte také. A rád vás přivítám i na mém školení webové bezpečnosti (nejbližší termín: 13.–16. března 2023 online).

A ještě jedna věc: pokud jste doposud Nette neaktualizovali, tak už asi můžete počítat s tím, že do vašeho webu nebo aplikace někdo nakladl nějaké ty shelly nebo zadní vrátka a měli byste spustit proces obnovy, vyčištění a případně i pátrání po uniklých datech. A pokud už máte aktualizováno, tak se můžete pobavit třeba nad Easter eggy na mém webu.

Umělá inteligence (AI), respektive neuronové sítě hýbou světem a i když teď všude frčí ChatGPT, na kterého se podíváme hned

Příspěvek Jak si v AI Mindjourney vygenerovat vlastní obrázek pochází z Spajk.cz

Slam poetry pro Wikipedii, debata o svobodných licencích, vernisáž výstavy Czech Wiki Photo 2022. Takto nabitý program čekal na všechny, kdo se 13. 1. 2023 podvečer rozhodli strávit v prostorech Didaktikonu Univerzity Karlovy a Kampusu Hybernská. Program přilákal přes stovku diváků a akce byla rozhodně povedená.

Program odstartovala debata o svobodných licencích

Program začal již v odpoledních hodinách debatou o svobodných licencích, na kterou přijali pozvání tři expertky a jeden expert s odbornostmi, které se přímo nebo nepřímo týkají problematiky svobodných licencí. Debata skýtala zamyšlení nad podstatou svobodných licencí, jejich smyslem a právními otázkami, které kladou. Že bylo o čem diskutovat, dokazuje fakt, že se zamýšlená devadesátiminutová debata protáhla na dvě hodiny, i díky dotazům diváků. Záznam z debaty bude příští týden ke zhlédnutí na našem YouTube kanálu.

Lenka Maixnerová (vlevo), Kateřina Čecháková (vpravo)

Milan Holeček (vlevo), Lucie Smolka (vpravo),

Slam poetry pro Wikipedii a vzdělávání rozesmálo desítky fanoušků slamu

Slam poetry, tedy performativní žánr autorské poezie, je žánr, který se v Česku v posledních letech těší nebývalé popularitě. Vzhledem k tomu, že se mu věnují hned dva zaměstnanci spolku, a že možná úplně nejznámější český slamer Anatol Svahilec je vášnivý wikipedista, propojení se nabízelo. Po loňské premiéře jsme věděli, že formát slamu pro Wikipedii musíme zachovat, a nebyl to krok vedle. 85 lístků se vyprodalo dva dny před akcí a slameři si připravili tematické výstupy.

(Zleva): Anatol Svahilec, Vašek z Aše, Potopa Baša, Dejv, Tali

Potopa Baša slamovala o tom, jak snadné je při vyhledávání na internetu odchýlit se od původního dotazu. Bronzový medailista mistrovství Evropy ve slam poetry Vašek z Aše rozjímal nad tím, jak v běžném životě použít vše, co se naučil na základní škole. „Není nad to si jako první věc po ránu zopakovat polyethylen,“ glosoval. Jako vítěze večera vybrali diváci slamera Dejva s textem, ve kterém polemizuje o tom, co by se stalo, kdyby si české známé osobnosti vyhledaly na Wikipedii pro ně určující témata. Celou exhibicí provedl jedinečný Anatol Svahilec a zazářil s třeskutou wikipedistickou improvizací.

„Já si ani nepamatuju, kdy jsem se takhle naposledy celý večer chechtal,“ sdělil nám po akci pozitivní recenzi wikipedista a absolvent našeho kurzu Senioři píší Wikipediii, Zdeněk Svatoš.

Výstava Czech Wiki Photo 2022 bude k vidění až do konce února

Jsme moc rádi, že výstavu zahájila rektorka Univerzity Karlovy Milena Králíčková, a oficiálně jsme v tento den podepsáním memoranda stvrdili širší spolupráci s Univerzitou spočívající nejen ve společné tvorbě Wikipedie. Při příležitosti výstavy promluvila členka poroty, mezinárodně oceňovaná fotografka Edita Bízová. Výsledky Czech Wiki Photo 2022 byly tak oficiálně vyhlášeny a my se už nyní můžeme těšit na příští ročník soutěže o nejlepší českou svobodnou fotografii. Až do konce února si výstavu v Didaktikonu můžete prohlédnout i vy.

Milena Králíčková (vlevo) a Klára Joklová (vpravo)

FOTO: Richard Sekerak (WMCZ), CC BY-SA 4.0, via Wikimedia Commons

Nadace OSF vyhlašuje 13. ročník soutěže Novinářská cena. Už jen do 1. února 2023 mohou autoři nebo veřejnost nominovat příspěvky, které v roce 2022 hýbaly českou společností – v tištěných, elektronických, regionálních i celostátních médiích.

Kvalitní a nezávislá média ve společnosti plní funkci hlídacího psa, střeží demokratické hodnoty, apelují na zodpovědnost a povinnosti zvolených politiků vůči občanům, odhalují nekalosti, upozorňují na opomíjená témata i šedá místa. Nominujte příspěvky, které vás v roce 2022 nejvíce oslovily – ať už v tištěných, elektronických, regionálních či celostátních médiích.  

Příspěvky můžete nominovat prostřednictvím formuláře, který najdete zde.

V letošním roce se mění pravidla pro nominaci příspěvků. Autoři a autorky mohou být v každé kategorii zastoupeni nanejvýše třemi příspěvky. Sejde-li se více nominací, vyzveme je, aby vybrali pouze tři příspěvky, které bude posuzovat porota.  

Novinářská cena je unikátní tím, že hodnotí konkrétní příspěvky, které autoři, autorky a redakce sami přihlašují do jednotlivých kategorií. Příspěvky následně hodnotí poroty, složené z respektovaných osobností veřejného života z České republiky i zahraničí, a poskytují tak novinářům a novinářkám zpětnou vazbu. Současně upozorňují veřejnost na novinářské počiny, které reflektují problematiku dnešní společnosti a slouží veřejnému zájmu. 

Hlavním partnerem je Nadační fond nezávislé žurnalistiky. Mezi partnery patří Česká spořitelna, Newton Media, Syndikát novinářů České republiky, Nadace Český literární fond, Nadácia otvorenej spoločnosti a Fondy EHP a Norska.

Od 15. ledna do 28. února můžete psát nové články o kulturních památkách a vyhrát hodnotné knižní ceny. Stačí jen vybrat vhodnou ze seznamu, napsat o ní článek, a přihlásit do soutěžního rozhraní. Porota články oboduje. Kdo získá bodů nejvíce, vyhrává! Zapojit se může opravdu každý i bez předchozích zkušeností s Wikipedií.

Čtyřicet tisíc objektů, tisíce z nich na Wikipedii nejsou

A o jakých památek je řeč? V České republice máme okolo čtyřicet tisíc objektů, které jsou zapsány jako kulturní památka. Velká část z nich je encyklopedicky hodnotná a na Wikipedii patří. Za řadou z nich stojí dlouhá i zajímavá historie. Zatímco mnohé se ale vyhřívají na výsluní a přitahují pozornost návštěvníků, jako je tomu v případě různých hradů, zámků nebo kostelů, o spoustě dalších Wikipedie nic neví. Je to velká škoda – mnohdy se jedná o stavby, které se zapsaly do dějin svého regionu, a do encyklopedie by měly patřit.

Ceny pro nováčky i zkušené wikipedisty a wikipedistky

Stejně jako v předchozích letech cílí soutěž i na nováčky, které odměníme mimořádnými cenami. Pokud jste tedy na Wikipedii noví, nebojte se! Nic nezkazíte. A oceňujeme i články krátké – v soutěži mají kromě starých „harcovníků“ místo i ti, kteří si to chtějí jen zkusit.

Za předchozích pět let soutěže bylo napsáno okolo patnácti set hesel. V našich mapách kulturních památek nicméně evidujeme okolo čtyř tisíc dalších zajímavých staveb, které na svůj článek stále čekají. A tento počet není ani zdaleka konečný. Máte ve svém okolí památku, která na Wikipedii zatím není? Nyní to můžete změnit!

I letos máme v soutěži jedno ozvláštnění, uhodnete, jaké?

Stejně jako minulý rok napínáme síly napříč Českem i Slovenskem a soutěž se tedy vztahuje na české i slovenské památky. Kromě toho ale přidáváme další novinku.

Vyhodnocení celé akce bude mít na starosti tříčlenná porota. Na vítěze soutěže čekají kvalitní knižní publikace o kulturním dědictví České republiky z různých regionů. A samozřejmě také nehynoucí sláva v podobě návštěvnosti článků – návštěvníci různých krajů Česka často hledají na Wikipedii informace o nejrůznějších památkách, mnohdy i v terénu, a to za pomoci chytrého telefonu. A mohou se je dozvědět právě od vás!

Mediálním partnerem soutěže je portál PROPAMÁTKY, který se věnuje popularizaci českého kulturního dědictví. Děkujeme, že nám pomáhá šířit o soutěži dobré slovo a dostávat ji do širšího povědomí.

Když jsem se tady na blogu před 6 lety ptal, co byste chtěli zlepšit na linuxovém desktopu, podpora pro české znaky v PDF formulářích se opakovala často. Byla to jedna z věcí, na kterou jsme se na základě této zpětné vazby od uživatelů rozhodli zaměřit. Co jsem ale netušil, bylo, že nám to zabere skoro šest let.

U PDF formulářů je problém v tom, že samotný standard od klientů požaduje jen základní znakové sady, konkrétně StandardEncoding, MacRomanEncoding, WinAnsiEncoding, PDFDocEncoding a MacExpertEncoding. U nich se můžete spolehnout na to, že si s nimi poradí všechny prohlížeče PDF, protože je také specifikovaná skupina písem, která tyto znakové sady pokrývají a jsou u prohlížečů vyžadována. Jenže tyto znakové sady neobsahují všechny znaky české abecedy (a platí to i pro další jazyky, jejichž abeceda se ve větší míře odlišuje od anglické latinky). Standard PDF ještě připouští použití znakové sady RTF, která by stačila, ale ta už zase není všemi prohlížeči podporovaná.

Řešením, ke kterému se dobrala většina prohlížečů včetně Adobe Readeru, je vzít nějaké dostupné písmo, které pokrývá znaky, které jsou potřeba, a přibalit ho k dokumentu. Když se vyplněný formulář otevře někde jinde, použije se přibalené písmo a máte tak jistotu, že se formulář zobrazí správně. A aby se velikost dokumentu nezvětšila zbytečně moc, nepřikládá se celé písmo, ale jen znaky, které jsou v dokumentu použité.

A proč se to celé protáhlo na šest let? Implementace se ukázala jako celkem netriviální. Dvakrát se během toho změnil vývojář, který na dané věci pracoval. Někdy tuto věc odsunula na vedlejší kolej prioritnější věc. Jak se to natahovalo, docela dost času zabralo už jenom takto velkou věc portovat na novější verze poppleru. Vtipné je, že nakonec se nepoužila ani naše implementace, na které jsme celou tu dobu pracovali. Před rokem to vypadalo, že to bude ještě trvat, než to bude splňovat všechny požadavky na začlenění. Vážně jsem zvažoval, že to jako „nekonečný projekt“ odpískáme.

Nakonec se objevila jiná implementace, které se podařilo začlenit rychleji, potřebovala ale ještě některé věci dotáhnout, aby se dala pro vyplňování formulářů finálně používat. Naši implementaci jsme tedy minulý rok opustili a raději investovali čas do dotažení té druhé. To se povedlo v prosincové verzi 22.12. Fedory 37 používá poppler 22.08, takže aby tuhle podporu mohli naši uživatelé používat co nejdřív, backportovali jsme ji. Mezi aktualizacemi ve Fedoře 37 přistála minulý týden.

Nyní by všechny prohlížeče PDF postavené na poppleru (Evince, Okular,…) měly umět ve Fedoře 37 ukládat do formulářů také české znaky. Časem snad dojde také na port do poppleru v Red Hat Enterprise Linuxu. Trvalo to dlouho, ale je to tam.

Dobré zprávy na poli vzdělávání a svobody informací. 13. 1. 2023 stvrdily partnerství a spolupráci při tvorbě Wikipedie rektorka Univerzity Karlovy Milena Králíčková a výkonná ředitelka Wikimedia ČR Klára Joklová podpisem memoranda. Jak bude spolupráce probíhat a co všechno obsahuje, se dozvíte v tomto článku.

Memorandum Univerzity Karlovy a Wikimedia ČR

Spolupráce bude mít několik úrovní. Stavebním kamenem bude tvorba a rozšiřování nových slovníkových hesel v rámci projektu Studenti píší Wikipedii, který vedení Univerzity Karlovy podpořilo již v roce 2013.
Kromě Wikipedie se bude univerzita prostřednictvím svých zástupců podílet také na Wikimedia Commons a Wikidatech.

Rektorka UK (vpravo) a výkonná ředitelka WMČR (vlevo) při podpisu memoranda.
FOTO: Richard Sekerak (WMCZ), CC BY-SA 4.0, via Wikimedia Commons

„Univerzita Karlova bude v souladu se svou tzv. třetí rolí ve společnosti podporovat vznik a rozšiřování nových slovníkových hesel pro encyklopedii Wikipedie a participovat na jejich odborném zpracování – zejména zapojením studujících a vyučujících do projektu Studenti píší Wikipedii. Tato hesla budou vycházet i z odborné a vědecko-výzkumné činnosti UK. Stejně tak se bude univerzita podílet na zkvalitňování a doplňování obsahu již existujících slovníkových hesel.“

– prorektor pro vnější vztahy Univerzity Karlovy Martin Vlach

Univerzita Karlova bude také dle svých možností podporovat vznik pozic wikipedistů/wikidatistů – rezidentů/studentů/pedagogů v rámci UK.

Vysokoškoláci jsou ideálními wikipedisty

Názor, že jsou vysokoškoláci ideálními wikipedisty, zastává naše výkonná ředitelka Klára Joklová. „Jsou digitálně zdatní, zvyklí ověřovat zdroje, mají zkušenosti s psaním odborných textů a svůj cenný volný čas chtějí využít smysluplně. Naše projekty směřují k rovnosti, udržitelnosti, rozvoji mediální gramotnosti a kritického myšlení, což je směr, kterým jde i Univerzita Karlova. Spolupráce se tak nabízela a těší mě, že ji budeme realizovat.“

Poskytneme studentům a pedagogům univerzity metodickou a projektovou podporu, proškolení a know-how, příp. budeme dohlížet na technické zabezpečení. Spolupráce bude výhodná pro obě strany – univerzita získá pro své studenty nové možnosti, a projekty jako Wikipedie získají nové dobrovolné editory, kterých je dlouhodobě nedostatek. Další skvělou zprávou je, že aktivity budeme moci realizovat v příjemných prostorech vzdělávacího centra Didaktikon Univerzity Karlovy.

„Wikimedia i Univerzita Karlova jsou tu pro všechny, nejen pro studenty“

V tomto smyslu se při podpisu memoranda v pátek 13. 1. vyjádřila rektorka UK Milena Králíčková. Že by vzdělávání a svobodné informace by měly být dostupné pro všechny, je také dlouhodobá vize hnutí Wikimedia. V rámci spolupráce máme proto v plánu ve veřejném prostoru otevírat a medializovat řadu potřebných témat.

Chystá se například zařazení programu Senioři píší Wikipedii do programové nabídky Univerzity třetího věku UK. Univerzita bude v rámci svých možností propagovat vybrané tematické programové nabídky Wikimedia ČR, spojené s tématy rovnosti, lidských práv a genderu (např. WikiGap a WikiProjekt Lidská práva a WikiProjekt Československo 1948–1989), udržitelnosti (např. WikiProjekt Změna klimatu) či rozvoje mediální gramotnosti a kritického myšlení (např. Portál Mediální gramotnost).

Děkujeme vedení Univerzity Karlovy, že s námi do toho šlo, a těšíme se na vše, co spolupráce přinese.

V podvečer 13. ledna 2023 proběhla v Didaktikonu Kampus Hybernská vernisáž, kde byly vyhlášeny výsledky soutěže Czech Wiki Photo 2022. Zajímá vás, kdo vyhrál, a které fotky vybrala porota jako nejlepší? Odpovědi naleznete v tomto článku.

Foto: Závrt v Moravském krasu, autor: Michal Daneš, CC BY-SA 4.0, prostřednictvím Wikimedia Commons.

Kdo vyhrál Czech Wiki Photo 2022?

V nedávném příspěvku jste se mohli dočíst, jak probíhala soutěž Czech Wiki Photo 2022. V letošním ročníku se soutěžilo ve čtyřech kategoriích. Porota složená z fotografky Edity Bízové, fotografa a novináře Jana Rybáře a aktivního fotografa a wikipedisty Pavla Hrdličky vybrala v každé z kategorií ten nejlepší snímek.

Vytvořeno člověkem 

Jako nejlepší fotografie ročníku Czech Wiki Photo 2022 a zároveň nejlepší fotografie v kategorii Vytvořeno člověkem, byl vybrán snímek Závrt v Moravském Krasu od Michala Daneše. Jedná se vůbec o první fotografii pořízenou dronem, která se umístila v našich fotografických soutěžích. 

Foto: Závrt v Moravském krasu, autor: Michal Daneš, CC BY-SA 4.0, prostřednictvím Wikimedia Commons.

Příroda

Jako nejlepší fotografie v kategorii Příroda byl vyhodnocen obrázek Ráno nad mlhou od Lukáše Stase. 

Foto: Ráno nad Mlhou, autor: Lukas.stas, CC BY-SA 4.0, prostřednictvím Wikimedia Commons.

Slavné osobnosti

V kategorii Slavné osobnosti porotu nejvíce zaujala fotka Peter Hrivňák alias Kuko od Romana Kudláčka. 

Foto: Peter Hrivňák alias Kuko, autor: Roman Kudláček, CC BY-SA 4.0, prostřednictvím Wikimedia Commons.

Společnost, kultura a události

V kategorii Společnost, kultura a události zvítězila fotka Pomoc uprchlíkům na Hlavním nádraží v Praze od Jana Beránka. 

Foto: Pomoc uprchlíkům na Hlavním nádraží v Praze, autor: Jan Beránek, CC BY-SA 4.0, prostřednictvím Wikimedia Commons

Cenu nováček soutěže získal Pavel kříž s fotografií Římský kopec. 

Foto: Římský kopec, autor: Pavel Kříž, CC BY-SA 4.0, prostřednictvím Wikimedia Commons.

Přijďte si prohlédnout nejlepší fotografie do 28. 2.

Nemohli jste se dostavit na páteční vernisáž? Nezoufejte, až do 28. února máte možnost si všechny vystavené fotografie prohlédnout v Didaktikonu Kampusu Hybernská. Vystaveno je 14 nejlepších fotografií a vstup je zdarma.

Spolek Wikimedia ČR, který se stará o rozvoj české Wikipedie, pořádá 13. ledna 2023 ve vzdělávacím centru Didaktikon Univerzity Karlovy a Kampusu Hybernská v Praze jedinečnou událost. Slam poetry pro Wikipedii a vzdělávání bude vyvrcholením programu oslavující svobodu informací pro všechny. Proběhne také debata a vernisáž.

Vernisáž nejlepších svobodných fotografií ze soutěže Czech Wiki Photo 2022 bude doplněna debatou o svobodných licencích a slam poetry pro Wikipedii, kterou diváky provede wikipedista a slamer Anatol Svahilec.

Program:

16:00 debata na téma svobodné licence a online databáze
18:00 vernisáž + vyhlášení soutěže Czech Wiki Photo 2022
19:00 slam poetry pro Wikipedii a vzdělávání (performativní žánr autorské poezie)

Slam poetry pro Wikipedii a vzdělávání je formát, který se objevuje na pódiu historicky podruhé. Slameři Anatol Svahilec, Vašek z Aše, Potopa Baša, Dejv a Tali připravují pro diváky tematické výstupy.

„Partnerství s Didaktikonem nám umožnilo stanovit na slam jen minimální vstupné 100 korun, aby mohl přijít téměř každý, ale lístky budou brzy vyprodané, takže doporučujeme divákům koupit si je přes Goout co nejdřív. Vše ostatní je přístupné zdarma,“ říká slamerka a organizátorka Natálie Schejbalová.

Spolupráce Didaktikonu Univerzity Karlovy a Wikimedia ČR na této akci není náhodou.

Dne 13. 1. 2023 dojde totiž k podepsání memoranda o širší spolupráci těchto dvou subjektů například na projektu Studenti píší Wikipedii. 

Výstava nejlepších fotografií nahraných na svobodné úložiště Wikimedia Commons v rámci soutěže Czech Wiki Photo 2022 bude v Didaktikonu k vidění až do konce února. Každý rok nahrají fotografové na Commons tisíce fotografií pořízených v Česku. Jejich snímky může poté použít za určitých podmínek kdokoliv a jakkoliv – například na Wikipedii nebo do novin. Soutěž Czech Wiki Photo oceňuje ty nejlepší z nich, ale také vyjadřuje díky všem, kteří dobrovolně vytvářejí tento svobodný obsah.

Debata se zaměří na svobodné licence a online databáze. Diskutovat budou Lucie Smolka, advokátka, zakladatelka spolku Open Content a právní expertka Creative Commons ČR, Kateřina Čecháková, vedoucí oddělení muzejní informatiky Muzea východních Čech v Hradci Králové, Lenka Maixnerová, náměstkyně pro Knihovní fondy a služby Národní Knihovny ČR,
Vojtěch Dostál, wikidatista-wikipedista-biolog, člen spolku Wikimedia ČR.

Ilustrační fotografie vám rádi zašleme na vyžádání. Fotky z loňského ročníku akce zde, nutno uvést autora a licenci.

Kontakt pro média:
Natálie Schejbalová
PR a fundraising
Wikimedia Česká republika
natalie.schejbalova@wikimedia.cz

O spolku Wikimedia ČR

Jsme Wikimedia Česká republika – nevládní organizace, česká pobočka nadace Wikimedia, která pečuje o projekty Wikimedia po celém světě. Od roku 2008 podporujeme v Česku rozvoj Wikimedia projektů: Wikipedie, Wikimedia Commons, Wikidat a jejich sesterských projektů.

O Didaktikonu

Vzdělávací centrum Univerzity Karlovy a Kampusu Hybernská, z.ú., určené k experimentování, objevování a učení se hrou. Jeho hlavním cílem je vzdělávat žákyně a žáky základních a středních škol heuristickou metodou, tedy metodou řízeného objevování. Další cílovou skupinou Didaktikonu jsou učitelé. Díky unikátnímu spojení různých didaktických oborů Univerzity Karlovy pomáhá Didaktikon experimentálně rozvíjet výuku budoucích učitelů základních a středních škol a přistupovat k vlastnímu vzdělávání i vzdělávání budoucích žáků kreativně.

O Univerzitě Karlově

Univerzita Karlova byla založena v roce 1348 a patří mezi nejstarší světové univerzity. V současnosti má 17 fakult (14 v Praze, 2 v Hradci Králové a 1 v Plzni), 3 vysokoškolské ústavy, 6 dalších pracovišť pro vzdělávací, vědeckou, výzkumnou, vývojovou, další tvůrčí činnost a pracoviště pro poskytování informačních služeb, 5 celouniverzitních účelových zařízení a rektorát jako výkonné pracoviště řízení UK. Univerzita je nejvýkonnější vědeckou institucí v ČR, jak ukazuje např. hodnocení vědeckých výstupů Radou pro výzkum, vývoj a inovace. 

Když jsem poslouchal několikátý technologický podcast, který rozebírá klady, zápory a schopnosti AI chatbotů, napadlo mě, použít ChatGPT jako vypravěče dobrodružné textové hry. Na začátku jsem čekal, že se mi textové zadání až tak úplně nepovede. Ale už první odpověď od chatbota několikanásobně předčila moje očekávání.

Bylo to zajímavé a zábavné zkoumání. Až na pár nesrovnalostí, byl chatbot konzistentní (nesrovnalosti připisuji spíše komunikaci v češtině). Nevím, jak dlouho bych hrál, kdyby chatbot najednou neodpověděl: „network error“.

Takto vypadala jedna odpověď na moji otázku: „Jakou bytostí jsem v tomto světě já? Umím vařit kouzelné lektvary nebo potřebuji najít pomocníka?“

Pak jsem si říkal, že přeci nemůžu být první, kdo tohle napadlo, a tak jsem šel s dotazem do vyhledávače. A ano, nejsem první, našel jsem článek na webu Medium. O proti mému pokusu použil mnohem více detailní zadání, ale vypadá to, že to nebí potřeba.

Textová adventura s ChatGPT

Moje komunikace s chatbotem probíhala takto:

Komunikuj se mnou prosím, jako textová hra. Popiš mi malou část fantasy světa, plného nadpřirozených bytostí a magie. Na konci textu navrhni 3 možnosti, co v tomto světě můžu dělat. Například: vejít dovnitř budovy, sebrat předmět, mluvit s kouzelníkem, atd. Já jednu z těchto možností vyberu a ty budeš pokračovat ve vyprávění. Děkuji

Vítejte v našem fantasy světě, plném nadpřirozených bytostí a magie! Nacházíte se v malém městečku, obklopeném horami a lesem. Městečko je obýváno především trpaslíky, kteří se věnují řemeslným profesím a obchodu. Mezi místními obyvateli ale také žijí elfové, skřeti a lidé.

Tři možnosti, co můžete v tomto světě dělat, jsou:

1. Vstoupit do hospody, kde se můžete seznámit s místními obyvateli a získat nějaké informace.
2. Vydat se do lesa, kde se nachází mnoho bylin, které jsou ceněné pro svoje léčivé účinky.
3. Navštívit kouzelnický obchod, kde si můžete koupit různé kouzelné předměty a prozkoumat jejich schopnosti.

Kterou z těchto možností byste si přáli zvolit?

1

Vstupujete do hospody a cítíte vůni čerstvě uvařeného piva a pečeného kuřete. Místnost je plná různých bytostí, které se baví u stolů nebo se procházejí kolem baru. Můžete si sednout ke stolu, objednat si něco k pití a začít si s místními povídat. Možná se dozvíte něco zajímavého o okolních horách nebo o tom, co se právě děje ve městečku. Co byste rádi udělali?

Posadit se ke stolu, kde sedí nejveselejší skupina a objednat si to, co pijí oni.

Sedáte si ke stolu, kde sedí skupina trpaslíků a elfů. Všichni se na vás usmívají a zdraví vás. Vybíráte si to, co pijí oni, a objednáváte si pivo. Místní barman vám ho nalévá do dřevěného poháru a přikládá k němu malou misku s oříšky. Napijete se piva a začnete se s ostatními bavit. Dozvíte se, že se v horách nedávno objevila skupina orků a že se místní bojí, aby jejich vesnice nebyla napadena. Co byste rádi udělali?

Zjistím víc podrobností

Zajímáte se o orky a ptáte se trpaslíků a elfů, co o nich vědí. Dozvídáte se, že orkové jsou násilnické bytosti, které se živí loupením a rabováním. Mívají kovové zbroje a jsou velice silní a odolní. V horách se prý pohybují ve velkých skupinách a nikdo neví, kde se přesně nacházejí. Místní stráže se snaží orky sledovat a v případě nebezpečí varovat obyvatele městečka. Co byste rádi udělali dál?

Už orkové na někoho zaútočili? Proč se jich vlastně obyvatelé bojí?

Trpaslíci vám odpovídají, že zatím na nikoho z městečka nezaútočili, ale je možné, že se jen zatím neodvážili vstoupit do městečka. Bojí se, že by mohli být napadeni, pokud by se pokusili o krádeže nebo loupeže. Obecně se orkové bojí, protože jsou velice násilnické bytosti a rádi bojují. Mívají velké sekery a meče a neváhají je použít. Co byste rádi udělali dál?

Dopij pivo a objednej si ještě jedno. Chvilku si s místními ještě povídej, pak zaplať a vyjdi z hospůdky ven.

Dopijete pivo a objednáte si ještě jedno. S trpaslíky a elfy si ještě chvíli povídáte a dozvíte se něco zajímavého o místním životě. Po chvíli se ale rozloučíte a zaplatíte za pivo. Vycházíte ven z hospody a cítíte se příjemně unavení po příjemném odpoledni stráveném v příjemné společnosti. Kde byste se rádi vydali teď? Můžete se vrátit do městečka, vydat se do lesa nebo navštívit okolní hory. Co byste si přáli udělat?

Navštívit kouzelnický obchod

Vydáváte se kouzelnický obchod, který se nachází nedaleko hospody. Míjíte řemeslné dílny a obchody s různými zbožími. Po chvíli dorazíte ke kouzelnickému obchodu, který je označený nápisem „Kouzelné předměty“ a malou cedulí s pentagramem. Otevíráte dveře a vcházíte dovnitř.

Uvnitř vás přivítá kouzelník, malý trpaslík s knírem a brýlemi. Podá vám ruku a usměje se na vás. „Vítejte v mém obchodě, pane,“ říká. „Mám tu mnoho kouzelných předmětů, které by vás mohly zajímat. Můžu vám ukázat nějaký konkrétní předmět, nebo byste raději prozkoumali obchod sami?“ Co byste si přáli udělat?

Zeptat se na orky v horách, kterých se místní bojí

„Promiňte, pane,“ říká kouzelník, „ale o orkách v horách nevím nic konkrétního. Mám ale několik předmětů, které by vám mohly při případném setkání s orky pomoci. Mám tu například amulet, který vás chrání před útoky zbraní a kouzel, nebo kouzelné prsteny, které vám dodají sílu a odolnost.“ Co byste si přáli udělat dál? Chtěli byste se o těchto předmětech dozvědět víc, nebo byste raději prozkoumali obchod sami?

Dozvědět se více

„Samozřejmě, rád vám předměty ukážu a povím vám o nich více,“ říká kouzelník. „Tento amulet vás chrání před útoky zbraní a kouzel, ale má i další schopnosti. Například vás umí skrýt před nebezpečím nebo vás teleportovat do bezpečného místa. Je vyrobený z kouzelného kamene, který je velmi vzácný a ceněný pro své léčivé účinky.

Tento prsten vám dodá sílu a odolnost, ale také vám umožní vyzařovat kouzelné síly. Můžete s ním například ovládat počasí nebo vyvolávat blesky. Je vyrobený z kouzelného kovu, který se těží pouze ve vysokých horách a je velmi těžké ho získat.

Co si přejete udělat dál? Chtěli byste tyto předměty zakoupit nebo byste raději prozkoumali obchod sami?“

Koupím si amulet na ochranu před útoky zbraní a kouzel. Pak se zeptám na výrobu kouzelných lektvarů, které z orků udělají mírumilovné bytosti. Nechci s orky bojovat.

„Rád vám amulet prodám, pane,“ říká kouzelník a vytahuje z regálu malou krabičku s amuletem. „Cena je 500 zlatých. Je to velmi ceněný předmět a věřím, že vám poslouží dobře.

Co se týče kouzelných lektvarů, které by orky učinily mírumilovnými, bohužel takový lektvar neznám. Orkové jsou násilnické bytosti a jejich chování je těžké ovlivnit. Pokud se bojíte s orky bojovat, raději se jim vyhýbejte nebo použijte předměty, které vám pomohou utéct nebo se skrýt.

Chtěli byste amulet zakoupit nebo máte ještě nějaké další dotazy?“

Určitě mám dost zlatých, chtěl bych amulet koupit.

„Výborně, pane,“ říká kouzelník a podává vám amulet v krabičce. „Tady máte 500 zlatých. Děkuji za nákup a přeji vám hodně štěstí s amuletem. Pokud budete mít nějaké další dotazy nebo budete potřebovat něco dalšího, neváhejte se na mě obrátit. Rád vám pomůžu.“

Vkládáte si amulet kolem krku a cítíte, jak se na vašem těle rozzáří malé zlaté světélko. Věříte, že vám amulet poskytne ochranu před nebezpečím a pomůže vám v nouzi. Vděčně kouzelníkovi poděkujete a loučíte se s ním. Kde byste se rádi vydali teď? Můžete se vrátit do městečka, vydat se do lesa nebo navštívit okolní hory. Co byste si přáli udělat?

Najít kouzelný les plný bylin na vaření různých lektvarů.

Vydáváte se do lesa hledat kouzelný les plný bylin na vaření lektvarů. Cestou míjíte řadu různých stromů a keřů, pod kterými roste spousta bylin. Víte, že některé z nich jsou vhodné na vaření lektvarů, ale nevíte, které přesně.

Po chvíli chůze dorazíte k malému průzračnému jezírku, které je obklopené kouzelnými stromy. Všimnete si, že pod nimi roste spousta vzácných bylin, které se používají při vaření lektvarů. Jezírko je obklopené zelenou trávou a na jeho hladině se tančí paprsky slunce. Vybíráte si několik bylin a pak se vydáte zpět do městečka. Cestou se ještě zastavíte v několika řemeslných dílnách, kde si koupíte několik potřebných surovin na vaření lektvarů. Když se vracíte domů, cítíte se unavení, ale šťastní, že jste našli to, co jste hledali. Kde byste se rádi vydali teď? Můžete se vrátit do městečka nebo navštívit okolní hory. Co byste si přáli udělat?

Jakou bytostí jsem v tomto světě já? Umím vařit kouzelné lektvary nebo potřebuji najít pomocníka?

Ve fantasy světě, který jsem pro vás vytvořil, jste bytostí, která se vyznačuje schopností vařit kouzelné lektvary. Víte, jak používat byliny a suroviny pro přípravu různých lektvarů a máte zkušenosti s vařením. Pokud se chcete něčemu novému naučit nebo potřebujete poradit, můžete se obrátit na jiné bytosti, které se vyznají v přípravě lektvarů. Můžete také navštívit kouzelnický obchod nebo se vydat do lesa hledat další vzácné byliny a suroviny. Co byste si přáli udělat teď? Můžete se vrátit do městečka nebo navštívit okolní hory. Co byste si přáli udělat?

Zajít do hospůdky a najít někoho, u koho bych mohl uvařit lektvar.

Vydáváte se do hospůdky a hledáte někoho, kdo by s vámi mohl uvařit kouzelný lektvar. Přicházíte do hospody a vidíte několik místních bytostí, které si povídají a pijí pivo. Míříte k nejbližšímu volnému stolu a zasedáte. Objednáváte si pivo a začnete se rozhlížet kolem sebe, zda nenarazíte na někoho, s kým byste mohli uvařit lektvar.

Po chvíli si všimnete starého elfa, který sedí sám u stolu a pije pivo. Má na sobě kouzelnický hábit a v ruce drží hůlku. Vypadá zkušeně a vy máte pocit, že by s vámi mohl uvařit lektvar. Přistoupíte k němu a zdvořile se ho zeptáte, zda by s vámi nechtěl uvařit kouzelný

pokračuj v textu

lektvar.

Elf se na vás usměje a řekne: „Ano, rád vám pomohu. Mám zkušenosti s vařením různých lektvarů a rád se s vámi podělím o své znalosti. Co byste chtěli uvařit?“ Vy mu řeknete, že máte zájem o lektvar, který by orky učinil mírumilovnými a on se zamyslí.

„Orkové jsou těžké bytosti na ovlivnění,“ řekne. „Jejich chování je velmi těžké změnit. Ale mám nápad na lektvar, který by jim mohl pomoci zmírnit agresivitu a učinit je mírnějšími. Budeme potřebovat několik vzácných bylin a surovin, které se dají najít v okolních horách. Co si myslíte, chtěli byste se s mým pomocí vydat do hor hledat suroviny?“ Co byste si přáli udělat? Chtěli byste se s elfem vydat do hor hledat suroviny, nebo byste raději zůstali v hospodě a hledali někoho jiného?

vydat se do hor

! network error

Jak hrát vlastní textovou hru v ChatGPT

Ano, „network error“, takhle neslavně dopadla má výprava do hor a vesničku trpaslíků jsem před orky nezachránil. A co vy? Textovou hru si můžete zahrát v ChatGPT. Pokud přijdete s nějakým pěkným počátečním zadáním, podělte se prosím s ostatními v komentářích.

Příběh nekončí

Všiml jsem si, že ChatGPT ukládá historii komunikace, tak jsem hru zkusil dohrát. Přišlo mi to, že druhá polovina hry už byla výrazně víc v režii chatbota, jako by mu chyběla instrukce, aby nechával většinu aktivity na mně. I na jednoduchý příkaz začal rozepisovat dlouhý příběh. Když jsem se vydal hor, ChatGPT mi napsal příběh o tom, jak jsem cestou hledal a sbíral byliny, pak se vrátil do městečka, uvařil s Elfem lektvar a skončil takto: „Nyní máte v rukou mocný lektvar, který by mohl pomoci zmírnit agresivitu orků a učinit je mírnějšími. Co byste s ním chtěli udělat?„

Naopak, příjemné překvapení bylo, že si chat pamatoval předměty, které jsem během hry získal a uměl je vypsat. Sice mi do batohu přihodil kouzelnou hůlku, kterou jsem si údajně koupil v kouzelnickém obchodě, ale nevadí. Níže uvádím moji poslední instrukci k ukončení hry a odpověď od chatbota.

Děkuji, tímto ukončuji hru. Sepiš prosím stručně, co jsem v této hře prožil a co jsem dokázal.

V této hře jste navštívili fantasy svět plný nadpřirozených bytostí a magie. Zpočátku jste se vydali do městečka, kde jste si koupili amulet na ochranu před útoky zbraní a kouzel a zeptali jste se na výrobu kouzelných lektvarů. Poté jste se rozhodli navštívit kouzelný les plný bylin na vaření lektvarů.

Následně jste se vydali do hor, kde jste narazili na skupinku agresivních orků. Místo toho, abyste s nimi bojovali, jste se rozhodli jim pomoci zmírnit agresivitu a sepsali jste pro ně kuchařku s recepty na jejich oblíbená jídla, ve kterých byly použity bylinky a suroviny, které pomáhají zmírnit agresivitu. Orkové se po několika týdnech stali mírumilovnějšími a vy jste se rozhodli vrátit do městečka a oznámit místním, co jste dokázali.

Místní byli nadšení z vašeho úspěchu a začali se vás ptát, zda byste s nimi mohli spolupracovat na vývoji dalších receptů a na pomoci jiným bytostem zmírnit jejich agresivitu. Vy jste s nimi začali spolupracovat a vařili jste různé lektvary a kouzla, která pomáhala ostatním bytostem žít v míru.

The post Textová adventura v ChatGPT appeared first on TátaGeek.blog.

Když se na konci minulého roku začaly měnit podmínky ověření účtů na Twitteru, rozvířila se debata o tom, jak ověření identity pro online účty dělat. Jak jsem zjistil, způsob, jakým to dělá Mastodon, je překvapivě elegantní.

Dříve měl Twitter proces ověřování pro významné účty (politici, novináři atd.). Popravdě nevím, co to ověření obnášelo, ale po převzetí Twitteru přišel Musk s tím, že na ověření má nárok kdokoliv, kdo zaplatí 8 dolarů. Paradoxní na tom bylo, že proces najednou vlastně žádné ověření identity neobsahoval. Zaplatili jste 8 dolarů, dostali jste modrý odznáček a mohli jste se vydávat za kohokoliv. Tohle nepřekvapivě nefungovalo, takže po řadě průšvihů během krátké doby tento způsob ověření pozastavili.

Ne, že bych měl potřebu mít své účty na sociálních sítích ověřené, ale zajímalo mě, jestli jde nějakým způsobem ověřit účet na Mastodonu, tam totiž neexistuje nějaká centrální entita, která by vám účty ověřovala. Zjistil jsem, že Mastodon na to jde docela elegantním způsobem. Outsourcuje ověření na správce internetových domén.

Internetová doména je dle mého názoru nejlepším nositelem online identity. Správci internetových domén zpravidla fungují ve veřejném zájmu, mají dlouhodobou kontinuitu, jsou to celosvětově uznávané autority. Domény jsou cenově dostupné a pravidla pro jejich držení jsou relativně volná. Šance, že přijdete o doménu a tedy i o svoji online identitu, je relativně malá. Email je dnes nejčastějším identifikátorem a pokud jej provozujete na vlastní doméně, využíváte tak doménu jako nositele identity napříč online službami. Pokud vlastní doménu nemáte, doporučuji její pořízení. Je to z dlouhodobého hlediska mnohem lepší nápad než se spoléhat na identitu odvozenou od účtů u poskytovatelů služeb (Google, Facebook, Apple, Microsoft…), protože to si na sebe jen šijete jeden velký vendor lock-in.

Mastodon nedělá nic jiného, než že využívá formát XHTML Friends Network, který existuje už od roku 2003. Umožňuje odkazem deklarovat vztah. Na doméně, kterou vlastníte, tak můžete umístit odkaz na svůj profil na Mastodonu ve formátu:

<a href="https://floss.social/@sesivany" rel="me">Me on Mastodon</a>

Instrukce pro vložení odkazu v nastavení Mastodonu.

V profilu na Mastodonu zase odkážete na stránku, která tento odkaz obsahuje, a když Mastodon zpětný odkaz detekuje, označí spojení za ověřené. Tímto spojíte účet se svojí doménou. Pokud na doméně provozujete třeba populární blog, o kterém se obecně ví, že jste za ním vy, může to stačit, ale prokázání toho, že máte kontrolu nad obsahem stránek pod nějakou doménou, ještě neznamená ověření identity.

Profil s ověřením.

Pokud ale vlastníte českou doménu, můžete jít dál. CZ.NIC totiž umožňuje propojit záznam v registru domén s účtem u jimi provozovaného MojeID. To se používá i pro přihlašování do online služeb státní správy a pro tyto účely vyžaduje fyzické ověření osoby. Znamená to tedy, že musíte s občankou naklusat na CzechPoint, kde někdo ověří, že za účtem u MojeID jste opravdu vy (můžete k ověření účtu MojeID použít i eobčanku nebo datovou schránku, ale ty taky vyžadovaly fyzické ověření, když jste si je vytvářeli).

Já mám účet u MojeID takovýmto způsobem ověřený. Řetěz důvěry tak vede od mého účtu na Mastodonu až k ověření s občanským průkazem na CzechPointu. Která online služba takto silné ověření má? Přitom ze strany Mastodonu se jedná o jednoduchou věc na implementaci a mě to stojí zhruba 8 dolarů na poplatcích za doménu ročně, ne měsíčně. A má to mnohem širší využití. Škoda, že XFN nepoužívá více služeb.

Již počtvrté se na české Wikipedii nesl měsíc listopad v duchu největšího světového kontinentu, Asie. Česká Wikipedie se znovu připojila k mezinárodní soutěži s názvem Asijský měsíc Wikipedie. Vznikaly tak nové články o Indii, Japonsku, Blízkém východě a dalších oblastech. O kultuře a osobnostech. Region, který je dlouhodobě na největší světové encyklopedii podhodnocený, se dostal do hledáčku našich dobrovolných editorů.

Mezi 27 účastníky zvítězil wikipedista Podzemnik

V rámci soutěže bylo uskutečněno celkem 909 editací, zapojilo se 27 editorů a přidány byly téměř dva megabajty textu.

Jen pro srovnání: Na německé Wikipedii, která je několikanásobně větší, bylo napsáno okolo šesti set článků a vznikly celkem čtyři megabajty textu.

Vítězem se stal uživatel pod přezdívkou Podzemnik, který napsal 42 článků, další příčky obsadili editoři Svajcr (36 článků) a OJJ (33 článků). Vítězům, které vybrala tříčlenná porota tvořená uživateli Mirek256, Dirillo a Ajrocket, gratulujeme. Celý seznam vítězů najdete na Wikipedii. Organizátory byli wikipedisté Aktron a KKDAII.

Od Japonska po Teherán

A o jakých tématech si mohou nově lidé přečíst? Například o japonských fotografech, jako byl Ihei Kimura, o operaci Yellowbird v Hong Kongu nebo o mramorovém paláci v Teheránu.

Mramorový palác (Teherán), FOTO: Fars Media Corporation, CC BY 4.0 , via Wikimedia Commons

Pokrýváme bílá místa Wikipedie

Česká Wikipedie má v současné době přes 515 000 článků. Velká část z nich se týká toho, co dobrovolní editoři dobře znají, co jim je blízké a co je obecně v české společnosti dobře zdokumentované. Zatímco pražský místopis dosahuje v některých případech úctyhodné kvality a podrobnosti, v případě asijských zemí, kultury a osobností jsou stále velká bílá místa. Nejsou popsány světoznámé hrady, historické postavy, ba i stotisícová města.

Česká Wikipedie si dlouhodobě klade za cíl být encyklopedií, která shromažďuje veškeré lidské znalosti. I proto pro sebe wikipedisté pořádají podobné výzvy a soutěže. Pokud byste chtěli uspořádat soutěž, výzvu nebo akci, mrkněte na komunitní minigranty, díky kterým bychom vás v tom jako spolek Wikimedia ČR mohli podpořit.