Bezpečnost: XP vs. Vista (2)
24.6.2009, Jiří Černý, článek
V druhé části tohoto článku se budu věnovat již výhradně operačnímu systému Windows Vista. Slovo „výhradně“ ovšem není až tak dalece přesné – některé z níže zmiňovaných utilit vám totiž budou fungovat i pod XP, i jinými Windows. Povětšinou se ale jedná o nástroje, které se na scéně objevily právě až společně s příchodem Vist, a proto o nich také píšu až nyní. Obdobně celou řadu tipů z minulého dílu lze samozřejmě využívat ve Vistách, stejně jako v XP.
Jak jsem již zmiňoval, Visty byly od počátku považovány za „nejbezpečnější Windows v historii“. Otázkou k diskusi však zůstává, o kterých že Windows se původně netvrdilo totéž - a rovněž jak dlouho vlastně takové tvrzení obstálo.
Obecně vzato se ve Vistách najde mnoho zajímavých bezpečnostních novinek i změn přímo v architektuře. Ne všechny však byly přijaty s povděkem. Spousta lidí byla například velmi dlouho zvyklá běžně fungovat pod administrátorským účtem . Ať už to za správný přístup považovat lze, či nelze - faktem přesto zůstává, že nemálo aplikací se zkrátka za jiných okolností chovalo mírně řečeno problematicky. Zkuste si jinak třebas pod XP přidat novou tiskárnu... A právě tento střet zájmů vedl nakonec ke vzniku dnes již „legendarních“ UAC.
User Account Control (UAC) je více než jen pravděpodobně tím zdaleka nejkontroverznějším „vylepšením“ Windows všech dob. Jde o přímy důsledek snahy separovat od sebe jednoznačně uživatelská nastavení a citlivé části OS - ať už v registrech, nebo na HDD. Microsoft se rozhodl vše vyřešit zhruba takto - chce-li nějaká aplikace zabrousit i do nově hájené oblasti operačního systému, nezbude jí, než si „podat žádost“.
Standardní uživatelský účet pochopitelně nemá práva administrátora, ale i pokud se jako administrátor dobrovolně zalogujete, zjistíte, že de facto stejně vlastně pracujete coby "běžný uživatel" a každá taková žádost, respektive výraznější změna (typu přidání nového usera), musí být na každý pád nejprve z vaší strany výslovně potvrzena. Na druhé straně se ale mezi "standardní úkony" přesunula celá řada věcí, např. již zmiňované přidávání tiskáren. To znamená, že nemusíte využívat administrátorský účet jen proto, abyste vůbec mohli nainstalovat ovladače atd. Zde je smyslem přimět uživatele k tomu, aby pokud možno administrátorský účet nepoužíval.
Zjevná výhoda UAC je, že mnoho počítačových virů, spywaru a jiného podobného balastu takto pronikne do vašeho počítače jen velmi obtížně, pokud vůbec. Naopak nevýhoda (vyjma častých otravných hlášek) zase spočívá v tom, že UAC kontroluje s oblibou i vysloveně bezpečné programy, což vám může poměrně brzy začít vadit. Jednou variantou (kterou bych raději nezkoušel) je pak vypnout UAC úplně + pracovat s administrátorskými právy. Jinou - a podle všeho lepší možnost - představuje spouštění některých programů bez UAC prověrky. Konečně lze dosáhnout i deaktivace zabezpečené plochy (tzn. UAC zůstane stále zapnutá, ale zbavíte se alespoň únavného přepínání, spojeného s tmavnutím obrazovky).
BitLocker už je úplně z jiného soudku a ve Vistách představuje jakýsi štít pro vaše data uložená na HDD. Jeho klíčovou úlohou je chránit diskový oddíl s vlastním OS k čemuž je dobře vybaven šifrováním AES 128bit a Trusted Platform Module s PINem (modul na základní desce, sloužící jako úložiště pro ochranu šifrovacích klíčů). Klíč obdobně můžete uložit třebas na USB externí disk, nebo oboje nakombinovat (varianta určená nejen všem paranoidním jedincům). Zkrátka nepřijdou ani správci sítí, kterým se pro tentýž účel vysloveně nabízí rozšíření Active Directory .
Za holou nezbytnost používání BitLockeru považuji každopádně u notebooků, které se dají krást nesrovnatelně lépe, než počítačová sestava odpočívající v kanceláři na vašem stole. BitLocker se v mnoha směrech nakonec projevil jako až nečekaně dobrý nástroj – mj. je rychlý, snadno se používá, má příkazovou řádku, možnost recovery dat. Ačkoliv EFS šifrování samozřejmě fungovalo už ve Windows XP (obsah souborů), každý případný zloděj nyní rychle zjistí, že znepřístupněna je mu i samotná struktura disku (registry, MFT tabulka etc.).
Výše popisovaná „filosofie UAC“ s sebou přinesla samozřejmě i jisté potíže. Pokud ta která aplikace nějak zasahuje řekněme do větví registru HKEY_LOCAL_MACHINE, nemohla by pod Vistami zkrátka fungovat, protože přístup právě do obdobných oblastí je zapovězen a ani se v nich nedá nic moc upravit (bez administrátorských práv). Microsoft tedy musel začít i přemýšlet, jak si s tímto závažným nedostatkem poradit. Visty za tímto účelem nakonec vytvářejí nejen „virtuální větve“ registrů, ale i jakési virtuální adresáře.
V praxi to celé funguje tak, že aplikace (toužící např. po zapsání souborů do jinak chráněného adresáře) je přesměrována do /VirtualStore, kde současně dojde k vytvoření stejnojmenných podadresářů typu Program Files. Teprve do nich se ukládá. Obdobně i v případě registrů, ovšem zde Visty virtualizují jen onen klíč HKEY_LOCAL_MACHINESOFTWARE a to pod nový klíč HKEY_CURRENT_USERSoftwareClassesVirtualStoreMACHINESOFTWARE. Osobně mi toto připadalo velmi zajímavé, byť z pohledu Microsoftu šlo pouze o provizorní řešení problémů se staršími verzemi různých aplikací, než o novou funkci, naprogramovanou vysloveně za účelem dlouhodobého využívání.
O Network Access Protection (NAP) jsem již psal v předešlém díle v souvislosti s SP3 pro Windows XP, takže toto téma netřeba rozpitvávat detailněji. Jde o ověřování (prostřednictvím VPN, DHCP apod.) toho, zda cizí Visty připojující se do naší LAN sítě splňují určené podmínky. V případě že nikoliv, můžeme je zkrátka odmítnout, a uchránit tak ostatní uživatele případných problémů.
Group Policy Management je nepochybně vynikající rozšíření pro administrátory. Co všechno se s ním vlastně dá konkrétně dělat? Tak námatkou spravovat lokální uživatele/skupiny, resetovat jim hesla, mapovat síťové disky, kopírovat soubory/složky mezi stanicemi, spravovat registrové klíče, vytvářet na stanicích VPN... jak je vidět, možností se nabízí opravdu nemálo. Připomínám i zobrazování systémových a skrytých souborů, které se může správcům sítě nemálo hodit. Skrze Group Policy pak kontrolujete instalaci externích zařízení, což je skvělé například jako možná prevence proti krádežím dat.
Vista Firewall se dočkal vylepšení právě v těch směrech, které jsem dříve kritizoval v souvislosti s XP. Konečně tedy hlídá komunikaci oběma směry, stejně jako veškeré protokoly. Microsoft ale zašel ještě mnohem dál. Tento firewall je údajně odvozen od WXP/64 (WS2003/64) a nastavíte s ním i výjimky programům/portům, rozlišuje různé sítě a všeobecně řečeno v jedné „centrále“ spojuje dohromady ty komponenty, které nikdy dříve ve Windows propojeny nebyly. V praxi lze díky tomu řekněme nejen povolit vybraný komunikační kanál, ale současně určit, že tento kanál bude otevřený výhradně pro ověřená spojení a konečně na něm dosáhnout i šifrování (IPSec).
Navzdory všem těmto výhodám byl Vista Firewall od počátku kritizován kvůli málo intuitivnímu ovládání a absenci funkce, ohlašující pokusy programů o odchozí komunikaci. Zejména začátečníci tak měli značné problémy a není se co divit, že se rychle objevily nadstavby typu Vista Firewall Control (bohužel, ani právě tento pokus nedopadl nejlépe). Ke všemu Symantec brzy upozornil na to, že už samotná koncepce firewallu je chybná, neboť malware si může přístup k Internetu sám povolit a zvesela začít odesílat data (Symantec mimochodem snadno obešel i takový PatchGuard, který v 64bitové verzi Windows brání programům v upravování jádra). Pohoršení svého času vzbudila rovněž zpráva, dle které mělo být v implicitně nastaveném firewallu korigování odchozích spojení defaultně vypnuto (ono stačí jen zapřemýšlet, kolik tak lidí si hned po instalaci OS jde zrovna takovéto věci zapínat).
Je tedy zřejmé, že i Vista Firewall je nástrojem problematickým, byť tomu vlastně tak vůbec být nemuselo. Microsoft si tak nějak jenom neuvědomil, že celá řada běžných uživatelů Windows si s ním zkrátka dost dobře neporadí. Ačkoliv nelze tvrdit, že by byl vysloveně špatný po technické stránce (ona chyba odhalená Symantecem se nakonec týkala i jiných firewallů), možná by vám řada jiných přesto mohla vyhovovat více. Dodávám ještě, že ve vlastním Centru zabezpečení oproti Window XP SP2 přibyla nová kategorie, která má na starost monitoring Internet Exploreru + UAC.
Alespoň Windows Defender alias Microsoft AntiSpyware představuje poměrně účinnou pomoc v boji proti nežádoucímu spywaru. Spolupracuje i s Internet Explorerem 7, ale sám o sobě rozhodně není důvodem, proč bych chtěl IE7 vůbec začít používat. Nicméně jiné jeho dovednosti už jsou mnohem zajímavější. Postaven je kolem GIANT AntiSpyware a na rozdíl od jiných freeware prográmků obsahuje i nástroje pro aktivní monitorování a funkci Ochrana v reálném čase. Automaticky stahuje aktualizace, scannuje na pozadí (+ umožňuje naplánování systémového scannu na požadovaný čas) a zahrnuje rovněž Průzkumníka sofwaru. Díky tomu není problém nechat si rychle zobrazit všechny programů, spouštěné bezprostředně po startu operačního systému.
Tomuto tématu jsem se vlastně až doposud vyhýbal, nicméně se zabezpečením to vlastně tak trochu souvisí a navíc právě ve Vistách je rodičovská kontrola poměrně propracovaná. Lze jí přirozeně aplikovat na účet standardního uživatele a mj. díky ní zjišťovat, s kým váš potomek ve volném čase komunikuje, jaké programy si spouští, kolik hodin denně tráví na Internetu atd. Zajímavostí je možnost blokace konkrétních aplikací a vybraných počítačových her (kupříkladu v závislosti na jejich názvu).
Dále zde nalezneme i praktický webový filtr umožňující mj. redukovat stahování souborů. Tím se samozřejmě opět citelně snižuje možnost, že se do vašeho počítače (UAC navzdory) vetře nějaký ten nežádoucí virus. Konečně zmíním ještě nastavování časových limitů, po jejichž uplynutí zkrátka dítě bude automaticky odhlášeno a mimo dobu úředně povolenou se navíc už ani nepřihlásí.
Z hlediska bezpečnosti přinesl první Service Pack pro Visty nejen aktualizace a opravy. Na své si přišli vývojáři odpovídajícího softwaru (antivirové programy atp.), kteří se konečně dočkali zabezpečené komunikace s rozhraním aplikace Windows Security Center . Zmínit dále musím API pro komunikaci s PatchGuard a potom několik upgradů – zejména záležitostí jako RDP, PRNG, či BitLocker Drive Encryption.
SP2 nejprve poněkud zaskočil tím, že vyžadoval nainstalovaný SP1. Jelikož nic moc vysloveně zajímavého však stejně neobsahoval (samozřejmě - různé hotfixy a updaty zaměřené na bezpečnost nechyběly), netřeba se mu detailněji věnovat.
Závěrem bych ještě rád vzpomenul test společnosti PC Tools z loňského roku, který by mohl teoreticky poskytnout asi tak nejzajímavější odpověď na případnou otázku typu „jsou tedy bezpečnější XP, nebo Visty“. V rámci tohoto testu bylo půl roku monitorováno tisíc počítačů a s pomocí ThreatFire se počítaly „unikátní bezpečnostní incidenty“ (pod tím si představte prostě proniknutí nějakého škodlivého kódu). Ze srovnání XP vs. Vista vyšly lépe Visty, bezpečnější o 37% (639 incidentů vs. 1021 incidentů). Jednoznačně nejlépe nakonec ovšem paradoxně dopadly stařičké Windows 2000 s počtem 586 incidentů – byť samozřejmě „díky“ tomu, že je v té době již používalo minimum uživatelů. Alespoň za krátké zamyšlení však tento poznatek podle mě stojí.
Obecně vzato se ve Vistách najde mnoho zajímavých bezpečnostních novinek i změn přímo v architektuře. Ne všechny však byly přijaty s povděkem. Spousta lidí byla například velmi dlouho zvyklá běžně fungovat pod administrátorským účtem . Ať už to za správný přístup považovat lze, či nelze - faktem přesto zůstává, že nemálo aplikací se zkrátka za jiných okolností chovalo mírně řečeno problematicky. Zkuste si jinak třebas pod XP přidat novou tiskárnu... A právě tento střet zájmů vedl nakonec ke vzniku dnes již „legendarních“ UAC.
Uživatelské účty a šifrování
User Account Control (UAC) je více než jen pravděpodobně tím zdaleka nejkontroverznějším „vylepšením“ Windows všech dob. Jde o přímy důsledek snahy separovat od sebe jednoznačně uživatelská nastavení a citlivé části OS - ať už v registrech, nebo na HDD. Microsoft se rozhodl vše vyřešit zhruba takto - chce-li nějaká aplikace zabrousit i do nově hájené oblasti operačního systému, nezbude jí, než si „podat žádost“.
Standardní uživatelský účet pochopitelně nemá práva administrátora, ale i pokud se jako administrátor dobrovolně zalogujete, zjistíte, že de facto stejně vlastně pracujete coby "běžný uživatel" a každá taková žádost, respektive výraznější změna (typu přidání nového usera), musí být na každý pád nejprve z vaší strany výslovně potvrzena. Na druhé straně se ale mezi "standardní úkony" přesunula celá řada věcí, např. již zmiňované přidávání tiskáren. To znamená, že nemusíte využívat administrátorský účet jen proto, abyste vůbec mohli nainstalovat ovladače atd. Zde je smyslem přimět uživatele k tomu, aby pokud možno administrátorský účet nepoužíval.
Zjevná výhoda UAC je, že mnoho počítačových virů, spywaru a jiného podobného balastu takto pronikne do vašeho počítače jen velmi obtížně, pokud vůbec. Naopak nevýhoda (vyjma častých otravných hlášek) zase spočívá v tom, že UAC kontroluje s oblibou i vysloveně bezpečné programy, což vám může poměrně brzy začít vadit. Jednou variantou (kterou bych raději nezkoušel) je pak vypnout UAC úplně + pracovat s administrátorskými právy. Jinou - a podle všeho lepší možnost - představuje spouštění některých programů bez UAC prověrky. Konečně lze dosáhnout i deaktivace zabezpečené plochy (tzn. UAC zůstane stále zapnutá, ale zbavíte se alespoň únavného přepínání, spojeného s tmavnutím obrazovky).
BitLocker už je úplně z jiného soudku a ve Vistách představuje jakýsi štít pro vaše data uložená na HDD. Jeho klíčovou úlohou je chránit diskový oddíl s vlastním OS k čemuž je dobře vybaven šifrováním AES 128bit a Trusted Platform Module s PINem (modul na základní desce, sloužící jako úložiště pro ochranu šifrovacích klíčů). Klíč obdobně můžete uložit třebas na USB externí disk, nebo oboje nakombinovat (varianta určená nejen všem paranoidním jedincům). Zkrátka nepřijdou ani správci sítí, kterým se pro tentýž účel vysloveně nabízí rozšíření Active Directory .
Za holou nezbytnost používání BitLockeru považuji každopádně u notebooků, které se dají krást nesrovnatelně lépe, než počítačová sestava odpočívající v kanceláři na vašem stole. BitLocker se v mnoha směrech nakonec projevil jako až nečekaně dobrý nástroj – mj. je rychlý, snadno se používá, má příkazovou řádku, možnost recovery dat. Ačkoliv EFS šifrování samozřejmě fungovalo už ve Windows XP (obsah souborů), každý případný zloděj nyní rychle zjistí, že znepřístupněna je mu i samotná struktura disku (registry, MFT tabulka etc.).
Hračky pro vývojáře i administrátory
Výše popisovaná „filosofie UAC“ s sebou přinesla samozřejmě i jisté potíže. Pokud ta která aplikace nějak zasahuje řekněme do větví registru HKEY_LOCAL_MACHINE, nemohla by pod Vistami zkrátka fungovat, protože přístup právě do obdobných oblastí je zapovězen a ani se v nich nedá nic moc upravit (bez administrátorských práv). Microsoft tedy musel začít i přemýšlet, jak si s tímto závažným nedostatkem poradit. Visty za tímto účelem nakonec vytvářejí nejen „virtuální větve“ registrů, ale i jakési virtuální adresáře.
V praxi to celé funguje tak, že aplikace (toužící např. po zapsání souborů do jinak chráněného adresáře) je přesměrována do /VirtualStore, kde současně dojde k vytvoření stejnojmenných podadresářů typu Program Files. Teprve do nich se ukládá. Obdobně i v případě registrů, ovšem zde Visty virtualizují jen onen klíč HKEY_LOCAL_MACHINESOFTWARE a to pod nový klíč HKEY_CURRENT_USERSoftwareClassesVirtualStoreMACHINESOFTWARE. Osobně mi toto připadalo velmi zajímavé, byť z pohledu Microsoftu šlo pouze o provizorní řešení problémů se staršími verzemi různých aplikací, než o novou funkci, naprogramovanou vysloveně za účelem dlouhodobého využívání.
O Network Access Protection (NAP) jsem již psal v předešlém díle v souvislosti s SP3 pro Windows XP, takže toto téma netřeba rozpitvávat detailněji. Jde o ověřování (prostřednictvím VPN, DHCP apod.) toho, zda cizí Visty připojující se do naší LAN sítě splňují určené podmínky. V případě že nikoliv, můžeme je zkrátka odmítnout, a uchránit tak ostatní uživatele případných problémů.
Group Policy Management je nepochybně vynikající rozšíření pro administrátory. Co všechno se s ním vlastně dá konkrétně dělat? Tak námatkou spravovat lokální uživatele/skupiny, resetovat jim hesla, mapovat síťové disky, kopírovat soubory/složky mezi stanicemi, spravovat registrové klíče, vytvářet na stanicích VPN... jak je vidět, možností se nabízí opravdu nemálo. Připomínám i zobrazování systémových a skrytých souborů, které se může správcům sítě nemálo hodit. Skrze Group Policy pak kontrolujete instalaci externích zařízení, což je skvělé například jako možná prevence proti krádežím dat.
Firewall a boj proti spyware
Vista Firewall se dočkal vylepšení právě v těch směrech, které jsem dříve kritizoval v souvislosti s XP. Konečně tedy hlídá komunikaci oběma směry, stejně jako veškeré protokoly. Microsoft ale zašel ještě mnohem dál. Tento firewall je údajně odvozen od WXP/64 (WS2003/64) a nastavíte s ním i výjimky programům/portům, rozlišuje různé sítě a všeobecně řečeno v jedné „centrále“ spojuje dohromady ty komponenty, které nikdy dříve ve Windows propojeny nebyly. V praxi lze díky tomu řekněme nejen povolit vybraný komunikační kanál, ale současně určit, že tento kanál bude otevřený výhradně pro ověřená spojení a konečně na něm dosáhnout i šifrování (IPSec).
Navzdory všem těmto výhodám byl Vista Firewall od počátku kritizován kvůli málo intuitivnímu ovládání a absenci funkce, ohlašující pokusy programů o odchozí komunikaci. Zejména začátečníci tak měli značné problémy a není se co divit, že se rychle objevily nadstavby typu Vista Firewall Control (bohužel, ani právě tento pokus nedopadl nejlépe). Ke všemu Symantec brzy upozornil na to, že už samotná koncepce firewallu je chybná, neboť malware si může přístup k Internetu sám povolit a zvesela začít odesílat data (Symantec mimochodem snadno obešel i takový PatchGuard, který v 64bitové verzi Windows brání programům v upravování jádra). Pohoršení svého času vzbudila rovněž zpráva, dle které mělo být v implicitně nastaveném firewallu korigování odchozích spojení defaultně vypnuto (ono stačí jen zapřemýšlet, kolik tak lidí si hned po instalaci OS jde zrovna takovéto věci zapínat).
Je tedy zřejmé, že i Vista Firewall je nástrojem problematickým, byť tomu vlastně tak vůbec být nemuselo. Microsoft si tak nějak jenom neuvědomil, že celá řada běžných uživatelů Windows si s ním zkrátka dost dobře neporadí. Ačkoliv nelze tvrdit, že by byl vysloveně špatný po technické stránce (ona chyba odhalená Symantecem se nakonec týkala i jiných firewallů), možná by vám řada jiných přesto mohla vyhovovat více. Dodávám ještě, že ve vlastním Centru zabezpečení oproti Window XP SP2 přibyla nová kategorie, která má na starost monitoring Internet Exploreru + UAC.
Alespoň Windows Defender alias Microsoft AntiSpyware představuje poměrně účinnou pomoc v boji proti nežádoucímu spywaru. Spolupracuje i s Internet Explorerem 7, ale sám o sobě rozhodně není důvodem, proč bych chtěl IE7 vůbec začít používat. Nicméně jiné jeho dovednosti už jsou mnohem zajímavější. Postaven je kolem GIANT AntiSpyware a na rozdíl od jiných freeware prográmků obsahuje i nástroje pro aktivní monitorování a funkci Ochrana v reálném čase. Automaticky stahuje aktualizace, scannuje na pozadí (+ umožňuje naplánování systémového scannu na požadovaný čas) a zahrnuje rovněž Průzkumníka sofwaru. Díky tomu není problém nechat si rychle zobrazit všechny programů, spouštěné bezprostředně po startu operačního systému.
Rodiče kontra děti
Tomuto tématu jsem se vlastně až doposud vyhýbal, nicméně se zabezpečením to vlastně tak trochu souvisí a navíc právě ve Vistách je rodičovská kontrola poměrně propracovaná. Lze jí přirozeně aplikovat na účet standardního uživatele a mj. díky ní zjišťovat, s kým váš potomek ve volném čase komunikuje, jaké programy si spouští, kolik hodin denně tráví na Internetu atd. Zajímavostí je možnost blokace konkrétních aplikací a vybraných počítačových her (kupříkladu v závislosti na jejich názvu).
Dále zde nalezneme i praktický webový filtr umožňující mj. redukovat stahování souborů. Tím se samozřejmě opět citelně snižuje možnost, že se do vašeho počítače (UAC navzdory) vetře nějaký ten nežádoucí virus. Konečně zmíním ještě nastavování časových limitů, po jejichž uplynutí zkrátka dítě bude automaticky odhlášeno a mimo dobu úředně povolenou se navíc už ani nepřihlásí.
Service Packy
Z hlediska bezpečnosti přinesl první Service Pack pro Visty nejen aktualizace a opravy. Na své si přišli vývojáři odpovídajícího softwaru (antivirové programy atp.), kteří se konečně dočkali zabezpečené komunikace s rozhraním aplikace Windows Security Center . Zmínit dále musím API pro komunikaci s PatchGuard a potom několik upgradů – zejména záležitostí jako RDP, PRNG, či BitLocker Drive Encryption.
SP2 nejprve poněkud zaskočil tím, že vyžadoval nainstalovaný SP1. Jelikož nic moc vysloveně zajímavého však stejně neobsahoval (samozřejmě - různé hotfixy a updaty zaměřené na bezpečnost nechyběly), netřeba se mu detailněji věnovat.
Závěrem bych ještě rád vzpomenul test společnosti PC Tools z loňského roku, který by mohl teoreticky poskytnout asi tak nejzajímavější odpověď na případnou otázku typu „jsou tedy bezpečnější XP, nebo Visty“. V rámci tohoto testu bylo půl roku monitorováno tisíc počítačů a s pomocí ThreatFire se počítaly „unikátní bezpečnostní incidenty“ (pod tím si představte prostě proniknutí nějakého škodlivého kódu). Ze srovnání XP vs. Vista vyšly lépe Visty, bezpečnější o 37% (639 incidentů vs. 1021 incidentů). Jednoznačně nejlépe nakonec ovšem paradoxně dopadly stařičké Windows 2000 s počtem 586 incidentů – byť samozřejmě „díky“ tomu, že je v té době již používalo minimum uživatelů. Alespoň za krátké zamyšlení však tento poznatek podle mě stojí.
