ALMAD: Jo klasický hpp. Já si říkám že to vlastně ani nijak nejde když ta pozice "může být umístěná globálně kdekoliv". Těžko uzavřu z Čech jen tak pracovní smlouvu s někým v USA.

ALMAD: Jsem vůči agenturám nějak zaujatý. Tak mám potřebu ukazovat lidem jiné cesty :-D Tu druhou firmu v USA jsem taky přemluvil na kontrakt, původně o tom neuvažovali a hledali zaměstnance fyzicky v USA. Šel jsem na to přes zaměstnance, co šel do důchodu a sháněl za sebe náhradu. A tam je to víc na dobu neurčitou s možností pak dělat ještě další věci. Je to ale menší firma, žádný kolos.

Mě to EOR přijde jako právní termín pro právníky, který nemá význam používat ve vztahu se zaměstnancem, kde stačí jen slovo "agentura".

JARDABEREZA: Tak kdyz si jenom dodavatel a jeste navic jenom na projekt, tak jasne—ale tam me spis prekvapuje ze nabizeli EOR :)

Nicmene prepokladam ze podle dovolenejch a tak mysli tazatel normalni pracovni pomer…

ALMAD: Mám už druhý kontrakt na přímo pro firmu v USA. Ono to jde, když je vůle na obou stranách. První bylo Adobe. Z jejich pohledu jsem byl dodavatel. Jeden z mnoha. Ale šel jsem na to spíš přes kontakt s manažerem, než přes HR.

Kdyby to bylo z pohledu zaměstnance, tak by museli oficiálně vypsat pracovní pozici na kterou by se mohli hlásit zaměstananci a kdokoliv další mimo firmu, příjmací kola, pohovory atd. atd. Ale tady to byl časově omezený projekt, takže na to nemuseli jít cestou zaměstnance a stačil kontrakt. S tím, že jsem věděl co mají za problém a oni mě už znali a věděli, že můžu pomoct.

KOLCON: Uz jsem na to dvakrat delal, hacek jsem neobjevil

JARDABEREZA: Kontrakt naprimo ma taky svoje hacky zejmena pro tu firmu, takze to nebejva moznost, zejmena proto ze ten rozdil je danej jenom ceskejma vtipnejma danema a to je jaksi nezajima :)

KOLCON: Myslím, že je toho plno, ale nikdo tomu neříká EOR, ale prostě agenturní práce.

KOLCON: mrkni na remote.com

KOLCON: Háček je tuším v tom, že o proti kontraktu napřímo dostaneš polovinu peněz nebo možná méně. Každopdáně dobrá otázka a zajímají mě postřehy dalších.

Je běžné že US zaměstnavatelé zaměstnávají v ČR přes nějaké agentury (EOR - Employee of record), takže má člověk českou smlouvu (daně, dovolené, zdravotní sociální) a přitom maká pro někoho v US? Je v tom nějaký háček?

ALMAD: Zabavny, nicmene to je otazka nastaveni vhodnejch -I. Zajimavy, ze to zatim nevyplynulo, mozna to testovali s muslem a ma pricetnejsi include tree, nebo tak neco.

FARIN: Jo, ale ja mluvim o tom ze to pomuze na openssl a ne na moltbook…a YOLO moltbookaru je nejak na svete furt moc

ALMAD: to považuji za dobrý a úspěšný prillad oblasti kde jsou LLM fakt prinos..

a nechci to shazovat, akorát můj pocit z OpenSSL je, že to je velký bordel, hrozně napsaný a že věci které jsou mainstreamove pouzvane jsou prohledané skeznaskrz, ale s temnými zákoutími obskurních protokolu a šifer se nikdo nechce babrat..

ANT_39: Nicmene meli nedavno celkem zarez s openssl

AISLE Discovered 12 out of 12 OpenSSL Vulnerabilities | AISLE
https://aisle.com/blog/aisle-discovered-12-out-of-12-openssl-vulnerabilities

ANT_39: Nemam, jenom tam znam lidi (a ty brzo taky :) ).

A ten zbytek, no, ono je to o kontextu kde a jak se to pouziva a to ovlivnit zavani slovama, po kterejch to z kazdy praskliny vyleze aspon jeden libertarian :)

JANFROG: 2011, srsly? :) nema si kam sahnout je relativni pojem, proste attack surface je vyrazne mensi..

naproti tomu, jen za poslednich 12 mesicu jsem nasel 2 tezky zranitelnosti v V8, vesmes exploitovany.

CVE-2025-5419 - V8 out-of-bounds read/write
CVE-2026-1862 - V8 type confusion

a 2 sandbox escapy

CVE-2025-2783 (Mojo) — sandbox escape
CVE-2025-6558 (ANGLE/GPU) — sandbox escape

A to jen v Chrome. Oproti jednotkam VM escape / hypervisor RCE za poslednich 15 let na vsech moznych virtualizacnich platformach..

No nic, pokud to nevidis ani ted, ze toho je o rad vic a ze ten attack surface je vetsi, kdyz procesujes neco co je untrusted _code_, oproti hardwarem dany izolaci, tak uz te asi nepresvedci nic. :)

E2E4:

VM si nema kam si sahnout.

Fakt ne? CVE-2011-1751, CVE-2017-4901, CVE-2021-29657, CVE-2022-31705, ...