Fefes Blog

Fragen? Antworten! Siehe auch: Alternativlos

Fri Jun 23 2017

• [l] In San Francisco gab es eine Reihe von Hausbränden, die so aussehen, als sei das Gentrification 2.0 von Vermietern, die nicht glauben, dass sie realistisch auf legalem Weg ihre Niedrig-Mieter loswerden.
• [l] Genoa sieht gar nicht ein, sich vom 100ml-Flughafen-Bullshit ihre Pesto-Exporte an Touristen kaputtmachen zu lassen und verhängt eine Ausnahmegenehmigung für Pesto.
• [l] Sascha Lobo hat sich mal durch den AfD-Whatsapp-Leak gearbeitet.

  Ich muss ja überhaupt sagen, dass ich es auffällig finde, dass Lobo der einzige ist, der da für seine Kolumne wirklich arbeitet. Anderen Kolumnisten reicht es, wenn sie da mal kurz was über ihre Gefühle runterschreiben. Gute Arbeit, Sascha!

• [l] Katars Nachbarstaaten haben einen Forderungskatalog übergeben. Unter anderem soll Al Jazeera zugemacht werden. Katar hat 10 Tage Zeit.
• [l] In Victoria (Australien) wurden gerade hunderte von Knöllchen für Raser zurückgezogen, weil die Starenkasten mit Ransomware befallen waren.
• [l] Norwegen an Brasilien: Wenn ihr die Amazonas-Abholzung nicht zurückrollt, ziehen wir unseren Staatsfonds ab. Und wir reden hier von über einer Milliarde Dollar umgerechnet.
• [l] Aus der beliebten Kategorie "doch lieber Schafe züchten", heute: TEMPEST-Angriff gegen AES (von OpenSSL) auf einem ARM Cortex, mit 200€-Equipment, das in eine Tasche passt.

Thu Jun 22 2017

• [l] Wisst ihr, was wir lange nicht mehr hatten?

  So einen ordentlichen, zünftigen, amtlichen Verfassungsbruch!

  Und auch ansonsten nähert sich Deutschland Trumpistan an. Das Sondervotum der Opposition zum NSAUA soll schlicht als geheim eingestuft werden, damit die Wähler nichts davon erfahren.

• [l] OVG Münster: Vorratsdatenspeicherung verstößt gegen EU-Recht.

  Telekommunikationsunternehmen können deshalb nicht verpflichtet werden, ab dem 1. Juli die Telefon- und Internetverbindungsdaten aller Bürger zehn Wochen lang speichern zu müssen

  Fuck, Yeah!

  Hier ist die Pressemitteilung dazu.

• [l] Old and busted: covfefe.

  New hotness: fedidwgugl!

• [l] D soll Teil von gcc werden.

  D ist eine Programmiersprache, die sich als Konkurrent zu C++ sieht, und als Nachfolger von C. Die Featureliste klingt auch erst mal nicht schlecht, aber es hat mich persönlich nicht überzeugen können. C++ hat sich ja als Design-Richtlinie entschieden, nur Abstraktionen in der Sprache zu machen, die "nichts kosten", und in der Library im Standard vorzugeben, welche asymptotische Laufzeit die Algorithmen haben sollen. So kann man sich als Programmierer im Wesentlichen darauf verlassen, dass die Laufzeit vorhersagbar und deterministisch bleibt. Überraschungen gibt es jedenfalls nur selbstverschuldete :-)

  Bei D ist genau das über Bord geworfen worden. Das Ziel war anscheinend, ein C++ zu kriegen, das sich mehr wie eine Skriptsprache anfühlt. Problem: An der Stelle kann D nicht mit Go mithalten. Und C++-Programmierer gewinnt es mit dem Ansatz auch nicht viele.

  So hat D Garbage Collection, aber ohne die fanatischen Optimierungen des Go-Teams. D hat dynamische Strings und assoziative arrays, aber als Feature der Sprache, nicht des Runtimes. D nimmt die schlechten Ideen von C++ mit (Template Metaprogramming, Operator Overloading) aber nicht die Vorteile (deterministisches Laufzeitverhalten, zero-cost abstractions).

  Ich hacke auf dem deterministischen Laufzeitverhalten so rum, weil das der Grund ist, wieso heute immer noch viele Realtime-Geschichten in C gemacht werden. Mit striktem Regelkorsett oben drüber, wie "keine Rekursionen" und so. Die Lösung von D? Sie behaupten einfach, man könne in D auch systemnah programmieren. Behaupten reicht nicht, liebe D-Leute.

  Ich will D nicht schlechter machen als es ist. D hat auch gute Ideen. Design by Contract zum Beispiel, das "synchronized"-Keyword, … ist nicht alles schlecht. Und vielleicht wird D-Code ja mit dem Backend von gcc sogar schneller als Go-Code. Auf der anderen Seite hat auch Go ein gcc-Backend. Ich glaube, D ist von Go getötet worden, und gcc macht hier einen Fehler. gcc schleppt schon jetzt mehrere Frontends mit sich herum, die dann nicht ordentlich mitgepflegt werden. java, go, ada, und jetzt dann auch noch D. Und die Probleme im C-Teil bleiben dann liegen (beispielsweise das fehlende Stack Probing, das ich die Tage ansprach).

  Update: Ich sollte das vielleicht knackiger formulieren. Die Vorteile, die D über C++ hat, rechtfertigen dem Umstieg nicht, weil man das zum Großteil auch in C++ haben kann, und dann verliert man nicht seine reingesteckte Erfahrung und den Zugriff auf die ganzen existierenden Libraries. Leute ohne C++-Ballast würden eh lieber gleich zu Go greifen. Und Leute, die die sichere Programmierung haben wollen, mit der D Werbung macht, können das bei Rust haben, ohne die undeterministischen Laufzeiten oder Abstraktionskosten schlucken zu müssen.

• [l] Wie heißt es so schön? It's all fun and games until the Great Mosque of al-Nuri is destroyed?

  Das geschah bei Kämpfen zwischen ISIS und irakischen Truppen. Der Irakische Premier schiebt ISIS die Schuld in die Schuhe, und ISIS sagt, das war Kollateralschaden eines US-Bombardments.

• [l] Kennt ihr den schon? 82jährige Holocaust-Überlebende soll im Flugzeug den Platz wechseln, weil neben ihr ein ultraortodoxer Jude sitzt, der nicht Frauen berühren will, weil die unrein sind?

  Der Fall ist vor Gericht gelandet. Das Gericht entschied völlig überraschend:

  Describing the controversial practice as “discriminatory”, judge Dana Cohen-Lekah ruled that “under absolutely no circumstances can a crew member ask a passenger to move from their designated seat because the adjacent passenger doesn’t want to sit next to them due to their gender”.

  Es hat sicher geholfen, dass der Fall bei einer Richterin lag, die da sowas von gar kein Verständnis für hatte, dass sie das Urteil schon bei dem eigentlich als vorbereitenden Anhörung geplanten Termin sprach.
• [l] Trump hat einen tollen Weg gefunden, die Mauer zu Mexiko den Linken schmackhaft zu machen! Und sie bezahlt sich dann auch selbst!1!!

  Wir tun einfach Solarzellen auf die Mauer nach Mexiko!1!!

• [l] Völlig überraschend stellt sich raus, dass der BND in den USA spioniert hat.
• [l] "George Clooney Sells Tequila Brand to Diageo for $1 Billion"
• [l] Habt ihr das auch gehört? Die fiesen Ausländer nehmen uns die Jobs weg? Ja?

  Nun, … ist eher die Automatisierung als die Ausländer. Der Artikel da ist über ein Stahlwerk in Österreich, das mit nur 14 Mitarbeitern pro Jahr 500.000 Tonnen Stahl produziert.

• [l] Der US-Presse fällt auf, dass das Weiße Haus immer sagt, sie werden was nachreichen, und dann tun sie es nie. Mit einer Liste. Nein, wirklich. Da ist jemand seit Trumps Start durch alle Pressetermine gelaufen und hat nach "I'll get back to you on that" gesucht. Großartig!

Wed Jun 21 2017

• [l] Apples Maßnahmen gegen Leaker sind … geleakt :-)
• [l] Aus der beliebten Serie "You had ONE Job!", heute: Das Pentagon kauft für 28 Millionen Dollar Uniformen in der falschen Farbe.

  Nein, wirklich! Die Uniformen waren für die Truppen in Afghanistan. Gebraucht worden wäre also so Ocker, Wüstentarnfarbe halt. Gekauft haben sie aber Waldtarnfarben, so dunkelgrün und braun.

  Laut dem SIGAR-Bericht machen die Uniformen die Soldaten zu einem gut erkennbaren Ziel für ihre Feinde - in der Umgebung der Wüste sind sie leichter erkennbar. Im Wald sind die Soldaten hingegen nur selten: Afghanistan besteht nur zu zwei Prozent aus Wäldern. Das Pentagon kündigte an, in Zukunft Alternativen zu prüfen.

  Gute Idee! (Danke, Jens)
• [l] Die Religionsbehörden aus der Türkei und Ägypten haben sich ernstlich von der "liberalen Berliner Moschee" trollen lassen und geben Statements von sich, da denkt man erstmal an den Postillon.

  Die Türkei finden, es sei ja wohl völlig offensichtlich, dass das eine fiese Sabotage-Aktion der Gülen-Bewegung gegen den Islam sein (lolwut!?), und zwar so offensichtlich, dass sie nicht finden, irgendwelche Belege vorweisen zu müssen (sowohl die Moschee-Gründerin als auch die Gülen-Bewegung bestreiten das übrigens).

  Was macht diese Moschee eigentlich so liberal? Nun …

  In der Ibn-Rushd-Goethe-Moschee beten Frauen und Männer nebeneinander. Das Gotteshaus steht Sunniten, Schiiten und Aleviten offen. Das erste Freitagsgebet leiteten ein Mann und eine Frau gemeinsam. Die Imamin trug kein Kopftuch.

  SODOM UND GOMORRHA!

  Aber wartet mal, hier ist der Beitrag der Fatwa-Behörde aus Ägypten:

  "Die Behauptung, dass das Tragen des Kopftuchs Frauen diskriminiere, ist falsch. Denn Frauen müssen sich ebenso wie Männer an das islamische Recht halten. Das Bedecken bestimmter Körperteile beim Gebet ist für Musliminnen ebenso Pflicht wie für Muslime, auch wenn es bei Frauen andere Körperteile sind als bei Männern. Bei Verletzung dieser Vorschrift wird das Gebet ungültig."

  Bitte was? Das Gebet wird ungültig? Das klingt ja wie Formularausfüllen im Behördenverhältnis! Nein, mein Herr, das Gebet war ungültig, hier lag ein klarer Formfehler vor!

  Aber das Highlight ist das hier:

  Auch findet die Religionsbehörde nicht, dass Terrorismus und Extremismus durch Bemühungen wie die neue liberale Moschee bekämpft werden könnten: "Im Gegenteil: Die Missachtung der Grundregeln einer Religion ist ebenfalls Extremismus. Es handelt sich um einen Angriff auf die Religion."

  Gut, dass wir das mal geklärt haben!
• [l] Benutzt hier jemand OpenVPN?
• [l] Nachschlag zu dem Stack Probing: Die grsecurity-Leute haben einen länglichen, schwer erträglichen Rant dazu geschrieben, weil sie sich wie immer von allen anderen unterrespektiert fühlen. Aber technisch haben sie, ebenfalls wie immer, mal wieder völlig Recht.

  Ein Einsender kommentiert außerdem:

  Vielleicht wäre es noch gut zu erwähnen, das neben GCC auch clang nicht wirklich Unterstützung für Stack Probes hat… außer man benutzt es unter Windows, weil da Stack Probes anscheinend Teil der ABI sind. Siehe auch dieser schöne Rant.

  Im Zusammenhang mit Rust gabs da in den letzten Tagen etwas Aufregung (Memory safe? Aber ihr habt doch unkontrollierte Stack Overflows!) und einer der Rust Entwickler hat einen Patch für clang gemacht (bzw. einen alten den niemand updaten wollte hoffentlich mergebar gemacht)

  Mit etwas Glück ist das dann wohl zumindest in naher Zukunft mit clang kein Problem mehr.

  Das wäre schön!
• [l] Die Amis haben keine Ausreden mehr. In Georgia war Special Election und sie haben trotzdem wieder den Republikanern die Mehrheit gegeben. OK, Donald, hau rein. Nimm ihnen allen ihre Gesundheitsversorgung, ihre Arbeitslosenbezüge, ihre Food Stamps, verweigere ihnen Hilfe nach Erdbeben und Tornados. Ich habe kein Mitleid mehr mit den Amis. Das ist ja völlig unfassbar.

  Natürlich gibt es wie immer auch andere Erklärungen als "die haben halt so gewählt", nämlich beispielsweise:

  Sporadic downpours and flash flood warnings helped to put a damper on Democratic turnout in base precincts and on the hopes of progressives to thwart Republican efforts to repeal and replace the Affordable Care Act.

  Oh die Flash Flood Warnings haben genau die Demokraten-Hochburgen betroffen? NA SOWAS!
• [l] Macrons neues Kabinett verliert direkt zwei Minister, die "aus persönlichen Gründen" zurücktreten, anscheinend um einer Scheinbeschäftigungsaffäre zu entkommen.

  Das ist ja wie bei Trump! :-)

  Update: Sagte ich zwei Minister? Ich meinte vier Minister! Lolwut?!

• [l] Benutzt hier jemand Software, die RAR-Archive auspacken kann?

  Given the wide prevalence of the unrar source code in third-party software, quite a few downstream parties will be affected. The source code with the fixes can be found under http://www.rarlab.com/rar/unrarsrc-5.5.5.tar.gz - downstream parties are encouraged to quickly update and ship fixes.

  Oh gut, das betrifft bestimmt so gut wie niemanden!1!! Ja gut, ausgenommen 7-zip und so, und natürlich die ganzen Antiviren. Dort war der Bug übrigens zum ersten Mal aufgefallen.

  It appears that the VMSF_DELTA memory corruption that was reported to Sophos AV in 2012 (and fixed there) was actually inherited from upstream unrar. For unknown reasons the information did not reach upstream rar or was otherwise lost, and the bug seems to have persisted there to this day.

  Ja warum würde man auch upstream Bescheid sagen! Da hat man ja einen wettbewerblichen Nachteil von als Schlangenöl, wenn die anderen Schlangenöler informiert werden, und wenn die Software insgesamt sicherer wird!1!!

Tue Jun 20 2017

• [l] Gerade geht ein schönes Paper rum, wie man eine Kollision zwischen Heap und Stack ausnutzen kann.

  Dass das ein Problem ist, war schon immer klar. Der Heap wächst nach oben, der Stack nach unten, was wenn die sich treffen?

  Das Problem ist so alt, dass früher die "Lösung" einfach war, zu sagen, naja, dann ist Speicher alle, und wenn Speicher alle ist, dann crashen die Programme ja auch ohne Kollision!1!!

  Die besseren Programme haben dann irgendwann angefangen, Speicherknappheit zu erkennen und nicht zu crashen, und so gab es auch irgendwann eine halbherzige "Lösung" für das Kollisionsproblem — eine "Guard Page". Speicherschutz funktioniert über eine Hardware-Komponente namens MMU, Memory Management Unit, und die arbeitet nicht auf Bytes sondern auf Pages. Pages sind im Allgemeinen 4KiB groß. Wenn man auf eine Page zugreift, die nicht da ist, dann wirft der Prozessor eine Exception, die das Betriebssystem abfangen kann. So wird beispielsweise Swapping implementiert. Aber wenn der Zugriff auf eine Page war, die nicht da sein sollte, dann kriegt das laufende Programm einen Segmentation Violation signalisiert (theoretisch auch abfangbar, aber üblicherweise nicht abgefangen und prinzipiell auch keine so gute Idee) und crasht.

  Die Idee der Guard Page ist, dass man zwischen dem Ende des Heaps und dem Anfang des Stacks eine Page leer und ungemappt lässt. Das klingt erstmal gut, ist es aber nicht.

  Denn auf dem Stack kann man auch lokale Variablen deklarieren, die größer als eine Page sind, und so die Guard Page überspringen.

  Nichts hiervon ist irgendwie überraschend oder eine neue Erkenntnis. Und die Lösung ist auch offensichtlich. Wenn der Compiler auf dem Stack etwas größer als eine Page alloziert, dann emittiert er eben auch Code, der alle Pages auf dem Weg einmal kurz anfasst.

  Visual Studio tut das seit über 10 Jahren, wahrscheinlich schon viel länger. Seit ich mir das erste Mal deren Disassemblat angeguckt habe, tut es das.

  gcc tut es aber nicht.

  Ich erinnere mich noch, mich 2005/2006 mit meinem Kumpel Ilja über genau dieses Problem unterhalten zu haben, und ich bin mir fast sicher, dass er den gcc-Leuten gesagt hat, sie sollen da mal solchen Code emittieren. Aber er findet gerade kein verlinkbares Material. Dafür, dass gcc da seit 20 Jahren auf einem bekannten Problem sitzt, lege ich aber meine Hand ins Feuer. das war komplett vermeidbar, und die, die es hätten vermeiden müssen, haben es nicht getan. Ohne eine Ausrede dafür zu haben. Hier ist z.B. ein Beitrag von 2013, der das Problem beschreibt. Krasserweise gibt es sogar grundsätzlich Support für Stack Probing in gcc, der ist nur bei C und C++ nicht angeschaltet. Hier ist ein Bug von 2007 dazu. Ich bin mir aber sicher, dass das Problem schon länger bekannt ist.

• [l] Die Chefs von Apple, Microsoft und Amazon gehen in eine Bar, … naja fast :-)

  Wer eine Illustration für eine 404-Seite braucht: Das ist sie.

• [l] Neues Brexit-Ungemacht droht aus einer unerwarteten Ecke: Im Moment verhindern EU-Regularien, dass beispielsweise Italien Champagner verkaufen darf, oder umgekehrt die Briten nicht Thüringer Rostbratwürste. Und nur nach 30 Jahren Verhandlung haben die Briten es geschafft, dass sie ihre "Catbury's"-"Schokolade" in der EU als "Schokolade" vertreiben dürfen. Dafür mussten die EU-Definitionen aufgeweicht werden.

  Nach Brexit könnte es also sein, dass fiese EU-Piraten in UK billige Imitate von Stilton oder Cornish Meat Pie auf den Markt werfen.

  Die Sorge existiert natürlich auch in die andere Richtung.

• [l] Coole Scheiße: Es gibt jetzt die erste Video-Aufnahme einer DNA-Replikation, und sie läuft im Detail subtil anders als angenommen ab.
• [l] Das Weiße Haus hat den Reportern bei der Pressekonferenz verboten, Video- oder Audioaufnahmen zu machen. Wait, what?!

  Acosta described White House press briefings as becoming "kind of useless," and questioned why journalists bother attending if they are not allowed to record on camera or with audio. "It just feels like we're slowly but surely being dragged into what is a new normal in this country where the President of the United States is allowed to insulate himself from answering hard questions."

  Und nicht nur CNN ist stinkig.

  Immerhin, eine gute Nachricht gibt es. Sean Spicer hat auch keinen Bock mehr auf seinen Posten als Pressesprecher.

  Kennt ihr den Film Real Genius? So ein 80ies-Film. Da gab es eine Scene, an die ich mich gerade erinnert fühle. Man sieht eine Vorlesung, der Prof trägt langweiligen Kram vor, und man sieht auf einem Tisch einen Kassettenrekorder stehen, der das aufnimmt, der Student ist lieber an den Strand gegangen. Dann im Laufe der Films kommt die Kamera noch ein paar Mal zurück zu der Szene, jedesmal mehr Rekorder und weniger Studenten, bis am Enden ur noch Rekorder da stehen. Und dann, beim letzten Mal, ist auch der Prof nicht da und ein Tape trägt vor :-)

• [l] Der Europäische Gerichtshof für Menschenrechte hat Russlands Verbot für "Schwulen-Propaganda" als diskriminierend eingestuft.

  Gut, die Einstufung überrascht jetzt nicht, eher dass der ECHR für Russland zuständig ist. Stellt sich raus, dass Russland zugestimmt hat, aber dann muss für Fälle über Russland ein russischer Richter dabei sein. Und so ist es jetzt, der Richter heißt Anatoly Kovler, und der tut auch was er kann, kann aber nicht verhindern, dass da Urteile ergehen.

• [l] Das UK Serious Fraud Office hat Barclays Bank, ihren damaligen CEO und drei andere Funktionäre angeklagt.

  This is the first time any senior bankers have faced charges for events dating to the 2008 crisis.

• [l] Vor ein paar Tagen hat Nordkorea einen US-Studenten zurück in die USA geschickt, den sie da seit 17 Monaten festgehalten hatten.

  Der kam anscheinend im Halbkoma in den USA an, und jetzt ist er spontan an Altersschwäche verstorben.

• [l] Aus der beliebten Kategorie "Nicht der Postillon", heute:

  Zum 1. August 2017 startet ein sechsmonatiges Projekt zur Erprobung von intelligenter Videotechnik. Dafür sollen bis zu 275 Testpersonen gewonnen werden, die freiwillig bei dem Testlauf mitmachen. Die Bundespolizei wird ab 19. Juni 2017 am Bahnhof Berlin Südkreuz für das Projekt werben. Gesucht werden vornehmlich Personen, die den Bahnhof Berlin Südkreuz regelmäßig, im besten Fall mehrmals täglich, nutzen. Wer am häufigsten durch die markierten Kamerabereiche läuft, hat die Chance, neben einem Einkaufsgutschein im Wert von 25 Euro einen von drei attraktiven Hauptpreisen zu gewinnen. Interessenten können sich vor Ort bei der Bundespolizei informieren.

  Die armen Satiriker, ey. Wie sollen die in so einem Umfeld noch Satire machen?
• [l] Also so einen schönen Fall von Datenreichtum hatten wir schon lange nicht mehr!

  GOP Data Firm Accidentally Leaks Personal Details of Nearly 200 Million American Voters

  Datenschutz, Schmatenschutz, wieso würde man die Daten von 200 Millionen Wählern schützen wollen?! Das ist doch bloß dem Kapitalismus im Wege!1!!