Fragen? Antworten! Siehe auch: Alternativlos
Und jetzt das:
Bomb disposal experts were called to the Sellafield nuclear reprocessing plant after a routine audit of chemicals stored on the site.ABER NATÜRLICH besteht da Explosionsgefahr! Was soll da auch sonst bestehen? (Danke, Magnus)
Ich bin ja ein Freund davon, wenn Firmen Bugs in Software finden, und nicht bloß Bug Bounties ausschreiben und hoffen, dass ihnen die Bugs schon von außen gemeldet werden. Das ist eine Unsitte, weil es das Bugfinden zu einer Finanztransaktion macht und einen Markt schafft, in dem Geheimdienste einfach mehr zahlen können und dann kriegen die halt die Bugs und nicht der Hersteller.
Aber ich muss mich an der Stelle wundern, wenn die so tolle Mechanismen haben da (und der Hauptzweck des Artikels ist offensichtlich das Protzen, was sie für tolle Möglichkeiten haben), wieso verwenden sie sie dann nicht, um ihren eigenen Gammelbrowser besser zu machen?
Lasst euch von dem ganzen Mitigation-Gelaber nicht blenden. Das ist sowas wie eine Bankrotterklärung. "Wir versuchen gar nicht mehr, alle Bugs zu finden. Wir machen Mitigations rein". Das ist wie "Wir müssen unsere Dienste nicht absichern, wir haben ja eine Firewall".
Außerdem: Habt ihr euch mal gefragt, wieso die so viele Mitigations haben? Wieso hat der Less Privileged App Container nicht gereicht? Weil jede Mitigation umgehbar ist. Manchmal dauert das ein bisschen, manchmal geht es flott. Alles, was das tut, ist die wohlmeinenden Forscher behindern. Die Geheimdienste nehmen dann halt mehr Geld in die Hand.
Wenn ich Mitigation höre, dann denke ich mir immer: Je mehr Geld in Mitigations fließen, desto weniger Geld ist offensichtlich in das Finden und Schließen von Bugs geflossen. Das ist aus meiner Sicht ein Antipattern.
Im Übrigen möchte ich noch kurz darauf hinweisen, dass der Bugtracker von Chrome offen ist, da können wir alle reingucken, und uns davon überzeugen, wie schlimm der Zustand des Produktes ist. Das traut sich Microsoft bei ihrem Browser nicht (aber es gibt immerhin bei Chakra auch einen externen Bugtracker). Warum wohl?
Ein cheap shot, diese Aktion. Wirft kein gutes Licht auf Microsoft.
Das gab übrigens, wie ihr euch sicher vorstellen könnt, einige interessante Gespräche mit Microsoft-Mitarbeitern, als ich da beruflich vor Ort war :-)
Jedenfalls hätte ich mir damals nicht träumen lassen, wenn ich meine Software nicht nach Windows portiere, dass Microsoft dann halt Windows zu meiner Software portieren würde. Das Windows Fall Creators Update kommt mit dem "Windows Subsystem for Linux". Das habe ich gerade mal ausprobiert und darin eines meiner dietlibc-Binaries gestartet, das ls von embutils. Das erste Binary, das ich probiert habe, segfaultete direkt. Also habe ich nochmal alles make clean gemacht, neu gebaut, das neue Binary mit Debug Info rüberkopiert, aufgerufen, und es tat einfach.
Jetzt bin ich ja doch ziemlich geflasht, muss ich euch sagen.
Das muss ich erstmal verdauen.
Eine wichtige Bezugsperson des Terroristen Anis Amri in der militanten Islamistenszene war ein V-Mann des Landeskriminalamts Nordrhein-Westfalen. Recherchen des rbb und der "Berliner Morgenpost" belegen nun, dass die sogenannte Vertrauensperson VP-01 frühzeitig Islamisten zu Anschlägen in Deutschland angestachelt haben soll. Laut eines Zeugens war dabei auch von einem Anschlag mit einem Lkw die Rede.Tja, so ein Verfassungsschutz braucht halt Geld. Und Geld kriegt man als Verfassungsschutz nach Anschlägen.
Update: Jaja, LKA, nicht Verfassungsschutz. Hört doch mal auf, mir meine Witze mit euren Fakten kaputtzumachen!1!!
Vmware hat natürlich sofort reagiert, und schlägt vor:
To workaround this issue, use one of these options:- Download Flash Player 27 Beta […]
Note: This is a Beta build and used at your own risk.
- Use an older version of Shockwave Flash
Na ein Glück, dass wir das geklärt haben!
Besteht Gefahr für die Gesundheit der Tiere, so kann dies einen Notstand bedeuten, der Tierschützer zum Eindringen in einen Zuchtbetrieb berechtigen kann.Oh wow! (via)
The US uses the Islamic State insurgency as a tool in Afghanistan, aimed at destabilizing the whole region, the former Afghan president told RT, urging the international community to convince the US that it needs to actually fight terrorism.
Wenn euch das an das systemd-Problem vor einer Weile erinnert, insbesondere Microsofts "Lösung" für das Problem, dann seid ihr nicht alleine :-)
Update: War ein Repost.
Und zwar handelt es sich um das Bundesinstitut für Risikobewertung, die sollten sich zu Glyphosat äußern. Das Ergebnis-Papier hat einige Aktivisten dermaßen an die Argumentation von Monsanto erinnert, dass sie ein Plagiatsgutachten in Auftrag gaben. Ergebnis:
Es sei „offensichtlich, dass das BfR keine eigenständige Bewertung der zitierten Studien vorgenommen hat“, sagt Dr. Stefan Weber, der im Auftrag von GLOBAL 2000 ein Plagiatsgutachten erstellt hat. Über „zahlreiche Seiten hinweg“ seien Textpassagen „praktisch wörtlich übernommen“ worden.Ach naja, denkt ihr euch jetzt vielleicht, das werden unwichtige Randnotizen gewesen sein, nicht der Kernteil.
Das Kapitel zur Gentoxizität, also zur erbgutschädigenden Wirkung von Glyphosat, wurde sogar fast vollständig und fast wortwörtlich übernommen.Endlich geht mal eine Behörde sorgsam mit unseren Steuergeldern um!1!!
Aber hey, wichtig ist ja nicht das Bundesinstitut sondern die EU an der Stelle. Nicht wahr? Und die machen ja sicher ordentliche Gutachten. Nicht wahr?
Der Bewertungsbericht des BfR und damit die wissenschaftliche Grundlage für die von der EU-Kommission vorgeschlagene Zulassungsverlängerung von Glyphosat erfülle in wesentlichen Teilen die „Kriterien eines Textplagiats“.Oh. Äh.
Hmm. Na was sagt denn die EU dazu?
But Efsa's Url also said that some of the criticism that members of the European Parliament have made of his agency are "hypocritical."He referred to when MEPs tell Efsa they should publish more studies, even though many of them are protected by intellectual property rights, because they are owned by private companies.
Oh ACH SO ist das! Die mit unseren Steuergeldern bezahlten "Studien" dürfen gar nicht veröffentlicht werden, weil ihr euch die Rechte dazu nicht vertraglich habt zusichern lassen?Ja das ist dann wohl Schicksal, da kann man nichts machen!1!! *augenroll*
Die Behörde wies den Zeitungsbericht am Freitag umgehend zurück. Die Behauptungen seien ein "weiterer Versuch", den von EU-Experten verfassten Bericht in Zweifel zu ziehen, erklärte die Efsa.Well yeah. Das ist die Aufgabe der Presse. Dafür haben wir die Presse. Manche Leute haben echt ein Demokratieverständnis, da kann man sich nur noch an den Kopf fassen. (Danke, Martin)
Nach einigem Suchen ist der Übeltäter nun gefunden: Ein Stromgenerator der örtlichen Elektrizitätswerke. Der Versorger lässt gerade ein Transformatorenhaus in Waanrode umbauen. Damit aber trotzdem ausreichend Energie im Dorf vorhanden ist, hat man einen Stromgenerator dazu geschaltet. Damit der aber wiederum nicht kollabiert, wenn plötzlich die Solaranlagen anspringen, wurde die Stromfrequenz leicht verändert. Statt wie sonst üblich mit 50 Hertz, fließt der Strom in Waanrode nun mit 51 Hertz.Ja und so Gammel-Billiguhren, die ihre Zeit aus dem Stromnetz beziehen, die laufen dann halt schneller. m(
Update: Ich habe vor Jahren mal einen Auftrag bei einem Stromunternehmen gehabt. Als ich zu denen vor Ort kam, war an der Wand so ein LCD-Display, auf dem stand sowas wie 50.000000123. Ich guckte fragend, da erklärten sie mir, dass das die Netzfrequenz ist. Wenn mehr oder weniger Strom abgenommen als eingespeist wird (das ist Jahre her und ich bin kein Elektriker, verzeiht mir also Falschdarstellungen an dieser Stelle), dann schlägt sich das auf die Stromfrequenz nieder. Und weil so viele Geräte das Stromnetz zur Zeitberechnung nehmen, misst der Stromanbieter die Frequenz und … macht dann nachts Korrektur-Änderungen. Wenn also tagsüber die Frequenz um ein paar Millihertz abgewichen ist, lässt man das nachts in die Gegenrichtung zurückabweichen, damit die Uhren wieder richtig gehen.
Für mich war das damals ein massiver Fnord, aber wenn man das verstanden hat, versteht man auch, dass es sogar eine bessere Idee ist, wenn Uhren die Zeit vom Stromnetz nehmen, als wenn sie einen eigenen Quartz haben. So ein Quartz geht pro Jahr ein paar Minuten falsch, das Stromnetz hoffentlich nie. Außer halt jetzt in Belgien :-) (Danke, Tobias)
Ich glaube, ich habe meine Position zu Zertifizierungen schon geäußert über die Jahre. Ich halte das im Wesentlichen für Geldschneiderei.
Das Argument für Zertifikate ist, dass es den Vendor dazu bringt, mal ordentliche Prozesse zu installieren.
Allerdings würde ich lieber bei jemandem kaufen, der 200k in gute Prozesse investiert, als in jemanden, der 100k in Prozesse investiert und 100k für Zertifizierungs-Bullshit ausgibt. Und, mal ganz zurückhaltend und vorsichtig formuliert: Die Existenz einer Zertifizierung ist kein Garant dafür, dass die Prozesse a) gut und b) gut umgesetzt wurden.
Zertifizierungen sind eine Mitesser-Branche, die sich an ansonsten profitable Branchen anhängt und deren Profite absaugt. Genau wie Anwälte :-)
Aber es gibt eine geradezu irrationale Hochachtung für Zertifikate, gerade in Deutschland. Vielleicht taugt dieses Beispiel, um da mal ein bisschen die Luft rauszulassen. Wer pfuschen will, wird auch zukünftig pfuschen, ob mit oder ohne Zertifikat. Und viele Zertifikate belegen nur die Existenz von Prozessen, nicht von guten oder sinnvollen Prozessen.
Beispielhaft für die pseudoreligiöse Verehrung von Zertifikaten sei hier mal die Pressemitteilung von Yubico verlinkt, als sie ansagten, dass sie aus Sicherheitsgründen (!) keine Open Source-Firmeware mehr verbauen wollen, sondern nur noch zertifizierte Qualität wie das Zeug von Infineon. (via)
Update: Das ist sogar noch ein bisschen peinlicher, denn die Prüfung war nicht vom BSI sondern von TÜV IT. Das BSI hat das dann abgestempelt. (Danke, Benjamin)
Der Bug ist so blöde, das kannste dir gar nicht ausdenken. Setzt euch mal stabil hin:
“The problem is, the RSA private key that belongs to the public pair that was used for the signature checking, could be found on the internet as part of an example application of a software library,” according to his research.Das ist ja NOCH geiler als seinen Private Key bei Github hochladen! Jemand anderes Private Key von Github nehmen! Hey, bei so einem Hersteller will man doch seine Infrastruktur einkaufen!1!!Übrigens, mal am Rande:
Rad said the vulnerabilities were discovered on May 10 and initial disclosure of the bugs to Lenovo was May 14. Ten days later Lenovo confirmed the vulnerabilities with coordinated public disclosure occurring on Oct. 5.Die haben ernsthaft seit Mai auf dem Problem gesessen. Wenn die Lösung war, einen neuen Key zu erzeugen und auszurollen. SEIT MAI.Oh und die Auswirkung? Remote Code Execution natürlich!
Ein Patent des Publishers Activision dreht sich um ein spezielles Matchmaking-System, das den Verkauf von Bezahlinhalten in Spielen weiter anfeuern könnte. Indem Spieler durch bestimmte Algorithmen ganz gezielt mit Vorbildern in eine Multiplayer-Partie gesteckt werden, sollen sie zum Kauf etwa von digitalen Waffen motiviert werden.Kapitalismus, Fuck Yeah! (Danke, Ronald)
New hotness: Tausende von Studien in der Krebsforschung unzuverlässig.
Researchers warn that large parts of biomedical science could be invalid due to a cascading history of flawed data in a systemic failure going back decades.Das sind so ziemlich die schärfsten Formulierungen, die man an der Stelle verwenden kann. Das scheint echt übel zu sein.
Die Wiener Polizei zog bereits am Montag eine Bilanz über das seit 1. Oktober geltende Verhüllungsverbot. In den ersten zwei Wochen gab es in Wien demnach 30 Amtshandlungen. Vier betrafen dem Vernehmen nach Frauen mit muslimischer Gesichtsverschleierung, der Rest Touristen oder „Provokateure“"Provokateure" wie die Wadenbeißerin, in der es in diesem Artikel geht. Eine 28-jährige Psychologin an der Uni Wien, die gerne einen großen Schal trägt und sich da nicht von irgendwelchen Leuten reinreden lassen will. Und die hat schonmal angekündigt, dass sie das wenn nötig durch die Instanzen tragen wird.
Update: Ooooh, das war ja nur die Spitze des Eisbergs!
Es gab da noch viel lustigere Meldungen!
OH MANN, was für eine Farce!
Update: Hoster sagt: Stromnetz war OK, aber die USV nicht. Ich hätte ja gerne mal eine Statistik darüber, wie viele Ausfälle durch Netz, wieviele durch USV und wieviele durch Stromausfall verursacht werden. Mein Bauchgefühl sagt mir, dass USVs mehr kaputtmachen als sie helfen.