Fragen? Antworten! Siehe auch: Alternativlos
Die Bundesregierung lehnt eine Vernehmung des Ex-Geheimdienstmitarbeiters auf deutschem Boden ab - und begründet ihren Schritt damit, das "Staatswohl" nicht gefährden zu wollen.DAS STAATSWOHL! Das wird nicht von den BND-Machenschaften-Mittätern gefährdet, oder den NSU-Skandal-Tätern aus dem Verfassungsschutz, sondern von dem einen Mann, der uns in dieser ganzen Geheimdienstgeschichte nicht belogen hat! Die Dreistigkeit, uns diesen Spruch ins Gesicht zu sagen! Das ist ja echt völlig unglaublich. Boah was für widerliche Ekelpakete wir in der Regierung haben. Unfassbar.
Oh und wer überbringt uns diese frohe Botschaft? Da passt mal wieder alles wie Arsch auf Eimer: Der Geheimdienst-Mascolo!
Das ist ja eine tolle Demokratie, die der Westen dort hingebracht hat!
Russland ist besorgt über Berichte, laut denen ukrainische Waffen über Deutschland an syrische Regierungsgegner geliefert werden könnten. Das Außenamt in Moskau hat am Dienstag von Kiew und Berlin Erklärungen gefordert.Mwahahahaha (Danke, Markus)
Vertrauen Sie uns! Wir wissen, was wir tun! Und dass Sie schuldig sind!
Update: Ach du meine Güte, hier kommt gerade folgende Email rein:
eine entsprechende Regelung gibt es schon in der aktuell gültigen Verfahrensordnung: siehe Artikel 67 § 3. Nur ist diese Regelung nicht so ausführlich. Sie wird aber weit ausgelegt in Verfahren, in denen es um die Rechtmässigkeit von Rechtsakten der EU im Bereich der „restriktiven Massnahmen“ nach den Artikeln 29 EUV (Gemeinsame Standpunkte) und 215 AEUV (Wirtschaftsembargos) geht.
Und in der Tat steht dort:
Hat das Gericht zu prüfen, ob ein Schriftstück, das für die Entscheidung eines Rechtsstreits von Belang sein kann, gegenüber einer oder mehreren Parteien als vertraulich zu behandeln ist, so wird das Schriftstück während dieser Prüfung den Parteien nicht übermittelt.
Ist ein Schriftstück, in das ein Organ die Einsicht verweigert hat, dem Gericht in einem Verfahren zur Prüfung der Rechtmäßigkeit dieser Verweigerung vorgelegt worden, so wird es den übrigen Parteien nicht übermittelt.
Das ist ja furchtbar!
Update: Hups, das Update war unter den falschen Blogeintrag gerutscht. (Danke, Timon)
Inequality is the root of social evil.Deutsch:Die Chancenungleichheit ist die Wurzel der sozialen Übel.Das mit den Chancen ist INSM-Speak.
Die Staatsanwaltschaft selbst hatte überraschenderweise bei Prozessbeginn eine deutliche Richtungsänderung vorgenommen und hatte auf Freispruch plädiert.Öh… nanu? Krasser noch:
Die Staatsanwaltschaft ging sogar soweit, dass aus ihrer Sicht alle Antisemiten und Ausländerfeinde künftig als `Nazis` bezeichnet werden können und sogar müssen.Was ist den da passiert? Der Geheimdienstler war gerade pinkeln? (Danke, Andreas)
Über die Hälfte der deutschen Unternehmen sind laut einer Studie der Developer Week vom Fachkräftemangel betroffen. Viele müssen deswegen auf den Nachwuchs, der von den Universitäten kommt, setzen.Das ist ja entsetzlich! Denen geht es so schlecht, dass sie gut ausgebildete Absolventen von Universitäten einstellen müssen!1!! Das muss man sich mal vorstellen! (Danke, Heiko)
Update: Der ist auch in der Vergangenheit schon negativ aufgefallen, als er Konstantin von Notz der Beihilfe zum Kindesmissbrauch beschuldigt hat. Mal ganz emotionslos betrachtet, versteht sich.
Zum Vergleich: Das Bruttoinlandsprodukt der Volkswirtschaft Deutschlands ist 2,7 Billionen Euro, das der Eurozone ist 9,6 Billionen Euro. Und wieviel Einlagen haben sie dafür als Sicherheit am Start? Ungefähr ein Hundertstel, rechnet Zerohedge vor (wo sie die Zahl her haben, weiß ich gerade nicht).
Und damit stellt sich dann auch plötzlich die Frage nicht mehr, wieso Deutschland dafür gesorgt hat, dass bloß keine Banken platzen in Europa. Wenn da ein Domino losgegangen wäre, … (Danke, Thomas)
Mit Blick auf unseren herkömmlichen Auftrag innerhalb Vertrauens- und Sicherheitsbildender Maßnahmen gilt die Mission in der Ukraine als eher außergewöhnlich und ist in dieser Form in der Geschichte des Wiener Dokumentes noch nicht vorgekommen. Es gibt wohl kaum jemanden, der vermutet hat, dass es in der Anwendungszone des Wiener Dokumentes (ATTU- Atlantic to the Urals) zu militärischen Aktivitäten eines OSZE-Mitgliedstaates auf dem Territorium eines anderen Mitgliedstaates kommen wird.Insgesamt liest sich das so, wie es ja auch von außen aussah: die Nato wollte halt mal spionieren, äh … aufklären. Da haben sie dann mal geguckt, welche Verträge sie so haben, und für diesen brauchten sie, weil der Fall nicht vorgesehen war, nur die Einladung der (von den russischen Separatisten für illegitim erklärten) Regierung der Ukraine. Das war natürlich bloß eine Formsache, die Regierung besteht ja aus kalten Nato-Kriegern.
Update: Wo wir gerade bei der Bundeswehr waren: Laut des ukrainischen Innenministeriums hatten die "OSZE-Beobachter" in ihrem Bus "Patronen und Sprengsätze" dabei gehabt. Ach DIE Art von "Beobachten", verstehe!1!!
Update: Da war wohl die Übersetzung schlecht. Nicht das Original ist futsch sondern der offizielle Ausdruck wurde geklaut. Dann druckt man halt noch einen aus. Der Punkt ist also nicht, dass die Behörden jetzt keine Kopie mehr haben, sondern dass eine Kopie in unautorisierten Händen ist. (Danke, Frank)
Das sind natürlich ungeheuerliche Anschuldigungen, und die Nato hat das schnell überspezifisch dementiert.
During his term in office as Danish prime minister, Mr. Fogh Rasmussen never brought a dictaphone to record meetings with Mr. Putin or anybody elseUnd wie sich rausstellt, stimmt beides: Rasmussen trug ein Mikrofon für einen Dokumentarfilm bei sich, aber kein Diktiergerät.
Ich finde es schön, wie man sich darauf heute echt verlassen kann, dass wenn ein Dementi nicht komplett alle Varianten zu allen Zeiten dementiert, dass es dann gezielte Irreführung ist.
Unternehmen wie Microsoft oder Google, die Internetdienste anbieten, können die Herausgabe von E-Mails und anderen digitalen Infromationen nicht verweigern, wenn von US-Ermittlungsbehörden ein entsprechendes Ersuchen vorliegt. Das gilt auch, wenn die Server des datenspeichernden Unternehmens nicht in den USA, sondern im Ausland stehen
Theresa May ist übrigens die britische Innenministerin. Leider handelt es sich um einen Satire-Account.
Forza Italia (Berlusconis Korruptionspartei), Lega Nord (Oreste Rossi), und aus Ungarn Fidesz. So wächst zusammen, was zusammen gehört!
Nun, äh, Die OSZE bestätigt, dass es sich um Nato-Spione handelt. Die OSZE ist offensichtlich richtig doll angepisst, dass die Nato ihre tatsächliche Arbeit in der Ukraine sabotiert, indem sie da Militärs unter OSZE-Papieren hinschicken. Immerhin scheinen die Separatisten schon recht genau einschätzen zu können, wer da jetzt Spion und wer normaler OSZE-Beobachter ist, denn sie haben nur die Nato-Spione eingesackt, die OSZE-Beobachter sind nicht betroffen.
Sogar beim ehemaligen Nachrichtenmagazin findet man weiter unten im Kleingedruckten diese Feststellung:
Der Gruppe gehören neben den Deutschen jeweils ein Militärbeobachter aus Tschechien, Polen, Schweden und Dänemark an. Ihre Tätigkeit hat nichts mit dem Einsatz der diplomatischen OSZE-Beobachter zu tun, der parallel dazu stattfindet. Begleitet wird die Gruppe von fünf ukrainischen Militärs.
Von einem Mann, dessen Namen man sich wird merken müssen. Rainer Hermann. Nicht die CIA hat die Mudschaheddin gegründet und mit Waffen versorgt, nein, das war alles Schuld der Russen. Wenn die Russen nicht aggressiv einmarschiert wären, wäre da unten Frieden!1!
Der Mann stellt da eine fraktal falsche Dolchstoßlegende auf, da treibt es einem die Tränen in die Augen.
Unglaublich. (Danke, Doris)
Und nicht nur das: Auf einige Vögel scheint die Strahlung gar positiv zu wirken, berichten Forscher im Fachjournal "Functional Ecology". Die Tiere seien größer und hätten weniger Erbgutschäden als ihre Artgenossen in weniger belasteten Gebieten.Wir sollten uns alle mal ein bisschen verstrahlen lassen!1!!
"When the screen is locked with password, if I hold ENTER after some seconds the screen freezes and the lock screen crashes. After that I have the computer fully unlocked.
Ursache sei kein Feuer gewesen, sondern ein Problem mit einem Sicherungsschalter in einem Nebengebäude des Maschinenraums von Block ein.Ich bin mir sicher, dass keine Gefahr für Anwohner und Mitarbeiter besteht. (Danke, Thomas)
Bevor Menschen in die Privatinsolvenz gehen, versuchen die VSE-Berater in den allermeisten Fällen zunächst eine außergerichtliche Einigung mit den Gläubigern. Sagt nur einer Nein, scheitert das Vorhaben. Bemerkenswert: Ausgerechnet der „ARD-ZDF Beitragsservice“ gehört laut Huber zu den Gläubigern, die sich nie auf eine Ratenzahlung einlassen.Na ganz toll.
Update: Hier gingen diverse Mails ein. Einige bestätigen das, andere haben es anders erlebt. Ich schließe daraus, dass das regional unterschiedlich ist. (Danke, Christian)
Update: Mir erklärt gerade jemand, dass das eine alte Antifa-Strategie ist, so ne Woche vor einem Naziaufmarsch, damit sie genug Material für Barrikaden auf den Straßen haben.
The course will be overseen and shaped by the Homeland Security Advisory Committee, a group consisting of government, academia and private sector employees who provide information and security-related recommendations to the DHS secretary. Of the many requirements, applicants are informed of their duty to meet with the committee on a regular basis."Staatsbürgerkunde" hätte man das in der DDR wohl genannt.Update: Nicht Staatsbürgerkunde, "Zivilverteidigung".
2. Akt: Die Polizei so: Jetzt können die Leute ihre Telefone aus der Ferne löschen, also brauchen wir verdeckten Zugriff auf die Telefone, am besten ohne Richteranordnung. Denn wenn die Leute merken, dass wir ihre Telefone ausspähen, dann löschen sie die ja aus der Ferne!1!!
Founding backers of the Initiative include Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware and The Linux Foundation.Yeah!Update: Ich höre gerade aus gewöhnlich gut informierten Quellen, dass sich OpenBSD bei der Linux Foundation um diese Kohle bewirbt :-)
Und beim AKW Brokdorf gab es einen Kurzschluss.
Update: Ich verstehe gerade nicht, wieso ich keine Paywall kriege. Nanu? Wenn ihr eine kriegt, tut mir das leid. :) (Danke, Tilman)
Die Vorratsdatenspeicherung wird zum Streitthema zwischen Bund und Ländern. Während Bundespolitiker immer weiter von dieser Art der Verbrechensbekämpfung abrücken, sprechen Landespolitiker von einem „Verfolgungsvakuum“.
Ich halte bei solchen Regelungen für eines der Hauptprobleme, dass es so schwierig ist, irgendwann wieder damit aufzuhören. Exemplarisch kann man das an der Mädchenförderungen an deutschen Schulen beobachten, wo jetzt Jungen in der Bildung klar benachteiligt werden. Und an Unis kann sowas am Ende auch die Minderheiten benachteiligen, die so reingekommen sind, denn wenn die sich irgendwo bewerben, dann denkt sich die HR-Abteilung, dass der Bewerber der Abschluss gar nicht verdient hat und nimmt lieber jemanden, der nicht aus einer Minderheit kommt. Auch der Geförderte selbst weiß nie, ob er gerade eine gute Zensur kriegt, weil er gut war, oder weil man ihn fördern will. Das muss einen doch total fertig machen!
Die haben schon so viele Undercover-Spitzel, dass sie schon zu solchen Methoden greifen müssen, um noch mehr anzuwerben!
Update: Oh, es gab da noch zwei Updates dazu, inzwischen liegt das Schiff anscheinend in einem Hafen in Korea.
Die Zuger Regierung will die Steuerdaten in Zukunft durch das Tochterunternehmen einer amerikanischen Firma digital verarbeiten lassen.Was kann da schon schiefgehen!1!! (Danke, Alex)
Nun habe ich mir für meine SSL-Library gedacht, dass ich nur auf Systemen laufen werde, bei denen es /dev/urandom oder Äquivalent gibt, und nicht versuchen werde, da selber irgendwelche Entropie-Fummeleien zu machen. Das kann eigentlich nur nach hinten losgehen.
Aaaaaaber. Ein Kumpel von mir macht SSL auf einem Rechner, der nicht am Netz hängt, und eine Smartcard mit Hardware-RNG hat. Es gibt Smartcards mit Hardware-Zufall und einem kleinen ARM drauf. Habt ihr mal darüber nachgedacht, woher der Kernel den Zufall in /dev/urandom nimmt? Dafür nimmt man so Dinge wie das Timing zwischen Netzwerkpaketen und die Rotationslatenz von Festplatten. Timing von Tastatur- und Mauseingaben. Gibt es bei Smartcards alles nicht. Auf Smartphones gibt es Eingabegeräte aber keine Festplatten und bei den Netzwerkpaketen musst du davon ausgehen, dass sie ein Angreifer schickt, um deinen Zufall vorhersagen zu können.
Das ist ein echtes Problem in der Praxis. Gerade wenn ein Gerät frisch gebootet wurde, und die ganzen Krypto-Dienste hochfahren und Zufall für temporäre Schlüssel haben wollen. In solchen Fällen ist es wichtig, dass man den Zufallszahlengenerator irgendwie mit echtem Zufall seeden kann. Auch auf Servern mit SSD ist das ein Problem, wenn da keine Eingaben per Maus und Tastatur kommen.
Unter Linux kann man dafür einfach Daten nach /dev/random schreiben. Unter Windows gibt es zwar auch einen RNG in CryptoAPI, aber es gibt keinen Weg, da Zufall reinzuseeden. Die Sache mit dem Bildschirm-Auslesen ist natürlich echt ein Kracher. Aber da einfach die Möglichkeit wegzunehmen, externen Zufall reinzupipen, das macht LibreSSL für viele Anwendungen kaputt.
Übrigens, sowas wie ~/.rng kommt als Idee daher, dass man beim Runterfahren Entropie aus dem Pool ins Filesystem schreibt, damit man nach dem nächsten Hochfahren gute Entropie hat, wenn man ihn braucht. Das ist nicht per se eine doofe Idee.
Was ich sagen will: LibreSSL schießt sich hier gerade ziemlich massiv in den Fuß. Das sollte man dann auch erst mal ein paar Jahre aufhängen und reifen lassen, bevor man das einsetzen kann. Schade eigentlich.
Update: Mich weist gerade jemand darauf hin, dass das unter Windows doch auch geht.
Damit war nicht OpenSSL gemeint, sondern sowas wie X, perl, gcc. Aber OpenSSL fiel auch darunter, in dem Sinne, dass ich da eh noch andere Vorbehalte für einen Audit hatte. Und diese Policy hat dann dazu geführt, dass ich da auch nicht mal oberflächlich reingucken wollte.
Da ich angesichts aktueller Entwicklungen eh nicht gut schlafen kann mit OpenSSL gerade, habe ich mich entschieden, doch mal kurz einen Blick zu werfen.
Ich bin, gelinde gesagt, entsetzt. Schon die OpenBSD-LibreSSL-CVS-Checkin-Kommentare haben ja tief blicken lassen.
Es gibt so ein paar Kriterien, an denen ich bei C-Code meinen ersten Eindruck festmache. Das erste Kriterium ist, dass Längen und Offsets immer unsigned sein müssen, und vom Typ size_t. Früher hätte ich gesagt: unsigned long ist auch OK. Aber es gibt Plattformen, auf denen long 32-bit aber size_t 64-bit ist. 64-bit Windows z.B. Daher muss es size_t sein, nicht unsigned long. Und schon gar nicht long. Hier ist, was OpenSSL macht:
static int asn1_get_length(const unsigned char **pp, int *inf, long *rl, int max)Hier fallen ja schonmal als erstes die intuitiven Variablennamen auf. Da weiß man doch sofort, was gemeint ist! Ich kläre mal auf: Diese Routine soll einen ASN.1 DER Längenwert parsen. Das Encoding davon ist: Wenn das erste Byte das höchste Bit gesetzt hat, dann sind die unteren 7 Bits die Länge in Bytes für die Länge, die dahinter in big endian folgt. Wenn das erste Byte das höchste Bit nicht gesetzt hat, dann sind die unteren 7 Bits der Wert. Weil X.509 DER benutzt, gibt es zusätzlich noch die Regel, dass alle Längen minimal encoded sein müssen. Beispiele:
05 - Wert 5Meinem aktuellen Verständnis nach kann indefinite length bei X.509 nicht vorkommen, und ich unterstütze den Fall in meinen ASN.1-Routinen im Moment auch nicht sondern liefere einen Fehlerwert zurück. OpenSSL supported das. Möglicherweise übersehe ich da was. Wo ich aber nichts übersehe: OpenSSL prüft an keiner Stelle, dass das Encoding minimal ist. Der Effekt ist, dass man das identische Zertifikat auf mehrere Arten kodieren kann, und damit möglicherweise Angriffsfläche auf Krypto-Verfahren schaffen kann. Überhaupt sind Unterschiede zwischen Parsern immer doof, Differentiale will man an solchen Stellen vermeiden. Das ist jetzt kein "OMG RUN FOR THE HILLS"-Moment, aber wenn man schon eine zentrale Library macht für sowas, dann doch um da penibel solche Sachen abzufangen, damit die Leute das nicht alle von Hand machen und vergessen.
7f - Wert 127
81 01 - Ungültig, da nicht minimal encoded; wäre sonst 1
82 00 23 - Ungültig, da nicht minimal encoded; wäre sonst 35
82 12 34 - Wert 4660 (0x1234)
89 11 11 11 11 11 11 11 11 11 - Ungültig, da der 9-Byte-Wert nicht in einen Integer passt
0x80 - Sonderfall, "indefinite length".
Aber unabhängig davon. pp ist der Quell-Zeiger (das const ist ein gutes Zeichen, das wäre Kriterium 2 für das Erkennen von schlechtem Code gewesen). inf wird auf 1 gesetzt, wenn indefinite length encoding reinkommt. Ich finde, das hätte man direkt zurückweisen sollen. Indefinite length encoding funktioniert so, dass man am Anfang sagt, man weiß nicht, wie groß die Daten werden, die jetzt kommen, und dann schickt man halt so viele Daten wie halt kommen und dann zwei Null-Bytes. Ganz schlechte Idee, und habe ich in der Praxis auch noch nie im Einsatz beobachten können. Das ist ja gerade der Grund, wieso man ASN.1 DER einsetzt, damit man vorher weiß, wieviele Daten jetzt kommen werden. Und im Übrigen siehe oben zu den Parser-Differenzen. Das will man vermeiden.
Aber der eigentliche Punkt, auf den ich die ganze Zeit hinauswill: die Länge ist ein long. Das ist ein ganz schlechtes Zeichen. Die Routine versucht, das Schlimmste zu verhindern, indem sie als unsigned parsed und dann einen Fehler meldet, wenn der Wert größer als LONG_MAX ist. Und in der Tat, wenn sie das nicht gemacht hätte, hätte es im String-Parsing direkt einen schönen Buffer Overflow gegeben.
Ich habe jetzt jedenfalls ein schlechtes Gefühl bei OpenSSL und werde glaube ich erstmal die ASN.1-Routinen von PolarSSL auditieren, damit ich einen Fallback habe, wenn ich die ganzen Atommüllablagerungen in den Fracking-Schächten bei OpenSSL finde.
Update: Oh Graus, ich erfahre gerade, dass ich X.509 die ganze Zeit falsch verstanden hatte. Ich hatte das so verstanden, dass X.509 immer DER Encoding nimmt. Denn, mit Verlaub, alles andere ergibt auch gar keinen Sinn. Man will das ja in digitalen Signaturen verwenden. DER ist eine Teilmenge von BER, die genau den Zweck und die Daseinsberechtigung hat, dass man alles nur auf genau eine wohldefinierte Art kodieren kann. Begründung: Das braucht man so für digitale Signaturen. Und jetzt erfahre ich gerade, dass X.509 gar nicht DER sondern BER benutzt! Man soll das als Implementation anscheinend als BER parsen, dann soll man das als DER neu kodieren und dann die Signaturberechnungen machen!? Das kann ja wohl nicht wahr sein! Dann hätte OpenSSL Recht mit ihrem Code. Heilige Scheiße, wer denkt sich denn solche Standards aus!? In der Praxis habe ich noch nie was anderes als DER-Encoding gesehen. In meiner SSL-Library werde ich jedenfalls gleich beim parsen alles rejecten, das nicht DER ist.
Update: Interessanterweise macht OpenSSL es auch falsch, wenn BER Absicht ist.
173 if (i > sizeof(long))
174 return 0;
Update: Ein paar Hintergründe dazu.
Die EUROMIL (sozusagen die Gewerkschaft der europäischen Soldaten) veröffentlichte am 22.03.2007, dass bis zu diesem Zeitpunkt 109 italienische Soldaten, die 2003 im Irakkrieg (und anderswo z.B. jm Kosovo) eingesetzt waren, an den Folgen des Einsatzes von Uranmunition verstorben sind. Das sind 3,6% der 3000 im Irak eingesetzten italienischen Soldaten.(Danke, Uwe)
Update: Jetzt ist das Grundwasser betroffen. (Danke, Klaus)
Ab Sommer könnten also Fingerabdrücke und DNA-Profile automatisiert abgefragt werden. Dies geschieht im sogenannten im “hit/no-hit-Verfahren”: Zunächst wird angeklopft, ob überhaupt Daten zu einem Profil vorliegen. Falls ja, werden die entsprechenden persönlichen Informationen geliefert. Hierzu gehören nicht nur Meldedaten, sondern unter Umständen auch weitere polizeiliche Erkenntnisse, darunter “politische Anschauungen”, die Mitgliedschaft in einer Gewerkschaft, Angaben zur Gesundheit oder zum Sexualleben. Selbst die Verarbeitung von Informationen zu “Rasse oder ethnische Herkunft” sowie “sonstige Überzeugungen” ist geregelt.Ich muss da irgendwo was missverstanden haben. Ich dachte, unser Staat hat die Aufgabe, unsere Daten vor dem Zugriff anderer zu schützen, nicht diesen Zugriff zu ermöglichen.
Update: Damit ist dann auch klar, wo das FBI die 52 Millionen Fotos für die Gesichererkennungsdatenbank herhaben will. Und in bester Qualität, da wir Deppen uns für unsere Pässe extra biometrische Fotos anfertigen. Damit das FBI weniger Stress hat.
Aber es gab da einen fetten Chemieunfall in West Virginia, wo sie dann aus einem Fluss die Giftbrühe abpumpen mussten. Wohin jetzt mit dem Zeug? Ihr werdet es schon ahnen: Ab in die Fracking-Löcher in Ohio mit der giftigen Brühe von dem Chemieunfall neulich!
Injection wells are considered the safest—or, put another way, the least worst—method of disposing of hazardous waste we don't want to dump in rivers or on land. The toxins aren't supposed to seep through impermeable rock layers. But as a in-depth ProPublica investigation into injection wells has revealed, it happens—even with Class I wells that are the most tightly regulated.At two other Class I wells in Ohio, for example, the deadly chemical phenol had risen 1,400 feet through rock, threatening aquifers.
Das deute ich mal so, dass die das schon länger machen, ihre Chemieabfälle so zu verklappen. Wer schonmal naturnahen Urlaub in den USA gemacht hat, dem wird bei so einer Meldung das Herz bluten.Update: Ich erfahre gerade, dass auch die DDR das so gemacht hat. Siehe auch.
Update: Auch im Westen war das Gang und Gäbe.
Lösung: Kanadische Regierung entfernt Buckelwale von der Liste der gefährdeten Tierarten, baut Pipeline.
The decision removes a major legal hurdle that the environmental group Ecojustice said stood in the way of the $7.9-billion Northern Gateway pipeline project that would bring 550,000 barrels of diluted bitumen crude from Alberta to Kitimat.
Teppich? Welchen Teppich? Na den Teppich mit dem "United Meritocracy of Github"-Bild drauf!
Warum? Na ist doch logisch! Meritocracy ist frauenfeindlich. Das wird ja wohl jeder sofort einsehen. Glaubt ihr nicht?
GitHub's Julie Ann Horvath, a designer who also founded the company's all-female lecture series Passion Projects, said the rug first became a problem when photos of it made their way into feminist discussions online.Checkt mal eure Privilegien, ey!Update: Oha, die ursprüngliche Story wird mit dieser anonymen "anderen Seite der Geschichte" noch deutlich spannender. John Doe und Jane Doe sind die Namen, die die Polizei in den USA an Leichen ranschreibt, wenn sie noch nicht identifiziert wurden. Oder die Angeklagten bei Klagen gegen Unbekannt. Insofern muss man das als unbelegte Behauptungen sehen, aber das muss man ja auch mit der ursprünglichen Story machen. (Danke, Christian)
Na?
Kommt ihr NIE drauf!
Übrigens kamen noch ein paar spannende Mails zum Thema Medikamentenengpass rein. Einer erzählte, dass die Krankenkassen fette Rahmenverträge mit einem Hersteller machen, in der sie dann praktisch die gesamte Produktion kaufen. Die anderen gehen leer aus und fahren dann halt entsprechend ihre Produktion runter. Wenn dann irgendwo eine Fabrik eine Störung hat, dann gibt es halt keine anderen Marktteilnehmer gerade.
Jemand anderes schrieb mir, dass das nicht nur Impfstoffe betrifft, sondern auch durchaus mal Standard-Medikamente. Es gibt dann eben nur noch ein Werk, in dem das hergestellt wird, und wenn da gestreikt wird o.ä., dann ist halt Ausfall. Da kommt es dann vor, dass es zwar Ersatzmedikamente gibt, aber die haben nur EU-Zulassung, keine deutsche Zulassung. Das kommt sogar bei Antibiotika vor, meint er. Übrigens passiert es wohl auch gelegentlich, dass irgendwelche Zulassungs-Bedingungen verschärft werden, und sich das dann für die Hersteller nicht lohnt, wenn der Patentschutz (die Lizenz zum Gelddrucken) abgelaufen ist. Dann werden die halt aus dem Verkehr gezogen, obwohl sie wirksam und verträglich sind.
Update: Eine EU-Zulassung bedeutet automatisch auch eine Deutschland-Zulassung, schreibt mir gerade jemand anderes. (Danke, Lorenz)
Nach allem, was wir wissen, billigte der serbische Ministerpräsident das Attentat nicht und wusste allenfalls in vagen Umrissen davon. Er musste aber davon ausgehen, dass hohe Beamte und Offiziere seines Landes in die Tat verwickelt waren (was auch stimmte). Wenn er sie verriet, drohte ein Putsch. Entsprechend unkooperativ reagierte die Belgrader Führung auf die Wiener Ermittlungsbemühungen.Aus Angst vor Polizei und Geheimdiensten haben die also lieber einen Weltkrieg ausbrechen lassen. Whoa.
Update: Es hagelt per Mail Protest von Historikern. (Danke, Rico)
Ich persönlich halte DSA in allen Ausprägungen inzwischen für eine NSA-Hintertür und rate von der Verwendung ab. Der Grund ist, dass DSA so ausgelegt ist, dass man einen Zufallswert nimmt pro Operation mit dem geheimen Schlüssel, und wenn man zweimal den gleichen verwendet, dann fällt auf der anderen Seite der geheime Schlüssel aus einer vergleichsweise einfachen arithmetischen Umformung heraus. Das ist offensichtlich völlig unakzeptabel. Wie DSA überhaupt jemals soweit kommen konnte, dass es ein internationaler Standard wurde, erläutert djb in seinem Blog.
Kommen wir zu GCM. GCM ist der Galois Counter Mode. TLS hat einen Geburtsfehler, der seit vielen Jahren bekannt ist, und uns in letzter Zeit vermehrt auf den Fuß fällt. Nehmen wir mal an, Alice schickt Bob eine verschlüsselte Nachricht. Dann will man nicht nur, dass die Nachricht nicht von jemandem auf dem Weg gelesen werden kann, sondern auch, dass sie nicht verändert werden kann. Deshalb machen Protokolle wie TLS immer zwei Schritte: Verschlüsseln und eine Integritätssicherstellung. Dafür verwendet man sogenannte Message Authentication Codes, oder MAC. Dafür verwendet man häufig eine kryptographische Hash-Funktion mit einem beiden Seiten bekannten Geheimnis, aber man kann sowas auch anders konstruieren.
So, wenn man verschlüsseln will, verschlüsselt man dann erst und macht dann den MAC? Oder macht man erst den MAC und dann verschlüsselt man? Das war lange Jahre nicht so klar, ob das eine oder das andere besser ist. TLS macht erst MAC und verschlüsselt dann. Das hat über die Jahre zu einem Haufen an Bugs und Problemen geführt, so dass heute klar ist, dass man das besser anders herum machen sollte. Die IETF-Arbeitsgruppe zu TLS weiß das seit vielen Jahren, aber (u.a. durch Sandsack- und Betoniertätigkeiten der NSA) konnte sie sich noch nicht durchringen, da was zu tun. Das ist eine Schande für alle Beteiligten und sollte zu einem fetten Arschtritt für die NSA-Abgesandten führen — tat es aber bisher nicht.
Warum erzähle ich das alles? Weil jemand auf die Idee kam, "aus Performance-Gründen" Verschlüsselung und Authentication in einem zu machen, und zwar mit einem Verfahren namens Galois Counter Mode. Ein Mode ist eine Art, wie man einen Block Cipher wie AES aufruft. Das heißt Block Cipher, weil es nicht auf einem Bytestrom arbeitet, sondern auf Blöcken von Daten. Wenn die Daten keinen ganzen Block füllen, muss man am Ende mit sogenanntem "Padding" auffüllen. Da gab es schon Stress in TLS. Man kann jeden Block mit dem selben Schlüssel verschlüsseln ("ECB"), aber das ist eine ganz schlechte Idee. Wikipedia hat eine schöne Visualisierung anhand eines Pinguin-Bildes. Welchen Modus man benutzt ist also wichtig. ECB ist offensichtlich doof, daher haben wir halt alle immer CBC genommen. Das flog uns dann mit BEAST um die Ohren.
Übrig blieben Cipher-Suites auf Basis von RC4 (von dem wir inzwischen wissen, dass die NSA es in Echtzeit entschlüsseln kann) und GCM.
Warum ich das jetzt hier alles ausführe: GCM ist auch Scheiße. Das Paper dazu kommt von Niels Ferguson. Es sei noch angemerkt, dass man GCM in Software schon mal gleich so gut wie gar nicht ohne Timing-Probleme implementieren kann. Intel hat in ihren neueren CPUs Hardware-Support für GCM eingebaut, damit geht das dann. Aber fühlt sich damit jemand wohl?
Was können wir denn jetzt überhaupt noch tun? Wir können entweder warten, bis die TLS Working Group mal ihren Arsch hochkriegt und den offensichtlich notwendigen Schritt geht. Es gibt da Bemühungen, aber das kann sich noch um Jahre handeln. Die Situation ist gänzlich unakzeptabel.
Bleibt die Einsicht, dass uns gerade nur djb-Krypto überhaupt noch realistisch retten kann. djb hat als Konkurrenz zu ECDSA ein Verfahren namens ed25519 gemacht, das könnte den public key Teil abdecken. ed25519 wird u.a. in der neuesten Version von openssh unterstützt. Und als Ersatz für AES mit irgendwelchen grottigen Modi könnte man ChaCha20 einbauen. Das ist in Chrome schon eingebaut, aber hat es m.W. in noch keine einzige öffentlich verfügbare TLS-Library geschafft. Es ist alles zum Heulen.
Ich habe ja jahrelang nicht verstanden, wieso djb nie versucht hat, TLS zu fixen. Ich glaube, so langsam kann ich es nachvollziehen.
Update: CBC ist nicht an sich unsicher, sondern wie TLS 1.0 es angewendet hat. Ein Upgrade auf TLS 1.2 galt damals noch als unrealistisch, inzwischen ist es weitgehend vollzogen.
Update: Auch in Jena sucht die selbe Mona mit dem selben Text eine vergleichbare Wohnung.
Wieviel Atommüll liegt denn da?
The EA document estimates that the one million cubic metres of radioactive waste disposed of over the last 55 years by the civil and military nuclear industry at the site, near the Sellafield nuclear complex in west Cumbria, is going to start leaking on to the shoreline in "a few hundred to a few thousand years from now".Ach naja, wollen wir mal nicht zu harsch urteilen. Bis dahin sind wir doch eh alle tot!1!! (Danke, Alexander)
Nach Angaben der Landespolizeidirektion sollten sich Thüringer Polizeiführer von den Vorzügen des 33-Tonnen-Kolosses überzeugen, den der Bund bezahlt hat. Beamte der Bereitschaftspolizei hätten den "WaWe 10" mit Wurfgeschossen attackieren sollen. Dadurch sei es zu drei faustgroßen Schäden an der Polycarbonat-Panzerverglasung des Einsatzfahrzeuges gekommen.Womit haben die denn da geworfen? Uranbrocken? Handgranaten? Nein!
Bei der Übung seien nicht etwa Steine verwendet worden, wie sie gelegentlich bei Demonstrationen und Fußballspielen gegen die Polizei fliegen, sondern "neben Eiern auch Tennisbälle und halb gefüllte PET-Flaschen (0,5 l)".Lolwut?! (Danke, Mathias)
High and rising levels of nonperforming loans continue to burden banks in stressed euro area economies. This stock of nonperforming assets has doubled since the start of 2009 and now stands at more than €800 billion for the euro area as a whole (Figure 1.28, panel 1). While European banks have also been facing a deterioration in the quality of their household exposures, the bulk of the overall stock of defaulted exposures stems from the corporate loan book (Figure 1.28, panel 2).Mit anderen Worten: Ein Schuldenproblem lösen, indem man neue Kredite ausgibt, vergrößert die Schulden bloß. NA SOWAS. Wer hätte das gedacht? Meine Güte, hätten wir mal vorher jemanden gefragt, der sich mit sowas auskennt!This weak tail of corporate exposures — defined in the October 2013 GFSR as firms whose earnings (before interest and taxes) are less than interest expenses — is significant and has been persistent, representing about 20-30 percent of corporate debt in Italy and about 30-40 percent of corporate debt in Spain an Portugal, on average, in 2012 (Figure 1.28, panel 3).Die reden hier von Firmen, die so viel Schulden haben, dass sie mit ihren Vorsteuer-Einnahmen nicht mal die Zinsen zahlen können, geschweige denn tilgen können! Und das macht in Italien 20-30% aus, in Spanien und Portugal 30-40%.Griechenland trauen sie sich schon gar nicht zu nennen.
In meiner Jugend hätten wir solche Firmen insolvent genannt. Aber was weiß ich schon von sowas. (via) (Danke, Frank)
The two accounts blocked on Sunday — @Haramzadeler333 and @Bascalan — leaked large amounts of secret documents and recorded phone conversations implicating Erdogan, his family and associates in a wide-ranging corruption scandal.Between them, @Haramzadeler333 (which translates as "Sons of Thieves") and @Bascalan (which means "Prime Thief", a play on the Turkish for prime minister) had close to one million followers on Twitter.
In short, it doesn't work and you are no more secure by switching it on.Und falls das jemand nicht auf dem Radar hatte: Er hat natürlich völlig Recht. Deshalb ist Revocation Checking bei Chrome per Default ausgeschaltet.
In diesem Sinne: Frohe Ostern!
Glaubt uns doch endlich, Bürger, der Russe ist viel gefährlicher als NSA und GCHQ!!1!
Und wie perfide die vorgehen! Unglaublich! Die laden Leute in ihre Botschaft ein und sprechen sie dann an! Das ist ja un-glaub-lich! Und viel gefährlicher als wenn die britische Delegation bei der EU-Kommission plötzlich mit 10 zusätzlichen Mitarbeitern auftaucht, die einen texanischen Akzent haben. Weitergehen, hier gibt es nichts zu sehen!
Die Amerikaner sind unsere Freunde! Die haben uns sogar freundschaftlich beim Gesetze-Schreiben geholfen!
But first, there were three main "reveals" from the newly unredacted version. The first is that Ibrahim was actually put on multiple lists by mistake (and never for any clear reason) and was actually dropped from the no fly list years ago (though the other lists created the same effective problem in barring her from being allowed to travel to the US). The second is that the US government has a "secret exception" to the requirement that there be "reasonable suspicion" to put someone in various terrorist databases, and that secret exception was later used on Ibrahim. And third, that despite the implications from the redacted versions, the fully unredacted ruling shows that Ibrahim is still likely blocked from coming to the US for separate undisclosed reasons, even though the government fully admits that she is no threat. All of these things were hidden by the redacted version.Was zur Hölle?! (Danke, Mathias)
Last year, a federal court ruled that the skyscraper could be confiscated for "concealing Iranian assets" in violation of US sanctions.Update: Oh und dass sie den Uno-Botschafter aus dem Iran nicht reinlassen, das ist jetzt auch offiziell.
Der Grünen-Vorsitzende Cem Özdemir warnte vor einem falschen Blick auf die Ukraine-Krise und ihre Auswirkungen. "Dass die Bürgerinnen und Bürger Deutschland künftig stärker zwischen dem Westen und Russland sehen wollen, ist sicher Realität, aber nichts, was dazu führen darf, dass wir diesem Wunsch nachgeben", sagt er der "Welt".Ein lupenreiner Demokrat! Und DER wagt es, Russland im selben Atemzug Demokratiedefizite vorzuwerfen?!
Ich bin ja ehrlich gesagt erschüttert, dass der Dobrinth bisher so wenig Popcorn-Äußerungen getätigt hat. Da hatte ich höhere Erwartungen an die CSU.
Update: Das Dementi folgte umgehend.
The reported suggestion drew an immediate response from Member of European Parliament Andrew Duff, who Tweeted, “The man [Elvan] is clearly an idiot.”
Dem ist nichts hinzuzufügen.
Auswirkungen auf die Sicherheit gebe es nichtNatürlich nicht!
Die Verordnung war bereits vor einem Jahr ausgehandelt worden und entspricht längst nicht mehr dem aktuellen Diskussionsstand. Dennoch machte die Kommission Druck auf die Parlamentarier, noch vor den Europawahlen zuzustimmen – damit danach und nach Abschluss der ISDS-Konsultation die Verhandlungen mit den USA wieder aufgenommen werden können. CDU/CSU, SPD und Liberale fügten sich und stimmten dem Text mit großer Mehrheit zu.
Übrigens, als ich schrieb, Martin Schulz sei offensichtlich die bessere Wahl, war damit nicht die Aussage verbunden, der sei empfehlenswert. Aber Juncker ist durch die Bommeleer-Affäre und Gladio vergiftet, der ist mal auf einer ganz anderen Ebene völlig inakzeptabel. Auch Martin Schulz hat bisher einen eher negativ-durchwachsenen Track Record, u.a. wenn es um TTIP geht. Ich habe jetzt aus einigen Richtungen Hoffnungen und positive Aussichten gehört, aber die glaube ich auch erst, wenn ich sie sehen kann.
Das türkische Parlament hat eine umstrittene Geheimdienstreform gebilligt. Künftig darf der Dienst selbst entscheiden, wann er im In- und Ausland aktiv wird.Wait, what? Schade nur, dass sich da gerade niemand drüber empören kann, weil wir uns auf die Russen konzentrieren. Diese fiesen Russen!1!!
Update: April April, sind wieder zurückgekommen. (Danke, Thomas)
Für die Deutsche Akademie für Kinder- und Jugendmedizin sind solche Lieferengpässe Ausdruck eines grundsätzlichen Problems: die Monopolisierung auf dem Markt der Impfstoffproduktion. Es gebe immer weniger Hersteller, die Produktvielfalt gehe zurück. Die Folge: Bei Lieferengpässen oder einer Marktrücknahme könne oftmals nicht auf ein Alternativpräparat zurückgegriffen werden, und es komme zu einer aus ethischer Sicht bedenklichen Priorisierung.Wie gruselig ist DAS denn bitte!? Au weia.
Jetzt frage ich mich ja gerade, ob es da Bunkerkäufe von Spekulanten gab, oder ob es da wirklich schon per se nicht genug Rücklagen gibt, um die Nachfrage für die nächsten Monate zu befriedigen? Das kann ja wohl nicht wahr sein! (Danke, Andrea)
Fakt ist: OpenSSL ist nicht in C, weil C so geil ist. OpenSSL ist in C, weil das Ziel ist, dass das von jeder Programmiersprache aus benutzbar ist. Und alle können sie C-Code aufrufen.
Fakt ist auch: Das ist ein komplexes Problem, SSL richtig zu implementieren. Und wenn man dann noch den Anspruch hat, alle Obskuro-Plattformen und alle Extensions zu unterstützen, dann ist das Ergebnis halt Scheiße. Wenn man sich anguckt, was OpenBSD da gerade mit der flammenden Machete alles aus OpenSSL herausoperiert, da wird einem ganz anders. Unter anderem Support für Big Endian x86_64 Plattformen. Hat jemals schon mal jemand von sowas gehört? Nicht? Wie ist es mit VMS? EBCDIC-Support? Support für "ungerade" Wortlängen? You name it, OpenSSL supports it.
Dieses Java-Ding ist übrigens auch in einer Dissertation von einem der Beteiligten drin. Die kann man hier lesen (208 Seiten). (Danke, Sebastian)
"Ich kann nicht akzeptieren, dass wir keinen Entwurf mehr bekommen sollen", sekundierte Weber der CDU-Abgeordnete Axel Voss. Die Bedrohungslage sei "eher noch größer geworden" seit der Kernarbeit an der Richtlinie 2005, als viele Politiker noch unter den Anschlägen auf den öffentlichen Nahverkehr in Madrid und London standen. Neben dem Recht auf Freiheit gebe es auch eins auf Sicherheit in der Charta der Grundrechte, unterstrich Voss. Zudem sei die Strafverfolgung ohne Verbindungs- und Standortdaten "in vielen tausend Fällen nicht mehr möglich". Der Christdemokrat warf daher die alternative Frage auf, ob "wir zu Selbstjustiz übergehen sollen".Tolle Idee! Genau so machen wir das! Wir sperren am besten die CDU-Fraktion weg und berufen uns auf ihr selbst vorgetragenes Recht auf Sicherheit und die von ihr selbst vorgeschlagene Selbstjustiz als Methode.
Der Mann, der sich nach der Besetzung des Polizeireviers in der ostukrainischen Stadt Gorlowka durch die Selbstverteidigung Mitte April als ein „Oberstleutnant der russischen Armee“ vorgestellt hat, ist ein ukrainischer Friedhofsdieb. Das meldete die ukrainische Agentur UNIAN am Mittwoch unter Berufung auf das Internetportal Ostrow.(Danke, Frank)
Dass so jemand seinen Arbeitgeber George W Bush verteidigen würde, überrascht nicht. Aber das hier möglicherweise:
He also criticized Obama's healthcare policy – a "shit sandwich" – and his administration's approach to global warming. Mitchell believes it's a myth.Na da passt ja mal wieder alles zusammen. Einen richtigen Wissenschaftler haben sie nicht gefunden, der ihre Drecksarbeit machen würde, ja? Da haben sie halt einen Crackpot aus Florida genommen? Krass.Der Typ ist übrigens schon 2004 im Report des Inspector General der CIA aufgetaucht.
It said Mitchell and Jessen had "probably misrepresented" their "expertise" as experienced interrogators when pitching coercive techniques to the CIA as a way to obtain actionable intelligence from prisoners.Nicht die CIA ist auf den zugegangen, der ist auf die CIA zugegangen! Ach du meine Güte!
Update: Ein paar Gedanken zu der Sendung. Gabriel hat für die SPD mehr Rückgrat gezeigt als ich mich je gesehen zu haben erinnern kann. Nicht nur hat er Google mit der Zerschlagung gedroht, er hat auch das Gesprächsangebot von Eric Schmidt öffentlich gemacht, anstatt es einfach anzunehmen, wie sonst üblich. Das empfand ich als massiven Stinkefinger in Richtung Google. Mein Eindruck ist, dass der Gabriel sich jetzt anhand von Google als Internet-Freiheits-Datenschutz-Politiker aufbauen möchte.
Mein anderer Gedanke ist, dass der Alibi-Internet-Unternehmer erstaunlich eloquent und als helles Köpfchen rüberkam. Das ist mal ein deutlicher Unterschied zum üblichen Talkshow-Einerlei, wo man da einen stammelnden "Betroffenen" hat, der nur da sitzt, um den Leuten einen Betroffenen zeigen zu können. Mir fiel auf, dass der darauf hinwies, dass er ja stark zwischen geschäftlich und privat trennt. Das ist ein Wink mit dem Zaunpfahl, dessen Signifikanz anscheinend in der Runde keiner so direkt aufgefangen hat. Es heißt, dass der Mann selber damit unzufrieden ist, dass er Daten sammeln muss. Er weiß, dass die Kunden das nicht wollen, dass das unmoralisch ist, und dass er da was verwerfliches tut. Er tut es, weil er glaubt, sonst nicht konkurrenzfähig zu sein. Die wichtige Lektion dabei ist: Von ihm und seinen Kollegen ist keine Gegenwehr zu erwarten bei Regulierungsversuchen. Nur so Token-Gegenwehr, um die Investoren zu beruhigen. Eigentlich hätte keiner von denen ein Problem damit, mit dem Profiling aufzuhören, wenn das ab morgen verboten wäre. Die einzigen, die da echt gegen opponieren würden, sind Unternehmen, die sich als supranational sehen, wie Google. Unternehmen, die mit dem Profiling andere, etablierte Unternehmen gerade aus dem Markt schmeißen.
Google hätte aus meiner Sicht in ein paar Jahren auch kein Problem mehr, auf das Profiling zu verzichten, wenn sie den Markt von Werbung, Tracking und Versicherungen komplett übernommen haben. Die Märkte, in denen ihre Profiling-Kompetenz ihnen Vorteile verschafft. Aber bis dahin brauchen sie das noch.
Update: Einen Gedanken noch. Juli Zeh spricht in der Sendung an, dass wir in Europa bald die Wahl haben zwischen Martin Schulz und Jean-Claude Juncker, und dass bitte alle entsprechend ihr Kreuzchen machen sollten. Ich hätte nicht gedacht, dass ich jemals nochmal etwas Positives über Sozialdemokraten sagen würde, aber Martin Schulz ist so dermaßen offensichtlich die bessere Wahl, dass ich an der Stelle empfehlen würde, auch im Bekanntenkreis ein bisschen Druck auszuüben. Wir sind alle aufgerufen, die Konservativen zu marginalisieren. Bei denen ist klar, dass wir eine neue Vorratsdatenspeicherung kriegen.
Do not feed RSA private key information to the random subsystem asÄh ja, die Frage stellt sich. Ich stelle mir das ungefähr so vor:
entropy. It might be fed to a pluggable random subsystem….What were they thinking?!
Hey, Cheffe, wir brauchen hier mal Entropie für den Zufallszahlengenerator!Was sagst du? Krypto-Schlüssel haben eine hohe Entropie?
OK, Cheffe, knorke, wird gemacht!
m(
Triggerwarnung: Fefes Lache, schwierige Themen, Holocaust-Vergleiche und Homophobie.
Wir hatten ein neues, mobileres Aufnahmegerät am Start dieses Mal, was zu erheblichen Lautstärkeschwankungen geführt hat, die der Kompressor ausgleichen musste. Teilweise hört man das raus, ich bitte das zu entschuldigen. Die Sendung ist mit über drei Stunden sehr lang geworden; wir haben zweimal Pause gemacht, die Stellen erkennt ihr an den Senderwechselgeräuschen, die unser Audiofachmann Gerd Eist da reingeschnitten hat.
Update: Man kann jetzt übrigens auch per https auf alternativlos.org zugreifen. Der Zugriff auf die Audiodatei im CDN ist aber immer noch unverschlüsselt, insofern hilft das nur begrenzt weiter. Aber einige von euch hatten sich das gewünscht.
spray the apps directory with anti-VMS napalm.
so that its lovecraftian horror is not forever lost, i reproduce below
a comment from the deleted code.
/* 2011-03-22 SMS.
* If we have 32-bit pointers everywhere, then we're safe, and
* we bypass this mess, as on non-VMS systems. (See ARGV,
* above.)
* Problem 1: Compaq/HP C before V7.3 always used 32-bit
* pointers for argv[].
* Fix 1: For a 32-bit argv[], when we're using 64-bit pointers
* everywhere else, we always allocate and use a 64-bit
* duplicate of argv[].
* Problem 2: Compaq/HP C V7.3 (Alpha, IA64) before ECO1 failed
* to NULL-terminate a 64-bit argv[]. (As this was written, the
* compiler ECO was available only on IA64.)
* Fix 2: Unless advised not to (VMS_TRUST_ARGV), we test a
* 64-bit argv[argc] for NULL, and, if necessary, use a
* (properly) NULL-terminated (64-bit) duplicate of argv[].
* The same code is used in either case to duplicate argv[].
* Some of these decisions could be handled in preprocessing,
* but the code tends to get even uglier, and the penalty for
* deciding at compile- or run-time is tiny.
*/
Da ist man auch als Atheist versucht, nach dem Weihwasser zu greifen.
OKOK, des Tages, nicht dieses Tages. Ist von 2010. (Danke, Ulf)
Update: Stimmt gar nicht, sie werden nur alle angezeigt. Ob die Staatsanwaltschaft die wirklich verfolgt oder nicht, das wird sich erst noch zeigen müssen. (Danke, Noel)
Das ist ja schlimm genug, wenn die Webseiten alle am Rand irgendwelchen Bullshit einblenden. Wir haben daraufhin alle unsere Fenster breiter gemacht und setzen jetzt Breitbild-Monitore ein, damit wir trotzdem noch genug Text vor den Augen haben. Eine absolute Zumutung!
Und jetzt fehlt auch noch oben 20%? Weil irgendein Designer keinen Hydranten gefunden hat und dann halt auf die Webseite pinkeln musste?
Nicht mit mir. Hoffentlich wird das bald Adblock-Feature, diesen Mist transparent wegzufiltern. Zum Kotzen!
Wir haben Angst vor Google. Ich muss das einmal so klar und ehrlich sagen, denn es traut sich kaum einer meiner Kollegen, dies öffentlich zu tun. Und als Größter unter den Kleinen müssen wir vielleicht auch in dieser Debatte als Erste Klartext reden.Ich möchte mal einen Absatz herausgreifen, um zu unterstreichen, dass ihr das lesen sollt:
Die Verlage haben hier früh – als Vorboten für andere Branchen und Industrien – ihre Erfahrungen gemacht. Aber solange es nur um die Enteignung von Inhalten (die Suchmaschinen und Aggregatoren nutzen, aber nicht bezahlen wollen) ging, haben sich nur wenige dafür interessiert. Aber das ändert sich, wenn das Gleiche mit den persönlichen Daten der Menschen geschieht. Die Frage, wem diese Daten gehören, wird eine der politischen Hauptfragen der Zukunft sein.Das ist doch mal eine großartige Argumentation! Da wäre ich nicht drauf gekommen.
„Die Vorratsdatenspeicherung kommt so sicher wie das Amen in der Kirche, weil sie kommen muss“, sagte der Justiziar der Unionsfraktion, Hans-Peter Uhl (CSU).Ich sehe hier ja mehr Dinge, die gehen müssen, als Dinge, die kommen müssen. Ganz vorne mit dabei: Herr Uhl.
When the preferences of economic elites and the stands of organized interest groups are controlled for, the preferences of the average American appear to have only a minuscule, near-zero, statistically non-significant impact upon public policy.
Update: Mir mailt gerade jemand, dass der seinen Beamtenstatus nicht verliert, weil das als eine Affekttat bewertet wurde vom Gericht.
Spätestens jetzt brauchen wir dringend eine Alternative zu OpenSSL. Wenn die SPD das anfasst, und die CDU das gut findet, ist es so gut wie tot.
Zum Vergleich: Die selbe Firma hat vorher auch Cryptocat mal auditiert und das kommt deutlich schlechter weg.
Bedauerlicher Einzelfall? Wie sich rausstellt: Nein.
Die Stiftung Patientenschutz hat unterdessen darauf hingewiesen, dass es sich nicht um einen seltenen Einzelfall handeleWie gruselig.
Update: Die Klinik dementiert. (Danke, Andreas)
Update: "Key Customer" von Strongswan sind übrigens die SINA-Boxen. Die von der Bundesregierung für die Verschlüsselung von wichtigem Traffic verwendet werden, wie z.B. die Schnüffelschnittstellen bei den Telekommunikationsunternehmen. Allerdings sprach ich mal mit einem Techie, der meinte, dass ihre Version des Quellcodes nur noch grob an Strongswan erinnert, weil sie da so viel ersetzt haben. Nichtsdestotrotz würde ich mal davon ausgehen, dass da gerade ein paar Geheimdienstler mächtig nervös sind. (Danke, Noel)
Nein, muss es nicht. Im Gegenteil. Das wäre das Ende von Open Source.
Außerdem lässt es der Artikel so klingen, als habe sich jetzt herausgestellt, dass Open Source Software weniger gut als kommerzielle sei. Das ist ganz großer Unsinn (auch wenn es natürlich auf beiden Seiten Ausreißer gibt, die deutlich besser als der Durchschnitt der anderen Seite sind).
Open Source als Bewegung ist das Konzept, dass man Leute Code schreiben lässt, deren Herzensblut dranhängt. Die es eben nicht kurz herunterpfuschen, weil sie dafür bezahlt werden. Open Source ist die Beobachtung, dass manche Menschen es lieben, Code zu schreiben. Und wenn man sie nicht mit Deadlines und Deliverables und dem monatlichen Paycheck unter Druck setzt, dann nehmen sie sich die Zeit und machen ihr Projekt ordentlich. Viel ordentlicher jedenfalls als die durchschnittliche kommerzielle Software.
Inzwischen wird kommerzielle Software wie Open Source entwickelt. Weil das Modell funktioniert. Kaum eine Firma entwickelt heute noch Software ohne Unit Tests, ohne Source Code-Versionskontrolle, überall gibt es ein Wiki für die Dokumentation und alle wollen gerne agil sein.
Der Erfolg von Open Source war so durchschlagend, dass es das Gegenmodell gar nicht mehr in freier Wildbahn gibt!
Wenn es etwas gibt, das sich bei Open Source zu ändern lohnt, dann ist es der mangelnde Respekt. Nur weil du gerne Programmieren lernen willst, heißt das nicht, dass du am Linux-Kernel herumfummeln solltest. Deine eigene SSL-Library schreiben? Kein Ding. Tu es! Da kann es nur Gewinner geben, selbst wenn es niemals fertig wird und niemand deinen Code benutzt. Du hast dabei was gelernt und als Programmierer an Größe gewonnen. Ein wenig bekanntes Detail aus der OpenSSL-Genesis ist, dass das mal SSLeay hieß — eay sind die Initialen des initialen Autoren, Eric Young —, und der hat das Projekt gestartet, weil er lernen wollte, wie die Division von 1024-Bit-Zahlen funktioniert.
Der Kern des Problems ist aus meiner Sicht, dass wir als Gesellschaft uns darauf geeinigt haben, dass Software halt ein schwieriges Problem ist, und daher Fehler halt passieren und niemand für seine Fehler geradestehen muss. Man kann sich heute bei so gut wie allen Problemen mit "das war ein Softwarefehler" herausreden. Für mich als Programmierer ist das natürlich auf der einen Seite toll, weil ich mich so Dinge trauen kann, die ich sonst nicht in Angriff nehmen würde. Aber es hat in der Szene so ein wirklich widerliches Gefühl erzeugt, als hätten wir Programmierer es verdient, als sei das unser Recht, niemals für unseren Scheiß den Kopf hinhalten zu müssen. Ich will das mal anhand dieser Tweets veranschaulich. So tief sitzt da die Panik! So ein Affront für das Weltbild ist es, dass möglicherweise jemand kommen könnte, und der sieht, dass ich gepfuscht habe! Sowas finde ich zutiefst unwürdig. Als ob der Auditor Schuld hat, wenn dein Code Scheiße ist! Wenn bei einer Frittenbude Küchenschaben gefunden werden, ist dann das Gesundheitsamt der Bösewicht? Wenn GM kaputte Autos baut, und da sterben Leute, glaubt ihr auch, die Zuständigen machen sich in erster Linie Sorgen wegen der Hater aus dem Internet? Anders gefragt: Würde irgendjemand von euch von einer Firma kaufen, die nur Qualitätskontrolle macht, weil sie Angst vor Internet-Hatern hat, wenn herauskommt, wir ranzig ihr Produkt ist?!
Dass überhaupt das Wort "Hater" gefallen ist, sagt aus meiner Sicht schon alles. Wenn du etwas baust, dann sollte das der güldene Sonnenschein sein, nach frisch gebackenem Brot durften und die filigrane Eleganz eines mathematischen Beweises haben. Und zwar nicht weil es da draußen "Hater" gibt, sondern weil das dein verdammer Anspruch an dich selbst ist! Wenn jemand kommt und dich auf Fehler in deinem Code hinweist, dann solltest du auf die Knie fallen und dem Fremden überschwänglich danken, denn er hilft dir, deinen Code näher an die Zielvorstellung der Perfektion zu bringen!
Ich glaube nicht, dass bei Software so viel mehr gepfuscht wird als anderswo. Aber physische Dinge sind vergänglich. Fehler bei physischen Dingen gehen von alleine weg, mit den Dingen selbst. Software lebt theoretisch für immer. Softwarefehler akkumulieren immer nur. Aus meiner Sicht müssen wir Software wie radioaktiven Müll behandeln — vorsichtig und mit Bedacht.
Nachdem ich all das gesagt habe, möchte ich noch sagen: Schreibt mehr Software! Aber macht es ordentlich!
Update: Jetzt bin ich ganz von meinem eigentlichen Gedankengang abgekommen. Open Source funktioniert, weil es eben nicht geldgetrieben ist. Der Programmierer zieht seinen Anreiz, die Software zu schaffen, aus der kreativen Freude des Programmierens, und aus dem Zen-ähnlichen Zustand, wenn ein komplexer Algorithmus, den man hingeschrieben hat, dann tatsächlich funktioniert. Guter Code ist seiner selbst Belohnung. Wenn man dort Geld als Anreiz einbringt, dann wird das dieses Modell kaputtmachen. Programmierer werden dann anfangen, die Arbeit pro eingenommenem Euro zu minimieren. Genau wie das überall eintritt, wo man Geld für Arbeit zahlt. Am Ende wird man feststellen, dass die Stundenlöhne anderswo niedriger sind als bei uns, und dann wird niemand mehr in Deutschland Open Source programmieren wollen. Nur weil man das mentale Modell so umgebaut hat, dass wir das "für Geld" tun, nicht um etwas zu lernen, oder den anderen Gründen. Macht das bloß nicht!
Geld für Dinge ausgeben, bei denen niemand kreative Genugtuung erfährt, das kann man diskutieren. Ich glaube, das wird man auch machen müssen, damit auch bei den SSL-Libraries wieder Open Source qualitativ führend ist. Aber fangt nicht an, das Belohnungsmodell von Open Source Programmieren auf "da gibt es Geld für" umzustellen. Das wäre der Untergang.
Update: Ich will mal eine Kommentarmail hier zitieren:
In der Psychologie unterscheidet man zwischen extrinsischer und intrinsischer Motivation. Intrinsische Motivation bedeutet, dass man etwas tut, weil es einem Spass macht, weil man es für richtig hält etc. Extrinsische Motivation bedeutet, dass man etwas tut, weil man eine Belohnung dafür erhält. Sozialpsychologische Experimente haben gezeigt, dass man intrinsische Motivation unwiederbringlich zerstören kann, indem man einen extrinsischen Anreiz schafft, etwas zu tun.
Update: Noch eine Einsendung:
Die moderne Motivationsforschung sagt an dieser Stelle „Nein“, weil die Programmierer bereits in dem Moment wo sie Geld bekommen den Spaß verlieren würden, aus Spiel wird dann Arbeit. Das Ganze geht auf die Selbstbestimmungstheorie der Motivation von Deci & Ryan, 1985a zurück (s. Wikipedia). Lese grade Drive von Daniel Pink (ISBN 978-1847677686), was die gedankliche Grundlage für die agile Softwareentwicklung z.B. Scrum beschreibt. Bei modernen Softwareschmieden gehört diese Kenntnis mittlerweile auch zum Einstellungskriterium.
Jetzt gibt es OCSP, aber das haben noch nicht alle CAs ausgerollt, viele Browser haben es noch gar nicht per Default an, und die, die es an haben, laufen regelmäßig in Timeouts, weil bei einer CA gerade mal wieder der OCSP-Service kaputt ist.
Es knirscht gewaltig im Gebälk bei SSL.
Welches DLR? Das DLR hier. Man kann sehen, dass sie involviert sind, wenn man bei whois.ripe.net nach as28 fragt.
Die Münchner Generalstaatsanwaltschaft sieht "insgesamt keine Veranlassung" dazuNatürlich nicht! Dann müsste man ja auch über deren Rolle in der Geschichte mal reden. Dann ließe sich möglicherweise das "DIE ANDEREN WAREN ES!!1!" nicht aufrecht erhalten.
Dass die sich alle nicht schämen!
Wer sich jetzt denke: Scheiß Bayern, hab ich doch gleich gesagt! Für den habe ich schlechte Nachrichten:
Eine Beschwerde des Rechtsanwalts Rainer Schmid dagegen hat die Generalstaatsanwaltschaft nun verworfen.Das ist kein bayerisches Phänomen. Der Fisch stinkt immer vom Kopf her.
Das RAG-weite Anfahrverbot besteht weiterhin. Da Link sich „beharrlich weigert, einen vergleichbaren freien Arbeitsplatz für ein Bauvorhaben in Russland“ (Deilmann-Haniel) anzunehmen, hat das Unternehmen den Leiharbeiter für die Landschaftspflege auf einem Zechengelände in Dortmund eingesetzt. Dort schneidet er jetzt Hecken und kehrt auf dem Gelände.Wollte Ruhrkohle den nach Sibirien schicken oder wie? (Danke, Timo)
Update: Der Vollständigkeit halber: Dieser Bug sieht auf den ersten Blick nicht backdoorfähig aus. Eher nach Schlamperei oder Inkompetenz. (Danke, Florian)
Nun, Japan hat gerade aus ähnlichen Gründen einen "großen Zerstörer" gebaut. Ihr wisst schon, die Art von Zerstörer mit breitem, flachem Deck, damit Flugzeuge drauf landen können. Die Art von Zerstörer.
But while Japan insists the warship isn't an aircraft carrier—an important distinction, as it could then violate Japan's constitutional requirement to have a defense-only military—commentators in China say the ship is a wolf in slightly-less-aggressive-wolf's clothing.Wie im Kindergarten.
OpenBSD hat einen Audit angestoßen und der zeitigt erste Ergebnisse.
Und nicht zuletzt: Coverity, einer der bekannteren Code-Scanner, der hat Heartbleed nicht erkannt. Der Firma ist das einigermaßen peinlich, daher haben sie jetzt nach Heuristiken gesucht, um sowas doch zu finden, und dabei hatten sie eine relativ smarte Idee: Endianness-Konvertierung markiert bei denen jetzt Variablen als vergiftet. So gehen Code-Auditoren wie ich auch vor.
Ich habe die Tage erfreut festgestellt, dass PolarSSL auch ECDSA kann inzwischen, EDH eh schon, und jetzt auch GCM. Damit haben sie soweit alle wichtigen Features. Auf Client-Seite ist die Zertifikats-Validierung wohl noch nicht so toll, ich verlinkte neulich die Frankencert-Tabelle. Aber das ist ja serverseitig wurscht, außer man will Client Certs haben, was so gut wie niemand tut. Das ist neben OpenSSL die andere unterstützte SSL-Engine in gatling und von der Codequalität her macht sie einen ganz guten Eindruck. Viel kleiner und ordentlicher und weniger Makrohölle als OpenSSL. Klein genug, dass eine Einzelperson davon realistisch einen Komplett-Audit machen könnte.
Die schlechte Nachricht:
But Mr. Obama carved a broad exception for “a clear national security or law enforcement need,” the officials saidAch soooo. Außer die Lücken lassen sich für Spionage oder zur Strafverfolgung benutzen!1!! Na DANN ist ja alles gut!
Die Ukraine ist wohl 2,2 Milliarden Dollar im Rückstand, da kann man die schlechte Laune schon nachvollziehen.
Außerdem sagen sie, dass sie ab jetzt nur noch per Vorkasse liefern wollen. Das zeichnet sich ja alles schon seit vielen Jahren ab, aber jetzt hat Russland die Pipeline in der Ostsee und kann die Drohung wahr machen. Eigentlich dürfte da niemand groß überrascht sein.
Es ist natürlich auch der Wink mit dem Zaunpfahl an die EU. Schaut her, Leute, wir lassen uns hier nicht ewig lange von euch verarschen!
Aber da war ja überhaupt keine Reue, nicht mal ein "Hups". Eher so Beobachten aus der Entfernung. "Hmm, das hat aber groß Bumms gemacht".
Mal einen Fehler zu machen, dass kann man verzeihen. Passiert. Aber nicht zu seinen Fehlern zu stehen, und in der Presse das dann noch kleinzureden versuchen, "war nur ein ganz trivialer Fehler", das geht aus meiner Sicht gar nicht. Und das dann noch dem Briten in die Schuhe schieben zu wollen, der das am Neujahrsmorgen um 1 Uhr nachts durchgewunken hat, das finde ich auch unakzeptabel.
Das ist genau so abwegig wie wenn ein Krimineller für seine Tat die Polizei verantwortlich macht, weil die ihn nicht aufgehalten haben.
Im Übrigen: Nein, der Fehler ist nicht trivial. In einem Netzwerkprotokoll keine Eingabevalidierung zu machen ist kein trivialer Fehler. Das ist auf der 1-bis-Tschernobyl-Skala ein Fukushima. Das Mindeste, was man dann tun kann, ist ein öffentliches: Meine Schuld, tut mir leid, verzeiht mir, ich gelobe Besserung. Zumindest ein bisschen "Wir entschuldigen uns für die Unannehmlichkeiten"-Heucheln ist ja wohl nicht zuviel verlangt!
Wie sieht denn das jetzt aus? "Sind die Open-Source-Leute alle so wenig teamfähig, dass sie ihre Fehler kleinreden und anderen in die Schuhe schieben?" "Vielleicht lassen wir das hier lieber nicht in Deutschland entwickeln, die stehen da nicht zu ihren Fehlern."
Aber vielleicht habe ich da einfach zu hohe Ansprüche. Ich runzle ja schon meine Stirn, dass jemand mit so wenig Erfahrung es überhaupt gewagt hat, bei OpenSSL Code einzuchecken, der auch noch Daten vom Angreifer handled. Das ist dann wohl der Dunning-Kruger-Effekt in Aktion.
Ich habe 1995 mal Code bei ssh eingeschickt, bevor es openssh gab. Das war Code für ein zusätzliches Detail in der Config-Datei. Ich weiß noch, wie ich da sehr nervös war, das überhaupt hinzuschicken. Netzwerk-Parsing-Code hätte ich mich gar nicht einzusenden getraut damals. Ist dieser Respekt vor wichtigen Infrastrukturprojekten über die Jahre verloren gegangen?
Oder habe ich das übersehen und er hat sich entschuldigt?
Update: Eigentlich ist der Typ bloß das Symptom. Das ist ja ein gesamtgesellschaftliches Problem. Oder erinnert sich jemand von euch, wann in der Politik zuletzt jemand Schuld gewesen ist an irgendwas? Kommt nicht mehr vor. Der Hoeneß war Schuld, ja, als es nicht mehr zu leugnen war. Das war die Ausnahme. War bei dem Mollath irgendjemand Schuld? Nein. Bei BER? Das war alles Schicksal. Ein Gesetz nach dem anderen haben wir wegen Verfassungswidrigkeit weggehauen. Da war auch nie jemand Schuld. Illegaler Bundestrojanereinsatz? War auch keiner Schuld. Kaufen wir halt einen anderen Trojaner. Vorratsdatenspeicherung verfassungswidrig? Niemand zeugt Reue. Ich hatte halt gehofft, dass das wenigstens in meiner Branche anders ist. Dass wenigstens die Techies zu ihrem Scheiß stehen können. Techies sind ja auch sonst ehrlicher und können den Kunden im Allgemeinen nicht so direkt ins Gesicht lügen, wenn sie nach Schwächen ihres Produkts gefragt werden.
Apropos Fukushima. TEPCO hat sich entschuldigt. Die hätten auch mit dem Finger einmal im Kreis zeigen können. Die Regulierungsbehörde, die Regierung, die Anreize, die Börse, wir haben unseren Techies vertraut, das lief doch immer alles super… aber selbst DIE haben die Größe gehabt, sich zu entschuldigen.
Update: Wenn man einmal um die Ecke läuft, sieht man den Eingang.
Ein Klassiker!
Update: Ist beim Registrar gefixt, aber hat eine TTL von einem Tag. Kann also noch ein bisschen dauern, bis bei euch wieder korrekte Werte ankommen.
Allerdings ist das natürlich nur dann sinnvoll, wenn der Passwort-Manager auf einem sicheren Rechner läuft. Sonst kann dich jemand beim Eingeben deines Passwort-Manager-Masterpasswortes beobachten und alle Passwörter rausleiten.
Auf der anderen Seite, wenn sich jemand bis auf deinen Desktop vorgearbeitet hat, kann er dir eh beim Eingeben der Passwörter zugucken.
Insofern überwiegen aus meiner Sicht die Vorteile.
Es stellt sich aber natürlich die Frage, ob die Software selber vertrauenswürdig ist, oder ob sie hintenrum die Passwörter nach Hause telefoniert. Daher würde ich im Zweifelsfall wahrscheinlich eine Open Source Software wie Password Safe nehmen, ohne mir die jetzt konkret angeguckt zu haben.
Oh und wer hat eigentlich die Anleihe organisiert?
Die Emission der Anleihe wird von der Bank of America Merrill Lynch, der Deutschen Bank, Goldman Sachs, HSBC, JP Morgan und Morgan Stanley organisiert.Na dann ist ja alles in trockenen Tüchern!
Update: Hups, die Meldung ist von 2012. Aber macht euch mal nichts vor, mit den neuen Schulden werden die auch heute erstmal ihre Gläubiger befriedigen. Die, die ihnen die Schulden nicht erlassen hatten. AKA: Die Spekulanten. (Danke, Christian)
/* truly random sequece read from /dev/urandom. */Das ist ja schon mal echt großartig, aber hier ist noch die Kirsche auf der Schlagsahne:
static unsigned char salt[8] = { 0xdb, 0x91, 0x45, 0xc3, 0x06, 0xc7, 0xcc, 0x26 };
SHA256_Init (&s);Die Idee bei einem Salt ist es, Wörterbuchangriffe zu erschweren, indem jedes Passwort mit einem anderen Salt gehasht wird. Das wird dann mit dem Hash zusammen in die Datenbank gelegt. Wenn jemand die Hashes aus den Datenbanken klaut, dann muss der nicht mehr nur jedes Passwort aus dem Wörterbuch einmal hashen und mit allen Hashes vergleichen, sondern er muss jedes Passwort mit jedem vorkommenden Salt einmal hashen. Wenn du nur ein Salt hast, dann ist das natürlich für die Tonne.
SHA256_Update (&s, passwd, strlen(passwd));
SHA256_Update (&s, salt, sizeof(salt));
Und wenn man salted, dann muss man erst das Salt und dann das Passwort hashen. Dann muss der Angreifer pro Iteration Salt und Passwort hashen. So muss er das Passwort nur einmal hashen und kann dann dahinter die Salts ausprobieren.
Dieser Code kommt übrigens aus einem "Dropbox-Ersatz" namens Seafile.
Update: Oh und übrigens: Hashen geht heutzutage so flott, dass man am besten nicht nur einen Durchlauf macht, sondern mehrere. Am besten macht man das gar nicht selber sondern nimmt sowas wie bcrypt, PBKDF2 oder scrypt. scrypt ist ziemlich cool, weil es als Design-Ziel hat, dass sich das Cracken möglichst schlecht auf ASICs abbilden lässt.
Update: Stefan Lucks hat auch ein Eisen namens Catena im Feuer. (Danke, Peter)
Die aktuelle Inkarnation war, dass die nervigen Selbstvermarkter von Cloudflare sich hingestellt haben, und behauptet haben, also in IHREM Setup käme man per Heartbleed aber nicht an die SSL-Zertifikate ran, daher müssten sie jetzt auch nicht alle zurückrufen und neumachen. Als Beweis haben sie eine Teststellung hingestellt, und das Internet herausgefordert, ihnen eine mit ihrem Schlüssel signierte Botschaft zu schicken. Hier ist ihre Challenge-Webseite.
Und siehe da: jemand hat den Key extrahiert.
Update: Was wohl als nächstes passiert? Wenn man ihm eine Reederei zum in den Boden rammen übergibt, hat er alle Verkehrsmittel durch.
Das war damals natürlich Voraussetzung dafür, dass das UNO-Hauptquartier in New York angesiedelt wird, dass die Amerikaner niemals einem ausländischen Würdenträger den Zutritt verweigern würden. Und ich glaube bisher haben die Amerikaner sich da auch dran gehalten.
Die Begründung ist, dass er an der Botschafts-Stürmung 1979 beteiligt gewesen sein soll, was er dementiert. Aber was soll er auch sonst sagen.
Der Druck geht vom US-Congress aus, die übrigens sonst eher wenig auf die Reihe kriegen.
The classified study, prepared by the Senate select committee on intelligence, concluded that the CIA’s interrogations, secret detentions and outsourced torture sessions were “brutal, and far worse than the agency communicated to policymakers.”Es geht schon damit los, dass sie da die Fälle von 100 Gefangenen betrachtet haben. Soviel räumt die CIA gar nicht ein, in ihren Folterknästen gehabt zu haben.
Aber die Kernbotschaft, egal ab wann Geheimdienste das exploited haben, ist: Geheimdienste arbeiten gegen ihre eigene Bevölkerung, nicht für sie. Die Geheimdienste wussten davon und haben nichts gesagt.
Oh und eine Sache noch: Das sieht jetzt hier aus wie eine Bankrotterklärung von Open Source. Das stimmt nicht. Der Bug wurde von zwei Leuten gleichzeitig gefunden und gemeldet. Einmal von einer Security-Firma, die eine Testsuite für SSL-Bugs programmiert hat. Die hätte das auch bei einem Nicht-Open-Source-SSL gefunden. Aber der andere Finder war ein Google-Angestellter, der einen Quellcode-Audit gemacht hat. Den hätte es so bei einem Nicht-Open-Source-SSL nicht gegeben. Wir haben hier also die Chancen direkt verdoppelt, solche Bugs zu finden. Wer weiß, was in Kommerzsoftware noch so für Untiefen lauern.
Meiner Erfahrung nach variiert die Codequalität bei Open Source und bei kommerzieller Software immens, und der Durchschnitt liegt ungefähr auf einem vergleichbaren Niveau. Man kann nicht davon ausgehen, dass kommerzielle Software grundsätzlich ein höheres Niveau hat.
Übrigens stört mich an der Debatte ein bisschen, dass so wenig Leute daraus Konsequenzen ziehen. Wir benutzen alle die ganze Zeit Open Source Software, ohne dafür zu zahlen, und wir benutzen Kommerzsoftware und bezahlen dafür. Dann wundern wir uns, dass die Hersteller von Kommerzsoftware Geld haben, um davon Audits machen zu lassen, aber die Open Source-Leute warten müssen, bis Google mal vorbeikommt.
Eine mögliche Konsequenz aus dem aktuellen Geschehen könnte sein, dass man mal einen Fonds macht, in den Benutzer von Open Source-Software einzahlen, und mit dem dann Qualitätssicherungsmaßnahmen bezahlt werden, für die Freiwillige bei den jeweiligen Projekten nicht die Motivation aufbringen. Das meint natürlich Security-Audits, aber es meint auch sowas wie ordentliche Testsuiten basteln; Dokumentation bereitstellen.
Update: Die US-Regierung dementiert. Was sollen die auch sonst sagen. Sie behaupten sogar, dass sie alle Lücken reporten, die sie finden. Ja nee, klar.
Die SPD-Innenminister bekräftigten in einer "Berliner Erklärung" ihre Position, dass sie "eine angemessene Mindestspeicherung zur Verfolgung schwerster Kriminalität" für notwendig halten. Dies werde mit dem EuGH-Urteil auch "nicht grundsätzlich als rechtswidrig" angesehen.Keine weiteren Fragen. (Danke, Christian)
Wir haben damals gesagt: Wenn ihr Exploits als Waffen bewertet und ihren Besitz unter Strafe stellt, dann hat das mehrere Auswirkungen:
Update: Die EFF zu dem Fall.
Leute, es ist doch völlig wurscht, ob das jetzt eine Backdoor ist oder nicht. Wir müssen alle davon ausgehen, dass über dieses Ding alle unsere Passwörter rausgetragen wurden. Ob das jetzt ein Geheimdienst eingebaut hat, oder ob das ein Geheimdienst nur entdeckt und damit sein BULLRUN-Programm aufgebohrt hat, das ist doch völlig nebensächlich.
Der Punkt an der Sache ist, dass wir ab jetzt IMMER davon ausgehen müssen, dass irgendwelche Bugs auch eine Backdoor sein könnten. Es gibt für sowas keine Beweise, nur Indizien, und wir wissen es nie genau, bis es irgendwann ein Whistleblower zugibt. Und es spielt auch keine Rolle, wie viele Indizien es gibt, wie stark die sind, oder ob es wirklich eine Backdoor war oder nicht.
Es geht auch nicht um diesen Seggelmann. Der wird jetzt damit leben müssen, beim größten Security-Meltdown in der Geschichte von SSL der Mann an der Reaktorkühlung gewesen zu sein. Ob das jetzt Absicht war oder nicht — who cares.
Was eine Rolle spielt, ist dass wir jetzt das Bedrohungsszenario "jemand will uns eine Backdoor unterschieben, die bloß wie ein blöder Bug aussieht" nicht mehr als Verschwörungstheorie zu den Akten legen können nach Snowden. Wir müssen ab jetzt bei jedem Checkin davon ausgehen, dass uns jemand sabotieren will. Nicht bei allen Projekten. Aber bei sowas wie OpenSSL ganz bestimmt.
Open Source-Softwareentwicklung hat gerade den Sprung in die Geheimdienstwelt gemacht, wo man sich gegenseitig nicht mehr einfach so traut. Die Zeit der Blümchenwiesen-Softwareentwicklung ist vorbei, wenn die Software auf Millionen von Desktops läuft.
Ob das Open Source Modell in so einer Paranoia-Umgebung überleben kann, wird sich zeigen müssen. Aber einfach so tun, als beträfe uns das alles nicht, das können wir nicht mehr.
Ich bin mir übrigens sicher, dass man auch bei einigen von meinen Bugs über die Jahre rückblickend Indizien konstruieren könnte, wieso das wie eine Backdoor aussieht, oder einer anderen Backdoor hilft oder sie ermöglicht. Man müsste sich dafür recht weit aus dem Fenster lehnen, aber das ist ja kein Problem bei Verschwörungstheorien. Glücklicherweise habe ich nicht so viele sicherheitskritische Fehler gemacht über die Jahre.
Das ist so das widerlichste Verhalten, das man sich überhaupt denken kann.
Der Grund ist: Weil ich die Details von OpenSSL noch nicht genügend verstehe. Die APIs sind hochkomplex und undurchsichtig. Alleine OpenSSL anzuwenden ist schon ein Kampf gegen Windmühlen. Ich frickel jetzt seit Monaten immer mal wieder an dem OpenSSL-Interface von gatling herum und der negotiated immer noch nicht die Cipher-Suites, die ich eigentlich haben will.
So eine SSL-Library ist an sich schon hochkomplex. Da werden Kombinationen aus Verfahren und Extensions verhandelt, und OpenSSL implementiert sie so gut wie alle. Ich überlege ja seit ein paar Jahren, selber mal eine SSL-Library zu schreiben. Nicht damit ich am Ende eine SSL-Library habe, sondern weil ich dann sicher sein kann, dass ich die Details verstanden habe.
Fakt ist: Das ist alles nicht so einfach, und ein Audit bringt nur was, wenn man auch die Details verstanden hat. Sonst findet man nur die offensichtlichen Fehler. Wie sich jetzt herausstellt, wäre auch das hilfreich gewesen. Fair enough. Das war vorher nicht so klar. OpenSSL hatte an sich immer einen recht guten Track Record. Die Bugs in OpenSSL waren eher so Sachen wie Timing-Angriffe, Side-Channel-Probleme, kryptographische Designprobleme.
Ich könnte da jetzt ein bisschen auditieren, wahrscheinlich ein paar Bugs finden. Die könnte man dann fixen. Ein Kunde würde sich darüber freuen. Aber meinem Anspruch an einen Audit von kritischer Infrastruktur würde das nicht genügen. Wäre damit wirklich was geholfen? Mein Ziel bei meiner Software ist immer, dass ich nachts ruhig schlafen kann, weil ich nicht darüber nachdenken muss, ob da gerade jemand meinen Server aufmacht. Dieses Niveau an Vertrauen werde ich bei OpenSSL nicht mit einem Audit auf meinem aktuellen Kenntnisstand von den TLS- und Krypto-Details erreichen können. Damit ist aber auch klar, dass ich eigentlich nicht mehr OpenSSL einsetzen möchte, sondern etwas vertrauenswürdigeres. Und dann erscheint es mir ein besseres Investment meiner Zeit, wenn ich an meiner eigenen SSL-Library hacke.
Das ist aber so viel Aufwand, dass ich dann lieber an einem anderen Problem herumhacke, das auch auf der Liste steht, und schneller ein Erfolgserlebnis liefert.
„Es entsteht der Eindruck, dass dieses Spam-Radio aus dem Jenseits sendet, oder aus einer Welt, die es nicht mehr gibt“, erklärte der Generaldirektor von Rossiya Segodnya, Dmitri Kisseljow, am Mittwoch.Stil haben sie ja, die Russen. (Danke, Frank)
Log message:
Disable Segglemann's RFC520 hearbeat.I am completely blown away that the same IETF that cannot efficiently
allocate needed protocol, service numbers, or other such things when
they are needed, can so quickly and easily rubber stamp the addition
of a 64K Covert Channel in a critical protocol. The organization
should look at itself very carefully, find out how this this happened,
and everyone who allowed this to happen on their watch should be
evicted from the decision making process. IETF, I don't trust you.
Ich möchte die Gelegenheit nutzen, nochmal darauf hinzuweisen, dass ich selbstverständlich nicht behauptet habe, Herr Seggelmann habe hier absichtlich eine Backdoor programmiert. Ich habe behauptet, dass er den Code programmiert hat. Dazu verlieh ich meiner Einschätzung Ausdruck, dass der Code wie eine Backdoor aussieht. Nicht dass es eine ist. Denn das kann man anhand des Codes auch gar nicht entscheiden, wie ich auch in dem FAZ-Artikel ausführe. Daher gibt es auch keine Grundlage für so eine Behauptung.
Update: Spon hat den Artikel umgeschaltet, und sie haben mir versichert, dass es nicht so gemeint war, wie es da stand. OK. Schwamm drüber.
Also sowas gab es doch früher nicht?
Wie sich rausstellt: doch. Gab es.
Aber ich kann den Schock der Nato schon verstehen. Wenn man den bisherigen Nato-Aussagen so geglaubt hat, dann musste man doch davon ausgehen, dass in Russland keine Truppen mehr stationiert sind, weil die alle noch in Georgien sind oder auf der Krim oder jetzt marodierend durch die Ukraine ziehen. (Danke, Dmitrij)
Ob da noch mehr Gruselkram kommt?
Update: Jetzt geht auch http nur noch seeeeehr langsam. WTF? (Danke, Stefan)
Atlantikbrücke? Srsly? Deutsch-Israelische Gesellschaft e.V.? Deutsche Gesellschaft für Auswärtige Politik? (Danke, Caspar)
Diese Löhne seien zwar auch in strukturschwachen Regionen wie der Niederlausitz sittenwidrig, urteilte das Gericht. Der Anwalt habe aber nicht ausbeuterisch gehandelt.Aha? Ja, wie, warum denn nicht?
So hätten die Beschäftigten auf eigenen Wunsch unter diesen Konditionen angefangen, um erst einmal wieder Fuß auf dem Arbeitsmarkt zu fassen.Ach sooo! Wenn die Angestellten nur verzweifelt genug sind, dann ist das keine Ausbeutung.
Update: Gegendarstellung des Anwalts.
Erstmals haben fünf Abgeordnete der Linksfraktion einem Auslandseinsatz der Bundeswehr zugestimmt. 35 Linken-Politiker blieben beim traditionellen Nein, 18 votierten mit "Enthaltung".Das ist sehr traurig. Normalerweise warten Parteien mit dem Umkippen, bis sie mal an der Regierung waren. Zumindest als Juniorpartner in einer Koalition.
Terrence Koeman of MediaMonks told Ars he found signs of attempts to use the exploit dating back to November 2013. He used the packet content of a successful exploit of the Heartbleed vulnerability to check inbound packets logged by his servers and found a number of incoming packets (Danke, Bjoern)
Dort soll der Kommissar zunächst sein Opfer aus dem Dienstwagen gezerrt und zu Boden gestoßen haben. Dann habe er ihm Pfefferspray ins Gesicht gesprüht und in den Rücken getreten. Anschließend hat er dem Bericht zufolge seine Dienstwaffe gezogen, durchgeladen und auf sein Opfer gezielt.
Update: Oder so. (Danke, Melinda)
Update: Seymour Hersh dazu. Es ist eine Schande, dass der jetzt beim London Review of Books publizieren muss, weil die anderen ihn alle lieber nicht bei sich publizieren lassen.
Nach Recherchen des WDR-Magazins Monitor ist es unwahrscheinlich, dass die Schüsse auf Demonstranten ausschließlich von Seiten der damaligen ukrainischen Führung unter Janukowitsch ausgingen.NEIN! DOCH! OH!
Die NSA so: Nein.
North Korea’s supreme leader Kim Jong Un was elected to the highest legislative body without a single dissenting vote against in his district on a 100% turnout, state media reported on Monday. There was no one else on the ballot.:-)
Israeli PM orders ministers to stop meeting Palestinian counterparts in response to 'provocative' UN moveNanu? Welcher "UN move" ist das?The official said the move was in response to what Israel has called a "provocative" Palestinian bid to join United Nations agencies.Ja aber echt mal, wo kämen wir da hin, wenn Palästina einfach mitmachen dürfte! Am Ende kommen die anderen Uno-Mitglieder noch auf die Idee, Palästina als Staat anzuerkennen.
Ich erwähne das, weil das aus meiner Sicht der Grund ist, wieso dieser Code es bis in OpenSSL geschafft hat. Wenn jemand da den reinkommenden Code auditiert, guckt der nach den hochriskanten Bugs. Und nach der langläufigen Einschätzung, die so bei Entwicklern vertreten wird, ist out of bounds read halt viel weniger riskant als andere Bug-Klassen. Ich kann mir gut vorstellen, dass der Auditor einfach nicht nach der Art von Bug geguckt hat. Der hat memcpy gesehen, und hat dann kurz geprüft, dass vorher genug alloziert wurde und das keinen Buffer Overflow gibt, und dann hat der das durchgewunken.
Normalerweise ist es nur meine Aufgabe, Bugs zu finden. Ich bin nicht dafür zuständig, dass die auch gefixt werden. Aber trotzdem kriege ich natürlich regelmäßig mit, wenn die Entwickler dann Bugs schließen, weil sie das Risiko für zu gering halten. Wenn es mal organisatorische Zwänge gibt, dass Bugs gefixt werden müssen, beziehen die sich normalerweise nur auf "wichtige" Bugs wie Buffer Overflows. Und auch da kommt es häufiger vor, dass Entwickler sich weigern, sowas zu fixen, wenn man ihnen keinen Exploit zeigt.
Wenn ich meine Zeit damit verbringe, einen Exploit zu schreiben, finde ich aber keine Bugs in der Zeit. Daher wird das im Normalfall nicht passieren. Wenn Entwickler einen Exploit sehen wollen, geht es nicht um den Bug, sondern das ist der Versuch, den Bug loszuwerden, ohne ihn fixen zu müssen, indem der Gegenseite eine massive Bringschuld aufgebürdet wird. Schon der Einspruch des Entwicklers kostet ihn (mich sowieso) im Allgemeinen deutlich mehr Aufwand, als das Fixen des Bugs gekostet hätte.
Warum schreibe ich das hier alles? Weil ich darauf hinweisen möchte, dass das System im Moment kaputt ist. Die Perspektive von Entwicklern auf Bugs müsste sein: You file it, we fix it. Und zwar sofort. Keine Rückfragen, kein Gezeter, kein Prokrastinieren. Alle Bugs werden sofort gefixt. Wir reden ja hier von professionellen Entwicklern. Die kriegen Geld dafür, ordentlichen Code zu schreiben. Wenn es da einen Defekt gibt, wird der sofort gefixt. Fertig. Und zwar unabhängig davon, ob das jetzt ein Security-Problem ist oder "nur" Defense in Depth. Egal ob man das Szenario für realistisch hält oder nicht.
Einige Firmen haben das mit Incentive-Programmen herbeizuführen versucht. Sowas wie "es gibt Bonus, wenn man höchstens soundsoviele Bugs hat". Das führt leider dazu, dass einige Entwickler einfach alle einkommenden Bugs sofort als ungültig schließen, damit sie nicht in die Statistik gelangen. So einfach ist es halt nicht.
Und bei Open Source ist das natürlich noch mal schwieriger, Qualitätsstandards einzuhalten, wenn du niemandem damit drohen kannst, dass er gefeuert wird, wenn er sich nicht zusammenreißt.
Ein technisches Detail habe ich noch. OpenSSL hat seinen eigenen Allokator gebaut. Theo de Raadt (der Mann hinter OpenBSD) regt sich schön darüber auf, erwähnt aber nur die halbe Problematik. Eigentlich nur ein Viertel. Der Grund, wieso OpenSSL einen eigenen Allokator gebaut hat, ist — so vermute ich jedenfalls — OpenBSD. OpenBSD scheißt auf Performance und macht ihr malloc dafür richtig doll langsam. Auf der Plus-Seite segfaultet das dann sofort, wenn jemand was falsch macht. Kann man vertreten, aber dann sieht das halt in Benchmarks so aus, als sei OpenSSL furchtbar langsam. OpenSSL hatte jetzt zwei Möglichkeiten. Sie hätten mal ihren Code entkernen können, damit der nicht so viel malloc und free aufruft. Das wäre die gute Variante gewesen. OpenSSL hat aber lieber getrickst und sich einen eigenen Allokator gebaut und damit, wie Theo kritisiert, die Sicherheitsvorteile des OpenBSD-Allokators aufgegeben.
Die andere Hälfte der Medaille ist, dass der OpenSSL-Allokator vom System größere Blöcke Speicher anfordert, und dann innerhalb von denen selber fummelt. Das heißt aber, wenn ich jetzt 64k Speicher leaken kann, die aus einem dieser Blöcke kommen, dass da nur OpenSSL-Daten drin sind. Keine anderen Daten, die jemand anderes im Prozess alloziert hat. Das ist es, was diesen Bug so tödlich macht. Ihr habt vielleicht die Speicherdumps gesehen, die gerade so rumfliegen. Das ist der Grund, wieso da immer gleich so saftige Daten drinstehen wie unverschlüsselte HTTP-Dumps mit den Cookies und Passwörtern.
Update: Einen noch. Ich kriege hier gerade von einigen Leuten Flak, weil ich den Namen des Entwicklers gebloggt habe. Als ob der vorher nicht dran gestanden hätte an dem git-Checkout. Ist das legitim, den als Schuldigen zu nennen? Ich finde: Ja. Denn die Entwickler müssen endlich chirurgisch von der Idee befreit werden, dass Fehler halt unvermeidbar sind, und daher ist das nicht so wichtig, dass ich hier ordentlich arbeite. Es geht hier nicht um Shaming, sondern darum, dass alle sehen: Das hat ein Typ wie du und ich geschrieben, und hier hat ein anderer Typ wie du und ich das durchgewunken. Wenn die das falsch machen, muss ich vielleicht auch mein Verhalten ändern? Ja, müssen wir. Alle von uns.
Wir reden hier von einer der zentralen Sicherheits-Komponenten auf der Welt. Es ist völlig unakzeptabel, dass so ein Ranz-Code bei OpenSSL submitted wird. Es ist auch völlig unakzeptabel, dass OpenSSL das dann nicht merkt und diesen Ranz-Code eingecheckt hat. Und es ist völlig unakzeptabel, dass diese Tretmine da jetzt seit Jahren in der Codebasis herumgammelte, und es keiner gemerkt hat. Wir haben hier ein massives Prozess-Problem, und dem müssen wir uns stellen. Das hat mit Shaming nichts zu tun. Millionen von Menschen verlassen sich auf diese Software. Da checkt man nicht mal eben kurz was ein, wird schon gutgehen. Die Wartung von OpenSSL sollte mit einer ähnlichen Verantwortung verbunden sein wie das Warten von Flugzeugen oder Atomkraftwerken. Wir haben schlicht keine Entschuldigungen dafür, dass es soweit kommen konnte.
Natürlich konnte ich auch an dem T-Systems-Joke nicht vorbeigehen, das seht ihr sicher ein. :-)
process_includes () {
cat $1 | grep '^include' | \
while read include file ; do
all_includes="$all_includes $src_dir/$file"
process_includes $src_dir/$file
done
}
Wie sich herausstellt, kann man das Problem auf eine Zeile eindampfen:cat bin | grep include | while read include file; do echo $file; doneDas cat schlägt fehl, weil bin nicht existiert oder ein Verzeichnis ist. grep liefert eine leere Ausgabe. Das while read hat jetzt bei meinem /bin/sh daraus eine leere Zeile gemacht. Mein /bin/sh ist "bash 4.3.8(3)-release", kompiliert mit --enable-minimal-config. Mein /bin/bash ist die gleiche Version von bash, kompiliert ohne minimal-config aber dafür mit --enable-multibyte und da geht es. Mit zsh geht es auch. Da muss man erst mal drauf kommen, dass sowas an der Shell liegen könnte. Lösung: make SHELL=/bin/bash.
Fortschritt am BER: Die Planer haben jetzt ihre Entrauchungsanlage verstandenWHOA! Jetzt schon?! Meine Güte! Der Fortschritt ist ja nicht aufzuhalten!1!!
Aber grämt euch nicht, denn zumindest Guido Westerwelle hat jetzt eine Beschäftigung gefunden. Im Kuratorium der Bertelsmann-Stiftung. Es ist gut zu sehen, dass es in diesem Land noch Stiftungen mit Herz gibt. Menschen mit Mitgefühl. (Danke, Erich)
Hier ist der git commit. Das ist aber nicht der Punkt hier gerade.
Wo arbeitet der? Was meint ihr? Kommt ihr NIE drauf!
Robin Seggelmann T-Systems International GmbH Fasanenweg 5 70771 Leinfelden-Echterdingen DE
Update: Eine Sache noch. Nehmen wir mal an, jemand würde mich bezahlen, eine Backdoor in OpenSSL einzubauen. Eine, die auf den ersten Blick harmlos aussieht, die aber ohne Exploit-Schwierigkeiten auf allen Plattformen tut und von den verschiedenen Mitigations nicht betroffen ist. Genau so würde die aussehen.
Ich sehe in dem Code nicht mal den Versuch, die einkommenden Felder ordentlich zu validieren. Und auch protokolltechnisch ergibt das keinen Sinn, so eine Extension überhaupt zu definieren. TCP hat seit 30 Jahren keep-alive-Support. Es hätte also völlig gereicht, das für TLS über UDP zu definieren (und auch da würde ich die Sinnhaftigkeit bestreiten). Und wenn man ein Heartbeat baut, dann tut man da doch keinen Payload rein! Der Sinn von sowas ist doch, Timeouts in Proxy-Servern und NAT-Routern vom Zuschlagen abzuhalten. Da braucht man keinen Payload für. Und wenn man einen Payload nimmt, dann ist der doch nicht variabel lang und schon gar nicht schickt man die Daten aus dem Request zurück. Das ist auf jeder mir ersichtlichen Ebene völliger Bullshit, schon das RFC (das der Mann auch geschrieben hat), das ganze Protokoll, und die Implementation ja offensichtlich auch. Aus meiner Sicht riecht das wie eine Backdoor, es schmeckt wie eine Backdoor, es hat die Konsistenz einer Backdoor, und es sieht aus wie eine Backdoor. Und der Code kommt von jemandem, der bei einem Staatsunternehmen arbeitet, das für den BND den IP-Range betreut (jedenfalls vor ein paar Jahren, ob heute immer noch weiß ich nicht). Da muss man kein Adam Riese sein, um hier 1+1 zusammenzählen zu können.
Update: Es stellt sich raus, dass der Mann damals noch an seiner Dissertation geschrieben hat und an der Uni war und erst später bei T-Systems anfing. In der Dissertation geht es unter anderem um die Heartbeat-Extension, die mit UDP begründet wird. In dem Text steht auch drin, dass man keine Payload braucht. Aber lasst uns das mal trotzdem so machen, weil … Flexibilität und so!
Update: Echte Verschwörungstheoretiker lassen sich natürlich von sowas nicht aufhalten. Der Job bei T-Systems war dann halt die Belohnung!1!! Und echte Verschwörungstheoretiker googeln auch dem Typen hinterher, der den Code auditiert und durchgewunken hat, damit der eingecheckt werden konnte. Ein Brite, der nur 100 Meilen von Cheltenham (GCHQ-Sitz) entfernt wohnt!!1!
Update: Robin Seggelmann hat der australischen Presse erklärt, das sei ein Versehen gewesen.
Update: Hier ist eine Gegendarstellung dazu von Herrn Seggelmann:
Der Fehler ist ein simpler Programmierfehler gewesen, der im Rahmen eines Forschungsprojektes entstanden ist. T-Systems und BND oder andere Geheimdienste waren zu keiner Zeit beteiligt und zu meiner späteren Anstellung bei T-Systems bestand zu keiner Zeit ein Zusammenhang. Dass T-Systems im RFC genannt wird, liegt an der verspäteten Fertigstellung des RFCs und es ist üblich, den bei der Fertigstellung aktuellen Arbeitgeber anzugeben.
(Danke, Jürgen)
Finanziert wird die PR-Kampagne u.a. von George Soros, der ukrainischen Übergangsregierung und einer ukrainischen Tochtergesellschaft von Weber Shandwick, dem weltweit führenden PR-Unternehmen.Au weia, das ist ja mal ein Totalschaden für das ZDF. Die können ihre Nachrichten jetzt auch gleich ganz zumachen. Krass.
Update: Das ZDF sieht die Sache natürgemäß etwas anders. (Danke, Tilo)
Naja, kein Problem, dachte ich mir, für sowas gibt es ja eine Rescue-Umgebung. Wollte die klicken — der Knopf fehlte im Webinterface. Nanu? Ticket aufgemacht. Knopf da. Knopf gedrückt — Server platt, kein Rescue kommt hoch. Ticket aufgemacht. Pause. Antwort: Wir haben da mal ne Intel e100 NIC eingebaut, damit das Rescue hochkommt, und die Onboard-NIC ausgemacht. Musst du dann in deinem Debian fixen.
Die Meldung sah ich aber erst, nachdem ich mein Problem gefixt hatte, und umgebootet hatte, und da kam dann das System zwar hoch, aber ohne Netzwerk.
Also zurück ins Rescue, aber das kam dann auch nicht mehr hoch. Ticket aufgemacht. Die haben irgendwas gebastelt, damit kam das wieder hoch.
Oh, erwähnte ich, dass das Rescue-System ohne mdadm kam? Ich hab seit gefühlt 10 Jahren kein Rescue-System mehr gebraucht. Stellt sich raus, dass sowas heutzutage ein richtiges Debian ist, wo man konfigurieren kann, inklusive apt-get install mdadm. Allerdings will er dafür über 50 MB nachladen, also hab ich lieber ein statisches dietlibc-mdadm hochgeladen und benutzt.
Das Problem, so stellte sich raus, war: Die e100-Netzwerkkarte möchte gerne Firmware nachladen, die nicht da war. Ich trag also das Repository ein und rufe apt-get auf … da baut irgendein Debian-Automatismus eine initrd neu und die ist nicht mehr bootfähig.
Nun hat mir der Hoster freundlicherweise ein KVM zur Verfügung gestellt, sonst hätte ich den Aspekt gar nicht sehen können. Aber mit der neuen initrd fand der Kernel sein root-fd nicht und panicte.
Die nächsten Schritte waren: Debian dist-upgrade (das war noch ein squeeze), grub erneuern, grub stirbt mit symbol grub_divmod64_full not found. Bekanntes Problem, offenbar, aber die Lösungen funktionierten alle nicht. purge, reinstall, deinstall, config fummel, reinstall, auf die zweite platte auch installieren, half alles nichts.
In der Mitte hatte ich noch versucht, einen eigenen Kernel zu bauen, der auf der Hardware laufen würde, aber der tat es nicht und auf dem 80x25-Screen der KVM sah ich dann auch nur die letzten statischen Zeilen eines generischen Panic-Stackdumps und konnte nicht hochscrollen. Aus irgendeinem Grund kamen Tastatureingaben nicht an über die KVM. Ich tippe auf ein Java-Problem, aber am Ende — who cares.
Der einzige Ausweg war am Ende, dass ich einen eigenen grub 2.02 beta 2 aus den Sourcen kompiliert habe. Der warf zwar auch noch lustige Fehlermeldungen, aber hat dann am Ende den Kernel doch gebootet.
So, jetzt hab ich zwar immer noch einen veralteten gcc und eine veraltete glibc, aber immerhin ist die Kiste wieder oben. Seufz.
Update: Warum war da so ein antikes Debian? Weil alle von außen erreichbaren Dienste eh von mir und nicht von Debian sind.
Update: Es gibt einen xkcd dazu! Großartig, den kannte ich noch gar nicht :-)
Update: Das SSL-Zertifikat ist dann auch mal neu, wegen des OpenSSL-Bugs gerade.
Es hat halt Vor- und Nachteile, wenn man seine eigenen Prereleases in die Produktion nimmt :-)
Ein schöhööööner Taaaag *sing* :-)
Update: Keine Ente, Satire. (Danke, Matthias)
Ich finde es bedauerlich, wenn die Macher des öffentlich-rechtlichen Rundfunks Kritik an GEZ so als Rechtsaußen-Propaganda abzukanzeln versuchen. Nach Skandalen wie den Product-Placement-Nummern, der seit Jahrzehnten andauernden Weiterverbreitung der Agitprop-Wortschöpfungen von INSM und Bertelsmann-Stiftung in den Talkshows, der immer dünner und sensationalistischer und effektheischender (bis hin zur offenen Unehrlichkeit) werdenden Journalismus-Sendungen ala Panorama und co, und der erbärmlichen Berichterstattung/Meinungsmache zur Ukraine-Krise, da hätte ich mir ein bisschen Selbstreflektion gewünscht. Und mit Wörtern wie Staatsfernsehen, Zensur und Staatspropaganda ist auch das öffentlich-rechtliche Fernsehen selber nicht zimperlich, wenn es um das Heruntermachen von Ländern wir Syrien, China oder Russland geht.
Die klare Mehrheit von FIDESZ wird auch dazu führen, dass die rechtsradikale Partei Jobbik keine Chance hat, ihre extremistischen Ideen umzusetzen.Warte mal, Fidesz waren doch rechtsaußen, fragt ihr euch jetzt vielleicht? Und ihr habt natürlich Recht. Aber aus Sicht der CDU/CSU ist Fidesz offensichtlich eher links. (Danke, Ricarda)
Update: BBC bestätigt und schreibt von weiteren pro-russischen Aufständen.
Das Money Quote dazu:
[Der Projektleiter des Waste Isolation Pilot Plant] lehnte unter Hinweis auf die Privatsphäre der Betroffenen eine Einschätzung ab, wie viel Strahlung sie ausgesetzt worden waren.(Danke, Benny)
Update: Jemand weist darauf hin, dass das als Erklärung taugt, wo die Amerikaner das Kompromat für die Morales-Aktion damals her hatten :-)
Update: Pakistan, nicht Afghanistan.
668 Kassiererin darf Pause noch nicht beenden.
Die Aussage, er habe gegenüber dem Versicherungsmakler doch wahrheitsgemäße Angaben gemacht, half ebenfalls nicht: Das möglicherweise argliste Verhalten des Maklers geht nämlich ebenfalls zu Lasten des Versicherten, da dieser den ausgefüllten Antrag unterschreibt und damit die Richtigkeit der Angaben bestätigt.Und kennt jemand eine vertrauenswürdigere Menschengruppe als Versicherungsmakler? Mal abgesehen von Politikern jetzt.
Update: Mozilla legt auch nochmal nach.
es seien weniger als zehn der tausend Mitarbeiter gewesen. Niemand von ihnen habe Eich persönlich gekannt.
What can we advise our American colleagues to do? Spend more time outdoors, do some yoga, have healthy food, probably, watch more comedy series on TV. That would be better than working yourselves and others up, knowing that the train is already departed and that no tantrums, crying and hysterics can helpIn diesem Sinne, liebe Leser! *turn* *salatblattnag*
Ich bin eher skeptisch, dass wir unmittelbar von den USA sämtliche Antworten bekommen und dass wir sie dann auch dem Parlament öffentlich bekannt geben können.Aber er findet natürlich auch, dass er alles getan hat, was er tun konnte, um die Amerikaner zum Antworten zu bringen. (Danke, Matthias)
Die Bundesregierung beharrt darauf, nichts von den Einsätzen zu wissen.Natürlich nicht. Aber Unwissen schützt vor Strafe nicht. Man kann sich ja auch nicht dem Finanzamt gegenüber damit herausreden, dass man doof und uninformiert ist.
Money Quote:
Die Piloten der ferngesteuerten Fluggeräte, die meist in den USA sitzen, erhalten über ein verschlüsseltes Chat-Programm namens mIRC Analysen und Anweisungen aus dem DGS-4.(Danke, Christoph)
Womit verdient man so Geld als Nebenverdienst als Richter? Einige lehren an Hochschulen oder schreiben wissenschaftliche Papers, andere lassen sich für Vorträge bezahlen oder machen bei privaten Schiedsgerichten mit. Besonders krass finde ich, dass Richter auch noch damit Kohle machen können, dass sie ihre Urteile an juristische Datenbanken und Fachverlage verscheuern. Das kann ich nicht nachvollziehen, wieso das erlaubt ist. (Danke, Erhard)
Das sind so die Klassiker der Netzbullybewegung.
Mir ist aufgefallen, dass die lautesten Hassprediger dann irgendwo in ihrer Netzpräsenz längliche Traktate hinterlassen haben, was sie alles für Pillen nehmen müssen, und wie krank sie doch sind. Alkoholprobleme, ADHD, Bluthochdruck, Depressionen bis hin zu Ritzen, da ist alles dabei. Ich schiebe das vorläufig mal auf meine Sample-Größe.
Aber so als Phänomen passt das natürlich prächtig in das Berufsopfertum.
Ich möchte auch inhaltlich noch was zu Brendan Eich sagen. Dass der Geld an Prop8 gegeben hat, IST SEIN RECHT. Das ist Demokratie. So funktioniert das System in den USA. Jemand macht einen Gesetzentwurf, beide Seiten gehen wählen, mobilisieren andere Wähler, und spenden an Organisationen, die Werbung schalten oder andere Wähler zu mobilisieren versuchen. Jemandem dieses Recht abzusprechen — und zwar unabhängig davon, wie widerlich der Gesetzentwurf ist! —, ist konzeptionell genau so verwerflich wie andere Versionen davon, anderen ihre Rechte abzusprechen, z.B. Frauen oder Schwarzen das Wahlrecht verweigern.
Kann man sich jetzt darüber aufregen, dass solche Spenden in den USA Teil des Systems sind? Natürlich! Ich finde das schlecht. Aber Fakt ist, dass das in den USA so läuft, und von beiden Seiten genutzt wurde in dem Fall von Prop8. Die LGBT-Bewegung hat Prop8 damals glücklicherweise gewonnen. Unter anderem deshalb, weil viele Menschen gespendet haben. Stellt euch mal vor, die anderen hätten gewonnen und würden jetzt systematisch Leute wegmobben, weil sie damals der Verliererseite gespendet haben!
Jede Bewegung mit moralischen Grundsätzen muss sich daran messen lassen, ob diese moralischen Grundsätze auch für die anderen gelten. Rechte sind immer nur dann Rechte, wenn sie auch für die widerlichste Widerlinge gelten, die Leute, die ihr am wenigsten leiden könnt. Anders gesagt: Wenn du Freiheit von Mobbing durch das Mobbing anderer erkämpfst, hast du am Ende verloren. Von der Gegenseite hat niemand erwartet, dass sie sich ordentlich verhalten, die können also nicht weiter verlieren. Ihr aber habt dann die Grundlage für anderer Leute Mitgefühl verspielt.
Update: Ich habe das unzulässig verkürzt. Prop8 haben damals die Homophoben gewonnen, aber das ist dann vor Gericht gekippt worden. Die ganze Geschichte kann man sich auf Wikipedia durchlesen.
Aus meiner Sicht hat dieser Heugabel-Mob für die LGBT-Community mehr kaputtgemacht als zehn Brendan Eichs es je gekonnt hätten.
Vielleicht ist das eine Mentalitätsfrage, aber man will doch die Leute inhaltlich überzeugen und nicht mit der Furcht vor solchen Übergriffen als Drohung zum Duckmäusern bringen. Also würde ich zumindest wollen. Sobald man anfängt, den Gegenüber so zu entmenschlichen, und auch noch öffentlich, begibt man sich auf ganz dünnes Eis.
Erster Versuch: "Das ist bestimmt gefälscht". Nach dem Hinweis, dass die Regierung der Türkei selbst zum Großteil die Echtheit eingeräumt hat, kommt die Linke dann noch mit dieser schönen Frage:
Stimmen Sie mir zu, daß jemand, der die Vorbereitung für die Entfesselung eines Angriffskrieges mit Vorwänden wie die für den Tonkin-Zwischenfall 1964 oder das Racak-Massaker 1999 betreibt, vor den Strafgerichtshof gehört?Uiuiuiui, wie windet man sich aus sowas wieder raus? Wie sich rausstellt: Gar nicht. Außer hohlen Phrasen und ein paar Tautologien kommt da nicht viel. Die Türkei habe immer nur reagiert und nie angegriffen bisher. Tja, das stellt sich in dem Youtube-Ausschnitt anders dar. Muss man eigentlich auch rückwirkend in Frage stellen. So sieht das aber nicht das Außenministerium:
Die Bundesregierung ist im ständigen Gespräch mit der Türkei. Wir haben derzeit keinen Grund zu der Annahme, daß die Türkei diese Politik zu ändern beabsichtigt.Aha. Soso. Bis halt auf das Youtube-Video, um das es hier geht.
Die Linkspolitikerin spricht sogar explizit vom "Erdogan-Regime". (Danke, Jens)
"Wenn alle anfangen, 'House of Cards' runterzuladen, darf das nicht dazu führen, dass der normale Surfer im Stau steht oder dass Notrufe nicht mehr zugestellt werden können", betont Rübig.Da stelle ich mir ja auch spontan die Frage, wo der Mann sich legal House of Cards runterläd. Gibt es in Österreich Netflix? (Danke, David)
Nachdem Oracle Ende März mitteilte, man arbeite noch an Regeln für den Umgang mit Sicherheitslücken in der Cloud und könne keine genaue Zeitspanne für eine Auslieferung von Patches nennen, hatte Gowdiak sich entschieden, die Details der Lücken zu veröffentlichen.Wait, what?! Ich hoffe, bei dem Sicherheitsniveau bezahlt dann Oracle die Kunden für die Betatest-Dienstleistung und nicht umgekehrt. Was für eine Frechheit!
„Der Turbinenkondensator kann jederzeit und mit erschreckend hoher Wahrscheinlichkeit ausfallen. Die Folge wäre ein plötzlicher Druckstoß im Reaktor, der den so genannten Auslegungsdruck weit überschreitet“, warnt IPPNW-Atomenergieexperte Henrik Paulitz.Das AKW Gundremmingen ist in diesem Blog Bonusmeilensammler.
According to one report, the predictions made by the Good Judgment Project are often better even than intelligence analysts with access to classified information, and many of the people involved in the project have been astonished by its success at making accurate predictions.Der Eindruck drängt sich ja von außen schon länger auf, dass deren Einschätzungen zur Gesamtsituation häufig einen deutlichen Abstand zur Realität haben. Ich sage nur "Missile Gap".
General Motors Co in 2005 decided not to change an ignition switch eventually linked to the deaths of at least 13 people because it would have added about a dollar to the cost of each car, according to an internal GM document provided to U.S. congressional investigators.Kapitalismus FTW!Mir sei noch der Hinweis erlaubt, dass denen Opel gehört.
Update: Money Quote:
We now conclude that independent expenditures, including those made by corporations, do not give rise to corruption or the appearance of corruption.
Aha. Na dann.
Support for free markets was also a predictor of rejection of mainstream science in other fields, such the link between smoking and cancer, the authors wrote.Endorsement of a range of conspiracy theories, such as a belief NASA faked the moon landing in a Hollywood studio or that the FBI had killed US civil rights campaigner Martin Luther King Jr., also predicted a climate change denial stance.
Die Frage ist halt, wie lange es dauert, bis sowas dann mal geklaut wird oder "wegfliegt". Aber so als Ad-Hoc-Stromversorgung für ein Hackercamp stelle ich mir das schon sehr cool vor.
Der Regisseur von Fog of War, Errol Morris, hat jetzt eine neue Dokumentation in dem Stil gemacht, diesmal mit Donald Rumsfeld. Der Name des Films ist "The Unknown Known", in Anlehnung an Rumsfelds berühmten Spruch.
Eines der Highlights des Films ist schon jetzt bekannt: Rumsfeld sagt darin, er habe ja nie sagen oder auch nur andeuten wollen, dass Saddam an 9/11 Schuld gehabt habe. Der Film kommt in den USA in ein paar Tagen raus und wird dann hoffentlich nicht lange auf sich warten lassen in Europa.
Morris hat eine wunderschöne Art, seine Interviewpartner ohne großen Druck sich um Kopf und Kragen reden zu lassen. Ich freue mich schon sehr auf diesen Film.
Sozialstaat XXL - Ist der Mindestlohn erst der Anfang?Hey, dieser Mindestlohn, das geht ja mal GAR nicht! Wo kämen wir da hin, wenn Leute von ihrer Hände Arbeit leben könnten?! Das ist nicht gut für die Konjunktur.
Besonders geil an dieser Bertelsmann-Propaganda finde ich ja immer, wenn sie einem dann erklären, man solle gegen den Mindestlohn sein, weil der nicht gerecht ist.
Wie gerecht ist der Mindestlohn? Und ist er ein weiterer Schritt Richtung mehr Staat, weniger Markt? Doch wie verantwortlich ist dieser Weg gegenüber der jungen Generation, und ist das finanzierbar?So viel Bullshit auf einem Haufen! Die junge Generation ist im Moment arbeitslos, Frau Will. Können Sie mir mal kurz erklären, wieso die eigentlich weniger einen ordentlich bezahlten Arbeitsplatz verdient haben als Sie? Wieso hat Anne Will eigentlich noch einen Job?
Statt gegen real stattfindende und die Mehrheit der Bevölkerung tatsächlich unterdrückende Dinge wie die Chancenrhetorik, den Mindestlohn-"Kompromiss" (harr harr), die gezielte Zerstörung der gesetzlichen Krankenversicherung, gegen das großflächige Herunterwirtschaften der Schulen, dass Unis Drittmittel einwerben müssen, … vorzugehen — es gibt so viele Dinge, über die man sich rechtschaffen empören kann! — stattdessen bauen sie sich ihre eigene kleine Welt zurecht, erfinden eine eigene Sprache, und erreichen dann in ihrer Parallelwelt eine zum Teil wirklich eindrucksvolle Detailkenntnis.
Das alles beobachte ich schon länger, aber heute ist mir eine Parallele aufgefallen. Und zwar beschreibt Chomsky sehr schön, dass die Leute, abgestoßen und angeekelt von der Politik, und von dem (künstlich von den Regierenden erzeugten) Gefühl der Machtlosigkeit getrieben, sich dem Sport zuwenden. Das ist für ihr Leben völlig belanglos, aber die Leute am Stammtisch können die Trainer und Mitspieler von irgendwelchen Fußballclubs aufzählen, aber keiner kennt die Namen aller Minister. Wer von den Ministern ist nochmal für Sport zuständig? Nicht mal das weiß man! Aber wer Uli Höneß ist, das weiß jeder. Chomsky deutet das so, dass die Leute eigentlich schon Lust, Energie und Willen haben, sich in den Politik-Prozess einzubringen, aber den nach kräftiger Abschreckung dann lieber zu "unkontroversen" Bereichen wie Sport umlenken. Bereiche, die überhaupt keinen Einfluss auf ihr Leben haben. Während die Grundsteine ihres Lebens nebenan von der Politik systematisch abgebaut werden.
Und ich glaube jetzt, dass die SJW-Bewegung auch sowas ist. Nur dass die noch nicht so alt sind wie die Stammtischler, und daher noch nicht so weit vom Kurs abgekommen sind wie die. Was meint ihr?
Ich sehe übrigens Star Trek und co auch unter diesem Gesichtspunkt. Man sucht sich halt was, was weniger abstoßend und hässlich ist als die Politik, und da ist man dann aber der König und begibt sich in eine Echokammer von Gleichgesinnten, die sich gegenseitig darin bestärken, wer jetzt der bessere Captain war. Oder halt dass es das Wort "CIS-männlich" gibt und die "Studierxs" unterdrückt werden, und man das weniger schlimm machen kann, wenn man ein Binnen-I oder Sternchen in Wörter reintut.
Und irgendwann wacht man auf und stellt fest: ich bin arbeitslos und habe keine Kenntnisse, die auf dem Arbeitsmarkt gefragt sind, und alle Schutznetzfunktionen des Staates wurden erodiert, während ich mich für Transgender-Einhörner eingesetzt habe. Und dann wird man Fußball-Interessierter.
Update: Weil ich ja auch einen Bildungsauftrag habe: Die für Sport zuständige Ministerin ist Manuela Schwesig.
Update: Hahaha, da hab ich ja ins Klo gegriffen mit meinem Bildungsauftrag :-) Für Sport ist das Innenministerium zuständig, obwohl sich auch Das BMFSFJ drum kümmert.
Update: Die eigentliche Sportförderung im Lande macht übrigens weder das BMI noch das BMFSFJ sondern das Verteidigungsministerium (Liste der Sportler als PDF).
Update: Auch die Bundespolizei ist bei der Spitzensportförderung gut vertreten.
Update: Krass, Das Amtsgericht Köln hat in einem Filesharing-Abmahnfall die Forderungen der Kläger (es ging um ein Album mit 13 Titeln) deutlich zusammengestrichen. Von 2500 Euro Lizenzschaden pls 1379,80 Euro Abmahnkosten ließ das Gericht noch 130 Euro Schadensersatz und 130,50 Euro Abmahnkosten übrig. Das Gericht sagt:
Vor dem beschriebenen technischen Hintergrund würde sich das Lizenzentgelt grundsätzlich an dem Entgelt für eine legale Nutzung der entsprechenden Dateien orientieren. Beträge in der Größenordnung mehrerer 100,00 € pro Musiktitel erscheinen als völlig übersetzt.
Und, noch krasser, nachdem sie das Funktionsprinzip von Bittorrent erklärt haben:
Filesharing stellt sich deshalb als anonymer Austausch von Dateien dar, bei der die einzelne Teilnahme keine nennenswerten Folgen zeitigt
Sie argumentieren, dass gerade weil die Titel populäre Songs waren, der Anteil eines einzelnen Filesharers an der Verbreitung gering ist, weil so viele andere die selben Dateien auch sharen. Die Musikindustrie argumentiert seit Jahren umgekehrt, dass für populäre Songs ein höherer Schaden anzusetzen sei.
Hey Okcupid, wisst ihr, wofür Brendan Eich noch verantwortlich ist? Der hat Javascript erfunden. Ihr solltet nicht andere zum Firefox-Boykott aufrufen, sondern ihr solltet bei euch selbst anfangen und eure Webseite von Javascript reinigen.
Oh, wollt ihr nicht? Na sowas.
Immer wenn ich dachte, mein Eindruck der Internet-Empöreria könnte nicht noch weiter sinken, passiert sowas.
Ist dieser Brendan Eich ein sympathischer Zeitgenosse? Angesichts dieser Prop8-Geschichte würde ich sagen: Sicher nicht. Aber wenn man vergleicht, wofür der verantwortlich zeichnet, und was sagen wir Google oder Microsoft so alles an Dreck am Stecken hat, …
Übrigens, am Rande: Bei US-Firmen gibt es häufig Donation-Programme. Da hat die Firma dann ein großzügiges Budget, und wenn ein Mitarbeiter an eine wohltätige Gruppe spendet, dann legt der Arbeitgeber nochmal so viel oben drauf. Wenn man also danach geht, wieviel Kohle von US-Firmen an widerliche NGOs geht, dann müssten die alle notgeschlachtet werden. Denn welche Firma hat denn bitte nicht einen einzigen Mitarbeiter, dessen Einstellungen zumindest partiell widerwärtig wären?
Übrigens: Das mit Javascript abschalten halte ich für eine gute Idee, völlig unabhängig davon, aus welchen Gründen man das tut.
Oh und noch einen: Vielleicht hat Brendon ja seit dem dazu gelernt und seine Meinung geändert? Und was geht Okcupid eigentlich an, welche Meinungen der Typ privat vertritt? Ein Kreuzritter oder Missionar scheint er ja nicht zu sein, im Gegensatz zu den Social Justice Warriors, die ihn jetzt zu kreuzigen versuchen.
Interessant ist der zweite Extended-Random-Autor Eric Rescorla, der heute als Mozilla-Mitarbeiter an der Weiterentwicklung des TLS-Standards arbeitet.Aha, Mozilla. Das waren die, die mit TLS 1.2 nicht aus dem Knick kamen, nicht wahr? Keine weiteren Fragen. *seufz*
Update: Übrigens gibt es von RSA eine lustige Stellungnahme, in der sie darauf hinweisen, dass Extended Random auch bei ihnen in den letzten sechs Monaten ausgeschaltet wurde. Hmm, sechs Monate sagt ihr? Was war denn nochmal vor sechs Monaten…? Ach der Snowden! Na dann ist ja alles klar.
Wenn ihr euch mal in Linus' Position versetzt und euch fragt, ob ihr sowas betreiben wollen würdet, nur um diesen Leuten ein Habitat zu bieten, dann hättet ihr auch irgendwann keinen Bock mehr gehabt.
In diesem Sinne. Versucht euch an die positiven Dinge zu erinnern. Wenn euch welche einfallen.
Keine Ahnung, aber das hier könnte was damit zu tun haben: Müllsäcke mit Stimmzetteln für die Opposition in der Südtürkei gefunden. Man kann ja viel sagen über Erdogan, aber Mülltrennung macht er!
Ja nee, klar. Der "Friedensprozess". Na dann wird ja jetzt alles gut.
A report by the Senate Intelligence Committee concludes that the CIA misled the government and the public about aspects of its brutal interrogation program for years — concealing details about the severity of its methods, overstating the significance of plots and prisoners, and taking credit for critical pieces of intelligence that detainees had in fact surrendered before they were subjected to harsh techniques.Das kann mir doch keiner erzählen, dass das Senate Intelligence Committee jetzt plötzlich ausgerechnet am 1. April anfängt, ernsthaft die Geheimdienste bei ihrer Arbeit zu prüfen. Pah. Anfänger.
Unter Berufung auf nicht weiter gekennzeichnete ranghohe Quellen hieß es zudem, der Flughafen werde voraussichtlich nicht vor 2017 eröffnet werden können. Grund seien gravierende Mängel. Es werde sogar erwogen, den Flughafen komplett neu zu bauen.Ganz großes Hallentennis!
Update: Ich erfahre gerade, dass die neueste Forderung ist, die Stadt Berlin abzureißen und in der Nähe eines funktionierenden Flughafens neu aufzubauen, weil das billiger als noch ein paar Jahre Wowereit+Mehdorn sei. (Danke, Jan)
So habe sich die Kommission dabei doch an dem deutschen Datenschutzrecht orientiert und jetzt werde ausgerechnet von dort blockiert. Für die angebliche Verwässerung des deutschen Datenschutzrechts seien ihr von den Kritikern jedenfalls nie Beweise vorgelegt worden.Ich vermute mal, dass der Hinderungsgrund hier (natürlich neben der Tatsache, dass wir von Marodeuren und Verrätern regiert werden) der BND ist, der die Grundlage seiner EU-Schnorchel-"Arbeit" in Gefahr wähnt.