Fragen? Antworten! Siehe auch: Alternativlos
Das war die Firma, die eine Maus mit nur einem Knopf verkauft hat.
Und jetzt neu: Das ist die Firma, die einen Rechner verkauft, bei dem der An-Aus-Knopf an der Unterseite des Geräts ist. An der Unterseite!
Update: Jetzt schlagen hier lauter Apple-Opfer auf und sagen: Der eine Mausknopf ist nicht das Problem sondern dass man die Maus während des Ladens nicht weiter benutzen kann. Apple will wohl, dass du zwei Mäuse kaufst. Eine zum benutzen und eine zum Laden. Genau wie man früher über Jaguar-Autos gewitzelt hat, dass man immer zwei kauft. Einen für die Straße und einen für die Werkstatt.
Und alle (Fefe-Blog-Leser) so: NEIN!!!! DOCH!!! OOOOOH!!!
Du hattest ja schon über den tollen Datenschutz der Bahn geschrieben: Für’s Deutschlandticket benötigt die Bahn vollen Zugriff auf mein Bankkonto.SEHR guter Punkt. Eine absolute Frechheit. Wir sollten mal dringend eine Behörde für Datenschutz einführen, die solchen Firmen einen Riegel vorschiebt!Jetzt hat die Lufthansa eine ähnliche Nummer hingelegt: Um meine Boardingkarte in Google-Wallet zu laden, benötigt die Lufthansa vollen Zugriff auf mein Google-Konto.
Ich versteh nicht, warum wir uns über Amis und Chinesen aufregen, unsere Vorzeigeunternehmen sind genauso fragwürdig.
Ich finde es auch skandalös, dass Banken einem erst eine Onlinebanking-App reindrücken, nach der niemand gefragt hat, und dann die App nur auf Original-Datenkraken-OS von Google oder Apple funktionieren lassen.
Hier ein aktuelles Beispiel: Mac & I vom Hannoveraner Pressemitteilungsabdruckdienst.
Was ist passiert? Apple macht Werbung für Features, die es noch nicht gibt.
Früher nannte man das Betrug oder Arglistige Täuschung.
Mac & I nennt es:
Interessant daran: Keines der insgesamt drei präsentierten Features ist mit der Auslieferung der neuen Apple-Smartphones verfügbar – und eines dürfte erst im kommenden Jahr erscheinen.Oh, interessant, ja? Das heilige Apple kennt kein Fehl und Tadel! Du hältst es bestimmt bloß falsch!
Das Steuersparmodell von Apple (und allen anderen amerikanischen Tech-Konzernen) basiert auf Tricksereien wie dieser hier:
Both companies were incorporated in Ireland but not tax resident in Ireland.LOL WAT?
Update: Geht nicht nur gegen Apple, auch gegen Google, aber bei denen müssen nur 2,4 Milliarden zurückgefordert werden. So dreist wie Apple hat das wohl niemand sonst betrieben. Und bei dem Google-Urteil geht es auch gar nicht um Steuersparmodelle sondern um eine vorherige Strafforderung, weil sie ihren Preisvergleichsdienst in den Suchergebnissen vor anderen platziert hatten. Das ist laut EU Missbrauch einer marktbeherrschenden Stellung. Gegen Google laufen mehrere ähnliche Verfahren, die alle so auszugehen scheinen, dass Google zahlen muss.
Aber WIE KRASS das ist, hattet ihr vielleicht doch nicht auf dem Schirm.
Hier sind ihre aktuellen Zahlen. Guckt mal auf "Gross Margin". Das ist die Gewinnmarge. Wieviel Prozent der Einnahmen sind Reingewinn.
Ich spoiler mal: Nvidia bewegt sich da um die 75%.
Ja, richtig gelesen. Die könnten die Preise vierteln und würden immer noch Gewinn machen.
Drogenkartelle können in solche Regionen vorstoßen, wenn sie straff organisiert sind und die Mittelsmänner umgebracht haben. Sonst ist außer Nvidia niemand in solchen Gefilden.
Wer denen irgendwas abkauft, ist echt selber Schuld.
Behaltet das mal im Hinterkopf für wenn die FDP das nächste Mal erzählt, der Markt würde das schon regeln, der sei effizient bei der Preisfindung und Ressourcenverteilung.
Update: Es ist nicht die Gewinnmarge sondern die Rohmarge. Wenn man auch die Kosten für Entwicklung einrechnet, kommt man "nur" noch bei 60% Gewinnmarge raus. Das ist doppelt so viel wie bei Apple.
Microsoft könne seine Produkte nicht im gleichen Maße abschirmen wie Apple, sagte ein Firmensprecher dem Wall Street Journal (Paywall). Nach einer Beschwerde habe Microsoft im Jahr 2009 eine Vereinbarung mit der EU getroffen, wonach Hersteller von Sicherheitssoftware den gleichen Zugang wie Microsoft zu Windows erhalten müssen.Das ist ja wohl er absolute Oberlacher! Die Nummer 1 Quelle von Sicherheitsproblemen, um die sich eine ganze Industrie gegründet hat, um deren Kunden vor deren Ramschsicherheit zu beschützen, DIE haben jetzt die Stirn und sagen, SIE hätten UNS nicht vor dem Schlangenöl-Ramsch beschützen können wegen der EU!
Alter, den Schlangenöl-Scheiß GÄBE es gar nicht, wenn ihr ordentliche Produkte bauen würdet!
Anyone who knows the Bluetooth MAC address (which is somewhat public) can connect to your AirPods and listen to the microphone or play music.
Ich ehrlich gesagt auch. Und ich sage das als jemand, der häufig und gerne zockt.
Der Bundesrechnungshof findet, für sowas seien die Länder zuständig, nicht der Bund, und im Übrigen sollten die Spielefirmen das zurückzahlen, zumindest wenn sie erfolgreich arbeiten.
Ob nun der Bund oder die Länder zuständig sind, finde ich persönlich nebensächlich. Die Zurückzahlung nur im Erfolgsfall lädt meiner Ansicht nach zum Betrug ein. Große Firmen haben ja jetzt auch schon keine Probleme damit, ihre Profite für die Steuer kleinzurechnen.
Aber was mich noch viel mehr ärgert ist die Argumentation der Branche. Deren Argumentation wirkt auf mich geradezu grotesk.
Der Prüfbericht lasse entscheidende Faktoren außer Acht und verkenne das Ziel der Games-Förderung.Das Ziel der Games-Förderung? Ja, äh, was IST denn das Ziel der Gamesförderung?! Eine Branche aus Mitnehmern und Subventionsabzockern heranzüchten, die Steuergelder für am Markt nicht erfolgreiche Produkte verbrennen, ohne staatliche Handouts nicht arbeitsfähig wären, und dann auch noch praktisch vollständig am Markt scheitern?
"Aufgrund des einseitigen Fokus auf befürchtete Gefahren durch Games in den 1990er und frühen 2000er Jahren hat Deutschland die Potenziale von Games nahezu vollständig verschlafen", schreibt game-Geschäftsführer Felix Falk.Wegen Geschwafel von irgendwelchen ewiggestrigen Geronto-Politikern der CDU hat Deutschland Spiele verschlafen? Alter, da haben ja eure schrottigen Games einen besseren Plot! Deutsche Firmen hätten einfach Spiele entwickeln können, die am Markt erfolgreich sind. Haben sie aber nicht. Ich vermute: Ist nicht so einfach, wenn man die Kosten selber tragen muss.
Ich persönlich finde es nicht wichtig, dass Spiele aus Deutschland kommen. Im Gegenteil. Wichtiger fände ich, dass Spiele nur für den PC gemacht werden, und zwar am besten nicht für Windows sondern für Linux. In allen anderen Fällen verdient nämlich vor allem einer: Der Plattformbetreiber. Xbox, Nintendo, Apple, Playstation, KEINER von denen hat auch nur einen müden Cent aus unserem Steuersäckel verdient. Das finde ich eine bodenlose Frechheit, dass unser Staat Firmen Geld in den Arsch bläst, die dann damit ausbeuterische Tech-Bro-"Ökosysteme" finanzieren.
Linux-Spiele spielen am Markt so gut wie keine Rolle. Also braucht es auch keine Förderung, finde ich.
Die Anzahl der Arbeitsplätze in der Spielebranche sind im Vergleich nicht mal ein Rundungsfehler. Die Arbeitsbedingungen sind legendär schlecht und weltweit segeln Studios der Reihe nach immer knapp vor der Insolvenz herum und werden dann von Makrophagen wie EA aufgekauft und eingestampft.
Kohle machen vor allem zwei Arten von Spielen: Spiele, die aktiv Suchtspiralen bei Minderjährigen auslösen und bedienen, und riesige Fußball-Franchise-Kackscheiße.
Ich halte es für unverantwortlich, solche Geschäftsmodelle überhaupt überleben zu lassen, geschweige denn auch noch staatliche Gelder draufzuwerfen.
Wir reden hier übrigens von 100 Mio Euro. Wisst ihr, wie viele Schulen man damit schimmelfrei kriegen könnte? Bei wievielen Schulen man das Dach reparieren könnte, damit es nicht mehr reinregnet? Aber hey, das reinregnen und das fehlende Klopapier stören die Kids nicht so, wenn wir ihnen süchtig machende Abzockspiele geben!1!!
In was für einer Dystopie leben wir hier eigentlich!?
Größter Subventionsabgreifer Stand Mitte letzten Jahres war übrigens die Embracer Group. Die danach pleite gegangen ist und diverse Studios mit in den Untergang gerissen haben, die sie vorher mit Börsenzockergeld gekauft haben, das sie dann nicht zurückzahlen konnten. SOLCHE LEUTE greifen dieses Geld ab. Platz zwei auf der Liste ist Kalypso, die seit Jahren nur noch Sequels für etablierte Franchises "entwickeln". Ja geil ey.
Platz 3 ist Egosoft, deren Spiele ich immer gerne gespielt habe, aber die sich auf dem Weg irgendwo offensichtlich massiv verhoben haben. Für mich als deren Kunde wirkt es, als seien die überhaupt nur noch am Markt, weil sie Millionenförderung kassieren und nie zurückzahlen müssen. Die versuchen nicht mal, einen breiten Markt zu bedienen, sondern das ist eine winzige Sparte an Weltraumsimulationen, die so klein ist, dass du dein Spiel im wesentlichen einmal an jeden Insassen verkaufen musst, um die Kohle wieder einzuspielen. Finde ich nicht nachvollziehbar, wieso der Staat da Geld reinschießen sollte, wenn nebenan die Grundschule weder dichte Fenster noch Klopapier hat.
Weiter unten gibt es dann noch Stillfront, von denen ich noch nie auch nur gehört habe, und Ubisoft und Bandai Namco. Wenn jemand KEINE Förderung kriegen sollte, dann solche langetablierten Megakonzerne.
Sorry, aber da bin ich Wirtschaftsliberaler. Wenn du keine Spiele entwickeln kannst, die dann am Markt Bestand haben, dann solltest du keine Spiele entwickeln. Ganz bestimmt nicht soll der Staat dein gescheitertes Geschäftsmodell mit Subventionen am Leben halten.
"Das hat zu Nachteilen im internationalen Wettbewerb gesorgt, die sich bis heute negativ auswirken. Diesen Rückstand können wir nur mit einer international konkurrenzfähigen Games-Förderung aufholen."BULLSHIT. Boah da krieg ich ja Puls ey. Ihr weinerlichen Versager! Parasiten an der Zitze der staatlichen Geldverschenker!
Die Auffassung des Bundesrechnungshofes verkenne die "weltweite Marktrealität".Oh, die weltweiter Marktrealität, ja? Lass mich euch kurz die weltweite Marktrealität zeigen:
Pile of Shame auf Steam hat 19 Milliarden US-Dollar gekostetDer Pile of Shame sind Spiele, die verzweifelte Leute gekauft haben, und dann nie angespielt haben, weil die Spiele selbst kostenlos (weil bereits gekauft) nicht attraktiv genug waren, sie auch nur einmal kurz anzuspielen. SO VIEL GELD liegt da auf der Straße! Man muss nicht mal ein gutes Spiel machen, um das abzugreifen. Es reicht, wenn du ein mittelmäßiges Spiel machst. Die Leute sind so verzweifelt auf der Suche nach nicht total beschissenen Spielen, die kaufen jeweils Dutzende von Spielen, die sie dann nie spielen!Weltweite Marktrealitäten, mein Arsch!
Update: Mel Brooks hat übrigens mal einen Film zu dem Thema gemacht, dass Produzenten absichtlich einen Flop produzieren, um die Förderkohle einfach selbst einstecken zu können. Heißt The Producers und ist ein Klassiker, besonders Springtime for Hitler. Es gab auch ein Remake, das auch gut geworden ist.
"KI" ist ein Goldrausch. Im Goldrausch werden nicht die Goldgräber reich sondern der Schaufelverkäufer.
Nvidia ist der Schaufelverkäufer.
Und ihr ganzen Opfer seid die Goldgräber, die gerupft werden :-)
Apple declined to issue a bug bounty to the Russian cybersecurity company Kaspersky Lab after it disclosed four zero-day vulnerabilities in iPhone software that were allegedly used to spy on Kaspersky employees as well as Russian diplomats.Ach. Ach was. Erst die Russen über Backdoors ausspionieren, dann nicht zu seinem Bug-Bounty-Wort stehen? Na das ist aber nicht die feine amerikanische Art!Due to the sophistication of how the vulnerabilities were exploited and the limited targeting of the attackers — seeking intelligence material rather than financial details — it was suspected to be state-sponsored.Ich würde da von mehr als "suspected" sprechen.On the same day as Kaspersky’s disclosure, Russia's Federal Security Service (FSB) accused the United States and Apple of having collaborated to enable the U.S. to spy on Russian diplomats.Diesem Anfangsverdacht würde ich an deren Stelle auch hegen.Die haben echt gar keine Scham, die Amerikaner. Hey, ein Glück, dass Europa sich nicht vollständig von amerikanischen Firmen abhängig gemacht hat!1!!
(In Hintergrund sieht man ein paar Dutzend Cloud-Migrationen vorbeiziehen)
Aber auf der anderen Seite gibt Apple hier der EU einen weiteren fetten Sieg in die Hand, denn das schafft ja Spezialisten-Arbeitsplätze in der EU. :-)
CPUs haben häufig Schaltungen, die Werte aus dem RAM anfordern, bevor auf sie zugegriffen wird. Normalerweise funktioniert das so, dass wenn du einen Wert aus dem Speicher lädst, z.B. Code, den du gerade ausführst, dass der Prozessor dann schonmal die nächsten Bytes zu laden anfängt, weil du die wahrscheinlich als nächstes anfordern wirst. Diese Art von Prefetching gab es schon im letzten Jahrtausend.
Aktuellere CPUs haben zusätzlich noch einen Daten-Prefetch. Wenn du ein Wort aus dem Speicher lädst, dann guckt der Prozessor mal, ob er das als Pointer interpretieren und laden kann. Das verursacht normalerweise keine signifikanten Kosten, wenn es es kein Pointer war. Intel macht das anscheinend auch, aber nicht so aggressiv wie Apple.
Das Problem ist jetzt, dass man jetzt am Timing beim Laden von Werten sehen kann, ob der Prefetcher das zu Laden versucht hat, und damit ob die Krypto-Operation diesen Wert in ihrem Private Key hat.
Das klingt jetzt krasser als es ist, denn wenn jemand lokal auf deiner Kiste Code ausführen kann, hat er wahrscheinlich auch ohne diese Art von Angriff genug Zugriff, um deine Geheimnisse auszulesen und zu exfiltrieren. Es könnte aber sein, dass es bald günstig M1 und M2-Hardware von Crypto Bros zu kaufen gibt, die bei ihren Wallets nichts riskieren wollen. :-)
Normale Leute müssen sich glaube ich nicht so viel Sorgen machen gerade. Ein möglicherweise gefährliches Szenario könnte noch sein, wenn du in einem Tab Webassembly-Code laufen hast, und in einem anderen Tab irgendwelchen Krypto-Code, der mit irgendwelchen privaten Schlüsseln hantiert, die so auslesbar wären. Das ist allerdings kein sonderlich häufiges Szenario, und wenn ihr so sensible Krypto-Geschichten im Browser macht, eh keine anderen Tabs offen haben.
The military in NATO ally Germany is offering communications apps to soldiers and other federal employees on Chinese phone maker Huawei's app store — even though the telecoms giant has been deemed a security risk by the U.S. and European Union, Newsweek can reveal.Ja aber echt mal! Der Bundeswehr-Messenger im Huawei-Appstore?! Das geht ja GAR nicht!1!! Da können die Chinesen den doch analysieren jetzt!1!!Ja, äh, die Chinesen können den selbstverständlich auch analysieren, wenn der im Apple- oder Google-Appstore ist. Noch großartiger: Der Messenger ist Open Source! Da musst du gar nichts reverse engineeren, da kannst du einfach die Sourcen runterladen! Das basiert übrigens auf Matrix. Der Quellcode für das Backend liegt da auch rum.
Germany's Defense Ministry told Newsweek the apps were secure, but security specialist Nathalie Vogel said there were clear risks."They are repeating the same mistakes over and over again and they are threatening allies by giving access to the Chinese," said Vogel, a Research Fellow at the Center for Intermarium Studies of the Institute of World Politics in Washington, D.C.
Es gibt da natürlich tatsächlich Risiken, aber diese Expertin ist zu inkompetent, die zu benennen. Ein Appstore kann dir ja eine andere App geben, als die Entwickler hochgeladen haben. Da müsste man eigentlich prüfen.Die Hardware könnte natürlich auch verwanzt sein, die Firmware könnte dich bescheißen, etc. Eigentlich ist schon die Prämisse unsicher, dass man sicher kommunizieren kann, wenn man das Gerät eingekauft hat. Eine der gruseligsten Snowden-Veröffentlichungen war, dass die NSA Cisco-Lieferungen abfingen und die Hardware im Transit manipulierten. Ist alles eine Frage des Aufwandes, den die Unterdrückungsbehörden zu investieren bereit sind.
Auf dem Spektrum der Kompromisse ist aber "die App ist Open Source und wir tun sie in App Stores" vergleichsweise OK. Erst jetzt, durch den Digital Markets Act, wird Sideloading von Apps eine reelle Alternative gegen die eigentliche Bedrohung hier: Dass die Amerikaner uns Backdoors unterschieben. Vor denen freidrehenden Geheimdiensten würde ich mir deutlich mehr Sorgen machen als vor den Chinesen.
Sucht mal in eurem Browser die Liste der vertrauenswürdigen CAs heraus und macht euch selbst ein Bild.
Wenn ihr z.B. eine sichere Verbindung zu meinem Blog aufzubauen versucht, dann ist das Zertifikat normalerweise von Let's Encrypt signiert. Wenn, sagen wir mal, der "Verfassungs""schutz" findet, dass ich regierungsfeindliche Inhalte verbreite und reingucken will, was ihr bei mir lest, dann könnten sie sich in den Netzwerkverkehr zwischen euch und meinem Blog klemmen und einfach ein anderes Zertifikat vorzeigen.
Es gibt da natürlich Vorkehrungen, um zu verhindern, dass einfach irgendeine freidrehende staatliche Repressionsbehörde Zertifikate für anderer Leute Domains holt, aber wenn die CA unter staatliche Kontrolle steht, dann ist das natürlich nutzlos. Diese Art von Angriff ist nicht theoretisch. Letztes Jahr gab es so einen Angriff auf jabber.ru, wenn ihr euch erinnert.
Warum erzähle ich das alles? Einer der Ansätze, diesen Angriff zu verhindern, ist dass man einen anderen Cert Store angibt. Curl hat dafür eine Kommandozeilenoption. Dann übergibt man da einen Cert Store, der nur genau die CA beinhaltet, die man erwartet. Und schon hat man Certificate Pinning für Arme implementiert.
Außer man verwendet curl auf Apple-Geräten. Apples SSL-Library verwendet immer auch den System Cert Store, wo Zertifikate von unvertrauenswürdigen Organisationen wie ... Apple drin sind. Falls Apple also eines Tages findet, dass sie in alle eure Kommunikationsn reingucken wollen, um "Kinderpornos zu finden" oder was an dem Tag die Ausrede der Woche ist, dann könntet ihr euch mit --cacert bei curl nicht davor schützen.
Wer kauft solchen Leuten eigentlich ihre Produkte ab?
Bei Microsoft sind natürlich auch ein halbes Dutzend Microsoft-CAs in der Liste. Unter Linux haben die Distros in ihren Root Stores auch Dutzende von CAs drin. Insofern ist das eine berechtigte Sorge, da Certificate Pinning machen zu wollen.
Oregon's bill stands out for a provision that would prevent companies from requiring that official parts be unlocked with encrypted software checks before they will fully function.Da werden Apple und die Druckermafia aber sehr unzufrieden sein.
1,8 Milliarden hier, 1,8 Milliarden da, nach einer Weile kommt da richtig Geld zusammen!
Nicht dass irgendeine dieser Konzerne jemals tatsächlich zahlen musste. Man klagt durch die Instanzen, am Ende muss man nur einen Bruchteil zahlen, und von dem hat die Inflation dann den Wert halbiert bis dahin.
Oh und solche Strafen kann man soweit ich weiß von der Steuer absetzen. Klar.
Apple hat Bing dann nach Annie Lennox' erster Band gefragt, und die falsche Antwort bekommen. Also haben sie dankend abgelehnt.
Das muss Microsoft ja wie ein Blitz aus heiterem Himmel getroffen haben. Das haben die bestimmt noch nie erlebt, dass jemand ihre Produkte erst auf Tauglichkeit prüfen wollte!
Denn sonst würde ja niemand den Scheiß einsetzen.
Hey, das könntet ihr ja eigentlich auch mal probieren!
Apple Inc. is canceling a decadelong effort to build an electric car, according to people with knowledge of the matter, abandoning one of the most ambitious projects in the history of the company.An dem Projekt haben angeblich 2000 Leute gearbeitet. Einige von denen sollen jetzt an anderen "KI"-Projekten weiterarbeiten.Das ist schon eine echte Erfolgsstory, dieses "KI", wenn selbst jemand mit unbegrenztem Budget das nicht hinkriegt.
Das BSI äußert sich zur eID-Nummer. Das ist ein Feuerwerk aus sorgfältig formulierter Krisen-PR, ein Windbeutel neben der nächsten Nebelwand, eingebettet in ein Laken aus Nullaussagen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass es von einem IT-Sicherheitsforscher auf eine vermeintliche Schwachstelle im eID-System hingewiesen wurde.Das "vermeintlich" ist eine Frechheit. Wenn sie geschrieben hätten "in der eID-App", dann hätte man hier verhandeln können. So ist das schlicht eine dreiste Unterstellung und eine Frechheit. Das ist eine tatsächliche Sicherheitslücke, und das BSI trägt die Verantwortung, weil sie die App für die Plattform hätten verhindern können, aber es nicht getan haben.
Im Ergebnis betont das BSI: Es handelt sich bei dem beschriebenen Szenario nicht um einen Angriff auf das eID-System selbst oder eine Schwachstelle in den zugehörigen Sicherheitsfunktionen.Ja, äh, doch! Genau das ist es! Wenn du eine App für Apple-Geräte baust, und die Sicherheitsgarantien macht, die sie nicht einhalten kann, dann ist das eine Lücke im System. Auch wenn deine App nicht Schuld ist.
Das BSI sieht weiterhin keine Änderung in der Risikobewertung bei der Nutzung der Online-Ausweisfunktion.Das ist eine Bankrotterklärung des BSI. Sie sagen uns hier: Ja gut, dass man daran sterben kann, das, äh, das wussten wir die ganze Zeit und das war absichtlich so durchgewunken (weil wir sonst zugeben müssten, dass wir völlig inkompetente Tester sind und unsere Risikobewertungen nicht das Papier wert sind, auf dem wir sie ausdrucken). Das ist wie wenn Donald Trump sagt, dass er absichtlich Nancy Pelosi und Nikki Haley verwechselt.
Um die Online-Ausweisfunktion des Personalausweises missbräuchlich verwenden zu können, ist ein mehrstufiger Cyberangriff auf ein mobiles Endgerät der Anwenderinnen und Anwender erforderlich.Lassen Sie mich nochmal die ENORME KRIMINELLE ENERGIE betonen, die jemand aufbringen müsste, um Sie zu hacken! Der Angreifer müsste Sie dazu bringen, dass Sie eine App installieren!1!! So wie es z.B. alle Supermarktketten erfolgreich tun, und die Deutsche Bahn. Und Behörden (KATWARN, NINA). Eine IMMENSE kriminelle Energie also!!1!
Dazu muss das mobile Gerät entweder vollständig kompromittiert werden oder die Anwenderinnen und Anwender müssen aktiv eine entsprechend manipulierte App installieren.Kommt, guckt mal kurz auf einer Smartphone, wie viele Apps ihr aktuell installiert habt. Dreistellig? Vierstellig?
Des Weiteren ist es bei jedem einzelnen Angriffsvorgang notwendig, den Ausweis physisch an der NFC-Schnittstelle zu platzieren. Ein vergleichbarer Angriff wäre auch bei zahlreichen weiteren Online-Diensten denkbar.Niemand würde niemals nie nicht sein Telefon in der Nähe seiner Geldbörse aufbewahren!!1! Und außerdem ist Paypal ja auch unsicher. Wer also einen Hauskauf mit der Paypal-App signiert, der sollte mal über sein Risikoprofil nachdenken!1!!
Aus Sicht des BSI sind grundlegende Sicherheitsmaßnahmen der Anwenderinnen und Anwender ausreichend, um einen erfolgreichen Angriff unmöglich zu machen. Dazu zählen die Verwendung aktueller Soft- und Firmware und die Verwendung legitimer Apps aus vertrauenswürdigen Quellen. Das BSI empfiehlt die Verwendung von durch das BSI zertifizierten Apps wie z.B. der AusweisApp, die kostenfrei durch den Bund zur Verfügung gestellt wird.Die andere App kam aus dem App Store. Das ist eine vertrauenswürdige Quelle. Das sind peinliche Nebelkerzen hier gerade.
Das BSI prüft zudem, mit welchen zusätzlichen Maßnahmen die Nutzung der Online-Ausweisfunktion noch sicherer gestaltet werden kann."Das BSI prüft" ist das neue "der Verfassungsschutz beobachtet", ja? Absolut grotesk. Es gab keinen Angriff. Wenn es ihn gab, dann war immense kriminelle Energie nötig. Wir haben nichts falsch gemacht! Aber wir gucken jetzt mal, ob wir was besser machen könnten. Das ist wie bei Calvin & Hobbes!
Lange las ich nicht mehr etwas so peinliches wie diese Presseerklärung vom BSI. *fremdschäm*
Ein unter dem Pseudonym CtrlAlt auftretender Sicherheitsforscher hat einem Spiegel-Bericht zufolge eine Schwachstelle im eID-Verfahren aufgedeckt. Damit sei es ihm gelungen, im Namen einer fremden Person ein Konto bei einer großen deutschen Bank zu eröffnen.Nota bene: Das war genau das Szenario, das das Verfahren verhindern sollte.
Vielleicht sollte da doch mal jemand jemanden fragen, der sich mit sowas auskennt?
Ich könnte ja viel gelassener auf sowas reagieren, wenn es nicht meine Steuergelder wären, die da für Cyberclown-Securitytheater verbrannt würden.
Aus dem Blogpost des Forschers:
A responsible disclosure process was conducted with the BSI (Bundesamt für Sicherheit in der Informationstechnik), during which the BSI acknowledged the presence of the vulnerability. Their defense centers on the user’s responsibility for maintaining the security of their client devices.War ja klar. BSI so: Habt ihr auch alle 17 Lagen Schlangenöl gestapelt? Ja? Dann macht mal sicherheitshalber noch eine 18. Lage drüber!1!!
Lasst mich das an dieser Stelle nochmal absolut unmissverständlich sagen: Wenn du davon ausgehst, dass die Endgeräte sicher sind, DANN BRAUCHST DU KEINEN NPA ZU VERTEILEN! Vollpfosten, allesamt.
However, users typically exhibit poor security practices. In addition, this paper demonstrates that the attack remains successful even when all BSI recommendations are followed and client devices are updated.Ach. Ach was. Das war bloß Ass-Covering? Nur Security-Theater? Hätte uns nur rechtzeitig jemand gewarnt!!1!Hey, Fefe, ich habe gehört, die neue BSI-Chefin kommt aus der Informatik. Die ist gar kein Cyberclown! Mit der wird bestimmt alles besser jetzt!1!!
Kommt, liebes Publikum, rollt noch eine Ehrenrunde Schlangenöl über eurer Infrastruktur aus. Wer zuerst über sein Schlangenöl geransomwared wird, muss eine Runde ausgeben!
Update: OK, nochmal mit ein bisschen Abstand. Sicherheitsforscher mit Pseudonym, Blogpost auf Medium und PDF auf Dropbox, da gehen direkt alle Unseriositätslampen an. Bei euch hoffentlich auch. Inhaltlich haben wir es hier mit einer Eigenheit der Apple-Plattform zu tun, nicht mit einem Bug in der App, und die App kann da inhaltlich auch nicht so viel gegen tun jetzt.
Meine Einstellung dazu ist: Apple sind ein paar Tech-Bros aus Amerika, mit einem beschissenem Security-Track-Record. Die sind durch die BSI-Empfehlungen überhaupt erst zu einer satisfaktionsfähigen Plattform geworden für nPA-Scheiß, und da hat das BSI schlicht niemanden, auf den sie jetzt zeigen können. Das ist deren Verkacken, aus Gründen von Realpolitik. Aber aber aber der Minister verwendet ein Apple-Telefon!!1! Da können wir doch nicht ... ja, äh, doch. Könnt ihr nicht nur, das wäre genau eure Aufgabe gewesen, ihr Cyberclowns. Nicht dass Android fundamental besser wäre.
Wenn du findest, das das Gerät vertrauenswürdig sein sollte, dann ist Anforderung Nummer 1, dass da kein Code nachinstallierbar ist. Damit sind wir dann aber bei einer Gerätekategorie wie einem Analogtelefon oder einer Supermarktkasse.
Das ist übrigens alles gaaaaanz kalter Kaffee. Windows NT hat damals Ctrl-Alt-Del für den Login-Screen eingeführt, den sogenannten Secure Attention Key. Das war genau diese Kategorie von Problem. Wie verhindern wir, dass eine Anwendung so aussieht wie ein Login-Screen, und User ihre Passwörter dort eingeben? Du brauchst einen Weg, wie der User erkennbar einen sicheren Eingabepfad hat, und da darf sich dann auch niemand einklinken und mitlesen können. Das ist dann aber alles Software und möglicherweise hackbar. Eigentlich geht das nur, wenn da keine Software nachinstallierbar und die Hardware verplombt ist.
Hier haben wir es mit einer anderen Art von einklinken zu tun, aber die Kategorie Problem ist dieselbe.
Update: Wisst ihr, wer 2010 auf die Problematik mit den sicheren Eingabegeräten hinwies? Anlässlich des "neuen elektronischen Personalausweise" und der SuisseID? Der CCC! Schade nur, dass nie jemand auf die Experten hört. War wichtiger, auszusehen, als würde man Digitalisierung vorantreiben.
Update: Fortsetzung. (Danke, Tenshi)
Ich zitiere:
Generate any static configuration formatDefine all your data in Pkl, and generate output for JSON, YAML, Property Lists, and other configuration formats.
Aber aber aber was ist denn mit TOML?!? (Kontext, mehr Kontext)Update: Wie so häufig, wenn ich im Blog einen Beitrag der Kategorie "ist es ganz schlimm" habe, kommt ein Leser und zeigt Beispiele, dass es es entweder schon länger so schlimm oder gar noch schlimmer ist.
... aber nur, wenn sie 27% Kommission kriegen.
Das ist echt so eine entsetzliche, furchtbare Dystopie eines bösartigen Molochs von einer Parodie des galaktischen Imperiums, da fragt man sich echt, wie die überhaupt jemals auch nur einen Kunden haben gewinnen können.
Ja klar ist das ein Todesstern, der uns alle umbringen wird, aber guck mal wie schön rund die Kanten sind!1!!
Wenn ihr einen PC einsetzt, der nicht von Apple kommt, ist die Antwort wahrscheinlich: Ja.
PixieFail: Nine vulnerabilities in Tianocore's EDK II IPv6 network stack.Pixie steht hier für PXE, also Netzboot. Es handelt sich um Remote Code Execution-Bugs im IPv6-Code von Tianocore, der gemeinsamen Referenzimplementation von UEFI, auf der soweit ich weiß alle UEFI-Implementationen da draußen basieren. Mit Klassikern wie:
CVE-2023-45229: Integer underflow when processing IA_NA/IA_TA options in a DHCPv6 Advertise messageCVE-2023-45230: Buffer overflow in the DHCPv6 client via a long Server ID option
(da wird mir ganz warm ums Herz!)
CVE-2023-45232: Infinite loop when parsing unknown options in the Destination Options header
CVE-2023-45234: Buffer overflow when processing DNS Servers option in a DHCPv6 Advertise message
CVE-2023-45235: Buffer overflow when handling Server ID option from a DHCPv6 proxy Advertise message
*klingel* Hallo? Oh, ich habe die 1990er Jahre am Telefon. Sie möchten ihre Bugs zurück haben! *wieher*Auf der anderen Seite kann man natürlich argumentieren, dass wenn jemand Netzboot macht, der eh remote code execution hat, und zwar by design.
ECC sind redundante Codes zur Fehlerkorrektur bei Bitfehlern. Die Linuxer glauben, dass dieser ominöse Mechanismus aus dem Exploit ein Interface zu direkten Schreiben in den Cache sei, und der Cache hat bei Apple ECC und daher muss man auch die ECC-Werte ausrechnen und schreiben.
Das klingt für mich plausibel. Sehr schön, wenn Experten aus verschiedenen Bereichen zusammenkommen und sich gegenseitig voranbringen. (Danke, Justin)
Da haben ein paar Kaspersky-Mitarbeiter auf ihren Telefonen Malware gefunden. Es waren Apple-Telefone. Sie haben die Exploit-Chain mitgeschnitten und bei uns öffentlich verbrannt.
Die Exploit-Chain (und hier müsst ihr möglicherweise meiner professionellen Einschätzung trauen) war insgesamt mindestens 8stellig Dollar wert. Die haben da einmal die aktuelle Toolbox der NSA verbrannt, oder des GCHQ. Das war der Hammer, was die da für 0days hatten.
Es ging los mit einer Memory Corruption im Truetype-Interpreter (bis hier noch nicht so spektakulär). Von da aus hatten sie einen Kernel Exploit, der aus interpretiertem Javascript heraus ging.
Und am Ende schrieben sie dann ein paar magische Werte in eine undokumentierte MMIO-Adresse und dann überschrieb irgendeine Hardware an allen Schutzmechanismen vorbei physischen Speicher ihrer Wahl mit Werten ihrer Wahl.
Der Adressbereich liegt in der Nähe der GPU und ist in älteren Geräten drin, aber auch in M1 Apple Silicon. Das ist ja schon der Hammer, aber um dieses Operation auszulösen, muss man auch einen undokumentierten Hashwert des Requests in ein undokumentiertes MMIO-Register schreiben. Den Hash haben sie jetzt halt reversed und veröffentlicht.
Aber damit scheiden aus meiner Sicht alle gutartigen Erklärungen für diese Funktionalität aus. Für Debug-Funktionanlität braucht man keinen "geheimen Hash".
Sie haben das an Apple gemeldet und Apple hat dann den Adressbereich gesperrt. In der Konfigdatei für gesperrte Bereiche steht normalerweise das Gerät dran, um das es geht. Hier steht: "DENY".
Da werden gerade einige Geheimdienste sehr unglücklich sein.
Der Internet-Riese betreibe mit seinem App-Store ein illegales Monopol, so das Gericht. Das Urteil könnte branchenweite Folgen haben.Na das kann man aber laut sagen.
Selbst wenn sie das Verfahren verloren hätten, haben sie eigentlich eh schon gewonnen, denn was sie DA (auch im Parallelverfahren gegen Apple) für furchtbar peinliche Dokumente gefunden haben und veröffentlichen konnten, das hat echten Flurschaden angerichtet.
Kleine Auswahl: Spotify muss keine Play-Store-Tax zahlen, Apple behindert keine alternativen Zahlmöglichkeiten mehr, Netflix musste auch keine 30% Play-Store-Steuer zahlen. Google schmiert mit den Play-Store-Gebühren die Telcos, damit die nicht auf die Idee kommen, auf ihren Telefonen eigene App-Stores zu haben.
Ich würde Epic ja hier zum Helden der Arbeit ernennen, wenn das nicht auch eine so furchtbare Scheißfirma wäre. Das ist die Firma, deren Geschäftsmodell ist, Kiddies "free to play"-Spiele wie Fortnite zu "schenken", sie über Lootbox-Modelle süchtig zu machen und ihnen dann über In-Game-Mikrotransaktionen die Kohle der Eltern aus der Tasche zu ziehen.
Insofern muss man das glaube ich eher so sehen: Wenn DIE sich mit Google und Apple schlagen, kann es nur Gewinner geben.
Die Sendung haben wir schon Anfang August aufgenommen, aber Frank hatte Softwareprobleme. (Nehmt Apple, haben sie gesagt. Da funktioniert das alles einfach, haben sie gesagt!)
Für diese unfassbar unprofessionelle Verzögerung bitten wir um Entschuldigung. Es handelt sich um force majeure. Wir haben die Behörden informiert und Spezialisten für eine forensische Untersuchung eingeschaltet. Aus verfahrenstechnischen Gründen können wir leider keine weiteren Stellungnahmen abgeben.
Viel Spaß beim Anhören!
RCS ist ein Mobilfunkstandard, der Nachfolger von SMS und MMS. Kein Internet-Messaging-Standard. Geht aber über das Internet am Ende.
Und "Standard" ist natürlich eh zuviel gesagt, denn Google hat auf Android RCS über die Jahre immer und immer wieder proprietär erweitert, um mit den Features von Apple mithalten zu können.
Wenn Apple jetzt also RCS implementiert, heißt das noch lange nicht, dass die auch die ganzen proprietären Erweiterungen von Android implementieren.
Dadurch, dass RCS ein Mobilfunkstandard ist, muss der Netzbetreiber das anbieten und im Vertrag freischalten. In Deutschland haben die Telekom, Vodafone und O2 RCS implementiert, aber die klemmen das gerne mal bei Resellern ab.
Oh, und: Die Ende-zu-Ende-Verschlüsselung, die Google (angeblich, denn das kann ja keiner prüfen!) anbietet, ist eine Google-Erweiterung. Standard-RCS ist unverschlüsselt.
Mit anderen Worten: Das kann mit Threema oder Signal nicht mit im Ansatz mithalten. Völlig undiskutabel.
Hintergrund: Imessage mag nicht mit Android reden, schickt dann halt SMSsen. Die haben keine Formatierung, Längenlimits, keine Verschlüsselung. Seit Jahren versucht Google, Apple zur Öffnung ihrer Plattform zu bewegen, weil sich aus Sicht von Apple-Usern Android-User wie ungewaschene Fußgänger anfühlen. Ohne Erfolg.
Auf der anderen Seite die EU mit ihrem Digital Services Act. Den mag Google natürlich auch nicht. Aber WENN der schon angewendet wird, dann bitte auch gegen Apple!1!!
Update: Siehe auch...
Na gut. Zwei. Die erste: Die "Sicherheitsforscher" binden lauter externe Ressourcen ein, und das auch noch ohne Content Security Policy zum Festnageln mit Hashes. "IT-Security-Experte" ist inzwischen praktisch auf dem Niveau von "Heilpraktiker" angekommen in Sachen Unseriosität.
So und jetzt das Kronjuwel. Klickt mal unten auf "When did you notify Apple?". Ich zitiere:
We disclosed our results to Apple on September 12, 2022 (408 days before public release).Apple kriegt die Krone für Unseriosität. Derartig epochales Versagen in Sachen "Rapid Response" kennt man sonst nur von Microsoft. (Danke, Fabio)
Meine Überraschung hält sich in Grenzen.
Ich fasse mal die wesentlichen Punkte zusammen:
we can defeat Apple’s low-resolution timer, compressed
35-bit addressing, and value poisoning countermeasures, allowing
us to read any 64-bit address within the address space of Safari’s
rendering processApple hat, wie vor ihnen Microsoft und andere, auf irgendwelche mehr oder weniger nutzlosen Mitigations gesetzt, ohne ihre tatsächlichen Probleme zu lösen. Seit Jahren meine Rede, dass das nicht gut ist.Combining this with a new technique for con-
solidating websites from different domains into the same renderer
processDas erzähle ich in meinen Vorträgen seit Jahren, dass man einen Prozess pro Request braucht, damit die sich nicht gegenseitig die Daten extrahieren können.Finally, we note that Safari
/ WebKit is the only browser engine permitted on iOS devices re-
gardless of web browser app.Dass DAS eine bekloppte Idee ist, war schon klar, bevor Apple es angekündigt hat. Apple-Kunden war das immer egal, ob Apple Dinge tut, die zu ihren Ungunsten sind. You are holding it wrong.Was an dem Angriff jetzt besonders ist, ist dass das halt mal jemand alles gemacht hat. Dass das prinzipiell geht, und dass Apple nichts tun wird, bis jemand die Arbeit investiert, um das zu zeigen, war auch offensichtlich.
Was ich an der Sache am gruseligsten finde:
This research was supported by the Air Force Office of Scientific Research (AFOSR) under award number FA9550-20-1-0425; an ARC Discovery Project number DP210102670; the Defense Advanced Research Projects Agency (DARPA) under contract HR00112390029 and W912CG-23-C-0022; the Deutsche Forschungsgemeinschaft (DFG, German Research Foundation) under Germany's Excellence Strategy - EXC 2092 CASA - 390781972; the National Science Foundation under grant CNS-1954712; and gifts by Cisco and Qualcomm.Wer fehlt auf der Liste? Richtig! Apple!Apple-User lügen sich immer selbst einen in die Tasche, dass Apple schon irgendwie der einzige Tech-Konzern ist, der edel und rein ist und für seine Kunden nur das Beste will.
Kurz: Aus meiner Sicht ist das die Aufregung gerade nicht wert. Ist alles genau so, wie es schon lange klar war. Apple verkauft Mist und weiß es, sitzt auf unfassbaren Bargeldbergen und weiß nicht wohin damit, aber überlässt die Finanzierung derartiger Forschung dem Steuerzahler, Konkurrenten und dem Militär. Ja geil. Da willste doch deine Geräte kaufen!!
Samsung schaltet in Mexiko Smartphones remote ab, weil die auf Aliexpress statt im Samsung-Store gekauft wurden.
Motorola hat dasselbe getan.
Warte mal, wenn Samsung und Motorola euer Telefon fernsteuern können, woher wisst ihr denn, dass das nicht auch die "Sicherheitsbehörden" können?
Hold that thought.
Apple macht ihre Telefone jetzt remote zwangsupdatebar.
Apple is planning a new system for its retail stores that will update the software on iPhones prior to sale. The company has developed a proprietary pad-like device that the store can place boxes of iPhones on top of. That system can then wirelessly turn on the iPhone, update its software and then power it back down — all without the phone’s packaging ever being opened. The company aims to begin rolling this out to its stores before the end of the year.Darauf wartet der Zoll seit Jahren, dass sie das bei einreisenden Touristen machen können, ohne dass die was mitkriegen!1!!
Innovatoren, diese Leute von Apple. Da können (und wahrscheinlich werden?) sich die anderen Uhrmacher bestimmt eine Scheibe abschneiden!1!!
Wobei $17.000 ja auch Kinderspielzeug. Patek Philippe ruft schon mal sechsstellige Preise auf.
[$NA][1479274] Critical CVE-2023-4863: Heap buffer overflow in WebP. Reported by Apple Security Engineering and Architecture (SEAR) and The Citizen Lab at The University of Torontoʼs Munk School on 2023-09-06Wenn The Citizen Lab einen Bug meldet, dann weil sie einen Staatstrojaner reverse engineered haben, und den Exploit in der freien Wildbahn gefunden haben.Aber eigentlich wollte ich an der Stelle folgende Bemerkung loswerden:
Immer diese versifften unsicheren Schrottimplementationen von inkompetenten Anfängern wie ... *akteumblätter* Google!1!!
Sagt mal, seid ihr auch Kunden von der Google-Cloud ? Weil ihr annahmt, dass der Code, den die produzieren, weniger schlecht ist als der von Microsoft oder Amazon? Tja, das war dann wohl nicht so schlau.
Update: Falls das jemand nicht wusste: WebP ist auch in allen anderen Browsern drin. Und in diverser sonstiger Software, die Bilder entgegennimmt oder verarbeitet.
Hätten sie mich gefragt, hätte ich ihnen gesagt, dass dieser Vorfall zeigt, dass das fundamentale, zentrale Versprechen der Cloud nicht eingelöst werden kann:
Dass sich jemand kümmert, der sich mit sowas auskennt, und dann keine Vorfälle passieren.
Ich hätte ihnen gesagt, dass Microsoft dieselbe Software, die sie uns allen als sicher und vertrauenswürdig verkauft, selber einsetzt und darüber nicht nur von ausländischen Geheimdiensten gehackt und unterwandert wird, sondern das auch weiß und daher das Produktionsnetz vom Entwicklernetz zu isolieren versucht hat. Aber dass diese Abschottung inkompetent implementiert wurde und Microsoft offensichtlich nicht einmal rudimentärste Qualitätssicherung durchgeführt hat.
Ich hätte darauf hingewiesen, dass die Software, die bei Ihnen auf den Rechnern läuft, aus genau dem Entwicklernetz kommt, das (wie sich jetzt rausstellt) großflächig von ausländischen Geheimdiensten unterwandert ist. Wenn Sie 2 und 2 zusammenzählen können, sollten Sie das daher schleunigst durch etwas vertrauenswürdigeres ersetzen.
Wenn ich gute Laune gehabt hätte, hätte ich noch darauf hingewiesen, dass Apples Icloud jahrelang Untermieter bei Azure war und daher auch als kompromittiert gelten sollte.
Außerdem hätte ich darauf hingewiesen, dass Microsoft den ganzen Vorfall unter den Teppich zu kehren versucht hat. Wir hätten davon nie erfahren, wenn nicht US-Behörden in ihren zusätzlich eingekauften und extra bezahlten Log-Zugängen Anomalien gesehen hätten.
Kurz gesagt: Microsoft kann das nicht. Microsoft wusste, dass sie das nicht können. Also haben sie uns uns Gesicht gelogen.
Damit haben sie sich in eine traurige Reihe hinter der SPD, der CDU, der CSU und der FDP eingereiht. Die Grünen haben wenigstens nie ernsthaft so getan, als hätten sie von irgendwas Ahnung, mit ihren Bachblüten und ihrem "Elektrosmog".
Bankhaus Goldman Sachs: Halbe Milliarde Verlust in Apple-Card-Sparte
Ihren Posten als "Chefökonomin" in der Generaldirektion Wettbewerb soll sie am 1. September antreten. Scott Morton war von Mai 2011 bis Dezember 2012 leitende Wirtschaftsanalystin in der Kartellabteilung des US-Justizministeriums, später arbeitete sie als Beraterin für große Tech-Konzerne wie Apple und Microsoft. Brüssel hat in den vergangenen Jahren Rekordstrafen gegen einige Konzerne verhängt.Damit ist dann jetzt wohl Schluss, denke ich.
Keine Ahnung, wieso der Sonneborn noch auf Twitter publiziert, aber er hat sich dazu dort umfangreich geäußert und das ist auch ohne Twitter-Account lesbar. Verstehe einer die Regeln dort. Wie immer bei Sonneborn alles eine Reihe von Money Quotes. Ich will hier mal eines herausgreifen:
In den Unterlagen zum letzten Treffen des Kollegiums am 11. Juli war die Neubesetzung (wohlweislich) im Anhang eines am Vortag per Email übersandten Dokumentenstapels versteckt, am Ende langer Litaneien zu anderen Themen und einer Reihe anderer, völlig unspektakulärer Neubesetzungen.Das finde ich eine passende Zusammenfassung des Parlamentarismus in der EU, auch in Deutschland. Niemand weiß, was da eigentlich gerade abgestimmt wird. Die eigentlichen Dinge sind schon im Vorfeld "geklärt" worden. Und wir erzählen dann Saudi Arabien was von Demokratie und China was von Menschenrechten. Prost!Der Hauptteil der 26-seitigen Passage zum Posten des Chefökonomen war den zehn abgelehnten Kandidaten gewidmet, unter ihnen etwa der Spanier Juan José Ganuza Fernández. Und die Darstellung von Mortons Vita schließlich kaprizierte sich auf die zu erwartende Muttersprache („Englisch“), während die dazugehörige Nationalität (USA) einfach gänzlich unterschlagen wurde. „Es gab keinen Hinweis darauf, dass sie Amerikanerin war. Wir dachten alle, sie sei Irin“, berichtet ein Hoher Beamter der französischen Libération und versichert, niemand habe eine Ahnung gehabt, worüber da eigentlich abgestimmt wurde. „Wir haben erst auf Twitter herausgefunden, dass wir etwas Inakzeptables akzeptiert hatten“.
Update: Gibt es auch bei Sonneborn auf der Homepage, ohne Twitter.
Eine Webcam ist integriert und leistet mehr als bei Apple: Die Auflösung liegt bei 4K, während das Studio Display nur 12 Megapixel schafft.Unter 4k versteht man im Volksmund 3840 × 2160 Pixel. Wenn wir das mal ausrechnen, kommen wir auf 8294400, also 8 Megapixel.
Update: In dem Kontext auch witzig war diese Meldung vom rbb. Und zwar haben die Berliner Unis sich entschlossen, das Semesterticket abzuschaffen, das seit ein paar Jahren Teil der Einschreibung war. Das fanden ein paar FDP-Wähler nicht gut, dass sie "gezwungen" werden, in ein Solidarsystem einzuzahlen, wenn sie doch gar nicht ÖPNV fahren sondern von ihrem Chauffeur hingefahren werden. Und jetzt, wo es das Deutschlandticket gibt, ist der Preisnachlass ihrer Meinung nach zu klein. Aber das haben sie nicht einfach so behauptet. Nein! Dafür haben sie Gutachten von Experten anfertigen lassen!
Um das zu belegen, verweisen viele Studierende auf ein Gutachten, das der Allgemeine Studierendenausschuss (Asta) der TU Dortmund im Frühjahr in Auftrag gegeben hatte. Anwälte bestätigen darin für Nordrhein-Westfalen (NRW), dass die Ersparnis des Semestertickets im Verhältnis zum bundesweiten 49-Euro-Ticket nur noch bei 25 Prozent liegt.
Wer kann denn bitte ohne Gutachten nicht ausrechnen, wie hoch der Preisnachlass ist? Nun, ...
Zwar gebe es insgesamt noch einen Preisvorteil. "Ob der verpflichtende Bezug aber von den Verwaltungsgerichten noch als verhältnismäßig im engeren Sinne gesehen wird, erscheint angesichts der geringen Preisdifferenz durchaus fraglich", so die Juristen.
I rest my case.
Update: Ich bin übrigens zufriedener Deutschlandticket-Kunde, auch wenn ich da gerade mangels Fahrvolumen Verlust mit mache. Die Freiheit, einfach in einen Bus einsteigen zu können, und unterwegs irgendwas angucken zu können, ohne rechnen zu müssen, ob das alte Ticket noch gültig ist, ist Gold wert. Die große Freiheit! Kann ich nur jedem empfehlen.
Update: Hmm, kann man auch anders lesen. Die Asta konnte nicht rechnen und brauchte das Gutachten und Juristen haben das Gutachten geschrieben. Ich würde aber auch unter der Leseweise davon ausgehen, dass die Juristen so komplexe Sachverhalte nicht selber klären in dem Gutachten, sondern da einen technischen Gutachter heranziehen, der Prozentrechnung beherrscht.
Update: Ah, nicht alle. An der FU ist das Semesterticket weiterhin aktiv.
Das fragt ihr euch doch auch, oder?
Nun, hier ist eine kurze Durchsage des Premierministers von Australien dazu:
JOURNALIST: In your experience, do you think that Australians understand the challenges we really face when it comes to cyber security?[...]PRIME MINISTER: [...] We need to mobilise the private sector, we need to mobilise as well consumers. We all have a responsibility. Simple things, turn your phone off every night for five minutes. For people watching this, do that every 24 hours, do it while you’re brushing your teeth or whatever you’re doing.
Gut, dass wir das mal geklärt haben.Wisst ihr was? Wenn das gut für die Sicherheit ist, dann schalte ich gleich mal ab. Und zwar nicht nur 5 Minuten. 10 Minuten!!
Mal ohne Scheiß jetzt: Das ist natürlich so erstmal Blödsinn. Was der sagen wollte, ist dass mal Geräte für Betriebssystemupdates gelegentlich mal booten muss. Üblicherweise fragt einen der Updater dann, ob jetzt genehm wäre, und dann sagt man: Ja. Und zwar sofort, wenn man gefragt wird, sagt man das.
Ab und zu mal eine App neu starten schadet auch nicht, aber nutzt im Allgemeinen auch nichts. Es gibt ein Szenario, wo das nutzen kann, nämlich wenn jemand einen Exploit in die App lädt aber nicht auf Platte schreibt.
Leider wissen die meisten Leute nicht, wie man Apps beendet, weil das nicht Teil des von den Herstellern gewünschten UIs ist. Google und Apple wollen es ja gerade so aussehen lassen, als müsse man sich um derlei Details nicht kümmern. Apps werden im Hintergrund geschlossen und neu gestartet, und speichern ihren Zustand solange im System.
Insofern ist das nicht völlig blöde, sein Telefon ab und zu zu booten. Aber viel wichtiger wäre, dass man alle Updates eingespielt hat. Und DAS macht Google ja schlicht nicht. Absichtlich nicht. Damit ihre "Partner" schön immer wieder neue Android-Schrottgeräte die Pipeline runter drücken können, die Android-Kunden dann kaufen müssen; weil es für das alte Gerät keine Updates mehr gibt.
Wenn wir doch nur eine europaweite Union hätten, die derartig umweltzerstörendes Verhalten verhindern könnte mit Regulierungsbehörden oder so!1!!
Erstens: Apple hat ohne große Ankündigung ein DirectX12-Emulationslayer ausgeliefert, wenn ich das richtig verstehe. Damit könnte man dann zumindest theoretisch Windows-Spiele einfach so auf Apple-Hardware spielen. Damit stehen sie natürlich auf den Schultern von Open-Source-Giganten, die auch schon DXVK und co im Angebot haben. Valve hat Millionen in DirectX-Emulation in Wine gesteckt. Da wird sich Apple einfach mal bedient haben.
Erwähnenswert ist das aus zwei Gründen. Erstens haben sie wohl einen großen Patch an Wine zurückgeschickt. Die GPL funktioniert also!
Zweitens sind ja in den M1 und M2-ARM-Geräten angeblich sehr gute GPUs drin, die es mit gehobenen Mittelklasse-GPUs auf PCs aufnehmen können. Konnte man nur nie sinnvoll nutzen, weil es keine erwähnenswerten Spiele für Apple gab. Es könnte also sein, dass die wirtschaftlich eh schon darbenden GPU-Hersteller jetzt auch noch von Apple Stress kriegen.
Die andere Ankündigung war, dass Apple überraschend in Safari plötzlich JPEG XL unterstützt. Ich bin ein Fan von JPEG XL und war sehr ungehalten, als Chrome und Firefox das abgekündigt haben, obwohl das größte Argument gegen die Unterstützung schon vom Tisch war: Dass das viel Arbeit ist. Die war schon getan.
Jetzt habe ich Hoffnung, dass Chrome und Firefox ihre hirnrissige Abkündigung zurücknehmen und wir doch noch alle JPEG XL bekommen.
New hotness: Russische Behörden regen sich über Malware aus den USA auf.
Und zwar will der FSB zusammen mit dem FSO (Präsidentenschutz) Apple-spezifische Malware gefunden haben, und behauptet jetzt, Apple habe auf Geheiß der NSA bewusst Lücken eingebaut, damit die NSA darüber Malware verbreiten kann.
Beweise legen sie keine vor.
Vor ein paar Wochen: Whole Foods schließt ihren Laden in San Francisco wegen "employee safety concerns". Oh und zu vielen Raubdelikten.
Jetzt so: Nordstrom schließt beide Läden in Downtown San Francisco. Sie bleiben unkonkret, aber der Betreiber der Mall, in dem einer der Läden war, sagt folgendes:
"A growing number of retailers and businesses are leaving the area due to the unsafe conditions for customers, retailers, and employees, coupled with the fact that these significant issues are preventing an economic recovery of the area," the statement said.The mall's owner went on to say that it had expressed serious concerns to city leaders for many years and "urged the city to find solutions to the key issues and lack of enforcement against rampant criminal activity."
Was ist denn da bitte los? Whole Foods ist sowas wie eine Bioladen-Kette. Das Essen da ist vergleichsweise teuer, deren Läden sind eher nicht in heruntergekommenen Gegenden. Nordstrom ist eine Bekleidungskette, vielleicht vergleichbar mit C&A. Normalerweise würde man denken, dass sich Kriminalität erstmal bei Juwelieren und Apple Stores und sowas zeigt.Ich fühlte mich spontan an Escape from L.A. erinnert. Weia.
Update: Hierzu sind viele Leserbriefe reingekommen. Die einhellige Erklärung ist: Proposition 47 ist Schuld. In Kalifornien gibt es Volksentscheide, was wohl auch gerne mal nach hinten losgeht. In diesem Fall war der Volksentscheid, dass die Knäste ja eh völlig überfüllt sind, Leute einknasten teuer ist, und wir viele Obdachlose hier in Kalifornien haben, also sollten wir mal aufhören, Mundraub als Straftat zu verfolgen, dann haben wir auch wieder Cops für echtes Verbrechen übrig. Das ist angenommen worden, vor fast zehn Jahren sogar schon. Es gab schon vorher eine Schranke: Ab 450 Dollar Warenwert ist das eine Straftat. Das hob dieses Proposition auf 950 Dollar an.
Je nach Erzähler gibt es auch noch einen Identity Politics-Winkel, weil die meisten geschnappten Ladendiebe Schwarze oder Latinos waren, und da hätten dann die üblichen verstrahlten (ich paraphrasiere mal und übertreibe dabei ein bisschen) Antirassisten gefunden, dass die Verfolgung von Ladendiebstählen von Minderheiten ungerecht sei und daher sollte man das nicht mehr machen.
Ein dritter Winkel ist, dass offenbar einmal bei einem Raub in einem Supermarkt (?) ein Kassierer erschossen wurde, und seit dem die Lädenbetreiber ihren Mitarbeitern sagen, sie sollen die Diebe lieber gehen lassen.
Was davon stimmt und was nicht? Keine Ahnung. Aber das Narrativ mit den Schwarzen passt geradezu optimal in Wahlkampflügen der Republikaner. Die Geschichte mit dem erschossenen Kassierer passt gerade optimal in europäische Vorurteile über die bekloppten Amis und ihre Schusswaffen. Proposition 47 ist jedenfalls echt. Die Kriminalitätsstatistik zeigt insgesamt einen Rückgang von Verbrechen an, bis auf Morde, das steigt. Allerdings kann das auch daran liegen, dass Ladendiebstähle jetzt halt nicht mehr als Verbrechen zählen.
Jedenfalls passt die 950-Dollar-Grenze wunderbar zu meiner Frage, wieso die nicht Juweliere und Apple-Läden ausrauben. Damit wären sie dann darüber.
Update: Übersetzungsfehler meinerseits. Das sind keine Ordnungswidrigkeiten sondern Vergehen und damit technisch gesehen noch Straftaten. Nur halt welche, die in der Praxis anscheinend nicht verfolgt werden, und man gilt dann nicht als vorbestraft.
Ich halte das für ein krasses Fehlurteil, das weiteren Kundengängelungen von Apple und anderen Firmen Vorschub leisten wird. Das ist ja inzwischen praktisch industrieweit das Standardverhalten, die Leute erst in eine Abhängigkeit zu treiben und dann auszunehmen wie Weihnachtsgänse. Google hat ähnliche Abzockgebühren in ihrem Play Store.
Aber auch sonst geht der Trend klar in die Richtung. Adobe hat irgendwann angefangen, ihre Software nur noch zu vermieten, das sehe ich auch als Teil dieses Trends. Microsoft versucht ja auch mit der Brechstange allen Kunden Cloudaccounts aufzunötigen, damit man dann im nächsten Schritt Produkte wie Office nur noch zur Miete anbieten kann.
Diese ganze Nummer ist aus meiner Sicht eine einzige Anklage für den libertären Fiebertraum, dass der Markt das schon regeln werde.
Beim Truppenversuch der modifizierten Hololens 2 für die US-Armee hat sich herausgestellt, dass die Soldaten an Kampfkraft einbüßenDas ist ja wie Windows, Office und Teams!
Aber wir sind halt Lemminge. Wenn wir alle anderen Windows benutzen sehen, dann machen wir das auch. Oder Apple, je nach Peer Group. Und alle reden sich ein, es sei jetzt besser als vorher.
Das ging soweit, dass es einen Schwarzmarkt für eine versehentlich ohne DRM an die Ukraine ausgelieferte Firmware gab, die die Bauern dann schwarz auf ihre Mähdrescher aufgespielt haben.
Es gab in letzter Zeit einige Fortschritte im "Right to Repair", insofern vermute ich mal, dass sie ein deutlich unvorteilhafteres Gerichtsurteil vermeiden wollten.
Und gegen Gesetzesvorhaben können sie jetzt argumentieren, die seien ja nicht mehr nötig, weil man ja freiwillig eingelenkt habe.
Auch Apple hat schon eingelenkt und den Kunden Eigenreparaturen erlaubt, was aber eher ein Feigenblatt ist, denn man kann da z.B. kein Display-Panel fürs Handy einzeln kaufen (billig) sondern nur als Kombination mit der Elektronik. Elektronik-Profis, die in der Lage gewesen wären, das Display einzeln zu tauschen, können das jetzt halt immer noch nicht tun, was den Preis für Ersatzteile mal eben verdreifacht oder so.
Die nächste Frage ist, ob das John-Deere-Ding nur in den USA gilt oder auch sonst.
“Apple and Google need to seriously start exploring booting Twitter off the app store,” said Alejandra Caraballo, clinical instructor at Harvard Law’s cyberlaw clinic. “What Musk is doing is existentially dangerous for various marginalized communities. It’s like opening the gates of hell in terms of the havoc it will cause. People who engaged in direct targeted harassment can come back and engage in doxing, targeted harassment, vicious bullying, calls for violence, celebration of violence. I can’t even begin to state how dangerous this will be.”Hört ihr? Entsetzlich! Jemand im Internet könnte Dinge sagen!Schnell! Geht in eure Safe Spaces und riegelt die Tür zu!
Mir fehlen auch die Worte, wie schlimm das werden wird, wenn Leute im Internet Dinge sagen können!
An der Stelle sei vielleicht der Hinweis erlaubt, dass alle genannten Beispiele bereits für sich verboten sind und polizeilich verfolgt werden.
Wenn die werte Frau Schneeflocke also an Apple und Google appelliert statt an die Staatsanwaltschaft, dann ist meines Erachtens völlig klar, aus welcher Richtung hier der Wind weht. Und er riecht nach Sondermülldeponie.
Ich könnte mich ja schon über "clinical instructor" kaputtlachen. War Kindermitbringtag und jeder durfte sich zum Spielen Titel ausdenken oder was?
Your iPhone's analytics data includes an ID number tied to your name, email, and phone number, say researchers who uncovered other holes in Apple' promises.Sehr lustig finde ich auch folgenden Teil:“I think people should be upset about this,” Mysk said. “This isn’t Google. people opt for iPhone because they think these kinds of things aren’t going to happen. Apple doesn’t have the right to keep an eye on you.”*schenkelklopf*Ja aber aber aber schützt Apple uns nicht vor Facebook? Kann sein, aber nur um den Wert von ihrem Big Data Pool in der Cloud zu erhöhen!
OK aber was für Daten sammelt Apple denn da?
In some cases, this analytics data apparently includes details about your every move. Mysk’s tests show that analytics for the App Store, for example, includes every single thing you did in real time, including what you tapped on, which apps you search for, what ads you saw, and how long you looked at a given app and how you found it.Ach. Ach was. Aber, äh, ... das ist ja wie bei Google!!1!Update: Dieser Artikel ist sogar noch ein bisschen schöner:
This isn’t an every-app-is-tracking-me-so-what’s-one-more situation. These findings are out of line with standard industry practices, Mysk says. He and his research partner ran similar tests in the past looking at analytics in Google Chrome and Microsoft Edge. In both of those apps, Mysk says the data isn’t sent when analytics settings are turned off.
(Im Gegensatz zu Apple, die auch Telemetrie senden, wenn man das explizit ausgeschaltet hat)
Along the way, Apple developed a very convenient definition of what privacy means that lets the company criticize its rivals’ privacy practices while harvesting your data for similar purposes. Apple says you shouldn’t think of what it does as “tracking.” According to the company’s website:Apple’s advertising platform does not track you, meaning that it does not link user or device data collected from our apps with user or device data collected from third parties for targeted advertising
Seht ihr? Apple shared die Daten nicht mit dem Data Broker, Apple ist der Data Broker! Damit ist das nach ihrer Definition kein Tracking. Wobei, hey, wenn Apple die Daten nicht weiterverkauft, dann sind sie ja technisch gesehen nicht mal ein Broker sondern nur ein Datenkrake. Man kann ja von sowas auch profitieren, ohne dass man es weiterverkauft.
Ja gut, Adobe ist ja das Cisco bei den Kreativ-Tools, insofern berichte ich nur sehr zurückhaltend über die. Seit die von Kaufen auf Abo umgestellt haben, und ihre Kunden dageblieben sind, habe ich da kein Mitleid mit irgendwem mehr.
Und Farben? Nunja. Ich erinnere mich da an die Telekom-Nummer, als die die Farba Magenta als ihr Eigentum betrachtet haben.
Aber stellt sich raus: Doch, ist wirklich was dran. Ist keine Satire. Cory Doctorow hat die Details. Wenn ihr nur mal den Screenshot sehen wollt: Hier ist ein Tweet damit.
Es geht um Pantone. Geht mal zu deren Webseite und guckt, ob eure Fantasie reicht, euch etwas Bekloppteres auszudenken als diese Firma.
Dabei ist das ganz einfach, sich etwas noch Bekloppteres auszudenken! Ein Rechtssystem, in dem jemand mit dem Benennen von Farben Lizenzgebühren einfordern kann! Genau das haben die getan, und Adobe hat offenbar jahrelang gezahlt. Aber offenbar nicht genug, oder vielleicht wurde Pantone noch gieriger, weil sie ja das Gehalt für ihre Trendexpertin reinkriegen müssen, jedenfalls schmeißt Adobe jetzt Pantone-Farben raus. Wer die haben will, und das sind einmal die meisten professionellen Kunden, der muss sie extra lizenzieren. Wie? Nein, natürlich keine Einmalzahlung. 21 Dollar pro Monat! Für ... immer.
Ja, äh, benutze ich halt die alte Version weiter. Nee, geht nicht, denn das ist jetzt alles Cloud-Software. Das hast du nicht unter Kontrolle, welche Änderungen Adobe an der vornimmt.
Doctorow vergleicht die Situation mit Apple in China. Dass China alle Apple-User mit einem Befehl an Apple in ihr Überwachungsnetz zwängen konnte, lag nicht an China sondern an Apple. Es ist nicht China, was verhindert, dass Leute einfach eine andere VPN-App sideloaden. Es ist Apple.
Und genau so ist das hier, argumentiert Doctorow. Wenn Adobe nicht auf SaaS umgestellt hätte, dann hätte Pantone hier keinen Hebel gehabt. Money Quote:
Pantone started out as a tech company: a way to reliably specify ink mixes in different prepress houses and print shops. Today, it's an "IP" company, where "IP" means "any law or policy that allows me to control the conduct of my customers, critics or competitors."https://locusmag.com/2020/09/cory-doctorow-ip/
That's likewise true of Adobe. The move to SaaS is best understood as a means to exert control over Adobe's customers and competitors. Combined with anti-competitive killer acquisitions that gobble up any rival that manages to escape this control, and you have a hostage situation that other IP companies like Pantone can exploit.
Hostage situation ist eine schöne Zusammenfassung der Situation, wenn ihr mich fragt.
PAC ist ein ARM-Feature und steht für Pointer Authentication Code.
Das Grundproblem ist, dass viele Exploits darauf basieren, einen Pointer zu überschreiben. Bei einem traditionellen Buffer Overflow auf dem Stack übernagelt man die Rücksprungadresse, die auch auf dem Stack liegt. Bei Heap-Overflows übernagelt man Zeiger in den Metadaten des Heapmanagers. Viele Kernel-Exploits basieren darauf, dass man dem Kernel einen Zeiger aus dem Userspace überhilft, wo der einen Kernel-Mode-Zeiger erwartet hat.
In der Intel-Welt sind die Gegenmaßnahmen ASLR (jeder Prozess landet an einer anderen virtuellen Adresse, damit der Angreifer die nicht vorhersagen kann und keinen funktionierenden Zeiger produziert kriegt) und dass man per CPU-Flag einschalten kann, dass User-Mode-Zeiger im Kernel generell beim Zugriff einen Fehler werfen.
In der ARM-Welt gibt es ein anderes Konzept, dass das Problem beheben soll, nämlich nutzt man "ungenutzte Bits" in Zeigern dafür, da eine Krypto-Checksumme unterzubringen. Nun sind Krypto-Checksummen normalerweise viel größer als man freie Bits in Zeigern hat, daher war meine erste Reaktion auf die Idee auch eher ablehnend, aber je mehr ich darüber nachgedacht habe, desto besser gefiel mir das. Bei ASLR hat man ja auch nicht mehr freie Bits in den Zeigern.
Es gibt zwei neue CPU-Instruktionen. Eine macht aus einem gültigen Zeiger einen "signierten", der dann nicht mehr dereferenziert werden kann. Dafür verwendet sie den Wert des Zeigers, ein Geheimnis, das vom Kernel in ein Spezialregister geladen wird dafür, und der pro Prozess anders ist, und einen dritten Wert, z.B. den aktuellen Stack Pointer. Dann gibt es eine Instruktion in die Gegenrichtung, die einen Zeiger in eine dereferenziere Form wandelt und eine Exception wirft, wenn die Signatur ungültig war.
Es gibt davon auch noch mehrere Formen für verschiedene Zeigerarten, damit man nicht einen gültigen Datenzeiger über eine Rücksprungadresse nageln kann.
Das ist jedenfalls eine eigentlich ziemlich schlaue Angelegenheit, die nur einen echten Nachteil hat: Man muss seinen Code dafür kompilieren, dass er das nutzt. Die Intel-Gegenmaßnahmen funktionieren auch ohne Neukompilieren der Programme.
Dieser PACMAN-Angriff hier behauptet, sie könnten das Geheimnis über spekulative execution herausfinden und "von außen" gültig signierte Zeiger erzeugen. Das wäre schon ziemlich doof, wenn das ginge.
Die Behauptung, als sei das M1-spezifisch, stimmt aber nicht. Das ist ein ARM-Feature, kein M1-Feature. Der Einschätzung, dass das "unpatchbar" ist, würde ich mich anschließen.
Habt ihr vielleicht extra ein Apple-Gerät gekauft, weil ihr gehört habt, dass die eure Daten schützen?
Dann seid ihr hoffentlich nicht Vodafone-Kunde, denn Vodafone will jetzt an eure Mobilfunk-Internetzugriff ein eindeutiges Token ranpacken, damit die Werbemafia euch besser ausschlachten kann. Hier sind die Details.
Warum? Weil, äh, "Keeping the Internet free"!1!!
Wie? Nein, nicht free im Sinne von frei. free im Sinne von kostenlos! Die arme darbende Werbemafia hat operative Supply-Chain-Herausforderungen bei der Koksbeschaffung, und wenn denen keiner hilft, dann gehen die alle pleite! Und wer soll denn dann den Mittelstand und die Konzerne zur Ader lassen?! Damit wollten sich die Vodafone-Schlipse doch die Rente sichern!1!!
Update: Laut Torsten Kleinz testet das auch die Telekom gerade.
Ach. Ach was.
Und was haben die Angreifer damit gemacht?
Major technology companies have been duped into providing sensitive personal information about their customers in response to fraudulent legal requests, and the data has been used to harass and even sexually extort minors, according to four federal law enforcement officials and two industry investigators.I'm shocked, I tell you. Shocked!!Wer kam nochmal auf die Idee, dass es eine gute Idee wäre, Strafverfolgungsbehörden Zugriff auf Nacktfotos von Minderjährigen zu geben?
Das ist deswegen wichtig, weil Beschlagnahme durch den 4. Verfassungszusatz besonders reguliert ist. Die Cops dürfen nicht einfach Dinge beschlagnahmen sondern sie brauchen mindestens probable cause und einen Durchsuchungsbefehl. Wenn ein Cloud-Backup nicht mehr darunter fällt, dann können die Cops einfach routinemäßig von allen Leuten alle Cloud-Daten in Echtzeit als synchronisierte Kopie vorhalten.
Das ist mal richtig doll furchtbar, und es betrifft offensichtlich nicht nur Amerikaner sondern auch alle anderen Menschen mit Daten in Clouds von amerikanischen Anbietern.
Update: Nein, liebe Leser, das legalisiert nicht "Raubkopien". Ihr könnt aufhören, mir das zu schreiben.
Update: Schöne Grüße an Max Schrems an dieser Stelle.
Blue Screen, my ass! Diese Zeiten sollten überwunden sein!
Aber fürchtet euch nicht. Abhilfe ist in Sicht. Apple hat jetzt einen Pink Screen.
Unsere Gerichte mussten ihnen ihr Unterdrückungsspielzeug aus der Hand nehmen.
Dann wollte unsere CDU+SPD-Junta das einfach auf EU-Ebene machen.
Unsere Gerichte mussten ihnen ihr Unterdrückungsspielzeug aus der Hand nehmen.
Dann haben sie das einfach klandestin Europol machen lassen. Bis da mal ein Datenschutzbeauftragter nachguckte und völlig überraschend feststellte, dass sich die Behörden, die bei uns für die Durchsetzung der Gesetze zuständig sind, nicht an die Gesetze halten, die sie durchsetzen sollen.
Und jetzt die Pointe: Das Bundesinnenministerium äußert sich dazu wie folgt:
Die geplante Aufbewahrung zum Zweck einer Vorfeldanalyse sei nicht als anlasslose Datenspeicherung zu verstehen, erklärte ein Sprecher des Ministeriums gegenüber heise online.Das muss ja wohl die mit Abstand dämlichste Äußerung des Innenministeriums sein, oder fällt jemandem eine noch blödere ein? Da wendet sich ja sogar Scheuer-Andi peinlich berührt ab und legt wert auf die Feststellung, dass er nicht mehr Teil dieser Regierung ist!
Hey, wo wir gerade bei anlassloser Totalüberwachung waren: Die EU-Kommission rückt ihre Kurznachrichten nicht raus. Begründung: Die seien ja bloß kurzlebig und flüchtig.
Ach? Ach ja? Aber bei Telegram ist das fundamental anders, oder wie? Die sind nicht kurzlebig und nicht flüchtig? Daher fordert unsere Innenministerin von Google und Apple die "freiwillige" Entfernung von Telegram aus den App Stores, ja? Mann Mann Mann.
Update: Anscheinend installieren Hardcore-Telegram-User Telegram eh nicht über den Play-Store sondern direkt, weil unterstellt wird, dass bei den offiziellen Versionen bestimmte Kanäle zensiert werden. m(
Warum?
Nun, da bleiben bei VPN-Diensten nicht viel Gründe übrig. Die wollen euch weiterhin ungeniert in den Traffic gucken und das geht dann halt nicht mehr.
Einziger anderer Grund könnte sein, dass wenn ein Telekom-Kunde auf einen Server mit Präsenz im Telekom-Netz zugreift, die Daten das Telekomnetz nicht verlassen. Außer du hast ein VPN. Es könnte also sein, dass die Telekom Angst hat, ihre externen Anbindungen könnten sich für alle offensichtlich als viel zu schwachbrüstig erweisen.
Im Moment ist ja deren Geschäftsmodell, dass die Außenanbindung schwachbrüstig und überbucht ist, und sie dann zu den Serverbetreibern gehen und sagen: Schöne Server haben Sie da! Wäre ja schade, wenn die für unsere Millionen von Kunden ruckeln würden! Vielleicht sollten Sie bei uns im Netz Rackspace mieten und ein großzügiges Traffickontingent kaufen!
Die Zielgruppe für das Gerät sind glaube ich Instagram-Influencer. Leute, die mit dem Gerät nicht interagieren müssen. Die es nur in die Kamera halten wollen.
Money Quote:
Einschränkender Minimalismus findet sich auch bei den Schnittstellen wiederHey Dell, warum macht ihr halbe Sachen? Liefert doch einfach nur das Gehäuse, ganz ohne Elektronik drin! Nennt es Digital Detox und nehmt einen Aufpreis. Wer blöde genug ist, dieses Gerät hier zu kaufen, der würde auch das kaufen. You're welcome.
Der Standard-Linker unter Linux ist GNU ld von den binutils. Das ist ein uraltes Fossil von einer Codebasis, weil die eben nicht das konkrete Problem gelöst haben, sondern ein allgemeineres Problem lösen. Der Linker ist parametrisierbar und kann zur Compilezeit mitgeteilt kriegen, ob man ELF, COFF oder gar Windows EXE Files damit linken will. Kann glaube ich auch MACH-O von Apple, bin mir aber nicht sicher gerade.
Jedenfalls ist das Teil schnarchlangsam. Spielt in den meisten Fällen keine Rolle. Ich hab damit jahrzehntelang prima arbeiten können, ohne dass mir jemals aufgefallen wäre, wie langsam das Teil ist. Meine Programme sind aber auch alle relativ überschaubar.
Wenn man mal, sagen wir, Firefox linkt, dann ist die Link-Pause merkbar. Spielt im Vergleich zur Compilezeit keine Rolle, aber ist nicht gar nicht da.
Also haben sich über die Jahre Projekte gegründet, um mal einen schnelleren Linker zu bauen. Der erste, den ich gesehen habe, ist GNU gold, der ist auch Teil von den binutils. Ist in C++ geschrieben und direkt ... doppelt so groß wie ld. War zwar ein bisschen schneller aber linkte bei mir mal Firefox nicht und konnte auch kein link-time optimization und war daher direkt draußen.
Das nächste Projekt, das antrat, war LLVM lld. Der hat erstmals ein bisschen Multithreading am Start, aber nur für einige Teile. mold will jetzt alle Teile auf alle Cores verteilen.
Ich habe mal testweise das Erstellen von libavcodec.so gemessen:
GNU ld: 1.21s user 0.26s system 99% cpu 1.463 totalDas war jeweils noch mit Debug-Symbolen. Gut, unterhalb einer Sekunde ist das jetzt alles nicht sonderlich aussagekräftig, und die %CPU-Spalte bei mold ist offenbar damit überfordert, wie flott das Ding fertig war :-)
GNU gold: 0.83s user 0.10s system 99% cpu 0.928 total
LLVM lld: 0.69s user 0.17s system 258% cpu 0.333 total
mold: 0.03s user 0.00s system 13% cpu 0.247 total
Aber ich finde das ein interessantes Ergebnis und wollte direkt mal dietlibc damit linken, um zu gucken, ob das geht. Ging nicht, weil ich eine obskure Spezialoption von GNU ld benutze, -z noseparate-code. ld hat vor ein paar Jahren angefangen, nach SPECTRE bei den Segmenten Padding auf Page-Größe zu machen. Hintergrund ist, dass die Hardware Speicherschutz mit Page-Granularität macht. Wenn also in einem Binary Code und Datensegment nebeneinander im Binary liegen, dann war früher auf der letzten Page des Datensegmentes (das read-write gemappt ist!) auch die ersten Bytes des Codesegments, und man hätte da also reinschreiben können in einem Exploit oder so. Jetzt bläst der Linker das mit Null-Bytes auf. Ist an sich eine gute Idee, aber bei dietlibc will ich halt winzige Binaries haben. Da ist das Binary für rm sowas wie 9k groß. Wenn der Linker da Padding einfügt, dann ist das mal eben 50% größer. Daher möchte ich das bei der dietlibc gerne selektiv ausschalten können, und obiges wäre die Option dafür gewesen.
Die konnte mold nicht. Also hab ich vor zwei Tagen einen Bug aufgemacht. Heute war die Mail in der Inbox, dass er das eingebaut hat.
Ich muss sagen: Hut ab. So stellt man sich das in seinen Fieberträumen vor, dass Software-Entwicklung so abläuft. Erstens natürlich dass der Typ überhaupt reagiert, dann dass er mir nicht erklärt, meine Anforderung sei Scheiße, dann dass er das implementiert, und dann dass er das quasi über Nacht implementiert. Sehr beeindruckend.
Ich wünsche euch allen, dass ihr eure Codebasen auch so in Schuss habt, dass ihr auf so eine Anforderung mal eben so flott reagieren könntet. :-)
mold hat bei mir jetzt auf jeden Fall mehrere Schritte auf der Treppe genommen.
Update: Äh, jetzt habe ich den Link vergessen. Ist auf Github. Hat m.W. keine separate Homepage.
Auslöser dafür ist offenbar eine frisch anhängige Klage von Apple gegen die NSO Group. Offenbar merkt die Regierung, dass der Ruf des Landes darunter leidet, wenn sie der Hauptexporteur von Software für Unterdrückungsregimes sind.
Leider ist Deutschland noch auf der Exportliste, d.h. das BKA und der BND können beherzt weiter bei NSO einkaufen gehen. Mal gucken, was der Koalitionsvertrag da aus unserer Richtung dran bewirken wird.
Ist da etwa die Hölle zugefroren?
Apple today announced Self Service Repair, which will allow customers who are comfortable with completing their own repairs access to Apple genuine parts and tools. Available first for the iPhone 12 and iPhone 13 lineups, and soon to be followed by Mac computers featuring M1 chips, Self Service Repair will be available early next year in the US and expand to additional countries throughout 2022.Wat? Hat der Louis Rossmann etwa gewonnen?!Update: Klingt hier nicht nach einem Sieg von Louis Rossmann.
Update: Louis Rossmann ist nicht so begeistert, wie man vielleicht gedacht hätte.
Seid ihr auch so froh, dass Apple die Guten sind? Nicht auszudenken, was für unmoralische Dinge die tun könnten!1!!
Money Quote:
“Apple was unable to validate for us that Apple’s solutions are compliant with Apple’s policy.”
Steven Bellowin ist der Erfinder der Firewall. Whitfield Diffie und Ronald Rivest haben RSA erfunden. Peter Neumann ist der Mann hinter dem weltberühmten RISKS Digest. Bruce Schneier, Matt Blaze und Ross Anderson sind weltberühme Koryphäen für Krypto und Security. Josh Benaloh hat ein homomorphes Public-Key-Kryptosystem erfunden. Jon Callas ist einer der Gründer der PGP Corporation. Carmela Troncoso war Hauptautor des Papers über DP-3T (dezentrales Covid-Tracing).
Wenn diese Leute in eine Bar laufen, wird das bestimmt ein großartiger Witz.
Wenn dann jemand auf die Bar eine Bombe wirft, dann wirft das die Welt Jahrzehnte zurück.
So und worüber schreiben die da zusammen ein Paper?
Sie regen sich über Apple auf, die Wanzensoftware auf alle Telefone ihre Kunden aufgespielt haben, die dort Inhalte scannen soll.
OK ich glaube ich kenne schon die erste Hälfte von dem Witz. Wie viele Experten braucht es, um Apple zu überzeugen, dass sie auf dem Holzweg sind?
Apple Made More Profit From Games In 2019 Than Nintendo, Sony And Microsoft CombinedUnd sie haben keines davon selbst hergestellt. Sie schächten bloß anderer Leuten Einnahmen weg.
Update: Reuters wird noch konkreter:
Widening power shortages in China have halted production at numerous factories including many supplying Apple and Tesla, while some shops in the northeast operated by candlelight and malls shut early as the economic toll of the squeeze mounted.
Zensursoftware? Wie meinen?
Flagship phones sold in Europe by China's smartphone giant Xiaomi Corp (1810.HK) have a built-in ability to detect and censor terms such as "Free Tibet", "Long live Taiwan independence" or "democracy movement", Lithuania's state-run cybersecurity body said on Tuesday.Ja aber komm, das ist doch nicht angeschaltet in Europa, oder?!The capability in Xiaomi's Mi 10T 5G phone software had been turned off for the "European Union region", but can be turned on remotely at any time, the Defence Ministry's National Cyber Security Centre said in the report.Aber Fefe, haben die nicht völlig Recht? Ist das nicht ein Problem? Wieso schreibst du denn da Lacher des Tages dran?
Weil Apple und Google und Firefox und Chrome und Windows selbstredent dieselbe Befähigung haben. Nur shippen die das Zensurmodul nicht die ganze Zeit mit, wo es möglicherweise auffallen würde, sondern sie nennen es Updateschnittstelle. Sie nötigen uns außerdem alle, ständig auf Zuruf Updates einzuspielen. Und sie haben so verkackte beschissene Software, dass das in der Tat gar nicht sicher betreibbar ist, wenn man nicht alle Updates immer sofort einspielt.
Wo ist da also noch gleich der fundamentale Unterschied? Oh, gibt gar keinen? Na sowas!
Wir haben alle schon lange die Souveränität über unsere Geräte und Daten abgegeben. Damit haben wir uns ein bisschen Convenience gekauft, die wir jetzt gar nicht nutzen können, weil die immer neuen Security-Theater-Maßnahmen jede Convenience schon längst aufgefressen haben.
Wie? Was sagt ihr? Oh warte, ich kann gerade nicht. Ich muss kurz Pause machen. Windows will meinen Rechner nach Malware scannen. Mit einem frisch remote eingespielten Malware-Scanner.
Lasst euch mal bitte noch von dieser plumpen Nato-Propaganda verarschen.
Die Richterin hat geurteilt, dass Apple nicht mehr Apps daran hindern darf, alternative Zahlungsmöglichkeiten anzubieten.
Gleichzeitig fand sie aber auch, dass Epic seinen Vertrag mit Apple verletzt hat und jetzt drei Millionen Dollar nachzahlen muss.
Da werden bei Softbank aber gerade die Alarmglocken läuten. Das käme denen gerade nicht so recht, wenn sich ihre Haupt-Erfolgsinvestition über Nacht im Wert halbiert.
Das geht hier bei Apple erstmal noch nicht um ein richtiges Ersetzen von ARM, nur so von ein paar Peripherie-Chips. Aber, wie man in den USA so schön sagt: The writing is on the wall.
Apple hat in den letzten Jahre mehr für ARMs Glaubwürdigkeit als Plattform getan als alle anderen Firmen zusammen. M1 war sowas wie eine göttliche Intervention für ARM. Wenn DIE jetzt zu RISC-V abspringen, das wäre echt ein furchtbares Signal für ARM.
Netflix hat offenbar eine Ausnahmeregelung gekriegt, mussten weniger als 30% zahlen.
Das ist natürlich nicht gerade förderlich, um den anderen Entwicklern 30% aus der Tasche zu ziehen, und so zu tun, als gelte die Regel halt für alle und sei daher gerecht.
Aber nicht nur Google kriegt sein Fett weg! Apple hat gerade eine tolle Neusprech-Pressemitteilung veröffentlicht, wo sie ein wunderschönes Shit Sandwich zubereiten. Der App Store sei ja ein economic miracle, das sicherste Einkaufssystem der Welt!1!! Oh äh und ab jetzt dürfen Entwickler ihren Kunden auch sagen, dass es andere Zahlungsoptionen gibt als über Apple. Das ist aber großzügig!1!!
Apple fraud executive Eric Friedman told colleague Herve Sibert that Apple is the greatest platform for distributing child pornography. [...]Friedman made the claim in a February 2020 text message conversation revealed in discovery for the Apple-Epic trial
Ja gut, das ist die Art von Erkenntnis, die auch in einem Riesentanker wie Apple spontane Änderungen in der Bewegungsrichtung auslösen kann.
Das ist häufig ein größeres Problem als die durch eine Klage drohenden Kosten. Aber viele gute Gegenstrategien gibt es da nicht. Eine populäre Methode ist, den Gegenüber möglichst am Ende der Frist mit LKW-Ladungen an Akten zu fluten, wo dann die relevanten bei sind, aber eben auch lauter Mist. Die Hoffnung ist dann, dass der Kläger in dem Müll die Rosinen nicht findet. Aber wenn rauskommt, dass du die Rosinen nicht rausgerückt hast, dann kann das richtig unangenehm werden.
Daher ist bei dem Verfahren von Epic Games gegen Apples und Googles gemeinsames App-Store-Monopol auch die eigentliche Befürchtung von Apple und Google gewesen, dass die ganzen peinlichen Unterlagen ans Licht kommen. Genau das passiert gerade, und die Details sind wirklich atemberaubend.
Nehmt nur mal das Detail, dass Google bis zu 25% der App Sales an Telcos ausschüttet, damit die auf ihren Telefonen nur den Play Store haben und nicht etwa wie Samsung einen "Galaxy Store" draufpacken.
Sind die 25% von Googles Profitanteil oder vom Verkaufspreis? Ich lese das als vom Verkaufspreis. Da ist dann auch plötzlich klar, wieso sie 30% Anteil nehmen von den App-Bauern, wenn das fast alles direkt an die Telcos durchgereicht wird. Das ist auch interessant für die Leute, die mir in Mails argumentiert haben, Google haben auch voll die großen Ausgaben für das Bereitstellen ihres Play Stores. Nee, klar.
Warum lässt sich Google da so über den Tisch ziehen? Nun, sie haben mal durchgerechnet, wieviel Profit wegfallen könnte, wenn andere Leute andere App-Stores anböten und kamen auf 6 Milliarden Dollar weniger Einnahmen.
Hier ist noch ein schöner für die Leute, die verhandeln, ob Apple oder Google schlimmer ist:
Larry Page told Steve Jobs in 2010 that "There will always be places we compete, and places where we cooperate."und in einem anderen Meeting dann:After another meeting between Apple and Google senior executives, notes showed that the execs agreed: "Our vision is that we work as if we are one company."Jetzt fragt ihr euch vielleicht: Hey, wenn da so schädliche Tretminen in den Akten waren, wieso hat Google dann nicht einfach Epic gekauft und sich die Schmach erspart?Nun, haben sie versucht, aber Epic Games ist nicht börsennotiert. Wenn die Eigentümer nicht verkaufen wollen, dann müssen sie nicht. Egal wieviel du bietest. Die Eigentümer von Epic Games sind u.a. Tencent, ein chinesischer Großkonzern, der auch gerade die wöchentlichen verschenkten Spiele im Epic Store einfach mal bezahlt, um Steam plattzumachen. Die haben tiefe Taschen und waren nicht interessiert.
Eine Kollision heißt, dass ein anderes Bild denselben Hash hat.
So eine Kollision "findet" man nicht, man konstruiert sie. Nun ist die Liste der Hashes natürlich nicht einfach so im Internet herunterladbar. Noch nicht. Aber wenn die mal leaked, und dieses Kollisionsverfahren reproduzierbar funktioniert, dann ist das Verfahren plötzlich eine Waffe gegen Leute, bei denen du dann Bilder mit den gesuchten Hashes auf die Telefone packen kannst, ohne dich selbst wegen Besitzes solcher Bilder strafbar zu machen.
Update: Wenn man zwei Bilder findet, die denselben Hash haben, nennt man das eine Kollision. Wenn man zu einem Hash von einem Bild ein anderes Bild mit demselben Hash konstruieren kann, nennt man das einen Preimage-Angriff. Ein Preimage-Angriff ist normalerweise viel schwieriger als ein Kollisionsangriff, weil man für eine Kollision mehr Freiheitsgrade hat (man braucht nur zwei gleiche Hashes, nicht einen spezifischen Hash). Das hier war offenbar ein Preimage-Angriff.
Gib ihnen ein paar Wochen, dann ist das Bedingung für Aufnahme in den App Store.
Das Zieren bei High-Profile-Fällen ist bloß Theater, um die Kunden ruhig zu halten.
Wer nichts zu verbergen hat, habe nichts zu befürchten, heißt es beim iPhone-Hersteller.Hah. Und ich dachte, alle haben etwas zu verbergen, und daher sind die Leute zu Apple gegangen, weil sie fälschlicherweise annahmen, dass Apple nicht in ihren persönlichen Daten herumstochern würde.
So kann man sich irren!
Hey, Tim Cook, wenn Sie nichts zu verbergen haben, dann zeigen Sie uns doch mal kurz Ihre Steuererklärungen der letzten 40 Jahre, die Gesundheitsdaten, ihr lückenloses Bewegungsprofil der letzten Jahre, Kameraaufnahme aus Ihrem Domizil und eine Liste aller Sexpartner.
Oh, was sagen Sie? Sie haben doch was zu verbergen? Na sowas!
Apple's iCloud service encrypts all data, but Apple has the decryption keys and can use them if there is a warrant. However, nothing in the iCloud terms of service grants Apple access to your pictures for use in research projects, such as developing a CSAM scanner. (Apple can deploy new beta features, but Apple cannot arbitrarily use your data.) In effect, they don't have access to your content for testing their CSAM system.If Apple wants to crack down on CSAM, then they have to do it on your Apple device. [...] If it encounters any CSAM content, it will send the file to Apple for confirmation and then they will report it to NCMEC. (Apple wrote in their announcement that their staff "manually reviews each report to confirm there is a match". They cannot manually review it unless they have a copy.)
Neal beschäftigt sich beruflich mit Fotos und empfängt Uploads von Usern und muss daher auch nach Missbrauchsfotos gucken und die melden nach US-Recht. Und hier wird es dann inhaltlich spannend, denn er hat NCMEC (die US-Behörde, die die Hash-Datenbank betreibt) um eine Liste mit den Hashes gebeten, damit er danach scannen kann.Eventually (about a year later) they provided me with about 20,000 MD5 hashes that match known CP. In addition, I had about 3 million SHA1 and MD5 hashes from other law enforcement sources.Warum sind das so viele? Weil es von demselben Bild verschiedene Bilddateien gibt. Mal mit nem Header davor, mal ohne, mal als PNG, mal als JPEG mit 70% Qualitätsschieber, mal mit 80%. Alle visuell identisch aber andere Bits und daher anderer Hash.In the six years that I've been using these hashes at FotoForensics, I've only matched 5 of these 3 million MD5 hashes. (They really are not that useful.) In addition, one of them was definitely a false-positive. (The false-positive was a fully clothed man holding a monkey -- I think it's a rhesus macaque. No children, no nudity.)OK, dann ist das Problem vielleicht einfach viel kleiner? Nein, ist es nicht!At my FotoForensics service, I typically submit a few CSAM reports (or "CP" -- photo of child pornography) per day to the National Center for Missing and Exploited Children (NCMEC). [...] According to NCMEC, I submitted 608 reports to NCMEC in 2019, and 523 reports in 2020.Da gibt es dann noch ein interessantes Detail. Apple hat in den Zeiträumen bloß 205 und 265 Reports bei MCMEC gefiled. Er kann aber an den Dateinamen seiner Uploads sehen, dass die von Apple kamen, weil die ein eigenes Schema für Foto-Dateinamen haben. Apple hat also eine Menge solches Material, aber meldet es nicht. Er glaubt, weil sie nicht gucken.
Klar können sie das. Das konnten sie seit der Sekunde, in der ihr Geräte gekauft habt, die nicht euch gehören sondern Apple. Wenn ihr die Souveränität über eure Hard- und Software aufgebt, dann seid ihr solchen Übergriffen schutzlos ausgeliefert.
Das war von Minute 1 an klar. Es war schon vorher klar. Leute haben davor gewarnt. Ihr habt trotzdem lieber Apple-Geräte gekauft. Eigenbau-Linux-Projekte, die diese Probleme nicht gehabt hätten, habt ihr verhungern und austrocknen lassen.
Guckt mich jetzt nicht so an als müsste ich euch jetzt vor den Konsequenzen eurer Handlungen schützen. Jetzt steht ihr mal bitte schön ganz alleine auf der Straße und schimpft über Apple. Ich habe euch das gleich gesagt. Convenience war euch wichtiger. Jetzt habt ihr den Salat. Hört also bitte mit dem Herumgememme auf und fresst die Suppe, die ihr euch eingebrockt habt.
Was dachtet IHR denn? Dass Apple anständig ist und sowas nicht bringen würde?! Nachdem sie sich in China den Regierungsauflagen gebeugt haben? So blöde kann doch niemand sein!
Nein. Wir sind jetzt da, wo der Weg die ganze Zeit hinführte. Ihr habt eure Souveränität aufgegeben. Ihr benutzt Prozessoren mit Management Engines, die verhindert, dass ihr auf eurer Hardware den Kopierschutz von Netflix-Videos brecht. Ihr verwendet Computer mit "Sicherheitschips", die verhindern, dass ihr auf eurem Computer booten könnt, was ihr wollt. Ihr benutzt Software, die eure Daten nicht nur nicht schützt sondern in die Cloud hochlädt. Eure Daten sind längst in irgendwelchen Clouds in irgendwelchen Ländern. Die sind schon so oft weggekommen, dass die Preise für persönliche Daten aus Cloud-Hacks inzwischen in Hunderttausenden von Datensätzen angegeben werden.
Ihr gebt irgendwelchen Webseiten euer Geburtsdatum!! What the FUCK?
Apple war bloß der letzte umfallende Dominostein. Eure Souveränität ist schon länger futsch. Ihr konntet euch nur bisher selbst belügen, dass es schon nicht so schlimm werden würde.
Das Verfahren, das sie das benutzen, ist auffallend wenig schlimm. Die haben das sozusagen umgedreht. Man erspielt sich Awards, wenn man bestimmte Hashes vorweisen kann, die nicht öffentlich bekannt sind. Nur dass der Hash halt aus den Bildern berechnet wird und die Awards dann eine Meldung beim FBI sind.
Es werden also weder deine Fotos gegen deinen Willen in die Cloud hochgeladen zum Analysieren, noch läuft da irgendeine freidrehende "KI" und macht Pornoerkennung.
Wobei, eine freidrehende KI soll es wohl auch geben, und zwar um Eltern zu warnen, wenn ihre Kinder Nacktfotos von sich selbst machen.
Ja, äh, schön ist das natürlich alles nicht. Aber von allen Dinge, die Apple hätte implementieren können, ist das am unteren Ende der Schlimmheitsskala. Ich gebe ja Youtube die Schuld. Die haben das Fluttor geöffnet, dass man Dinge automatisiert scannen kann. Damit haben sie die ganze Welt in den Abgrund gestürzt. Jetzt wird alles ständig überall gescannt.
Klar findet das nichts am Ende. So wird das auch hier sein. Die haben eine Datenbank mit Hashes von bekannten Bildern. Angeblich geht es ja hier um die Bekämpfung von Missbrauch. Alte Bilder kursieren lassen ist zwar nicht schön aber da ist der Missbrauch ja schon geschehen und hoffentlich geahndet, denn die Polizei hat die Bilder gesehen und ermittelt und hoffentlich jemanden inhaftiert. Den Missbrauch von Kindern zum Anfertigen von neuen Bildern hält das mit den Hashes hier natürlich überhaupt nicht auf.
Und so ist das am Ende wie immer. Ihr tut so, als ob ihr uns angemessen bezahlt, und wir tun so, als hätten wir für das Geld gearbeitet. Das tatsächliche Lösen des tatsächlichen Problems? Not my job.
Update: Eine Sache fällt noch auf. Die Leute laden ja ihre Backups in die Cloud hoch, inklusive Fotos. Eigentlich würde es ja völlig reichen, wenn Apple in ihrer Cloud die Bilder scannt. Der ganze Aufwand mit Software auf die Geräte schieben, und dann dafür sorgen müssen, dass ein Angreifer auf den Geräten nicht sehen kann, welche Hashes hier gesucht werden, den Schuh hat sich Google gar nicht angezogen. Die scannen einfach in der Cloud rum.
Warum macht Apple das also?
Nun, gibt zwei offensichtliche Erklärungsansätze. Entweder sie wollen hier wirklich Kriminelle finden, und glauben nicht, dass die Cloud-Backup angeschaltet haben. Oder sie planen ihre Cloud-Backups so zu machen, dass sie da gar nicht reingucken können, selbst wenn sie wollten. Kryptografisch wäre das gar kein Problem, und würde auch ihren Kopf aus gleich mehreren Schlingen ziehen. Wenn ich einen Cloud-Backup bauen sollte, hätte ich das von Anfang an so gemacht.
Dass Kriminelle Cloud-Backup abschalten, glaube ich auch. Aber dass es Apple hier tatsächlich um die Kriminalitätsbekämpfung geht glaube ich auch nicht. Da wird jemand vom FBI den Tim Cook zu einem Abendessen eingeladen haben und dem ein paar fiese Bilder gezeigt haben, und dann hat Tim Cook sich bereiterklärt, ein bisschen Placebo auszurollen, damit man sagen kann, man helfe. Vielleicht auch als Pfand für die nächste Iteration gedacht, wenn das FBI mal wieder Hintertüren fordert. Ich glaube ja nicht, dass das funktioniert. Eher anders herum. Wenn man denen einmal einen kleinen Finger hinhält, beißen sie den ganzen Arm ab.
Der Nachteil von verschlüsselten Cloud-Backups ist, dass man dann auch Kunden mit Demenz nicht helfen kann, oder Hinterbliebenen.
Wenn man derzeit aus einem Hochinzidenzgebiet nach Deutschland einreist, muss man sich ja unter einreiseanmeldung.de anmelden. Da bekommt man am Ende ein PDF. Wenn man nicht geimpft ist (Kinder...), muss man ja für 10 Tage in Quarantäne, verkürzbar auf 5, wenn man nach 5 Tagen einen Test macht und den hochlädt.Klingt für mich wie ein klarer Fall von Not My Job Award.Wie lädt man den hoch? In dem PDF ist ein Link.
Der ist kaputt! Der wird nämlich auf zwei Zeilen umgebrochen, und wenn man klickt, wird nur die erste Zeile als Link genommen. Wenn man copy&pasted, wird ein Leerzeichen mitten in die URL eingefügt. Ws müssten jetzt also Tausende ihre Test-Ergebnisse hochladen, aber wieviele % werden diese Hürde überwinden?
Das Traurige: Scheint genau Niemanden zu interessieren. Ohne, dass der Test erfolgreich hochgeladen wurde, geht die Quarantäne noch 5 tage weiter. aber überprüft ja eh keiner...
Der Link sieht, in korrigiert, so aus:
https://upload.einreiseanmeldung.de/#/9578b324-54ce-4c6d-afb7-7e82e5cdba01Die GUID da ist von mir gerade pseudozufällig generiert, die kommt nicht von denen.
Leider ist der Link damit personalisiert und ich kann hier nicht den korrekten Link posten. Einmal mit Profis arbeiten.
Update: Der Einsender meint gerade noch, dass der Link in dem PDF mit Firefox funktioniert, aber mit dem Apple PDF Reader nicht.
Gucken wir doch mal, was die gerade berichten ... Oh, nanu?
THIS WEBSITE HAS BEEN SEIZED
Ja nee, klar. Das FBI und das US-Justizministerium haben die Domain beschlagnahmt.
Gut, fragt man sich schon, wieso der Iran eine .com-Domain holt und nicht eine .ir -- oh warte, sie haben auch eine .ir-Domain. Hey, war das vielleicht ein großartiger Troll des Iran? Mal gucken, wann die Amis sich öffentlich so zum Stück Brot machen?
Gut, da haben wir jetzt die Antwort.
Und wir wissen jetzt auch, ob Trump oder Biden der krassere Betonkopf-Hardliner und Kriegstreiber ist.
So, dann gucken wir doch mal, wie der Iran das schlau nutzt. Vielleicht Statements von befreundeten "Nachrichten"seiten. Russia Today könnte das z.B. für ein generisches Statement pro Pressefreiheit nutzen. Gucken wir doch mal. Oh hier, das böte sich an: Biden kritisiert die Chinesen wegen Verletzung der Pressefreiheit, weil sie in Hong Kong Apple Daily zugemacht haben. Money Quote von Biden: Journalism is not a crime! Da hätte man was schönes draus machen können!
It is, of course, deeply ironic that a country which claims to champion freedom of speech has taken these websites down. But it’s merely the latest act in a long list of crimes and acts of aggression committed against Iran by Washington dating back decades.Hmm, na gut, jetzt nicht das flammende Pro-Iran-Plädoyer, auf das der Iran gehofft haben wird.Irgendjemanden wird es ja wohl geben, der das für ein generisches Statement pro Pressefreiheit nutzet.
Ah ja, hier, sie haben jemanden gefunden!
Hezbollah, Iraqi anti-terror group slam US seizure of website domains tied to pro-resistance mediaNein, wirklich! Die zitieren da die Hisbollah, praktisch weltweit als Terrororganisation anerkannt.Frage mich, wieso sie das überhaupt auf Englisch veröffentlichen.
Gut, äh. Wo waren wir? Ah, bein internationalen Zum-Stück-Brot-Machen-Wettbwerb. Es steht unentschieden, würde ich sagen. m(
In the Homebrew/homebrew-cask repository, it was possible to merge the malicious pull request by confusing the library that is used in the automated pull request review script developed by the Homebrew project.By abusing it, an attacker could execute arbitrary Ruby codes on users' machine who uses brew.
Unter uns? You had me at Ruby.
Das Kratzen machen sie aber auch nicht selber, sondern sie benutzen dafür die offiziellen APIs und DLLs von Apple und Google, d.h. adb oder itunes backup. Dafür muss das Handy unlocked sein. Wenn euch also "Zollbeamte" am Flughafen bitten, euer Handy kurz aufzuschließen, und dann damit ins Hinterzimmer laufen, dann wisst ihr, was sie vorhaben.
Jedenfalls, warum ich das erzähle: Das haben sich die Signal-Leute nicht einfach so bieten lassen. Den Blogeintrag solltet ihr euch mal in Gänze geben. Das ist Popcornkino vom Feinsten.
Das ist ja schonmal grundsätzlich eine ganz schlechte Idee, weil es Signal zu einem Ziel für Scammer macht. Im Moment ist es nur ein Ziel für Geheimdienste. Schlimm genug.
Aber Signal baut nicht nur Payments ein. Nein, nein! Signal baut Blockchain ein.
Das ist der letzte Sargnagel. Ich habe schon aufgehört, Signal zu empfehlen, seit sie dieses desaströse Pin-Update eingebaut haben. Inhaltlich hat das bedeutet, dass sie dein Telefonbuch in die Cloud hochladen. War nicht so klar kommuniziert, aber das war das. Sie machen eine Packung Bullshit-Voodoo über deine Pin, dann verschlüsseln sie damit dein Telefonbuch, und dann laden sie es in die Cloud hoch.
Weil Smartphones sich überhaupt nicht für die Eingabe von Text oder Passwörtern eignen, ist die Pin entweder unbrauchbar, weil man sie nicht eingegeben kriegt, oder sie ist unbrauchbar, weil sie zu wenig Entropie hat und auf dem Server einfach durchprobiert werden könnte.
Und Signal hat diese verkackte Pin nicht Opt-In gemacht sondern einmal allen aufgezwungen. Das war der Moment, seit dem ich Signal nicht mehr benutze.
Aber jetzt? Auch noch ein Blockchain-Bullshit-Sandwich draus machen?
Und nicht mal eine echte Blockchain sondern so ein Voodoo-Handwaving-Hybrid-Schlangenöl.
Ich habe mir das letztes Jahr mal näher angeguckt. Das gesamte Ding fußt auf Intel SGX. Das ist Intels Enklaven-Voodoo-Tech. Laut Signal funktioniert das so: Deren Krypto-Blockchain-Voodooware ist Open Source und du kannst sie selber bauen. Dann kannst du davon eine kryptografische Checksumme nehmen. Dann fragst du einen proprietären unprüfbaren closed-source Cloud-Dienst von Intel, und der sagt dir dann die Checksum von dem Kram in der SGX-Enklave. Dann kannst du sehen, dass die Software unmodifiziert war.
Woher weiß denn der proprietäre unprüfbare closed-source Voodoo-Dienst von Intel in der Cloud die Checksumme von der Software in der SGX-Enklave? Nun, der verlässt sich auf proprietäre unprüfbare closed-source Voodooware von Intel in deiner Intel-CPU (in der Management-Engine, die Intel allen Kunden unausschaltbar aufzwängt) mit SGX.
Ihr merkt schon: Lange hat mich nicht mehr ein Konzept so dermaßen wenig überzeugt. Die Anzahl der Schichten an "guck hier mal nicht so genau hin"-Level Krypto ist atemberaubend. Die Humanisten unter euch werden die Wortbedeutung von Krypto kennen und an der Stelle die Ironie genießen, dass Krypto-Voodoo hier als Flimflam-Zutat für ein Bullshit-Cocktail aus wilden Ablenkungs-Handbewegungen hergenommen wird, das man sonst nur von Hütchenspielern und Bühnenzauberern kennt.
Ach komm, Fefe, werdet ihr jetzt sagen. Intel ist doch vertrauenswürdig! Ach ja? Intel, wir erinnern uns, musste mehrere Milliarden Entschädigung an AMD blechen, weil sie sie mit unfairen Methoden zu behindern versucht haben. Intels Compiler erzeugte jahrelang (bis heute?) Binaries, die auf AMD-Prozessoren künstlich mit angezogener Handbremse liefen. Und DIE sollen jetzt die Grundlage für unser Vertrauen in Signal sein?!
Aber Fefe, sagt ihr jetzt vielleicht, Intel hat doch gar keinen Anreiz für Beschiss an der Stelle!!1! Ach ja, ist das so? Wir reden von einem fucking Payment-Dienst! Wer da bescheißen kann, kann sich anderer Leute Geld überweisen! Da seht ihr keinen Anreiz?!
Nee, sorry. Signal hat über die Jahre eine Menge Vertrauen aufgebaut. Das ist jetzt weg.
Oh, übrigens, erwähnte ich, dass deren "Open Source"-Serverkomponenten seit nem Jahr nicht mehr geupdated wurden? Und auf deren Servern andere Software läuft als was sie im open source-Repo veröffentlichen?
Ja, äh, klar stinkt das, aber komm, wir schmieren da jetzt ein paar Lagen Krypto-Blablah drüber und dann decken wir das mit einer Decke unvertrauenswürdigen Intel-Versprechungen zu. Hier, noch ein bisschen Pseudo-Open-Source-Parfüm drübergespritzt, dann riecht man das gar nicht mehr so!1!!
Ich habe ja neulich schon bei der Meldung zu den hopsgenommenen Krypto-Messengern angedeutet, dass in Zukunft die wichtigste Eigenschaft von Krypto-Messengern sein wird, ob sie auch dann noch vertrauenswürdig einsetzbar sind, wenn die Infrastruktur von schattigen Behörden oder Geheimdiensten oder Kriminellen übernommen wurde.
Alle Messenger, die dich nicht selber Key-Management über QR-Codes o.ä. machen lassen, sind direkt durchgefallen. Dazu gehört leider auch Signal.
Ich persönlich schiebe die Schuld an dieser ganzen Misere ja den Sprallos in die Schuhe, die seit Jahren PGP madig reden. PGP ist die einzige fucking Krypto-Software, die explizit mit dem Ziel entwickelt wurde, dass du nicht dem Netz, nicht der Cloud, nicht irgendwelcher von Dritten betriebenen Infrastruktur glauben musst, sondern zur Not alles zur Hand bootstrappen und betreiben kannst. Diese ganze Hipster-Kacke, die heute unter Krypto läuft, kannst du alles einmal in der Pfeife rauchen. Ja, auch Browser-Krypto. Oder hat jemand von euch schonmal manuell Zertifikats-Hashes im Browser verglichen? Und dann verstanden, dass nächstes Mal ein anderes Zertifikat kommen könnte und man das bei jeder HTTPS-Verbindung einzeln verifizieren müsste eigentlich?
Ja, kommt, ihr Apple-Hipster. Erzählt mir mehr darüber, wie man ordentliche Krypto macht. Aber aber aber Signal ist doch viel einfacher zu bedienen!!1! Ja, der bedient sich sogar ganz von selbst und lädt deine Daten in die Cloud hoch!
Apropos Signal. Lacher am Rande. Bei dem Facebook-Datenreichtum ist ja auch der Datensatz von Mark Zuckerberg drin gewesen. Jemand hat die Telefonnummer in sein Adressbuch eingetragen. Und wisst ihr, was als nächstes passierte? Signal hat ihm gesagt: Zuckerberg ist auf Signal! Connect with him! Wie, ach, das habt ihr gar nicht auf dem Schirm gehabt als mögliches Privatsphäreproblem?
Na sowas.
Sic transit gloria mundi.
Update: Oh, guck mal einer schau. Signal hat gestern abend den Open Source Serverteil aktualisiert. Ein Schelm, wer Böses dabei denkt!
Update: Bei Signal kann man übrigens Kontakte manuell verifizieren. Ja, sogar mit QR-Code. Weiß nur keine Sau, weil das so geschickt in der UI verborgen ist. Haben sie irgendwann nachgerüstet und keiner hat's gemerkt. Man geht in die Kontakte-Liste, dann öffnet man einen Gesprächsverlauf mit jemandem, dann geht man im Menü auf Conversation Settings, dann scrollt man runter, denn diese unwichtige Randgruppenoption ist die letzte in der Liste: View Safety Number. Wenn man da raufgeht, dann kommt ein Screen namens Verify Safety Number. Dann muss man nur noch ein paar Jungfrauen in einem Pentagramm opfern und lateinische Inkantationen sprechen.
Tim Sweeney von Epic Games hat mal öffentlich gefragt, wieso ISO-Standards eigentlich nicht frei im Netz stehen. Er hat das ein bisschen undiplomatischer formuliert.
Ich persönlich fand das nicht schlau, da das Wort "Hobbyisten" in den Mund zu nehmen, weil das unnötig abwertend klingt. OpenSSL und ffmpeg sind beides Hobbyisten-Projekte, die auf Standards basieren, die zumindest zur Projektgründungszeit nicht frei zugänglich waren.
Erstmal: Das ist nicht bloß die ISO. Fast alle Standardisierungs-Organisationen wollen Geld für ihre Standards. SSL basiert auf X.509-Zertifikaten, das ist ein ITU-Standard, und die wollen Kohle sehen. Die ganzen MPEG-Versionen sind ISO-Standards und die wollen Kohle sehen. Ähnlich sieht das mit DVD und DVB aus, und so weiter.
Tim Sweeney mag ein oller Troll sein, der sich u.a. gerade einen Don-Quijote-Scharmützel mit Apple liefert, aber an der Stelle hat er völlig Recht.
Jedenfalls sprang auf die Debatte schnell Mikko Hyppönen auf, und dann ... hat die ISO Mikkos Sarkasmus kommentiert.
Ja, richtig gesehen. Mikko hat die mächtige ISO mit beißendem Sarkasmus zu einer Reaktion provoziert. Und was sagt die ISO? Nun, das zitiere ich hier mal in Gänze:
Hello, unfortunately, the ISO Central Secretariat does not provide free copies of standards. All ISO Publications derive from the work and contributions of ISO and ISO Members that contain intellectual property of demonstrable economic value.Die ISO sagt: Wir nehmen Geld, weil wir können.For this reason, considering the value of standards, their economic and social importance, the costs of their development and maintenance, we and all ISO Members have the interest to protect the value of ISO Publications and National Adoptions, not making them publicly available."Fuck you", sagt die ISO. Wir können Geld nehmen, also tun wir es.Gut, dass wir das mal geklärt haben.
Warum ist das ein Lacher?
Nun, Apple hatte neulich eine Änderung per Dekret verkündet, dass ab jetzt nur noch Apps eine Zulassung kriegen, die Tracking hinter einem Opt-In (also einer expliziten Zustimmung der Anwender) versteckt haben.
Selbstredend ist das der Todesstoß für das Geschäftsmodell von Google und Facebook und co, jedenfalls auf Apple-Plattformen. Facebook hat mit einer fetten Werbe- und Lobbykampagne reagiert und sich vor Gericht gekloppt.
Google hat einfach ihre alten Apps nicht mehr geupdated.
Wie so eine kindliche Trotzreaktion. "Mal gucken, wer mit der Situation zuerst nicht mehr leben kann". Stellt sich raus: Apple kann damit sehr gut leben.
Googles Server hatten jetzt eine Versionsabfrage. Wenn jemand mit einer ewig lang nicht mehr geupdateten App kommt, dann pusht der Server eine Fehlermeldung an die App: Achtung, lieber User, diese App ist alt und wahrscheinlich unsicher. Update mal!
Das ist natürlich in dem Kontext humoristisch ausgesprochen wertvoll :-)
Wow. Gibt es da niemanden, der den Hebel zieht?!
5,6 Milliarden, das ist fast so viel wie dieser Hedgefunds durch die Reddit-Foristen verloren hat! Wat!?!? Das blutet Google mal eben über ein Jahr raus?
Na kein Wunder, dass Google alle Nase lang vielgenutzte und geliebte Dienste zumacht. Ich habe hier gerade die Warnung gekriegt, dass mein Chromebook keine Updates mehr kriegen wird. Damit ist Google der einzige (!) Marktteilnehmer, der es schafft, einen Webbrowser alszuliefern, der keine Security-Patches mehr kriegt. Microsoft macht es besser, Apple macht es besser, Chromium macht es besser, fucking Mozilla macht es besser! Nur Google hält das für ein akzeptables Geschäftsgebahren, Kunden einfach ins Gesicht zu sagen, sie können die Geräte ja gerne weiter nutzen, wenn ihnen ihre Daten darauf nicht so viel wert sind.
Ja toll, Google, dann wandelt mal euer Geld weiter in Wolken um. Per Verbrennung.
Nuvia? Nie gehört? Das könnte daran liegen, dass die noch keine Produkte auf dem Markt gebracht haben. Nuvia ist eines der Startups, die bisher eher durch ein großes Maul aufgefallen sind: Die tollsten ARM-Server-Prozessoren, besser als Intel und AMD!
Da gab es schon mehrere von, bisher alle ein Reinfall. Wieso gibt Qualcomm jetzt also so viel Geld für Nuvia aus? Deshalb:
Gründer und CEO Gerard Williams III war bis Anfang 2020 fast 10 Jahre bei Apple, zuletzt als CPU-ChefarchitekturDie einzigen, die bisher einen wirklich ernstzunehmenden ARM ins Feld geschickt haben, der es von der Leistung her mit Intel und AMD aufnehmen kann, war Apple. Qualcomm kauft hier also nicht ein ARM-Startup, sondern sie kaufen das Knowhow hinter dem Apple-Erfolg.
Wer hätte gedacht, dass es im Prozessormarkt doch nochmal so spannend wird?
Ich finde das jedenfalls gut, wenn wir jetzt ein paar ARM-PCs kriegen. Schön mit Linux drauf, versteht sich.
Jetzt haben sie so halbfertige 10nm-Tech am Start, aber da ist der Ausschuss offenbar so hoch, dass sie damit den Takt nicht so hoch kriegen und nur Hoch-Margen-Produkte fertigen.
Aber so in Sachen "die sind Marktführer" hat man lange nichts überzeugendes mehr von Intel gehört. Das ist normalerweise die Art von Situation, in der Investoren nervös werden, und Aktivisten-Hedgefonds Druck machen, mal den CEO zu wechseln.
Genau das ist auch bei Intel gerade passiert. Der aktuelle CEO muss gehen, ein Typ namens Bob Swan, der mir zumindest bisher noch gar nicht aufgefallen ist. Sein Nachfolger soll der aktuelle CEO von VMware werden, ein Mann namens Pat Gelsinger.
Und DAS ist sowas wie ein Paukenschlag. Pat Gelsinger hat lange Jahre bei Intel gedient und ist da bis zum CTO gekommen. Pat hat da viele der Erfolge zu verantworten.
Insofern, von allen Leuten, die sie da jetzt zum Kapitän des sinkenden Schiffs machen könnten, ist Pat Gelsinger sicher eine der besten wenn nicht die beste Wahl. Pat Gelsinger war bis 2009 bei Intel, ist also gegangen, bevor das aktuelle strukturelle Verkacken im Industriemaßstab losging.
Vielleicht hat Intel doch noch eine Chance?
Wieso würden Google und co eine Chat-App rausschmeißen? Gibt es da nicht Dutzende von?
Parler schreibt sich Zensurfreiheit auf die Fahnen und zieht daher Leute an, die anderswo rausgeflogen sind.
Bei Apple kennt man das ja, dass die sich für die Vorzensur der Inhalte in Apps von Dritten für zuständig halten, die wollen ja auch keine Pornos und Glücksspiel-Apps im Store. Aber Android hatte bisher kein Problem mit Pornos und Glücksspiel in ihrem Store.
Weder Google noch Apple haben Telegram rausgeschmissen, die sich ja auch gezielt an Leute richten, die anderswo rausgeflogen sind.
Wir leben zunehmend in einer Welt, in der uns die Megacorps vor Gefahren "beschützen", die sie häufig selbst verursacht haben. Microsoft gibt euch einen Antivirus, die Verlage schützen euch vor Fake News, die Politik beschützt euch vor "Extremisten", die sozialen Netze beschützen euch vor Hate Speech, Visa beschützt euch vor Wikileaks und Mastercard beschützt euch vor Pornhub. Google und Apple beschützen euch vor bösen Apps.
Und jetzt halt auch: Google und Apple beschützen euch vor Apps, die euch Dinge anzeigen, die Google und Apple für anstößig halten.
Ich frage mich, wie lange das noch dauert, bevor die keine Webbrowser mehr ausliefern, weil man damit zu viele gefährliche Inhalte sehen kann. Wobei, dafür beschützt uns ja die Düsseldorfer DNS-Sperre!1!!
Irgendwie wird die Bedeutung des Wortes Freiheit immer geringer während meiner Lebenszeit. Früher sind Kinder noch zum spielen in den Wald gelaufen. Alleine.
Heute heißt Freiheit, dass du dir aussuchen kannst, für welchen rechten Flügel der CDU du bei der Wahl stimmst.
Ich meine, das ist ja eine legitime Debatte, die man mal führen kann. Wollen wir lieber Freiheit, dann halt auch verbunden mit Risiken? Oder wollen wir lieber gepolsterte Wände an unserer Gummizelle, dafür aber Null Risiko. Essen kommt von Lieferando, Strom kommt aus der Dose, der Müll wird abgeholt, und wohin das Klo abfließt weiß niemand.
Hab ich persönlich ja kein Problem mit, wenn die Leute da draußen lieber in einer Zwangsjacke sediert in der Ecke liegen wollen. Aber nehmt dann nicht das Wort "Freiheit" in den Mund.
Update: Vielleicht fallen mir die Megacorp-Eingriffe gerade besonders stark auf, weil ich Cyberpunk zocke. Da sieht man die Leute zwar nicht sediert in der Zwangsjacke, aber man sieht sie zwischen Müllbergen auf einer Couch sitzen oder in der Gegend herumzucken, eine 3d-Brille tragend, die sie mit unproblematischem Megacorp-Content bespielt, damit ihnen nicht langweilig wird.
Der neue Zwang zu Privacy-Statements ist wohl auch der Grund, dass es von Google keine Updates mehr gibt für ihre Apple-Apps.
Ich habe mich ja schon über die früheren Versuche von Cloudflare öffentlich geärgert, und aus meiner Sicht ist alles, was irgendwo in der Infrastruktur ein Cloudflare beinhaltet, direkt abzulehnen.
Aber ich hab mir das RFC mal angeguckt. Stellt sich raus: Die machen da Onion Routing. Also so ein bisschen. Eine Zwiebel mit nur einer Schicht. Ist wie Tor, nur schlechter.
Nehmen wir mal an, ich will was im DNS nach gucken. Dann hole ich mir aus dem DNS (das RFC liegt bisher nur als Draft vor, und es sagt: ich soll dem nur trauen, wenn es per DNSSEC kam!1!!) den public key von dem Cloudflare-Service. Dann gehe ich zu einem der drei Proxy-Server, der für Europa steht bei Surfnet (in den Niederlanden). Dem drücke ich eine Anfrage in die Hand, über https, aber die Anfrage ist auch nochmal verschlüsselt mit dem pubkey von Cloudflare. Surfnet geht damit zu Cloudflare und Cloudflare hat dazu den private key und kann das entschlüsseln.
Die Idee ist, dass Cloudflare dann nur die IP von Surfnet sieht, nicht von mir.
Cloudflare verschlüsselt dann die Antwort an meinen pubkey, den ich in dem Paket mitgeschickt habe.
Da können wir direkt aufhören, über das Protokoll zu reden. Da steht dann zwar nicht meine IP dran, aber mein pubkey. Das ist genau so eindeutig. Was für Spezialexperten denken sich denn bitte solche Protokolle aus!?
Nun würde man denken, dass im RFC steht: du musst pro Anfrage nen anderen Key nehmen. Steht da aber nicht.
Jetzt stellt sich auch die Frage, wieso da überhaupt ein public key drinsteht. Wir haben ja das Protokoll so entworfen, dass nur Cloudflare die Anfrage entschlüsseln kann. Da hätte ich also auch einfach direkt einen zufälligen AES-Key reintun können und mit dem kommt dann die Antwort verschlüsselt. Der Proxy sieht dann die verschlüsselte Antwort aber sah den Key vorher nicht. Public Key Krypto ist langsam und teuer!
Ich fühle mal wieder alle meine Vorurteile vollumfänglich bestätigt.
Seufz.
Mit so einem gemeinsamen Key kann man übrigens auch "signieren". Machst du ein SHA-256 von den Nutzdaten plus dem Key, den du aber nicht in der Antwort wieder mit rausschickst. Fertig. Sparst du dir auch noch die Signier-Pubkey-Operation.
Da kann niemand was gegen haben, oder? Jedenfalls keine zivilisierte Gesellschaft? Sklaverei ist doch eh schon ewig abgeschafft, oder?
Naja, nee. Hier vielleicht. In den "Wertschöpfungsketten" der Zuliefererindustrie für z.B. Elektronik basiert heute noch viel auf Kinder- und Zwangsarbeit und Sklaverei.
Im Moment wird in den USA ein Gesetz debattiert, das Hersteller für Zwangsarbeit und Sklaverei bei ihren Zulieferern haftbar machen würde, und zwar transitiv (d.h. betrifft auch Subunternehmer der Zulieferer).
Ratet mal, wer mit aller Macht dagegen lobbyiert?
Kommt ihr NIE drauf!
Seid ihr eigentlich auch so froh, dass euer Smartphone-Hersteller einer von den Guten ist? Ich meine, stellt euch mal vor, die wären Teil der Mafia wie alle anderen! Das wäre wirklich schlimm, oder? Da könnte man gar nicht mehr ruhigen Gewissens einkaufen, oder?
Genau mein Humor!
Oder als Ubuntu Werbung einblendete? Der Himmel fiel uns auf den Kopf!
Oder als Mozilla auf ihre Neues-Tab-Seite Werbung gepackt hat? Ein Aufschrei!
Seid ihr eigentlich auch so froh, das Apple die Guten sind? Nicht auszudenken, wenn die die Bösen wären! Meine Güte, all die Daten, die ihr denen gegeben habt!
Trotz massiver Proteste aus Wissenschaft, Wirtschaft und Politik halten die EU-Innenminister an dem Plan fest, die Beihilfe von Dienstanbietern wie Apple, Facebook, Google, Threema, Signal oder WhatsApp zum Entschlüsseln zu fordern.Aber natürlich verlieren sie keine Zeit und lügen euch nochmal direkt ins Gesicht:
"Die Vertrauenswürdigkeit der auf der Verschlüsselungstechnologie basierenden Produkte und Dienstleistungen muss gewahrt bleiben", haben die Ressortchefs zwar noch hinzugefügt.Das ist selbstredend Bullshit. Und zwar völlig offensichtlicher Bullshit. Dass die sich überhaupt trauen, sich so zum Stück Brot zu machen! Wer wählt eigentlich diese Terroristen immer wieder ins Amt?
Und kann heute keine Apps starten, die nicht von Apple kommen?
Deren OCSP-Server ist offenbar down und jeder App-Launch führt zu einem Nach-Hause-Telefonieren zu Apple zu diesem Server, der nicht antwortet.
du musst jetzt ganz tapfer sein. Die großen Mobilfunkanbieter können prima ohne die automatische Verlängerung um 1 Jahr oder mit einer kürzeren Vertragslaufzeit leben. Derzeit gehen Rechnung 1-3 als Provision an den Handyladen - vorausgesetzt der Kunde zahlt diese Rechnungen. Bei Telefonen ist die Handelsspanne eher dünn, insbesondere bei Apple. Wenn die Vertragsbindung abgeschafft wird, dann werden die unabhängigen Händler verschwinden und das Geschäft geht dann vollständig an die großen Handelsketten.Ich frage mich ja bei diesen Telefon-Läden immer dasselbe wie bei den Leuten, die mir Spam schicken, ich soll bei ihnen SEO-Dienstleistungen einkaufen, und bei Versicherungsvertretern:Wir merken Corona ganz deutlich. Wir versenden doppelt so viele Mahnungen wie früher und haben einen haufen Kunden, welche die Telefone geschäftlich nutzen - obwohl wir keine Geschäftskunden haben. Die sind bei den Netzanbietern bereits rausgeflogen. Mit 20k€ Schulden gibt's dann halt die Kündigung. Ohne die Vertragsbindung könnten sich derzeit noch mehr Leute kein Smartphone leisten. Die haben die 250€ nicht flüssig.
Der Artikel verschweigt auch, dass in anderen Ländern 50€ Ablöse bei Kündigung des Vertrages üblich sind. Die Verträge mögen kürzere Laufzeiten haben, dafür kommt man nicht so einfach raus. Kulanzkündigungen gibt es gleich garnicht. Der Artikel vergiss ebenfalls darauf hinzuweisen, dass du in DE auch Prepaid mit Telefonflat bekommst. Wer kein Telefon finanziert haben möchte, hat eine Vertragsbindung von einem Monat. Da Prepaid durch die Vertragskunden subventioniert wird, müssen wir sowas dann halt wieder abschaffen.
Wann hat die SPD schonmal ein Gesetz ohne Fallout verursacht?
Wollt ihr es nicht mal mit ehrlicher Arbeit probieren?
Keinem von denen würde ich auch nur ein Tränchen nachweinen.
Hunter Biden ist der Sohn von Joe Biden.
So, passt auf. Hunter Biden ist in lauter Straftaten verwickelt, und hat die Beweise gegen sich auf einem Laptop gespeichert.
Unverschlüsselt, versteht sich.
Neben einem Haufen Kinderpornos.
Der Laptop geht kaputt.
Biden bringt ihn zum Reparaturservice. Und zwar nicht zu irgendeinem, nein nein! Zu einem, der von einem Trump-Anhänger betrieben wird.
Apple, wir erinnern uns, hat einen offen schwulen CEO. Apple spendet den Democrats eine Größenordnung mehr als den Republicans. Apple unterstützt Black Lives Matter. Was glaubt ihr, wie lange man suchen muss, um einen Apple-Reparaturservice zu finden, der Trump-Anhänger ist?
Apple liefert übrigens seit 2003 Plattenverschlüsselung als Teil des Systems aus. Aber Hunter Biden hat das nicht angeschaltet.
Dieser Reparaturservice sitzt jetzt auf dem Laptop, denn Biden vergisst ihn abzuholen. Den Laptop mit dem Polonium-Kompromat. Vergisst er abzuholen.
Daraufhin macht dieser Reparaturservice, was jeder Reparaturservice an seiner Stelle getan hätte, und zieht sich mal ein Image der Platte und stochert illegal darin herum, findet das Kompromat und die Kinderpornographie und dann geht der Chef des Ladens damit zu seinem alten Kumpel Rudi Giuliani, dem Anwalt von Donald Trump.
Der Reparaturservice ist übrigens in Delaware, beim Wohnsitz der Bidens. Das war daher auch keine Impulshandlung und kein "ich bin auf reisen"-Notfall, dass Biden bei diesem Reparaturservice landet.
Ich dachte erst: Niemand kann so blöde sein, diese Nummer zu glauben. Die ist fraktal unglaubwürdig. Jeder Aspekt davon für sich ist so unglaubwürdig, dass er alleine reichen sollte, nichts davon zu glauben.
Dann dachte ich mir: Doch.
Einer ist so blöde.
Donald Trump.
Also wird der das Ziel gewesen sein.
Daher ist meine Theorie gerade, dass der Biden einen schönen Fake-Laptop mit Fake-Daten gebastelt hat, und dann hat er eine Weile recherchiert, welchem Reparaturservice man das mal geben könnte, damit der Trump sich damit im Wahlkampf so richtig zum Deppen macht.
Das erscheint mir jedenfalls deutlich wahrscheinlicher gerade als dass Joe Biden (Berufspolitiker mit über 40 Jahren Erfahrung, der weiß was Kompromat ist und dass man an seine Datenspuren Hygieneregeln anlegt) und vor allem sein Personal (die beobachtet haben, wie Hillary Clinton über geleakte E-Mails stolperte!) auch nur einen Teilaspekt davon so geschehen lassen würden.
Ich bin kein Fan von Biden, wohlgemerkt. Der ist genau wie Trump viel zu alt und hat Anzeichen von Demenz gezeigt. Keiner von denen sollte Präsident werden können. Aber diese Nummer würdet ihr umgekehrt auch nicht glauben, wenn sie angeblich Jared Kushner passiert wäre.
Darf ich an das Wassersport-in-russischen-Hotels-Dossier über Trump erinnern? Das fandet ihr alle total unglaubwürdig, aber den Scheiß hier nicht?!?
Früher war die Basis von Verschwörungstheorien, dass der Gegner super schlau und übermächtig ist. Heute ist die Basis von Verschwörungstheorien, dass der Gegner der dümmste anzunehmende Vollidiot ist und sich wie frisch lobotomiert verhält. Ich mochte die alten Verschwörungstheorien lieber.
Update: Die Reaktion der Democrats deckt sich übrigens mit meiner Theorie. Die haben nicht etwa "ist alles Lüge" gerufen oder Beweise verlangt, sondern die haben gemacht, was auch ein geschulter Geheimdienst-Agitator getan hätte: Behauptet, die Quelle sei ein russischer Agent. Das beendet die Sache nicht, es befeuert sie noch. Kann natürlich immer noch sein, dass die einfach alle unfassbar dämlich sind. Fast (aber nicht ganz) so schlimm wie Trump und sein Clan von Pleitiers und Blendern.
Update: Übrigens, am Rande. Selbst wenn Hunter Biden schlimme Dinge getan hätte, was hat das mit Joe Biden zu tun? Nun, Joe hat vor einer Weile öffentlich den Rücktritt eines Staatsanwaltes in der Ukraine gefordert. Der war angeblich für die angeblichen Vergehen seines Sohnes Hunter zuständig. Das ist aber eine Lüge, wie z.B. ABC News ausführt:
In that time, he did not prosecute a single person for corruption, despite corruption being a widespread problem, particularly in the energy industry.
Mr Shokin instead allegedly spent his time in office shaking people down for bribes. [...]
The US State Department, the European Union and the International Monetary Fund all urged Ukraine to fire Mr Shokin
Von "Joe Biden macht Druck im Ausland, um seinen Sohn aus der Schusslinie von Ermittlungen zu holen" kann überhaupt keine Rede sein. Aber das wusstet ihr ja vermutlich schon. Denn wieso sollte ausgerechnet DER Aspekt dieser Saga wahr sein, wenn der Rest offensichtlich Bullshit ist. Trump macht keine halben Sachen. Da ist immer alles komplett gelogen.
Update: Die New York Times hat übrigens mal jemanden zu dem Repair-Shop geschickt. Ergebnis:
Mr. Isaac said in an interview with The New York Times last week outside the shop that he is legally blind and could not be sure whether the man was Hunter Biden but asked his name to fill out a work order, and the man identified himself as Hunter Biden.
Whoa, Alter, wenn DAS kein Slam Dunk Case ist, dann weiß ich auch nicht!1!!
New hotness: Apple-Apps sind von die Privatsphäre schützenden Firewall-Regeln ausgenommen.
Ich stelle mir bei sowas immer vor, wie groß der Aufschrei gewesen wäre wenn Microsoft das vor zehn Jahren oder so gebracht hätte.
Bei der Gelegenheit möchte ich darauf hinweisen, dass der Security-Chip damit eine zusätzliche, vorher nicht vorhandene Angriffsoberfläche geschaffen hat, und die sich als angreifbar herausgestellt hat.
Das ist bei Antiviren seit vielen Jahren eine meiner Kernthesen, dass das so ist, und die, bei der ich am meisten Gegenwind kriege (obwohl das ja völlig offensichtlich ist). Es gilt auch bei anderen Security-Technologien und ist eines der am häufigsten ignorierten Risiken.
Das heißt nicht, dass alle Security-Technologien Schlangenöl sind, aber der Nutzen muss unter dem Strich halt höher als die neuen Risiken sein. Wenn jemand an der Stelle schon anfängt, Risiken zu ignorieren oder kleinzureden, dann solltet ihr ab dann keiner anderen Aussage aus derem Munde mehr trauen.
Hey seid ihr auch so froh, dass Apple die Guten sind?
Ich mag mir gar nicht ausmalen, was die tun würden, wenn sie die Bösen wären!
Encrypted email provider ProtonMail says that Apple forced it to monetize its app, which was on the App Store for more than two years without in-app purchases. It also claims that when it tried to inform its customers of the sudden change, Apple blocked it from posting app updates and threatened to remove it from the store.Schöne App haben Sie da! Wäre ja schade, wenn der etwas zustöße *Finger über der Löschknaste kreis*
Wir bieten ein Zahlungs-'Gateway' an, also einen Router der zwischen PSPs (Payment Service Providern) und acquiering Banks steht. Wir nehmen 4 Dollar Cent pro Transaktion, für große Kunden weniger. PSPs können also einem Händler wie Epic ergo nur weniger als 4 Cent verrechnen, damit sich das für sie rentabel ausgeht. Der Acquirer verlangt weder von PSP noch Händler was, für ihn fallen also keine weiteren Kosten an.Ich hatte im Apple-vs-Epic-Beitrag "5 bis 10 Cent" geschrieben. Das hatte ich ergoogelt und nach oben gerundet, weil das Argument ja war, dass die Zahlungsdienstleister so teuer sind, und ich die Fakten daher lieber möglichst positiv für das zu untersuchende Argument auslege, wenn dann immer noch rauskommt, dass 30% eine Frechheit sind.
Bezahlen kann man bei uns mit allen gängen Kreditkarten + einem Haufen lokaler Zahlungsmethoden wie iDeal etc.
Die 4 Cent sind übrigens im zeitlichen Verlauf fallend.
Epic Games' Unreal Engine is critical technology for numerous game creators including Microsoft.Für die ist es auch kritisch, in den App Stores zu publizieren. Die werden also gerade zwischen den Fronten der geldgierigen Milliardäre aufgerieben.Es geht gerade das Narrativ um, die 30% seien ja voll das Schnäppchen. Darauf will ich noch kurz eingeben. Einer schrieb mir, Apple zahle ja die Umsatz/Mehrwertsteuer, das sei der Großteil der 30%. Das ist meines Wissens Bullshit. Das andere Argument war, dass man ja im Supermarkt Aufladekarten kaufen kann, die regelmäßig weniger kosten als der Wert der Aufladung, und dieser Rabatt kommt dann halt aus den 30%. Die Aussage ist valide, aber hat ein großes ABER dran. Komme ich gleich zu.
Dann kam noch das Argument, die Payment-Mafia greife ja auch immer kräftig zu, und im Vergleich dazu seien die 30% kein so großes Ding. Ich habe noch keinen App Store betrieben, aber hier ist mein Verständnis der Sachlage. Man hat beim Bezahlen Fixkosten pro Transaktion, sowas wie 5 bis 10 Cent pro Transaktion (das ist aber ein guter Deal für wichtige Bestandskunden, sowas wie der App Store). Dazu kommen je nach Kreditkarte 1-3% des Transaktionswertes. Zum Vergleich: Paypal sagt an, dass sie 35 Cent pro Transaktion plus 2,49% des Transaktionswertes haben wollen (geht wohl runter bis 1,49% bei Großabnehmern).
Der Punkt ist: Wenn die Leute für jede 99-Cent-App einzeln per Kreditkarte zahlen, frisst dir der Payment-Provider in der Tat die Haare vom Kopf und die 30% bei Apple sehen nicht so schlecht aus.
Da kann sich der App Store Provider gegen wehren, indem er Konten führt und dich größere Beträge einzahlen lässt und dann per Dark UI dafür sorgt, dass man nicht weniger als 10 Euro auf einmal einzahlt. Was dich als App Store umbringt sind ja nicht die Prozente sondern die Fixkosten pro Transaktion. Zusätzlich kann der App Store Betreiber auch einen Deal mit Supermärkten machen und dann an der Kasse 10-Euro-Aufladekarten verkaufen. Dann hat er das Risiko für Zahlbetrug an den Supermarkt weitergereicht und zahlt unter dem Strich sowas wie 5% glaube ich (habe da aber keine belastbaren Zahlen gerade).
Und jetzt kommen wir zu dem angekündigten ABER von eben: Supermarkt ist mit Rabatt immer noch günstiger als Einzelpayment per Paypal. Insofern ist das Argument zwar technisch richtig aber nicht weiterhelfend.
Mein Punkt ist: Wenn du Dinge verkaufen und dafür bezahlt werden willst, werden sich immer Dutzende von Leuten auf dem Weg zwischen Kunde und dir an deiner Transaktion zu bereichern versuchen. Das ist allerdings kein App-Store-Problem. Wenn es denen gelingt, Zahlungen zu aggregieren (der Supermarkt z.B. wird dir nicht jeden Kauf einzeln überweisen sondern einmal pro Woche oder Monat oder so), sinken für die die Kosten. Wenn also Apple selbst ins Zahlungsbusiness einsteigt, dann u.a. um für ihre App-Store-Bestellungen die Mittelsmänner rauszuschmeißen. Glaubt mal gar nicht, dass die 30% in einer realistischen Relation zu deren Payment-Kosten stehen.
Aber Fefe, was ist denn mit Betrug? Ja, Betrug ist immer Scheiße, aber moderne Fraud Detection hat die Eintrittswahrscheinlich massiv gesenkt, nicht zuletzt durch Kundengängelung. So kann ich auf Geschäftsreisen regelmäßig mit meiner europäischen Kreditkarte nichts online bestellen im Zielland. Und die Aufladekarten-im-Supermarkt-Nummer senkt das Fraud-Risiko auf Null für den Kartenherausgeber. Für Visa habe ich Zahlen für 2014, da war die Fraud-to-Sales-Ratio 0,045%.
Bleibt noch der Rest der Ausgaben, die das Betreiben so eines App Stores beinhaltet. Technische Infrastruktur, Kundensupport, Qualitätssicherung, etc. Ja, das kostet alles Geld. Aber nicht 30% der Einnahmen. Und, mit Verlaub, so viel Malware wie in den Stores immer wieder durchrutscht, glaube ich denen ihr Blablah von wegen Qualitätssicherung nicht. Was die prüden Amis wirklich wegqualitätssichern sind Pornos. Alles andere kommt regelmäßig durch. Bei Android kann man die Suchfunktion praktisch nicht benutzen, weil du zu jedem bekannten App-Namen ein paar Dutzend Malware-Betrüger unter dem selben Namen als Ergebnis kriegst.
Mein Fazit bleibt daher: 30% sind Freudenhauspreise, das ist elende Abzocke. Auf der anderen Seite ist es auch eine Quersubvention des Aufwandes für die Klein-Apps durch die Groß-Apps. Dass dann die Groß-App-Anbieter irgendwann rebellieren, das schockiert hoffentlich niemanden.
Was ihr nicht sagt! Epic ist die Firma, die den Markt über Exklusivtitel für ihren Steam-Klon zu manipulieren versucht, und dann anderen Firmen Marktmanipulation vorwirft. Epics Geschäftsmodell ist es, Kiddies über fiese Glücksspiel-Tricks Kohle aus der Tasche zu ziehen. Epic sind alles andere als die Guten, egal aus welcher Perspektive man auf die guckt.
Wenn sie gegen Apple kämpfen, feuere ich sie trotzdem an. Das ist so eine Situation wie wenn die Amis im 2. Weltkrieg Stalin anfeuern, wenn er sich mit Hitler Schlachten liefert.
Am schönsten hat das bisher dieses 12-Minuten-Youtube-Video auf den Punkt gebracht.
Nur weil ich Epic gegen Apple anfeuere, heißt das keinesfalls, dass ihr da jetzt eine Seite wählen und euch instrumentalisieren lassen solltet. Beide Seiten wollen euch so doll sie können abzocken. Die streiten sich gerade darüber, welcher Milliardär mehr von der abgezockten Kohle behalten darf. Nur um euch mal eine Größenordnung zu geben: Apple hat Epic bei Fortnite angeblich 360 Mio Dollar aus der Tasche gezogen. Bei einer Quote von 30% heißt das, dass Epic den Kiddies da draußen 1,2 Milliarden Dollar aus der Tasche gezogen hat — und das nur auf Apple-Geräten! Das muss man sich mal auf der Zunge zergehen lassen, von was für Dimensionen wir hier reden.
Und glaubt mal nicht, dass da irgendjemand freiwillig zahlt! Hier hat Forbes mal die Tricks beschrieben. Das machen die mit euren Kindern. Die verbrennen dann ihr Taschengeld darauf, weil sie professionell ans Casino herangeführt werden. Während der physische Zutritt zu einem echten Casino für Minderjährige verboten ist, und der Staat sich bemüht, Online-Glückspiel zu regulieren, ist diese Art von professionellem psychologischen Anfixen bisher unterhalb des Radars der Politik.
In diesem Sinne sitze ich mit Popcorn auf der Tribüne und hoffe, dass Epic Apples Abzocke beendet, und dass dann jemand anderes kommt und Epics Abzocke beendet.
Und das dann eines Tages der Staat kommt und diese beiden Schweinebranchen mal so richtig durchreguliert. Am besten alle Nachkauf-Geschäftsmodelle plattmachen, inklusive DLCs, und wenn wir schon dabei sind, auch direkt Vorverkauf plattmachen, inklusive In-Game-Boni.
Ist euch zu krass? OK, Kompromissvorschlag. Wie bei Alkohol und Zigaretten. 500% Steuern draufpacken. Und die psychologischen Anfixtricks unter Strafe stellen.
Ich finde das übrigens auch verbietenswürdig, wenn kein Geld fließt. Ob jetzt jemand im In-Game-Store für erspielte In-Game-Currency immer wieder den Hebel zieht, bis das ultra-rare Sammelitem kommt, oder ob der in der Kneipe am einarmigen Banditen immer wieder den Hebel zieht, bis der Einsatz verzockt ist, das ist für mich gleich verachtenswürdig.
Aber das ändert alles nichts daran, dass jetzt erstmal Apple einen in die Fresse verdient hat.
Das Geschäftsmodell von Fortnite ist, dass das Spiel selbst kostenlos ist, aber die Spieler dann im Spiel Geld für Upgrades ausgeben sollen. Apple (und Google!) haben da ein pauschales Monopol-Schutzgeld in Höhe von 30% verhängt. Wer bei denen im App Store was verkaufen will, muss 30% an Apple oder Google rausbluten. Eine groteske Situation, von der ich mich seit Jahren frage, wieso die Kartellämter da nicht mal mit dem großen Vorschlaghammer draufkloppen.
Jetzt hat Epic jedenfalls den Aufstand gewagt und im Game eine alternative Kaufmöglichkeit für die Gegenstände angeboten, bei der die 30% Kommission wegfallen.
Apple hat umgehend reagiert und Fortnite aus dem App Store geschmissen. Epic hatte für den Fall schon dieses schöne Video produziert, das Apples legendären Anti-IBM-Werbespot aus dem Jahre 1984 referenziert.
Und dann hat Epic noch eine Klage gegen Apple eingereicht.
Nun würde man sich denken, hey, Google ist Konkurrent von Apple, die freuen sich bestimmt, wenn Apple schlechte Presse kriegt. Weit gefehlt! Google hat Epic auch aus ihrem Play Store rausgeschmissen.
Ich hoffe inständig, dass ein Gericht kommt und die Kommission auf sagen wir 0,5% Maximum festlegt. Das ist so eine unglaubliche Frechheit, was Apple und Google da tun, das ist schon lange überfällig, dass das Geschäftsmodell mal entkernt wird.
"The quality assurance of Skylake was more than a problem," says Piednoël during a casual Xplane chat and stream session. "It was abnormally bad. We were getting way too much citing for little things inside Skylake. Basically our buddies at Apple became the number one filer of problems in the architecture. And that went really, really bad."When your customer starts finding almost as much bugs as you found yourself, you're not leading into the right place."
Schade dass das nur B2B funktioniert. So viele Qualitätsprobleme wie es mit Apple-Software gibt...Der Typ, der das sagt, war übrigens früher bei Intel fürs Engineering zuständig. (Danke, Ralph)
Wenn es um Corona ginge, hätte man da auch einfach einen entwickeln lassen können und alle anderen nehmen das dann. Ist ja bei Open Source auch lizenztechnisch kein Problem.
Ich als ewiger Optimist hoffe aber trotzdem, dass die App versehentlich auch gegen Covid-19 hilft. Von der Akzeptanz her sieht die App ja gar nicht mal so schlecht aus mit inzwischen angeblich knapp 10 Mio Installationen. Und das trotz aktueller Meldungen wie dieser, dass die Geheimdienste jetzt endlich Staatstrojaner-Befugnis bekommen sollen. Das würde ja eher dagegen sprechen, irgendwelchen Apps irgendwelcher Behörden zu vertrauen. Merken die eigentlich nicht, wie viel Vertrauen sie jetzt schon verloren haben?!
Update: Einen Punkt würde ich an dieser Stelle noch gerne machen. Open Source ist schön und gut, aber nicht hinreichend. Wer sagt denn, dass die App, die man aus dem App Store installiert kriegt, auch aus dem Quellcode kommt? Eigentlich müsst jeder von euch selber aus dem offenen Quellcode die App bauen und auf sein Telefon spielen, was aber natürlich Google und Apple nicht zulassen, weil die ja gerne ihr parasitäres App-Store-Schutzgeldgeschäftsmodell ("Schöne App haben Sie da! Wäre ja schade, wenn die Leute die gar nicht installieren können! Geben Sie uns mal 30% Ihres Umsatzes!") weiter fahren möchten. Und das geht ja nicht, wenn sich die Leute selber Apps installieren dürfen! Wieso hat das eigentlich das Kartellamt noch nicht unterbunden?
Bliebe noch der Weg, dass ihr die App selber baut und dann vergleicht, dass die App aus dem App Store identisch ist. Doch das ist technisch kein Selbstläufer und auch da legen Google und Apple absichtlich Steine in den Weg.
Tja und wenn jetzt der Staat kommt und selber ein Schutzgeldgeschäftsmodell gegen Google und Apple fährt ("Schönen App store haben Sie da! Wäre ja schade, wenn der in unserem Land verboten wäre! Hier, liefern Sie mal diese Malware aus!"), dann geht das ja am Ende auch immer alles zu Lasten des Bürgers. Für uns Bürger kämpft ja leider niemand.
Die Lage ist nicht völlig aussichtslos. Man kann z.B. sehen, was die App alles können will. Da hat leider Google auf ganzer Linie verkackt und auf älteren Android-Versionen (älter als 9 habe ich gehört) kommt da "will Location-Daten haben". Das hilft also nicht, im bösartige Profilbildung zu verhindern.
Bleibt noch die Möglichkeit, dass man stichprobenhaft die App aus dem App Store holt und von Experten vergleichen lässt. Damit sind wir aber auch wieder nicht viel weiter, denn wir haben nur "du musst Google/dem Staat vertrauen" gegen "du musst dem CCC-Experten vertrauen" ausgetauscht. So ganz kriegt man das Vertrauen Müssen nicht weg, denn die Tools, mit denen man solche Analysen macht und Apps baut, die kommen ja auch von irgendjemandem, dem man vertrauen muss. Aber schön ist das nicht.
Bleibt noch die Frage, ob die Geheimdienste vielleicht Google zwingen, ihre Hintertüren nur gezielt auszurollen. Damit wären Stichproblem umgangen, außer einer der Stichproben-Downloader ist auf der Liste der Geheimdienste. Ist alles nicht so einfach.
Update: Oh und dann gibt es natürlich noch das Problem (jetzt vielleicht nicht bei der Corona-App aber bei anderen), dass die App einmal pro Woche ein Update erfährt. Da wird das Fenster für Aussagen über die Vertrauenswürdigkeit einer bestimmten Version sehr schnell sehr klein.
Die TÜVit hat mal geguckt und fand dabei eine Schwachstelle in der TAN-Generierung. Damit hätte man das Backend angreifen und möglicherweise überlasten können. Ist ein valider Fund. Allerdings kein sonderlich beunruhigender. Schlimm wäre gewesen, wenn man über die App das Smartphone kompromittieren könnte, oder wenn man Daten deanonymisieren könnte, oder Benutzerprofile erstellen könnte. Dass die diese Lücke melden und keine der anderen, das ist ein gutes Zeichen für die App.
Die zweite gerade kursierende Meldung über die App in der FAZ, die sich damit ihr Loch noch ein bisschen tiefer gräbt. Überschrift: "Forscher entdecken Sicherheitslücke bei Corona-App". Klingt komisch. "bei" der App. Die meinen bestimmt "in" der App. Nein, meinen sie nicht. Das ist bloß die übliche Schlagzeilen-Irreführung, damit ihr denkt, sie hätten über eine Lücke in der App berichtet, wenn ihr nur Schlagzeile und Anreißer lest. Hier ist der Anreißer:
Durch die Lücke lassen sich sensible persönliche Daten einsehen und verändern.Das wäre ein Totalschaden.
Was steht denn im Fließtext?
Das Problem liege im sogenannten Google-Apple-Protokoll (GAP), einer Schnittstelle zum Betriebssystem.Ja, äh, das ist dann ja wohl keine Sicherheitslücke in der App.
Dazu nutzten die Wissenschaftler einen Code, der jenem, der in den Betriebssystemen von Apple und Google verwendet wird, sehr ähnlich ist.Und sie haben das Problem nicht mal am tatsächlichen Code nachweisen können sondern in einer Simulation eines Nachbaus.
Angreifer könnten die sogenannten Bluetooth-Benutzer-IDs, die von einer Kontaktnachverfolgungs-App erzeugt werden, sammeln und zu Orten umleiten, obwohl sich die Person, die hinter den Daten steckt, dort nie aufgehalten hat.*gähn*
Aber wartet, geht noch weiter!
Außerdem war es ihnen möglich, in einem bestimmten Gebiet die Bewegungen einzelner Personen detailliert zu rekonstruieren. Zwar brauche es dazu technische Hilfsmittel, sagte Freisleben. Aber man müsse auch sagen, dass es Telekommunikationsunternehmen oder anderen Konzernen, die über entsprechende Daten verfügten, jetzt schon möglich sei, Bewegungsprofile zu erstellen.Mit anderen Worten: Sie haben gar nichts.
Halt, halt, noch nicht weggehen, es gibt noch ein Sahnehäubchen:
Die Gefahr, dass die Unternehmen dadurch Zugriff auf medizinische relevante Daten der hiesigen Nutzer erhalten könnten, sei nicht auszuschließen.Bingo! Mehr Bestätigung der Vorwürfe von Rezo geht gar nicht. Irreführendes Verschwörungs-Geraune statt recherchierten Fakten.
Update: Das heißt nicht, dass die App gut ist. Ich habe die nicht angeguckt. Die öffentlich kommunizierten Designziele der App waren gut.
Update: Hier ist die Pressemitteilung der TU Darmstadt zu der FAZ-Meldung, und da steht:
Forschungskonsortium belegt Risiken in Google- und Apple-Spezifikation für Corona-Apps
Eine ganz andere Aussage! Das Paper dazu findet ihr auf arxiv.org.
Apple, Google and hundreds of privacy advocates have raised concerns that this risks hackers or even the state itself being able to re-identify anonymised users, and thus learn details about their social circles.But NHSX has consulted ethicists and GCHQ's National Cyber Security Centre (NCSC) on the matter, and believes safeguards are in place to minimise the risk of this happening.
Oh ach SO ist das! Wenn GCHQ das sagt, dann wird das wohl stimmen!1!! (Danke, Tim)
The vulnerability allows remote code execution capabilities and enables an attacker to remotely infect a device by sending emails that consume significant amount of memory (Danke, Frank)
Inzwischen klang das ja an einigen Stellen so, als seien da Dinge in die Wege geleitet worden, Entscheidungen getroffen worden.
Das war alles genauso virtuell wie der Plan der Regierung zur Sicherstellung der Renten. Money Quote:
eine Vergabe der Entwicklung einer dezentral speichernden #ContactTracingApp an SAP u TSystems ist noch gar nicht erfolgt. Eine Direktvergabe wg Dringlichkeit ist geplant.Oh, ach?
ein Vertrag existiert genauso wenig, wie eine Schätzung der Kosten. Nicht mal ungefähr. […] Für die Entwicklung eines Prototyps der zentralen Variante waren 600.000€ an Fraunhofer geflossen.Wieso denn überhaupt SAP und T-Systems? Dazu hier ein prophetischer Leserbrief dazu. Und was war wirklich? Das hier:
Warum SAP u T-Systems? Antwort BuReg:Das mit der Hotline ist besonders geil. Die wollen vermutlich nicht, dass ihre eh schon völlig überlasteten Bürgertelefone jetzt Coronafragen erklären müssen. Das soll mal lieber die DTAG ihre völlig überlasteten Billiglohn-Callcenter mitverkacken lassen.
- große Industrieplayer, die auf Augenhöhe mit Apple/Google reden können
- Infrastrukturkompetenz
- Fähigkeit, eine 24/7 Hotline zu schaffen.
Andere Fragen im Raum waren noch, ob es denn jetzt ein Gesetz geben wird. Ansage der Bundesregierung: Nein. Das heißt erstens: App ist optional. Zweitens: Du wirst auf Arbeit wahrscheinlich nicht reinkommen ohne App, sie ist also doch nicht optional.
Und auch der Rest der bisherigen Aussagen war schlicht gelogen.
Auf meine Frage, wer im Kanzleramt die schwierigen u Druck ausübenden Gespräche mit Apple geführt hätte, von denen häufiger die Rede war, kam die überraschende Antwort: niemand. BMG? auch niemand. Nur bei Fraunhofer hätte es Apple Kontakte gegeben.LOL!
Bleibt noch eine Voraussage von mir: Dass das zu viele Player sind, als dass das zeitnah fertig werden kann.
Apropos: einen neuen Zeitplan gibt es nicht, auch keinen ungefähren.Das sehen die offenbar auch so.
Boos hofft darauf, dass Apple und Google auch für zentralisierte Apps eine Schnittstelle bereitstellen [… wollen die aber nicht, weil das totalitären Staaten Tür und Tor öffnet …] Chris Boos sieht ein solches Vorgehen als Erpressung, spricht davon, dass Google und Apple demokratischen Regierungen nicht vorschreiben sollten, wie sie ihre Apps entwickeln.OK. Letztes Mal wollte ich mich zu Boos noch nicht allzu negativ äußern, weil ich über den nichts wusste. Aber jetzt reicht mir das. Der Typ betreibt eine Firma, die der Politik seit Jahren KI als Allheilmittel reinzuschlangenölen versucht. Die Entscheidung der App sehe ich daher als Profitmaximierungsabsicht für sein Geschäftsmodell. Jetzt so zu tun, als sei das die Entscheidung einer demokratischen Regierung (die haben aus mir völlig unerfindlichen Gründen eben nicht entschieden sondern Leuten wie ihm die Entscheidung überlassen, unter der Annahme, dass er sich nach dem Wohl der Bevölkerung richten würde), ist aus meiner Sicht mindestens irreführend wenn nicht gar offen gelogen.
Das sagt er auch selber:
Boos sagt dazu, dass mit einer zentralisierten App mehr epidemiologische Daten bereitstehen würden, mit denen Institutionen wie das Robert-Koch-Institut arbeiten könnten.Ja nee klar. Oh und ... wer noch? Ja richtig! Seine Firma, die zufällig KI-basierte Automatisierungslösungen für Big Data in der Cloud anbietet!
Ich unterstelle dem nicht Bösartigkeit. Vielleicht merkt der das gar nicht selber. Wer einen Hammer hat, für den sehen alle Probleme wie ein Nagel aus. Aber offensichtlich hätte man dieses Konsortium in die Hände von jemandem geben sollen, bei dem das Problemfeld noch andere Dimensionen als "wie kriege ich möglichst viele Daten für meine Auswertungen" hat.
Ich dachte mir, ich skizziere mal kurz, wie man da rangehen würde, damit ihr versteht, was das Problem ist.
Nehmen wir also mal an, Bluetooth ginge nicht durch Wände und mein Telefon hätte Daten darüber, welche Geräte in den letzten zwei Wochen im Radius von 2m waren.
Aus Datenschutzgründen speichern wir nicht die echte ID des Gerätes, sondern dein Handy generiert für jedes 2m-Radius-Ping ein neues zufälliges Token. Das Token wäre so, dass dein Gerät es wiedererkennen kann, aber sonst niemand es deinem Gerät zuordnen kann. Wenn du jetzt herausfindest, dass du dir Covid eingefangen hast, dann gehst du mit der Liste der Tokens der letzten beiden Wochen zu einem Server und lädst sie dort hoch.
Da haben wir das erste größere Privacy-Problem. Der Server sieht deine IP und dass du infiziert bist. Das ist schonmal nicht gut. Aber nehmen wir mal an, das ginge irgendwie, vielleicht über Tor anonymisiert.
Wie teilt denn der Server jetzt den Betroffenen mit, dass sie ein Problem haben? Die Tokens konnte man ja nicht zuordnen! Das war ja absichtlich so designed.
Also müsste man das so machen, dass alle Geräte periodisch auf dem Server die Liste aller Tokens abholen, und dann gucken, ob sie betroffen waren. Das wären sehr schnell sehr große Downloads. Das ist also auch kacke. Man würde also lieber ein System basteln, indem die Tokens zwar nicht direkt zuordnungsfähig sind, aber wo man bei der Abfrage einen Wert hochlädt, anhand dessen dann der Server die Tokens identifizieren kann, die mich betreffen. Diesen Wert könnte man z.B. im Telefon täglich oder stündlich neu vergeben, um die Zuordnung zu erschweren. Aber wenn wir das machen, dann kann der Server sehen, ob ich infiziert bin, weil die Antwort an mich nicht leer ist.
Das ist also auch Mist. Die offensichtliche Lösung wäre, entweder auch über Tor zu gehen (das kann man bandbreitentechnisch mal vergessen, das würde das Tor-Netz vermutlich krass überfordern). Oder man baut in die Daten der Infizierten auch lauter "blinde" Tokens ein, die "nicht infiziert" heißen, aber das kann nur das Endgerät des Betroffenen sehen. Dann müssten aber alle Endgeräte die ganze Zeit immer zwei Tokens hochladen, das Blind-Token und das echte Token, damit der Server nicht sieht, welches welches ist. Das wäre vom Traffic und dem Speicherplatz für die Datenbank her prohibitiv teuer.
Ich sehe da ehrlich gesagt nicht viel Luft für eine datenschutzrechtlich einwandfreie Lösung.
Da muss man schon echt die Augen zukneifen und viel mit den Händen herumwedeln, um sich von der nervigen Realität abzulenken. Da kommen dann so Modelle wie "Ja gut, aber die IP speichern wir ja nicht, das wäre ja böse. Vertrauen Sie uns. Wir sind die Guten." raus. Oder "wir machen das mit Google/Apple/Vodafone/Telekom, die haben eh eure Daten". Ja super.
Bleiben so Modelle wie "wir zwingen einfach die Telcos dazu, diesen Traffic kostenlos zu machen". Oder "Wir teilen das in zwei Teile auf; Google macht den einen, Apple den anderen. Der Kapitalismus schützt uns dann schon davor, dass die Kartellbildung machen." Mag sein, aber der Kapitalismus schützt uns nicht davor, dass Hacker bei beiden einbrechen oder dass der Staat einfach per Durchsuchungsbeschluss bei beiden die Daten rausträgt und verknüpft.
Update: Eine Krypto-Lösung ist einem Kumpel noch eingefallen. Man macht das so, dass man die Tokens mit einem Pseudozufallszahlengenerator generiert. Die funktionieren so, dass man sie mit einem (hoffentlich tatsächlich echt zufälligen) Zufallswert füttert und der Rest der augespuckten Werte sieht zufällig aus und ist auch praktisch nicht vorhersagbar, wenn man nicht den Initialwert kennt. Das könnte man nutzen, indem man im Infektionsfall den Seed veröffentlicht, und die Tokens bleiben auf den Endgeräten. Dann könnte mein Handy vom Server die Liste der Seeds holen und gucken, ob es damit irgendwelche der gespeicherten Tokens generieren kann. Nachteil: Das wäre eine sehr akkuunfreundliche Operation. Und man müsste die Initialwerte einmal pro Woche neu auswürfeln, damit nicht beliebig lange in die Vergangenheit Treffer rausfallen würden.
Update: Man kann da noch Bandbreite optimieren, z.B. mit einem Bloom-Filter. Wenn ihr davon noch nie gehört habt, googelt das mal. Das zum ersten Mal erklärt bekommen löst in manchen Menschen eine religiöse Erfahrung aus :-)
Da der Hebel so hoch ist (jedes Endgerät im Land einmal pro Tag) ist das aber immer noch sehr viel Traffic.
Update: Liebe Leute, der Punkt dieses Beitrags war nicht, eine Lösung zu finden. Der Punkt war, euch ein Gefühl dafür zu geben, was da so ein paar der Dimensionen des Problemraums sind. Mein Eindruck ist, dass im Moment viele Leute so „mein Cousin kann PHP, der hätte da schon längst was gehackt” drauf sind, und gar nicht verstehen, wieso man da überhaupt so lange berät und wieso da nicht einfach kurz jemand was hackt.
Das kann mir doch keiner erklären, dass sie das in Frankreich machen aber hier nicht? Wieso sind unsere Kartellbehörden eigentlich solche Schnarchnasen?
Rian Johnson, the writer and director of "Knives Out," revealed that Apple will permit film productions to use its products onscreen, but bad characters can't have an iPhone on camera.Nee, Schatz, der Butler ist nicht der Mörder. Der kann es nicht sein! Der hat ein Iphone.
ich war 2001 bis 2006 bei Siemens (zum Schluss BenQ) als Entwickler in der Handy-Sparte beschäftigt. Am Produktionsstandort Kamp-Lintfort gab es auch Taschendurchleuchtung und Ausgangskontrolle. Das wurde ganz selbstverständlich außerhalb der Arbeitszeit (nach dem "Ausstechen") durchgeführt, und nach meiner Kenntnis gab es da nie große Beschwerden oder gar Gerichtsverfahren von Seiten des Betriebsrats oder so gegen.Und jemand anderes bestätigt das:
Das ist bei uns im Konzern auch so. Taschenkontrolle findet stichprobenartig am Werkstor statt, da hat der Mitarbeiter aber blöderweise schon ausgestempelt. Pech gehabt, ist ja seine Freizeit.Alter Schwede! Bei was für furchtbaren Firmen arbeitet ihr denn da? Und was macht der Betriebsrat so beruflich?
Apple muss Retail-Angestellten den Zeitaufwand für Taschendurchsuchungen nach Schichtende entlohnen, wie der oberste Gerichtshof von Kalifornien entschied.What the FUCK? Das stand jemals zur Debatte? Und das musste bis zum obersten Gerichtshof!?!?
Habt ihr die gekauft, weil Apple mit ihrem Trackingschutz Werbung gemacht hat?
Dann habe ich schlechte Nachrichten für euch. Der funktioniert nicht nur nicht, der ist kontraproduktiv.
Apple erinnert langsam so ein bisschen an Intel. Da sind ja auch alle Innovationen der letzten Jahre nach hinten losgegangen.
Entwickler von Kinder-Apps hatten zuvor beklagt, das neue Regelwerk sei zu unspezifisch und mache Geschäftsmodelle wie eine Werbefinanzierung praktisch unmöglichJa genau! Das ist die Idee, ihr Übeltäter! Ihr solltet keine werbefinanzierten Apps für Kinder schreiben, ihr solltet in Isolationshaft im Knast sitzen.
Jedenfalls, Apple, wir erinnern uns, der Hüter der Moral, Ritter der Rechtschaffenheit, Beschützer der Kinder, was taten die? Na klar!
Es gibt aber neue Vorgaben für Anbieter: Kinder-Apps sollten für ein "sichereres Erlebnis" auf Werbung und auf Analyse-Tools verzichten, schreibt Apple nun in den App-Store-Richtlinien, beides könne in "begrenzten Fällen" aber erlaubt werden.Denn es stellt sich raus: Wenn man Schmarotzern das Geschäftsmodell wegnimmt, dann kann man auch nicht mehr die 30% Schutzgeld abgreifen, die man den auf der Plattorm gefangenen App-Entwicklern aus den Rippen schneidet.
Apple ist also noch schmieriger und noch ekliger als die Schleimbolzen, die werbefinanzierte Software für Kinder schreiben. Gratulation. Da willste doch Kunde werden!
Ich frage mich ja manchmal, was der Tim Cook eigentlich nachts zuhause mit seinem Partner macht, wenn die Puritaner so dermaßene Angst vor Sex haben. Es ging ja hier nie um die Kinder. Es ging darum, dass Apple auf einem Kreuzzug gegen nackte Haut ist. Ich vermute wegen einer krassen Psychose der Geschäftsführung. Oder fällt jemandem eine rationale Erklärung ein?
Nein, die App kommt nicht von mir. Nein, die haben vorher nicht gefragt. Nein, ich finde das nicht gut.
Sollte ich dagegen vorgehen? Gute Frage. Muss ich mal drüber nachdenken.
Der Beißreflex ist natürlich da. Auf der anderen Seite verkaufen die kein Abo, und natürlich hat die App nichts, was man nicht auch im Browser hat.
Ich sähe ehrlich gesagt akuteren Handlungsbedarf, wenn jemand eine App mit meinen Inhalten anbietet, die dann Werbung einblendet.
Auf der anderen Seite besteht natürlich die Gefahr, dass ich Nachahmer einlade, wenn ich da jetzt nicht verbrannte Erde hinterlasse.
Alles nicht so einfach.
Update: Jetzt sind offenbar alle Fefe-Apps weg, auch die ganzen kostenlosen Fan-Apps. Gut, kann ich mit leben, aber zur Klarstellung nochmal die Policy:
Kostenlos und ohne Werbung: Geduldet. Open Source, kostenlos und ohne Werbung: OK. Alles andere: Nicht OK. Insbesondere alle Kombinationen aus "kostet Geld", "in-app purchases", Werbung und Tracking.
Wenn du nicht findest, dass die Leute verdient haben, deiner Hände Arbeit kostenlos verwenden zu dürfen, dann hast du auch nicht die Erlaubnis, meiner Hände Arbeit kostenlos für deine kommerzielle App verwenden zu dürfen.
Ein Monopol für sich genommen ist nicht schlimm, solange es nicht missbraucht wirdAch SO ist das! Gut, dass wir das mal geklärt haben!
Bonus: Natürlich sind alle Schuld — nur wir nicht. Klar.
The first person was like “I don’t know why, but I swear we’re not discriminating, IT’S JUST THE ALGORITHM”. I shit you not. “IT’S JUST THE ALGORITHM!”.Hätte uns doch nur jemand vorher warnen können, dass ab jetzt immer der Algorithmus Schuld ist und kein Mensch mehr! Tja, da kann man dann wohl nichts machen. Bleiben Sie dran, nächstes Jahr ist der Algorithmus dann Machine Learning, dann kann man erst recht nichts mehr machen!1!! (Danke, Marcel)
Aber vielleicht ist dem einen oder anderen noch nicht auf Anhieb klar gewesen, dass das natürlich auch für Apps für Alexa und co gilt, bei Amazon heißen sie "Skills".
Oh und hey, warte mal, wenn man schon mithört und mit dem Opfer reden kann, kann man damit nicht auch prima Phishing-Angriffe fahren? Aber ja, kann man!
Na SO eine Überraschung!
Hätte uns doch nur jemand gewarnt!!1! (Danke, Markus)
Nein, sorry, nichts von der Schlangenölbranche diesmal.
Reparatur-Shop-Betreiber öffnet ein kaputtes Macbook Air und filmt sich beim Facepalmen. Money Quote:
I'm going to guess that the reason that this machine is brain dead, even though it has its primary power rails, is because … Apple.Das ist echt der Brüller, das Video. Das Produkt ist so, wie man sich das vorstellt, wenn die Marketing-Abteilung das Produktdesign übernimmt. HARR HARR HARR
Das Problem, wie man trojanerresistente Datenablage macht, ist gelöst. Seit Jahren.
Programmierer haben nämlich immer ihren Quellcode verloren. Also haben sie Versionierungssysteme erfunden.
Ein Versionierungssystem ist wie ein Dateisystem, in dem man auch rückwärts gehen kann. Du kannst alles ändern oder löschen und die Änderungen auf den Server hochladen, aber damit sind die alten Versionen nicht weg. Ein Verschlüsselungstrojaner bewirkt überhaupt gar nichts. Checkst du den Stand von gestern mittag aus, bist du fertig.
Etwas formaler: Man nimmt eine Datenstruktur, an die man nur anhängen kann. Wie eine Buchhaltung! Da kannst du nur am Ende Dinge anfügen. Sowas kann man technisch auch für andere Dateien erzwingen. Und schon ist das Trojanerproblem gelöst.
Ein Angreifer kann natürlich immer noch Dokumente ausspähen. Das ist ein anderes Problem, das auch andere Lösungsansätze benötigt. Das ist auch gelöst, vom Militär, durch Kompartmentalisierung, aber mit unerwünschten, die Produktivität einschränkenden Nebenwirkungen.
Update: Zwei Arten von Klugscheißern schlagen jetzt hier auf. Erstens die "HAHA ER HAT BLOCKCHAIN GESAGT"-Witzbolde und zweitens die "aber so ein Versionierungssystem liegt doch im Filesystem, das ist dann auch verschlüsselt"-Leute.
Nein, ich habe nicht Blockchain gesagt. Die Idee mit append-only Datenstrukturen ist steinalt. Was bei Blockchain gut ist, ist nicht neu, und was neu ist, ist nicht gut. Bei Blockchain können auch andere anhängen und/oder verhindern, dass du anhängst. Hatte ich ja schon ausgeführt.
Und ich rede hier natürlich nicht von sowas wie Apple Time Machine oder einfach ein .git neben den Dateien zu haben. Ich rede davon, dass Institutionen wie ein Verlag und ein Gericht ja eh schon Content-Management-Systeme einsetzen. Und die müssen dann halt so arbeiten. Alles auf dem selben Rechner, dessen Infektion man überleben können will, ist Theater. Das muss auf einer anderen Kiste sein, und die programmatischen Schnittstellen dürfen schon gar nichts außer append-only zulassen. Wenn DU den Snapshot oder die Versionsgeschichte löschen kannst, kann das auch der Trojaner.
Apple-Apologeten bringen ja gerade gerne zu ihrer Verteidigung das Argument, dass Apple ja immerhin kein Geschäftsmodell auf dem Verkauf der Nutzerdaten aufgebaut hat. Ich bin ja nicht optimistisch, dass das so bleibt.
Turbokapitalismus vom Feinsten!
Das killt mal eben 30-40% der (bezahlten) Performance. Und wegen der armen notleidenden Intel-Aktionäre verlang jetzt niemand von denen, dass sie ihre kaputte Hardware tauschen. Das muss daran liegen, dass Intel eine US-Company ist. Bei VW sah das noch ganz anders aus. Und bei Monsanto. Jedenfalls solange die nicht von Bayer gekauft wurden.
Der Effekt wird wahrscheinlich sein, dass die Leute jetzt neue Prozessoren mit mehr echten Cores kaufen. Win-Win-Win-Win für Intel!
Ich schalte Hyperthreading jedenfalls nicht ab bei mir. Und mein nächster Prozessor wird ein Ryzen.
Ich halte das ja für nicht schlau. Die Leute sind alle bereits im Apple-Gefängnis eingesperrt. Wenn du denen sagst: Apple oder Netflix, dann ärgern die sich und bleiben bei Apple.
Ein Highlight jagt das nächste in dem Text. Geht los mit:
"Nur durch den Schulterschluss der Verlagsmanager und in Zusammenarbeit mit der Politik haben wir eine faire Chance im Wettbewerb mit Google, Amazon, Facebook und Apple"Ihr Vollpfosten konkurriert doch nicht mit Google und co! Die helfen euch noch, eure Inhalte zu verbreiten! Dass ihr kein Geschäftsmodell mehr habt, seit ihr eure Inhalte kostenlos im Internet verbreitet, dafür können die doch nichts!
Vor allem: WTF? Google News hat doch keine eigene Nachrichtenagentur oder so?! Wie verwirrt muss man sein, um die als Konkurrenten zu sehen!?
Aber was mich ja so richtig auf die Palme bringt ist sowas hier:
Dies zeige zugleich, "welche Macht datengetriebene Großkonzerne auf den Willensbildungsprozess der Bevölkerung ausüben".Was für eine Frechheit! NIEMAND verkauft meine Zugriffsdaten an mehr Datenkraken, hat mehr Tracker und Auswerter und mehr Werbenetze als Zeitungen! Erst sei der DSGVO muss man in umatrix bei den Zeitschriften nicht mehr seitenweise scrollen, um alle Tracker gesehen zu haben. Wer hat Do-Not-Track einmal komplett ignoriert? Die Zeitungen! Also hat Firefox einen Tracker-Blocker eingebaut und jetzt heulen sie rum.
Und dann DIE STIRN zu haben, Google vorzuwerfen, sie seien "datengetrieben"! Unfassbar!
Oh und eine Kreditkarte bietet Apple auch an. In Kooperation mit … (kommt ihr NIE drauf!)
iPhone users are already using Apple’s Wallet app, Apple Pay, and Apple Pay Cash — wouldn’t they like an Apple credit card, too? The Cupertino company and bank partner Goldman Sachs believe the answer is “yes,” so they’ve teamed up for Apple Card.Da wächst zusammen, was zusammen gehört! Na? Are you blown away yet?Update: Effektiver Jahreszins sind knapp 25% bei der Kreditkarte. Da bin ich tatsächlich "blown away".
Ziel des Appple-Vorhabens ist es, die Anstrengungen der drei Organisationen "zur Förderung junger Menschen mit den im heutigen digitalen Zeitalter notwendigen Fähigkeiten des kritischen Denkens voranzutreiben". Apple-CEO Tim Cook sieht in den Projekten – beziehungsweise der allgemeinen Medienkompetenz – einen wichtigen Baustein "für die Aufrechterhaltung einer freien Presse und einer funktionierenden Demokratie".Hey, Medienkompetenz ist eine tolle Idee! Hätte uns das doch nur jemand früher schon gesagt! Und uns am besten trainiert! :-)
Update: Ich finde ja auch geil, dass Apple das jetzt mit ein paar Brotkrumen lösen will. Die sitzen auf mehr Bargeld als die meisten Staaten. Die könnten auch mal eben 10 Milliarden in eine wohltätige Stiftung übertragen, die Zeitungen eine unabhängige Arbeit ermöglicht. Apple weiß gar nicht wohin mit ihrer Kohle!
The former Apple lawyer who was supposed to keep employees from insider trading has been charged with insider trading
Sie hat einen eigenen Pass und könnte möglicherweise ohne deine Erlaubnis ausreisen?
Kein Problem! Da gibt es eine App für! Android und Apple!
Das geht soweit, dass sie einen Alarm erhalten, wenn ihre Frauen mit Hilfe ihres Passes die Grenze passieren oder ein Flugzeug betreten wollen. Sie sind dann sogar dazu in der Lage, dieses zu verhindern.o_O
Wir können jetzt viel über die App meckern, aber das ist m.W. Rechtslage in Saudi Arabien. Dass die damit durchkommen finde ich echt erschütternd.
Update: Leserbrief dazu:
das geht weiter.. vor 2 Jahren war ich in Abu Dhabi zu Besuch bei meinem Bruder, als wir am Wochenende in den Oman gefahren sind bekam er bei der Grenzüberschreitung mehrere SMS von den Behörden, dass seine Frau (auch europäisch) soeben das Land verlassen habe, wir waren alle erst irritiert, dann schockiert... Also, in Abu Dhabi ist das eine Gratis-Dienstleistung der Behörden, ohne Anmeldung, selbst für Expats!
Denkt euch da mal Apple raus. Das ist genau, was passieren muss. Aber im Web, nicht in Apples Walled Garden. Soweit kommt es ja wohl noch, das Apples Prüderie dann zu inhaltlicher Zensur von Nachrichtenquellen führt.
Der Lacher ist, dass Apple ja nicht doof ist. Und nicht blind. Die sehen genau, dass die Zeitungsverleger alle so gut wie tot sind. Und verlangen daher für ihre 10-Dollar-im-Monat-Flatrate saftige 50% der Abozahlungen für sich. Apple sagt mit anderen Worten: Wir glauben nicht, dass ihr Vollpfosten es hinkriegt, aus eigener Kraft einen Abodienst zu bauen, der euch mehr als 5 Dollar pro Monat pro User bringt, weil ihr zu blöde seid, eure lächerlichen Konkurrenzkämpfe zu beenden. Daher müssen wir euch gar nicht mehr als 5 Dollar pro Monat bieten. Das ist besser als alle anderen Optionen für euch.
Und DAS, meine Damen und Herren, ist mal eine saftige Ohrfeige für die Verleger. Verdient, wenn ihr mich fragt. Und ich teile Apples Einschätzung an der Stelle auch, dass die Verleger zu blöde sind, sowas mal eben selbst zu stemmen.
Tja. Good riddance dann, liebe Verleger.
Update: Ein Detail noch, falls ihr das nicht selber bemerkt habt. Die Verleger regen sich über Apples 50% auf. Nicht über das $10. D.h. mit einer $10-Flatrate könnten die prinzipiell leben, sie gönnen Apple nur die 50% nicht.
Ich habe von Anfang an vor Bug-Bounty-Programmen gewarnt und auch nie an welchen teilgenommen. Das hat mehrere Gründe:
Mein Ratschlag ist daher: Der Gesetzgeber sollte sofort den Handel mit Sicherheitslücken unter Strafe stellen, und zwar unter empfindliche Strafe, und ebenso das Ausliefern von Produkten mit Sicherheitslücken oder das Einstellen von Support nach dem Verkauf von unsicheren Produkten. Wer unsichere Produkte verkauft, der sollte dafür haften, und zwar lebenslang. Da darf man sich nicht mit "ist end of life" rausmogeln dürfen. Dann hättet ihr es halt nicht verkaufen dürfen, wenn es so Kacke ist, dass es ohne euren Support nicht sicher betrieben werden kann!
Nun, … guckt doch mal in den Wirtschaftsteil.
Many of those [companies] that filed reports with CDP said they believe climate change can bolster demand for their products.Abwegig? Stellt euch mal vor, ihr seid ein Pharmaunternehmen. Wie … Merck z.B.:“As the climate changes, there will be expanded markets for products for tropical and weather related diseases including waterborne illness,” wrote Merck & Co.Oder stellt euch das mal aus Sicht von Apple vor!“As people begin to experience severe weather events with greater frequency, we expect an increasing need for confidence and preparedness in the arena of personal safety and the well-being of loved ones,’’ the company wrote. Its mobile devices “can serve as a flashlight or a siren; they can provide first aid instructions; they can act as a radio; and they can be charged for many days via car batteries or even hand cranks.’’Kapitalismus, Fuck Yeah!Und so geht das weiter. Wells Fargo freut sich auf die Kredite, die die Menschen aufnehmen müssen werden, denen das Haus bei einer Katastrophe zerstört wurde. Home Depot malt sich aus, dass die Leute ja für die Reparaturen Materialien kaufen müssen. Und Google denkt sich, dass die Werbeeinnanhmen sinken könnten, aber immerhin werden mehr Leute Google Earth benutzen. Um sich ein Bild zu machen, wie schlimm es ist.
“If customers value Google Earth Engine as a tool to examine the physical changes to the Earth’s natural resources and climate, this could result in increased customer loyalty or brand value,” Google wrote. “This opportunity driver could have a positive impact on our brands.”Und, klar, was ist in einem Weltuntergangsszenario wichtiger als der Wert der Marke?
Und wisst ihr was? Facebook hat die Leute wenigstens dafür bezahlt, dass sie ihnen alle ihre Daten geben. Im VPN-Markt sind die Preise dermaßen implodiert, dass man glaube ich davon ausgehen kann, dass auch die meisten VPN-Anbieter die Daten ihrer Kunden weiterverkaufen. (Kontext)
Das klingt erstmal plausibel. Und jetzt bröselt bei Facebook angeblich die Infrastruktur weg. (Danke, Ralf)
Falls sich jetzt jemand denkt: Haha, ich nehm Android, betrifft mich nicht: Die Onavo-App ist auf Android gar nicht erst aus dem Play Store geschmissen worden.
Update: Oh gucke mal, das ging ja fix: Facebook will shut down its controversial market research app for iOS.
you can call somebody via FaceTime and listen to their phone’s microphone regardless of whether the person you’re calling picks up.Das passiert wohl, wenn man während des Verbindungsaufbau auf Konferenz-Modus umschaltet.Klingt wie ein feuchter Traum der NSA, nicht wahr?
Google teilte mit, das Unternehmen wolle nach einer ausführlichen Prüfung des Beschlusses über sein weiteres Vorgehen in dem Fall entscheiden. Google sei entschlossen, die hohen Erwartungen der Nutzer an Transparenz und Kontrolle über die Daten zu erfüllen.Hahaha, ja nee, klar. Transparenz und den Usern Kontrolle über ihre Daten geben war ja schon immer Hauptziel von Google! Man gucke sich nur mal Android an, wie toll man da alles sehen und abschalten kann!
Das lässt schon echt tief blicken, wenn Google von Apple in Sachen Datenschutz überholt wird. Von Apple!!
Jedenfalls kriegen die regelmäßig Besuch von zornigen Menschen, oft in Begleitung von der Polizei, die bei ihnen geklaute Telefone oder entführte Kinder vermuten — und zwar im Brustton der Überzeugung, weil ihr professioneller Gerätepark das zweifelsfrei zugeordnet hat. (Kontext)
Das ist wie Krypto-Währungen. HODL!!1!
Apple just lost a Facebook: Market value decline since peak exceeds value of nearly any US companyZum Vergleich: Die Deutsche Bank hat eine Marktkapitalisierung von 15 Milliarden Euro. Die 452 Milliarden Dollar, die Apple verloren hat, entsprechen 400 Milliarden Euro. Apple hat also den 26-fachen Wert der Deutschen Bank verloren.Die Größenordnungen, in denen man sich da gleich befindet, sind atemberaubend.
the unforeseen “magnitude” of the economic slowdown in ChinaDer Markt reagierte wie üblich: Mit Panik.Trading in the company’s shares was temporarily haltedUnd zwar nicht nur bei Apple!Apple’s shock downgrade has sent shares in European-listed companies with exposure to China – from Burberry and the Gucci owner, Kering, to chipmakers and miners – tumbling over fears the slowdown that has hit the Silicon Valley giant is set to spread.Aber ist nicht alles negativ:Hintergrund scheint der Angriff des chinesischen Konzerns Alibaba auf den globalen Onlinehandel zu sein.Die Russen k… äh Die Chinesen kommen!!1! Und wollen Zalando kaufen (gerüchtet es)!1!!
The Fuzhou court ruled that Apple infringed two of Qualcomm’s patents and granted a requested injunction against the sale of the Apple products that are currently in the market ranging from the iPhone 6S to the iPhone X. This means that Apple is essentially banned from selling all infringing iPhones in China.
Stattdessen seien neutralere Begriffe wie "Zustand" und "Situation" zu verwenden sowie Beschreibungen wie "reagiert nicht". Daraus könnten "absurdistische Dialoge" entstehen, heißt es weiter, wenn der Mitarbeiter einem Kunden eigentlich nicht mehr helfen kann – dies aber nicht sagen darf.Ich habe mich ja schon vor vielen Jahren darüber amüsiert, wie PowerPC die völlig offensichtlich überlege Plattform war, bis hin zu dem Tag, an dem Apple auf Intel umstiegt. Ab dann war PowerPC ja schon immer völlig offensichtlich eine Sackgasse gewesen. Und für die Idioten, die noch ein PowerPC-basiertes Gerät zuhause hatten, hatte man nur mitleidiges Kopfschütteln übrig.
Es gibt in Orwells 1984 eine Szene, wo in der Mitte der Hate Week der politische Feind wechselt, quasi in der Mitte einer Rede. Eben noch waren wir schon immer im Krieg mit unserem Erbfeind Eurasien, als das spontan umschlägt und Eurasien ist unser Verbündeter im Kampf gegen unseren Erbfeind Ostasien.
So läuft das bei Apple auch seit Jahren. Nein, das ist kein Nachteil, das ist ein Vorteil! Dann wird es gefixt und plötzlich ist es schon immer offensichtlich ein Vorteil gewesen.
Ich bin ja fasziniert, dass wenn jemand von Project Zero Apple-Ingenieure fragt, ob sie mal kurz was ausprobieren mögen, dass die dann nicht alle NEIN!!!1! brüllen und wegrennen. Die haben echt immer noch Reste von Steve Jobs Reality Distortion Field am Laufen und halten sich für kompetente Programmierer. Unglaublich.
Update: Mir sei noch der Hinweis erlaubt, dass sie das mit RTP-Fuzzing gefunden haben. Erstmal ist es ausgesprochen peinlich, wenn überhaupt ein Bug mit Fuzzing gefunden wird. Peinlich, aber leider nicht unüblich in der Industrie, so beschissen ist ihr Zustand. Aber dass Apple einen mit Fuzzing findbaren Bug nicht selber gefunden hat, das ist echt unakzeptabel und unverzeihlich. Wenn Apple-Kunden mehr als eine Hirnzelle hätten, wäre Apple echt in Schwierigkeiten.
N26 is Europe’s first Mobile Bank with a full European banking license. We redesigned the banking experience to be simple, fast and contemporary. Founded in 2013 by Valentin Stalf and Maximilian Tayenthal, N26 has more than 500 employees and more than 1,5 million customers in 18 countries. N26 has raised more than $215 million from renowned investors including Allianz X, Tencent Holdings Limited, Li Ka-Shing’s Horizons Ventures, Peter Thiel’s Valar Ventures, members of the Zalando management board and Earlybird Venture Capital.Once here you will
- Use penetration testing skills and methodology to strengthen our internal and external applications and services.
- Use software engineering skills to build services for security related topics such as: access management, continuous security testing, intrusion detection, fraud and abuse detection.
- Use systems engineering skills to architect and build out solutions and frameworks that address current and future threats.
- Use your knowledge of security architecture to help software engineers build secure products and services.
- Perform application security design, threat modeling and code reviews.
- Improve engineering standards, tooling, and processes.
- Delve into large datasets to find significant features, anomalies and patterns.
- Enable other engineering teams to find flaws before they are introduced into production.
- Perform reactive incident response when a security event occurs.
- Perform proactive research to detect new attack vectors.
- Educate technical and non-technical staff through our security awareness training program.
- Improve our customer education program.
Also ich empfehle ja meinen Kunden immer, lieber erst Security und dann Produkt zu machen als umgekehrt. Dann hat man eine Chance. Sorum wird das erfahrungsgemäß ein ewiges hinterherlaufen und nie ankommen, wie bei Apple und Microsoft. Der Einsender hat noch einen Screenshot mitgeschickt.Inhaltlich klingt das alles sehr nach "das ist SO verkackt, dass wir jetzt alles wegschmeißen und nochmal ordentlich neu machen wollen". Sie suchen jemanden, der weiß, wie man Architektur ordentlich macht. Das ist nichts, was man nachträglich ändern kann.
Akt 2: Facebooks Ex-CISO Alex Stamos kackt auf Twitter kräftig zurück :-)
Also ich finde ja, wenn sich Firmen wie Apple und Facebook gegenseitig öffentlich ihre Datenschutzvergehen vorhalten, dann kann es nur Gewinner geben!
Geht in die Cloud, sagten sie! Klar ist das langsamer und unter jemand anderes Kontrolle, aber dafür ist es super verfügbar!1!!
Unusual communications from a Supermicro server and a subsequent physical inspection revealed an implant built into the server’s Ethernet connector, a component that's used to attach network cables to the computer, Appleboum said.
Also ich zum ersten Mal in einen seiner Vorträge reingeguckt habe, dachte ich: WTF? Dann: What the I don't even!? Dann: OMGWTF!?!? Und schließlich: Es muss wunderbar sein, ich verstehe kein Wort!
Diese Erfahrung hat sich seitdem jedes Mal wiederholt, wenn ich ihm begegnet bin. Als er dann zufällig in der Nähe war (eigentlich arbeitet er am MIT gerade), haben wir ihn uns gekrallt und schnell eine Sendung aufgenommen, die hoffentlich auch alle Ansprüche erfüllt, die ihr so an eine Sendung mit der Nummer 42 gestellt haben könntet.
Weil unsere Audioingenieur Dr. Gerd Eist gerade anderweitig ausgelastet ist, hat Frank das wieder durch ein Shellskript ersetzt, das sich als recht widerspenstig herausgestellt hat. Von der unfassbaren Wartezeit erklärt das aber gerade mal ein paar Wochen. Wir sind Schuld, wir wissen es, und es tut uns furchtbar leid. Vielleicht sollten wir mal unsere Berufe aufgeben und nur noch Podcasts machen.
Anyway.
Bei der Gelegenheit mal eine kleine Umfrage. Wir hatten noch eine andere Sendung aufgenommen, zu einem Thema, das mir persönlich sehr wichtig war, nämlich Jordan Peterson und der aufstrebende Einfluss des Konservatismus. Allerdings hat ein Freund sich recht kritisch geäußert, der reingehört hat, weil wir weder von Bibelexegese noch von der Theorie des Konservatismus wirklich Ahnung hatten, und er fand, die Sendung entspräche daher nicht unseren üblichen Qualitätsansprüchen. Wollt ihr die trotzdem hören? Auch auf die Gefahr hin, dass die nicht so gut ist? Wir könnten die ja auf ins Darknet leaken oder so, und dann sagen, Franks Apple-Cloud-Accounts seien von den Nordkoreanern penetriert worden. Dann würde niemand sein Gesicht verlieren. Aber bevor ihr darüber nachdenkt, hört euch erstmal die Sendung 42 an. Ich finde, sie ist ein ganz großer Wurf geworden. Ich habe nicht mal die Hälfte verstanden, und ich war der Moderator!
The CTO stressed that the decision was made not based on technical issues that the company faced, but on a careful consideration of business opportunities the company had with its 7LP platform as well as financial concerns.Also doch technische Probleme, war zu teuer und funktioniert nicht so gut wie erwartet, oder so. Globalfoundries ist die ausgegliederte Fertigungsabteilung von AMD, und AMD hat neulich angesagt, dass sie ihr 7nm bei TSMC fertigen wollen.Für mich klingt das jedenfalls, als wäre Globalfoundries so gut wie aus dem Rennen. Schade eigentlich. Ihr erinnert euch sicher noch, wie schlecht das für den PC-Markt war, als nur Intel konkurrenzfähige CPUs liefern konnte. Neben TSMC bleiben noch Samsung und IBM übrig, aber IBM ist m.W. weit abgeschlagen. Das ist nicht gut, wenn die halbe Welt von TSMC abhängt. Apple sitzt auf so viel Cash, die könnten den Laden wahrscheinlich einfach mal kaufen, um ihren Nachschub zu sichern.
Intel fertigt noch selber und kann wohl auch für andere fertigen, aber warum würden sie ihrer Konkurrenz da günstige Preise diktieren? Und wenn sich jetzt rausstellt, dass TSCM den 7nm-Prozess doch nicht ordentlich hinkriegt, oder mit zu viel Ausschuss, dann beißt sich Globalfoundries wahrscheinlich in den Arsch.
Update: Leserbrief:
IBM haben ihre Foundrysparte plus R&D 2014 an Globalfoundries verkauft, und 7nm wäre das erste Resultat davon gewesen. IBM macht also selber schon kein Foundryzeugs mehr, daher ist Globalfoundries stopp von 7nm umso verblüffender. AMD scheint aber gut vorbereitet zu sein. Deren Zeitplan für Zen 1/2/3 schien schon immer sehr optimistisch für Globalfoundries zu sein. Jetzt stell sich praktisch raus, dass der Teil für Zen 2/3 wohl von Anfang an an TSMCs Zeitplan angelehnt war.
Oh das hatte ich gar nicht mitgekriegt mit dem Verkauf. Das ist ja eine noch krassere Marktkonzentration dann.
Wir haben ja in Deutschland seit dem 2. Weltkrieg das Modell, dass freie Meinungsäußerung garantiert wird, aber du darfst nicht den Holocaust leugnen oder Volksverhetzung betreiben. Die USA haben hingegen traditionell das Modell, dass jeder alles sagen darf. Gut, nicht ganz alles. Die Rechtssysteme ziehen gemeinsame Grenzen bei Beleidigung oder sowas wie falschem Hilferuf.
Aber traditionell durfte man in den USA den Holocaust leugnen, "die Neger" als Untermenschen bezeichnen und ähnliches. Und das Argument dafür war, dass das ja der Gesellschaft ermöglicht, sich damit auseinanderzusetzen und das zu widerlegen und man sieht ja, dass das funktioniert, weil die USA weniger Nazis als wir haben.
Aus meiner Sicht hat sich das jetzt unter Trump verschoben. Nicht nur haben die USA jetzt signifikant viele Rechtsradikale, sie fangen jetzt auch mit Hate-Speech-Sachen an. Wobei das wohlgemerkt einzelne Firmen sind, nicht der Staat, der hier "Plattformen entzieht", das ist also keine staatliche Zensur.
Aber die Debatte müsste man an der Stelle eigentlich nochmal neu führen, findet ihr nicht? Sind wir uns jetzt einig, dass Free Speech doch nicht gegen Extremismus hilft?
Ist Zensur doch das bessere System? Warum?
Oh und: Trump benutzt natürlich Apple-Geräte. Wie alle Leute, die sich für schlau und progressiv halten, aber keines davon sind.
Er begründet das mit der Teilnahme von LLVM bei einem Outreach-Programm namens Outreachly. Ich kenne da jetzt die Details nicht, aber der Gründer des LLVM-Projekts heißt Chris Lattner, und die Frau, die diese Mitgliedschaft anscheinend bei LLVM begleitet, heißt Tanya Lattner. Der dort verlinkte CFP sagt allerdings, daraus sei nichts geworden. Ist mir also gerade nicht klar, was hier der konkrete Problempunkt war…?
Der Typ schreibt jedenfalls:
Somewhat recently a code of conduct was adopted. It says that the community tries to welcome people of all "political belief". Except those whose political belief mean that they don't agree with the code of conduct. Since agreement is required to take part in the conferences, I am no longer able to attend.Das halte ich für ein Problem, das man ernst nehmen sollte. Das Gefühl, ausgegrenzt und benachteiligt zu werden, ist nicht schön, und hat ja überhaupt erst zur Gründung der SJW-Bewegung geführt. Wenn ihr wollt, dass wir das bei der einen Seite ernst nehmen, dann müsst ihr es auch bei der anderen Seite ernst nehmen.Falls jetzt übrigens jemand denkt, diese Tanya, die macht bestimmt nur SJW-Scheiß und hat von Technik keine Ahnung (nicht, dass das inhaltlich eine Rolle spielen würde): Sie arbeitet als Compiler-Ingenieur bei Apple. Und den CFP für dieses Outreach-Programm fand ich jetzt auch nicht irgendwie schlimm oder ausgrenzend. Das ist halt ein Stipendium. Wer das Geld will, muss den Regeln genügen. Deswegen hätte ich jetzt kein Fass aufgemacht. Aber wenn man an der Konferenz nicht teilnehmen darf, wenn man nicht einen Wisch mit einem Glaubensbekenntnis unterschreibt, das finde ich auch ausgesprochen bedenklich. Ich frage mich, ob er das überinterpretiert hat, oder ob das wirklich so ablief.
CoreTypes
Impact: Processing a maliciously crafted webpage may result in the mounting of a disk imageDisk Images
Impact: Mounting a malicious disk image may result in the launching of an application
CoreFoundation
Impact: An application may be able to gain elevated privileges
LaunchServices
Impact: A maliciously crafted application may be able to bypass code signing enforcement
Das muss dieses legendäre "Macos ist voll viel sicherer als Windows!1!!" sein, von dem man immer hört!
Ich frage mich gerade, ob das jetzt heißt, dass Trump am Ende doch ein guter "deal maker" ist. Das ist zwar ein großer Nachlass, aber Apple stand ja nicht unter Druck, das Geld überhaupt jemals in die USA zurückzuholen.
Das ist übrigens eine effektive Steuerrate von 15,5% für Apple.
Man kann das natürlich auch andersherum sehen. Apple hat gekriegt, was sie eh die ganze Zeit wollten, und Trump ist eingeknickt. Liegt im Auge des Betrachters. Für Trump ist alleine die Schlagzeile natürlich ein großer Sieg.
Update: Ein Leser erklärt:
Trump hat da so eine Art Zwang eingebaut. Bisher war es so, dass das Geld erst versteuert werden muss, wenn es in die USA zurückgeholt wird, jetzt werden die Steuern auf Auslandsgewinne auch fällig, wenn das Geld noch im Ausland lagert. Insofern ist es nutzlos, das Geld noch im Ausland zu lagern, zumal man besser darüber verfügen kann, wenn man es heimholt.
Ein guter Dealmaker ist er deswegen noch lange nicht. Denn erstens ist der Steuersatz jetzt fast lächerlich niedrig, und zweitens sind die zur Zeit kolportierten aufsehenerregenden Summen ein einmaliger Effekt - da werden Gelder zurückgeholt, die sich im Laufe eines Jahrzehnts angesammelt haben. Das wird im laufenden Betrieb also erheblich weniger sein.
Dass IBM ins Minus rutscht, dürfte daran liegen, dass die Abschreibungsmöglichkeiten sich verändert haben... vorher konnte ein Unternehmen seine Steuerlast auf nahezu null drücken, wenn es genug Abschreibungen hatte, das geht nicht mehr, jetzt gibt es einen Mindeststeuersatz, der auch nach Abschreibung nicht unterschritten werden kann. Dementsprechend müssen die Assets dann wohl neu bewertet werden...
Ich sage euch, 15 Milliarden hier, 15 Milliarden da, nach einer Weile kommt da richtig Geld zusammen!1!!
Aber keine Sorge, es gibt einen Workaround:
Temporary fix:
Set the clock on your Mac to some other month than December.Wer jetzt spontan ausrechnen möchte, wieviel Geld er schon bei Apple gelassen hat, verwendet dafür besser nicht den Apple-Taschenrechner.
If your device with iOS 11 unexpectedly restarts repeatedly on or after December 2, 2017, learn what to do.Ihr werdet euch jetzt sicher denken, hey, Apple macht doch Qualitätssicherung. Das wäre doch mal interessant zu wissen, seit wann sie von dem Problem wissen.Published Date: Dec 2, 2017
Einmal mit Profis arbeiten!
Apple sieht sich der "Süddeutschen Zeitung" zufolge zu Unrecht beschuldigt. Ein Sprecher des Konzerns teilte der Zeitung mit, dass Apple sich an die Gesetze halte.
From: [zensiert] Team <info@[zensiert].in> Date: October 27, 2017 at 19:04:12 EDT To: <der@kollege> Subject: Monetize your App by Monero crypto Mining Hi, We noticed that you have published your app on Android Play Store/Apple App Store.We ([zensiert]) provide technology services to enable app developers integrate Monero mining(a crypto currency similar to bitcoin, but very profitable to mine on general purpose devices like smartphones) within their app and monetize it. If your app is deployed on thousands/millions of devices, you can monetize it with monero mining and earn really huge income. We manage all the complexity of backend servers and mining operations and you get a really simple control panel to monitor your hashrate and earnings. Features of our service are: 1. Very easy Integration to any app 2. 0 knowledge of crypto currency mining required. 3. Several key features to ensure 0 inconvenience to your app's user. ->Mining Only when device's battery level is greater than 70%(variable as per your choice), so that user does not have any battery issues. ->Mining only on those phone which have at least 4 processor cores ->Using only 1 processor core (variable as per your choice) for mining, rest of the cores are free for user's own work. ->No mining when device's sleeping, so battery usage only when user is actually using his phone. 4. You have a control panel to real time monitor the hashrate generated by your apps. 5. 100% legal and legitimate.You just need to include the fact in your app's user license that we use their device for some calculations. 5. Daily Payment to your monero wallet. 6. We charge only 0.5% as fee.No setup charges or any other hidden fee. For an estimate or your app's earning potential or any other discussion, feel free to contact us on skype : [3]info@[zensiert].in -- [zensiert] Team
Liest man häufig in Foren-Debatten über Android. Das ist ja der Vorteil von Apple. Die schützen eure Privatsphäre.
To improve functionality between Uber’s app and the Apple Watch, Apple allowed Uber to use a powerful tool that could record a user’s iPhone screen, even if Uber’s app was only running in the background, security researchers told Gizmodo. After the researchers discovered the tool, Uber said it is no longer in use and will be removed from the app.Naja so ein Screenshot ist ja keine Privatsphäreverletzung!1!!
Das Video demonstriert Apple-Qualitätsstandards. Also ich weiß ja nicht, wie es euch geht, aber mich überzeugt das auf Anhieb!1!!
Ein Fuzzer ist ein Stück Code, das mehr oder weniger zufälligen Müll generiert. Dann lässt man den zu testenden Code drüber laufen und guckt, ob er abstürzt. Eine fürchtlich primitiv klingende Methode, aber sie ist immer wieder erschütternd effektiv. So auch dieses Mal.
Sie fanden in allen Browsern Bugs. In Chrome waren es 2, in Firefox 4, in IE 4, in Edge 6 und in Safari 17 (!!).
Apple wird also mal wieder ihrem in langen Jahren harter Arbeit erworbenen Ruf gerecht.
Baseball (ich erkläre das jetzt bestimmt falsch *hust*) funktioniert so, dass in der Mitte des Spielfeldes der Werfer steht, der ist von Team A. Der wirft den Ball in Richtung Ecke. Dort steht der Typ mit dem Schläger, der ist von Team B. Hinter dem Schläger kniet ein Fänger mit Körperpanzerung, der ist auch von Team A. Der steht also genau hinter dem Schläger. Ziel des Werfers ist es, dreimal den Ball so zu werfen, dass der mit dem Schläger ihn nicht kriegt. Innerhalb eines relativ kleinen Fensters. Der Fänger signalisiert jetzt dem Werfer, wo er am besten hinwirft. Dafür haben die Team sich so Handzeichen ausgedacht.
Die Red Sox haben jetzt anscheinend per Video mit Zoomobjektiv die Handsignale des Fängers des Gegenteams aufgenommen und dann per Apple Watch dem Typ mit dem Schläger gesagt, was sie glauben, wo der gleich hinzielen wird. Das ist natürlich ein Regelverstoß. Der Schläger kann, weil der Signalisierende hinter ihm steht, die Signale selbst nicht sehen.
Update: Ein Leser korrigiert:
Das Spionieren selber ist erlaubt. Nur nicht das Spionieren mit technischen Hilfsmittel.
(Danke, Mathias)
„Wir sind nicht der globale Steuereintreiber für alle anderen“, sagt der neue irische Finanzminister Paschal DonohoeIst ja schon irgendwie geil. Das Geld liegt auf der Straße. Die müssten sich nur bücken und es aufheben.
Aber zurück zu Murdoch. Der gibt zu Protokoll:
“I can’t even believe I have to write this: standing up to Nazis is essential; there are no good Nazis. Or Klansmen, or terrorists. Democrats, Republicans, and others must all agree on this, and it compromises nothing for them to do so.”Das ist der Erbe des Murdoch-Imperiums. Der sitzt im Moment als CEO bei 21st Century Fox, denen auch Fox News gehört.Ist das nicht krass, wie schnell sich der Wind drehen kann?
Es sieht ganz so aus, als hätten die einen Datenreichtum zu begießen!
How severe is the problem? Our experts could recover the following types of information from several Fortune 1000 companies:- Cloud keys (AWS, Azure, Google Compute) – which could provide you with access to all cloud resources
- App store keys (Google Play Store, Apple App Store) – letting you upload rogue applications that will be updated in place
- Internal usernames, passwords, and network intelligence
- Communications infrastructure (Slack, HipChat, SharePoint, Box, Dropbox, etc.)
- Single sign-on/two factor keys
- Customer data
- Proprietary internal applications (custom algorithms, trade secrets)
Naja, äh, das geht ja noch. Hätte ja noch schli… andererseits. Nee. Wüsste gerade nicht, wie das noch schlimmer hätte sein können. Das ist schon echt schlimm. (Danke, Maximilian)
Wie sich rausstellt: Apple!
Apple owns $52.6 billion in US Treasurys — more than many major countries
Oh und wo wir gerade bei Apple waren: Little Snitch geht dann wohl auch bald nicht mehr.
Wer eine Illustration für eine 404-Seite braucht: Das ist sie.
Daher jetzt auch mal was Konstruktives. Eine Einsendung von Kris Köhntopp, wie man Rollout und Testing richtig macht.
Victim Blaming: »Patching is hard? Yes—and every major tech player, no matter how sophisticated they are, has had catastrophic failures when they tried to change something. Google once bricked Chromebooks with an update. A Facebook configuration change took the site offline for 2.5 hours. Microsoft ruined network configuration and partially bricked some computers; even their newest patch isn't trouble-free. An iOS update from Apple bricked some iPad Pros. Even Amazon knocked AWS off the air.«Ein Canary ist ein Kanarienvogel im Kohleminen-Sinn. Man schiebt die neue Version nicht gleich auf das ganze Rechenzentrum, sondern erstmal nur auf ein paar Kisten, und da routet man nur ein paar User hin. Und guckt, ob es platzt. Das ist an sich eine gute Praxis, aber man muss aufpassen, dass man das nur kurzzeitig macht. Ich habe schon Firmen gesehen, die praktisch permanent diverse Versionen parallel ausgerollt hatten. Das ist nicht gut.Wo ich arbeite haben wir dieselbe Beobachtung gemacht. Wir haben ein Outage Budget, d.h. wir messen die tatsächlichen Einnahmen und vergleichen mit den vorhergesagten Einnahmen. Ist durch einen mißglückten Rollout ein Einnahmeausfall zu verzeichnen, buchen wir das vom Outage Budget ab.
Wir versuchen das so gut als möglich zu treffen. Wenn wir mehr Outage als geplant haben, ist das zu viel Risk Taking, wenn wir zu wenig Outage hatten, ist das nicht genug Risk Taking und wir sind zu langsam und complacent.
Häufige Rollouts sind kleine Changes und die sind viel besser zu kontrollieren als große unübersichtliche Changes. Daher versuchen wir, so oft als möglich einen Rollout (== Patch) zu machen und so die Patches möglichst klein zu halten.
Wenn wir Rollout-Probleme haben, dann meist in den Subsystemen, die wir nicht oft genug ausrollen und in denen dann sekundäre Changes (== Library Changes, die mit sich schneller ändernden Systemen geteilt werden) den Rollout zerknallen. Die Lösung ist für uns, so was auch dann auszurollen wenn sich im Code selbst nix geändert hat (also Dependency-Änderungen auszurollen).
Alles in allem ist das eine sehr anschauliche Darstellung von Technical Debt: Je größer der Diff zwischen ausgerollt und trunk ist, um zu wahrscheinlicher ist es, daß Trunk in Production explodiert.
Um Patching sicher zu machen, muß man es oft tun.
Wenn man oft patchen möchte, müssen Patches und deren Rollouts ein Operativer Prozeß und kein Upgrade-Migrationsprojekt sein.
Wenn Rollouts ein operative Prozeß sein sollen, dann muß man Testen in der Produktion sicher und überlebbar machen.
Um Testen in der Produktion sicher zu machen, muß man:
- das Austeilen von Code und die Aktivierung von Code trennen, also Feature Flags und Experiments einführen,
- sich ändernde persistente Datenstrukturen doppelt führen (alte und neue Version gleichzeitig und parallel aktualisieren, sodaß alter und neuer Code coexistieren können).
- Reporting und Monitoring exzessiv ausbauen und den Monitoring Lag (Event Timestamp vs. Timestamp in dem das Event im Monitoring auf dem Operator Screen sichtbar wird) mitloggen und Anzeigen ("Monitoring Framerate einblenden")
- und den Leuten klar machen, daß es wichtig ist, eine Fehlerkultur zu etablieren ("blameless postmortem" einführen und durchsetzen).
- Canaries
- Overcapacity
- nur 2 Versionen aktiv zur Zeit (also nicht drei- oder mehrphasige Rollouts laufen haben)
Alles kein Hexenwerk eigentlich.
Overcapacity heißt einfach, dass man nicht am Limit fährt mit seiner Hardware, damit man eine Performance-Regression zur Not mal kurzzeitig abfangen kann.
Stört euch bitte nicht an dem Denglisch, das ist in der Ops-Abteilung von internationalen Firmen durchaus normal :-)
Update: Kris hat das auch in sein Blog getan und verlinkt dort auch ein paar Vorträge, die er in dem Bereich gehalten hat.
Apple ist im Vergleich zu Microsoft aus meiner Sicht deutlich schlimmer (allerdings ist das Beobachtung von außen, nicht von innen). Dass Apple-User nicht alle drei Sekunden von Ransomware ausgenommen werden, liegt eher daran, dass der Marktanteil zu insignifikant ist. Und dass die Kriminellen ihnen nicht zutrauen, Bitcoins zu überweisen :-)
Apple will auch gleich nochmal eine Milliarde Dollar zurückgezahlt haben von Qualcomm. Hier ist Apples Statement dazu:
"We've been trying to reach a licensing agreement with Qualcomm for more than five years but they have refused to negotiate fair terms. Without an agreed-upon rate to determine how much is owed, we have suspended payments until the correct amount can be determined by the court," Apple said in a statementDas klingt für mich, als habe Qualcomm ihre Patente nur im Bundle anbieten wollen oder so. So das Elsevier-Geschäftsmodell.
Das Krasse ist: Jetzt muss Toshiba auch ihre Flash-Sparte verkloppen, um für die Verluste von Westinghouse aufzukommen. Wow.
Das ist so ein seltenes Ereignis, dass mal ein Flash-Hersteller zum Verkauf steht, und Flash ist inzwischen wo wichtig für Konsumenten-Produkte geworden, dass jetzt unter den angeblichen Kaufinteressenten nicht nur andere Flash-Hersteller sind sondern auch Apple, Amazon und Google.
Die Story ist, nach den Leuten bei Supermicro, die ich kenne, ein wenig anders.Supermicro stellt BIOS-Updates auf einem FTP (sic!) Server bereit. Darunter auch BIOS-Updates für Komponenten Dritter, hier eine Netzwerkkarte.
Apple hatte Probleme mit dem BIOS (nicht nach Malware gesucht), wurde nach Seriennummern gefragt und gab Nonsens-Antworten. Das hat tiefere Investigation getriggert und daraufhin die Story in dem Artikel. »Ich bin einigermaßen erstaunt, dass Apple Resourcen aufwendet, um die BIOSse von ihren Servern auf Malware zu prüfen.« Du kannst zu Deinem gewohnten Weltbild zurück kehren, tun sie nicht (also, jetzt eventuell schon).
Interessanter hier ist: Wir haben Trusted Whatever, Secure Boot, Blah, Keys bei Microsoft, aber wir haben immer noch keine Versionierung und Signierung von BIOS Updates, keine gesicherten Transportwege und einen Scheiß von Code-Review bei diesem Zeugs (oder bei Qualcomm Radio-BLOBs in Android Phones).
Auf der einen Seite sehr erfreulich, dass sowas mal Konsequenzen für den Zulieferer hat und nicht alle bloß mit den Schultern zucken. Auf der anderen Seite: In was für einer Welt leben wir hier eigentlich!?
Details aus dem Update bei Ars Technica:
The firmware, according to the source, was downloaded directly from Supermicro's support site—and that firmware is still hosted there.Ich bin einigermaßen erstaunt, dass Apple Resourcen aufwendet, um die BIOSse von ihren Servern auf Malware zu prüfen.
Und Google ist nicht alleine. Auch Breitbart hat ein wichtiges Werbenetzwerk verloren, die u.a. die Budgets von Apple, McDonalds und einigen Autoherstellern verwalten. Allerdings geht das wohl nicht von besagtem Werbenetzwerk aus, sondern:
Anfang Februar wurde ein internes Memo öffentlich, wonach die meisten Omnicom-Kunden des Netzwerks mittlerweile Breitbart von ihren Anzeigenschaltungen ausschließen. Die Konzerne werden über Social-Media-Kampagnen von liberalen Trump-Gegnern unter Druck gesetzt, die die Firmen direkt darauf hinweisen, in welchem Umfeld ihre Premium-Anzeigen auftauchen.Ich finde das ja furchtbar, wenn wir den Krieg der Ideen gegen die Rechten nicht mit Ideen gewinnen können, sondern indem wir ihnen den Mund verbieten. Lange wird das nicht mehr dauern, fürchte ich, bis die genug Mehrheit hinter sich haben, dass wir die Minderheit sind, und dann werdet ihr euch noch alle umdrehen, wenn euch die Werbeeinnahmen wegbrechen.
Mal aus Sicht von Werbetreibenden könnte man ja heute schon argumentieren, dass die Konservativen mehr Kohle haben und daher die wichtigere Zielgruppe sind. Oder so. Ich halte das für eine Aberration, dass das gerade noch nicht geschieht. Weil die Kids im Moment alle nicht ordentlich erzogen sind und Konsum über Schulden fahren.
Update: Stefan Niggemeier hat sich das auch angeguckt und findet heraus, dass die Faktenbasis des "Welt"-Artikels auch eher aus dem Fake-News-Bereich kommt. Money Quote:
Die schärfste Waffe – das Nicht-Anzeigen einer Seite in den Suchergebnissen – hat Google nicht gegen die nationalistische amerikanische Nachrichtenseite „Breitbart“ gezückt, sondern gegen die radikale Verschwörungs- und Anti-Pharma-Seite „Natural News“. Aber auch das augenscheinlich nicht, wie der „Welt“-Artikel über weite Strecken suggeriert, weil sie „Fake News“ verbreitet, sondern wegen eines von Google ausdrücklich untersagten technischen Tricks, um Besucher auf andere Seiten weiterzuleiten.
Never mind then.
Kommt, Apple-Kunden, beugt euch noch ein bisschen länger vorne über! Ist doch in eurem besten Interesse! Und denkt dran: Apple tut das mehr weh als euch!1!!
Gut gemacht! Schön weiter nach vorne beugen, Apple ist noch nicht fertig.
nach Durchsicht aller öffentlich zugänglichen Unterlagen über Qualcomms Geschäftsgebaren muss ich sagen, dass dieses an Brutalität wohl nur noch durch den Einsatz physischer Gewalt zu toppen wäre. Da werden wirklich alle Register gezogen, die sich im Lehrbuch der Wettbewerbsverstöße befinden dürften, so als wollte jemand kartellwidriges Verhalten parodieren.Wow.
Dänemark will als erstes Land der Welt einen digitalen Botschafter ernennen, der die Beziehungen des Landes zu Firmen wie Apple, Microsoft und Google pflegen soll. „Diese Konzerne sind eine Art neue Nationen geworden, und dazu müssen wir uns verhalten“, sagte Außenminister Anders Samuelsen der Zeitung „Politiken“ „Das sind Firmen, die Dänemark genauso beeinflussen wie ganze Länder.“In Shadowrun dominieren die transnationalen Konzerne die Politik und Nationen spielen keine Rolle mehr. Seine Konten hat man bei der Zurich Orbital Gemeinschaft Bank. (Danke, Jan)
Heute kauft man ein Telefon und das lädt erstmal ein paar Gigabytes Updates runter. Oder habt ihr mal ein frisches Windows installiert? Oder Linux? Bei Apple sieht das bestimmt auch nicht besser aus. Die Browser updaten sich auch alle erstmal. Was für eine Frechheit, eigentlich.
Ich hab meine Internetleitung für meine Nutzung gekauft, nicht damit Hersteller ihre Qualitätssicherung wegrationalisieren können und dann die Kosten auf mich externalisieren können!
Die Liste der Opfer ist beeindruckend: ehemalige Regierungschefs, Minister, Abgeordnete, Mitarbeiter der Zentralbank, Chefs der Finanzpolizei, Manager, Militärs und Kardinäle. Unter anderem hatten die Kriminellen Zugang zum Apple-Konto und damit zum iPhone des früheren Ministerpräsidenten Matteo Renzi sowie zu einem E-Mail-Konto des Präsidenten der Europäischen Zentralbank, Mario Draghi.Tut eure Daten in die Cloud, sagten sie! Da sind sie sicher, sagten sie!
Aber hey, das waren doch bestimmt die Russen, nicht wahr? Mit APT? Da kann man nichts machen.
Oh warte, doch nicht die Russen.
Der 45-jährige Giulio Occhionero ist ausgebildeter Nuklearingenieur, seine 49-jährige Schwester Chemikerin. 1998 gründeten die beiden die Investmentfirma Westlands Securities.Sekunde, Sekunde, kommt noch was:
Er war Mitglied einer FreimaurerlogeHahaha, fuck yeah! (Danke, Andreas)
Observation #1: Any measure that weakens encryption works against the national interest.
Und DAFÜR musste der Supreme Court angerufen werden!?
The China Consumers Association (CCA) has asked Apple to investigate "a considerable number" of reports by users of iPhone 6 and 6s phones that the devices have been shutting off and cannot be turned back on again, it said on Tuesday.
This post discusses a design issue at the core of the XNU kernel which powers iOS and MacOS. Apple have shipped two iterations of mitigations followed yesterday by a large refactor in MacOS 10.12.1/iOS 10.1. We’ll look at the bugs, how they can be exploited to escape sandboxes and escalate privileges, and how we can defeat each of the mitigations. Every step is accompanied by a working exploit.
Nun kann man Apple das glauben oder nicht, aber der Deal bei Google war immer, dass man denen die Verwertungsrechte für seine Seele verkauft, und dafür kriegt man den ganzen Scheiß billig bis gratis. Von "billig bis gratis" kann bei diesen Pixel-Teilen keine Rede sein, aber die Daten will Google auch noch alle haben. Ich sagen denen mal vorsichtig voraus, mit diesen Telefonen baden zu gehen. Vereint alle Nachteile von Android mit dem Preis von Apple. Ich hoffe mal, dass die übliche Abzockwoche für die doofen Early Adopter ist, der Hipster-Negativ-Sale. Und dann werden die Geräte halb so teuer. Oder so.
Oder es könnte auch heißen, dass ein echt signifikanter Anteil von deren Benutzern die ganze Google-Integration rauskantet und die Geräte außerhalb des Google-Datenstaubsaugersystems verwendet. Das fände ich ja hochspannend, wenn das so wäre. Ich sehe indes keine Indizien dafür. Selbst ansonsten schlaue und reflektiert denkende Menschen in meinem Bekanntenkreis tun ihre Kalender bei Google auf die Server und begründet das dann mit Convenience.
Update: Naja, wobei, an die Google-Geräte kann man wenigstens noch seinen Kopfhörer anschließen.
Wie kann es denn so eine bescheuerte Hintertür in den US-Steuergesetzen geben?!
Nun, wie sich rausstellt, ist das schon länger bekannt. Und die haben auch versucht, was zu tun, die US-Finanzbehörden:
In new guidance, the department tightened regulations requiring American businesses to bring foreign profits back home — a process known as repatriation — if they want to get credit for taxes paid in that country. Treasury issued the rule last year to prevent companies from enjoying a foreign tax credit when the related profits remained offshore. But businesses circumvented it by shifting money within their foreign subsidiaries, and Thursday's guidance aimed to end that practice.The department said it hoped the new notice would reduce corporate America’s incentive to “take advantage of our broken international tax system.” Washington is worried that mounting international tax obligations will eat away at what's left for Uncle Sam.
Ich glaube ja bei sowas nicht an Zufälle. Das war bestimmt harte Lobbyarbeit, diese Hintertüren da unterzubringen.
"Überzogene Forderungen bei gleichzeitigem Abbruch der Verhandlungen über das Freihandelsabkommen TTIP werden die Handelsbeziehungen massiv belasten", sagte Söder der "Süddeutschen Zeitung" (SZ). "Wir brauchen faire Steuerregeln, aber keinen Handelskrieg."Ich zitiere mal Heise dazu:
In den vergangenen Jahren hat Apple immer mehr Vermögen im Ausland angehäuft, um die hohe Abgeltungssteuer bei der Rückführung ausländischer Gewinne in die USA zu vermeiden. Ende Juni belief sich Apples im Ausland geparktes Barvermögen auf rund 215 Milliarden US-Dollar. Auch andere US-Tech-Unternehmen halten einen Großteil ihres Barvermögens im Ausland um Steuern zu sparen.Und davon will der Fiskus jetzt 13 Milliarden haben. Das sind rund 6%.
Und das Krasse ist: Selbst das ist nur ein Tropfen auf dem heißen Stein für Apple.
Zusätzlich zu Internetsperren könnten auch große Betriebssystemhersteller wie Microsoft, Apple und Google illegale Downloads verhindern. Diese könnten sogar zu diesem Verhalten gesetzlich gezwungen werden, heißt es in einem Bericht der Film- und Fernsehindustrie.Ja, die Betriebssysteme sind viel zu sehr Plattform, mit dem Zweck, Dinge zu ermöglichen. Das geht so nicht. Was wir stattdessen brauchen sind Gefängnisse, deren Aufgabe es ist, Dinge zu verhindern!1!! (Danke, Matthias)
Besonders beunruhigend:
Remote code execution vulnerability in OpenSSL & BoringSSLNanu? Neue Lücke? Nein! Die hier! Seit Mai bekannt. Redhat hat (um nur mal ein Beispiel für eine andere Linux-Distribution zu nennen) seit dem 10.5. ein Patch draußen. Android wird jetzt gefixt. Ein Bug, den sie als "remote code execution" einschätzen und selbst als kritisch einstufen.
Soll das ein Scherz sein? Ist das der Versuch, Microsoft weniger lahmarschig aussehen zu lassen?
Naja auf der anderen Seite ist das Bulletin auch schon wieder fast nen Monat alt. Keine Ahnung, wieso das jetzt erst die Runde macht.
Hier ist, was der CEO neulich sagte:
BLACKBERRY CEO John Chen has said he is "disturbed" by Apple's tough approach to encryption and user privacy, warning that the firm's attitude is harmful to society.[…]
Chen remarked: "We are indeed in a dark place when companies put their reputations above the greater good."
Der eine oder andere wird sich jetzt fragen: Nanu? Sowas gibt es noch nicht? NA KLAR gibt es das schon!
Es heißt BSI.
Das BSI wurde 1991 gegründet und ging aus der Zentralstelle für Sicherheit in der Informationstechnik (ZSI) hervor, deren Vorgängerbehörde die dem Bundesnachrichtendienst (BND) unterstellte Zentralstelle für das Chiffrierwesen (ZfCh) war.Die BND-Abteilung, aus der das BSI hervorging, war für das Entschlüsseln von abgehörten Daten zuständig. Heute wird man beim BSI natürlich ungerne auf die Schlapphut-Skelette im Keller angesprochen.
Die neue Stelle heißt
Die "Zentrale Stelle für Informationstechnik im Sicherheitsbereich", kurz ZITiS, soll Bundespolizei, Bundeskriminalamt und Bundesamt für Verfassungsschutz dabei helfen, verschlüsselte Nachrichten zu dechiffrieren, die beispielsweise über Apples iPhone oder Messengerdienste wie Whatsapp, Signal oder Threema verschickt werden.Ich würde mir da im Moment nicht viel Sorgen machen, dass die irgendwas davon entschlüsseln können, oder auch nur in absehbarer Zeit dazu in der Lage sein werden. Aber was weiß ich schon.
Update: Die waren nicht nur für das Entschlüsseln zuständig beim BND, auch für das Verschlüsseln.
Mich würde mal interessieren, wieviel davon ein reines Windows-Problem ist, und wie doll Chrome plattformübergreifend stinkt an der Stelle. Von Apple-Usern hört man ja auch, dass ein Laptop im Akku-Modus mit Safari deutlich länger durchhält als mit Chrome.
Ich habe das bisher nicht gemessen, aber mir ist unter Linux aufgefallen, dass die Videocodecs in Firefox schlecht sind (wobei das vermutlich vp9 ist). Youtube in Fullscreen (4k) flutscht mit Chrome, aber mit Firefox ruckelt und wackelt es.
Nur mal so als Datenpunkt muss ich aber sagen, dass ich die längste Batteriezeit beim Webklicken bisher mit Chromebooks erlebt habe.
The last time the mayor of Cupertino walked into Apple – the largest company in his small Californian town and, it so happens, the most valuable company in the world – he hoped to have a meeting to talk about traffic congestion.Barry Chang barely made it into the lobby when Apple’s security team surrounded and escorted him off the property.
They said ‘you cannot come in, you’re not invited’.
Oh und Steuern zahlen sie auch nicht. Warum auch. Die örtlichen Politiker haben alle gestrichen die Hosen voll. Hier ist, was passierte, als er einen Vorschlag einbringen wollte, dass Apple mal ein paar Milliönchen aus der Sofaritze kratzen könnte für die örtliche Infrastruktur:To move on the proposal, Chang only needed to get a single vote ‘yes’ among the three other eligible council members. He failed to get that vote.
Bisschen Kontext. Money Quote:
Special thanks to Mr. D. J. Bernstein for refinements to the algorithm that allowed us to reduce the required workload considerablyDas sind übrigens die selben Leute, die auch hinter der Meldung hier standen. Damals war die Aufklärung, dass das Bitflipper waren, die dann auch keine gültige Signatur hatten, die man also auch gar nicht versehentlich verwenden könnte.
Dan Bernstein erklärt das mal in seinem Blog. (Danke, Peter)
Ich finde ja gar nicht so bemerkenswert, dass Apple darüber nachdenkt, sondern dass da anscheinend sonst niemand drüber nachdenkt.
This specific flaw in Apple’s iMessage platform likely would not have helped the FBI pull data from an iPhone recovered in December’s San Bernardino, Calif., terrorist attack, but it shatters the notion that strong commercial encryption has left no opening for law enforcement and hackers, said Matthew D. Green, a computer science professor at Johns Hopkins University who led the research team.
"Apple’s rhetoric is not only false, but also corrosive of the very institutions that are best able to safeguard our liberty and our rights." The government also pushed back against Apple's concerns over the "backdoor" to iPhone making its way to the wrong hands. "Far from being a master key, the software simply disarms a booby trap affixed to one door."Apple schießt eine Salve Mimimi zurück:He accused the government of trying to "vilify Apple" on unsubstantiated theories.und legt einen Schmetterball Patriotismus nach:"Everyone should beware, because it seems like disagreeing with the Department of Justice means you must be evil and anti-American," he said in an on-the-record statement. "Nothing could be further from the truth."Darauf wirft das FBI mit einem Eimer Klärschlamm:the Justice Dept. said in its filing that Apple "made special accommodations in China."Jawohl! "Ihr habt doch sicher schon eine Backdoor für die Chinesen drin!1!!"Apple reagiert seinerseits mit einer schönen Metapher:
Attorneys for Apple — who were also on the call — quickly rebuffed the allegation, saying that some of the Justice Dept.'s arguments are like "throwing pasta on a wall and hoping something sticks."
Wenn jetzt schon Apple-Erpressungstrojaner mit valider Signatur kommen.
Members of Congress did something almost unheard of at Tuesday’s hearing on the brewing battle over encryption between Apple and the FBI: their job.*Wieher*
(Jaja, das ist nicht das HQ sondern die Labs in Sunnyvale, aber dann klappt der Witz nicht)
Darauf haben damals, als Chrome mit dem Auto-Update-Kram anfing, einige Paranoide hingewiesen. Heute erinnert sich da kaum noch jemand dran.
Schön formuliert:
So when Apple says the FBI is trying to "force us to build a backdoor into our products," what they are really saying is that the FBI is trying to force them to use a backdoor which already exists in their products. (The fact that the FBI is also asking them to write new software is not as relevant, because they could pay somebody else to do that. The thing that Apple can provide which nobody else can is the signature.)Ich ärgere mich ja inzwischen mehr darüber, dass Firefox keine Diffs für ihre Quellcode-Tarballs anbietet, aber für die Binaries irgendwelche schrottige Bindelta-Technologie haben. Die wollen schlicht gar nicht mehr, dass jemand den Quellcode anguckt oder selber aus den Quellen seine Pakete baut. Das ist nur noch ein PR-Argument, kein inhaltliches mehr.
Auf der anderen Seite ist natürlich die Frage, wie das gehen soll, wenn Apple Updates ausliefern kann. Dann kann Apple auch böse Updates ausliefern. Mit Verschlüsselung kann man da nur am Rand was machen. Zumindest der Teil, der die Verschlüsselung macht, und den Schlüssel in der Hand hat, der müsste dann un-update-bar sein.
Angeblich ist ja schon bei den Nachfolgemodellen von dem Telefon, um das es in dieser Sache ging, die Krypto in einem Chip und nicht in Software, und das FBI will die Verzögerung bei falscher PIN-Eingabe umgehen, indem sie die Firmware von diesem Krypto-Chip kaputtupdaten. Rein konzeptionell kann man aber mit physischem Zugriff auf die Hardware immer reinkommen, es ist bloß eine Frage der Kosten. Fragt nur mal die Pay-TV-Industrie und die Spielekonsolenhersteller.
Ich möchte aber auf eine Sache bei der Gelegenheit hinweisen: Code Signing hat nicht geholfen. Viele Leute halten Code Signing für ein Sicherheitsfeature. Ist es nicht.
Oh und nur keine bösen Updates mehr reinzulassen ist nicht genug. Man hat auch immer das Problem, wenn jemand ein gutes Update nicht einspielt. Oder was wenn das FBI Apple richterlich verpflichten lässt, für einen ihnen bekannten 0day keinen Patch auszuliefern?
Erfahrungsgemäß ist die Gefahr groß, dass es sich hier um Semantik-Spielchen handelt, die ein paar Zäune ein paar cm verschieben, aber am Ende ist doch alles wie vorher.
Update: Bill Gates dementiert.
Und unsere Verschlüsselung gegen das fiese FBI verteidigt?
Und ich will jetzt nicht auf die naheliegende Theorie hinaus, dass Apple dem FBI nicht helfen wollte, weil sie einen Exklusivvertrag mit der NSA haben. Nein.
Ich will hierauf hinaus:
Apple had asked the F.B.I. to issue its application for the tool under seal. But the government made it public, prompting Mr. Cook to go into bunker mode to draft a response, according to people privy to the discussions, who spoke on condition of anonymity. The result was the letter that Mr. Cook signed on Tuesday, where he argued that it set a “dangerous precedent” for a company to be forced to build tools for the government that weaken security.Apple hat das FBI gebeten, sie nicht-öffentlich nach der Backdoor zu fragen, und dann hätten sie sie auch ohne zu zucken eingebaut. Aber als das FBI dann aus internen Machtdemonstrationsgründen gegenüber den anderen Geheimdiensten und anderen Tech-Firmen einen auf dicke Hose machte und das öffentlich über einen richterlichen Beschluss machte, da hat Apple sich dann entschieden, lieber einen auf theatralischen offenen Brief zu machen.Apple scheißt auf eure Privatsphäre. Außer man kann für die PR ausschlachten. Dann machen sie Rehaugen und zähneknirschen ein bisschen in die Kamera.
Das ist alles so eine verlogene Scheiße.
Und dass die ganzen Zeitungen, die unsere Daten an Dutzende von Werbenetzwerken verkauft haben, es wagen, über Datenschutz zu schreiben, das ist auch noch mal ein Thema für einen anderen Rant.
Ich bade hier ja gerade in den Tränen der Apple-User, die mich vollheulen, dass Apple doch Datenschutz total wichtig nimmt. Ja, voll sicher, eure Daten. Da in dem Apple-Tresor. Wo außer von Apple sanktionierten Brosamen keine Realitätsfitzelchen durchgelassen werden. Pest und Cholera.
Ja wie jetzt. Duh?! Hat das ernsthaft irgendjemand noch nicht mitgekriegt? Die alten Männer mit ihren Filzstiften wollen Zugriff auf alles und jeden, immer und überall. Wenn es existiert, wollen sie Zugriff. Wollen nicht nur. Haben.
Wir reden hier von einer Junta, die mal eben für ein ganzes fremdes Land einen Ausschalter installieren, damit sie willkürlich das andere Land runterfahren können. Seit Jahren scrollen die Meldungen an uns vorbei, was GCHQ und NSA alles abschnorcheln. Und wo sie keinen offiziellen Zugriff kriegen, da beschaffen sie sich halt inoffiziellen Zugriff.
Und jetzt sollen wir denen ernsthaft glauben, dass sie ein gammeliges Iphone nicht entsperrt kriegen?!
Für wie blöde halten die uns eigentlich!?
Nein, liebe Leser, lasst euch da mal nicht verarschen.
Das ist Theater, dieser offene Brief von Apple. Selbstverständlich kann alles entsperrt werden.
Wir reden hier von der Regierung der USA auf der anderen Seite. Die Emails und SMSsen sind eh an der Schnorcheln der NSA vorbei gekommen, die Telefonat-Metadaten stehen in der Datenbank der Telcos, die mit der Polizei kooperieren.
Ich kenn mich jetzt nicht damit aus, wie Apple ihren Cloud-Scheiß technisch macht, aber ich würde mal vermuten, dass man da an die Daten wieder rankommt, wenn man genug Zeit zum PINs durchprobieren hat und an den Computer mit dem Itunes drankommt.
Wenn nicht eh die PIN als Textdatei auf besagtem Computer liegt.
Oder die NSA benutzt einen ihrer Baseband- oder Jailbreak-0days. Oder man wartet halt ein bisschen, bis die 0days von heute die bekannten Lücken von morgen sind, und dann benutzt man eine bekannte Lücke.
Error 53.
Warum gibt es eigentlich noch Leute, die bei denen kaufen? Was müssen die noch machen? Eure Kinder entführen und in Saudi-Arabien auf dem Sklavenmarkt verkaufen?
Update: Ein Einsender meint, das sei ein klarer Fall für die 2 Jahre Gewährleistung in der EU, denn dass Apple das Gerät aus der Ferne bricken kann, das war offensichtlich ein beim Kauf schon angelegter Mangel.
So, dann gucken wir doch mal in den Fahrplan.
Tag 1: Der 11:30-Slot hängt davon ab, wer die Keynote macht. Ich denke mal, ich würde da in der Keynote bleiben.
Der Slot ab 12:30 ist schwierig. Saal 1 ist eine Netzpolitik-NSAUA-Veteranin, das wird sicher spannend. Saal 2 ist die Erfinderin von Blue Pill, wenn ihr euch an den Hype vor ein paar Jahren erinnert. Ihr Konzept im Vortrag hat sie schon geblogt. Es ist: Stateless Laptop. Sie fordert eine Hardware ohne Speichermedien, insbesondere ohne Firmwares und Flash-Biosse, kurz: was, wo man nirgendwo Malware einspielen kann. Ich glaube, der Zug ist abgefahren. Und vor allem ist es bei heutiger hochintegrierter Elektronik gar nicht so einfach, von außen zu bestätigen, dass da nirgendwo Flash-Speicher mit dabei ist. Aber anhören möchte ich mir das trotzdem. Mal gucken, entscheide ich kurzfristig.
Der Slot ab 14:00 wird wohl Saal 1 oder verlängerte Mittagspause mit Socializing bei mir.
Beim Slot um 16:00 tendiere ich zu Saal 2. Bin eher nicht so der Hardware-Hacker, aber Saal 1 ist noch hardware-iger.
Der Slot um 17:00 wäre eigentlich ein klarer Fall von Saal 2, aber da kenne ich den Vortragenden und habe die Folien korrekturgelesen. Mal gucken.
Der Slot um 18:30 ist wieder schwierig, weil es in beiden großen Sälen um Massen-Pwnage geht. Saal 1 ist von den Scada-Strangelove-Leuten und handelt von Eisenbahn, Saal 2 ist glaube ich der Vortrag, in dem das Netz von Kabel Deutschland Schaden nimmt. Wobei sie das schon gefixt haben werden. Also eher Schaden fürs Ansehen.
Der Slot um 20:30 wird Saal 2 für mich, gar keine Frage. Saal 1 betrifft Apple. Who cares.
Der Slot um 21:30 wird ganz klar Saal 1. Saal 2 ist sicher auch spannend und cool, aber Saal 1 ist ein Hardware-Ingenieur von AMD, eine der wenigen ernstzunehmenden Einreichungen, die wir zu Failosophy hatten. Bei Failosophy war die Idee, Industrieveteranen mal über ihre Fehlstarts berichten zu lassen, damit man was daraus lernen kann. Und um "boah guckt mal alle wie toll wir hier sind" zu vermeiden. Da muss ich also hin. Saal 3 klingt auch gut, aber Saal 1 ist Pflicht an der Stelle. Gut, dass wir Video-Aufzeichnungen haben!
Der Slot um 23:00 ist schon wieder ein Konflikt zwischen Saal 1, wo djb und Tanja Lange sprechen werden (mehr muss ich gar nicht wissen, da werde ich sitzen) und Saal 2, wo mein alter Kumpel Gadi und einer seiner Techniker-Mitarbeiter einen dem Vernehmen nach sehr coolen Vortrag über Trojaner-Zoologie halten wird. Na mal gucken, vielleicht geh ich auch zu Gadi und guck mir djb auf Video an. Eine harte Entscheidung. Mann Mann Mann, ey!! Wer macht eigentlich immer diese Fahrpläne?! *rant*
Update: Ich erfahre gerade aus gewöhnlich gut informierter Quelle, dass man den VW-Talk unbedingt sehen will. Der ist heute um 14:00 in Saal 1.
Update: Beim Durchgucken der anderen Tage fällt mir auf, dass ich fehlinformiert war. Wir haben da einige coole Failosophy-Talks.
Frank steuert die Fachbereiche für Cyber-Feng-Shui, Cyberanthroposophie und Cyberontologie bei, ich bin für die Orgonenenergetik, Ordo-Fefeminismus und Fragestellungen aus der kybernetischen Vecturalmystik zuständig.
Ernstgemeinte Bewerbungen auf Beitritt zum Exzellenscluster werden wir wohlwollend prüfen, machen aber keine Versprechungen an dieser Stelle.
Update: Erklärtes Ziel des Exzellensclusters ist full-spectrum cyber, falls das jemandem nicht klar war.
Update: Für den interdisziplinären Aufbaukurs "Full-Spectrum Cyber" kommt überhaupt nur ein Dozent mit ausreichend Credentials in Frage. Damit wir uns jemanden von dem Kaliber leisten können, müssen wir aber noch ein paar Sponsoren gewinnen, fürchte ich.
Update: Wir konnten einen weiteren Stützpfeiler für unseren Exzellenzcluster gewinnen:
Das Bachinstitut für theoretische, angewandte und abgewandte Parainformatik könnte Euren Studierenden Austauschsemester mit den Spezialisierungsrichtungen Systemischer Asozialkonstruktivismus, Angewandte kanonische Cyberepistemologie, Protoorgasmische Multispektralpsychedelik, sowie Aufbaukurse in Indiskreter Hypermathematik, Orgonographie und Dissoziationsrechnung anbieten.
Update: Jeder Exzellenzcluster braucht auch einen Leuchtturm-Forschungsprojekt auf höchstem Niveau, an einem Lehrstuhl von internationalem Renommee. Bei uns ist das:
Der Kurz-Lehrstuhl für Cybersophrologie steuert seine interdisziplinäre Forschungsgruppe für empirische Forschungseklektik bei, die sich aktuell mit den Doktorarbeiten einiger hochrangiger Politiker beschäftigt.
Update: Sagten wir Sponsoren? Wir meinten natürlich: Drittmittel!
Update: Ich fürchte, wir müssen attraktiver für das Militär werden, wenn wir das Drittmittelproblem lösen wollen. Wir brauchen gezielte APT-Forschung und sollten auch gleich ein paar Bullshit-Startups ausgründen und Patenttroll-Gerichtsverfahren gegen Apple und Samsung führen.
Update: Wir haben hier noch eine Bewerbung für die Sozietätsgesellschaft für Cybersteuerung, die Forschungsvorhaben zu polymultipler Cybertechnik, kybernetischer Philosophie und technischem Infrastrukturunterbau beisteuern möchte. Man versicherte uns dort auch glaubwürdig, Fördermittel der Bundeserprobungsstelle für intelligente Kyberwirkmittel acquirieren zu können.
Update: Ein Einsender wies darauf hin, dass theologische Fragen noch nicht ausreichend gewürdigt werden, um von einer wahrhaft ganzheitlichen Forschung sprechen zu können. Wir veranstalten daher im Sommersemester ein interdisziplinäres Forschungskolleg zur Cyberkartografierung der heiligen Dreifaltigkeit aus Cloud, APT und Full-Spectrum Cyber.
Im Review Prozess fand Apple Anstoß an den Folgenden Inhalten:Hardware attacks: hacking chips on the (very) cheap
Bluetooth Hacking – The State of The Art
Hacking Medical Devices
Gamehacking & Reverse Engineering
Crypto-Hacking Export restrictions
Jailbreak: eine Einführung
Social Engineering und Industriespionage
$kernel->infect(): Creating a cryptovirus for Symfony2 apps
Ich hoffe mal, die Verlage haben in der Zwischenzeit mal den Kopf aus ihrem Arsch gezogen und merken, dass proprietäre Plattformen mit Walled Garden keine akzeptable oder gar unterstützenswerte Distributionswege sind. Was kommt als nächstes, Apple killt die Tagesschau-App, weil die Tagesschau mal einen negativen Halbsatz über Apple fallen gelassen hat?
Mein Kumpel Erdgeist hat dazu mal ein paar Gedanken aufgeschrieben.
Aber macht ja nichts. Für den Preis, den man bei der Reparatur spart, kann man sich dann auch ein Android-Zweitgerät anschaffen. Oder man spart sich den Apple-Kram direkt ganz und kauft sich für das Geld fünf Android-Geräte. Oder was ist da der aktuelle Kurs?
Ja, äh, wofür brauchen wir dann noch gleich ein Angebot für junge Leute? Vielleicht solltet ihr einfach das normale Angebot so machen, dass sich junge Leute ernst genommen fühlen? Die alte Säcke haben sich ja schon daran gewöhnt, für dumm verkauft zu werden. Das jungen Leute haben da keinen Bock drauf. Das Problem löst ihr doch nicht, indem ihr sie mit buntem Tand ablenkt, sondern indem eure normalen Artikel weniger schlimm werden!
Ich meine, gucken wir doch mal kurz rein bei bento. Nehmen wir doch mal den Artikel, den spiegel.de direkt featured und in ihr Programm übernommen hat. Umfrage: So spießig ist die Generation Y wirklich. Wie, steht da nicht? Nein, steht da nicht. Das war die Bezeichnung bei spiegel.de. Untertitel:
Was wurde der Generation Y nicht alles vorgeworfen: langweilig, zahm, bieder. Jetzt zeigt eine Umfrage unter 18- bis 30-Jährigen: Das stimmt alles. Aber was ist daran so schlimm?Und wenn man dann draufklickt? Dann ist die Überschrift plötzlich "Future: So spießig sind wir wirklich". Die Schriftart der Überschrift heißt übrigens Maax und wirkt wie bei sputnik.de geklaut. Die Schriftart des Textes heißt Roboto Slab und ist von Android geklaut. Und der Untertitel bei bento.de?
Wir sind realistisch, nicht rebellisch, und finden Gesundheit, Sicherheit und Familie superwichtig. Das hat unsere Umfrage unter 18- bis 30-Jährigen ergeben. Ist das schlimm?Fällt jemandem was auf?
Tja, spiegel.de, so wird das nichts. Damit hat ihr mir ins Gesicht gesagt, dass ihr mich für einen alten Sack haltet, der sich von diesem Firlefanz nicht angesprochen fühlen sollte. Und bento wirkt auf mich wie so ein nerviger Animateur beim Pauschalurlaub, der händeringend versucht, sich bei den Elitegören anzubiedern und so zu tun als sei er einer von ihnen und hier könnten gleich alle total viel Spaß haben, wenn sie nur mitmachen und sich drauf einlassen. Sowas stößt mich ja eher ab.
Ihr kennt das vielleicht von Fernsehserien oder Filmen. Ihr guckt eine Weile hin, weil es aussieht, als gäbe es da interessante Twists in der Story. Als ob das alles ein schönes Gefüge ergäbe. Und irgendwann merkt ihr dann, dass das alles Bullshit ist, und von Fokusgruppen-Beobachtern so hingebastelt wurde, damit du dran bleibst und die Werbung guckst. Und plötzlich schaltest du angewidert aus und hast nie wieder Bock auf den Scheiß.
Ich glaube ja, dass Leute sich davon abgestoßen fühlen, wenn man ihnen den Eindruck vermittelt, man will sie einfangen. Wenn ich bei der Unterhaltungsshow den Eindruck erhalte, sie braucht mich dringender als ich sie. Ein Kabarettist bettelt ja auch nicht das Publikum an, sie mögen doch da bleiben und sich seine nächste Pointe anhören. Da würden auch alle sofort gehen. Nein. Es muss völlig klar sein, dass der da was zu sagen hat, und dass das interessant ist, und ich deshalb bleiben will.
Und das verkacken aus meiner Sicht einige Medien ganz gewaltig. Besonders häufig das Fernsehen. Amerikanische TV-Serien haben überhaupt immer viel zu viele Episoden pro Staffel und laufen viel zu lange. Ich habe mich immer darüber aufgeregt, dass die Briten bei ihren besten TV-Shows dann nur sowas wie 6 Episoden haben. Oder gar nur 3 bei Sherlock. DREI! Das reicht doch nicht!!
Aber vielleicht sind das ja deshalb die besten TV-Shows, weil die nur 6 Episoden haben?
Lieber weniger sagen, und dafür dann was zu sagen haben.
Wenn ich mir die bento-Homepage gerade angucke, sehe ich dort:
In der ersten Ausgabe schon so viel Füller-Scheiß! Dann unter "Today" einmal "Hi. Wir sind bento!". Na gut. Lassen wir mal durchgehen. Werbung für Facebook. Werbung für Nexus-Telefone. Werbung für Akte-X. Twitter-Beobachtungs-Freakshow über irgendeinen Republikaner, der irgendeinen hirnlosen Scheiß sagt. Und "Die Stimmen in meinem Kopf sind eigentlich ganz in Ordnung". Sorry, aber soweit komme ich normalerweise nicht. Ich wate doch nicht durch so viel Füller-Werbung, um dann so einer nichtssagenden aber möglicherweise interessanten Schlagzeile hinterher zu klicken! Wer drauf klickt, stellt fest: Ist auch Werbung. Für einen Pixarfilm. Darunter kommt noch "Musik" (Werbung für irgendwelche Acts), "Fühlen" (Was zur Hölle!) mit so Themen ala "Petra"/"Amica" oder "GQ"/"Playboy" (aber ohne entblößte Brüste).
Was an diesem Magazin ist denn bitte nicht schon in der ersten Ausgabe obsolet? Alles Werbung oder von woanders geklaut. Twitter- und Facebookklicken können die Leute auch selber, da brauchen sie kein "Magazin" für.
Jetzt sitze ich zwischen zwei Zielgruppen. Für bento zu alt und für spiegel.de zu jung. Na dann schaut mal, wer sich von euch Werbung reindrücken lässt.
Ich würde ja auch gerne mal wissen, wer auf spiegel.de die Videos klickt. Da muss man jeweils durch 20-30 Sekunden Werbung durch. Und das Video, wenn man es bis dahin durchhält, macht man dann nach 5 Sekunden rumzoomen wieder zu, weil es langweilt.
Und dann wundern sich die Redaktionen, wieso nicht mehr Leute klicken.
Update: So, und nachdem ihr bento.de gesehen habt, schaut euch mal himate.de an. Von denen hatte ich vor heute auch noch nie was gehört. Anscheinend hatten die gerade einen "Relaunch". Äußerlich genau das selbe wie bento. Der selbe von Sputnik geklaute Überschriftenstil, dafür die Schriftart der Artikeltexte nicht von Android geklaut sondern "Avenir" gekauft, eine serifenlose. Das macht man heutzutage so, Apple macht das ja auch! Weniger krass viel Werbung als bei Bento, dafür noch so Clickbait-Listenscheiß dazwischen. "9 Gründe, warum $WHATEVER" und "5 Wege high zu werden". Dazu noch eine Packung Buzzfeed-Pseudozuschauerintegration über "Fragen" wie "Kühlschrank, Obstkorb: Wie lagerst du dein Grünzeug?" (who gives a fuck?!) und "Rosenkohl – warum du ihn entweder liebst oder hasst" (ernsthaft?!?), ein bisschen Beziehungsbullshitkrisen"beratung" und so weiter. Die Site dient sich an wie ein aufdringlicher WG-Mitbewohner. Ihr wisst schon, so "Halt mal kurz das Bier, ich zeig dir mal was"-Typen. So Leute, die irgendwelchen falschen Bullshit aus dem Internet auch noch mal extra-falsch wiedergeben. "27 Apps, die dein Studium ultimativ leichter machen". Wie wäre es damit, die 27 Apps runterzuschmeißen, und sich aufs Studium zu konzentrieren statt mit dem Smartphone zu spielen? Mann ey. Mit Freunden wie diesen braucht man keine Feinde mehr.
Insgesamt frage ich mich, wieso irgendjemand glaubt, die Welt bräuchte solche Sites. Macht Buzzfeed so viel Kohle? Dann sollten wir vielleicht mal einen angemessenen Mindestlohn einführen und nicht noch mehr so Bullshit-Sites aufmachen.
Nun, dann solltet ihr euch mal diese Webseite hier durchlesen. Und dann könnt ihr euch amüsieren, dass die natürlich auch in den USA gehostet ist und damit unter diese Regelungen fallen würde.
Update: Google steht da nicht. Wer's gemerkt hat, kann sich 10 Medienkompetenzpunkte gutschreiben.
Ich kann das Gesabbel über diese so genannte "Flüchtlingskrise", unter der Deutschland angeblich ja ach so doll "leidet", langsam wirklich nicht mehr ernst nehmen. Mittwochmorgen hörte ich im Deutschlandfunk, daß die Unterbringung aller 800.000 Leute irgendwas um die 8 Milliarden Euro kosten würde - und zwar, wenn man es so aufzieht, wie die Hilfsorganisationen es gerne hätten.Das ist ja schon mal eine ganz wichtige Ansage. Ich würde das gerne noch kurz mit der Bankenkrise vergleichen, wo wir in der EU alleine für Spanien mal eben einen Rettungsschirm von 100 Milliarden aufgespannt haben. Und da diskutieren wir überhaupt noch über 8 Milliarden? Wo es um Menschenleben geht und nicht um unsere Renten verzockende Bankster?!Nun werden nach meiner Wahrnehmung diese so genannte Krise und die damit verbundenen Kosten ja landauf-landab als DAS Gesprächsthema überhaupt gehandelt. Ich halte das für eine groteske Fehlallokation von Aufmerksamkeit. Hier ist ein Beitrag von Zeit Online:
http://www.zeit.de/wirtschaft/unternehmen/2015-09/apple-iphone-steuern-europaDarin steht, daß die Firma Apple in den vergangenen fünf Jahren alleine für das Produkt iPhone aufgrund ihrer angewandten Gewinnverschiebungs-Buchhaltertricks satte neun Milliarden Euro an Steuern an den Finanzbehörden vorbeigeschleust hat. Und ich betone: Nur für das Produkt iPhone! Und das völlig legal. Weil unsere Regierungen das erlauben.
So. Und jetzt sage ich den Leuten, die sich hier als Opfer sehen: Überdenkt mal, wo ihr eure Aufmerksamkeit hintut!
Ich glaube, wir sollten bei der Gelegenheit mal auf die Tabelle mit den über die verschiedenen Steuern reinkommenden Beträge gucken. Alleine die Zinsabschlagssteuer 2012 sind über 8 Milliarden. Das ist die Quellensteuer! Ihr kennt die bestimmt, weil die Banken euch einen Brief geschrieben haben, dass ihr euch davon befreien lassen könnt, weil ihr zu wenig Zinsen einnehmt, um davon betroffen zu sein. Ja, DIE Steuer, die wahrscheinlich hier niemanden betrifft. Die alleine könnte für all die Flüchtlinge zahlen.
Tabaksteuer: 14 Milliarden. Kaffeesteuer + Schaumweinsteuer + Biersteuer: 3 Milliarden. Mit Tabak und Alk zusammen könnten wir nochmal doppelt so viele Flüchtlinge unterbringen.
Aber sei es drum. Wie sich rausstellt, hat #BlackLivesMatter "Walking Dead" entdeckt und sofort als mögliches Kritikziel erkannt. Denn — festhalten — die Zombie-Opfer in der Serie sind überproportional viele schwarze Männer, während die weißen, eh schon privilegierten Frauen alle überleben. Nein, wirklich!
Was sich erst wie eine Glosse liest, deckt dann aber doch einen wichtigen Punkt auf, der im Plot noch deutlich eklig-konservativer ist als der eh schon eklig-konservative Rest:
But while critics are trying to reverse-affirmative-action the body count (What do we want? More white zombies! When do we want them? Now!) they’re missing the real outrage — #BlackLivesMatter is helping cause the zombie apocalypse.As the show unfolds, outrage over police shootings is causing crowds to gather exactly where the zombies are, the crowds are refusing to disperse despite the fact that the entirety of human civilization hangs in the balance, and consequently they’re primed to be transformed from a spontaneous public uprising to a cannibalistic zombie herd in a matter of hours. It’s a clever plot device, one that explores how the public would actually react to mind-boggling video footage of an apparently harmless drug addict being shot over and over and over again simply because he was walking towards a police officer. But whether they mean to or not, police reform activists are causing the literal (literal!) end of the world.
Die Polizei schießt auf einen Zombie, und die doofen Aktivisten gegen Polizeibrutalität weigern sich, die Polizei ihre Arbeit machen zu lassen, formen eine Menschenmenge — und liefern damit das Epizentrum für die Zombieapokalypse. Hätten wir doch bloß die Polizei ihre Arbeit machen lassen, dann hätten wir jetzt keine Zombieapokalypse!1!!Übrigens, wenn euch Zombies nicht interessieren, dann ist der Artikel es trotzdem wert, denn er verlinkt dieses tolle Blog, das mit der Herde der Empörungstouristen auf Twitter und Tumblr mitläuft und ihr Herdenverhalten protokolliert. Der aktuelle Aufreger ist, dass Apple bei einer Produktvorstellung gezeigt hat, wie man ein Foto einer Frau nachbearbeitet, um sie lächeln zu lassen. (Danke, Mathias)
Bei der Gelegenheit frage ich mich gerade, ob ich nicht mit der Vorbis-Version aufhören kann. Die Browser, die Vorbis können, können inzwischen auch alle Opus. Ich vermute mal, dass der Hauptgrund, wieso noch Leute Vorbis ziehen, ist, dass sie das Vorbis-RSS abonniert haben.
Da würde es wahrscheinlich mehr Sinn machen, statt Vorbis ein AAC zu veröffentlichen, für die Gammelbrowser von Apple und Microsoft. Ist bei gleicher Soundqualität kleiner als MP3, und wer Gammelbrowser von Apple oder Microsoft verwendet, der scheißt eh auf Softwarepatente, Freihandelsabkommen, Umweltschutz, Klimawandel und Lebensmittel aus kontrolliert biologischem Anbau. Und vielleicht würde das die Peak-Bandbreiten-Situation etwas entschärfen, wenn wir da noch ein ranziges, nach Softwarepatenten stinkendes AAC für die Sandler-User der Gammel-Browser hintun. Die würden schlechte Soundqualität wahrscheinlich eh nicht erkennen. Da könnte man wahrscheinlich auch direkt WMA nehmen oder so.
Hey und um das mal so richtig schmerzen zu lassen, könnten wir das ja mit dem furchtbaren Apple-Encoder erzeugen!
Wer keinen Bock mehr auf öffentliche Geringschätzung hat, ist herzlich eingeladen, auf eine ordentliche Abspielplattform mit Opus zu wechseln :-)
Ich bin damit ehrlich gesagt immer noch unzufrieden. Ich finde, das CE-Gerät hätte man nicht erwähnen müssen. Diese ganzen Bullshit-Patente gehören entsorgt, weil sie Bullshit sind, nicht weil es Prior Art gibt. Man stelle sich mal vor, Microsoft oder diese Schweden von dem CE-Gerät hätten das damals patentiert und würden jetzt Apple damit erpressen. Oder den Rest der Branche. Oder man stelle sich vor, wir müssten alle Patentgebühren an die Erfinder von Tastatur, Maus und Resetknopf abdrücken. Auf ein Display mit abgerundeten Kanten darf es keine Schutzrechte geben, und auf diesen ganzen anderen Trivialkram auch nicht. Die Ansage der Vorinstanz klingt da schon besser für meine Ohren:
Dem Antrag Motorolas gab das Bundespatentgericht im April 2013 statt und erklärte das Patent für nichtig, weil das beschriebene Verfahren dem Stand der Technik entspreche, darüber hinaus kein technisches Problem löse und deshalb nicht patentierbar sei (Az. 2 Ni 59/11).Fuck yeah, so muss das laufen! Und der Typ beim Patentamt, der diesen Mist begutachtet und durchgewunken hat, der sollte rückwirkend ein paar Monatsgehälter verwirkt haben.
So gesehen müssen wir Microsoft dankbar sein, dass sie das so auf die Agenda gesetzt haben — und dass ihre Datenschutzbedingungen so verständlich sind, dass Leute sie gelesen haben! Über Apples Kleingedrucktes werden Witzchen gerissen, bei Microsoft lesen die Leute das und verstehen danach, was da passiert. Und sind empört.
Ich freue mich da sehr drüber, dass die Leute jetzt aufwachen. Aber ich finde es sehr ungerecht, dass sich der Zorn gegen Microsoft richtet, die beim Datenmissbrauch geradezu der Nachzügler sind, Jahre später dran als die Konkurrenz!
Wieso ist Cortana auf dem Desktop plötzlich schlimmer als OK Google oder Siri?
Vielleicht sollte ich diesem geschenkten Gaul nicht zu tief ins Maul schauen und mich einfach freuen, dass endlich jemand Interesse am Datenschutz hat.
Aus Sicht von Microsoft, Google und Apple sind die Zeiten vorbei, in denen man ein Gerät einfach nur so am Internet betreiben kann, ohne dass es ständig nach Hause telefoniert. Und selbst Linux-Distributionen telefonieren ja heutzutage nach Hause, und sei es nur zum Nachgucken, ob es Updates gibt.
O tempora, o mores!
Ich für meinen Teil glaube nicht, dass Windows 10 so viel schlimmer ist als vorherige Windows-Versionen, mal abgesehen von Cortana natürlich, und dafür kann man Microsoft nur partiell die Schuld geben. Da sahe sie sich halt durch Siri und Google Now unter Zugzwang gesetzt. Wenn man Cortana und Wifi Sense ausmacht, dann bleiben hauptsächlich Dinge übrig, die schon bei Windows 8 und früher ein Problem waren, wie der ganze Browser-Kram, der während der URL-Eingabe de facto ein Keylogger ist. Aber das macht Chroma ja auch und warnt da weniger klar vor.
Ich finde diese Grafik vor allem deshalb wichtig, weil die meisten Dinge davon Apple-User z.B. schon die ganze Zeit betreffen, nur regt sich von denen keiner drüber auf, weil die alle nicht die mentale Kapazität haben, um das Problem zu erkennen, bzw. um das als Problem zu erkennen. Und Android natürlich genau so. Was war bei Chrome neulich die Hölle los, als die Leute merkten, dass Google da unter Linux Google Now implementiert hat. Und die Aufregung kam auch dort initial nicht von Privatsphäre-Seite sondern von religiösem Fundamentalismus, weil Debilianisten fanden, das sei ein binärer Blob und gehöre nicht in ihre Distribution. Als ob so eine Funktion irgendwie vertretbarer wäre, wenn der Quellcode für die Clientseite offen liegt!
Wir können hier gerade live und in Farbe beobachten, wie die Welt den Bach runter geht. Das ist wie mit der Umweltverschmutzung, Klimawandel und Massentierhaltung. Alle sehen es, alle wissen, dass es uns alle umbringen wird, aber keiner hält es auf.
Der Einsender fragt: Arbeiten denn da nur Amateure?!
Wie, das fällt dir erst jetzt auf?!
Und und übrigens Hat der Shodan-Typ mal nach MongoDB gescannt und ein paar Terabyte Daten gefunden.
The vast majority of public MongoDB instances are operating in a cloud: Digital Ocean, Amazon, Linode and OVH round out the most popular destinations for hosting MongoDB without authorization enabled.Ist ja auch irgendwie klar. Der perfekte Sturm an inkompetentem Hipster-Computing. NoSQL in der Cloud.There's a total of 595.2 TB of data exposed on the Internet via publicly accessible MongoDB instances that don't have any form of authentication.Herzlichen Glückwunsch, liebe "Apple-Programmierer". (Danke, Andreas)
Besonders geil finde ich die Aufschlüsselung von dieser einen CNN-Webseite, weil das echt symptomatisch ist. Über 200 HTTP-Requests, 25 verschiedene Domains, und dann machen die am Ende spezielle Domains für ihre statischen Inhalte, um die übertragenen Cookies wegzuoptimieren und machen das Javascript unlesbar. Und vergeben kürzere Host- und Domainnamen. ALS OB DAS DAS PROBLEM WÄRE! Zum Vergleich: Ein Zugriff auf blog.fefe.de lädt eine Webseite und ein optionales CSS. Der Browser lädt ohne mein Zutun auch noch ein favicon und Apple lädt noch mal irgendeinen anderen Bullshit ungefragt, aber that's it. Alles von dem selben Server, drei von vier statisch und kommen aus dem Cache. Und der Brüller: Ich muss mir dann von Google Vorhaltungen machen lassen, mein CSS lieber nicht vorne zu laden, sondern per Javascript nachträglich, damit die Seite schneller rendert. Sonst gibt es Punktabzüge. So versifft ist dieses gammelige Schweineweb heutzutage!
Kann mir eigentlich mal jemand erklären, wieso die EU nicht bei diesem Cookie-Bullshit gleich mit ins Gesetz geschrieben hat, dass es möglich sein muss, die Funktionalität der Seite ohne Cookies abzurufen, und dass die beschissenen nervigen Cookieerlaubniseinhol-Einblendungen einer bestimmten Form genügen müssen, damit man sie mit einer einzelnen Adblocker-Rule wegmachen kann?
Oh und HÖRT ENDLICH AUF, MIR EURE NEWSLETTER ODER APPS ANDREHEN ZU WOLLEN!
Na, liebe Apple-Kunden? Seid ihr jetzt schön stolz auf euch?
Bei meinem Roadtrip in den USA sah ich ja einmal ein Bing-Maps-Kameraauto, aber das ist auch schon wieder old and busted, denn:
New hotness: Apple Maps-Auto!
Update: Ui das ist auch schon wieder alles old and busted: Nokia-Maps-Auto, Tomtom-Auto, Yandex-Maps-Auto.
ENDLICH sind wir weg von diesem Flash-Binärkack und von Binaries für irgendwelche speziellen Plattformen und haben Skriptsprachen für eine gemeinsame Plattform. Endlich kann man einfach Ctrl-U machen und sich angucken, was da passiert. Kaputte Skripte zur Not selber debuggen. Selbstgehackte DRM im Web ist endlich weg (abgesehen von diesem Chrome-Netflix-Zeugs).
Und was machen diese Schwachmaten da? Erfinden ein neues Binärformat fürs Web. Und sagen explizit an, dass das ein Compiler-Target sein soll. JA SUPER! Ich sage gleich mal an, dass es eine Industrie geben wird, die auf Basis davon DRM baut, die "Obfuscation"-Technologien verkaufen wird, und wir werden eine neue dunkle Ära für geschlossenes Web einleuten. Und das alles so völlig ohne Not! Und dann werden wir wieder "works best in Internet Explorer" haben. Eine Frage der Zeit, bis Microsoft oder Apple spezielle proprietäre APIs für ihre "Web-Binaries" exportieren. DirectX für WebAssembly! Und am Ende haben wir dann ein verkapptes .NET für Arme im Browser. Hint: Hatten wir schon. Hieß Silverlight. Ist gefloppt.
1. Akt: Monster verklagt Beats wegen "Betrugs und Piraterie".
2. Akt: Apple entzieht Monster die Lizenz für das "Made for i"-Logo.
Aus meiner Sicht kann es ja nur Gewinner geben, wenn sich Apple und Monster kloppen. Und wenn die sich im Sandkasten wälzen und gegenseitig an den Haaren ziehen: Umso besser.
Nun, Apple macht davon gerade Version 2.0. Sie klauen anderer Leute Content, und schreiben den jeweiligen Beklauten ihre Bedingungen per Email. Unter anderem "wenn wir verklagt werden, zahlst du das". Oh, und "wir nehmen an, dass du einverstanden bist. Wenn nicht, hättest du ja laut NEIN brüllen können."
Ja, ernsthaft! Apple schickt irgendwelchen Leuten im Internet Emails ala "btw hättest ja opt-out machen können".
Apple Maps? (Danke, Heiko)
Ich blogge das jetzt, weil ich gerade höre, dass die die Kameras keineswegs abmontiert haben in der Zwischenzeit. Das ist ja geradezu eine Einladung dazu, sich da mal ein paar Kröten auszahlen zu lassen. Wieso macht das keiner?
Und hier ist der Satz, den ich meine:
Aggressive tactics from the music giant have garnered scrutiny from the Department of JusticeDie Formulierung, die ich meine, ist "music giant". Damit ist Apple gemeint. Und das ist ja völlig richtig! Apple ist keine Elektronik-Firma, sondern ein Musik-Gigant. Sowas wie Universal. Oder Sony. Contentmafia!
bezüglich der Meldung, daß die Apple Watch nicht mit Tätowierungen kann: das gilt auch für andere Wearables, die grünes Licht zur Plethysmographie verwenden. Nur macht Apple das Entsperren der Uhr von einem vorhandenen Puls abhängig… was auch heißt, daß Leute mit Prothesen das Ding nicht frustfrei verwenden können.Wait, what!? (Danke, Gunther)
Wobei das für meine ungeschulten Augen eher wie ein xkcd-Comic als wie ein Flugplan aussieht in dem Foto da oben.
Update: Wie mir gerade diverse Avioniker bestätigen, handelt es sich bei dem xkcd-Comic um ein ILS-Chart. So sieht sowas aus (Seite 64).
"I just think [speaking out] was the responsible thing to do. Above anything, I would like people to say, 'Okay, she’s human. She’s obviously had a big life. She’s respectfully come to the table and said what she’s needed to say, and now it’s time for her to grow and heal.'"Mit anderen Worten: Sie sieht sich hier noch als Heldin der Geschichte. Das war ja bloß menschlich, und schaut her, ich bin hergekommen und habe gestanden! Jetzt muss ich erwachsener werden und heilen.Ja, heilen! Sagt die Frau, die mit falschen Krebsansagen hunderttausende von Dollars an Spenden … ja was sagt man da, hinterzogen hat?
Die Polizei hat sich übrigens entschieden, nicht zu ermitteln.
Man stelle sich mal vor, Bernie Madoff stellt sich vor Gericht hin und sagt: schaut her, ich habe gestanden, jetzt ist es Zeit für mich, erwachsen zu werden und zu heilen.
WTF?
Ich auch nicht. Ich baue aber auch die Platten eh immer aus, bevor ich ein Gerät irgendwo einschicke.
Hier ist mal ein Erfahrungsbericht, der per Mail eingegangen ist:
Wie wäre es, wenn man einfach mal direkt nach Administratorpasswörtern fragt? Ist sowieso viel einfacher. Ich wurde gestern von einem Mitarbeiter bei einem Apple Certified Service Provider nach meinem Passwort gefragt, damit der Techniker meine Platte entschlüsseln kann. Ohne die Daten auf der Festplatte, so sagte man mir, würde Apple nicht überprüfen können, ob die Hardware in Ordnung ist (???). Ja klar, das ist ganz normal. Das wird alles durchs Internet zu Apple geschickt. Die machen da nichts schlimmes mit. Das ist alles zu meiner eigenen Sicherheit. Der Grund dafür war ein loses Teil im Gehäuse. Also der Techniker musste quasi ne Schraube festziehen. Diese Spezialschrauben sind anscheinend so komplex, dass man definitiv uneingeschränkten Zugriff auf alles braucht und auch schauen muss, ob die Daten auf der Platte so sind, wie Apple das möchte.
Was sagt ihr? Schlangenöl hilft gegen Malware nicht? NA SOWAS! Hätte uns doch nur vorher jemand warnen können!1!!
Da frage ich mich ja: Sind auch die ganzen fiesen amerikanischen Werbenetzwerke dann weg, wenn man aus der Krim surft? Dann könnten die ja mal ein paar Kröten als VPN-Endpunkt verdienen dort :-)
IBM-Manager Michael Rhodin zeigte sich in der "Financial Times" zuversichtlich, dass vor allem jüngere Nutzer ihre Daten zur Verfügung stellen. "Die Generation, die die Apple Watch kauft, ist interessiert an Daten-Philantropie", sagte Rodin.Old and busted: Mann sind die Apple-User alle bescheuert!
New hotness: Das sind edle Daten-Philantropen!
In unserer Familie war so etwas ähnliches immer geflügeltes Wort auf er Autobahn, wenn uns ein Raser mit einem Porsche oder Motorrad überholt hat. „Das sind edle Menschen“, sagte mein Vater dann. „Organspender. Ohne die ginge Vieles nicht.“
Slice Intelligence estimates that 957,000 people in the U.S. pre-ordered an Apple Watch on Friday, the first day the watch was available for sale. According to ereceipt data from a panel of two million online shoppers, each Apple Watch buyer ordered an average of 1.3 watches, spending $503.83 per watch.Update: Hier geht gerade eine glaubwürdige Theorie ein, wieso die Leute 1,3 Uhren brauchen. Damit der Akku insgesamt einen Tag lang hält!
Bonus: Es hat mit out-of-band TCP data zu tun. Damit haben wir schon in den 80ern Netzwerkdienste abgeschossen *schwelg*
Oh und es wird noch besser:
Impact: A local application may escalate privileges using a compromised service intended to run with reduced privileges.Description: setreuid and setregid system calls failed to drop privileges permanently. This issue was addressed by correctly dropping privileges.
Apple, fuck yeah!
Und was passierte? Die Trading-Computer haben nicht verstanden, dass das ein Aprilscherz war, und haben Tesla-Aktien gekauft. Der Aktienkurs ging ein knappes Prozent hoch.
Wie kam Fefe eigentlich zu seinem Blog?Ein Gastbeitrag von Frank Rieger, meinem Co-Netzbeschaller bei Alternativlos).
Eine Erinnerung, die vielleicht die Wahrheit(TM) ist, oder aber doch nur eine schöne Geschichte.In einem sehr privaten, äußerst mysteriösen Chatsystem weit draußen in den abgelegenen Spiralarmen jener Galaxis, die irgendwann später von sensationsheischenden Journalisten "The Darknet" getauft wurde, begab sich eines Abends eine folgenschwere Konversation. Wieder einmal hatte Fefe den Tag über extensiv eine Funktion genutzt, die es erlaubte, URLs mit einem kurzen Kommentar in eine Art Notizbuch des Chatsystems zu posten, den anderen Insassen zur Kenntnis und Freude. Es gab keinen echten Konsens darüber, wofür und wie oft man dort Links hinterlassen sollte, bevor es als lästig empfunden wurde. Fefe war mit Abstand der fleissigste Nutzer, sein fortgeschrittenes News-Junkietum (siehe auch die causa Paperboy) hatte einen ersten Höhepunkt erreicht.
Eine kleine Handvoll Regulars fühlte sich aus unerfindlichen Gründen davon gestört. Vermutilch war es das lästige Gefühl, bei der Lektüre der schieren Menge an Informationen nicht mehr hinterherzukommen. "Hey Fefe, kannst Du Dir nicht mal ein Blog zulegen? Das wird echt ganz schön viel hier…" war der Tenor der zufällig zusammengewürfelten Runde. Ähnliche Rufe von anderen Teilnehmern waren immer wieder erschallt, nun war aber eine gefühlte kritische Maße erreicht.
Fefe tat, was er in solchen Situationen häufig tut. Erst polterte und paulte er ein wenig. Dann schmollte er ein bißchen. Dann setzte er sich hin und codete sich ein erstes Blogsystem, aus dem was gerade so an brauchbaren Fragmenten herumlag. Einen Webserver hatte er schon geschrieben, dann gab es da gerade noch einen LDAP-Server, der als Backend für die Posts bastardisiert wurde. Dann rumpelte, blitzte und krachte es noch geheimnisvoll hinter dem Vorhang und am Ende war blog.fefe.de geboren. Absichtlich schlicht, absichtlich kurz und knapp – mehr als ein Kommentar zur URL war ja auch nicht das Ziel. Und in seiner sparsamen Schlichtheit auch unter den widrigsten Bandbreiten-Umständen noch zu lesen – egal ob über GPRS, Rauchzeichen, Trommelsignale oder Brieftauben-IP.
Zehn Jahre später ist aus der täglichen News-Linkliste eine Institution geworden, eine beliebte Quelle des Abschreibens, ein Ort des Kopfschüttelns, Aufregens, Hassens, Angwidertseins, enthusiastischer Zustimmung, krassen Fanboitums und schnöden Neids. Wenn Fefe auf einen schwachbrüstigen Server linkt reichen die Klicks der Leser oft aus, das System zu überlasten. Wenn er eine Ente postet, ist sie nur schwer wieder aus der Welt zu bekommen. Und alles nur, weil ein paar Leute unbedacht meinten, Fefe solle sich doch mal gefälligst ein Blog zulegen, für seinen Linkposting-Durchfall…
(Anm. d. Redaktion: Ein Blog wollte ich damals eigentlich nicht haben, weil Tim Pritlove überall herumevangelisierte, heutzutage müsse jeder mindestens ein Blog haben, wenn nicht direkt auch gleich noch einen Podcast. Das roch mir alles zu sehr nach Apple-Technologien.)
“Our requirements are for a secure, SIM-enabled tablet with a good life expectancy and capable of supporting future upgrades.”Klingt ja schon mal nicht schlecht. Sicherheit, lange Lebensdauer, upgradebar, … was wäre euch da spontan eingefallen? Na klar!“The Apple iPad Air 2 meets these requirements and is competitively priced when compared with similar models.”Wenn ich über sichere, stabile, upgradebare Hardware nachdenke, fällt mir auch als erstes Apple ein!
diese Apps könnten Nutzer glauben lassen, es gäbe Viren für iOS.Well … duh :-)
Oh, übrigens: Told you so.
Ich habe nicht vor, mit meinen Prinzipien zu brechen an der Stelle, aber ich bin doch neugierig. Daher hier kurz der Aufruf, nur zur Befriedigung meiner Neugier: Wenn ihr berufsmäßig dieses Blog lest, z.B. weil ihr in einer Redaktion irgendwo arbeitet, dann hätte ich gerne eine kurze Email von euch gekriegt. Und wenn ihr das mit euren Chefs gebastelt kriegt, würde ich mich über ein kurzes Statement zum Jubiläum freuen — nicht in eurer Zeitung / Sendung, sondern nur so an mich, an die Bloginput-Emailadresse, und ich würde daraus dann zum Zehnjährigen ein Medley machen und hier posten.
Einfach nur ein
Hallo, wir sind die Redaktion des Neustädter Tagblattes, und wir lesen Fefes Blog seit 7 Jahren wegen des Sportteils.oder so, ihr versteht schon. Der Stichtag ist der 31. März.
Oh, es gibt einige Gruppen, bei denen ich mich besonders über eine Grußbotschaft freuen würde. Leute, die ich hier mal so richtig ausgiebig beschimpft habe. Ihr wisst schon. Springer-Presse, ehemaliges Nachrichtenmagazin, Verräterpartei, FDP, INSM, … falls da jemand jemanden kennt, der das klar machen könnte, da würde ich mich echt drüber freuen.
Nachrichten der Form "wir bei der Tagesschau / dem BND / T-Systems lesen dein Blog, wollen aber nicht genannt werden" nehme ich natürlich auch gerne entgegen und würde die dann auch nicht veröffentlichen. Ehrenwort!
"Beruflich" gerne weiter fassen. Ich kriege gerne Mails, solange ich nicht von JEDEM eine Mail jetzt kriege :-)
Update: Oh Mann, wenn ich so darüber nachdenke, wen ich alles so beschimpft habe über die Jahre … *hust* da müsste man ja dann auch diverse Ministerien und die Schlangenölhersteller und so auf die Liste. Und Apple. Und Microsoft. OpenBSD. In diesem Sinne: Ihr wisst wahrscheinlich, wenn ihr gemeint seid.
Wenn ihr, wie ich, gesagt habe: Apple interessiert mich nicht, *tabzumach*, dann habt ihr was verpasst.
Also presented at the Jamboree were successes in the targeting of Microsoft’s disk encryption technology, and the TPM chips that are used to store its encryption keys. Researchers at the CIA conference in 2010 boasted about the ability to extract the encryption keys used by BitLocker and thus decrypt private data stored on the computer. Because the TPM chip is used to protect the system from untrusted software, attacking it could allow the covert installation of malware onto the computer, which could be used to access otherwise encrypted communications and files of consumers. Microsoft declined to comment for this story.Das, liebe Freunde, ist ein Totalschaden. Davon kann man sich als Plattform nicht erholen. Die gesamte angebliche Daseinsberechtigung (abgesehen davon, dass es verhindern soll, dass wir Bugs in der Firmware durch Einspielen von coreboot fixen können) für diesen ganzen TPM-Rotz ist, dass wir damit verhindern können, dass unvertrauenswürdige Software auf unseren Kisten läuft. Wenn die CIA die Schlüssel extrahieren kann, dann ist das alles für den Arsch, und wir können allen Teilnehmern dieser eh vergifteten Infrastruktur überhaupt gar nichts mehr abnehmen. (Danke, David)
Und so kommt zusammen, was Rüdi uns seit Jahren als Horrorszenario auf den CCC-Kongressen und anderswo erzählt bezüglich TPM. TPM verhindert, dass wir unsere Hardware mit der Software unseres Vertrauens betreiben können.
Das ist die Apple-isierung unserer Computing-Infrastruktur. Erinnert ihr euch noch an früher? Da kaufte man einen Fernseher, und die Baupläne lagen bei. Der PC konnte seinen Siegeszug überhaupt nur antreten, weil er eine offene Plattform war. Das ist jetzt offensichtlich so tot wie das FAZ-Feuilleton. Zuckt noch ein bisschen. Und dann wundern sich alle, dass die Leute lieber Tablets kaufen. Tja, wenn ihr mir den Vorteil der PC-Plattform wegnehmt, geb ich euch auch nicht mehr den Aufpreis für einen PC.
Facebook’s Mark Zuckerberg, Yahoo’s Marissa Mayer, and Google’s Larry Paige and Eric Schmidt all declined White House invitations, opting to send top information security executives insteadAlso nicht völlig boykottieren, man schickt da doch noch ein bisschen Fußvolk hin, die dann vermutlich ansagen, wohin Obama sich die Wahlkampfkohle für Hillary mal stecken kann, wenn er nicht jetzt eine 180°-Wende macht. Tim Cook ging aber für Apple hin und hat da anscheinend einmal episch auf den Tisch gekotzt."Too many people do not feel free to practice their religion or practice their opinion or love who they choose," said Cook, who is gay. "Or love who they choose.""In a world where that information can make the difference between life and death," he continued, "if those of us in positions of responsibility fail to do everything in our power to protect the right of privacy, we risk something far more valuable than money. We risk our way of life."
Das ist natürlich eine absolute Farce, wenn Apple als Cloud-Betreiber und Datensammler par excellence da jetzt einen auf Privatsphäre heuchelt, aber es zeigt, dass die Tech-Branche gerade echt schlechte Laune hat. Die Nacktbilder sind schon wieder vergessen, huh?Naja, vielleicht ist das ja endlich unsubtil genug, dass Obama den Wink mit dem Zahnpfahl mitkriegt.
Aus dieser Blockadehaltung heraus entstand damals LLVM, das konkret das Ziel hatte, eine Plugin-fähige Infrastruktur zu bauen, aus der man dann schöne Dinge zusammenstöpseln kann. Und in der Tat hat LLVM in den letzten Jahren einen beispiellosen Siegeszug angetreten und hat — nicht zuletzt durch finanzielle Unterstützung von Apple — in Sachen Qualität des Codegenerators fast zu gcc aufgeschlossen.
Wenn ihr jetzt mal bei dem Link oben auf die Äußerungen von Stallman klickt, findet ihr dieses Statement:
It looks like there is a systematic effort to attack GNU packages.Ich fürchte, wir haben es hier mit einem entstehenden Grabenkrieg zwischen freier Software und Open Source zu tun. Wenn da keiner was tut, verlieren alle. Sehr traurig.
Apple baut eine Armbanduhr mit 2 ½ Stunden Akkulaufzeit. Wenn man sie nicht bedient. Sonst dann vermutlich weniger?
Update: Oh, falsch herum gelesen. Das ist bei "aktiver Benutzung". Sonst mehr. Na dann. m(
Die Telematikinfrastruktur soll demnach »für weitere Anwendungen im Gesundheitswesen und für weitere Leistungserbringer« geöffnet werden. Damit setzen Lobbyisten der IT-Industrie eines ihrer zentralen Anliegen durch. Bleibt dieser Punkt im Gesetz, könnten künftig private Firmen wie Apple mit den Produkten iHealth oder Apple Watch Patientendaten nutzen, um damit Profite zu machen.Ja super! (Danke, Dirk)
Kommt ihr NIE drauf!
Ohne die Links von Google News brechen ihre Leserzahlen ein. NA SOWAS! Also das war ja völlig unvorhersehbar! Hätte sie doch nur jemand warnen können!1!!
Und jetzt betteln sie die Regierung an, das Google-Gesetz zurückzunehmen.
Schade, dass ich den 30c3-Facepalm schon für Apple ausgegeben hatte. Das hier wäre auch ein schöner Kandidat gewesen.
So haben sie zum Beispiel das Funktionsträgerprinzip erfunden. Wenn der BND z.B. die EU-Kommission bespitzeln will, dann würden sie einfach argumentieren, dass sie den EU-Kommissar Oettinger als juristische Person abschnorcheln, nicht als tatsächliche Person, denn die Person Oettinger ist von BND-Bespitzelungen gesetzlich ausgenommen.
Lustigerweise hatten ja dieses Jahr mehrere Experten ausgesagt, dass sich das genau anders herum verhält. Der Grundrechtsschutz gilt auch für Nicht-Deutsche, der BND darf überhaupt niemanden "strategisch" abhören.
Update: Das ist alles der Hammer, aber ich will mal eine Stelle rausgreifen:
- Der BND wollte von Telekommunikations-Betreibern wie dem DE-CIX (Internet-Knoten in Frankfurt am Main) Zugriff auf Glasfaser-Leitungen, um diese einerseits mit Selektoren und Filtern von Grundrechtsträgern nach Artikel 10 zu “bereinigen”, andererseits aber auch die übrigen “Routine-Verkehre” zu verwenden und an andere ausländische Nachrichtendienste weiter zu geben. Die Opposition bezeichnet das als “Trick”, der BND als “Nutzung gesetzlicher Befugnisse mit erwünschten Nebeneffekten”.
- Mindestens ein Telekommunikations-Betreiber widersprach dieser Rechtsauffassung des BND und sagte, das sei illegal, auch nach § 206 Strafgesetzbuch: Verletzung des Post- oder Fernmeldegeheimnisses. Daraufhin “überzeugte” das Bundeskanzleramt den Telekommunikations-Betreiber mit einem persönlichen Treffen und einem “Freibrief” von der Rechtauffassung des BND.
Ich lese mal zwischen den Zeilen, dass es sich bei dem widersprechenden Unternehmen um DE-CIX gehandelt hat, aber letztlich ist es ja auch egal, wer das jetzt konkret war. Das muss man sich mal vorstellen! Das Bundeskanzleramt hat dann einen auf Der Pate gemacht und die "überzeugt". AU WEIA.
Update: Und nur damit ihr das auch alle gesehen habt: Der BND darf maximal 20% der Bandbreite absaugen. Gemeint ist offensichtlich nicht die Bandbreite der Leitung sondern der übertragenen Daten. Denn Leitungen werden ja nicht auf Anschlag betrieben sondern man will ordentlich Luft haben, falls mal ein DDoS vorbeikommt oder so.
Ein Iphone-Denkmal (!) an einer russischen Schule (!!) wurde jetzt abgebaut, weil Tim Cook sich geoutet hat (!!!). Damit war klar: Man muss den russischen Gesetzen genügen, und die Kinder vor Schwulen-Propaganda schützen. Außerdem kann man so ja auch dagegen Protestieren, dass Apple ja der NSA geholfen haben soll.
LOLWUT?!
Update: War wenig überraschend ein Hoax.
Lawyers representing the women claim Google should have been able to remove the pictures from the internet, and in failing to do so “made millions from the victimization of women,” the New York Post’s Page Six reported.Das muss man sich mal auf der Zunge zergehen lassen! So wenig Resthirn ist übrig bei typischen Apple-Usern, dass für sie jetzt Google Schuld ist. Denn wenn Apple Schuld wäre, dann müsste man ja eventuell sein Konsumverhalten ändern und deren Produkte nicht mehr kaufen. Und das geht ja nicht.Update: Und um das mal klar zu sagen: Google ist ja damit an beliebigen Internet-Inhalten Dritter Schuld. Und wisst ihr, warum? Weil wir als Gesellschaft es verdient haben. Weil wir Idioten die Contentmafia damit haben durchkommen lassen, Google für Links auf Warez in Anspruch zu nehmen. Das konnte gar nicht anders kommen.
Wer hätte das gedacht, dass ausgerechnet Axel Springer eines Tages die IT-Publikation rausbringen würde, die es als einzige wagt, sowas wie Kritik an Apple anzudeuten.
Schöner Präzedenzfall von Apple, auch. Ist wie bei der Merkel. Wenn die mal Kritik an den Amis äußert, dann kriegt sie auch gleich ein paar Konditionierungs-Peitschenhiebe und rückt noch ein Stück tiefer in den Dünndarm vor.
Das ist wie wenn man ein Tier zähmt.
Ich delektiere mich ja an den Tränen des "Computerbild"-"Redakteurs", der dann verwundert ist, was Apple denn hat, wir haben denen doch den Testsieg gegeben!1!! Ja, nee, so läuft das nicht. Da waren noch Spuren von Fakten in dem Artikel nachweisbar. Dass man DAS bei Axel Springer noch erklären muss, dass das ein Problem ist!1!!
Ich finde es ja falsch, an der Stelle nur Apple zu bestrafen. Auch Irland sollte eine Milliardennachzahlung tätigen müssen. Dumping-Steuersätze und Dumping-Datenschutz müssen handfeste, heftige, schmerzhafte Strafen nach sich ziehen, wenn wir wollen, dass das aufhört. Besonders geil sind die Auslassungen von Apple dazu.
Apple weist die Vorwürfe zurück. Man habe nie gedroht, Arbeitsplätze aus Irland abzuziehen, um Steuervorteile zu erzielen – es "gab niemals ein Quid pro quo mit der irischen Regierung", betonte Apples Financhef Lucas Meastri gegenüber der Financial Times.Ja nee, klar. "Schöne Arbeitsplätze habt ihr da! Wäre doch schade, wenn denen was zustöße!"
Im Übrigen dürfe man die OECD-Regelungen noch nicht anwenden, die gälten schließlich erst seit 2010 (!!) und seien von Irland halt noch nicht umgesetzt. Money Quote:
Der mit Irland ausgehandelte Steuersatz ist nach Apples Angabe "angemessen" – und mit den Steuerabgaben anderer Firmen vergleichbar.Mal abgesehen von dem tollen Nicht-Dementi… die haben da ihren Steuersatz ausgehandelt?! Krass.
Die bei Apple für den Test von iOS-Updates verantwortlichen Entwickler erhalten die neueste Hardware oft erst nach dem allgemeinen Verkaufsstart, wie Bloomberg berichtet.Die geben den Testern erst nach dem Release die Hardware? D.h. die shippen ungetestet? Und wundern sich dann, wenn da Fehler drin sind?! Was ist DAS denn für ein lächerlicher Kindergarten-Laden?
Aber wartet, wird noch besser!
Apple-Chef Tim Cook habe die interne Nutzung von unveröffentlichten iPhones aus Geheimhaltungsgründen erheblich eingeschränkt – lediglich Führungskräfte sollen ohne Ausnahmeerlaubnis Zugriff erhalten.Damit die auf Parties ordentlich damit posen können, nehme ich an. m(
Und DAS, meine Damen und Herren, ist der Facepalm des Jahres. Diese Firma betreibt und bezahlt eine Abteilung mit Testern, aber lässt sie aus Sicherheitsgründen nicht an das zu testende Produkt ran.
Da bleibt nur nur noch eines zu tun: feierlich den 30c3-Facepalm zu verlinken!
Auf der anderen Seite ist das nur konsequent. Dove kämpft ja auch gegen untergewichtige Models und mag Frauen wie sie sind. Und Always kümmert sich jetzt um Gleichberechtigung. Und Apple ist jetzt eure Privatsphäre wichtig. (Danke, Christoph)
Und wem das zu unwissenschaftlich ist: Stephen Hawking warnt davor, weitere Experimente mit dem Higgs boson könnten das Universum vernichten. Daily Mail FTW!
At very high energy levels, the Higgs boson could cause space and time suddenly collapse - and 'we wouldn't see it coming', the former Cambridge professor of mathematics says.The God particle, which gives shape and size to everything that exists, could cause a 'catastrophic vacuum delay' if scientists were to put it under extreme stress.
Vacuum Delay! Das ist ja noch geiler als der Doomsday Technobabble aus Star Trek! Da können das Omega-Molekül und Thetabandstrahlung nicht mithalten.Update: Hier gehen der Reihe nach Hinweise ein, dass die Daily Mail Hawking falsch zitiert haben könnte. NEIN!! DOCH!!! OH!!!! Meint ihr wirklich?!
Falls sich jemand dafür interessiert, was Hawking wirklich gesagt haben könnte, wäre der Googlebegriff übrigens vacuum decay, nicht delay. Oder False Vacuum. Ist nicht unspannend.
Verizon said (PDF) that a decision favoring the US would produce "dramatic conflict with foreign data protection laws." Apple and Cisco said (PDF) that the tech sector is put "at risk" of being sanctioned by foreign governments and that the US should seek cooperation with foreign nations via treaties, a position the US said was not practical.The Justice Department said that global jurisdiction is necessary in an age when "electronic communications are used extensively by criminals of all types in the United States and abroad, from fraudsters to hackers to drug dealers, in furtherance of violations of US law."
Die sagen offen an, dass sie sich weltweit für zuständig halten. Weil das Verbrechen ja auch international sei!1!! Bisschen viel Superheldenfilme geguckt, wie?
Money Quote:
"Apple is deeply committed to protecting the privacy of all our customers," the company said in response. "Privacy is built into our products and services from the earliest stages of design. We work tirelessly to deliver the most secure hardware and software in the world."So agil muss eine Firma erstmal sein, dass sie das "earliest stages of design" betitelt, wenn sie im Jahre 2014 STARTTLS einbauen.Oder hey, vielleicht war das ja schon eingebaut und sie haben es nur noch nicht angeschaltet? Gucken wir doch mal, was sie da für einen SMTP-Server benutzen…
220 st11p00mm-smtpin005.mac.com — Server ESMTP (Oracle Communications Messaging Server 7u4-27.08(7.0.4.27.7) 64bit (built Aug 22 2013))Oh… Oracle. Nun, äh, … ich habe da so eine Theorie, wieso sie bis heute gewartet haben, SSL auszurollen. *hust*
Bürochef Fahmi wird vorgeworfen, Mitglied der Muslimbruderschaft zu sein. Am bizarrsten ist der Vorwurf der Staatsanwaltschaft, dass die Fernsehbeträge der Journalisten mit dem Apple Computer-Schneideprogramm Final Cut Pro geschnitten und nach Doha geschickt worden seien.Um dazu mal den Einsender zu zitieren:
Militärdiktatur hin oder her, mit dem Vorgehen gegen Apple machen sie ordentlich wieder Punkte gut.:-)
Aber ja, ausgerechnet nach diesem Mann eine Journalistenschule und einen Journalismuspreis zu benennen, das ist in meinen Augen eine Farce.
Jake hat die Geschichte zu Henri Nannen vor der Annahme des Preises gegoogelt, und hatte vor, da eine Brandrede zu halten, hat sich aber dann nicht getraut, als er die ganzen Leute da sah und die nicht alle beleidigen wollte. Aber immerhin hat er das jetzt mal schön aufgeschrieben. Sehr schön, Jake!
Nun benutzt Apple aber nicht gcc sondern clang. Und da gibt es die Warnung zwar, aber sie muss manuell angeschaltet werden und ist nicht Teil von -W -Wall -Wextra. Das ist meiner Ansicht nach ein grober Fehler, den clang korrigieren sollte.
Aber wie ist denn das bei gcc? Wäre Apple sicher gewesen, wenn sie gcc eingesetzt hätten?
Wie sich rausstellt: Nein. gcc hat die Option vor ein paar Jahren deaktiviert. Ja, ganz weg. Die Kommandozeilen-Option gibt es noch, aber sie tut nichts mehr. Was für ein epischer Knieschuss, liebe gcc-Maintainer! Da habt ihr ja mal wieder mit Anlauf einen Kopfsprung ins Klo gemacht!
Man kann also im Moment Softwareentwicklern unter Linux nur empfehlen, clang mindestens als Zweitcompiler zu verwenden, um diese Warnung überhaupt kriegen zu können. Oder man steigt gleich ganz auf clang um, weil man keinen Bock mehr auf die Andrew Pinskis bei gcc hat.
Ich bleibe erstmal noch bei gcc, weil da immer noch geringfügig besserer Code rausfällt in meinen Tests.
Description: Secure Transport failed to validate the authenticity of the connection. This issue was addressed by restoring missing validation steps.Fast überflüssig zu erwähnen, dass es sich um Apple handelt.Update: Es handelt sich anscheinend um dieses Problem — Apple-SSL hat den Common Name nicht geprüft. Das ist ungefähr so das schlimmste, was man bei SSL verkacken kann. Und wie ihr sehen könnt, sitzt Apple seit Monaten auf dem Problem und hat ihre Kunden ins offene Messer laufen lassen. Tolle Firma ist das, wer würde… Oh guck mal da drüben, ein neues Iphone! Jetzt in hellgrün! Schnell kaufen!1!!
Update: Bei reddit behauptet jemand, es sei nicht dieser Bug. Und Adam Langley sagt, das Problem betrifft auch OS X, nicht nur die Mobilgeräte.
Update: goto fail;
Der Assange-Talk fiel weitgehend aus, weil fiese Saboteure ständig strategisch über Kabel stolperten und den Feed unterbrachen. Nicht nur den Feed zu Assange, sondern auch die Streams aus dem Saal, man konnte also nicht mal einen Stream sehen, wie Assange wegbrach. Die paar Sekunden, die die Verbindung stand, musste er sich dann vergleichsweise fiese Fragen stellen lassen. Aus meiner Sicht war dieser Ausgang eine Win-Win-Win-Situation. Sehr schön war auch, dass Sarah Harrison als Rednerin gewonnen werden konnte, was die zu sagen hatte fand ich eh interessanter als Julians Phrasen. Das war nämlich auffällig, dass er da genauso gebügelte PR-Phrasen raushaute wie man sonst von Politikern kriegt, ala "robust and meaningful action" und so. Furchtbar.
Den FX-Talk werde ich mir auf Video angucken, da haben wir nochmal Tippfehler in den Folien korrigiert und nochmal das Präsentationsnotebook durchgebootet (Apple, wissenschon).
Den Fnord-Jahresrückblick haben wir auch direkt für einen kleinen Fnord genutzt, indem wir das Publikum zu einem Simultan-Facepalm animierten, um das mal als Foto für sich zukünftig bietende Gelegenheiten da zu haben. Ich hörte, auch Saal 2 soll voll gewesen sein. Ob die da auch fazialpalmiert haben, weiß ich nicht. Wenn das so war und jemand ein Foto gemacht hat, bitte ich um Zusendung per Email.
Weil das das 10jährige Jubiläum war, hatten sich diverse Gruppierungen einige Fnords am Rande ausgedacht, u.a. trugen da zwei starke Männer ein blaues Fass auf die Bühne, mit dem Schild "Strategische Popcorn-Reserven". Dann gab es da noch ein trojanisches Pony mit bizarren Verschwörungsunterlagen (wenn ich das richtig verstanden habe, dann war das eine Sammlung aus Crackpot-Post, die bei Erfakreisen so im Briefkasten aufschlugen, hauptsächlich über 9/11). Außerdem gab es da noch eine Industrie-Tröte, deren Losgehen Frank durch beherztes Ziehen der Akkus verhindern konnte. Nachdem wir eh schon eine Stunde später als sonst lagen, und dann eine viertel Stunde verzögert wurden, weil FX überzogen hat, haben diese Einlagen leider noch eine halbe Stunde Verzögerung verursacht und Frank und mich aus dem Flow abgebracht. Das ist für das Publikum vielleicht nicht so offensichtlich, aber wir verbringen jedes Jahr Monate mit Sammeln, Aussieben, dem Finden von Geschichten und guten Illustrationen zu selbigen, und dem Aufbau eines Spannungsbogens. Da ist das dann schon schade, wenn der dann so zersägt wird. Gegen Ende merkte man ein bisschen, dass dem Publikum die Luft ausging, und das war halt vermeidbar. Ich denke mal, nächstes Jahr ist kein Jubiläum, da machen wir dann keine Unterbrechungen mehr während der Show, dann flutscht das noch besser. So war das nicht nur der späteste sondern auch der längste Fnord-Jahresrückblick.
Am nächsten Morgen gab es noch einen sehr empfehlenswerten Vortrag, der erste in Saal 1, Hacking the Czech Parliament via SMS. Die haben sich die Telefonnummern der Parlamentarier besorgt und dann auf eine Gelegenheit gewartet. Die kam, als ein Minister wegen Korruption verhaftet wurde und im Parlament bei einer Spezialanhörung Rede und Antwort stehen musste. Das wurde live übertragen und viele Menschen guckten zu. Die Vortragenden haben dann ein Drama aus Fake-SMSsen verschickt, die so aussahen, als schickten die die sich untereinander. Während also vorne ein Politiker steht und sich wegen Korruption verteidigen will, gehen hinten Botschaften per SMS herum wie "Das geht so nicht weiter, wir müssen hier mal wirklich was ändern, diese Korruption muss weg". Das Highlight war, dass der Premierminister dann der Presse sagte, ihm sei ja sofort klar gewesen, dass das Fake-SMSsen waren, weil die eine von seinem Finanzminister kam, und das sei ja offensichtlich, dass der niemals Reform vorschlagen würde :-)
Und jetzt ratet mal, wer ihnen da einen Strich durch die Rechnung macht? Na klar! Die EU-Kommission! (Danke, Michael)
So und jetzt will ich kein Geheule mehr hören.
Jedenfalls, was tun die Amerikaner? Fliegen da erstmal mit zwei B-52 Langstreckenbombern drüber. Taiwan hat sich übrigens auch schon gemeldet in dem Konflikt und beansprucht die Inseln auch für sich.
Beim Abschlussplädoyer vor der Jury am Dienstag erinnerte Apples Anwalt Harold McElhinny laut Bloomberg an die amerikanischen Fernseher seiner Kindheit. Diese gebe es nicht mehr, weil die Hersteller ihr geistiges Eigentum nicht geschützt hätten – "wir wissen alle, was passiert ist", zitiert ihn die Nachrichtenagentur.Da kann man nur sagen: Ein Glück, dass der Supreme Court Rassismus abgeschafft hat! Nicht auszudenken, wenn es in Amerika noch Rassismus gäbe!
Und im Übrigen: Wer sehnt sich nicht nach Schwarzweiß-Röhrenfernsehern mit Mono-Sound im Einbauschrank-Format und ohne Fernbedienung zurück?
Der Verkauf von Produkten, die wie ein iPhone oder iPad aussehen, hat das "Ansehen gemindert, dass die Welt Apple entgegenbringt"Ja nee, klar.[…]
Nutzer "stellen unsere Innovations- und Design-Fähigkeiten so wie nie zuvor in Frage"
Update: Es geht anscheinend um die Erstaktivierung. Wenn man das einmal aktiviert hat, gehen danach auch andere SIM-Karten.
Und unabhängig von der Frage, ob und wo Apple oder euer Gerät euren Fingerabdruck speichert: Euer Fingerabdruck ist Teil eurer Passdaten und wird u.a. bei der Einreise in viele Länder abgenommen.
Die schlechte: RSA BSAFE benutzt das als Default-RNG. Und nicht nur die, NIST hat eine Liste. Cisco, Apple, Juniper, McAfee, Blackberry, … bei den meisten wird das allerdings nicht Default sein.
Die gute Nachricht: BSAFE wird von keiner freien Software eingesetzt. Wenn ihr also Firefox unter Linux einsetzt, seid ihr sicher.
Ich bin mir gerade nicht sicher, wie das unter Windows ist. Da gibt es ein TLS vom System namens "SChannel". Das wird meines Wissens u.a. von IE und Chrome verwendet. Benutzt der BSAFE? Vermutlich. Es gab mal eine Zeit, da konnte man RSA und co gar nicht ohne BSAFE legal einsetzen in den USA, aus Patentgründen. Das müsste mal jemand herausfinden, wie das ist, und ob Windows den NSA-RNG einsetzt.
OpenSSL ist auch auf der Liste, aber die haben schon angesagt, dass sie das nur implementiert haben, weil ihnen jemand dafür Geld gegeben hat, und das ist nur an, wenn man den FIPS-Modus aktiviert, von dem sie im Übrigen dringend abraten und was nicht der Default ist.
Ping of Death war gestern, Apple ist einen Schritt weiter!
Rückblickend war diese 1984-Werbung von Apple ja echt ein Treppenwitz der Geschichte.
The Obama administration on Saturday vetoed a U.S. trade body's ban on the import and sale of some Apple Inc. iPhones and iPads, a rare move that upends a legal victory for smartphone rival Samsung Electronics Co.Die TUN nicht mal mehr so, als ginge es bei ihrem Rechtssystem um Gerechtigkeit! Klar, wir haben hier Gerichte und Behörden und so, aber deren Rechtssprüche gelten nur, wenn sie uns gefallen.
This command (command code 76) is a private command used by Spotlight searching on the AFP server. This command is not documented.Ja super, Apple! Das habt ihr aber fein gemacht! Da hat ja jemand VOLL verstanden, was der Sinn von Dokumentation ist!1!!
* CVE-2013-0242 Buffer overrun in regexp matcher has been fixed (Bugzilla #15078). * CVE-2013-1914 Stack overflow in getaddrinfo with many results has been fixed (Bugzilla #15330).Also habe ich mir gedachte, hey, die installiere ich doch mal, die Version ohne den so gut wie alle Netzwerk-Anwendungen betreffenden Remote Exploit. Aber in make install begibt sich das Makefile in eine Endlosschleife. m(
Diese Art von Bug würde man vielleicht von Apple erwarten. Ernsthaft, glibc?
Noch magenentleerender stößt mir auf, dass die Apple-Sprallos sich jetzt ernsthaft einen Heldenmythos zurechtlegen, dass Apple sich ja jahrelang geweigert hätte, mit der NSA zusammenzuarbeiten, und erst als der Heilige Steve in die ewigen Jagdgründe befohlen wurde, da knickte Apple ein!1!! Auf die Idee, dass Apple schlicht keine Rolle spielte als Kommunikationsinfrastrukturprovider, besonders für Terroristen, die ihr Geld lieber für Sprengstoff und Flugtickets ausgeben als für krass überteuerte Lifestyle-Gadgets, kommt natürlich niemand bei den Apple-Apologeten. m(
Auch das ist alles seit Jahrzehnten bekannt oder wird laut gemunkelt. Wirklich wissen tut man sowas natürlich nur in den seltensten Fällen. Aber in der Praxis gehe ich zumindest im Umgang mit Software aus den USA immer davon aus, dass da alle möglichen Dienste mal reingeguckt und nach 0day gesucht haben. Bei freier Software weiß man wenigstens, dass auch andere mal reingeguckt haben :-)
Update: Auch 0days werden laut Artikel rausgerückt, aber das bringt den Diensten weniger als den Quellcode rauszurücken. Denn das ist halt nur die Lücke, nicht der Exploit, und wenn man das von Microsoft kriegt, dann weiß man ja auch, dass die gerade dabei sind, das zu fixen. Daher gibt es nur ein sehr begrenztes Zeitfenster, in dem das tatsächlich ein 0day ist. Diese Vorab-Info über Sicherheitslücken an Regierungen ist übrigens auch seit Jahren bekannt.
QuickTimeAvailable for: Windows 7, Vista, XP SP2 or later
Impact: Playing a maliciously crafted movie file may lead to an unexpected application termination or arbitrary code execution
Description: A buffer overflow existed in the handling of H.263 encoded movie files. This issue was addressed through improved bounds checking.
CVE-ID
CVE-2013-1016 : Tom Gallagher (Microsoft) & Paul Bates (Microsoft) working with HP's Zero Day Initiative
Hmm, bestimmt ein Copy+Paste-Fehler, denkt ihr euch vielleicht. Microsoft würde doch keine Sicherheitslücken an Apple weitergeben, die sie in deren Produkten finden?
Und dann findet man diese ZDI-Seite mit den "upcoming advisories". ZDI kauft Sicherheitslücken, gibt die dann an die Hersteller weiter, und bezahlt den Einreicher. Deren Geschäftsmodell ist, dass sie die auch weiterverkaufen, bevor die Hersteller die fixen. Und da sieht man dann z.B. das:
ZDI-CAN-1737 Apple CVSS: 6.8 2013-05-14 (27 days ago) 2013-11-10Und so wird dann ein Schuh draus. Dieser Tom Gallaghar arbeitet an der Security von Office. Und Office kann Quicktime einbetten. Und so ergibt sich plötzlich ein stimmiges Bild. Die werden da ihre Office-Dokumente gefuzzt haben, und da waren teilweise Quicktime-Objekte drin, die dann beim Parsen in die Luft flogen. Und dann haben die das halt an ZDI verkauft. Ich wundere mich nur, dass Microsoft das zulässt. Und dass die da nicht nur ihre Namen sondern auch "(Microsoft)" dranschreiben.Discovered by: Tom Gallagher (Microsoft) & Paul Bates (Microsoft)
The National Security Agency and the FBI are tapping directly into the central servers of nine leading U.S. Internet companies, extracting audio, video, photographs, e-mails, documents and connection logs that enable analysts to track a person’s movements and contacts over time.Und sie haben eine Liste der Teilnehmer:They are listed on a roster that bears their logos in order of entry into the program: “Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube, Apple.” PalTalk, although much smaller, has hosted significant traffic during the Arab Spring and in the ongoing Syrian civil war.Dropbox , the cloud storage and synchronization service, is described as “coming soon.”
What surprised investigators most was that at least three of these companies, including AOI, appeared to have no tax residency anywhere in the world.Their boards have been able to tell the Irish tax authorities that Kearney, the sole Irish-resident director, cannot be judged to manage or control these companies, and that important decision-making rests in California.
As a result, AOI and others are not deemed tax resident in Ireland.
Meanwhile, because these same companies are incorporated at addresses in Ireland, under US law they appeared not to be tax resident in the US either. "Magically," observed Senate committee chair Carl Levin, "it's neither here nor there."
Bwahahahaha
Senators are angry that tech giant Apple isn't paying its fair share.I'm not talking about taxes. This is about campaign contributions and lobbying fees.
Schöne Firma haben Sie da! Wäre ja zu schade, wenn der was zustöße!Es gibt da so ein schönes Zitat von Mark Twain, das es schön auf den Punkt bringt.
It could probably be shown by facts and figures that there is no distinctly native American criminal class except Congress.Apples Vergehen war nicht, dass sie wenig Steuern gezahlt haben, sondern dass sie zu wenig Schmiergeld gezahlt haben. Das gleiche Spiel haben die werten Herren Senatoren auch schon mal mit Microsoft gemacht. Da gab es auch längliche "kartellrechtliche Untersuchungen", damit Microsoft einsieht, dass das ernst gemeint ist. Microsoft hat dann ihre Lobbyausgaben hochgeschraubt, und dann gingen die Kartelluntersuchungen unverrichteter Dinge wieder weg.Auch Walmart und die Finanzbranche wurde so oder so ähnlich zum Schutzgeldzahlen animiert. Nur Apple bleibt beharrlich dabei, nur eine Million für Lobbying auszugeben im Jahre 2010.
Das ist eine gute Frage. In der Tat ergibt das nicht viel Sinn. Meine Vermutung ist, dass sie a) Netzausbau sparen wollen und b) dass das schlicht der Versuch ist, Itunes, Lovefilm und co das Geschäftsmodell kaputt zu machen. Das haben sie ja auch in ihrem Mobilnetz erfolgreich kaputtgemacht alles. Da kostet der Traffic viel zu viel, um sich da mal eben einen Film oder eine TV-Folge runterzuladen. Bisher weichen die Leute dann halt auf WLAN aus und ziehen sich das zuhause über ihre DSL-Flatrate. Die Telekom kann halt sehen, wie Apple Milliardengewinne verkündet, während sie da aus ihrer Sicht nur ein paar Brotkrumen bleiben. Natürlich ist das nicht so, die Telekom macht ja selber zweistellige Milliardengewinne. Aber wie das so ist bei den Inkompetenten. Erst kommt der Neid und dann kommt die Einsicht, dass man mit denen nicht konkurrieren kann, also vandalisiert man halt deren Vorgarten. Wenn ich schon nicht Milliarden mit Content scheffeln kann, dann soll es auch sonst keiner können. Die eigenen Kunden werden dafür als Geiseln und menschliche Schutzschilde genommen, denn die sieht die Telekom ja eh schon immer als etwas negatives, nicht als etwas positives, erhaltenswertes. Wer schonmal mit dem Telekom-Support telefoniert hat, weiß, was ich meine.
Aus meiner Sicht ergibt das wie gesagt auch aus marktwirtschaftlicher Perspektive keinen Sinn, was die Telekom da gerade tut. Daher glaube ich wirklich, dass man da auf der Aktionärsvollversammlung ein Fass aufmachen könnte und sollte.
Ich würde wirklich gerne mal die Zahlen sehen, wieviel Kohle die Telekom mit ihrem DSL scheffelt und wieviel Kohle sie mit den Zugängen für Content-Provider scheffelt. Vielleicht machen die ja einfach (nach Abzug der Kosten für Callcenter, Reparaturen, Acquise, T-Punkte und so weiter) tatsächlich mehr Geld mit dem Hosting und dem Verkaufen von Bandbreite an andere Internet-Teilnehmer als an ihre Kunden.
Viel Spaß!
Und dann kommt Per Bothner von Oracle und postet diese Mail hier. Per Bothner, Per Bothner, hat vielleicht schonmal jemand gehört, den Namen. Weil der Name beim Lesen der Header oder des Codes für die libg++ von GNU über den Schirm scrollt. Ein Urgestein von GNU, hat u.a. auch für Cygnus gcj gebaut. Das war damals der Versuch, gcc Java kompilieren zu lassen. Konnte leider nie aufschließen. Der arbeitet jetzt bei Oracle.
Aber der Brüller ist, dass der jetzt im Namen von Oracle dagegen argumentiert, V8 aus Webkit rauszuschmeißen, weil Oracle ja die Abstraktionen auch benutzt, um ihre eigene Javascript-Implementation (Oracle hat eine Javascript-Implementation!) namens Nashorn (benannt nach einer bedrohten Tierart) in Webkit reinzubrechstangen. Mehr Popcorn!
Adobe könnte sich jetzt möglicherweise nochmal aufrappeln, aber den Preis bin ich an der Stelle zu zahlen bereit. (Danke, Gregor)
Die schlechte Nachricht:
Die Nutzung soll exklusiv mit der iTunes-Software möglich sein.Angesichts dieser Meldung schäme ich mich meiner Alma Mater und fordere den Rücktritt des Präsidenten und aller in diese Entscheidung involvierten Funktionäre. Das kann ja wohl GAR NICHT wahr sein! Was zur Hölle?! Ich hoffe da ist wenigstens ordentlich Schmiergeld geflossen und das war nicht bloß Dummheit und Verblendung? Zurücktreten muss der in jedem Fall, nicht dass mich da jemand falsch versteht jetzt. Unglaublich.
In einem internen Schreiben, das der Redaktion vorliegt, wirbt der Kanzler der Universität für die Kooperation mit Apple. Dozenten werden darin explizit dazu aufgefordert, "von der Nutzung anderer externer Internetplattformen zur Verbreitung von aufgezeichneten Lehrveranstaltungen und audiovisuellen Materialien abzusehen".Boah da kommt mir ja das Frühstück wieder hoch. Widerlich!
Update: Die FU ist da nicht alleine, auch die früher mal einen ganz guten Ruf genießende Uni Karlsruhe fördert die Firma Apple mit Steuermitteln. Früher lief das noch andersrum, da haben Unis noch Gelder aus der Industrie eingeworben.
Update: Oh wie schön, guckt euch mal das George Bernhard Shaw-Zitat auf der Open-Access-Homepage der FU Berlin an. Passt wie Arsch auf Eimer!
Update: Netzpolitik.org hatte das schon vor ner Woche, hab ich überlesen *schäm*
Ich persönlich freue mich auch, dass Apple nicht über eine Lücke in ihre eigenen Mist angegriffen wurde, sondern über eine Java-Lücke. So können sich jetzt Apple und Oracle im Kreis bezichtigen. Da kann es nur Gewinner geben!
Dieser Angriff hat noch andere Player betroffen, nicht nur Apple.
Oh und falls sich jemand wunderte: Für das Java-Problem gab es schon einen Patch. Aber halt nicht von Apple. Das hätte man wohl manuell installieren sollen. Und jetzt shippt auch Apple einen Patch, aber der spielt nicht das Update ein sondern macht Java im Browser aus. Das ist zwar generell empfehlenswert, aber … WTF? Wenn man einen Patch-Distributions-Mechanismus hat und es einen Patch gibt, dann verteilt man damit doch den Patch und keinen Aus-Knopf?!
Der Rest beschreibt ein "Double Irish Dutch Sandwich", und das funktioniert so:
Dann macht Googles Irland-Tochter eine Tantiemen-Zahlung an eine andere Google-Tochter in Holland, die an eine zweite Google-Tochter-Holding in Irland zurücküberwiesen wird.
Ich persönlich finde es ja unfair, dass die sich so auf Google kaprizieren. Google ist ja nur eine Firma, die das so macht, und nicht mal die erste. Apple, Facebook, Microsoft, Oracle und Adobe haben auch sowas und Apple waren wohl die ersten. Und wer sich die Dokumentation "The Corporation" angeschaut hat, der wird verstehen, dass die Aktiengesellschaften das machen müssen, sobald sie davon hören, dass sowas geht. Es gab da mal den Präzedenzfall von Henry Ford, der seinen Arbeitern faire Löhne zahlen wollte, und der wurde dann gerichtlich gezwungen, dass er seine Firma auf Profitmaximierung ausrichtet und nicht auf das Gemeinwohl.
Update: Frankreich hat auch angesagt, dass sie das nicht länger dulden wollen. Im Grunde gibt es ja auch keinen Grund dafür, wieso irgendein Land solche Schweinereien dulden sollte. Gestern kam so eine Zahl an mir vorbei, dass das Verhältnis zwischen per Steuerhinterziehung verloren gegangener Kohle und zwischen Sozialbetrug verloren gegangener Kohle 1400 zu 1 ist. Aber Sozialbetrug ist in aller Munde, während keiner über Steuerbetrug redet. Und das hier fällt ja noch nicht mal unter Steuerbetrug, das ist ja auch noch völlig legal!
Bisher sind das alles nur hier ein paar Euro, da ein paar Euro. Wirklich schmerzhaft wird es, wenn Samsung die Displays teurer macht.
Update: Samsung sieht auch keinen Grund für Verhandlungen im Patentstreit.
Update: Samsung dementiert die Preiserhöhung.
Ich finde ja, wenn Apple sich wie ein schlecht erzogenes Kleinkind verhält, dann sollte der Richter einmal übers Knie legen des Vorstandes verhängen. Oder von mir aus kein Taschengeld mehr. Internetverbot vielleicht?
Update: Das wird per Javascript immer so skaliert, dass das Kleingedruckte nur durch Runterscrollen erreichbar ist.
"Apple must now within 48 hours publish a correction on their homepage with a link to the corrected statement in not less than 11-point font."Das sagt ja an sich schon alles, wenn das Gericht die Fontgröße vorschreiben muss.Update: Die Seite mit dem Kleingedruckten ist jetzt ganz weg.
Was ist denn da los, benutzen die alle die neue Apple Maps App?
New hotness: Massenentlassung während Apple-Event, damit es keiner merkt.
Unsere Politik verklappt ja die ganz üblen Klopper immer während der Fußball-WM oder zu Weihnachten.
Überhaupt, "von oben nach unten" für zumachen, voll einleuchtend. Man zieht die App zum Dock. Äh, da wo bei Apple das Dock ist. Windows 8 hat kein Dock. Da war wohl der Aufseher der Azubis gerade pinkeln.
Oder der subtile Unterschied zwischen "Schlenker von links" für "Apps nebeneinander" und "Kreis von links" für "Task-Übersicht". Ich kann mir die gute Laune bildlich vorstellen, die sich da in der Praxis einstellen wird.
Schade nur, dass die Notebooks jetzt teurer werden, weil die Deppen alle Tablets kaufen. Die Deppen mit ihrem Java-Flash-Monsterbloat-Speicherbedarf haben uns seit Jahren teure Hardware erschwinglich gehalten. Die Zeiten sind dann wohl vorbei, jetzt geht es ja eh niemandem mehr ums Arbeiten, das ist nur noch Statussymbol/Lifestyle-Bullshit, so ein Tablet. Wie mir neulich jemand erklärte: ein Alphawellen-Gerät wie der Fernseher. Zum Rezipieren, nicht zum Kommunizieren oder Nachdenken.
Aber das ist noch nicht der Hammer an der Meldung. Der Hammer ist, dass Google innerhalb von 10 Stunden (!) eine gefixte Version von Chrome in ihrem Autoupdater verfügbar hatte.
Zum Vergleich: Oracle sitzt schon mal Jahre auf Sicherheitslücken, Apple, Microsoft und Adobe Monate. Da kann sich der Rest der Industrie mal eine Scheibe von abschneiden.
Der Apple-Zeitmesser gleicht aufs Haar dem Design der berühmten, klassischen Bahnhofsuhr der SBB. Sogar der rote Sekundenzeiger ist detailgenau übernommen worden.Die SBB ist die Schweizer Bahngesellschaft, und blick.ch ist das Schweizer "Bild"-Äquivalent. Angeblich schickt die SBB jetzt ihre Anwälte los. Ich finde ja, Samsung sollte sich mit der SBB zusammentun und einen Verkaufsstopp für Apple-Hardware in Europa erwirken. Apple hat ja mehrfach vorgeführt, dass das die angemessene Reaktion auf sowas ist. (Danke, Daniel)
Wie? Nein, nicht von Apple. Von Goophone, eine Firma aus Hong Kong :-) (via)
The FBI denied that it ever had that information. But officials there said they could not verify the validity of the data that AntiSec released. Federal officials also warned that computer users should be careful when clicking on such links because they sometimes may contain malware that can infect computers.BWAHAHAHAHA, nee klar. Erinnert mich an einen Calvin and Hobbes Comic. "It wasn't me! Nobody saw me! I was framed! I wouldn't do anything like that!"Fängt wie ein Dementi an, aber wird dann so schnell schlechter und schlechter, dass man es am Ende nur noch als Schuldeingeständnis werten kann. :-)
Update: Oh übrigens hatten diese geleakten Daten durchaus humoristische Aspekte.
Update: Apple dementiert, dem FBI die Daten gegeben zu haben. Sie dementieren natürlich nicht, die Daten zu haben. Und danach fragt leider niemand, wieso Apple eigentlich Daten über Käufer ihrer Geräte haben muss.
Auf die Frage, ob die Geschworenen Gelegenheit hatten, während des Prozesses nach der Patentierbarkeit bestimmter Dinge zu fragen, antwortete er: "Nein, und es war auch nicht Aufgabe der Jury, danach zu fragen. […] Die Patente waren erteilt, die Richterin wies uns an, das aktuelle Patentsystem nicht anzuzweifeln."Bei Samsung knallen jetzt bestimmt die Sektkorken, denn die offiziellen Fragen an die Jury beinhalteten explizit die Fragen, ob die eine Seite gezeigt habe, dass die Patente der anderen Seite ungültig seien. Mit der Frage haben sich die Geschworenen offenbar nicht beschäftigt.
Dann die Geschichte vom Projekt "Schoolwater", bei dem Schüler an Schulen für Trinkwasser zur Kasse gebeten werden sollen, natürlich mit RFID-Tracking, und hat dafür zu Recht den Big Brother Award gekriegt. WTF?!? Was für armseelige Unmenschen dürfen denn heutzutage mit Schulen Geschäfte machen?!
Na und dann natürlich der Elefant im Raum, eine Jury hat Apple eine Milliarde Dollar von Samsung zugesprochen. Gut, so sind Jury-Verfahren eben. Milliardenstrafen für bei McDonald's mit Kaffee verbrühen und so. Wird dann alles in der nächsten Instanz korrigiert. Aber als Samsung würde ich mich ja langsam fragen, ob die Leute nicht alle verdient haben, von Apple abgezockt zu werden, und lieber Staubsauger und Energiesparlampen herstellen.
Apple sagt natürlich, ihr Verfahren sei fundamental in Ordnung und hier sei bloß was schiefgelaufen, aber als Wired selber mal probiert hat, sind sie so auch durchgekommen. Mit anderen Worten: Apple lügt.
"I really worry about everything going to the cloud," he said. "I think it's going to be horrendous. I think there are going to be a lot of horrible problems in the next five years."He added: "With the cloud, you don't own anything. You already signed it away" through the legalistic terms of service with a cloud provider that computer users must agree to.
"I want to feel that I own things," Wozniak said. "A lot of people feel, 'Oh, everything is really on my computer,' but I say the more we transfer everything onto the web, onto the cloud, the less we're going to have control over it."
Doch wer [Speichern Unter] unter 10.8 benutzt, speichert dabei gleich zwei Dokumente. Das liegt offenbar an der automatischen Speicherung der Dokumente beim SchließenGanz großes Olympia, Apple!
Aber Apple wird schon einen harmlosen Grund haben. Wir verstehen ihn nur nicht. Die Wege des Herrn Jobs sind unergründlich!1!! Komisch, die drei Tage sind um und er ist noch gar nicht wiederauferstanden.
Lasst EFI in Frieden. PCs sind keine Geldautomaten, die sollen nicht sicher sein. Sicher heißt Zwangsjacke für den Anwender und gerade in diesem Fall reden wir ja von Apple, die zwar in Sachen Sicherheit Jahre hinterherhinken, aber dann Handschellen für den Anwender als Sicherheitsmaßnahme verkaufen und man sein Telefon nur in Betrieb nehmen kann, wenn man Itunes installiert. Apps? Nur aus dem Apple Store. Wegen der Sicherheit!1!!
NICHTS von dieser ganzen Scheiße kommt dem Benutzer zu Gute. Das ist alles nur Gängelei von dem nur einer profitiert: Apple.
Es ist schlimm genug, dass wir seit Jahren nicht in der Lage sind, sichere oder vertrauenswürdige Software zu produzieren. Aber damit jetzt Guantanamo-Technologien auf allen Endgeräten zu etablieren, dass wir DAS zulassen, das ist eine Schande sondergleichen. Und am Ende wird es wieder keiner gemerkt haben. Ach was hätten wir den tun sollen, keine Apple-Geräte kaufen? Das wäre in der Tat mal ein Anfang! Solange Hersteller wie Apple für sowas noch mit Rekordprofiten belohnt werden, wird das nie aufhören.
Dieser UEFI-Codesigning-Bullshit ist übrigens genau die Technologie, mit der auch Microsoft Windows 8 zunageln will. Aus Sicherheitsgründen, wissenschon. Microsoft kriegt dafür zu Recht auf die Fresse. Apple wird für den gleichen Mist noch gefeiert.
Oh und dass der Typ in dieser Meldung ausgerechnet Thunderbolt nimmt ist nochmal ein zusätzlicher Gähner, weil Thunderbolt auch ganz ohne Backdoor den DMA-Zugriff von außen auf dem Hauptspeicher erlaubt. Den Teil benutzt er aber gar nicht. Weil, äh, … keine Ahnung warum nicht, denn das ist inhaltlich genau so "überraschend" wie dass man EFI-Backdoors machen kann. Wie wäre es als nächstes mit der krassen Einsicht, dass wenn jemand deinen Laptop klaut, er deine Festplatte auslesen kann!1!! Oder dass man per Internet Daten übertragen kann!
Was für ein Anfängerfehler.
Apple habe überzeugend argumentiert, dass Samsung bei der Gestaltung des Tablets Design-Patente verletzt habe, schrieb Amtsrichterin Lucy Koh zur Begründung ihrer vorläufigen einstweiligen Verfügung, in der sie recht deutlich wurde. "Obwohl Samsung ein Recht dazu hat, mit Apple zu konkurrieren, darf das Unternehmen sich nicht wettbewerbswidrig verhalten, in dem es den Markt mit missbräuchlichen Produkten überschwemmt", so Koh.
Die Kunden von diesem proprietären Schlangenöl hatten schon letztes Mal kein Mitleid verdient, wenn sie da nicht abgesprungen sind sondern weiter bei RSA geblieben sind. Aber jetzt haben sie eine Runde lautes Gelächter verdient. Verdientes Eigentor, liebe RSA-Kunden. Na und jetzt? Weiter bei RSA bleiben? Stockholm-Syndrom wie bei Apple-Kunden?
The display assembly is completely fused, and there’s no glass protecting it. If anything ever fails inside the display, you will need to replace the entire extremely expensive assembly.Und so kommt es wenig überraschend zum Repairability Score 1 von 10 (10 heißt am einfachsten zu reparieren).Update: Ich kenn mich ja mit sowas nicht aus, aber mir erzählt gerade noch jemand, dass man auch seine Zweit- und Drittnetzteile und -Docks austauschen muss, weil sie ohne Not den Stecker geändert haben.
Update: Mir mailt gerade jemand, dass die Schrauben nicht proprietär sind, und es dazu eine DIN-Norm gibt. Na gut, also nicht proprietär, nur konsumentenunfreundlich.
Update: Jetzt widerspricht jemand der DIN-Norm:
Pentalob-Schraubendreher sind nach DIN EN / IEC 60900:2004 genormt, aber das bezieht sich nur auf die Isolierung des Griffs - der Abtrieb selbst ist proprietärer Mist.
Doch der US-Bundesrichter Richard Posner wies vergangene Woche die Klagen der Kontrahenten ab. Er sehe weder bei Motorola noch bei Apple einen Schaden, der einen Prozess rechtfertigt. Für Unterlassungsansprüche finde er keine Grundlage. […]Vielleicht tut sich ja da doch mal was.Zuvor bezeichnete Posner Äußerungen von Apple als "albern" und Positionen von Motorola als "lächerlich".
Die Frage ist, ob Kaspersky jetzt ein bisschen nachhelfen wird bei der Malware-Problematik.
Ich persönlich finde ja, wenn sich Apple und Kaspersky streiten, dann kann es nur Gewinner geben. (Danke, Peter)
Die schlechte Nachricht: a) geht das Video nicht ohne Flash, b) machen sie direkt Werbung für Facebook, Twitter und Google+. Klar, wer speichert weniger Daten auf Vorrat als Facebook, Twitter und Google! Hey, wollt ihr nicht auch gleich noch Apple verlinken? *stöhn*
Immerhin haben sie die die Zwei-Klick-Lösung gewählt und da nicht direkt die Schnüffelicons eingebettet.
Ich frage mich auch, wo diese Tags herkommen. "Postion"? "Privatspähre"? Umlautfehler?! *fazialpalmier* :-)
“generating meeting requests” from a mobile device.Ich frage mich ja, was noch passieren muss, bis unsere Gesellschaft diese ganze Patentscheiße generell abschafft. Wie viel Schaden muss noch passieren, wenn sich Google, Apple, Microsoft und Samsung gegenseitig mit ihren Junk-Patenten bekriegen?Als Lacher am Rande sei noch erwähnt, dass Microsoft mit neun Patenten angriff und der Richter nur eines davon für überhaupt betroffen hielt. Das ist alles so eine Farce!
Adobe hat ein neues Photoshop rausgebracht, das diverse kritische Sicherheitslücken behebt, aber für frühere Photoshop-Versionen gibt es keine Patches, nur das kostenpflichtige Update auf die nächste Version.
Nicht mal Apple traut sich, ihre verblödeten Kunden so krass über den Tisch zu ziehen. Oh und wir reden hier nicht von 20 Euro, sondern eher so vom zehnfachen davon. Wieso landen solche Firmen eigentlich nicht alle Nase lang vor Gericht? Offensichtlich haben die ein Produkt mit Mängeln verkauft. Das deutsche Recht ist da sehr klar.
Über den Angriff auf ein Java-Applet können Zugriffe so umgeleitet werden, dass der Nutzer auf der falschen Webseite unterschreibt.Vorsicht: ohne Adblocker ist die Site unerträglich, drückt einem gleich zwei Umfragen direkt ins Gesicht. (Danke, Gerry)
4. The Defendants' conspiracy to limit e-book price competition came together as the Publisher Defendants were jointly devising schemes to limit Amazon's ability to discount ebooks and Defendant Apple was preparing to launch its electronic tablet, the iPad, and considering whether it should sell e-books that could be read on the new device. Apple had long believed it would be able to "trounce Amazon by opening up [its] own ebook store," but the intense price competition that prevailed among e-book retailers in late 2009 had driven the retail price of popular e-books to $9.99 and had reduced retailer margins on e-books to levels that Apple found unattractive. As a result of discussions with the Publisher Defendants, Apple learned that the Publisher Defendants shared a common objective with Apple to limit e-book retail price competition, and that the Publisher Defendants also desired to have popular e-book retail prices stabilize at levels significantly higher than $9.99. Together, Apple and the Publisher Defendants reached an agreement whereby retail price competition would cease (which all the conspirators desired), retail e-book prices would increase significantly (which the Publisher Defendants desired), and Apple would be guaranteed a 30 percent "commission" on each e-book it sold (which Apple desired).Business as usual! (Danke, Sandro)
A Remote Direct Memory Access Protocol SpecificationDas Ende ist nahe, liebe Freunde. Da muss man nicht religiös sein, um da apokalyptische Visionen zu kriegen!
Money Quote:
The Remote Direct Memory Access Protocol (RDMAP) enables removal ofWir sind alle so gut wie tot. Ich bin ja immer froh, wenn die Leute sich neue Dinge ausdenken, die mir meinen Job in der IT-Security auf Jahrzehnte hinaus sichern, aber … remote direct memory access?! HALLO?!?
data copy operations and enables reduction in latencies by allowing a
local application to read or write data on a remote computer's memory
with minimal demands on memory bus bandwidth and CPU processing
overhead, while preserving memory protection semantics.
Wer sich jetzt denkt, ach naja, who cares, das wird schon niemand implementieren… das RFC kommt von IBM und HP. Und Microsoft ist bei sowas natürlich auch nicht weiter: SMBDirect - SMB2 über RDMA.
Gut, das ist jetzt nicht völlig offensichtlich für die Tonne designed, so schlimm wie Apple mit Firewire hat vorher niemand verkackt und wird auch nachher nie wieder jemand verkacken. Aber die bloße Idee, dass man ein Remote Direct Memory Access entwickelt, das ist ja schonmal ein Horrorfilm vom Feinsten. What Could Possibly Go Wrong?
Haha, ein Kumpel meint gerade, sie hätten das Microsoft Direct Memory Access nennen sollen, dann wäre wenigstens kein Zweifel übrig, wie sie darauf gekommen sind, wenn man sich die Abkürzung anguckt.
Update: Stellt sich raus: Linux supported auch RDMA, sogar NFS über RDMA. Das ist für Hochparallelrechner gedacht, erklärt mir gerade ein Physiker, der Plasmasimulationen der Sonnenatmosphäre macht, nicht für "über das Internet". Das habe ich mir auch gedacht, als ich das sah. Ein besseres Gefühl gibt mir das trotzdem nicht.
Und da dachte ich für ne Sekunde, Apple hätte mal ein nützliches und sinnvolles Produkt gebaut, und dann war das doch wieder nur eine Produktfälschung!1!!
Aber gut, Apple-Rechner sind ja eh nicht dazu da, bedient zu werden, oder damit man mit ihnen gar arbeitet. Eher so als Statussymbole, zum hinstellen und wie Retro-Scifi aussehen.
Und so wird man es los, damit ihr auch morgen noch kraftvoll AAAAAAAAAAAARGH schreiben könnt.
Schritt 2: Apple stellt den CUPS-Entwickler ein.
Schritt 3: CUPS schmeißt Komponenten raus, die man unter Linux aber nicht unter OS X braucht.
Ich bin mir sicher, es gibt dafür eine völlig harmlose technische Erklärung. Sie fällt mir nur gerade nicht ein.
BundesReg steht weiterhin dazu: Geistiges Eigentum muss auch im Netz geschützt werden. In der engagierten Debatte über #acta…und weiter
…darf nicht vergessen werden: Raubkopien, Patentverletzungen u. Fälschungen verursachen jährlich Milliardenschäden.Ja, genau, z.B. die Firma Apple. So ein Zufall, womit twittert unser Regierungssprecher noch gleich?
(ii) if your Work is provided for a fee (including as part of any subscription-based product or service), you may only distribute the Work through Apple and such distribution is subject to the following limitations and conditions: (a) you will be required to enter into a separate written agreement with Apple (or an Apple affiliate or subsidiary) before any commercial distribution of your Work may take place; and (b) Apple may determine for any reason and in its sole discretion not to select your Work for distribution.Und wisst ihr was? Solange Deppen wie Teile meiner Leserschaft denen trotz sowas ihren Scheiß abkaufen, wird das fröhlich immer so weitergehen.
Vieles deutet darauf hin, dass Apple das iPad in großem Stil an Schulen verteilen will – mithilfe der Schulbuchverlage. Kinder wären die Marke so von klein auf gewöhnt.Für mich ist das ein weiterer Grund, die Schulbuchverlage zu zerschlagen und auf Lehrmaterialien unter freier Lizenz umzusteigen.
Am Ende ist doch immer der Kunde der gearschte.
Naja, zu diesem ganzen Blödsinn passt diese Meldung hier wie die Faust aufs Auge. Oooh, es geht um Apples "Fashionista"-Kunden. Da muss sich aber jemand echt das Hirn zermartert haben, um den am wenigsten ausfallend werdenden Terminus zu finden. Hier ist das Highlight aus dem Artikel:
Personal-computer makers are counting on ultrabooks to challenge the MacBook Air, Apple’s best-selling laptop, which is less than an inch thick. Still, Hewlett-Packard isn’t trying to compete on price: The new Spectre is $100 more than a MacBook Air with a 13.3-inch screen.Das muss man sich mal auf der Zunge zergehen lassen. Die machen einen Nachbau, und der ist teurer als das geklonte Produkt, das für seinen gänzlich unverschämten Preis berühmt ist. Wie begründen sie das? So:Hewlett-Packard is emphasizing the laptop’s premium features and design, a bid to reach the “savvy fashionista” market, said Page Murray, a vice president of marketing at the company. Ich könnte mich ja über das "savvy" nur kaputtlachen an der Stelle. Was ist den daran bitte savvy, wenn man sich von Äußerlichkeiten zum Kauf eines zu teuren Produktes verleiten lässt, mit dem man dann am Ende nicht arbeiten kann? Aber wartet, wird noch besser:“There’s always someone who wants to win the race to the bottom,” Murray said. “It usually ends with a splat.”So, setzt euch mal hin, und lasst euch diese Äußerung durch den Kopf gehen.HP (!) beschimpft Apple (!!) für ihre Dumpingpreise (!!!). Un-glaub-lich.
Und plötzlich verstehe ich, wieso HP aus dem PC-Markt aussteigen wollte. Das erscheint mir an der Stelle auch als einzig sinnvoller Ausweg. Notschlachten, solange es noch Teile gibt, für die jemand was zahlen würde. (via)
Update: Zwei Stichworte seien noch erwähnt. 1. fest eingelötete Batterien. 2. beschissene Displays. Die Displays sind besonders ärgerlich, weil a) Mobiltelefone bald höhere Auflösung haben als man in diese Lifestyle-Ultrabooks einbaut, und b) die dann ein "Unibody"-Magnesium-Gehäuse drumherum tun. Nicht nur hätte man für den Preis des Gehäuses ein ordentliches Display einbauen können. Auch die Energiebilanz von Aluminium-Gehäusen sollte den ganzen Pseudo-Öko-Veganer-Appleusern die Tränen in die Augen treiben.
Wer sich also gefragt hat, wie sie in Zukunft die Trojaner auf die PCs kriegen…
Aber egal, eine lustige Sache daran fiel sogar dem ehemaligen Nachrichtenmagazin auf, nämlich dass die als Einfallstor Itunes verwenden. Nein, werdet ihr jetzt vielleicht sagen, nicht Itunes! Nicht Apple!!1! Apple-Software ist doch sicher!!
Apple hat das dann auch tatsächlich mal gefixt. Und jetzt guckt mal, wie lange sie darauf schon rumsaßen:
CVE-2008-3434 : Francisco Amato of Infobyte Security ResearchJa, voll sicher, diese Apple-Software.
Update: Es sieht so aus, als habe Apple tatsächlich mal ein "Apple Cafe" geplant.
Wenn ihr mich fragt: Wenn sich Apple und die GEMA streiten, kann es nur Gewinner geben.
Update: Apple hat fix reagiert. Erst haben sie da das englische Bild genommen und jetzt steht da "Bearbeiten" :-)
"Apples Umsatz im zweiten Quartal betrug 25 Milliarden Dollar. Sie haben 18,7 Millionen iPhones verkauft, die wir Mobilfunker mit durchschnittlich 400 Dollar pro Stück stützen. Das heißt, allein 30 Prozent des Umsatzes kommen von uns. Hier braucht man Mut zur Selbstreflexion: Wir sind feste Trottel", warf Krammer in die Runde, um kurz darauf auf die Aktienpolitik der Großkonzerne einzuschlagen.Und dann rechnet der gute Mann noch vor, dass wenn sie zweimal pro Jahr zehn Prozent Rendite ausschütten (ob er Dividende meint?), und wenn sie die ein Jahr lang einbehalten würden, könnte sich z.B. France Telecom Skype leisten.
Na gut, nicht nur Apple. Auch die Antivirenhersteller. Und Adobe, falls es die dann noch gibt.
Update: Ich hab gehört, Symantec will sogar darüber nachdenken, Security-Produkte zu bauen!
Oh und nicht nur einmal!
Also, corporations collectively are hoarding more cash than ever before, posting glowing balance sheets. At the end of 2010, companies held an estimated $1.9 trillion of excess cash, and so far in 2011 most have not let go.Apple, for instance, now has $76 billion in cash on its books.
Trillion sind Billionen. Firmen halten also knapp 2 Billionen Dollar in Guthaben in ihren Büchern. Und zu dem Apple-Bargeld als Vergleich: Die US Treasury hat 74 Milliarden Cash, also weniger als Apples 76 Milliarden.
Von der Größe her ist das ca wie ein PDA, also größer als eine Plakette. Die Ausrede der Chinesischen Behörden ist auch legendär:
A reporter from the newspaper went to the Shenzhen Inspection and Quarantine Bureau and confronted them with the accusations. Staff on duty flatly denied the idea, Apple Daily said. Speaking Cantonese, they assured him that “It’s not that high tech.”
Gut, wenn ich so einen Dienst anbieten wollen würde, wären die Daten selbstverständlich verschlüsselt, und zwar vom Design her so, dass ich die Keys nicht speichere, sondern dass die sich aus den Passwörtern ergeben, damit selbst wenn jemand in meinem Rechenzentrum alle Platten klaut, die Daten der Kunden sicher sind. So würde man das machen, und man würde es offen kommunizieren, damit man im Fall von "die Daten sind irgendwo aufgetaucht" plausible deniability hat.
Auch Dropbox hat einige nebulöse Andeutungen gemacht, die man so deuten konnte, als hätten sie da ordentliche Krypto am Start. Aber dann passierte das hier: Man kam ein paar Stunden lang versehentlich ohne Passwort an jedermanns Account heran. Damit ist klar: die Daten sind nicht so verschlüsselt, dass Dropbox da nicht rankäme. Und ich fühle mich in meinem Zynismus vollauf bestätigt und kann nur weiterhin jeden warnen, seine Daten irgendwelchen Webdiensten anzuvertrauen. Mir ist ja völlig unklar, was in den Köpfen der Leute vorging, die da ihre Korrespondenz gelagert und ihre persönlichen Daten dorthin "gebackupt" haben. WTF?
Inhaltlich geht mir Apple ja weitgehend am Arsch vorbei, wie die da Google, Microsoft und Facebook hinterherhecheln mit ihren "wir aber auch" Nachbau-Angeboten, aber eine Sache muss mal angesprochen werden: ihr habt ja sicher mitgekriegt, dass unsere Parlamentarier die Ipads als Statussymbol entdeckt haben. Jetzt schiebt Apple die Daten in die Wolken. Für die Souveränität unseres Parlaments ist das kein gutes Zeichen, denn Apple wird von Gesetzesentwürfen und internen Positionspapieren dann früher (bzw überhaupt!) wissen als das Gros unseres Parlamentes, geschweige denn die Bürger. Das ist eine ausländische Firma! Das darf man an der Stelle nicht aus den Augen verlieren!
Update: und von Lobbyistenterminen, natürlich. Vielleicht hat das ja auch was Gutes, wenn die Daten alle digital im Internet rumliegen. Man kann das ja auch als Ansporn sehen, wenn man ein Hacker ist.
Naja, jedenfalls hat Apple den Richter kürzlich überzeugt, dass er ihnen Samsungs nächste Gerätegeneration zeigen soll, damit sie gucken können, ob es da auch "Patentverletzungen" gibt. Das sind natürlich für jede Technologiefirma die Kronjuwelen. Dass der Richter zugestimmt hat, ist in meinen Augen ein Hammer sondergleichen. Auf der anderen Seite hat es Samsung jetzt den Konter eröffnet, die Offenlegung der nächste Apple-Gerätegeneration zu fordern, damit sie zukünftigen Klagen vorbeugen können. Das ist natürlich auch grotesk, aber wäre nur gerecht. Wenn der Richter zustimmt, sage ich mal voraus, dass Apple lieber das ganze Verfahren zurückzieht, als ihre zukünftigen Produkte zeigen zu müssen.
Egal wie das ausgeht: Popcorn-Kino vom feinsten!
- Do not confirm or deny that any such software has been installed.
- Do not attempt to remove or uninstall any malware software.
“Apple denies that, based on their common meaning, the words ‘app store’ together denote a store for apps.”Das kann man sich auch direkt ausdrucken und an die Wand hängen. Auf der anderen Seite, naja, ist halt eine Religion, seit wann sind die an Fakten oder die Beobachtungen aus der realen Welt gebunden.
Ich poste das aus Unterhaltungsgründen, Rob Enderle ist schon durch Fehlanalysen aufgefallen. Völlig von der Hand zu weisen ist das aber nicht, weil alle guten Verschwörungstheorien zumindest ein bisschen nach einem Kern von Wahrheit aussehen müssen, sonst funktionieren sie nicht.
Update: Kleine Anmerkung noch: Apple hat den Big Brother Award dieses Jahr dafür gekriegt, dass sie sich selbst die Auswertung dieser Daten erlauben. Und die Mac-Abteilung von Heise findet das nicht so schlimm alles.
Solche Leistung muss gewürdigt werden, und so hat Apple auch einen Big Brother Award abgegriffen heute, wenn auch für eine andere ihrer eiternden Wunden, nämlich die "Datenschutzbedingungen". Das ist Apples politisch korrektes Neusprech für das, was man anderswo als EULA kennt. (Danke, Jörg)
Developers report that Apple has internally officially announced that it will pull Samba from Mac OS X Lion and Lion Server, and replace it with Windows networking software developed by Apple.Heilige Kuh, das wird sicher episch schlecht. Samba hat ja schon eine eher … gemischte Geschichte in Sachen Sicherheitslücken, aber Apple? Apple wird hier sicher neue Standards setzen. Und ich bin nicht der einzige, der sich da freut, auch HD "metasploit" Moore freut sich auf 10 Jahre Remote-Vuln-Schlaraffenland mit Dank an Apple. Meine Prognose: wir werden da Bugs sehen, die seit Jahren als ausgestorben galten. Und dabei waren über das Netz ausnutzbare Lücken gerade dabei, so selten zu werden, dass man kaum noch richtig Spaß beim Congress und beim Camp haben konnte! *händereib*
Update: Ich bin übrigens nicht CCC-Pressesprecher. Die haben da eine Anfrage an den CCC geschickt und ich hab die halt zur Beantwortung übergeben gekriegt.
Ich muss mal kurz in den Keller, die strategischen Popcornreserven anbrechen.
Für uns klingt das grotesk, aber in den USA ist das durchaus üblich. Da haben echt viele Leute an ihrem Karriereanfang für die NSA o.ä. gearbeitet. Das liegt einfach daran, dass Studieren dort so teuer ist. Da hat man entweder reiche Eltern oder verschuldet sich auf Jahrzehnte hoch oder kriegt ein Stipendium. Oder man studiert halt nicht. Und in der Situation kommt dann die NSA und bietet dir an, dich für ein paar Jahre zu verpflichten, und dafür darfst du dann auch auf ihre Kosten studieren. Na klar machen die Leute das. Wenn man sonst keine Möglichkeit auf ein Studium hat?
Insofern: nicht zu viel reininterpretieren, bei den anderen US-Firmen in den Sicherheitsabteilungen sind auch viele Ex-NSA-Leute.
Hat nicht auch Apple ihren IP-Stack von *BSD "geborgt"?
Update: Bei FreeBSD ist das seit 2007 gefixt. Insofern sind nicht alle BSDs gleich schlecht, das ist besonderes OpenBSD-Versagen. Aber was kann man schon von solchen Leuten hier erwarten.
Soviel zum "Apple is sicher"-Mythos.
The culmination of this new design philosophy seems to be the iPad, which offers no easy internal access, can’t have its storage or RAM upgraded. Apple is approaching the same model in its notebook line with the latest MacBook Air, which now also features the tamper-resistant Pentalobe screws in addition to non-upgradable RAM soldered to the logic board, and a non-standard implementation of flash storage that makes it very hard to replace.Na da weiß man doch, bei der richtigen Firma einzukaufen! Wenn man wie ein Kindergarten-Insasse bedient wird. Aber hey, immerhin ist es alles total einfach zu benutzen, wie sie einem die ganze Zeit einzureden versuchen. Das passt schon.
Mit anderen Worten: für Kalifornien gemacht, nicht für Kontinentaleuropa.
Q: Was tun Sie, um den Zeitungen zu helfen?Oh Graus!!!
A: Wir bieten Kooperationen an. Mathias Döpfner, der Springer-Chef, denkt bei diesem Thema in die richtige Richtung. Er will eine Allianz der Qualitätsanbieter im Wettbewerb, unter anderem gegen Google, Apple und Vodafone. Die ARD steht dafür bereit.
Und dann, noch übler:
Q: Ist Google eine Bedrohung für die ARD?Haben die da kein Vorstellungsgespräch geführt?!
A: Natürlich. Das gilt aber nicht nur für uns, sondern für alle Qualitätsmedien.
Es gibt ja schon heute kostenpflichtige Apps der ARD, beispielsweise die Loriot-App. Den Geburtsfehler des Internets - kostenlose Inhalte - zu beseitigen ist aber schwierig und langwierig.Geburtsfehler!?!? Geht's noch?! (Danke, Norman)
Nanu? Wo kommen denn die ganzen Apple-User her? Bashe ich noch nicht genug auf denen rum? :-)
Ich bin erstaunt, dass Chrome so einen geringen Marktanteil hat. Ich hätte den höher geschätzt.
Wir reden hier von Smartphones, die üblicherweise eh alle zwei-drei Jahre getauscht werden. Die nächste Generation kann dann auch webm. Bis dahin kostet das ein bisschen mehr Batterie, wenn man sich Webfilmchen anguckt. Unschön, aber ohne Leidensdruck wird halt nichts besser im Leben.
Übrigens finde ich ja den eigentlichen Vorteil von Webm gar nicht so sehr den Videocodec, sondern dass das endlich mal Vorbis breit in den Markt drückt. Vorbis ist seit vielen Jahren der überlegene Audiocodec, und zwar sowohl für Stereo als auch für Multichannel. Es supported nur niemand, weil es keinen Leidensdruck gab. Wenn der jetzt endlich dank Webm kommt, gewinnen wir alle. Meine CD-Sammlung habe ich seit Jahren als Vorbis zum mit mir rumtragen abgelegt, und das belegt so ca die Hälfte des Platzes, den man bei mp3 brauchen würde. AAC fällt aus, weil die Encoder alle scheiße sind, und wegen der Patentsituation natürlich. Wenn die Endgeräte alle Vorbis unterstützen, damit Webm geht, dann könnt ihr auf euren Mobilgeräten auch plötzlich doppelt so viel Musik ablegen wie bisher. Wenn das kein Grund zum Feiern ist!
Ich kann den Hype mit mobilem Video eh nicht nachvollziehen. Wenn ich Video gucke, dann will ich das auch genießen, und brauche dafür einen richtigen Monitor. Also größer Netbook meine ich damit. Schon Notebook-Monitore sind im Grunde zu klein. Ich habe für mich keinerlei Bedarf daran, längere Videos auf einem Mobilgerät zu gucken. Vielleicht mal einen drei-Minuten-Clip, den man selber aufgenommen hat, oder ein bisschen Youtube-Klicken, aber längere Videos? Sicher nicht!
Insofern halte ich das Argument mit den Mobilgeräten für vorgeschobenes Zähneknirschen von Apple-Apologeten, die sich mal wieder auf der technologisch schlechteren Seite finden und kognitive Dissonanz haben. Durch die "PowerPC ist aber die bessere Architektur" 2.0 Phase müssen wir jetzt halt durch, bis Apple auch auf Webm umsteigt.
Oh und das Detail, dass die mobilen Endgeräte gar nicht das volle H.264 sprechen sondern nur das Baseline-Profil, das hatte ich ja schon erwähnt. Das ist also eh Augenwischerei, die Behauptung, dass die mobilen Endgeräte ja H.264 können.
Der Effekt ist, dass ausser Youtube und Enthusiasten wie mir niemand webm ausgerollt hat. Und Firefox sah im Vergleich zu Chrome schlecht aus, weil sie sich geweigert haben, H.264 zu unterstützen.
Und jetzt kommt dieser Paukenschlag: Google kündigt an, H.264-Unterstützung aus Chrome zu entfernen. Kurzfristig ist das natürlich schlecht für die Chrome-User, weil damit einige Early Adopter des Video-Tags nicht mehr gehen. Langfristig ist das aber die richtige Entscheidung, um webm nach vorne zu bringen. Denn Firefox 4 kann auch webm, und damit ist die klare Mehrheit der wichtigen Browser webm-fähig.
Es ist auch eine gute Gegenaktion zu Microsofts Subversionsversuch, Firefox unter Windows H.264-Support zu geben, damit die Leute lieber Firefox als den Browser des Erzkonkurrenten benutzen und damit webm nicht vom Boden wegkommt.
Viele Leute hatten webm schon zu den Akten gelegt, weil die MPEG-Lizensierungsmafia als Reaktion auf webm verkündet hat, das H.264-Streaming im Internet bleibe lizenzkostenfrei. Das haben viele Leute so interpretiert, als sei H.264 jetzt generell lizenzkostenfrei, aber das folgt daraus halt nicht. H.264 ist nach wie vor eine Patenthölle, und jeder Schritt, um diesen Leuten das Wasser abzugraben, ist ein Schritt nach vorne für die Menschheit. Scheiß Patentscheiß immer, beschissener.
Update: Übrigens, spannendes Detail: Auch Adobe will webm in Flash unterstützen. D.h. man wird H.264 auch nicht mehr als Flash-Fallback brauchen. Nur noch als Apple-Fallback. Und Apple spricht ja eh nicht H.264 sondern je nach Gerät nur Baseline-Profil und kann auch von AAC nur eine Teilmenge des Standards, d.h. webm muss qualitätsmäßig gar nicht mit dem H.264 High Profile konkurrieren und kann da mithalten. Für mich als Webseitenbetreiber sieht es dann also plötzlich so aus, dass ich mit webm mal eben über 90% des Browsermarktes abdecken kann, und nur für Apple eine Extrawurst braten müsste. Das wird sich der eine oder andere Webseitenbetreiber dann vermutlich schlicht sparen.
Update: Die Apple-Stellungnahme dazu klingt allerdings eher nach Textblock. Wahrscheinlich hat niemand die Pressesprecherin informiert. Im Übrigen erklärt mir gerade ein Apple-User, dass eigentlich die Dinge schon vor Aufnahme in den App-Store geprüft werden, d.h. wenn die an dem Spendenversprechen was auszusetzen hätten, wäre das gar nicht erst reingekommen.
Wow. Wir müssen mal unser Apple-Bashing hochfahren, das ist offensichtlich noch zu zurückhaltend. :-)
Update: Dafür hat jemand unseren Wikipedia-Eintrag gelöscht.
Update: Screenshot.
Aus fundamentalistischen Gründen gibt es das Video nur per video-Tag und nur per Ogg Theora oder WebM. Nein, kein Flash, keine Krücken für IE- und Appleuser. Gewöhnt euch dran. Das kennt ihr ja eh schon, dass auf euren Geräten Dinge dann halt nicht gehen. Oder installiert euch halt Firefox oder Chrome.
Wem die Ironie der Aussage in dem Video nicht klar ist, der sei darauf hingewiesen, dass es in den USA gar keine Vorratsdatenspeicherung gibt. Auch "ab und zu mal einen Fingerabdruck" gibt es da nicht, insbesondere nicht im Personalausweis, denn es gibt überhaupt keinen Personalausweis dort.
Update: Mhh, hier stand ursprünglich auch Opera, aber Opera spielt das bei mir auch nicht ab. Suuuuper technologie. Also lade ich es doch auch nochmal als mp4 hoch. Hey, Opera, da könnt ihr ja mal echt stolz auf euch sein!
Update: Für Leser mit kurzer Aufmerksamkeitsspanne sei auch nochmal hierauf verwiesen.
Airwave’s pre-tax profit was £170 million, a 26 per cent increase on the previous 12 months. It represents an eye-watering return of 45 per cent on the company’s £380 million turnover.Wow. Da sieht man mal wieder die Vorteile der Privatisierung!
It all fits with a pattern of behaviour where people evangelise to strengthen their own faltering beliefs.Their study also casts the acts of advocates in a different light. They might be outwardly trying to change the minds of other people but their actions could be equally about bolstering their own beliefs.
Die Beobachtung ist ja schon ziemlich alt, dass Missionare häufig sich selber überzeugen wollen, gar nicht so die anderen. Das ist eher ein Seiteneffekt. Aber jetzt gibt es das halt auch mal als wissenschaftliche Studie.Ich finde das vor allem wichtig, wenn man gerade von jemandem missioniert wird. Dann muss man daran denken, dass das üblicherweise nur so aussieht, als sei der sich seiner Sache sicher, in Wirklichkeit zerfällt das alles unter seinem Eigengewicht, wenn man ein paar peinliche Fragen stellt. Das war ja schon immer so, dass man schlaue Leute daran erkennt, dass sie sich ihrer Sache eben nicht völlig sicher sind. Je mehr man weiß, desto mehr weiß man, wie viel man noch nicht weiß. Siehe auch: Dunning-Kruger-Effekt. (Danke, Konrad)
Ich finde es immer schade, dass da die geifernden Linux-Horden die Kommentare mit ihrer schlechten Laune vergiften, anstatt da mal konstruktiv tätig zu werden. Es ist übrigens bei weitem nicht so, dass Linux weniger Sicherheitslücken hat, wie der eine oder andere vielleicht in seiner naiven Unwissenheit annimmt. Es gibt nur noch keinen Trojaner-Markt, weil der Marktanteil zu gering ist. Genau das gleiche Phänomen, das auch Apple im Moment noch schützt.
Oh und wo wir gerade bei den Parallelen zur Musikmafia waren: Sony, Mitglied von beiden, mahnt auch auf der Softwareseite seine Kunden ab. Glückwunsch, Sony, so schafft man glückliche Kunden, die die nächste Generation auch wieder kaufen!1!!
If there are any buffer overflows in your program, you should assume they are exploitable and fix them. It is much harder to prove that a buffer overflow is not exploitable than just to fix the bug.WHOA! Das ist eine Einsicht, die bei den meisten Firmen noch nicht angekommen ist. Die fangen dann immer noch zu verhandeln an, ob sie diesen Bug hier wirklich fixen müssen.
Among the methods considered are voice print analysis, photo analysis, heartbeat analysis (!), hacking attempts, or even "noting particular activities that can indicate suspicious behavior."Na DAS wollen doch bestimmt alle Apple-User! Dass Apple ihre Biometriedaten inklusive eines EKG von ihnen bei den Akten hat! Eigentlich geht es natürlich um "hacking attempts", also jailbreaking. Also bereitet euch schonmal darauf vor: Apple wird euch eure Spielzeuge kaputtmachen, wenn ihre Software glaubt, ihr seid Hacker. Und wann hatte Apple-Software je schonmal Fehler? Nie, sage ich! Nie!!
Sun didn't file many patents initially. But then we got sued by IBM for violating the "RISC patent" - a patent that essentially said "if you make something simpler, it'll go faster". Seemed like a blindingly obvious notion that shouldn't have been patentable, but we got sued, and lost.Das hätte Sun fast getötet. Also hat Sun sich hingesetzt und jeden Bullshit patentiert, der ihnen vor die Flinte kam. Denn so funktioniert das System. Jeder sammelt so viele Trivialpatente, wie er finden kann, damit er sich wehren kann, wenn IBM vorbeikommt. IBM ist der größte Patenttroll auf dem Planeten. Die haben das von einer Kunstform zu einem Geschäftsmodell entwickelt. Die ganzen modernen Patenttrolle sind bloß müde Abklatsche dessen, was IBM tut. Hier ist ein schöner Forbes-Artikel zu IBM und Sun und Patenten.Sun lief nicht nur los und patentierte Dinge, sie machten einen inoffiziellen Wettbewerb, wer mit dem beklopptesten Patentantrag durchkommt. Das ist die Quelle der Sun-Softwarepatente, die Oracle jetzt als Basis für ihre Schutzgeldforderungen gegen Google benutzt.
Und auf einen Satz will ich mal hinweisen, weil er in letzter Zeit immer häufiger auftritt, in verschiedenen Kontexten:
It's a sad comment on the morality of large modern software companies that Microsoft, while I don't think they've gotten any better since Sun sued them, probably has the high ground.Microsoft war jahrzehntelang das Evil Empire, das es zu bekämpfen galt. Microsoft hat übrigens eine ähnliche Geschichte mit Softwarepatenten wie Sun. Ich weiß nicht, ob die auch mal von IBM ausgenommen wurden, aber Microsoft hat jahrelang keine Patente angemeldet, absichtlich, weil das eine Ingenieursfirma war, und die Ingenieure alle die Idee Scheiße fanden. Und dann sind einmal alle Patenttrolle der Weltgeschichte über sie hergefallen, weil sie auf soviel Bargeldreserven saßen. Und seit dem meldet auch Microsoft Patente an. Nur verklagt Microsoft mit ihren Trivialpatenten niemanden, im Gegensatz zu Apple. Soweit sind wir gekommen in dieser Industrie, dass ausgerechnet Microsoft mit gutem Beispiel vorangeht.Update: Stimmt so nicht, Microsoft verklagt doch auch andere mit ihren Trivialpatenten.
<img src="logo.svg">und alles wird gut, aber weit gefehlt! Stellt sich raus, dass Chrome das kann, Firefox aber nicht. Firefox erwartet ein object-Tag. Was für ein Hirnriss!
Aber das ist noch nicht alles. Stellt sich raus, dass Safari SVG kann (ist ja auch Webkit wie Chrome, damit war zu rechnen), aber NICHT auf dem Iphone oder Ipad. WTF?! Gerade das Ipad haben sie doch als Browser-Device verkauft!
An der Safari-Version kann man es nicht festmachen. Die Plattformstrings werden schnell unübersichtlich, es gibt da auch noch irgendein webtv-Zeugs, kenn ich alles nicht. Also ist da jetzt eine Javascript-Browsererkennung drin. Wie furchtbar ist DAS denn alles?! Ich dachte, die Zeiten seien vorbei im Web?
Also aus meiner Sicht: Schande über Apple und Firefox.
Und zur Krönung des Tages kommt hier auch noch einer an, der benutzt Epiphany mit Webkit, und das gibt sich als Safari unter Linux aus. Das bau ich da jetzt nicht ein. Was für ein Müll dieses Web doch ist.
Oh und bei Firefox ist offenbar das UI für das audio-Tag kaputt und man kann da nicht die Lautstärke regeln. Na suuuuuper. Bin ich wirklich der erste, der das Audio-Tag benutzt?! Ist das echt noch keinem aufgefallen?!?
Und, äh, mal unter uns: nicht nur Apple. Auch Android macht Location Detection via WLAN. Das ist sozusagen Standard.
Gut, Google hat auch die Inhalte gesnifft, das ist noch mal ein zusätzlicher Schritt. Aber wenn ich hier lese,
Am 21. Juni hatte Apple eine aktualisierte Fassung seiner Datenschutzrichtlinien veröffentlicht. Wer ihr zustimmt, räumt Apple das Recht ein, seine Positionsdaten zu speichern und an Partnerunternehmen weiterzugeben.… das riecht auch nicht gerade gut.
Vermutlich beißt sich Google gerade in den Arsch, dass sie das aus ihren Autos gemacht haben und nicht über Android Crowdsourcing.
Natürlich entspinnt aus so einer Meldung direkt eine Diskussion in den Apple Foren, nicht nur eine sogar. Und Apple löscht sie alle. Da weiß man doch, was man hat!
Must have strong problem solving skillsRelated: noch ein bisschen Internethumor dazu.
Update: Weil jetzt hier die Mails aufschlagen, dass die jemanden suchen, der Excel benutzt: das ist doch sinnvoll. Die wollen jemanden, der keine Schmerzen mehr fühlt und der sich auch sinnlosesten politischen Regulatorien unterwirft. (Danke, Scusi)
By appearances, the act of holding the phone impares signal strength. I'm not so bothered because I typically use a Bluetooth headset rather than hold a phone.Genau. Wenn euch das betrifft, dann seid ihr selber Schuld. Keinesfalls hat Apple einen Fehler gemacht, hört ihr?Update: If I hold the phone out from my palm, but sill firmly gripped, the number of bars diminishes only slightly.[…]
Otherwise, my initial reaction to iPhone 4 is favorable.
Update: Apples Werbung zeigt hilfreicherweise, wie man das falsch hält.
Also, liebe Leser, was soll ich da mal hintun? Das schreit ja geradezu nach einem Goatse oder Tubgirl o.ä. Oder kann man da auch ein MP4 hintun und das erscheint dann animiert? Oder hat jemand ein schönes Bild eines gammeligen Apfels? :-)
Wir nennt man das eigentlich, was da passiert? Ist das Co-Abhängigkeit, wie wenn geschlagene Frauen bei ihrem Mann bleiben?
Update: Es ist natürlich Stockholm-Syndrom, nicht Co-Abhängigkeit, wie mir gerade diverse Leute mailen :-)
Update: Boah was habe ich für fiese, gehässige Leser! Die Vorschläge gehen von "linke auf ein 2 GB Movie" über "linke auf ein 10kx20k JPEG" (weil das Iphone angeblich resized) bis zu "linke auf einen Exploit". OK, und ein paar Bildvorschläge kamen auch rein :-)
Nein, ich linke nicht auf Exploits, und ich will Apple-Kunden auch nicht die Telefonrechnung platzen lassen, die sind schon geschlagen genug. Nur ein bisschen Spaß, keine Widerlichkeiten! Denn bei 0days sind wir in einer "wer ohne Schuld ist, werfe den ersten Stein" Situation, wenn ich damit anfange, dann müsste ich paritätisch auch die anderen Plattformen bespaßen, und dann hat gar keiner mehr Spaß am Webklicken.
Popcorn! (Ist von Oktober 2009. Keine Ahnung, ob das noch aktuell ist)
Update: Anscheinend ist das noch aktuell.
Und bei uns denken sie ernsthaft über das Abschaffen der Wehrpflicht nach. Dass ich das noch erleben darf!
Die FTC will Untersuchungen gegen Apple einleiten, weil sie Adobe unfair im Wettbewerb behindern.
Und in Berlin gibt es jetzt schon Splitter-Sprengsätze gegen Polizisten auf Demonstrationen. Was zur Hölle ging denn bitte in den Leuten vor, die diese Bombe geworfen haben? Im Fernsehen haben sie dazu ein Youtube-video gezeigt. Wenn das einen Meter weiter links hochgegangen wäre, dann hätten wir jetzt zivile Todesopfer. Die Polizisten hatten eine fette Rüstung an und sind trotzdem lebensgefährlich verletzt. Krasse Kacke, wer macht denn bitte sowas? Das ist doch klar, dass ab jetzt auf Demos NOCH mehr Oppression stattfinden wird! Das war ja wohl ein Bärendienst. Und der Sprengsatz war gefährlich genug, dass ich auch nicht an eine False Flag Operation denken will. Meine Güte, da hab ich ja gleich gar keine Lust mehr, überhaupt noch mal auf eine Demo zu gehen, wenn man da so um sein Leben fürchten muss. Na mal gucken, was dazu noch so rauskommt.
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-1297).
Note: There are reports that this issue is being actively exploited in the wild.This update resolves a memory exhaustion vulnerability that could lead to code execution (CVE-2009-3793).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2160).
This update resolves an indexing vulnerability that could lead to code execution (CVE-2010-2161).
This update resolves a heap corruption vulnerability that could lead to code execution(CVE-2010-2162).
This update resolves multiple vulnerabilities that could lead to code execution (CVE-2010-2163).
This update resolves a use after free vulnerability that could lead to code execution (CVE-2010-2164).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2165).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2166).
This update resolves multiple heap overflow vulnerabilities that could lead to code execution (CVE-2010-2167).
This update resolves a pointer memory corruption that could lead to code execution (CVE-2010-2169).
This update resolves an integer overflow vulnerability that could lead to code execution (CVE-2010-2170).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2171).
This update resolves a denial of service issue on some UNIX platforms (Flash Player 9 only) (CVE-2010-2172).
This update resolves an invalid pointer vulnerability that could lead to code execution (CVE-2010-2173).
This update resolves an invalid pointer vulnerability that could lead to code execution (CVE-2010-2174).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2175).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2176).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2177).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2178).
This update resolves a URL parsing vulnerability that could lead to cross-site scripting (Firefox and Chrome browsers only) (CVE-2010-2179).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2180).
This update resolves an integer overflow vulnerability that could lead to code execution (CVE-2010-2181).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2182).
This update resolves a integer overflow vulnerability that could lead to code execution (CVE-2010-2183).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2184).
This update resolves a buffer overflow vulnerability that could lead to code execution (CVE-2010-2185).
This update resolves a denial of service vulnerability that can cause the application to crash. Arbitrary code execution has not been demonstrated, but may be possible. (CVE-2010-2186).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2187).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2188).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2189).
Note: This issue occurs only on VMWare systems with VMWare Tools enabled.
This update resolves a denial of service issue (CVE-2008-4546).
Ich habe "code execution" mal hervorgehoben, weil das die Totalschaden-Kategorie ist. Schon EIN Bug dieser Kategorie ist Totalschaden. Selbst Apple braucht mehr Pakete, um so viele Totalschaden-Bugs anzuhäufen. Ich komme aus dem Stand nur auf eine Firma, die jemals eine derartige Totalschaden-Dichte erreicht hat. Oracle.Update: Oh toll und 64-bit-Support haben sie offenbar heimlich, still und leise gecancelt. Tja, dann halt kein Flash mehr.
Und deshalb, liebe Leser, kauft man seine Produkte bei Apple. Im Moment sieht es aus, als sei AT&T Schuld. Die BESTEN der BESTEN der BESTEN, SIR!
Ich lese da eine gewisse Verzweiflung raus.
Aber das Video dort funktioniert nicht. Warum? Weil Apple es absichtlich kaputtgemacht hat. Klickt mal auf die Video-Demo drauf. Spielt nicht. Rechtsklickt mal auf das Video und lasst euch die URL ausgeben. Ist bei mir diese hier. Wenn man sich diese Datei per HTTP holt, kriegt man eine MOV-Datei. MOV, das wissen vielleicht nicht alle, ist die Basis von MP4, nicht zuletzt auf Apples Drängen hin. Dass das .mov heißt, ist also nicht der Grund, wieso Chrome das nicht spielt. Auch nicht der MIME-Type.
Wenn ich mir die Datei per wget hole und mal reingucke, ist die bloß 359 Bytes groß, und beinhaltet einen Redirect auf diese Datei. Leider ist der Redirect relativ, da steht also nur der Dateiname drin, nicht die komplette URL. mplayer kann das übrigens, wenn ihr auf der Kommandozeile
mplayer http://movies.apple.com/media/us/html5/showcase/2010/demos/apple-html5-demo-tron_legacy-us-20100601_r848-2cie.moveingibt, spielt der den Trailer. Bei mir zumindest. Hängt vermutlich auch von der mplayer-Version ab. Aber Chrome unterstützt das halt nicht. Nun, erzeugen wir doch mal eine kleine Datei, die das Video-Tag mit der Ziel-URL des Redirects benutzt: hier. Das spielt Chrome dann plötzlich.
Da der Redirect relativ ist und nicht auf einen anderen Server verlinkt, hat das auch mit CDN-Optimierung o.ä. nichts zu tun. Der Redirect erfüllt genau keinen Zweck (außer Chrome auszuschließen). Für den Benutzer ergibt es einen zusätzlichen HTTP Round Trip, für Apple bedeutet es einen HTTP-Zugriff mehr, d.h. mehr Netzwerkkosten und mehr Serverlast. Nicht viel, aber doch vorhanden.
Also, liebe Apple-Apologeten. Dann erklärt mir doch mal, wieso Apple das macht. Außer natürlich, um uns alle zum Installieren von Quicktime zu zwingen? Na? Fällt euch auch nichts ein? Na sowas.
Das gilt übrigens für die gesamte Apple-Trailer-Site. Wieso benutzt das noch Quicktime und nicht HTML5-Video, wenn Apple angeblich so ein Verfechter offener Standards ist? Weil es da nie um die Trailer ging. Sondern um Quicktime-Installationsbasis.
Update: Oh übrigens, ein besonders zynischer Leser hat mir dieses hilfreiche Schaubild gemailt :-)
Update: Eine Sache will ich auch mal sagen: die Demos sind visuell ziemlich geil, die Apple da gemacht hat.
These web standards are open, reliable, highly secure, and efficient.Gesehen? So, dann klickt mal auf einen der Showcases drauf. Hier ist, was ich da kriege. Da weiß man doch, warum man offene Standards unterstützen will! (Danke, Kilian)
Oh und wo wir gerade bei Cisco waren: auch Ciscos Gebäudeautomatisierungssystem befindet sich voll auf dem Qualitätsniveau, das man von Cisco-Lösungen gewohnt ist. Weia.
Und was wir in diesen Experimenten finden, ist, dass Sie diesen Konflikt hinter sich lassen können, dass sich den sozusagen einfach abwaschen können.Da frage ich mich natürlich, ob das auch umgekehrt funktioniert, ob man so Rückschlüsse über Leute ziehen kann, die sich häufig die Hände waschen.[…]
Wenn sie sich die Seifenflasche nur ansehen, dann sehen unsere Ergebnisse so aus wie in Hunderten von Dissonanzexperimenten zuvor: Sie finden die Marmelade, die sie gewählt haben attraktiver als die, die sie nicht gewählt haben. Sobald sie sich allerdings die Hände waschen und die Seife auf diese Weise testen, sieht es so aus, als ob sie alle ihre Konflikte weggewaschen hätten und sie kein Bedürfnis mehr haben, nun die gewählte Marmelade als so viel besser zu sehen als die nicht gewählte Marmelade. Sie können also sozusagen die Dissonanz wegwaschen und sich die kognitive Arbeit der Rechtfertigung sparen.
Der Einsender rät mir außerdem, Apple-Kunden eine bessere Hygiene nahezulegen, aber das wäre ja fies und gemein, sowas würde ich NIE machen!1!! (Danke, Markus)
Es ist gar nicht überzubewerten, was das für ein wichtiger Schritt für uns alle ist. Google als Betreiber von Youtube weiß ja auch, dass bis 2012 eine Übergangsfrist läuft, in der sie auf Lizenznerv verzichten können. Und bis dahin muss mal eine Alternative her. Und Google sitzt nicht nur wegen Chrome, sondern auch wegen Youtube am fettesten Hebel im Internet. Wenn die umstellen, dann werden die Browser-Hersteller alle folgen. Und tatsächlich haben sie zum Launch schon Firefox und Opera als Partner gewonnen. IE kann man mit Chrome Frame abbügeln. Bleibt nur Safari, und die paar Apple-Spacken fallen in der Statistik ja eh nicht weiter auf, wenn die keine Videos mehr kriegen. Merken die eh nicht, die haben ja auch nicht gemerkt, wie scheiße der Quicktime-H264-Encoder ist.
Rein technisch gesehen ist natürlich nicht alles Gold, was glänzt. Aber ich hoffe trotzdem, dass die x264-Leute das übernehmen und daraus einen Goldesel für uns alle bauen. Vor allem haben die auch das Knowhow, um die Spec so zu ändern, dass sie Patente vermeidet.
Update: Microsoft will in IE9 auch WebM supporten (WebM ist der Marketingname für VP8)
Update: Auch die "Bild" muss für Apple zensieren, obwohl Springer der größte Firmenkunde Apples in Europa ist.
Das heißt, beide Theorien waren korrekt. Apple stellt ein verkacktes API zur Verfügung (man muss den VUY12-Frame von der Grafikkarte kopieren und dann muss man ihn wieder hinkopieren, Grafikkarten sind fürs Schreiben in den Grafikspeicher optimiert, nicht fürs Lesen; im Übrigen supported das ranzige Apple-API offenbar manche Auflösungen nicht, z.B. 864x480, wie es von Youtube kommt). Und Adobe kann YUV12 nur manuell rendern. Das ist grotesk, die X Video Extension z.B. kann das seit 20 Jahren. Soll das ein Witz sein?! Die können kein YUV12 in Hardware rendern!?!? Was für Verlierer.
Das ist natürlich alles gequirlter PR-Bockmist, aber in Neusprech-Fragen recht unterhaltsam. Ich zitiere mal ein paar Stellen, zur Aufmunterung:
Adobe’s Flash products are 100% proprietary. They are only available from Adobe, and Adobe has sole authority as to their future enhancement, pricing, etc. While Adobe’s Flash products are widely available, this does not mean they are open, since they are controlled entirely by Adobe and available only from Adobe. By almost any definition, Flash is a closed system.Guckt mal, wie häufig er da Adobe schreibt! Ersetzt mal Adobe mit Apple und löscht das Flash weg. Komisch, passt immer noch 100%!Though the operating system for the iPhone, iPod and iPad is proprietary, we strongly believe that all standards pertaining to the web should be open.Und deshalb setzen sie auf … *Trommelwirbel*What they don’t say is that almost all this video is also available in a more modern format, H.264, and viewable on iPhones, iPods and iPads.All das Offenheitsgefasel und dann nehmen sie… H.264! Den mit den meisten Patenten und Pferdefüßen versehenen Standard in der Geschichte der Menschheit! Was für eine Lachnummer!Ich bin sicher kein Freund von Adobe, aber dass Steve Jobs anpisst, weil sie H.264 in Software dekodieren, das ist schon wirklich grotesk. Weil Apple bisher kein API angeboten hat, mit dem Adobe das in Hardware hätte machen können! Jetzt gibt es ein API und Flash supported es auch sofort und ist immer noch viel lahmer als Quicktime. Dafür gibt es zwei denkbare Erklärungen. Entweder Adobe ist zu blöde, ein API aufzurufen, und da einen Sack H.264-Daten reinzureichen. Oder Apple exportiert für andere Leute ein schlechteres API, damit ihre eigenen Produkte besser aussehen. Wahrscheinlich ist es eine Kombination von beidem, aber wahrscheinlicher erscheint mir letzteres.
Es ist mir ein Rätsel, wieso immer noch Leute Apple-Produkte kaufen. Was muss passieren? Muß Steve Jobs persönlich zu euch nach Hause kommen und aufs Sofa kacken? Oder würdet ihr das auch noch wegdiskutieren?
Also haben Bug-Finder angefangen, der Öffentlichkeit zu erzählen, dass sie auf einem Bug sitzen, den sie für kritisch halten. Das interessiert normalerweise zu wenig Leute, um Firmen wie Apple zu motivieren.
Also gibt es das Konzept Full Disclosure. Man erzählt der Öffentlichkeit direkt von dem Bug, und zeigt auch genau, wo er ist. Dann haben es die Hersteller plötzlich immer sehr eilig und sind auch plötzlich überraschend in der Lage, innerhalb von Tagen einen Fix zu produzieren. Natürlich sind die Hersteller über sowas unglücklich und heulen rum. Das führt dazu, dass viele Securityfirmen ihren Mitarbeitern untersagen, ihre Bugs zu veröffentlichen, bevor es einen Fix vom Hersteller gibt, weil sie sonst womöglich weniger Aufträge kriegen. Meine persönliche Lösung ist, dass ich gar keine Bugs veröffentliche, weil ich gar nicht erst unbeauftragt nach Bugs suche. In Open Source Software, wenn ich einen Bug finde, file ich ihn, aber in Closed Source Software gucke ich gar nicht erst. Wenn was nicht geht, investiere ich keine Zeit in Debuggen, warum es nicht geht. Unter dem Strich verlieren also alle gegenüber Full Disclosure.
Nun, warum erzähle ich das alles? Weil man hier gerade hervorragend sehen kann, wie der nächste Schritt aussieht. Das ist ein Blog von Verizon, von deren Sparte, die Security verkauft. Das ist also kein Hersteller, sondern eine Security-Firma, sozusagen. Und die sind jetzt soweit, dass sie nicht nur Full Disclosure untersagen, sondern offen gegen Full Disclosure auftreten und sogar Hacker als Kriminelle und Bug-Veröffentlicher als "Narcissistic Vulnerability Pimp" beschimpfen.
Das ist so das schlechtestmögliche, was sie hätten sagen können. Es gibt auch für sie keinen Grund, das so zu sagen, denn wenn Leute Lücken veröffentlichen, hat Verizon mehr Punkte auf ihrer Liste, was sie bei einem Pentest beim Kunden alles checken können. Die einzige Motivation, so einen hanebüchenen Mist zu bloggen, ist, weil sie bis zum Anschlag im Rektum ihrer Auftraggeber versunken sind, und die Perspektive verloren haben. Man kann ihre Angst förmlich riechen, ihre Kunden zu verlieren. Nach Spaß am Gerät klingt das jedenfalls nicht für mich. Au weia. Da würde ich mir ja lieber einen neuen Beruf suchen, als mir öffentlich so eine Blöße zu geben.
Ein Detail noch: ich habe gehört, Verizon macht für die US-Regierung Aufträge, u.a. auch IT-Security bei Militärbasen. Die einzigen, die einen handfesten Vorteil davon haben, wenn Bugs nicht veröffentlicht und gefixt werden, sind Militärs.
Update: Weil ich darauf angesprochen wurde, ob man gefundene Lücken nicht auch unter Pseudonym oder anonym veröffentlichen kann. Klar, kann man. Ist auch eine gute Idee. Also, äh, für andere Leute. Nicht für mich. Iiiich würde sowas niemals tun!1!! *hust* *aufdieuhrguck* Oh guckt nur, wie spät es schon ist *weglauf*
Update: Einer meiner Leser hat eine Mail an Steve Jobs geschickt, ob das stimme, und hat ein "Not true." zurückgekriegt.
Ihr könnt doch nicht ernsthaft alle auf diesen Zirkus reinfallen!? Habt ihr noch nie von viralem Marketing gehört? Apple operiert seit Jahrzehnten so. Da "leaken" irgendwelche Details über deren Produkte, Apple simuliert dann Entrüstung und droht mit Klage, und sonnt sich im Medienzirkus. Und ihr unterstützt das noch, indem ihr das rummailt. Ich glaube ja, dass Apple die Hälfte der Leak-Sites selber betreibt oder von Marketingagenturen betreiben lässt.
This is why I sell beer.
Update: Mir mailt gerade ein Apple-User, dass deren DHCP auch das MTU-Setting aus dem DHCP ignoriert.
Adobe CS3 applications crash at launch on Mac OS 10.6.3 if system serial number is greater than 12 charactersOMFG m(Update: Das wird sogar noch etwas lustiger, wenn man sich diese Technote von Apple anguckt, in der sie folgendes schreiben:
IMPORTANT: Developers should not make any assumptions about the format of the serial number such as its length or what characters it may contain.
(Danke, Matthias)
For example, early in my tenure, our group of very clever graphics experts invented a way to display text on screen called ClearType. It worked by using the color dots of liquid crystal displays to make type much more readable on the screen. Although we built it to help sell e-books, it gave Microsoft a huge potential advantage for every device with a screen. But it also annoyed other Microsoft groups that felt threatened by our success.Engineers in the Windows group falsely claimed it made the display go haywire when certain colors were used. The head of Office products said it was fuzzy and gave him headaches. The vice president for pocket devices was blunter: he’d support ClearType and use it, but only if I transferred the program and the programmers to his control. As a result, even though it received much public praise, internal promotion and patents, a decade passed before a fully operational version of ClearType finally made it into Windows.
Und danach erzählt er, wie die Office-Gruppe in Microsoft den Tablet PC sabotiert hat. Wie Office auch heute noch nicht sauber auf einem Tablet PC läuft. Und wie sie die Tablet-Gruppe sogar zugemacht haben, obwohl sie wußten, dass Apple mit einem Tablet PC rauskommen würde. (Danke, Oliver)
tagesschau.de: Bei Apple ist immer wieder von innovativen, gar revolutionären Produkten die Rede: iPod, iTunes, iPhone … Waren das wirklich Revolutionen oder wird das im Rückblick vielleicht ein bisschen zu stark verklärt?Aha. Soso. Und:Schuster: Das kann man gar nicht genug verklären. Das zeigt aber nicht wie gut Apple ist, sondern wie schlecht die anderen sind!
Den Boden bereitet hat der iPod. Der hat mit seiner Einfachheit und seinem Bedienkonzept viele Leute begeistert. Die haben sich daraufhin andere Apple Produkte angeschaut und festgestellt: Die sind durchaus einfacher zu bedienen als Windows-PCs.Man kann gar nicht so viel fressen, wie man da kotzen muss. Ich frage mich ja, wieviel Provision die Beteiligten da abgreifen für ihre Werbung. Und ICH mache mir Sorgen, mit Werbung meine Neutralität zu gefährden! Grotesk, geradezu. Vor allem, was da für Spezialexperten schreiben, beim ehemaligen Nachrichtenmagazin z.B. mit diesen aufklärenden Informationen:
Auch Multitasking kann das iPad nicht, also mehrere Apps gleichzeitig ablaufen lassen. Stattdessen ist nur Multithreading möglich; man kann also immerhin Musik hören, während man E-Mails schreibt.Aaa-ha.
"I don't know about you but whenever I read a blog I do not let my eye drop below half the screen in case I accidentally hit the bit where the comments reside. Of all the stinking, sliding, scuttling, weird, entomological creatures that inhabit the floor of the internet those comments on blogs are the most unbearable, almost beyond imagining"Ich bin sogar ein so großer Fan von ihm, dass ich ihm verzeihe, dass er sich mit Apple-Technologie umgibt :-)Nun, Stephen Fry teilt auch gerne mal aus, dafür haben sie auch ein schönes Beispiel in dem Artikel. Da geht es um einen Kolumnisten in der Daily Mail (ein widerliches Schmieren-Tabloid):
I gather a repulsive nobody writing in a paper no one of any decency would be seen dead with has written something loathsome and inhumaneDas hat er getweetet. Schöne Zusammenfassung der Gesamtsituation, wenn ihr mich fragt.
Google hat nicht nur eigene Mappingdaten am Start (wo es vorher ein Kartell aus zwei Monopolisten gab, Tele Atlas und NavTeq), sondern hat auch ein "billiger als kostenlos" Geschäftsmodell für Android.
Also erst mal zu dem GPS Mapping. Tele Atlas wurde von TomTom für 2,7 Milliarden Dollar gekauft, da muss dem Rest der potentiellen Kundschaft schon der Arsch auf Grundeis gegangen sein, und Nokia hat für NavTeq dann gleich 8,1 Milliarden gezahlt, und jetzt sind die beiden vom Markt. Die können die Preise diktieren. Google hat ja für StreetView eh Autos durch die Welt geschickt, und die haben dann eben auch gleich das Kartenmaterial gesammelt, und jetzt hat Google ihre eigenen Daten. Und gibt die Mapping-Software kostenlos weg. Und jetzt versetzt euch mal in die Lage von Apple. Die müssen, um genau so viel zu bieten wie Google verschenkt, draufzahlen. Oder sie einigen sich mit Google, aber dann wird Google vermutlich Google Voice freigeschaltet wollen im Gegenzug oder so.
Oh und Android sieht ähnlich aus. Das verschenkt Google nicht nur in einer Open Source Version, es gibt auch eine "normale" Version, die sich dadurch unterscheidet, dass der Carrier von Google Provision für die Werbeeinnahmen bekommt. Der kriegt das also für weniger als kostenlos. Bei den Nokia und den Windows Mobile Leuten wird gerade keine sonderlich gute Stimmung sein denke ich mal. Die müssen dann subventionieren, um konkurrenzfähig zu bleiben.
Weia.
Ganz großer Griff ins Klo, gleich in mehrerer Hinsicht. Denn jetzt kann MS das ja nicht mehr machen, wenn Apple ein Patent drauf hat, d.h. Apple beschmutzt nicht nur ihr Image sondern hält auch das von MS sauber.
Ich vermute mal, dass das Google härter trifft als MS. MS hat schließlich eine zahlende Kundenbasis.
Aber macht euch keine Sorgen: auch dieser Tiefschlag kann echte Apple-User nicht von Apple wegtreiben. Wir werden auch in 10 und in 100 Jahren noch was zu lachen haben. :-)
Update: Es gibt prior art! (andere)
For starters, both Macworld and Boing Boing Gadgets have confirmed with Apple and various third-party vendors that the new shuffle headphones do in fact contain a proprietary control chip, and that would-be headphone makers have to pay to license it from Apple as part of the Made for iPod program.Es gibt wirklich nur eine Firma, deren Kunden so dämlich sind, dass man sowas mit ihnen machen kann.
Was ich ja nicht verstehe: wieso suchen die nach Bugs in MediaWiki und nicht in ihren eigenen Produkten? Ist ja nicht so, als ob da Knappheit wäre. (Danke, Mathias)
Die Idee ist, dass man das in diversen Sprachen mal implementiert. Und zwar schon so, dass das nicht unnötig langsam abläuft, aber auch nicht groß performance-rumhacken. D.h.: in perl implementiert man das in perl und nicht als C-Extension. In C benutzt man malloc und stdio und keinen custom allocator bzw eigene I/O-Pufferverwaltung. Also schon versuchen, schnell ablaufenden Code zu schreiben, aber so, wie man das in der Sprache tun würde. Für C++ heisst das: STL und iostreams benutzen.
Am Ende kann man das natürlich nutzen, um da mal zu gucken, welche Implementation am schnellsten läuft. Hier geht es nicht darum, die Überlegenheit von C zu zeigen, sondern die relative Performance von Interpretern zu gucken. Es geht aber eben nicht nur um Performance, sondern der Code soll auch demonstrieren, wie man sowas in der jeweiligen Sprache löst. Damit man sich die Sourcen anschauen kann, und sich entscheiden kann, ob man diese Sprache für hinreichend elegant hält, dass man sich die mal näher anschauen will.
Wieso ihr mithelfen könnt: ich kann nicht alle Sprachen und habe auch keine Lust, mich da jetzt jeweils reinzugoogeln. Denn ich will den Sprachen ja auch gerecht werden und nicht bloss eine laufende Variante nehmen, die dann am Ende unfair schlecht aussieht oder unnötig langsam ist. Daher wäre es mir lieb, wenn mir jemand für die fehlenden Sprachen Sourcen zuschickt. Ich erwarte da jetzt nicht AppleScript oder so, aber C# wäre z.B. nett, und Tcl. Und vielleicht noch sowas wie LISP oder Scheme.
I told him I was a musician and I recorded using Garageband in addition to surfing the internet, etc. He told me that Macbooks are consumer level machines and that often they can't handle writing big files like the kind Garageband uses. He said I should use an external hard drive for recording with Garageband.He refused to replace the machine and when I asked for the number for customer relations, he game me a number which was actually the Apple Care hotline.
Wieso kaufen Leute von dieser Firma?! (via)
Konkret geht es darum, die Nutzung des "Nike & iPod Kits", einem Pedometer, das in speziell dafür vorgesehen Nikeplus-Produkten [Schuh mit Fach unter der Innensohle bzw. Sportbekleidung mit kleinen Täschchen] Platz findet, mit Sportartikeln anderer Hersteller zu verhindern.Was müssen die eigentlich noch machen, bevor die ganzen Wochenend-Hacker mal deren Produkte boykottieren? (Danke, Oliver)
Und SIEBEN IDIOTEN haben das gekauft! Für 1000 Dollar!
Unfaßbar. Apple ist echt der perfekte Indikator für Leute, mit denen man nichts zu tun haben will.
Auf der anderen Seite würde ich an deren Stelle auch nicht öffentlich über ihren Security-Prozeß reden wollen.
5. CVE-2008-2324 - A privilege-escalation issue exists in Disk Utility. The issue occurs because the "Repair Permissions" tool in Disk Utility sets setuid permissions on "/usr/bin/emacs". An unprivileged local user may use emacs to run commands with system-level privileges after the "Repair Permissions" tool has been run. This issue does not affect systems running Mac OS X v10.5 and later.Kann man sich gar nicht ausdenken, sowas. Un-faß-bar.
Gut, aus meiner Sicht sind Safari und Paypal beides Geißel der Menschheit, insofern kann ich das nur begrüßen, wenn die sich kloppen. Aber… von ALLEN Gründen, Safari scheiße zu finden (mir ist z.B. völlig unklar, wie man ohne Adblock überleben kann), und — soviel ist unstrittig — da gibt es viele, nehmen die ausgerechnet den fehlenden Snake-Oil-Support? BWAHAHAHAHAHA
Also ich hoffe ja, dass Apple und Paypal sich streiten, und dass Verisign mit hinein gezogen wird, und dass die Saugstärke der drei ein schwarzes Quantenloch bildet und die drei in ein Paralleluniversum wegtunnelt. Bonuspunkte, wenn wir bei der Gelegenheit auch noch Western Union und/oder die katholische Kirche loswerden. (Danke, Gerd)
Impact: Format string vulnerability in Emacs Lisp may lead to an unexpected application termination or possibly arbitrary code execution.HAHAHAHAHAHAHAHA, Format String! Emacs Lisp! BWAHAHAHAHAHA *lufthol*
Ich persönlich boykottiere sowas ja, solange es sich als "Podcast" bezeichnet. Scheiß Apple-Scheiße immer.
Bemerkenswert an dem Angebot sind folgende Details:
Ohne irgendwas davon mal in Aktion gesehen zu haben, maße ich mir mal folgende Glaskugel-Aussagen an:
Update: noch was vergessen: die verkaufen der Polizei auch gleich zwei (!) Proxy-Server zum Verschleiern der IPs. Zwei! Das finde ich bemerkenswert. Hat wohl doch mal jemand aufgepaßt bei unseren Tor-Vorträgen :-)
Die MP4-Version hat den Vorteil, auf der größten Player-Basis der Welt zu spielen: dem aktuellen Flash-Browserplugin. Ich bin mir sicher, bald wird jemand eine Webseite mit den Videos als Flash-Embeds machen. Mplayer kann das natürlich auch sauber abspielen, ist ja klar.
Die Matroska-Version habe ich so gemacht, weil Vorbis der coolste Audiocodec ist, und Matroska als Containerformat die Warez-Szene im Sturm nimmt, und die Warez-Leute sind da pingelig. Wenn das für die gut genug ist, hat das Zukunft. So sind auch RAR, AVI, MP3 und DivX groß geworden.
Eigentlich hätte es einen dicken FTP-Server auf dem Congress geben sollen für sowas, aber das hat wohl nicht stattgefunden, also haben wir die Videos einfach auf einen der FTP-Server hochgeladen, und sie verteilen sich gerade schon schön. Hier ist das CCC-Wiki, wenn ihr einen Mirror macht, könnt ihr euch da ja auch eintragen. Das sind die Videos von Tag 1, die heute fertig wurden. Im Moment läuft ein fetten Encode-Job, morgen gibt es neue Videos.
Da das dieses Jahr alles so ruck-zuck gehen mußte mit den Videos (haben wir uns nach den bösen Verzögerungen der letzten Jahre selber auferlegt), hat das Qualitätsmanagement ein bißchen leiden müssen. Wenn irgendwo was kaputt ist, und wir das übersehen haben, dann meldet euch. Wir können das in manchen Fällen noch retten. In anderen sind die Videos auch echt im Arsch, und dann müssen die armen FEM-Jungs das manuell von einem der Tapes popeln, die in den Kameras selber liefen. Es ist ausdrücklich geplant, dass das auch noch während des Congresses stattfindet. Mal gucken, wie es wird.
FEM und ich stehen übrigens ausdrücklich nicht in Konkurrenz, die machen Capturing, ich grabbe das nur zur Sicherheit auch noch mal von deren Signal ab und encode das. Ihre Captures sind mit professionellerer Technik aufgenommen und sehen vermutlich besser aus, aber haben wir halt beide mit technischen Rahmenbedingungen wie Matschsignal wegen HF-Signalen auf 100m-Kabel zu kämpfen, und die Beleuchtung ist in Saal 2 und 3 auch eher flau und der Kontrast schlecht, und dann gibt es da noch ein Kabel mit einem Wackelkontakt… wir tun halt, was wir können.
Da es diesmal so toll früh Videos gibt, würde ich mich freuen, wenn ihr euch da auch mal drüber freuen könnt, denn das ist ein echt übler Streß und Aufwand, das so fix hinzukriegen, und wenn ihr dem Club gegenüber zum Ausdruck bringt, dass euch das wichtig ist, dass das so schön läuft, dann ist vielleicht nächstes Mal auch Budget für anständige Leihkameras und kürzere Signalwege da. Oh und die FEM-Leute und ich nehmen natürlich auch gerne Lob und spontane Freudenausbrüche entgegen.
Oh, und den verärgerten Apple-Usern sei gesagt, dass FEM auch MP4-Encodings macht, die dann allerdings Ipod-fähig sein sollen, und vermutlich auch auf Nicht-Ipods besser aussehen (weil deren Capture-Equipment wie gesagt besser ist als meines).
Ja. Apple. Für die Sicherheit.
APPLE! SICHERHEIT! BWAHAHAHAHAHA
Aber lest das mal genau, die stellen nicht um auf Apple, sondern die tun zwischen ihre ganzen Windows-Rechner jetzt ein paar Apple-Kisten. In der Hoffnung, offenbar, dass die "Sicherheit" von Apple abfärbt. Oder so. Oh. Mein. Gott. Und DIESE Leute haben Atombomben in den Händen. *grusel*
Vorab: Bug ist Bug, Windows und OS X sind auf Intel, die Exploit-Technik ist identisch. In Metasploit gibt es für beide Plattformen fertigen Shellcode. Wen greifen die an? Windows!
Versetzt euch mal in Apple. Du hast eine ultra-schlechte Software namens Quicktime gehackt, über die seit Jahren immer wieder Rechner aufgemacht werden, ein einziges klaffendes Sicherheitsloch der Größe von Spanien. Jetzt kommt ein Hacker. Und der hackt nicht dich damit, sondern Windows. Kann man überhaupt klarer mitgeteilt bekommen, dass OS X als Plattform völlig wertlos ist? Apple gibt den Hackern einen Angriffsvektor in die Hand, für den es öffentlichen Shellcode gibt, und die Hacker machen lieber Windows auf. BWAHAHAHAHAHA
Ich frage mich, wann die Scammer den Apple-User-sind-dämlich-Effekt nutzen und für Apple-Auktionen auf Ebay nur Zahlungen von Konten bei der Südnigerianischen Agrarbank annehmen, die aus bürokratischen Gründen 20 Kiloeuro Mindesteinlage brauchen.
Vodafone D2 hatte ebenfalls mit Apple über die exklusiven Vertriebsrecht verhandelt, die Gespräche aber beendet, da der US-Konzern ein Umsatzbeteiligung verlangt hat.Boah. Unglaublich. Sowohl dass Apple das fordert, noch unglaublicher aber, dass da irgendjemand einwilligt. Aber wartet, wird noch härter:
Dem Vernehmen nach reicht die Telekom rund ein Drittel der mit dem iPhone erwirtschafteten Umsätze an Apple weiter.WIE BITTE?!? Ein DRITTEL?!?!? Nicht der Gewinne, der Umsätze! Oh Mein Gott. Da fehlen mir echt die Worte. Mann muss T-Mobile mit dem Rücken zur Wand stehen, wenn sie so einen Deal machen.
Aber macht euch keine Sorgen, ist nur halb so schlimm, denn die Daten aller Apple-User sind eh alle schon dank der sieben Remote Exploits in Quicktime korrumpiert oder gelöscht.
Wozu brauchen die auch Verbesserungsvorschläge. Die kriegen es ja nicht mal hin, dass ihre Firewall die Verbindungen blockt.
Immerhin macht es nichts, wenn die Firewall kaputt ist, denn die Daten sind eh futsch :-) (Danke, Mathias)
Wenn man sein Ipod abstöpselt, während man auf sein Iphone synct, kackt der Iphone-Syncprozess ab und macht auf dem Iphone Daten kaputt. (Danke, Markus)
gzip: mpeg4ip-1.6.1.tar.gz: invalid compressed data--format violatedMhh. Anderer Mirror. Selbes Ergebnis. Überall kaputt. Na PRIMA. Also ziehe ich mir das aus dem CVS. ./configure? Gibt es nicht. Dafür gibt es bootstrap und cvs_bootstrap. Ersteres beendet sich und verweist auf zweiteres. Dieses sagt:
+ automake --add-missing --foreignGanz großes Kino. Das ist noch unter Bananensoftware, denn es reift ja nicht mal bei mir als Kunden. Es handelt sich auch nicht, wie man vielleicht vermuten könnte, um configure.in, sondern um lib/SDLAudio/configure.in. Wie können die so eine Gülle ausliefern?! Und das ist die Software, die man braucht, wenn man mp4-Dateien erstellen will.
/usr/share/automake-1.10/am/depend2.am: am__fastdepCCAS does not appear in AM_CONDITIONAL
/usr/share/automake-1.10/am/depend2.am: The usual way to define `am__fastdepCCAS' is to add `AM_PROG_AS'
/usr/share/automake-1.10/am/depend2.am: to `configure.in' and run `aclocal' and `autoconf' again.
+ exit 5
Die Software referenziert auch libavutil von ffmpeg, aber benutzt dafür nicht pkg-config, der dann alle Dependency-Libraries (xvid, pthread bei mir) auch lädt, sondern versucht es von Hand und fliegt natürlich direkt auf die Fresse. Ganz, ganz groß.
Und was sagt die Homepage?
What's Next??? as of 9/28/07, development is stopped, and we are not taking any more contributions.
Da weiß man, was man hat.Oh, und natürlich kompiliert das auch nicht, weil der aktuelle gcc 4.2.2 da ein bisschen pingelig ist:
cc1plus: warnings being treated as errorsJetzt wird mir bestimmt jemand schreiben, dass man auch mit ffmpeg mp4-Dateien erzeugen kann.
atom_amr.cpp: In constructor 'MP4AmrAtom::MP4AmrAtom(const char*)':
atom_amr.cpp:33: warning: deprecated conversion from string constant to 'char*'
atom_amr.cpp:36: warning: deprecated conversion from string constant to 'char*'
atom_amr.cpp:38: warning: deprecated conversion from string constant to 'char*'
atom_amr.cpp:41: warning: deprecated conversion from string constant to 'char*'
atom_amr.cpp:43: warning: deprecated conversion from string constant to 'char*'
$ ffmpeg -vcodec copy -acodec copy -i HVA.avi HVA.mp4läuft sogar durch und erzeugt eine .mp4-Datei, aber wenn man die mit mplayer abspielen will, kriegt man
Starting playback…und diese Fehlermeldung dann für jeden Frame. Hel-den-haft.
[h264 @ 0xfbd180]no frame!
Error while decoding frame!
Mit mencoder kann man theoretisch auch mp4 erzeugen:
mencoder -ovc copy -oac copy -of lavf -lavfopts format=mp4 HVA.avi -o HVA.mp4mplayer spielt das dann auch wieder ab, und in der aktuellen CVS-Version ist sogar die B-Frame-Warnung verschwunden. Aber das Flash-Plugin hängt sich dann daran auf.
One particular bug that has appeared exists not in Mozilla, but in IPv6-capable DNS servers: an IPv4 address may be returned when an IPv6 address is requested. It is possible for Mozilla to recover from this misinformation, but a significant delay is introduced.Under certain versions of OS X, this bug is compounded by another bug wherein the OS still makes IPv6 DNS requests even if IPv6 support is disabled. A significant delay is introduced in all connections requiring DNS lookups while the OS and the DNS server exchange unnecessary (or redundant) queries and responses to resolve the address.
Kann man sich gar nicht ausdenken, sowas.
Den FEM-Leuten danke ich hiermit ausdrücklich für ihre gute Arbeit. Trotzdem würde ich das nächstes Mal gerne selber machen (gerne zusätzlich zu ihnen), und dann als Zielvorgabe haben, dass die Videos noch während des Congresses fertig geschnitten und final encoded zum Download vorliegen, aber als Mindestanforderung die ungeschnittenen Zwischenschritte während des Congresses downloadbar haben, denn da hat jeder eine dicke Anbindung und es ist nicht so schlimm, wenn man da ein paar Gigabyte mehr ziehen muss, denn Platten sind billig. FEM kann gerne das Streaming machen, aber ich möchte gerne das Rohmaterial haben, damit wir nicht wieder ein paar Monate lang warten müssen, bis das überhaupt im Netz ist.
Also, nichts für ungut, FEM. Nächstes Mal speichert ihr den Ton bitte als PCM ab, damit man die Brummschleife digital rausrechnen kann. Und die Apple-Fraktion ignoriert ihr einfach, wenn die irgendwas nicht abspielen können. Das interessiert nämlich keine Sau, die beiden Apple-User können sich das gerne selber umrechnen für ihren Ipod, dafür gibt es nämlich freie Software.
Apple spokeswoman Natalie Kerris points out in its terms and conditions that it will cost an arm an a leg to use an Iphone out of the US even if no services are intentionally used.Aber Recht haben sie. Sowas kann man echt nur mit Apple-Usern abziehen. Wieso soll sich nur Apple an diesen Leuten sanieren, AT&T kann die Kohle auch gut brauchen.
Bei einem Update habe ich mir mal gcc-config geupdated, und plötzlich war gcc richtig doll langsam. Einfach nur gcc ohne Argumente aufrufen dauert plötzlich 0,6 Sekunden. WTF? Ich habe also mal ein strace gemacht, um zu gucken, was der da alles aufruft, und haltet euch fest:
IT IS A TRUTH universally accepted that a man in possession of any Apple product is in want of a brain.Dem ist nichts hinzuzufügen.Update: Haha, war nur nen Hoax, haha *schenkelklopf* wassindmerwiederwitzisch (Danke, Kris)
Gerade im internationalen Bereich wird Europa noch vor den USA inzwischen als führend bei der Durchsetzung von Immaterialgüterrechten angesehen.Gaaaaanz toll. Genau dafür haben wir die Leute gewählt, damit sie uns jetzt unter dem Joch der Contentmafia knechten.
as police attempted to extricate him from his motor, he "clutched his laptop computer and screamed the name of Apple's CEO Steve Jobs". A fireman later told 3 News "he believed the man had a mental illness". (Danke, Benjamin)
Update: War Ciscos Schuld, nicht Apples.
Update: Da steht auch noch der größte Apple G5 Cluster. Damit ist die Sache klar, das war Apple-Bogonenstrahlung.
Ich hab ihn überredet, das irgendwo zu bloggen, damit ich drauf linken kann.
Also ich bin ja fast zu wetten gewillt, daß das irgendeine DRM- oder Copyright-Enforcement-Kacke ist, an dem das wieder hängt. Irgendein Antidebug-Scheiß vielleicht? Mann Mann Mann. Das ist selbst für Apple-Verhältnisse schlecht, und hey, das heißt was.
Update: Oh, hier ist noch was schönes:
In light of the recent extremely long article about how cool Macs are, I figured I would provide instructions on how to wreck a brand spankin' new not-even-off-the-shelf Apple Macintosh computer.
- Go to the Apple store.
- Get on a brand new computer.
- Run the Calculator widget.
- Type 99999999*99999999 in the widget.
- Hold down the Enter key until the numbers stop changing.
Voila.
Gut, auch bei uns ist da ein bißchen Posing dabei, aber man trifft doch nette neue Leute auf dem Congress, und kann sich streßarm unterhalten. Bei den Amis geht es echt nur ums Coolness-Simulieren. Da werden immer von sich cool gebenden Firmen krasse Parties geschmissen, wo es dann ein furchtbares "aber nur die Coolen sind eingeladen" Getue gibt, und am Ende ist es dann doch bloß ein tumbes Besäufnis, bei dem sich am nächsten Tag keiner an Details erinnern kann.
Wie komm ich jetzt darauf? Ich habe mich vor einer Weile überreden lassen, bei Daily Dave zu subscriben. Das ist eine Mailingliste von Dave Aitel, dem Chef von ImmunitySec. Und selten sieht man so schön, wie Anspruch und Realität auseinanderklaffen können. Es soll da (natürlich) darum gehen, daß nur die coolen Kids miteinander abhängen, und die sollen angezogen werden über den coolen Content, den Dave da postet, und was passiert dann da am Ende? Sind zwar alle subscribed, aber niemand postet was. Dave schickt eine Mail pro Tag, und eine peinlicher als die letzte. Fast nur Werbung für seine großartigen Produkte, für seine tolle Firma, und der neueste Hammer: Canvas (ihr Python-Framework ala Metasploit) kann jetzt IPv6! Das ist ja un-glaub-lich, IPv6 sagt ihr? In 2007? WHOA! Sogar Windows hat vor denen IPv6 supported, und jetzt glaubt er damit Coolness-Punkte einsammeln zu können? Beachtlich auch, daß er damit Werbung macht, daß sie das einzige "penetration testing platform" mit IPv6-Support seien. Tja, so schlecht ist das da draußen in der Security-Branche. Daher setze ich auch kein einziges dieser Toolkits ein in der täglichen Arbeit. Nicht daß die gar nichts taugen, das ist im Grunde eine Sammlung von Exploits, die sie gehackt haben, mit einer For-Schleife und einem gruseligen Python-GUI drum herum. Also ja, ist ne Leistung, aber … dafür Geld ausgeben? HAHAHA.
Wenig erstaunlich weist ihn dann ein Finne darauf hin, daß ihr Tool schon seit Jahren IPv6 kann, und da entgleist Dave dann vollends. Also ich finde das ja schon frech genug, einen Haufen Python-Kode auch noch verkaufen zu wollen, aber hey, vielleicht findet er ja Kunden. Aber dann seinen Code (der ja nicht mal sein Code ist, er ist da der CEO, nicht der Hacker) als NP-vollständig zu bezeichnen, und deren Fuzzer als O(1), das ist so genau die Art, die ich an den Amis nicht leiden kann. Zumal die einzige Software, die er selbst veröffentlicht hat, SPIKE ist. Eine Fuzzer-Sammlung. Und seine Email-Adresse damals war bei Hotmail. Hotmail! Bwahahaha.
Aber das betrifft nicht nur die Security-Branche. Das ganze Internet ist voll von aufgeblasenen Posern, die selbst noch nie eine meßbare Leistung erbracht haben, aber ewig rumbloggen, wie cool sie sind. Ganz oben in meinem Web-Killfile ist "Joel on Software". ARGH! Wobei der ja offenbar immerhin erfolgreich eine Firma betreibt, also nicht völlig hohl ist. Also ich habe ja so meine Probleme mit den Dylan-Evangelisierern, aber die sind immer noch weniger anstrengend als Joel. Aber so ist das wohl, je weniger jemand kann, desto mehr fühlt er sich zu sagen verpflichtet. Genau wie bei den Apple-Fanboys und den Debilianisten.
BTW: Sobald Jörg Schilling ein ich-bin-ja-so-cool Blog aufmacht, ziehe ich diesen Artikel zurück.
Soweit business as usual. Aber nun gibt es tatsächlich Leute, die glauben, Apple würde sie für ihr Telefon Anwendungen bauen lassen (wie das bei allen anderen Mobiltelefonen ja auch geht). Nun guck mal einer schau:
"You don't want your phone to be an open platform," meaning that anyone can write applications for it and potentially gum up the provider's network, says Jobs. "You need it to work when you need it to work. Cingular doesn't want to see their West Coast network go down because some application messed up."Soviel zum iPhone. Liebe Apple-Fanboys, lasst mich euch ins Gesicht sagen: HAHAHAHAHAHA.Und noch was: Cingular kriegt gerade so tolle Presse wegen des iPhone, da muss man doch was tun: AT&T (Eigentümer von Cingular) will die Marke auflösen und wieder zu AT&T umbenennen. Das haben sie letztes Mal mit SBC Communications gemacht, und das hat sie ne Milliarde Dollar gekostet. Ich denke mir immer, wenn ich so was lese: eine Milliarde hier, eine Milliarde dort, nach einer Weile summiert sich das zu richtig Geld! :-)
./indra/newview/llinventorymodel.cpp: system(buffer);Und dann dieser Instant-Klassiker-Kommentar:
./indra/newview/llstartup.cpp: system(update_exe_path.c_str());
./indra/newview/viewer.cpp: system(command_str.c_str());
./indra/newview/viewer.cpp: command_str += " &"; // This backgrounds the command so system() doesn't block until the crashreporter exitsUnd noch ein Haufen system-Aufrufe im OS X Update Teil, aber hey, weiß ja jeder, daß OS X sicher ist, da muss man also nicht weiter gucken. BWAHAHAHAHA.
Also ich finde ja, Second Life hacken ist wie die Special Olympics hacken. Da könnte ich danach nicht mehr ruhigen Gewissens schlafen. Aber falls das jemand der Anwesenden hier benutzt: ihr werdet demnächst voraussichtlich am Grid Computing teilnehmen, wenn auch unfreiwillig.
Oh, popen ist auch beteiligt:
./indra/mac_updater/mac_updater.cpp: FILE *mounter = popen("hdiutil attach SecondLife.dmg -mountpoint mnt", "r");Also ich habe ja keine Ahnung von Apple, aber das sieht vage gefährlich aus. Dann noch dieses Extrembeispiel von programmiererischer Eleganz:./indra/SConstruct:pipe = os.popen('grep LL_VERSION_MAJOR llcommon/llversion.h | sed \'s/.*=//; s/[^0-9]*//g\'')
Danach hab es von Honk einen Vortrag über seine Erfahrungen mit Security-Audits in der Kreditkartenindustrie, und da waren eine echte Schenkelklopfer dabei. Tja, Schadenfreude ist doch die schönste Freude.
Den Lawrence Lessig Talk habe ich mir gespart, da war ich mit ein paar alten Kumpels essen. Ich hätte mir sonst vermutlich den PocketPC-Talk angehört.
Im nächsten Slot lagen sehr unglücklich "Automated Exploit Detection in Binaries" von einem mir vorher Unbekannten, "Pornography and Technology" von Tina, "Sie haben das Recht zu schweigen" von Udo "lawblog.de" Vetter und "Rootkits as Reversing Tools" von einem anonymen Vortragenden parallel. Jeden davon hätte ich gerne gesehen, aber ich bin am Ende zu der Exploit Detection gegangen. War ein Fehler. Das Konzept ist, Binaries zu disassemblieren, Basic Blocks hinterher zu laufen, über Wertebereiche Buch zu führen, und dann Schreibzugriffe von vergifteten (vom Angreifer kontrollierbaren) Daten außerhalb des gültigen Buffers. Klang alles nach Star Trek, und statt einer Vorführung gab es den Hinweis auf irgendwelche Sourceforge-Sachen und einen Exploit in Trillian, den sie offenbar unabhängig gefunden haben. Nicht beeindruckend.
Das lustige an dem 4. Vortrag war, daß der Vortragende gar nicht körperlich anwesend war, sondern per VoIP und TOR-Tunnel vortragen wollte. Ob das geklappt hat weiß ich nicht, aber das finde ich einen enorm coolen Stunt.
Am Abend lagen dann wieder drei coole Dinge nebeneinander, "Hacker Jeopardy" (da mußte ich meinen Titel verteidigen), "Powerpoint Karaoke" (dort war ich verpflichtet worden), und "Schlossöffnung bei der Staatssicherheit der DDR" (hätte ich auch brennend interessiert). Ich bin dann anfangs zum Karaoke gegangen, habe dort eine absolut furchtbare Foliensammlung gekriegt, und bin mit wehenden Fahnen untergegangen bei der Präsentation :-) Es ging offenbar um Zitate aus einem Buch (jeweils ein Satz oder Satzfragment, sowas wie "Anton errötete alsdann jungenhaft" und darunter ein Bild, das mit dem Zitat darüber so gut wie keinen Zusammenhang hatte. Es gab auch keinen roten Faden, keine tatsächliche Aussage, und so gelang es mir nicht, da sonderlich viel raus zu holen.
Dann wurde ich rausgewunken aus dem Raum und mußte zu Hacker Jeopardy rüber, das dieses Jahr auch in Englisch gehalten wurde. Zur Begeisterung des Publikums gab es eine Kategorie "Things Fefe Doesn't Know", mit furchtbaren Fragen wie welche DECT-Nummer man anrufen muss, um das Labyrinth zu kriegen (ich habe kein DECT-Phone und bin mit genau dieser Frage schon letztes Jahr baden gegangen), welche Tastenkombination auf einer Apple-Tastatur das @-Zeichen ergibt (WTF?!), was Windows-Taste+D tut (?!?) und noch zwei Fragen aus dieser Kategorie. Ich war zu dem Zeitpunkt eh unter Einfluß von Wodka (den sie uns beim Karaoke zur Auflockerung gegeben hatten) und vom Schlafentzug verlangsamt, und habe so ziemlich versagt, konnte kaum was beantworten. Eine Kategorie war ASCII-Ports, da haben sie dann sowas wie "n" gehabt, man mußte dazu den ASCII-Wert wissen (110), und dann "Was ist POP3?" fragen. Kann ich gar nicht, denn in C kann man sowas wie return i-'a' schreiben, da muss man keinen Integer-Wert nachgucken. Nicht nur das, bei vielen Ports hätte ich nicht mal mit der richtigen Umrechnung den Dienst dazu gewußt :-)
In der Mitte des Jeopardy stand es dann -500, 0, -200, 0 (die letzte 0 war ich, der ich noch nichts hatte beantworten können), und ich wollte mich schon entspannt zurück lehnen, und mal die anderen gewinnen lassen. Ein bißchen Gegenwehr wollte ich aber schon simulieren, und so habe ich zwei Fragen beantwortet, hatte dann 500 Punkte, und es waren als letzte Felder die 100-400 Fragen von "Things Fefe Doesn't Know" frei. Ich wußte in der Tat keine einzige der Sachen aus der Kategorien, aber die anderen auch nicht. Und die fühlten sich offenbar genötigt, da dann lieber was zu riskieren und falsch zu antworten, wodurch ich am Ende doch noch gewonnen habe. Meine Siegprämie war eine große Flasche Humppa-Bier und ein Plüsch-Puffy, über den sich mein Jüngster freuen wird.
Ich hatte noch auf dem Gang ein lustiges Gespräch mit Wim, der meinte, man könnte ja zu FreeBSD nicht mehr Free sagen, weil sie so viele BLOBs im Kernel haben, und daher würden die OpenBSDler sie jetzt Ersatz-FreeBSD nennen :-) Hach ja, friendly fire wärmt einem doch das Herz zur Winterzeit…
Morgen früh haben sie den armen Ilja um 11:30 in den Saal 1 gelegt, hoffentlich ist der um die Zeit schon wach. Guckt euch das mal an, er hat mir schon mal verraten, daß es einen schönen OpenBSD-0day gibt.
Einen Talk habe ich mir dann doch mal angehört, von Amit Singh über Apple TPM, und wie erwartet (der Mann hat schließlich vorher bei IBM gearbeitet, offenbar sogar in der Nähe des TPM-Projektes) war das ein "das TPM ist ein harmloser kleiner Chip, mit dem man tolle Dinge tun kann, und Apple benutzt das eh gar nicht weiter" Whitewash. Rüdis Talk über TPM war gecancelt worden, und Rüdi hatte Amit offenbar im Vorfeld eine Mail geschickt, aber keine Antwort erhalten, und so fühlte sich Rüdi als Opfer eine großen Tim Pritlove Weltverschwörung und hat dann in der Fragesektion seinem Unmut Luft gemacht. Ich bin vorzeitig rausgegangen, damit ich ein Alibi habe, aber es haben wohl alle körperlich unversehrt überstanden.
Update: offenbar haben sie da von Dual Opterons gestreamt und die Xserve waren nur FC-Interfaces…!? Und die haben jeweils 2 Gigabit-Interfaces, das hatte ich übersehen. Damit haben sie in der Tat von 12 GBit Nenndurchsatz gut die Hälfte erreicht. Für so eine "Glanz"leistung würde ich ja keine Presseerklärung raushauen.
#define TIFFhowmany8(x) (((x)&0x07)?((uint32)(x)>>3)+1:(uint32)(x)>>3)Sieht ja furchtbar aus, als mache der da eine längenabhängige Kodierung, ASN.1 oder so, und dabei will der nur wissen, wie viele Bytes man braucht, um x Bits zu kodieren. Wie hätte man das einfacher ausdrücken können? So z.B.:
#define my8(x) (((x)+7)>>3)Das habe ich in irgendeinem gruseligen G3-Plugin gefunden, und wenn man mal bei codesearch.google.com guckt, hat das jeder und sein kleiner Bruder kopiert. Erster Hit: bei Apple. :-)
Was sich wohl die Marketing-Abteilung bei Microsoft denkt, wenn sie sowas beschließen? "Wir dürfen keinesfalls Erfolg haben mit dem Produkt, sonst kommen wieder die Kartellwächter"?
Wie erbärmlich muss man sein, um die Auflösung von im Web veröffentlichenten Videos von der Bildschirmauflösung seines Apple-Abspielgeräts abhängig zu machen? Leute, im Web publiziert man nicht für sich, sondern für die Leute da draußen. Und die Idee hinter offenen Standards und offenen Protokollen ist, daß man da eben nicht an einen Hersteller gebunden ist. *rant*
Oh, und dann ein "Sleep-Proxy", der dem Service ein Wake-Up Paket schickt, wenn er gerade schläft, und für ihn ein Request reinkommt. Offensichtlich? Für euch vielleicht, nicht aber für Apple!
Dann ist da noch "Single-channel convolution in a vector processing computer system". Was macht da ihre Erfindung aus? Daß sie eine Gleichung vereinfachen konnten, indem sie einen Vektor voller 1-Elemente nehmen. Äh, WTF?! Eine Faltung mit Vektorinstruktionen, da ist bestimmt noch keiner drauf gekommen, und Vektoren mit Einsen? Meine Fresse, das ist Roswell-Technologie!1!!
Dann patentieren sie da noch ihr Gehäusedesign, eine farbraumneutrale Skriptsprache für Videoeffekte, und eine Methode, wie man durchsichtige Ebenen darstellt, indem man vorne anfängt und hinten nur die Teile rendert, die sichtbar sind. Da *hust* Z-Buffer *hust* können sich die anderen mal was von Abschneiden!1!!
Also ich finde ja, das Patentsystem gehört abgeschafft. Ohne Patentsystem ist das ein selbstregulierendes System, das genau die Eigenschaften hat, die man haben will. Wenn die Erfindungshöhe nichttrivial ist, dauert das reverse engineeren lange, und man ist Jahre vor der Konkurrenz am Markt damit und hat damit sein Monopol. Und über diesen Apple-Lacher hier könnte man laut lachen, anstatt sich Sorgen zu machen, daß die jetzt ffmpeg oder Photoshop abmahnen mit ihren l33t SIMD Skillz.
Over the past few years, OpenDarwin has become a mere hosting facility for Mac OS X related projects. The original notions of developing the Mac OS X and Darwin sources has not panned out. Availability of sources, interaction with Apple representatives, difficulty building and tracking sources, and a lack of interest from the community have all contributed to this. Administering a system to host other people's projects is not what the remaining OpenDarwin contributors had signed up for and have been doing this thankless task far longer than they expected. It is time for OpenDarwin to go dark.Ob Apple denen Ärger gemacht hat, wenn jemand wie Ilja und ich laut lachend auf Code bei denen verlinkt hat? OS X is zwar ne Lachnummer, aber man kann da viel entspannter lachen, wenn man bei OpenDarwin auf den Source zugreifen kann. Schade.
Auf der anderen Seite: maybe not
Und Apple weiß das offensichtlich auch: "How to pick up and carry your iMac G5"
Auf der anderen Seite das hier (Nein, wird nicht verraten)
Oh, und dann dieses Juwel: Gefragt, wieso die Community rumheule, daß Apple so furchtbar sei und nicht auf Hinweise reagiere, antwortet der Typ "We are in close touch with those guys. When there is external issues reported and we fix them, we thank the submitter.". Man muss Apple ja danken, daß sie da einen Techie hingeschickt haben, denn Techies können nicht lügen. Hier gibt er ja förmlich zu, daß sie nur Sachen fixen, bei denen sie sich danach fühlen.
Before the Appleton Wisconsin high school replaced their cafeteria's processed foods with wholesome, nutritious food, the school was described as out-of-control. There were weapons violations, student disruptions, and a cop on duty full-time. After the change in school meals, the students were calm, focused, and orderly. There were no more weapons violations, and no suicides, expulsions, dropouts, or drug violations. The new diet and improved behavior has lasted for seven years, and now other schools are changing their meal programs with similar results.
IPhoto 6 does not understand the first thing about HTTP, the first thing about XML, or the first thing about RSS.It ignores features of HTTP that Netscape 4 supported in 1996, and mis-implements features of XML that Microsoft got right in 1997. It ignores 95 per cent of RSS and Atom and gets most of the remaining five per cent wrong.
Ich beobachte aber auch, wie immer weniger Leute bereit sind, überhaupt hinreichend Energie in etwas zu investieren, um sich damit jemals in die Nähe einer Perspektive zu bringen, Hacker zu werden. Natürlich kann nicht jeder überall der Oberheld sein, aber ich erwarte schon von jedem, daß er genug Ausdauer hat, sich in zumindest ein Thema mal tiefschürfend genug einzuarbeiten, daß ihm dort keiner mehr etwas vormachen kann. Und das kann ich immer weniger beobachten. Die Leute tendieren heute eher zu einer Art Universal-Durchschnitt. Die Abstände zwischen tollen neuen Hype-Trends werden immer kleiner, keiner hat mehr Zeit und Lust, sich die Sachen genauer anzugucken. Als ich jung war (*hust*), kamen PCs noch mit Handbüchern, in denen alle Befehle von GWBASIC beschrieben wurde, genau so wie debug.com und link.exe. Später wurden diese Sachen nicht mal mehr mitgeliefert. Ich war jung und hatte Zeit und habe mir das dann eben in Ruhe angeguckt. Ich enthülle hiermit: man wird Hacker, indem man Zeit hat und sie aufwendet, um sich mit einem Thema gut genug auszukennen, daß man mehr weiß als die Autoren der Standard-Fachliteratur zum Thema. Je nach eigenem Anspruch kann man sich auch nur dann Hacker nennen, wenn man sich in einem Gebiet erschöpfend auskennt, zu dem es (noch) gar keine Literatur gibt… :-)
Und dabei waren die Voraussetzungen noch nie so gut wie heute zum Hacker-Werden! Es gibt heute freie Betriebssysteme mit Editor, Compiler, Assembler und Linker kostenlos im Internet — mit Quellcode! Es kostet nichts mehr (außer Zeit), sich in die Sachen richtig gut einzuarbeiten! Man muss nicht mal Bücher kaufen, und heutzutage gibt es Suchmaschinen. Ihr wißt ja gar nicht, was das für ein Luxus ist, Kinder!
Zurück zum Thema. Heute kann jeder Hacker werden, der nur genug Zeit investiert. Als Hacker gewinnt man enorm an Selbstsicherheit, man ist gefragt auf dem Arbeitsmarkt, alles ist prima, aber aus irgendeinem Grund werden die Leute heute nicht mehr Hacker. Stattdessen hat die Verfügbarkeit freier Software zu einer Anspruchshaltung geführt, daß die Leute finden, wenn man schon nichts für Download und Installation zahlen muss, dann muss man auch danach keinen Aufwand investieren müssen. Den Nachwuchs in meinem Bekanntenkreis wird eher so High-Level-Fummler, klickt sich GUI-Anwendungen in einer IDE zusammen, hackt ein Python-Skript zum Mail-Sortieren, hat ein bißchen Java aus der Uni mitgenommen, steigt gerade auf C# um, sowas. Womit ich das nicht abwerten will, aber Hacken ist was anderes.
Es ist besser, in einer Sprache richtig gut als in 20 Sprachen Anfänger zu sein. Denkt da ruhig mal aus Sicht eines HR-Menschen drüber nach. Stellt euch vor, ihr seit der Headhunter, und ihr wäret mit einem Lebenslauf konfrontiert, bei dem jemand ein paar Applets (das klingt schon von alleine mittelmäßig und irgendwie abwertend) in Java gemacht hat, der gerade Windows Forms in Visual C# zusammenklicken lernt, der ein paar dynamische Webseiten mit PHP gemacht hat. Für was für einen Job soll so jemand denn bitte qualifiziert sein? Zum ct Lesen? Anspruchsvolle Jobs kann man so jemandem doch gar nicht geben! Wer sich nur oberflächlich mit Sachen beschäftigt, der wird auch nur oberflächliche Jobs bekommen. Was für eine grauenvolle Vorstellung… Insofern: setzt euch hin, sucht euch etwas aus, das ihr am besten noch nicht kennt, und arbeitet euch richtig tief ein. Nehmt euch dafür ein paar Monate. Hört erst auf, wenn ihr das Gefühl habt, selbst der Erfinder der Sache könnte euch nichts wirklich überraschendes mehr dazu erzählen. Solche Leute braucht das Land, nicht noch mehr Visual Basic Pfuscher.