Fragen? Antworten! Siehe auch: Alternativlos
Global temperatures have been at unprecedented levels for several weeks. The extensive and intense heatwaves this year are alarming, but not surprising because unfortunately the conditions being observed are in accordance with projections from the Intergovernmental Panel on Climate Change.Aber aber aber die waren doch ein Hoax? Messfehler! Schlechte Extrapolation!! Stimmt alles gar nicht!!1!
Ein Leser berichtet:
Am vergangenen Samstag sind morgens um 7 überall in Deutschland (und Europa, z.b. italien) die Lichter, bzgl die Batterien ausgegangen, der chinesische Hersteller Sungrow hat ungefragt einfach Firmware updates für die Batterien verteilt und diese verkackt, jetzt fliegt überall die Sicherung, neuflashen geht somit auch nicht.Endlich mal eine andere Geschmacksrichtung von Supply-Chain-Problemen!Komisch dass auch keine Newspaper darüber berichtet, es sind sehr viele betroffen!
Kein Changelog, kein verteiles ausrollen, ist schon geil die Abhängigkeit wenn die Europaweit die Anlagen kaputt flashen können
Update: Achtet mal darauf, wie schlecht man heutzutage einen Cyberangriff der chinesischen Regierung auf die deutsche Renewable-Industrie von einem bedauerlichen Softwareproblem, kann man nichts machen, unterscheiden kann.
Update: War offenbar doch reparabel. (Danke, Matthias)
Es gibt natürlich Gegenbewegungen, z.B. Coreboot, aber die laufen nur auf einer Handvoll von Mainboard-CPU-Kombinationen.
Inzwischen ist es so schlimm, dass das UEFI-BIOS einen Bereich hat, wo der Hersteller Windows-Treiber-Blobs hinpacken kann, die Windows dann ohne Nachzufragen installiert. Von einer Souveränität des Besitzers der Hardware kann schon lange keine Rede mehr sein.
Das ist alles so schlimm, dass es inzwischen ein Geschäftsmodell ist, eine Hardware anzubieten, wo nur noch Blobs von dem Hersteller drin sind, mit dem man einen Vertrag geschlossen hat, nicht auch noch von Dutzenden von anderen Leuten.
Es ist nicht nur so, dass man den Quellcode für die Blobs nicht hat, sondern die sind z.B. bei Intel und AMD gerne auch verschlüsselt und signiert. Selbst wenn man den Quellcode hätte, könnte man damit nicht selber einen Blob bauen und verwenden, weil man die Schlüssel nicht hat.
Zumindest eine Sache könnte man aber mal fordern: Dass die Hersteller den Quellcode veröffentlichen und Reproducible Builds haben. Dann kann ich den Quellcode nehmen und bauen und gucken, ob dasselbe Blob rauskommt (vor der Signatur). Hilft natürlich nicht, wenn das auch noch verschlüsselt ist, und ich kann dann immer noch keine eigene Version bauen und hochladen. Aber es wäre in Sachen Vertrauensbildung ein echter Meilenstein.
Stellt sich raus: Intel hat damit jetzt angefangen (ganz runterscrollen). Aus meiner Sicht ist das ein absoluter Game Changer für die ganze Industrie. Ich hoffe mal, dass das Schule macht.
Der Code ist das jetzt offenbar seit Monaten öffentlich im Internet und es hat keiner mitgekriegt :-)
Sie wollen auch schnell ganz viele Near-Earth-Orbit-Satelliten hochschießen. Mit dem Aufbau des Netzes wollen sie fertig sein, bevor Starlink alle geplanten Satelliten oben hat. Das ist ein sehr ambitionierter Zeitplan.
Warum ist das so dringend? Weil sie nicht wollen, dass Elon Musk den ganzen Orbit einfach annektiert und danach keiner mehr da hin launchen kann, weil alles schon mit Starlink-Hardware voll ist.
OK und was hilft das jetzt gegen Starlink? Naja, ...
The Chinese satellites could be equipped with an anti-Starlink payload to carry out various missions, such as conducting “close-range, long-term surveillance of Starlink satellites”, they said.Starlink will insgesamt über 40000 Satelliten oben haben, und damit kann weder die Überwachung noch die Abwehr in China aktuell umgehen.Wie ich hier ausgeführt habe, ist auch der Angriff solcher Satelliten gar nicht so einfach, daher will China neue Waffensysteme dafür entwickeln.
They added that new weapons, including lasers and high-power microwaves, would be developed and used to destroy Starlink satellites that pass over China or other sensitive regions.Das klingt alles ein bisschen verzweifelt, und völlig zu Recht. Starlink hat in der Ukraine gezeigt, was für ein Game Changer es ist, und China muss jetzt damit rechnen, dass das auch vor ihrer Haustüre eingesetzt wird. Da würden sie dann eher ungerne blank dastehen.
Na klar: DIE RUSSEN HABEN UNS MIT APT GECYBERT!!1!
Die Strategie funktioniert auch heute noch. Microsoft gerade so:
Im Rahmen der Konferenz Cyberwarcon hat Microsoft seine Einschätzung zu einer neuartigen Ransomware spektakulär ergänzt: "MSTIC stellt fest, dass Iridium die Prestige-Kampagne durchgeführt hat". Das bedeutet letztlich, dass Microsoft den russischen Militärgeheimdienst GRU für Planung und Durchführung einer im Herbst aufgedeckten Ransomware-Kampagne verantwortlich macht. Sollte dies zutreffen, wäre das eine deutliche Änderung der Gefahrenlage, die auch Konsequenzen für die Verteidiger hätte.Nein. Wäre es nicht. Da ist auch nichts spektakulär dran. Das ist alles unglaublich unspektakulär, unsubstanziiertes Hörensagen und reine Energieverschwendung. Und die Heise-Experten reihen sich ein in die Narrativ-Cheerleader.
Ein Game-Changer*gähn*
Hey, bist du auch schon von den Russen gecybert worden? Hast du auch solche Angst vor den Russen? Die Russen, die in der Ukraine Bomben nehmen mussten, weil sie die uralte gammelige Elektro-Infrastruktur nicht gecybert gekriegt haben. Die Russen, die sich beim Hacken vom holländischen Geheimdienste über ihre eigenen Webcams haben filmen lassen. Habt ihr auch solche Angst vor denen?
Solange ihr Active Directory, Windows und Office einsetzt, und nicht immer sofort alle Patches überall ausrollt, werdet ihr irgendwann gehackt werden. Von wem ist dann auch egal, denn die Daten sind dann halt weg.
Der Launcher hinterlässt Logs unter Windows, in %localappdata%/epicgameslauncher/saved/logs. Dort findet man dann episch veraltete Versionen von curl, openssl und zlib, und den Grund für das Problem: Epic hat ihre AWS-Konfiguration verkackt.
Während des Login-Vorgangs versucht der eine Verbindung zu catalog-public-service-prod06.ol.epicgames.com aufzubauen, und da kommen so ein Dutzend oder so verschiedene IPs zurück, von denen eine zu funktionieren scheint (vielleicht auch mehr), aber andere werfen Fehler von "Unknown CA" über "certificate expired" und "hostname not found in certificate".
Using libcurl 7.55.1-DEVDa fragste dich doch echt, was diese Leute beruflich machen.supports SSL with OpenSSL/1.1.1
supports HTTP deflate (compression) using libz 1.2.8
Ich hab versucht, das bei deren Support-System zu melden, aber die sagen, meine E-Mail sei ungültig. Tja, dann halt nicht.
Aktuell sind curl 7.83.1 (gab die eine oder andere Vuln seit dem), OpenSSL 3.0.4 (gab die eine oder andere Vuln seit dem), 1.2.12 (1.2.8 ist von 2013!!). Finde ich unverantwortlich, sowas unters Volk zu bringen.
Wenn hier also jemand jemanden bei Epic kennt, oder weiß, wer da für Security zuständig ist (falls es da jemanden gibt), dann tretet die doch mal bitte kurz. Das geht so gar nicht.
Mein Workaround war jetzt, eine funktionierende IP in der hosts-Datei festzunageln. Damit geht Login wieder. Aber jetzt wo ich weiß, was da für unsichere Komponenten drin sind, habe ich spontan kaum noch Lust, den Launcher überhaupt zu starten.
Dazu jetzt ein Leserbrief:
reicht ja nicht, dass die Lücke von November 2021 bis vorgestern bei Oracle bekannt war, bis sie gepatcht wurde. Es gibt bis heute auch in kaum einer Distribution eine gepatchte Variante des OpenJDKs.Nehmt Java, haben sie gesagt! Das ist secure by design, haben sie gesagt!OpenJDK Projekt? Listet das geplante 17.0.3 Release Datum als 19.04., das letzte GA Release ist aber immer noch 17.0.2: https://wiki.openjdk.java.net/display/JDKUpdates/JDK+17u
Debian? CentOS? openSUSE? Warten wohl alle noch auf den Upstream Build und verteilen inzwischen weiterhin fleißig 17.0.2.
Adoptium? Hat ein fetzen Banner auf der Homepage, dass man sich hier den Buildzustand anschauen kann: https://github.com/adoptium/adoptium/issues/140
Ein fertiges Release gibts leider noch für keine Version.Die einzige bisher gepatchte OpenJDK Version scheint Arch zu haben: https://archlinux.org/packages/extra/x86_64/jdk17-openjdk/
Vermutlich haben die ihren eigenen Build.
Warum dauert das so lang? Offensichtlich gibts keinen Hotfix Prozess und es fallen Tests um: https://github.com/adoptium/aqa-tests/issues/3594
Da fragt man sich, was passiert eigentlich, wenn in Java ne RCE auftaucht? Warten wir dann auch > 2 Tage darauf, dass der Code Change im Binärpaket landet?
Nicht dass CVE-2022-21449 in irgendeiner Form etwas anderes als kritisch wäre...
Ich möchte an der Stelle darauf hinweisen, dass hier offensichtlich Oracle nicht OpenJDK vorab informiert hat, damit die auch einen Patch fertig haben. Das ist eine Sache, die man häufiger beobachten kann, dass Firmen selbst monatelang auf 0days sitzen, und nicht nur ihre Kunden gefährden, sondern auch absichtlich Open-Source-Komponenten uninformiert lassen, denn wenn du die informierst, dann fixen die das natürlich sofort und nicht erst wie du 6 Monate später. Und dann könnte die Welt ja sehen, was du für eine unzumutbare Patchpolitik fährst, indem du deine Kunden mit scharfen Sprengstoffgürteln durch die Gegend rennen lässt.
Aus meiner Sicht haben wir hier doppelt Oracle zu danken. Und es stellt sich die Frage, wieso die Finder dieser Lücke das überhaupt an Oracle gemeldet haben, und nicht bloß an OpenJDK. Den Oracle-Kram setzt doch eh niemand mehr ein!
Gab es da eine Bug Bounty oder was ist da los?
Update: Können wir an der Stelle bitte auch kurz hervorheben, dass wir von Open Source erwarten, dass es nach zwei Tagen funktionierende Patches für alle Plattformen gibt, während bei Oracle offenbar außer mir niemand ein Problem damit hat, dass die SECHS FUCKING MONATE ihre Kunden mit blutender Wunde unversorgt weiterhumpeln ließen?
Ich frage mich ja, wieso der Bug überhaupt an Oracle gemeldet wurde. Man hätte das an OpenJDK melden können. Oracle hätte dann sagen können: oh, äh, ja, das betrifft uns auch. Der nächste Patchtag ist im Oktober 2023!1!!
Update: Improve ECDSA signature support ist ja auch mal ganz großes Hallentennis als Commit Message.
Ein Leser schlägt vor, dass die Bugfilter ihr Geld damit verdienen, dass Bugs offen bleiben, damit ihre Kunden einen Vorteil davon haben, wenn sie deren Service einkaufen, der sie vor Lücken warnt. Insofern könnte das Vorsatz gewesen sein, nur Oracle zu informieren und nicht OpenJDK.
Update: Zwei Leserbriefe dazu kamen rein, die ich hier erwähnen will. Der erste meinte: Der Bug wurde an OpenJDK gemeldet, nicht an Oracle. Aber die Mannschaft hinter OpenJDK ist halt zum Großteil bei Oracle angestellt, insofern hat das nicht geholfen. Der andere meinte: Der Bug tritt angeblich nur unter Windows auf. Huch, muss ich übersehen haben im Advisory.
Update: Nein, hab ich nicht übersehen. Es gibt mehrere Fußnoten mit der Nummer 1. m(
Da gibt es eigentlich nur eine in Frage kommende Interpretation: Hier wird eine fette Sicherheitslücke gefixt, und sie wollen die Details zurückhalten, bis alle eine Chance hatten, den Patch einzuspielen.
Es gab bis 2014 eine enge Zusammenarbeit zwischen der Ukraine und Russland in der Entwicklung und Produktion von technischen Systemen für Waffen. Aus der Ukraine kamen z.B. Getriebe für Kriegsschiffe, Anlassturbienen für Kampfflugzeuge, Triebwerke für Hubschrauber, optische Sensoren für Raketen etc. Manchmal wurde auch die komplette Produktion in die Ukraine verlagert. So entwickelte die russische Firma Vimpel die Luft-Luft-Rakete AA-10 (R27), die Produktion fand aber (soweit ich weis) komplett in der Ukraine statt. Bei Hubschraubertriebwerken war das ähnlich: Klimow (russische Firma in Sankt Petersburg) entwickelt Triebwerke und baute sie in Kleinserie. Der größte Teil der Serienproduktion erfolgte dann aber bei Motor-Sitsch in der Ukraine.Mit der Annektion der Krim brach die Ukraine die Zusammenarbeit ab. Damit fehlten Russland auf einen Schlag wichtige Komponenten für die Produktion nahezu aller wichtiger Waffensysteme. Das war eine sehr kritische Situation. Aus russischer Sicht hatte der Westen durch Regime-Change in Kiew die Russische Waffenindustrie paralysiert und dadurch Russlands Verteidigungsfähigkeit unterminiert.
Das ist aber mehr als 6 Jahre her, die Russland nutzte, um vollständig auf landeseigene Produkte umzustellen. So wurde z.B. die Triebwerksproduktion bei Klimow stark ausgebaut, um wieder Hubschrauber produzieren und Warten zu können. Trivial war das nicht, obwohl es sich hierbei ein russisches Design handelte. Viel komplizierter muss es sein, Systeme zu ersetzen, die vormals in der Ukraine entwickelt worden waren. Wie weit man dabei inzwischen gekommen ist, ist unklar.
In der jetzigen Situation spielt das ohnehin keine großen Rolle, da technisch aufwendige Waffen/Waffensysteme (lasergesteuerte/GPS-gesteuerte Raketen und Bomben, Flugzeuge, Hubschrauber) viel schneller verschossen/abgeschossen werden, als man sie herstellen kann. Nach ein paar Wochen Krieg sind die verfügbaren high-tech-Waffen verschossen, und man muss ja auch einen Mindestbestand davon im Lager lassen, um nicht nackt dazustehen. Dann bleiben einem nur noch normale Artilleriegeschosse und Freifallbomben, deren Vorrat sicherlich für "immer" reicht, die aber auch zu größeren Kollateralschäden führen.
Ein Einsender weist gerade auf diese Geschichte hier hin und fasst die Situation wie folgt zusammen:
Ein Bot macht Ticket auf, weil Dependency geändert wurde.Also ich weiß ja nicht, wie es euch geht, aber ich war lange nicht mehr so davon überzeugt, dass wir mehr KI in der Softwareentwicklung brauchen! Nicht mehr seit der Story, dass ein Assistenzsystem "Lösungen" von Stackoverflow vorschlagen soll. (Danke, Lutz)
Ein anderer Bot merged den Change.
Ein dritter Bot feiert die Aktion mit einem Motivations-GIF.Später stellt sich raus, dass die Tests wegen inkompatibler Änderungen fehlschlagen.
Bot lehnt Rücknahme der Änderung ab.
Bot lehnt Wiedereröffnung des Tickets ab....
Da dachte ich mir: Geil, endlich tut mal jemand was fürs Klima! Die sind so gut wie tot!
Stellt sich raus: Genau so kam es.
Punchline: Jetzt könnte der Anti-Climate-Change-PR-Mafia die Kohle (harr!) ausgehen, die sind von denen finanziert worden.
Es hätte keinen sympathischeren Volksvertreter treffen können, wenn ihr mich fragt!
Mehr als ein Viertel aller Europäer würde es bevorzugen, wenn wichtige politische Entscheidungen nicht von gewählten Politikern getroffen würden, sondern von einer künstlichen Intelligenz. Das geht aus einer Studie der High-Tech-orientierten Forschungsgruppe Center for the Governance of Change der spanischen IE University hervor.Erst schmunzelt man ob der Bullshit-Dichte. Doch dann fiel mir auf: Stimmt eigentlich. Schlimmer als Axel Voss wäre eine KI auch nicht. Und im Gegensatz zu Uploadfiltern wäre eine KI technisch machbar, die Voss ersetzt. Selbst wenn die komplett ausfällt wäre es noch eine Verbesserung gegenüber dem Status Quo.
Vielleicht sollten wir das mal semi-ernsthaft durchexerzieren. Einen virtuellen CDU-Abgeordneten, der nur Bullshit-Phrasen von sich gibt. Das dauert bestimmt Jahre, bis das in der CDU jemandem auffällt, dass das bloß ein Markov-Generator ist.
Die Überschrift macht schon klar, dass das keine neutrale Quelle ist. Der Typ, der die Site betreibt, hatte allerdings neulich dieses schöne Video gemacht, wie er im Abgeordnetenhaus Leute fragt, ob sie zu Venezuela einen Kommentar haben.
Hier ein Absatz aus dem Artikel als Teaser:
On October 5, 2005, with Chávez’s popularity at its peak and his government planning sweeping socialist programs, five Venezuelan “student leaders” arrived in Belgrade, Serbia to begin training for an insurrection.
Merkel now has to contend with not only local opponents but also a network of influential anti-immigrant Americans and other international activists inspired by Trump and similar illiberal leaders, like Hungary’s Viktor Orban and Russia’s Vladimir Putin.They’re determined to punish the chancellor for welcoming more than a million desperate refugees seeking shelter in Europe since 2015 ― and ultimately want to prove that compassion toward immigrants is now political suicide in the West.
Wenn wir nicht wachsam sind, dann steht bald in den Geschichtsbüchern, dass die Russen hinter Stuxnet steckten. So krass ist das Realitätsverzerrungsfeld der USA schon.
Rex Tillerson ist diese Tage auf einer "die Russen kommen"-Panikmache-Tour in Mexiko gewesen. Ich glaube das war ein NAFTA-Event, denn die kanadische Außenministerin war auch da. Und der Tillerson hat dann da von der Gefahr durch russische Wahlbeeinflussung herumgeblubbert, während die Kanadierin immer zustimmend besorgt genickt hat.
Mir ist fast das Frühstück wieder hochgekommen.
Die Benchmark-Parameter waren:
./bench -n 1000 -c 10 -k -K 5 http://127.0.0.1/testfileDas heißt: 1000 Mal diese Datei laden, über 10 Verbindungen parallel, mit 5 Downloads pro TCP-Verbindung via HTTP-Keepalive. Sowohl das Benchmark-Tool als auch gatling sind Single-Threaded und laufen auf jeweils einem Core nebeneinander. Es sollte also nicht zu vielen Context Switches kommen, aber natürlich sehr viele Wechsel vom User Space in den Kernel und zurück. Und die sind genau das, was durch den Fix langsamer werden. Die CPU ist ein Haswell (noch ohne Microcode-Update). Das sollte also ziemlich nahe am Worst Case sein. Und in der Tat. Mit dem alten Kernel:
bench: 164835678432 bytes in 24.7616 seconds. bench: Throughput: 6.2GiB/sec bench: Requests per second: 40und mit dem neuen Kernel:
bench: 164870699232 bytes in 39.3921 seconds. bench: Throughput: 3.9GiB/sec bench: Requests per second: 25Das ist ein ziemlich krasser Einbruch. Und da ist kein SSD beteiligt, das ist alles Buffer Cache ohne tatsächlichen I/O zu tatsächlicher Hardware.
Update: Nach Einspielen des neuen Microcodes wird es ein bisschen weniger schlimm (4.5GiB/sec), aber das ist immer noch katastrophal viel schlechter als vorher. Kann mir mal jemand erzählen, wieso das jetzt keinen Recall gibt?
Ich hatte übrigens den 4.15 mit Retpoline-Support gebaut, aber ohne einen gcc mit Retpoline-Support. Laut Dokumentation werden dann von Hand an einigen Stellen Assembler-Fixes eingebaut.
Update: Intel hatte den Microcode zurückgezogen. Stellt sich raus: Das Microcode-Update, das ich probiert habe, war gar nicht der Meltdown-Fix. Hatte mich schon gewundert, wieso da 2017 dran stand. Damit ist der Unterschied zwischen den 3,9 und den 4,5 GiB/sec anscheinend Messvarianz Messfehler.
Update: Ach und der gcc 7.3, mit dem ich den Kernel gebaut hatte, kann doch Retpolines. Haben sie nur nicht für relevant genug gehalten, um es im Changelog online zu erwähnen.
Update: Haswell ist gar nicht der Worst Case, wie sich rausstellt. Ich habe schon pcid und invpcid im /proc/cpuinfo. Bei Sandy Bridge und co ist das wohl noch deutlich schlimmer.
Security related changes: CVE-2009-5064: The ldd script would sometimes run the program under examination directly, without preventing code execution through the dynamic linker. (The glibc project disputes that this is a security vulnerability; only trusted binaries must be examined using the ldd script.)
Na ein Glück, dass wir das mal geklärt haben! Das wird nicht Jedem klar gewesen sein.
Das kommt aus der git-Version von glibc. In den aktuellen Man-Pages zu glibc steht das aber auch schon drin.
durch Zufall bin ich gerade auf eine krasse Story im Rahmen des G20-Gipfels gestoßen. Offenbar hat Sören Kohlhuber, der u.a. für die ZEIT schreibt, andere Journalisten verleumderisch auf Twitter als Nazis denunziert und damit wissentlich eine Hetzjagd ausgelöst, die Verletzte gefordert hat.Mein Kommentar dazu: Bei den "anderen Journalisten" handelt es sich um (Video 1):https://www.youtube.com/watch?v=6vpJwfTYtJ0
https://www.youtube.com/watch?v=U8950y1TTcIhttps://twitter.com/SoerenKohlhuber
Die besagten Tweets hat er wohl mittlerweile gelöscht, aber man kann immer noch recht gut erkennen, wie er so drauf ist.
Luke Rudkowski of WeAreChange, […] Lauren Southern, Tim Pool, Max Bachmann and Marcus of Heavy.com.und (Video 2) Max Bachmann von "GERnalist.org".Video 1 beschreibt, was angeblich geschehen ist (ich kann da nichts von prüfen):
Labeling all of us fascists and identitarians while sending the photos of our faces to antifa and other radical protests groups.Nun bin ich kein Beobachter der rechten Szene, aber von Lauren Southern habe ich mal gehört (deren Geschäftsmodell ist, sich herablassend über Feministen und Linke zu äußern und dann ein Mikrofon hinzuhalten und zufällig eine Youtube-Kamera dabei zu haben und draufzuhalten.Ein kurzes Googeln findet diesen Blogeintrag von Sören Kohlhuber (?) über die, in dem er denen umgekehrt vorwirft, ihn in einem Youtube-Video geouted zu haben. Er beschreibt die Lage dort wie folgt:
Am Fischmarkt zum Beginn der „Welcome to hell“ – Demonstration fiel mir eine Gruppe von vier Personen mit Kameras auf. Eine Frau und drei Männer. Die Frau trug ein blaues Shirt der „Neuen Rechten“-Gruppe „Identitäre Bewegung“. Wie immer machte ich Fotos von solchen Personen und gab entsprechende Infos und Fotos auf Twitter heraus.Aus meiner Sicht haben wir es hier also mit dem Rüberschwappen der "DAS SIND ALLES NAZIS!!1!" der Linken aus sozialen Netzen und Unis ins reale Leben zu tun, und umgekehrt mit dem Rüberschwappen der "DAS SIND ALLES STEINEWERFER UND TERRORISTEN!1!!" der Rechten über die Linken.Die Gruppe bemerkte mein Foto, weswegen die Gruppe sich beriet, die Frau auf die Toilette ging und sich umzog. Die Gruppe sprach miteinander Englisch.
Mit "arbeitet für die ZEIT" ist das Störungsmelder-Blog gemeint. Sören hat auch ein Buch geschrieben.
Die Frage ist wohl, wo man in dieser Sache in Bezug auf den Kohlhuber steht. Ist das legitime Aufklärungsarbeit über rechte Strukturen in Deutschland, wenn man Mugshots auf Demos macht und das ins Internet hochlädt, wo es die Antifa dann als Liste der zum Verprügeln freigegebenen Nazis betrachtet? Oder ist das Stalking, Verletzung von Persönlichketisrechten und Aufruf zu Straftaten?
Ich kenne diese Leute alle nicht weiter, aber Sörens Zusammenfassung ihrer Personen klingt erstmal nicht bösartig unglaubwürdig. Der hält das halt für legitim, jemandem 9/11-Truthertum und Verschwörungstheorien vorzuwerfen, und damit ist die Person dann für ihn halt bei den "rechten Strukturen" abgeheftet. Für mich ist das grob das gleiche, was ich an anderer Stelle beim Innenminister bekämpfenswert fand, wenn der von Gefährdern spricht, die es zu bekämpfen gilt.
Letztlich ist wahrscheinlich auch die Frage, ob von der Antifa auch nur annährend soviel Gefahr für Leib und Leben ausgeht wie von Nazis. Die tauschen ja auch Personalien von zu bekämpfenden Gegnern aus, und die Linken fürchten dann um ihr Leben. Ist das jetzt gerechte Heimzahlung, wenn die Linken das auch mit den Nazis machen? Oder hat sich die Linke damit auf das gleiche faschistische Niveau herabbegeben?
Man darf auch nicht vergessen, dass gerade so Youtube-Leute aus dem rechten Spektrum wie die, um die es hier geht, damit ihren Lebensunterhalt bestreiten, dass sie Leute provozieren und dann die Reaktionen filmen und sich innerhalb ihrer Gruppe als bekämpfte Opfer darstellen.
Ist alles nicht so einfach.
Hier ist Lauren Southerns Video dazu. Voriges Video von Lauren Southern und Tim Pool, wo sie die Sache noch deutlich entspannter sahen, vermutlich noch voller Adrenalin.
Update: Übrigens schreibt Sören auf Facebook, dass die Berliner Einsatzhundertschaften doch wieder nach Hamburg gerufen haben und da fröhlich mitgeprügelt haben sollen.
Sowas wie heute in Hamburg, hätte ich nicht gedacht. Der Blackblock legt die Vermummung ab und die Berliner EHus prügeln hinein, isolieren den vorderen Block und es folgen die Auseinandersetzungen bis in die Nacht hinein.
Daher jetzt auch mal was Konstruktives. Eine Einsendung von Kris Köhntopp, wie man Rollout und Testing richtig macht.
Victim Blaming: »Patching is hard? Yes—and every major tech player, no matter how sophisticated they are, has had catastrophic failures when they tried to change something. Google once bricked Chromebooks with an update. A Facebook configuration change took the site offline for 2.5 hours. Microsoft ruined network configuration and partially bricked some computers; even their newest patch isn't trouble-free. An iOS update from Apple bricked some iPad Pros. Even Amazon knocked AWS off the air.«Ein Canary ist ein Kanarienvogel im Kohleminen-Sinn. Man schiebt die neue Version nicht gleich auf das ganze Rechenzentrum, sondern erstmal nur auf ein paar Kisten, und da routet man nur ein paar User hin. Und guckt, ob es platzt. Das ist an sich eine gute Praxis, aber man muss aufpassen, dass man das nur kurzzeitig macht. Ich habe schon Firmen gesehen, die praktisch permanent diverse Versionen parallel ausgerollt hatten. Das ist nicht gut.Wo ich arbeite haben wir dieselbe Beobachtung gemacht. Wir haben ein Outage Budget, d.h. wir messen die tatsächlichen Einnahmen und vergleichen mit den vorhergesagten Einnahmen. Ist durch einen mißglückten Rollout ein Einnahmeausfall zu verzeichnen, buchen wir das vom Outage Budget ab.
Wir versuchen das so gut als möglich zu treffen. Wenn wir mehr Outage als geplant haben, ist das zu viel Risk Taking, wenn wir zu wenig Outage hatten, ist das nicht genug Risk Taking und wir sind zu langsam und complacent.
Häufige Rollouts sind kleine Changes und die sind viel besser zu kontrollieren als große unübersichtliche Changes. Daher versuchen wir, so oft als möglich einen Rollout (== Patch) zu machen und so die Patches möglichst klein zu halten.
Wenn wir Rollout-Probleme haben, dann meist in den Subsystemen, die wir nicht oft genug ausrollen und in denen dann sekundäre Changes (== Library Changes, die mit sich schneller ändernden Systemen geteilt werden) den Rollout zerknallen. Die Lösung ist für uns, so was auch dann auszurollen wenn sich im Code selbst nix geändert hat (also Dependency-Änderungen auszurollen).
Alles in allem ist das eine sehr anschauliche Darstellung von Technical Debt: Je größer der Diff zwischen ausgerollt und trunk ist, um zu wahrscheinlicher ist es, daß Trunk in Production explodiert.
Um Patching sicher zu machen, muß man es oft tun.
Wenn man oft patchen möchte, müssen Patches und deren Rollouts ein Operativer Prozeß und kein Upgrade-Migrationsprojekt sein.
Wenn Rollouts ein operative Prozeß sein sollen, dann muß man Testen in der Produktion sicher und überlebbar machen.
Um Testen in der Produktion sicher zu machen, muß man:
- das Austeilen von Code und die Aktivierung von Code trennen, also Feature Flags und Experiments einführen,
- sich ändernde persistente Datenstrukturen doppelt führen (alte und neue Version gleichzeitig und parallel aktualisieren, sodaß alter und neuer Code coexistieren können).
- Reporting und Monitoring exzessiv ausbauen und den Monitoring Lag (Event Timestamp vs. Timestamp in dem das Event im Monitoring auf dem Operator Screen sichtbar wird) mitloggen und Anzeigen ("Monitoring Framerate einblenden")
- und den Leuten klar machen, daß es wichtig ist, eine Fehlerkultur zu etablieren ("blameless postmortem" einführen und durchsetzen).
- Canaries
- Overcapacity
- nur 2 Versionen aktiv zur Zeit (also nicht drei- oder mehrphasige Rollouts laufen haben)
Alles kein Hexenwerk eigentlich.
Overcapacity heißt einfach, dass man nicht am Limit fährt mit seiner Hardware, damit man eine Performance-Regression zur Not mal kurzzeitig abfangen kann.
Stört euch bitte nicht an dem Denglisch, das ist in der Ops-Abteilung von internationalen Firmen durchaus normal :-)
Update: Kris hat das auch in sein Blog getan und verlinkt dort auch ein paar Vorträge, die er in dem Bereich gehalten hat.
Leider haben sie den Link dann schnell zu einem PDF ohne die Änderungen geändert. Aber die Word-Datei kann man von Julia Reda runterladen. (Danke, Mathias)
Nein, der Klimawandel ist kein Hoax, und wir haben das auch nicht erfunden
Ja wer hat das denn dann erfunden, fragt ihr? Gut, dass ihr fragt, denn die Antwort ist großartig:
China couldn’t have invented global warming as a hoax to harm U.S. competitiveness because it was Donald Trump’s Republican predecessors who started climate negotiations in the 1980s, China’s Vice Foreign Minister Liu Zhenmin said.U.S. Presidents Ronald Reagan and George H.W. Bush supported the Intergovernmental Panel on Climate Change in initiating global warming talks even before China knew that negotiations to cut pollution were starting
HARR HARR HARR
Eine Strategie, die so auch von unserem Innenminister hätte kommen können.
Nun, wenn sie "die Russen" sagen, meinen sie anscheinend dcleaks.com (von denen ich vorher noch nie was gehört habe). Woher da die Intel kommt, dass das die Russen sind, ist mir jedenfalls nicht klar. Aber hey, The Hill schreibt, das seien die Russen, und The Hill ist immerhin keine komplette Nutjob-Fringe-Seite (wie das hier z.B.).
Jedenfalls behauptet dcleaks gerade, sie hätten auch eine Familienpackung E-Mails von George Soros und seiner Open Society Foundation gehackt. Ihre Webseite ist soros.dcleaks.com.
Auf der einen Seite wäre das massiv interessant, bei Soros mal einen Blick werfen zu können. Auf der anderen Seite wirft mir die Suchmaschine da gerade keine E-Mails raus, sondern MS Office-Dateien. Und das bei einer Site, die angeblich "die russischen Hacker" sind. Ich würde da auf genau gar keine dieser Dateien draufklicken, auch nicht aus einer VM heraus. Aber es gibt auch einen Preview, vielleicht reicht der ja.
Kurze Warnung noch: Soros ist der Intimfeind der politischen Rechten in den USA. Die Nemesis der Republikaner. Eigentlich nicht direkt verständlich, denn seine Ideen zum "Demokratie Bringen", Revolutionen anzetteln und "Regime Change" erinnern mich ja eher an die Republikaner, aber nunja, viel nehmen tun sich die Seiten da nicht in den USA. Ich erwähne das deshalb, weil im Moment alle, die darauf linken oder sich darüber freuen, aus dem krass rechten Spektrum kommen in den USA. Das ist kein gutes Zeichen für die Vertrauenswürdigkeit dieser Info.
Die Seite ist jetzt schon träge bis lahmarschig, bevor ich drauf linke. Ich hoffe mal, ich töte die jetzt nicht endgültig.
Für Kontext siehe auch.
Ich auch nicht. Daher ignoriere ich die seit Jahren nach Kräften.
Ich bin auch kein Freund von change.org, weil ich Petitionen generell für Publikumsbespaßung halte, und weil change.org aus diesem Obama-Partisanenwahlkampf-Sumpf entstanden ist. Aus meiner Sicht sind diese ganzen Online-Pseudoaktivismus-Geschichten eher konterproduktiv, weil sie den Leuten das Gefühl geben, es kümmere sich ja jemand, und dann kann ich ja zuhause bleiben und vielleicht fünf Euro überweisen und dann war ich ja auch im Widerstand. So Plattformen wie change.org investieren die Spenden dann in den Ausbau und Betrieb ihrer Plattformen, und machen vielleicht hie und da noch eine Randgruppen-Aktion, die von der Presse ignoriert wird. Change.org wird TTIP nicht verhindern, tut aber so, als könnten sie es.
Dabei arbeiten da glaube ich durchaus Idealisten mit hehren Zielen, aber irgendwann wird aus diesem dauernden Spendensammeln und Plattformbetreiben halt ein Beruf. Und bei Digitalcourtage kann ich mich gar nicht an die letzte Aktion erinnern, die machen nur noch Spendensammeln. Oh warte, doch, an eine Sache erinnere ich mich.
Naja, lange Rede kurzer Sinn: Die Courtagisten haben jetzt jedenfalls über ihre Spendenacquiseplattform "Big Brother Awards" change.org ausgezeichnet.
Ja, kein Witz, ihr müsst da erstmal durch mehrere lange Minuten Mikrofonmonopolisierung und Schmutzwerfen der "Moderation" durch, und selbst dann geben sie das Mikrofon nicht den change.org-Leuten, die sich verteidigen wollen, sondern jemand hält es ihnen hin. WTF? Was für eine erbärmliche Farce. Selbst der Bundestag behandelt seine Experten bei Anhörungen besser, auch wenn niemand die Intention hat, ihnen zuzuhören!
Aber gut, die 6 Minuten Frontal-Fremdschämen müsst ihr jetzt nicht über euch ergehen lassen, wir haben hier ja Internet und Videos mit Vorspulfunktion. Spult mal zur 7-Minuten-Marke, wenn ihr es nicht aushaltet.
Der Chef von change.org Deutschland legt da grob wie folgt los: Bei uns geht es um Petitionen, die sind öffentlich, da steht ein Name dran. Also bei uns muss ja niemand seinen echten Namen eingeben, bloß die E-Mail-Adresse. Bei Digital Courtage hingegen sammelt ihr Namen, Anschrift, Bankverbindungen, …
Die Reaktion war so prompt wie unprofessionell (wenn man nach dem unterirdischen Verhalten davor überhaupt noch mit dem Wort "unprofessionell" hantieren will): sie haben ihn zum Abendessen ausgeladen.
Ob es hier am Ende bloß um die Ausschaltung von Spendensammel-Konkurrenz gehen sollte? Mir gehen so ein bisschen die Erklärungen aus, wie sich jemand so dermaßen zum Stück Brot machen kann, und das vor Publikum und wenn das Ergebnis dann auf Youtube hochgeladen wird.
Update: Auch visuell ein Fest!
Scientists who consider themselves real skeptics – who debunk mysticism, ESP and other pseudoscience, such as those who are part of the Center for Skeptical Inquiry – complain that non-scientists who reject mainstream climate science have usurped the phrase skeptic. They say they aren’t skeptics because “proper skepticism promotes scientific inquiry, critical investigation and the use of reason in examining controversial and extraordinary claims.” That group prefers the phrase “climate change deniers” for those who reject accepted global warming data and theory. But those who reject climate science say the phrase denier has the pejorative ring of Holocaust denier so The Associated Press prefers climate change doubter or someone who rejects mainstream science.Ich glaube ja, dass das Absicht war, dass Climate Change Denier nach Holocaust Denier klingt. Aber dafür hatte die AP dann doch nicht genug Arsch in der Hose.
Wie das konkret aussieht, sieht man auf der nächsten Folie. Da beschreiben sie ein Honey Trap, ein klassisches Werkzeug von Geheimdiensten. Schönen Geschlechtspartner hinschicken, Fotos machen, damit das Opfer erpressen. Wobei GCHQ nicht an Erpressung interessiert ist an der Stelle sondern die Fotos dann den Kollegen, Nachbarn und Freunden steckt, und Blogeinträge schreibt, in denen sie sich als eines der missbrauchten Opfer darstellen. Und, sehr schön auch: "Change their photos on social networking sites".
So richtig überraschend ist das alles nicht, bis man an diese Stelle kommt:
Critically, the “targets” for this deceit and reputation-destruction extend far beyond the customary roster of normal spycraft: hostile nations and their leaders, military agencies, and intelligence services. In fact, the discussion of many of these techniques occurs in the context of using them in lieu of “traditional law enforcement” against people suspected (but not charged or convicted) of ordinary crimes or, more broadly still, “hacktivism”, meaning those who use online protest activity for political ends.Die verwenden das nicht gegen ausländische Spione sondern gegen Leute, denen sie polizeilich nichts nachweisen konnten, aber die sie weghaben wollen. Z.B. gegen "Hacktivisten".Unten in dem Psychologie-Teil taucht "Haversack Ruse" auf, das hab ich mal gegoogelt und dieses tolle PDF gefunden, wo Opa ausm Kriech erzählt. In diesem Fall der erste Weltkrieg, und es ging um eine britische Offensive gegen Gaza, das von Deutschen und Türken gehalten wurde.
Update: Zum Vergleich bietet sich ein Blick auf die Stasi-Richtlinie zur Zersetzung an, wo es auffallende inhaltliche Ähnlichkeiten gibt.
Nun stellt sich natürlich die Frage, wieso man auch seinen Sohn umbringen musste. Der Pressesprecher des Weißen Hauses ließ das in der Antwort so klingen, als sei der halt beim Anschlag auf den Vater zu nahe dran gewesen. Kollateralschaden, *schulterzuck*, das passiert halt schon mal.
Was hat der Sohn denn falsch gemacht, wollte noch jemand wissen. Antwort:
"I would suggest that you should have a far more responsible father if they are truly concerned about the well being of their children. I don't think becoming an al Qaeda jihadist terrorist is the best way to go about doing your business," Gibbs, the former White House press secretary, told the interviewer from We Are Change, when asked to justify "an American citizen that is being targeted without due process, without trial — and, he's underage, he's a minor."Aber nein, wie Greg Palast jetzt schreibt, war das ganz anders:Holder's comment makes it seem that Awlaki's son was blown up with him—a sad case of ‘collateral damage.'But are you ready for this? The teenager—along with his cousin and friends—was killed two weeks after and hundreds of miles away from the site where rockets killed his father.
Außerdem stimmt es wohl nicht, dass die Amis dort nur mit Drohnen herummorden. Der Artikel beschreibt einen Cruise-Missile-Einschlag im Jemen, zu dem sich dann der jemenitische Präsident stolz bekannte, aber vor Ort fand man die Trümmer von einer US-Cruise-Missile. Ein Reporter aus Jemen ging hin, fotografierte das, und wurde prompt dafür in den Knast geworfen. Obamas persönliche Intervention hat dann dafür gesorgt, dass der Präsident den Fotografen nicht begnadigte, weil er kalte Füße bekam. Und da ist der Artikel noch nicht zuende. Lest selbst.
hifn7751: Don’t keep the last blocksize-bytes of ciphertext for use as the next plaintext’s IV, in CBC mode. Use arc4random() to acquire fresh IVs per message.Das ist einer für Kryptologen. Wer den nicht versteht: ignorieren.Update: Stellt sich raus, dass das der selbe Fix ist, den OpenBSD Ende 2010 eingecheckt hat, um die "FBI-IPsec-Backdoor" zu fixen. (Danke, Stefan)
Bisher war das alles analog. Grund:
It has taken nuclear power plants so long to go digital because regulators wanted assurances the new control systems were as reliable as the old ones and could not be compromised by hackers.Aber jetzt wird das anders. Trotz Stuxnet. Grund:The goal of going digital is to save money.Erstklassige Priorisierung, liebe Amerikaner! Da weiß man, was man hat. Obama hat offensichtlich gegenüber Bush noch weniger Industrieregulierung. Change we can believe in!
Nun, der ist ja echt übel genug, der Patriot Act, aber es gibt da offenbar noch "geheime Zusatzprotokolle" (man verzeihe mir den unziemlichen Wortwitz) in Form einer internen "Auslegung", die noch weitreichendere Befugnisse freischaltet als öffentlich angenommen wird. Das hat zumindest ein US-Senator aus Oregon gesagt.
But Wyden says that what Congress will renew is a mere fig leaf for a far broader legal interpretation of the Patriot Act that the government keeps to itself — entirely in secret. Worse, there are hints that the government uses this secret interpretation to gather what one Patriot-watcher calls a “dragnet” for massive amounts of information on private citizens; the government portrays its data-collection efforts much differently.Es wäre nicht das erste Mal, dass die US-Regierung sich herausnimmt, Gesetzestexte einfach anders zu interpretieren als der Rest der Welt, Bush hat ja auch die Genfer Konventionen geschickt uminterpretieren lassen, um seine Foltereien zu legitimieren. Und Obama macht das offensichtlich munter weiter. Change we can believe in! Ich erinnere mich dunkel, dass er im Wahlkampf sogar mal angesagt hatte, den Patriot Act entkernen zu wollen. Hier ist das Zitat.
On Thursday, President Barack Obama telephoned Mahmoud Abbas, the Palestinian president, to urge him to block a UN Security Council resolution condemning settlements. Obama pressed very hard during the 50 minute call, so hard that Abbas felt constrained to agree to take Obama’s request to the PLO executive committee (which, not surprisingly, agreed that Abbas should not accede to Obama’s request).
Die Haushaltslage, verstehen schon.
Wer nicht versteht, der kann hier gut sehen, wo das Geld hin ist. Change we can believe in!
Obama is hiring military contractors at a rate that would make Bush blush.Change we can believe in!
The Army awarded the "sole source" contract in February to the University of Pennsylvania for resilience training, or teaching soldiers to better cope with the psychological strain of multiple combat tours.Das alleine ist ja schon eine Meldung, aber guckt mal, wie die Abteilung heißt:The university's Positive Psychology Center, directed by famed psychologist Martin Seligman, is conducting the resilience training.Also positiver als Folter wird es ja wohl kaum noch!1!!
Update: Auch Barack "Change we can believe in" Obama ist sich dafür nicht zu schade.
Update: Auch bei uns gibt es eine klare Terror-Wahlkampf-Korrelation
in other words, not only does the President have the right to sentence Americans to death with no due process or charges of any kind, but his decisions as to who will be killed and why he wants them dead are "state secrets," and thus no court may adjudicate their legality.Kommt das noch jemandem bekannt vor? Ich erinnere mich vage an einen anderen Präsidenten, der das auch so gemacht hat.
President Barack Obama signed a bill Friday that provides $600 million in emergency funding to help secure the U.S.-Mexico border.WTF? Was soll das denn? Und die Republikaner, die sonst sinnloses Geldverprassen und "big government" kritisieren, sind da natürlich auch im Boot. Was für eine Farce.Among other things, the bill provides for roughly 1,500 new law enforcement agents, new unmanned aerial vehicles, new forwarding operating bases and $14 million in new communications equipment.
"I hear these people saying he's like George Bush. Those people ought to be drug tested," Gibbs said. "I mean, it's crazy."The press secretary dismissed the "professional left" in terms very similar to those used by their opponents on the ideological right, saying, "They will be satisfied when we have Canadian healthcare and we've eliminated the Pentagon. That's not reality."
Change we can believe in!
Es erlaube, "Finanztransaktionen, die den internationalen Terrorismus fördern, wieder" nachvollziehen zu können. "Das heutige Inkrafttreten stellt … einen wichtigen Schritt für die Gewährleistung der Sicherheit sowohl der EU-Mitgliedsstaaten als auch der USA dar."Endlich können wir wieder sicher Mercedes fahren.
Oh und wo wir gerade bei Terroristen waren: Jake Appelbaum hat an der US-Grenze Ärger gekriegt. Sie haben ihm sein Telefon weggenommen und ihn stundenlang verhört. Seinen Laptop durfte er behalten, weil er ohne Festplatte darin einreiste, aber seine drei Telefone haben sie ihm abgenommen. Money Quote:
Officials from the Immigration and Customs Enforcement and the U.S. Army then told him he was not under arrest but was being detained, the sources said.Riiiight. Jake hatte zuletzt auf der HOPE Julian Assange vertreten, als klar wurde, dass das FBI sich mit ihm "unterhalten" möchte. Jake ist US-Bürger, insofern hat er da nur die freundschaftliche Behandlung gekriegt. Ausländer wären vermutlich direkt in Richtung Guantanamo verschwunden worden. Change we can believe in!Auf Wikileaks ist übrigens zeitlich passend eine Datei namens "insurance.aes256" aufgetaucht. Da geht es nicht um Versicherungsdaten, sondern das ist eine "Lebensversicherung" für Wikileaks-Aktivisten, eine unverholene Drohung, dass wenn jemandem etwas passiert, das Passwort für diese Datei veröffentlicht wird. Ob das jetzt taktisch klug war, werden wir sehen. Nach dem Zuckerbrot, dass sie 15000 Akten als Teil ihrer Schadensbegrenzungs-Prozedur zurückgehalten haben, ist das dann jetzt halt die Peitsche. Die Presse ergeht sich gerade in wilden Spekulationen, was da drin sein könnte. Vermutlich sind es nur lauter Nullen und das ist nur ein schöner Medien-Fnord. Wer weiß. Währenddessen versucht das US-Militär weiter Stärke zu demonstrieren und verhört die behinderte Mutter von dem Manning. So gewinnt man die "hearts and minds" der Bevölkerung!
Update: Oh übrigens hat Julian der Presse erzählt, sie hätten die Daten vorab dem Weißen Haus angeboten, damit die auf Namen von Informanten und Unschuldigen zeigen können, die sie dann rausgefiltert hätten. Das Weiße Haus hat abgelehnt. Damit hat Wikileaks ihnen das "Blut an den Händen" Argument elegant aus der Hand geschlagen.
The bio-tech company Monsanto can sell genetically modified seeds before safety tests on them are completed, the US Supreme Court has ruled.Change you can believe in!
Auf Youtube gibt es auch noch ein paar andere großartige Beiträge von denen, z.B. über die Strategie für den Irakkrieg. Großartig! Und hier ist noch einer: Climate Change. Danach braucht ihr neue Unterwäsche vor Lachen :-)
Update: Sie haben auch eines über die Griechenlandkrise. Ganz großes Kino!
Among the most frequently cited reasons for keeping records secret: one that Obama specifically told agencies to stop using so frequently. The Freedom of Information Act exception, known as the "deliberative process" exemption, lets the government withhold records that describe its decision-making behind the scenes.Völlig klar, da kann man unmöglich Einblick gewähren. Schon gar nicht den Wählern.
In an oped in USA Today, John Brennan — Assistant to the President and Deputy National Security Advisor for Homeland Security and Counterterrorism — responds to critics of the Obama administration's counterterrorism policies by saying "Politically motivated criticism and unfounded fear-mongering only serve the goals of al-Qaeda."An sich ist sein Punkt ja ein anderer, nämlichBrennan writes that, "Terrorists are not 100-feet tall. Nor do they deserve the abject fear they seek to instill."Aber mal unter uns, woher kennen wir diese Art von Rhetorik? Change wie can believe in!
Damit ist jetzt rechtlich höchstrichterlich geklärt, dass in den USA Folterer nicht belangt werden.
Die Zivilisationsdecke im Westen ist halt dünn. Darunter sind wir alle noch Barbaren.
Übrigens: Obama und seine Regierung haben natürlich die Position vertreten, dass die Folterknechte nicht verfolgt werden sollen. Un-fucking-believable.
Oh und wo wir gerade bei Change waren: die Millionen von Seiten von Dokumenten von Militär und Geheimdiensten, deren Geheimhaltung zum Jahresende aufgehoben werden sollten — die bleiben geheim.
Mehrere Ex-Gefangene berichten von Folter und fensterlosen Betonzellen, unabhängigen Beobachtern soll der Zugang verwehrt worden sein.Change we can believe in! (Danke, Andy)
Ich hab ja auch keine Lust mehr auf Obama-Bashing. Seufz. Vielleicht kriegen wir ja in der nächsten Runde mal einen echten Messias.
In a reversal, President Barack Obama said on Wednesday he would fight the release of dozens of photographs showing the abuse of terrorism suspects, over concern the images could ignite a backlash against U.S. troops.Ach nee.
The 6,780 reports, current as of this month, comprise over 127,000 pages of material on some of the most contentious issues in the nation, from the U.S. relationship with Israel to abortion legislation. Nearly 2,300 of the reports were updated in the last 12 months, while the oldest report goes back to 1990. The release represents the total output of the Congressional Research Service (CRS) electronically available to Congressional offices. The CRS is Congress's analytical agency and has a budget in excess of $100M per year.Nicht nur für Politologen und Historiker eine Goldgrube.
(a) CIA Detention. The CIA shall close as expeditiously as possible any detention facilities that it currently operates and shall not operate any such detention facility in the future.Ich muss ja doch sagen: damit hat Obama schon mehr Change erreicht als ich ihm zugetraut hatte.
Wie die Amis so schön als Redewendung haben: same shit, different asshole.
Update: Klickt auch auf den Washington Post Link.
Quick Spam Filter 1.2.6Changes: Locking has been removed from MySQL, as it makes it too slow.
Changes: Stack-allocated buffers have been changed to heap-allocated buffers to avoid stack corruption security problems.AAAAAAAARGH!
2002-03-12 Werner Koch <wk@gnupg.org&bt;Seit dem gab es da noch andere Probleme, allerdings sieht der Code völlig anders aus in gnupg. Das scheint tatsächlich von zlib 1.1.4 zu sein. GRUSEL!!!Merged changes from zlib 1.1.4.
Das wird offenbar nur reingelinkt, wenn es im System keine zlib gibt. Noch mal Schwein gehabt.
Obol is a specialized high-level programming language for security protocols. […] The language is interpreted, and the runtime written in Java.But wait, there's more!vtmalloc is a fast memory allocator for multi-threaded applications and Tcl. It provides low contention and the ability to return memory to the system.Ooooh NOCH mehr:SpadFS is an attempt to combine features of advanced filesystems […] crash recovery […] journaling […] hash […] btree]Changes: The main fixes are some spadfsck crashes and creating bad directory entries when a user tried to create s filename longer than 255 characters.
Oh Mann, und NOCH so einer:The Akelos Framework is a PHP4 and PHP5 port of the Ruby on Rails Web development framework.OH NOOOOOOOO!OMFG, und hier ist noch ein schöner, damit hier nicht immer nur schlechte Nachrichten kommen:
sendmail 8.14.0.Beta4: Changes: Header field values are now 8-bit clean. […] This release also contains various bug features, […]
SCCS is an implementation of the POSIX standard Source Code Control System. It is based on the original UNIX SCCS code provided by Sun as part of OpenSolaris and was made portable to other platforms.Changes: […] All gets() calls have been replaced calls to fgets(). The mktemp() call has been replaced with mkstemp() wherever it makes sense.
Schilling-Software ist ja schon immer für ihre Zuverlässigkeit, Robustheit und Sicherheit berühmt… zu Recht, wie man hier sehen kann. gets()! gets()!!!
Ident2 is an alternative approach to auth/ident services. […] written from the ground up […]Changes: […] It fixes a buffer overflow in the getline function. A buffer overflow on FreeBSD has been fixed. Neither of these have known exploits or are known to be exploitable.
Nee, klar, ein Buffer Overflow in getline in einem Netzwerk-Service. Wie könnte das jemals exploitbar sein!?
Non-UTF8 text in IRC no longer causes crashes.
Jagacy VT is a VT100/ANSI screen-scraping library written entirely in Java. It includes a special VT100 emulator designed to help create screen-scraping applications. It excels at creating screen-scraping applications reliably and quickly.Was bin ich froh, diese Art von Problem nicht zu haben. But wait, there's more!gnutls. Changes: This release decrements the shared library version back to 13. […] It fixes an off-by-one error when computing length to malloc. […]OMFG! Aber halt, einen habe ich noch!AjaxVTT is a "Virtual Table Top" utility for multi- user Web-based battle mapping. It lets you play table-top RPGs (Role Playing Games) over the Internet. It outputs standards-compliant dynamic HTML, CSS, and JavaScript (with Ajax).
Aber wie ich meine Freunde von freedesktop.org kenne, machen die keine halben Sachen. Wenn kaputt, dann auch verbrannte Erde. Und tatsächlich, es gibt da jetzt knapp 300 Pakete. Sah erst nicht so schlimm aus, weil ich nur gezogen hatte, was im X11R7.1 Verzeichnis lag. Stellt sich raus, daß das nur die Hälfte ist! Die Pakete, die sich seit X11R7.0 nicht geändert haben, die haben sie nicht rüber gesymlinkt, sonst könnte ja noch jemand darauf kommen, daß man die auch ziehen muss!
Und nun muss man sich mal in die Lage von freedesktop.org versetzen. Man gibt den Leuten 300 Pakete, die in unklarer Weise voneinander abhängen. Wieso überhaupt 300 Pakete? Weil die da echt mit dem Fleischwolf kompartmentalisiert haben; ein Dutzend der Pakete beinhalten überhaupt nur Header! Kommen natürlich trotzdem mit configure-Skript und allem Tamtam:
Seht ihr die sagenhafte Effizienz dieses Systems? Für nicht mal 10k Nutzdaten haben sie mir fast 200k Müll geschickt.-rw-r--r-- 1 leitner users 1315 May 17 2005 COPYING
-rw-r--r-- 1 leitner users 415 Mar 31 10:39 ChangeLog
-rw-r--r-- 1 leitner users 223 May 9 2005 Makefile.am
-rw-r--r-- 1 leitner users 15837 May 20 16:58 Makefile.in
-rw-r--r-- 1 leitner users 21739 May 20 16:58 aclocal.m4
-rwxr-xr-x 1 leitner users 195 May 5 2005 autogen.sh
-rwxr-xr-x 1 leitner users 81157 May 20 16:58 configure
-rw-r--r-- 1 leitner users 225 Mar 31 10:39 configure.ac
-rwxr-xr-x 1 leitner users 9233 May 20 16:58 install-sh
-rwxr-xr-x 1 leitner users 11014 May 20 16:58 missing
-rw-r--r-- 1 leitner users 1962 Mar 31 10:39 saver.h
-rw-r--r-- 1 leitner users 5349 Mar 31 10:39 saverproto.h
-rw-r--r-- 1 leitner users 4298 Mar 31 10:39 scrnsaver.h
-rw-r--r-- 1 leitner users 197 May 9 2005 scrnsaverproto.pc.in
Das ist ja schon ziemlich grobe WMD-Qualität, freedesktop.org blieb überhaupt nur eine Möglichkeit, das noch schlimmer zu machen: sie dokumentieren nicht die Abhängigkeiten. Ja, I kid you not, die Abhängigkeiten sind nicht dokumentiert. Und als ob sie genau wüßten, daß ich Python-Software aus religiösen Gründen nicht auf meine Platte lasse, bieten sie ein Build-Tool an, das in Python geschrieben ist. Und wo ist das dokumentiert? In ihrem… Wiki. Kann man sich noch lächerlicher machen? Oh ja, man kann! Indem man die pkg-config (JA! Das erwähnte ich noch nicht, sie verwenden tatsächlich das Schweinetool aus der Hölle, _pkg-config_!) Pakete anders benennt als die Verzeichnisse und Tarballs (Beispiel: evieproto -> evieext-X11R7.0-1.0.2). Kurz gesagt: in der Zeit, mit der ich mich jetzt schon darüber aufgeregt habe, habe ich das früher dreimal gebaut, und ich habe hier noch nicht mal den X-Server fertig gebaut, geschweige denn irgendwelche Grafiktreiber.
But wait, there is more! Es gibt Patches für Sicherheitslücken. In X11R7.1 liegen die Patches, aber die gepatchten Pakete sind von X11R7.0, und der Patch heißt nicht mal komplett so wie der zu patchende Tarball, und, ja liebe Gemeinde, es geht noch übler, die Patches haben nicht mal die selbe -p Konvention! Manche brauchen -p0 bei patch, andere -p1. Offensichtlich wollte da jemand verhindern, daß man das automatisiert oder im Halbschlaf bauen kann.
Was für Sicherheitslücken sind denn das, werdet ihr jetzt wissen wollen? Das Projekt ist 25 Jahre alt, das müssen ja immens subtile Dinge sein, die sie da jetzt erst gefunden haben, richtig? Sie haben vergessen, bei seteuid den Rückgabewert zu prüfen. OMFG!!
Ihr werdet euch jetzt fragen, wie ich das überhaupt gebaut kriege mit den Abhängigkeiten und so. Ich rufe configure bei dem Paket auf, das ich wirklich haben will, warte eine Minute, dann laufe ich den Abhängigkeiten hinterher. Rekursiv.
Liebe Freedesktop-Leute, wenn ich euch mal im Dunkeln begegne, und zufällig einen Clue-by-Four dabei habe, dann gnade euch Gott!1!!
Update: Beeindruckend. Vier Stunden später, X startet, lädt den richtigen Treiber, aber weigert sich dann, etwas anderes als 640x480 zu fahren. Alle an die Wand stellen nach der Revolution, das sage ich euch.
HSE (Hibernate, Spring, Echo2) is a three-tier base application for Echo2. It is designed to be a starting point for writing robust AJAX applications in Java, Spring, and Hibernate.Robust, ja? Na gucken wir doch mal ins Changelog…Changes: Database connection loss detection and handling was added.
PHPUsenet is a set of scripts that allow you to mirror a newsgroup in an SQL database. Users can read posts, browse, search, reply, and start new threads. Multiple newsgroups are supported for one frontend. The posting facility can be password protected.Und woran denkt man zuerst, wenn man PHP und SQL in einem Satz liest?Changes: Fixes improper sanitization of the "group" URL parameter.Richtig, SQL Injection.Ausnahmsweise noch eine Zugabe:
osinfo reports the type, the version, the architecture, and the kernel of the Linux distribution you are running.uname, anyone?
MyOODB (My Object-Oriented Database) is an integrated database and Web environment that provides true distributed objects, implicit/explicit multi-concurrent nested transactions, seamless Web tunneling, and database self-healing. MyOODB is one part of a two part SDK solution. Together with MyOOWEB, MyOOSDK provides a development environment for people who desire small, fast, but powerful applications.Das reicht ja vermutlich schon, um das Bullshit-Meter des durchschnittlichen Fefeblog-Lesers zum Abbrechen des Zeigers zu bewegen, aber mal schauen, ob wir da vielleicht noch mehr herausholen können. Erste Beobachtung: wir werden mit Buzzwords geflutet, und zwar nicht nur mit bekannten, sondern auch mit frisch erfundenen ("seamless Web tunneling"). Das ist schon mal ein klares Indiz für einen Java-User. Dazu kommt, daß "OO" im Namen ist (nur Java-Deppen halten das per se für eine Errungenschaft oder Wert). Und wenn da so eine Bloat-Sickergrube auch noch als klein und schnell beschrieben wird, dann ist ja evident, daß der Autor nichts kann. Dieser Eindruck verstärkt sich noch, wenn man den "My" Prefix betrachtet. Wer das für ein Qualitätsmerkmal hält, kann nicht viel Erfahrung haben. Self-Healing, yeah right. Und, liebe Leser, Transaktionen anständig hinzukriegen, dazu noch performant und korrekt, das ist nicht einfach, selbst wenn man weiß, was man tut (was hier ja offensichtlich nicht der Fall ist). Da liegt die Vermutung nahe, daß er seine Transaktionen verkackt hat. Mal schauen, was das Changelog sagt:This release fixes a bug where if the "Mighty Write" was piggybacking on another nested transaction, rollback might fail.HAHAHAHAHAHA
SubEtha is a sophisticated mailing list manager, similar in many respects to the popular Mailman package. SubEtha is a three-tiered J2EE application using EJB3 and JMS. SubEtha has very easy installation on Windows and Unix platforms, a user-friendly web interface […]Changes: This project is self-hosting. The code is considered safe for production use, but it has not yet been extensively tested in the wild. Futhermore, there are two major features missing: fulltext searching of the archives has not yet been implemented, and the business tier has not yet been annotated for SOAP access.
und wem das noch nicht reicht, als kleine Zugabe:PETALS is an ObjectWeb Java Business Integration (JBI) platform. It provides lightweight and packaged integration solutions, based on JSR-208 specifications, with a high focus on distribution and clustering.Versteht jemand, was dieses zweite Paket… tut? :-)
\r is handled in the address book so that Cygwin users don't have to put a comment at the end of their lines.HAHA, zu was für Workaround-Verrenkungen sich manche Leute hinreißen lassen…Und weil es so schön war gleich noch einer aus der Kategorie "Tools, die die Welt nicht braucht": Fix broken links 0.2.0:
Fix broken links is a small application that assists you in fixing broken symbolic links on UNIX systems using a wizard. It automatically looks for files with similar names on your hard disk using the locate and Beagle databases, and presents you with a list of possible choices.