Fragen? Antworten! Siehe auch: Alternativlos
F
Jörg war jemand, der Solaris für Linux überlegen hielt, der darum selbst eine Opensolaris-Distribution bastelte. Einer, der GNU tar sah und dann lieber sein eigenes tar-Programm schrieb. Einer, der einen CD-Brenner hatte und darauf nicht brennen konnte unter Unix, also schrieb er sein eigenes Brennprogramm.
Ein Titan unter den Dickschädeln dieser Welt.
Ohne Dickschädel gibt es keinen Fortschritt.
Wir brauchen mehr Dickschädel.
Na gucken wir doch mal!
Ja, das wäre eine gute Idee gewesen. So vor 30 Jahren. Wurde leider nichts draus, denn wir hatten CDU-Regierungen.
Ja, das wäre eine gute Idee gewesen. So vor 30 Jahren. Wurde leider nichts draus, denn wir hatten CDU-Regierungen.
Ja, das wäre eine gute Idee gewesen. So vor 30 Jahren. Wurde leider nichts draus, denn wir hatten CDU-Regierungen.
Das wäre wahrscheinlich glaubwürdiger, wenn nicht die CDU die Zerstörung des Mittelstandes vorangetrieben hätte die letzten 50 Jahre. Konzerne kriegen Bailouts, den Mittelstand lässt man pleite gehen.
Die 1980er Jahren haben angerufen. Sie wollen ihre abgedroschenen Bullshit-Slogans zurück haben.
Ich bin ja ehrlich gesagt erstaunt, dass sich die Partei mit der Bildungsministerin, die wegen plagiierter Dissertation zurücktreten musst, es wagt, sich öffentlich zum Thema Bildung zu äußern.
Dass die Partei, die gerade vor aller Augen den Afghanistan-Abzug brutaltsmöglich verkackt hat, es wagt, und was von außenpolitischer Sicherheit zu erzählen.
Dass die Partei es wagt, uns was über Klima zu erzählen, die erst die erneuerbaren Energien kaputtaltmaiert und deren Kanzlerkandidat dann ein Kohlekraftwerk bauen lässt.
Die Partei, die auf Melden einer Sicherheitslücke in ihrer verkackten Wahl-App reagiert, indem sie die meldende Sicherheitsforscherin vom LKA verfolgen lässt, die erzählt uns jetzt was von digitaler Modernisierung. Die Partei von Schwarz-Schilling und seinen Kupferkabeln. Die Partei hinter dem Hackertoolverbot, das dazu führte, dass unsere Wirtschaft nicht auf einen Pool von Experten zurückgreifen kann, die sie gegen Ransomware verteidigt. DIE Partei erzählt uns jetzt was von digitaler Modernisierung. Nee, klar.
When I think Modernisierung, I think CDU!
Genau mein Humor!
Wir sind als Partei der Mitte der innovative Kern deutscher Politik. Wir wollen & können sprudelnder Quell kreativer Ideen für nachhaltige Umwelt-, Energie-, Wirtschafts- & Digitalpolitik sein.Jahaa, meine Damen und Herren! Wenn ihr an innovative Politik, kreative Ideen und nachhaltige Umwelt-, Energie-, Wirtschafts- und Digitalpolitik denkt, wem fällt da nicht als erstes die CDU ein! Schnell, erinnert sich noch jemand an die letzte Innovation der CDU? Fällt jemandem eine kreative Idee ein?
Mit der nachhaltigen Umweltpolitik meinen sie bestimmt den freidrehenden Altmaier, der erst Solar und dann Windkraft systematisch zerstört hat in Deutschland. Nachhaltiger kann man Umweltzerstörung kaum betreiben!
Und die Wirtschaftspolitik! Hach! Wie die CDU mit ihren Halb-Lockdowns seit einem Jahr die Industrie in Deutschland in den Boden zu stampfen versucht, das kennt in der Tat in der Nachkriegsgeschichte Deutschlands nichts vergleichbares. Erstaunlich bloß, wie resilient sich die Wirtschaft erwiesen hat (gut, bis auf so Randgruppen-Wirtschaft wie Restaurante und Einzelhandel). Aber komm, seit wann hat Wirtschaft was mit Einzalhandel zu tun!1!!
War noch was? Gesundheitspolitik nennen sie gar nicht. Verstehe ich gar nicht. Verkehrspolitik auch nicht. Na sowas. Oh aber Digitalpolitik war da noch. Ja, die CDU, die Partei der Digitalpolitik. Die mit den Uploadfiltern, die mit den Kupferkabeln von Schwarz-Schilling. Die, die unsere Infrastruktur komplett abhören wollen. Die Digitalpartei, die eingescannte Faxe als PDF per E-Mail verschicken lässt, wo sie dann abgetippt werden.
When I think digital, I think CDU!
Lange nicht mehr so herzhaft gelacht. Danke, CDU!
Aber wartet, geht noch weiter, der Tweet.
@ArminLaschet macht klar: Wir wollen ein #Modernisierungsjahrzehnt für 🇩🇪 gestalten.Ooooh, Modernisierung! Na das ist ja auch mal dringend nötig, nach 20 Jahren Stillstand, den uns die CDU gebracht hat. Klar, das ist genau die Partei, denen wir jetzt die Modernisierung zutrauen sollten. Das sieht nur so aus, als hätten sie bisher nichts gemacht! Die haben bloß Anlauf genommen!! Ab jetzt geht die Post ab, sage ich euch! Gut, nicht die Post-Post. Die ist ja von der CDU kaputtprivatisiert worden. Das muss diese nachhaltige Wirtschaftspolitik sein, von der man immer so viel hört!
Ist ja auch klar. Deutsche Startups lohnen sich jetzt nicht mehr.
Leider falsch: Das Netz wurde nicht mit Steuergeldern finanziert. Noch so'n Mythos. Wie Netzneutralität.Oh, ach? Opal wurde nicht mit Fördermitteln für strukturschwache Regionen finanziert? Und während ihr mal nachforscht, wer für das Kupfernetz gezahlt hat, könnt ihr euch auch gleich die Geschichte von Postminister Schwarz-Schilling und der Kupferkabelfirma durchlesen. Das Kupferkabelnetz ist von der Bundespost verlegt worden. Einer Bundesbehörde. Mit Steuergeldern.
Und die Telekom hat sich nach Kräften bemüht, dieses Geschenk des Steuerzahlers so lange zu melken wie es nur irgends ging. Daher schnarchen wir seit Jahren mit DSL herum, während man anderswo seit Jahren Glasfaser bis nach Hause gelegt kriegt. Aber Glasfaser hätte Geld gekostet, das die Telekom nicht investieren wollte, außer der Steuerzahler trägt es. Und der Steuerzahler fand, die Opal-Testgebiete reichen als Beleg für die Technik, den Rest kann die Telekom mal gepflegt selber zahlen. Also hat die Telekom das lieber am langen Arm austrocknen lassen, als dem Rest des Landes zu zeigen, was auch ginge, wenn man nur wollte.
Oh und was hat die Schwarz-Schilling zu verkünden in Sachen Netzneutralität?
Der Zustand sei aber "nicht alarmierend". Der Wettbewerb führe dazu, dass größere Eingriffe der Internetprovider in die Datenflüsse rasch wieder zurückgedrängt würden.Ach ja? Wo denn?
Bei etwa einem Fünftel der mobilen Internetnutzer würden demnach Filesharing-Dienste oder VoIP blockiert oder gedrosselt. Im Festnetz beschränke ein gutes Drittel der Anbieter zumindest in Spitzenzeiten Peer-to-Peer-Netze (P2P). Dabei kämen technische Blockademittel wie Portsperren zum Einsatz oder würden vertraglich zumindest angedroht.Wo ist denn da irgendwas "nicht alarmierend"?!
Verkehrssteuerungsmaßnahmen könnten aber auch "für fragwürdige Zwecke" eingesetzt werden, räumte die Expertin ein. Das Risiko steige mit Marktmacht eines Providers und wenn ein Zugangsanbieter etwa auch selbst Mobilfunk oder VoIP anbiete.No Shit, Sherlock!
Oh und gegen DPS kann man ja nicht vorgehen, weil man ja Skype mit Port-Blocking nicht sperren könne. Wait, what?! Damit, dass die Provider Skype sperren, hat sich die Regulierungsbehörde schon abgefunden oder was? Was glauben die eigentlich, wozu sie da sind?!?
Ich frage mich, ob Google Code das auch macht. Es gab da ja mal eine deutsche Alternative, berlios, aber die ist wegen Inkompetenz gehackt worden, wird offenbar von Jörg "Integer Overflow? Was ist das?" Schilling administriert und da würde ich deshalb nicht mal mein /etc/issue hosten. Wird Zeit, dass das mal jemand ordentlich und vertrauenswürdig und in einer brauchbaren Jurisdiktion macht.
Update: Wikipedia sagt, Google Code blockt auch.
Update: Mir mailt gerade jemand, dass Jörg seit einer Weile bei Berlios raus ist. (Danke, Thomas)
Übrigens kann man mit dem Bug nicht direkt -froot machen, weil Solaris login ein Check hat, der Root-Logins nur auf der Konsole zuläßt per Default. Wie umgeht man das als Angreifer? Man loggt sich mit "-fbin" ein, und editiert dann das zuständige File. Denn bei Solaris gehören wichtige Systemdateien nicht root, sondern bin. Ich habe das schon immer für einen furchtbaren Fehler gehalten, aber hey, bei Sun ist man beratungsresistent.
Ich erwähne das hier, weil ich Jörg Schilling mal einen Bugreport geschickt habe, daß seine Crapware sich bei make install immer als User bin installieren will, und den gibt es bei mir aus Sicherheitsgründen nicht. Jörg hat mich dann unflätigst angepinkelt, bin hätte es ja schon immer bei Unix gegeben, und ich wisse ja nicht, wovon ich rede, und überhaupt sei ein User bin kein Sicherheitsproblem. Tja, Jörg, so kann das gehen.
Was dem einen oder anderen vielleicht nicht so klar ist: telnet filtert man in der Firewall, keine Frage, aber die meisten Banken, Telcos und so weiter haben per X.25 weite Teile ihrer Infrastruktur erreichbar. Wenn ich im Ministerium für Homeland Security säße, würde ich jetzt vermutlich gerade heftig herum rotieren. Auf einschlägigen Kanälen erzählt man sich, daß auch weite Teile von .mil gerade über diese Lücke geownt werden.
Gut, auch bei uns ist da ein bißchen Posing dabei, aber man trifft doch nette neue Leute auf dem Congress, und kann sich streßarm unterhalten. Bei den Amis geht es echt nur ums Coolness-Simulieren. Da werden immer von sich cool gebenden Firmen krasse Parties geschmissen, wo es dann ein furchtbares "aber nur die Coolen sind eingeladen" Getue gibt, und am Ende ist es dann doch bloß ein tumbes Besäufnis, bei dem sich am nächsten Tag keiner an Details erinnern kann.
Wie komm ich jetzt darauf? Ich habe mich vor einer Weile überreden lassen, bei Daily Dave zu subscriben. Das ist eine Mailingliste von Dave Aitel, dem Chef von ImmunitySec. Und selten sieht man so schön, wie Anspruch und Realität auseinanderklaffen können. Es soll da (natürlich) darum gehen, daß nur die coolen Kids miteinander abhängen, und die sollen angezogen werden über den coolen Content, den Dave da postet, und was passiert dann da am Ende? Sind zwar alle subscribed, aber niemand postet was. Dave schickt eine Mail pro Tag, und eine peinlicher als die letzte. Fast nur Werbung für seine großartigen Produkte, für seine tolle Firma, und der neueste Hammer: Canvas (ihr Python-Framework ala Metasploit) kann jetzt IPv6! Das ist ja un-glaub-lich, IPv6 sagt ihr? In 2007? WHOA! Sogar Windows hat vor denen IPv6 supported, und jetzt glaubt er damit Coolness-Punkte einsammeln zu können? Beachtlich auch, daß er damit Werbung macht, daß sie das einzige "penetration testing platform" mit IPv6-Support seien. Tja, so schlecht ist das da draußen in der Security-Branche. Daher setze ich auch kein einziges dieser Toolkits ein in der täglichen Arbeit. Nicht daß die gar nichts taugen, das ist im Grunde eine Sammlung von Exploits, die sie gehackt haben, mit einer For-Schleife und einem gruseligen Python-GUI drum herum. Also ja, ist ne Leistung, aber … dafür Geld ausgeben? HAHAHA.
Wenig erstaunlich weist ihn dann ein Finne darauf hin, daß ihr Tool schon seit Jahren IPv6 kann, und da entgleist Dave dann vollends. Also ich finde das ja schon frech genug, einen Haufen Python-Kode auch noch verkaufen zu wollen, aber hey, vielleicht findet er ja Kunden. Aber dann seinen Code (der ja nicht mal sein Code ist, er ist da der CEO, nicht der Hacker) als NP-vollständig zu bezeichnen, und deren Fuzzer als O(1), das ist so genau die Art, die ich an den Amis nicht leiden kann. Zumal die einzige Software, die er selbst veröffentlicht hat, SPIKE ist. Eine Fuzzer-Sammlung. Und seine Email-Adresse damals war bei Hotmail. Hotmail! Bwahahaha.
Aber das betrifft nicht nur die Security-Branche. Das ganze Internet ist voll von aufgeblasenen Posern, die selbst noch nie eine meßbare Leistung erbracht haben, aber ewig rumbloggen, wie cool sie sind. Ganz oben in meinem Web-Killfile ist "Joel on Software". ARGH! Wobei der ja offenbar immerhin erfolgreich eine Firma betreibt, also nicht völlig hohl ist. Also ich habe ja so meine Probleme mit den Dylan-Evangelisierern, aber die sind immer noch weniger anstrengend als Joel. Aber so ist das wohl, je weniger jemand kann, desto mehr fühlt er sich zu sagen verpflichtet. Genau wie bei den Apple-Fanboys und den Debilianisten.
BTW: Sobald Jörg Schilling ein ich-bin-ja-so-cool Blog aufmacht, ziehe ich diesen Artikel zurück.
"He was the shortest and the worst of the high representatives running Bosnia," said Senad Slatina, a Sarajevo analyst.Senior western officials in Sarajevo said Mr Schwarz-Schilling, who is the EU special representative as well as the international community's high representative, was fired.
Was tut man in solchen Fällen? Man spricht den Autor an. Habe ich gemacht. Erst mal als Testballon eine Frage zu seinem ASN.1-Code, den Funktionsnamen ins Subject.
Schreibt er mir zurück, ich müsse schon sagen, wo ich diese Codefragmente genau gefunden hätte. Ich schreib also zurück, äh, Funktionsname == Subject. Gut, übersehen, danke ich mir, kann schon mal vorkommen. Was kommt zurück?
Wenn Du nicht in der Lage bist halbwegs anständige Informationen zu liefern, kann ich Dich wohl kaum unterstützen.Diese komplette Fehleinschätzung der Dinge ist mir bisher nur einmal unter gekommen: bei Jörg Schilling. Leute, wenn ich in eurem Code Bugs finde und euch das mitteile, dann bin ICH der Unterstützende, und zwar unterstütze ich euch. Nicht umgekehrt. Wer da der Illusion erliegt, daß er als Autor mir Support zukommen läßt, der vertreibt seine einzige Chance auf kostenloses Bugfinden, und — er hat es auch nicht anders verdient. Aber wartet, geht noch weiter.
Was glaubst Du wohl, wie oft ich so eine Funktion hier rumfliegen habe.Ich habe geguckt. Einmal in gnupg 1.4.6 und einmal in gnupg 2.0.1, und zwar der identische Code, cut&paste. Soviel dazu, Werner. Was soll ich sagen, auf solche Spirenzchen habe ich überhaupt gar keinen Bock. Dann kann gnupg halt von mir aus schlecht bleiben. Ich habe mal ein paar Vorträge auf Sicherheitskonferenzen angemeldet, "Auditing GnuPG", da werde ich dann halt die Details erzählen, und demnächst taucht dann hier ein Patch auf, den könnt ihr dann alle haben. Das war jedenfalls mit Sicherheit das letzte Mal, daß ich ihm zu helfen versucht habe.Im Übrigen fände ich das alles nur halb so erbärmlich, wenn Werner nicht öffentliche Förderkohle abgegriffen hätte, um seine Softwareentwicklung zu finanzieren. Damit ist er jetzt bei mir persönlich auf einer Ansehensstufe mit Steuerhinterziehern.
SCCS is an implementation of the POSIX standard Source Code Control System. It is based on the original UNIX SCCS code provided by Sun as part of OpenSolaris and was made portable to other platforms.Changes: […] All gets() calls have been replaced calls to fgets(). The mktemp() call has been replaced with mkstemp() wherever it makes sense.
Schilling-Software ist ja schon immer für ihre Zuverlässigkeit, Robustheit und Sicherheit berühmt… zu Recht, wie man hier sehen kann. gets()! gets()!!!
$ tarx tvzf ACE+TAO+CIAO.tar.gz|grep "link to"Aufmerksamen Lesern wird an dieser Stelle auffallen, daß das File ein Hard Link auf sich selbst werden soll. Da fragt man sich ja schon, mit was für einem verheerend schlechten tar die da ihren Tarball erzeugt haben. Ich hätte ja star vermutet, aber so das wäre sogar für Jörg "core dump" Schilling uncharakteristisch.
-rw-r--r-- bczar/doc 0 2006-11-21 12:34:05 ACE_wrappers/TAO/TAO_ACE.sln link to ACE_wrappers/TAO/TAO_ACE.sln
-rw-r--r-- bczar/doc 0 2006-11-21 11:45:41 ACE_wrappers/TAO/TAO_ACE_vc8.TAO_ACE.sln link to ACE_wrappers/TAO/TAO_ACE_vc8.TAO_ACE.sln
But wait, there's more! zu strfry gibt es auch noch ein Security Advisory (das ich allerdings für hirnrissig halte, das könnte man genau so gut bei strlen bemängeln), und der absolute Oberhammer ist dieser Debilian Bugreport. Un-fucking-believable. Wenn es ein Code-Killfile gäbe, Ulrich Drepper wäre drin.
Oh, und wo wir gerade beim glibc-Bashing sind: man kann bei der glibc Callbacks definieren, um bei printf neue Format-Zeichen zu definieren. Und nun ratet mal, welche Qualitätssoftware dieses großartige Feature benutzt: richtig, reiserfsprogs. Die definieren damit z.B. einen Callback, um ein Tupel von zwei Zahlen auszugeben IIRC. Unfaßbar. Aber hey, reiserfs benutzt ja eh niemand, oder? Oder?!
Vielleicht sollte ich echt mal eine Webseite aufmachen, und dort ein Coder-Killfile unterhalten. Drepper, die Reiserfs-Jungs, Schilling, … da kämen aber nur die besonders harten Fälle hin. Ich will ja auch noch zu anderen Sachen kommen.
