Fragen? Antworten! Siehe auch: Alternativlos
Das lohnt sich bei Text (könnt ihr im Browser in den Developer Tools sehen, da steht aktuell sowas wie 6,56KB übertragen, Größe war 12,46KB). Bilder und Videos sind schon komprimiert, da ist das Zeitverschwendung.
Wenn ihr also mein Blog aus der Bahn oder im Handy ladet, dann halbiert Kompression eure Wartezeit. Umso bedauerlicher, dass sich da in den Browsern seit Jahren nicht mehr viel getan hat.
Vor einer Weile hat Chrome Brotli-Support in Chrome eingebaut. Brotli komprimiert geringfügig besser als gzip, aber nicht überzeugend viel besser und es ist auch deutlich langsamer dabei.
Kompression hilft übrigens auch gut bei Font-Dateien, die man per Web einbindet.
Ich erzähle das, weil es ein relativ neues Kompressionsverfahren gibt, zstandard. Ich habe das hier im Blog 2016 zum ersten Mal erwähnt. zstd deckt das ganze Spektrum ab (von "schnell aber nicht so effektiv" bis "langsam und hocheffektiv"). Es hat aber zwei wichtige Vorteile gegenüber Brotli:
"Schnell und dafür nicht so effektiv" ist so schnell, dass man es viel leichter verargumentiert kriegt, das in Protokolle einzubauen. Mein Blog hat im Moment keine Brotli-Kompression, aber wenn die Browser zstd könnten, würde ich sofort zstd-Kompression einbauen. Da kriege ich für den gleichen Aufwand, den ich im Moment bei gzip schon abgenickt habe, deutlich bessere Kompression, bzw. kriege die Kompression, die ich im Moment von gzip kriege, für deutlich weniger CPU-Last im Blog. Das ist also quasi ein No-Brainer, dass man das im Browser will.
Nun, ... hier ist der Firefox-Bug. Der ist von "8 years ago". Immer noch offen. Denn bei Firefox gibt es keine Innovation mehr. Die bauen Dinge erst ein, wenn Chrome sie einbaut. Wenn Chrome etwas ausbaut, baut Firefox es auch aus, wie zuletzt bei jpeg-xl passiert, völlig hanebüchen.
Jetzt wo Chrome zstd hat, wird das hoffentlich auch bald Firefox kriegen, und dann haben wir alle gewonnen.
Update: Heutzutage macht man Webfonts als woff oder woff2 und das ist dann im Wesentlichen ein ttf mit brotli. Es ist immer schlauer, Dateien vorzukomprimiert abzulegen, als sie beim Rausgehen im Webserver zu komprimieren.
Microsoft Helping Out In Making The Linux Kernel Language More InclusiveEndlich!1!!
New hotness: 1€-Haus!
Meine Arbeitshypothese ist, dass das gerade eher diffus bis völlig unklar ist.
Der einzige Teil, bei dem sich alle einig zu sein scheinen, ist, dass das der Angriff Steiner ist, der das alles in Ordnung bringen soll.
Das will ich jetzt gerne mal wissen, ob das wirklich so ist. Ich bin ja immer relativ schnell dabei, neue Trends als Scam zu sehen, und dem Bias würde ich jetzt gerne mit der Umfrage entgegenwirken. Wenn ihr euch da Dinge versprecht oder erhofft, die realistisch erreichbar sind, dann korrigiere ich meine Einschätzung.
Bonuspunkte für die, die mir erklären können, wie sie glauben, dass "KI" ihre Wünsche erfüllen können soll.
Macht euch keine Sorgen, wenn ihr nicht wisst, wie ein LLM intern funktioniert. Das ist im Gegenteil genau die Zielgruppe, um die es mir geht. Ich nehme aber natürlich auch Einsendungen von Leuten, die doch wissen, wie ein LLM intern funktioniert.
Danke im Voraus für eure Teilnahme an der Umfrage!
Ich wünsche viel Erfolg! (Danke, Wolfgang)
Ich bin ja immer fasziniert, wie viele Firmen verzweifelt nach Wegen suchen, sich selbst überflüssig zu machen.
Die haben unglaubliche menschliche Ressourcen zur Verfügung, mit denen man Scifi immanentisieren könnte. Also ... guten Scifi jetzt. Utopischen Scifi. Technik, die Menschen hilft, anstatt sie zu unterjochen, auszuspähen oder zu monetarisieren.
Ist denen nicht klar, dass niemand Microsoft braucht, wenn man sich seine Software von einer "KI" selbst zusammenstöpseln lassen könnte? Oder hoffen die, dass sie mit ihrer "KI" den Markt monopolisieren können, und die dann nur Software zusammenstöpselt, die zwingend Azure-Dienste braucht?
Ich für meinen Teil gucke diesen Leuten aus der Ferne zu, mit einem Glas Rotwein. Macht ihr mal alle.
Habt ihr euch mal überlegt, was Daimler und BMW erreichen könnte, wenn sie Autos bauen würden statt motorisierter Abofallen auf Basis von Kubernetes-Clustern?
Aber wie das halt so ist. Ab einer gewissen Größe ist der primäre Imperativ einer Organisation der Selbsterhalt. Es ist ja kein Zufall, dass man heute von Beschäftigten redet und nicht mehr von Arbeitern. Mit nichts kann man Menschen so gut beschäftigen wie mit Kubernetes-Clustern.
Wobei. Doch. Eine Sache ist noch effizienter. Computerspiele. Hey, das wäre doch mal eine Zukunftsvision? Die können weiter Leute einstellen, die sie nicht brauchen, aber anstatt die dann sinnlose, seelenzerfressende Handbewegungen machen zu lassen, spielen die Computerspiele. Da kann man ja auch Optimierungsaufgaben und Puzzles einbauen.
Ich sollte mal einen Scifi-Roman schreiben, glaube ich. How hard can it be?
Das Geld kommt dann woher? Das drucken wir einfach oder wie?
Oder wie wäre es mit dieser Comedy-Nummer!
Derzeit werden keine "Taurus"-Flugkörper gebaut - denn ohne Aufträge dürfen Rüstungskonzerne keine Waffen bauen. MBDA-Chef Gottschild fordert deshalb eine "Grundlast", um Lieferketten und Mitarbeiter zu bewahren.Kaum hält man schlechten Menschen einen kleinen Finger hin, beißen sie die ganze Hand ab.
Ein besonders krasses Zeichen für die Apokalypse, in der wir gerade leben:
Bei Neuaufträgen müssten sich Zulieferer erst neu aufstellen und beispielsweise Rohstoffe sichern. Engpässe bestünden angesichts weltweit hoher Nachfrage vor allem bei Grundstoffen für Sprengstoffe.Ja richtig! Sprengstoff ist alle! Wir führen so viele Kriege und verballern so viel Sprengstoff, dass die Grundstoffe nicht mehr verfügbar sind.
Gesegnetes Osterfest (um es mal mit Hagen Rether zu sagen, finde leider den alten Clip nicht mehr, war aus Ratzinger-Zeiten).
Update: Ein Leser hat den Rether gefunden. Das ging sogar noch um Johannes Paul II und Schröder und Lafontaine. Es ist erschütternd, wie aktuell das noch ist.
ForewordWe live immersed in an ocean of air, yet we hardly ever notice its presence. However, without air we would simply not be able to survive.
Da kannst du direkt zuklappen, aber widersteht dem Impulse mal noch kurz!This manual comes at a time of unprecedented challenges, in the face of the ongoing COVID-19 pandemic and the existential threat of climate change.Durchhalten!!Risk-based standards, rather than absolute ventilation standards, will enable a more efficient use of our resourcesZeit für das Trommelsolo! Wir lassen uns am besten bei der nächsten Pandemie einmal durchseuchen. Dann wissen wir, wie das Virus reinkommt, und dann können wir "risikobasiert" ein bisschen Kosmetik ausrollen! Genial!Scheiße, Bernd, wieso sind wir denn da nicht früher drauf gekommen?
Oh warte. Sind wir. Genau so lief das. Nur noch ein bisschen schlechter, weil man statt Messungen Wunschdenken gemacht hat. Die Schulen bleiben offen! Schulbusse sind kein Risikofaktor!
Gut so, denn so können sich die frisch infizierten Covid-Patienten vor den Schulen mit Microsofts "KI"-Mobil fortbilden!1!!
Endlich tut mal jemand was gegen Überbevölkerung und der Fefe ist schon wieder unzufrieden!1!!
Half of Russian-made chips are defective: Baikal struggles to meet Russia's demand
Ziel der Backdoor ist sshd, wenn er wie bei Debian gepatcht wurde, um systemd-notification zu benutzen.
Update: Hier gibt es noch ein paar Details.
Wie rechtfertigt man eine 60-Dollar-Bibel? Hold my beer, sagt Donald!
a $60 copy of the King James Bible that also includes copies of the U.S. Constitution, the Bill of Rights, the Declaration of Independence, the Pledge of Allegiance, and the “handwritten chorus” to the country song “God Bless the USA,” by Lee GreenwoodHeiliger als heilig!1!!
Saudi-Arabien sitzt künftig der UN-Kommission zur Förderung von Frauen vor.Leuchtet ein. Wenn sich jemand mit Frauenförderung auskennt, dann Saudi-Arabien!1!!
Am Ende werden Millionen für die Aufarbeitung verbrannt, und dann kommt raus, dass Spahn der schlechteste Gesundheitsminister aller Zeiten war.
Hey, die Millionen können wir uns sparen. Das kann ich euch jetzt schon sagen, ganz ohne große Aufarbeitung.
Völlig freiwillig, versteht sich. Ohne Anerkennen einer Rechtspflicht.
Neither company admitted to wrongdoing as part of the settlement.Aber natürlich nicht, mein Herr!
Peinlicher: Aus einer Polizeibehörde.
Noch peinlicher: Europol.
Hat eigentlich schon jemand die Parallelen zwischen Navalny und Assange angesprochen?
Szene: Die Space Marines nähern sich in voller Bewaffnung dem Alien-Nest. Der Ingenieur sieht ihr Gear und meint: Du, du, du und du: Umdrehen, zurück. Mit zuverlässiger Bewaffnung wiederkommen.
Was war euer Fluchtflieger? DAS da? Lolnope, der stürzt bei Seitenwind ab.
Wovor soll ich dieser Helm da schützen? Vor Paparazzi? Der hält nicht mal Starkregen aus!
Ich habe mich hier gerade ernsthaft mit der Frage beschäftigt, ob es irgendeine Organisation gibt, wo der herkommen könnte, wo das nicht ein schlechtes Zeichen gewesen wäre. Am Ende meinte ein Kumpel: Von Airbus. :-D
Was hat da so lange gedauert? Naja, ihr habt ja gesehen, in welchem Zustand der Laden ist. Da bietet sich im Englischen der schöne Wortwitz an, dass sie sicher gehen wollten, dass der alte CEO mit seinem goldenen Fallschirm nicht auch abstürzt oder Teile verliert auf dem Weg nach unten :-)
Grund für den Einsturz war, dass ein Containerschiff gegen einen Pfeiler gefahren ist. Es gibt Videos von dem Einsturz.
Der Experte erklärt ihnen dann, dass sie mehr Schlangenöl ausrollen müssen, und andere Punkte von den BSI-Checklisten. Nehme ich an. Denn andere Antworten hat das BSI ja noch nie gehabt.
Das wird bestimmt voll super!
Die Kläger deuten die Akten jetzt so, dass das RKI gegenüber der Politik weisungsgebunden ist. Für Leute, die Wikipedia bedienen können, ist das hingegen keine Überraschung.
Das RKI ist dem Gesundheitsministerium unterstellt. Es ist weisungsgebunden und kann Aufträge des Gesundheitsministers nicht ablehnen.[7]Der wichtigste Punkt für die Kläger ist das Protokoll vom 17. März 2020, als das RKI die Risikoeinschätzung von mäßig auf hoch heraufsetzt.
Einen Tag zuvor ist in den Dokumenten vermerkt, die neue Risikobewertung sei vorbereitet worden und solle nun "hochskaliert" werden.Ja Alter, das ist ja wohl mal ein rauchender Colt!!1! Die haben das … vorbereitet? Nicht einfach hochgesetzt? Korrupte Verbrecher, alle miteinander! Ach was sage ich Verbrecher. Verräter!!!1!
"Die Risikobewertung wird veröffentlicht, sobald (Personenname geschwärzt) ein Signal dafür gibt." Den entscheidenden Akteur macht das RKI unkenntlich.Was ihr nicht sagt! Das RKI hat nicht einfach so eine weitreichende Einschätzung gegeben sondern das mit anderen staatlichen Stellen koordiniert! Unfassbare Zustände, sage ich euch.
Was war noch gleich der Kontext?
Tatsächlich waren zu diesem Zeitpunkt die Fallzahlen in Deutschland erheblich gestiegen - um mehr als 500 Prozent in den vergangenen 14 Tagen: Wurden am 2. März 28 Corona-Fälle registriert, waren es am 16. März - dem Tag der Sitzung - bereits 1.780. In diesem Zeitraum wurden wesentlich mehr Tests durchgeführt, die Positivquote erhöhte sich von sechs auf sieben Prozent.Ich persönlich halte es da wie Jimmy Carr in seinem Netflix-Special. Der fragt am Anfang das Publikum: Fanden Sie auch, dass die Corona-Maßnahmen zu hart waren? Das Publikum raunt zustimmend. Jimmy: "Das finden viele der Überlebenden!"
Der Einsender verweist zum Vergleich auf dieses legendäre Onion-Video :-) (Danke, Christian)
Der unerlaubte Besitz einer Kriegswaffe, scharfer Munition und selbst gebauter Sprengkörper verstößt sowohl gegen das Kriegswaffenkontrollgesetz als auch gegen das Waffen- und Sprengstoffgesetz, wie das Gericht feststellte.Ja gut, hat man schon mal in der Garage, sowas. Falls die Zombies kommen und so.
Die selbst gebauten Sprengkörper habe er mit Schwarzpulver aus alten Böllern nachts gebastelt, wenn er nicht habe schlafen können. Er sei nicht rechtsradikal, betont der Mann.Oh. Äh. Wie kommt er denn dazu, das extra anzusagen?
Die laut einem Gutachten voll funktionsfähige Maschinenpistole vom Typ Skorpion fand die Polizei zusammen mit scharfer Munition nicht etwa auf dem Speicher, sondern in einem Stoffbeutel an einem Treppenaufgang.Ja gut, war der Dachboden vielleicht voll.
Die Richterin äußerte Zweifel, dass der Mann die Maschinenpistole – wie angegeben – nur einmal in den Händen gehabt habe, da solche Waffen regelmäßig geölt und geschmiert werden müssten, damit sie funktionsfähig blieben.Verkneift euch mal kurz die Frage, woher die Richterin das wusste :-)
Ja gut, aber wenn der seine Waffe warten konnte, dann wird der den Kram wenigstens sicher gelagert haben, oder?
Ungläubiges Kopfschütteln erntete der Angeklagte, als sich die Schöffen und die Staatsanwaltschaft Fotos der selbst gebastelten Sprengkörper anschauen. Die lagen in einem unverschlossenen Schrank in seiner Garage, durch die auch seine sieben Enkelkinder regelmäßig liefen, wie der Angeklagte zugibt.Aber keine Sorge, abgesehen von der vom Gutachter festgestellten "hohen Splitterwirkung" waren die völlig harmlos. So harmlos, dass der Mann die jahrelang an Silvester gezündet hat.
Aber zurück zu "ich bin nicht rechtsradikal". Das sagt man ja normalerweise nicht anlasslos. Was war denn der Anlass?
Denn in einer Hütte auf dem Grundstück, in der sich der 54-Jährige mit Freunden zum Biertrinken traf, hing eine schwarz-weiß-rote Reichsfahne mit der Aufschrift "Deutschland – meine Heimat". Auch im Partykeller hing eine Reichsfahne und auf dem Speicher fand die Polizei bei der Durchsuchung Nazi-Devotionalien wie Hitler-Bilder.OK, denkt ihr euch jetzt bestimmt. Die Sache ist klar. Ein gefährlicher Terorist, der jetzt weggesperrt wird. Sicherheitsverwahrung!!
Aber keine Sorge. Er hatte eine Erklärung, die alle Befürchtungen entkräftet.
Die Reichsflagge habe er aufgehängt, "weil sie einfach cool ausgeschaut hat", sagt der Angeklagte.Phew. Dann ist ja alles gut. Fand auch die Richterin:
Das Amtsgericht Nördlingen verurteilte ihn zu einer Freiheitsstrafe von zwei Jahren – ausgesetzt zu drei Jahren auf Bewährung. Das ist die höchste Strafe, die ein Gericht noch auf Bewährung aussetzen kann. Alles darüber hinaus würde Gefängnis bedeuten.Der lange Arm des Gesetzes hat die Ordnung wieder hergestellt. Gerechtigkeit für alle! (Danke, Christian)
Earlier today, Emad Mostaque resigned from his role as CEO of Stability AI and from his position on the Board of Directors of the company to pursue decentralized AI.Von den Blockchain-Scammern lernen heißt Siegen lernen!!1!Und hey, klar! Wenn Defi besser ist als Fi dann ist Deai besser als Ai! Das blubbern, das ihr gerade hört, ist der sich anbahnende Geldsegen der bekloppten Risikokapitalverbrenner. Keine Idee war jemals SO bescheuert, dass die nicht Geld draufgeworfen haben.
Scheiße, Bernd! Wieso sind wir da nicht selber drauf gekommen? Wir machen einfach nur gute Sachen mit "KI", keine bösen Dinge! Problem gelöst!!
Ich bewundere ja immer Leute mit so einem kindlichen Weltbild. Die da hinten sind böse, wir hier sind die Guten. Wie die Außenpolitik der USA!
Hey, wer hatte eigentlich diese brillante Idee?
Initiiert wurde das Dokument im Herbst von den Vereinigten Staaten von AmerikaOooooh. Verstehe. Never mind.
Offiziell trägt das auch von der Bundesrepublik Deutschland unterstütze Dokument den Titel "Seizing the opportunities of safe, secure and trustworthy artificial intelligence systems for sustainable development".Oh und natürlich ein Name, der vor Infantilisierung nur so trieft! Opportunities! Safe! Secure! Trustworthy! Sustainable! Jedes Wort eine PR-Lüge! Zum Kotzen.
Hey, versteht ihr eigentlich, wieso die Politikverdrossenheit immer mehr zunimmt? Ein Mysterium!
Zwei Dutzend Mal spricht sich der Text, für sichere und vertrauenswürdig KI aus. Die Resolution schickt voraus, dass sie nicht der Weisheit letzter Schluss ist, denn der Bereich entwickle sich noch. Es brauche fortwährende Diskussion über angemessene, rechtmäßige, interoperable, agile, anpassbare und inklusive Zugänge zum Thema, die auf unterschiedliche Bedürfnisse und Kapazitäten von Entwicklungsländern und entwickelten Ländern eingehen.Wie immer mit den USA. Wenn sie technologisch vorne sind, sind sie für Freihandel und gegen Protektionismus. Wenn sie hinten liegen, machen sie Protektionismus, bis sie blau anlaufen.
Jetzt wo sie vorne zu liegen glauben, da sind sie für weitere Gespräche und erstmal so weitermachen. Später, wenn die Gefahren nicht mehr zu leugnen sind, dann sind sie für ein Moratorium. Niemand anderes soll Zugriff auf solch gefährliche Technologien haben.
Update: Natürlich gilt das nicht für das Militär.
Die KI-Resolution gilt ausdrücklich nicht für KI im Militärbereich. Immerhin steht auf der Tagesordnung der nächsten Generalversammlung eine UN-Resolution zu "Tödlichen Autonomen Waffensystemen". Ein Konsensbeschluss dazu ist unwahrscheinlich.
Klar. Also lallen wir ein paar Hippie-Phrasen ins Mikrofon und gehen ins frühe Wochenende.
CPUs haben häufig Schaltungen, die Werte aus dem RAM anfordern, bevor auf sie zugegriffen wird. Normalerweise funktioniert das so, dass wenn du einen Wert aus dem Speicher lädst, z.B. Code, den du gerade ausführst, dass der Prozessor dann schonmal die nächsten Bytes zu laden anfängt, weil du die wahrscheinlich als nächstes anfordern wirst. Diese Art von Prefetching gab es schon im letzten Jahrtausend.
Aktuellere CPUs haben zusätzlich noch einen Daten-Prefetch. Wenn du ein Wort aus dem Speicher lädst, dann guckt der Prozessor mal, ob er das als Pointer interpretieren und laden kann. Das verursacht normalerweise keine signifikanten Kosten, wenn es es kein Pointer war. Intel macht das anscheinend auch, aber nicht so aggressiv wie Apple.
Das Problem ist jetzt, dass man jetzt am Timing beim Laden von Werten sehen kann, ob der Prefetcher das zu Laden versucht hat, und damit ob die Krypto-Operation diesen Wert in ihrem Private Key hat.
Das klingt jetzt krasser als es ist, denn wenn jemand lokal auf deiner Kiste Code ausführen kann, hat er wahrscheinlich auch ohne diese Art von Angriff genug Zugriff, um deine Geheimnisse auszulesen und zu exfiltrieren. Es könnte aber sein, dass es bald günstig M1 und M2-Hardware von Crypto Bros zu kaufen gibt, die bei ihren Wallets nichts riskieren wollen. :-)
Normale Leute müssen sich glaube ich nicht so viel Sorgen machen gerade. Ein möglicherweise gefährliches Szenario könnte noch sein, wenn du in einem Tab Webassembly-Code laufen hast, und in einem anderen Tab irgendwelchen Krypto-Code, der mit irgendwelchen privaten Schlüsseln hantiert, die so auslesbar wären. Das ist allerdings kein sonderlich häufiges Szenario, und wenn ihr so sensible Krypto-Geschichten im Browser macht, eh keine anderen Tabs offen haben.
Aktueller Fall: Windows Server verstirbt an einem Active-Directory-bezogenen Speicherleck.
Microsoft confirmed that a memory leak introduced with the March 2024 Windows Server security updates is behind a widespread issue causing Windows domain controllers to crash.Ich würde das anders formulieren. Microsoft ist Schuld, dass Windows crasht. "a memory leak" klingt wie "eine unerwartete Turbulenz" im Flugzeug. Nichts da. Microsoft hat das verkackt. Das ist kein Schicksal, das ist keine Turbulenz, das ist nicht unerwartet. Das ist Microsoft-Verkacken.Und ihr Deppen kauft denen trotzdem alle ihren Scheiß ab.
Äh, wat? Dann gilt halt solange das alte Gesetz weiter! Unter dem haben wir auch alle gut gelebt!
Man stelle sich das mal anderherum vor. Das Finanzamt sagt, meine Steuererklärung war ungültig. Dann habe ich auch keine zwei Jahre Zeit, eine neue zu machen! NIRGENDWO sonst gibt es das!
Hey, ich meine, wisst ihr was? Wir können uns auf einen Kompromiss einigen. Die Abgeordneten werden nur bezahlt, solange kein einziges ihrer Gesetze derartig verlängert wurde. Was sagt ihr?
Nvidia announced a collaboration with Hippocratic AI on Monday, a healthcare company that offers generative AI nurses who work for just $9 an hour. Hippocratic promotes how it can undercut real human nurses, who can cost $90 an hour, with its cheap AI agents that offer medical advice to patients over video calls in real-time.Ja gut, wenn du einen Notfall hast, stirbst du dann halt. Auf der anderen Seite, wenn du den Arzt per Videocall diagnostizieren lässt anstatt hinzugehen, dann bist du ja eh nicht an der Verbesserung deiner Gesundheit interessiert, gell? (Danke, Roman)
Ein aktueller Fall illustriert das ganz gut: SuSE Linux Enterprise Server 15 SP4 hat eine BSI-Zertifizierung gekriegt. Ausgestellt am 15.12.2023.
Die benutzen OpenSSL 1.1.1. Das war zu dem Zeitpunkt bereits seit Monaten End-of-Life. Das steht auch im auf Dezember 2023 datierten Report drin, dass sie OpenSSL 1.1.1 verwenden.
Deren OpenSSH hat glaube ich auch noch keine Post-Quantum-Crypto drin. Weiß da jemand genaueres? War jedenfalls nicht Teil des Tests.
So, meine Damen und Herren, sieht Compliance-Sesselfurzerei aus. Kostet viel Geld, bringt weniger als nichts.
Wenn sich bei euch jemand damit bewirbt, dass er ein BSI-CC-Zertifikat habt, dann wisst ihr hoffentlich spätestens ab jetzt, was ihr von dem zu halten habt.
Update: Das Produkt selbst hatte übrigens am 31. Dezember 2023 End-of-Life, also weniger als einen Monat nach Zertifizierung (außer man zahlt LTSS). (Danke, Veit)
Diese Rolle müsste man auch beim EuGH mal dringend besetzen, denn die gaslighten gerade ihr Urteil zu Fingerabdrücken im Personalausweis wie folgt:
Diese Aufnahme ist jedoch durch die dem Gemeinwohl dienenden Zielsetzungen gerechtfertigt, die Herstellung gefälschter Personalausweise und den Identitätsdiebstahl zu bekämpfen sowie die Interoperabilität der Überprüfungssysteme zu gewährleisten.Oh, aber klar doch! Außerdem hilft das gegen sauren Regen und Haarausfall und bringt unser Weltraumprogramm wieder auf Trab!1!!
Fingerabdrücke im Personalausweise helfen gegen genau keinen einzigen dieser Punkte. Wo ist Verleihnix, wenn man ihn braucht?
Ich habe mich ja daran gewöhnt, dass solche Entscheidungen frei von Sachverstand oder Kompetenz auf dem Problemfeld getroffen werden, aber dieses Gaslighting geht mir echt gewaltig an die Nieren.
Seid doch wenigstens so ehrlich und schreibt "lalala blblbl wir haben keine Ahnung aber wir beschließen das jetzt mal so, weil irgendein Vollpfosten-Polizeizulieferer-Lobbyist und erfolgreich seine Traumwelt verkauft hat"!
Und DAS ist die höchste gerichtliche Instanz! Unglaublich.
Schlimmer: Ein Land tritt sich Crypto-Bros ein.
Noch schlimmer: Die Crypto-Bros verwenden dann Weltbank-Arbitrier-Grundsätze gegen dein Land.
Es geht um Honduras.
The crypto crew is exploiting a dispute mechanism nested inside the World Bank, created by an obscure provision of the Central America Free Trade Agreement. Castro has deemed the forum, called the World Bank’s International Centre for Settlement of Investment Disputes, or ICSID, to be an illegitimate usurpation of Honduran sovereignty and has hit upon an elegant solution: She has taken steps to withdraw Honduras from ICSID. The crypto crowd is crying foul.Die Vorgängerregierung in Honduras hat Crypto-Bros über Sonderwirtschaftszonen anzuziehen versucht, und die wollen jetzt ihr Pfund Fleisch haben.The largest case, brought by U.S. corporation Próspera Inc., seeks more than $10 billion in compensation, which would equal roughly a third of the country’s GDP.Ein Glück, dass der Kolonialismus vorbei ist!Hey warte mal, wie könnte das denn überhaupt so weit kommen? Kommt ihr NIE drauf:
It took enormous political muscle more than a decade ago to force the ZEDEs into law. They only became possible when Castro’s husband, Manuel Zelaya, was removed in a U.S.-backed coup in 2009.Ach. Ach was. Ein Coup, mhh? Also sowas! Oh dear!!Die ganze Geschichte wird immer heftiger, je weiter man in dem Artikel liest.
New hotness: Shredderdiplom!
Der Leiter des Salzburger Landesarchivs Oskar Dohle bestätigt auf ORF-Anfrage, dass es reges Interesse am Auffrischungskurs gebe. Der Kurs stehe allerdings in keinerlei Zusammenhang mit dem Fall der versehentlichen Aktenvernichtung zum Kauf der Abramowitsch-Villa, betont Dohle.Oh nein, nein, natürlich nicht, mein Herr! Zufälle gibt's! (Danke, Max)
Tja. Softwareproblem. Kann man nichts machen. (Danke, Peter)
Stellt sich raus: Die finden die Lücke gerade nicht, obwohl sie bei der Firma des Lesers siebenstellige Summen pro Jahr für die "Dienst""leistung" aufrufen.
Warum nicht? Weil NVD die Arbeit eingestellt hat. Das ist eine Vulnerability-Datenbank einer US-Bundesbehörde.
Ja! Richtig gehört! Ein Dienst, der nur diesem einen Kunden ne Million pro Jahr in Rechnung stellt, sammelt nicht etwa selber seine Sicherheitslücken zusammen, sondern scraped bloß die NVD-Datenbank der US-Regierung für lau. Und wenn die dann mal nicht geupdated wird, dann haben die auch keinen Plan B, wie sich das für unseriöse Schlangenölverkäufer gehört.
Ich erwähne den Namen des Schlangenölverkäufers nicht, weil das natürlich ein systemisches, branchenweites Problem ist.
Niemand sollte solchen Anbietern auch nur einen müden Pfennig zahlen für ihre Compliance-Bullshit-Scanning-Schlangenölscheiße.
Update: Ein Leser weiß genaueres und meint, dass das erwartet worden war und es einen mehrstufigen Eskalationsplan gibt, bei dem wir noch deutlich von der höchsten Stufe entfernt sind. Insofern: Erstmal Entwarnung.
Zu Schulen, Ausbildungsstätten und Berufskollegs fährt ein "KI-Mobil", das den Diskurs rund um Künstliche Intelligenz anregen soll.Natürlich braucht man keine Ausbildung, wenn man "KI" nutzen soll. Das ist ja gerade das Versprechen dabei, dass sich das nach dir richtet statt umgekehrt.
Wofür braucht man denn Ausbildung? Na wenn man das Niedriglohnland sein soll, dessen perspektivlose Jugend für das Training der "KI" verheizt werden soll.
Daher muss Microsoft auch an die Schulen und Unis ran. Die müssen dafür sorgen, dass niemand eine ordentliche Ausbildung erhält. Sonst müssten die ja am Ende nicht für Microsoft "KI" trainieren sondern könnten ein selbstbestimmtes Leben führen!
Ich glaube ja nicht, dass Microsoft da noch groß Dinge tun muss, ehrlich gesagt. Unser Schulsystem macht sich schon selbst kaputt, ohne dass US-Konzerne nachhelfen müssen.
Normalerweise gibt es eine ganze Industrie aus Firmen, die sich als Sicherheit für solche Fälle anbieten, und natürlich entsprechend Gebühren nehmen. Aus dem Artikel:
They said they have approached roughly 30 surety companies through four separate brokers, and that they have spent “countless hours negotiating with one of the largest insurance companies in the world.”Die waren alle interessiert, bis sie den Namen Trump hörten. Dann nicht mehr so.Es geht hier um eine Sicherheit, die das Gericht sehen will, damit Trump das Urteil bei der nächsthöheren Instanz anfechten darf. Das ist normalerweise eine Formalität, wenn es um einen Milliardär geht. Aber Trump ist halt kein Milliardär, und das hat sich langsam rumgesprochen.
Attorneys for Trump and his co-defendants in the fraud case argued that it was “impossible” for them to secure a complete appeal bond, which would “effectively” require “cash reserves approaching $1 billion.”Nur falls ihr das nächste Mal glaubt, die Banken wollten von euch unakzeptable Mondzinsen *wieher*Wenn Trump diesen Bond nicht finanziert kriegt, dann kann er das Urteil nicht anfechten, und dann ist das unangefochten und gilt.
Update: Ein-zwei Leser meinen, dass er das Urteil doch anfechten kann, auch wenn er keine Sicherheit hinterlegt kriegt, aber dann kommt halt der Gerichtsvollzieher und vollstreckt gegen sein Vermögen.
"This is a one-time notification giving people the choice to set Bing as their default search engine on Chrome," Microsoft told BleepingComputer."We value providing our customers with choice, so there is an option to dismiss the notification."
Wieso kauft eigentlich jemand von denen?
The military in NATO ally Germany is offering communications apps to soldiers and other federal employees on Chinese phone maker Huawei's app store — even though the telecoms giant has been deemed a security risk by the U.S. and European Union, Newsweek can reveal.Ja aber echt mal! Der Bundeswehr-Messenger im Huawei-Appstore?! Das geht ja GAR nicht!1!! Da können die Chinesen den doch analysieren jetzt!1!!Ja, äh, die Chinesen können den selbstverständlich auch analysieren, wenn der im Apple- oder Google-Appstore ist. Noch großartiger: Der Messenger ist Open Source! Da musst du gar nichts reverse engineeren, da kannst du einfach die Sourcen runterladen! Das basiert übrigens auf Matrix. Der Quellcode für das Backend liegt da auch rum.
Germany's Defense Ministry told Newsweek the apps were secure, but security specialist Nathalie Vogel said there were clear risks."They are repeating the same mistakes over and over again and they are threatening allies by giving access to the Chinese," said Vogel, a Research Fellow at the Center for Intermarium Studies of the Institute of World Politics in Washington, D.C.
Es gibt da natürlich tatsächlich Risiken, aber diese Expertin ist zu inkompetent, die zu benennen. Ein Appstore kann dir ja eine andere App geben, als die Entwickler hochgeladen haben. Da müsste man eigentlich prüfen.Die Hardware könnte natürlich auch verwanzt sein, die Firmware könnte dich bescheißen, etc. Eigentlich ist schon die Prämisse unsicher, dass man sicher kommunizieren kann, wenn man das Gerät eingekauft hat. Eine der gruseligsten Snowden-Veröffentlichungen war, dass die NSA Cisco-Lieferungen abfingen und die Hardware im Transit manipulierten. Ist alles eine Frage des Aufwandes, den die Unterdrückungsbehörden zu investieren bereit sind.
Auf dem Spektrum der Kompromisse ist aber "die App ist Open Source und wir tun sie in App Stores" vergleichsweise OK. Erst jetzt, durch den Digital Markets Act, wird Sideloading von Apps eine reelle Alternative gegen die eigentliche Bedrohung hier: Dass die Amerikaner uns Backdoors unterschieben. Vor denen freidrehenden Geheimdiensten würde ich mir deutlich mehr Sorgen machen als vor den Chinesen.
Ich bin ja kein Wirtschaftswissenschaftler, aber das Geschäftsmodell scheint mir nicht langfristig tragfähig. (Danke, Thorsten)
Eines muss man denen ja lassen. Das Ausmaß des Schadens, den die anrichtigen, bringt sie in den Geschichtsbüchern auf Niveau der napoleonischen Invasion. Das ist eine Leistung als 5%-Spaßpartei!
Der Tiefkühlkosthersteller Ardo ruft wegen möglicher Metallspäne in einzelnen Verpackungen verschiedene Spinat-Artikel zurück.Der Ruf ist übrigens unbegründet.
Auch der Ruf von Karotten, gut für die Augen zu sein, ist übrigens unbegründet. Die Briten haben im 2. Weltkrieg die Legende verbreitet, weil sie Radar hatten und den Nazis eine unschuldige Begründung für die steigenden Abschussquoten geben wollten.
Eine Passagiermaschine von United Airlines verlor im Flug eine Abdeckung an ihrem Rumpf. Der Schaden sei erst am Boden nach der problemlosen Landung im US-Bundesstaat Oregon festgestellt worden.Hey Friedhelm, fehlt da vorne nicht was?
New hotness: Honest Don's Used Cars and Certificates! (Danke, Johannes)
Stellt sich raus: "Ratten haben das Cannabis gefressen" ist eine übliche Ausrede von Polizeirevieren, bei denen Drogen aus der Asservatenkammer fehlen. Inklusive des humoristischen Weltkulturerbes Sagten wir 200kg? Wir meinten 500kg!!
Die Tagesschau hat gerade den Balken höher gehängt :-) (Danke, Björn)
Eine Plage aus Ratten im Polizeirevier, die das Cannabis aus der Asservatenkammer gefressen haben und jetzt high sind :-)
Ihr wisst doch! Wenn wir die Atomkraftwerke abschalten, dann frieren wir hier!!
Und als dann auch noch das Gas aus Russland wegbrach, da war klar: In Deutschland gehen die Lichter aus.
Ist bei euch das Licht ausgegangen?
Natürlich nicht. War eine Propagandawelle ungeahnten Ausmaßes der Energiemafia.
Die Details sind geradezu beängstigend. Wie krass wir verarscht wurden!
Aber Fefe, der Strom ist dann doch bestimmt alles stinkender Kohlestrom!
Deutschland verbrennt so wenig Kohle wie zuletzt 1959Wat? Äh... uhm, dann haben wir den Strom bestimmt alles importiert, und in Polen verbrennen die dann halt Kohle? Guckt euch die Grafiken selbst an. Der Anteil an Importstrom ist geradezu verschwindend gering. Besonders krass finde ich die Aufstellung für 2024 bis Februar. Das ist die Zeit, wo Solar am wenigsten Strom abwirft. Die Dunkelflaute, ihr erinnert euch. Da hätten, wenn man CDU und FDP glaubt, unsere Stromproduktion aus Erneuerbaren komplett ausfallen müssen. Stattdessen war immer noch deutlich mehr als die Hälfte aus Erneuerbaren, und um die Importe zu sehen muss man ranzoomen!
Ja äh aber der Strompreis ist doch bestimmt unfassbar teuer jetzt? Nein, auch nicht. Der ist billiger als Anfang 2021.
Ja Scheiße, Bernd! Haben uns CDU und FDP etwa die ganze Zeit angelogen?! Ja! Natürlich! Wie immer!
Wer wählt die eigentlich immer wieder?!
Gut, ist ein leichtes Ziel, die Sprache. Ein riesiger Bloathaufen aus Komponenten, die Hälfte deprecated, die andere riecht schon schlecht.
C++ hat mehrere Erneuerungsversuche unternommen, die aber im Wesentlichen alle als Rohrkrepierer endeten oder die Sache schlimmer machten.
Templates waren als Ersatz für den C-Präprozessor gedacht, und sind heute ... programmierbar. Template-Metaprogramming! Nein, kein Witz. Ernsthaft!
std::vector war als Ersatz für C-Arrays gedacht, aber operator[] macht kein Range Checking. Damit ist das schlechter als C-Arrays, weil es sicherer aussieht aber nicht ist.
std::span war als Ersatz für Zeigerarithmetik gedacht, und die Referenzimplementation von Microsoft, die das in das Standardkommittee eingebracht haben, hatte zwingendes Range Checking. Das Standardkommittee sah das und machte es weg. Damit ist std::span jetzt schlechter als Zeigerarithmetik, weil es sicherer aussieht aber nicht ist.
Iteratoren waren als Ersatz für Zeigerarithmetik gedacht, aber sie haben nicht nur kein Range Checking sondern merken nicht, wenn du den Container wegschmeißt und machen dann Memory Corruption. Damit sind sie jetzt schlechter als Zeigerarithmetik in C, weil sie sicherer aussehen aber nicht sind.
Andere Probleme hat C++ überhaupt gar nicht erst angegangen. Erst seit ein paar Jahren haben wir eine Ansage zum Speichermodell.
Ich persönlich habe C++ trotzdem jahrelang zu verwenden versucht, aber mein publizierter Code ist alles C. Dabei wäre es einfach, sowas wie dietlibc für C++ zu haben. Wenn es um die Basisfunktionalität geht. Leider müsste ich für dietlibc++ auch Exception Handling implementieren. Da habe ich ein paar Anläufe genommen, aber die Dokumentation ist unbrauchbar und die Referenzimplementation, die als Teil von gcc kommt, ist unlesbarer Höllencode.
Warum erzähle ich das alles? Weil die C++-Community langsam versteht, dass sie das Auto um den Baum gewickelt haben. Die Rettungsversuche werden langsam geradezu humoristisch wertvoll. Bjarne Stroustrup hat einen geradezu grotesken Vortrag zu C++ Safety auf der Cppcon gehalten. Im Vergleich wirkt der Biden frisch und seinen Herausforderungen gewachsen. Stroustrup versucht da noch das Poblem kleinzureden und wegzudefinieren.
Und jetzt hat es Herb Sutter versucht, ein hochangesehener C++-Kommittee-Krieger, von Microsoft entsandt, der sich seit Jahren am Widerstand der renitenten Leute dort aufreibt. Von dem kam std::span mit Bounds Checking, und der arbeitet auch an den C++ Core Guidelines, die schon die richtigen Fragen stellen, aber am Ende am selben Feature Creep sterben wie C++ selbst. Wenn deine Lösung hunderte von Seiten braucht, dann ist sie bereits gescheitert. JSON hat sich durchgesetzt, weil es auf einen Bierdeckel passte. Wenn deine Lösung mehr als eine Seite Beschreibung braucht, ist es keine Lösung sondern ein neues Problem.
Gut, da muss man dann natürlich Abstriche machen. Es geht dann natürlich nicht mehr um die Tiere sondern um
The series marks the first time that any wildlife series—from NatGeo, the BBC, Discovery, Netflix …anywhere—has featured a nearly all-female leadership behind the scenes, whether that be in production, editing, tracking the animals, or filming. Included in that accomplishment is a recruitment of local, rising female filmmakers from the areas where Queens shot. Musembi is the first Black Kenyan female director of a wildlife film—her mom grew up 50 kilometers from where one of the episodes of Queens filmed—while Erica Rugabandana, a filmmaker and mother just starting out her career, was selected as a mentee, becoming the first Tanzanian wildlife camerawoman to work on a series of this scale.Wenn ihr euch also so richtig für Tierfilme interessiert, ... solltet ihr euch vielleicht lieber was anderes angucken.The groundbreaking project with its female-led mission required an unprecedented investment in delivering opportunity and training for women who had not worked in the field in this way before. That’s not to mention the necessary lighting of dynamite sticks to explode the decades of white, privileged, Western, and male-dominated culture that had become the Bible for wildlife filmmaking.Scheiß Patriarchat immer!!1!
Also SO einen klaren Fall von Selbstmord hatten wir schon lange nicht mehr!!
It said the 62-year-old had died from a "self-inflicted" wound on 9 March and police were investigating.Ja genau. So wird das gewesen sein. Hört man ja immer wieder. Whistleblower sind einfach geistig gestörte Menschen, die zu Selbstmord neigen.
Ach. Ach was. Boeing? Ich dachte das ist so ein Inbegriff von Qualität und Verlässlichkeit?
Der Zulieferer Spirit AeroSystems, der den Rumpf für die MAX herstellt, habe nur sechs von dreizehn Audits bestanden, heißt es in dem Bericht weiter.Nun, äh, vielleicht sollte man den Laden mal zumachen?
Neonazis, Identitäre, Burschenschafter - die AfD im Bundestag beschäftigt mehr als 100 Mitarbeiter aus dem rechtsextremen Milieu.Na von wo denn auch sonst?
Das ist eine Sache, die man in der Industrie und Behörden häufiger beobachten kann. Compliance gilt für die Fußsoldaten. Die Ranghöheren betrachten es als ihr Privileg, nicht von dem ganzen Theater betroffen zu sein.
Und am Ende ist alles unsicher aber furchtbar teuer und es gibt keinen Projektfortschritt, weil die Leute, die für die Umsetzung zuständig wären, von sinnlosem Compliance-Bullshit gefesselt werden.
Ich halte das für Absicht. Manager bewerten ihre Wichtigkeit nach der Anzahl der Untergebenen. Personalverantwortung nennt man das. Auf der anderen Seite stellen sie mit Vorliebe mittelmäßige Parteisoldaten und Sesselfurzer ein, damit ihre eigene Inkompetenz nicht so auffällt im Vergleich.
Und so hast du am Ende einen grotesken Wasserkopf aus inkompetenten Deppen und alle wundern sich, wieso nie irgendwas klappt.
Dieses CVE-Sammeln und dann (am besten automatisierte) Suchen nach CVEs in Versionen hat dazu geführt, dass CVEs eine Währung geworden sind. Mit CVEs gegen Produkte kann man Hersteller erpressen.
Das hat zu Dutzenden von "ethical hacking"-Bullshit-Sites geführt, und einer veritablen Armee von Schlammfischern, die auf irgendwelchen Webseiten herumklicken und dann "Sicherheitslücken" melden.
Das Geschäftsmodell ist, die Webseitenbetreiber anzubetteln, dass sie doch mal eine Bug Bounty raustun sollen, sonst sagt man ihnen nicht, was die Lücke sein soll. Hier kann man sich das mal in der Praxis angucken. Ganz großes Elend, sowas.
Ein „technisches Problem“ habe am Montag an Bord der Boeing 787-9 Dreamliner eine heftige Turbulenz ausgelöst, berichtete der Sender Radio New Zealand (RNZ) unter Berufung auf die chilenische Fluggesellschaft LATAM.50 Verletzte.
Auf der anderen Seite: Ein technisches Problem. Da kann man nichts machen.
Sagt der European Data Protection Supervisor.
Na SO eine Überraschung! Scheiße, Bernd! Wieso hat uns da niemand vorher vor gewarnt?!?
Bei uns leider undenkbar, denn Deutschland hat die KPD unter Adenauer verboten. Außerdem ticken die Kommunisten in Österreich anders als bei uns. Die kümmern sich um Dinge, die sie in der Hand haben, und machen nicht faule Kompromisse, während sie auf die Weltrevolution warten. Stellt sich raus: Wenn man einfach Wohnungen baut, anstatt gegen Pronomen zu kämpfen, dann mögen die Leute das.
(Ich finde ja bemerkenswert, wie aktuell die alten Arbeiterlieder sind)
New rules requiring foods to carry “not for EU” labels are already sparking confusion — and, in some cases, outright disgust — from U.K. shoppers, as experts warn the new policy risks leaving Brits in the dark and wrongly suggesting the items are produced to lower standards.Nee nee, das stimmt ja gar nicht. Britische Lebensmittel haben schon immer höchsten Standards genügt! Weltweit berühmt ist sie, die britische Küche!!1! *kicher*One shopper contemplating buying some milk wrote: “My milk now says ‘not for EU’ on it — can you confirm that this is just because of U.K. red tape and that it still complies with EU safety standards? I’d hate to think it’s ‘special’ Brexit milk that’s not safe for Europeans.”Das ist ganz besondere Milch! Für ganz besonder schlaue Briten, die nicht mehr Teil der EU sein wollten.
Welches Problem?
"Nach verheerendem Angriff auf Südwestfalen-IT: 205 Kommunen lassen IT prüfen"
Hunderte Kommunen in NRW lassen ihre IT-Sicherheit überprüfen, die Landesregierung bezahlt das. Sie will das Land künftig besser vorbereitet wissen.Hier also meine Hilfe. Kostenlos sogar.
Erstens: Spart euch das. Die Prüfung ist bereits abgeschlossen. Die Ransomwarer haben euch geprüft und ihr seid durchgefallen. Das Geld gibt man am besten VOR dem erfolgreichen Angriff aus.
Zweitens: Schmeißt die vier apokalyptischen Reiter raus: Windows, Office, Exchange und Active Directory. Lasst euch eure IT als Webanwendung machen und installiert den Leuten dumme Terminals. Irgendwas Linux-basiertes mit Komplett-Lockdown, das keine Daten lokal speichern kann, und als read-only Image verteilt und automatisch geupdated wird.
ChromeOS hat gezeigt, dass das grundsätzlich geht. Sollte vielleicht mal jemand als Produkt anbieten. Sowas wie Chromeos Flex aber ohne Google.
Oder ... gut, ich meine, ihr könnt natürlich einfach weiterpfuschen. Wir sehen uns dann beim nächsten Ransomwarevorfall. *winke*
A CISA spokesperson said in a statement that “there is no operational impact at this time” from the incident and that the agency continues to “upgrade and modernize our systems.”Gehen Sie weiter! Gibt nichts zu sehen hier!Ist alles sicher jetzt, denn Microsoft wird uns retten. Das Microsoft, das die Hacker nicht aus ihren eigenen Systemen rausoperiert kriegt. Das Microsoft, das russische Hacker eine dezentrale Kopie ihrer Quellcode-Kronjuwelen machen ließ. DIE werden uns schützen.
Oh, und natürlich die Compliancetheaterbehörden, ob sie jetzt CISA oder BSI heißen. Hey, habt ihr schon die neue Lage Schlangenöl über euer Active Directory gesprenkelt? Jede Woche ein "Security-Produkt" mehr, wisst ihr doch!
Sucht mal in eurem Browser die Liste der vertrauenswürdigen CAs heraus und macht euch selbst ein Bild.
Wenn ihr z.B. eine sichere Verbindung zu meinem Blog aufzubauen versucht, dann ist das Zertifikat normalerweise von Let's Encrypt signiert. Wenn, sagen wir mal, der "Verfassungs""schutz" findet, dass ich regierungsfeindliche Inhalte verbreite und reingucken will, was ihr bei mir lest, dann könnten sie sich in den Netzwerkverkehr zwischen euch und meinem Blog klemmen und einfach ein anderes Zertifikat vorzeigen.
Es gibt da natürlich Vorkehrungen, um zu verhindern, dass einfach irgendeine freidrehende staatliche Repressionsbehörde Zertifikate für anderer Leute Domains holt, aber wenn die CA unter staatliche Kontrolle steht, dann ist das natürlich nutzlos. Diese Art von Angriff ist nicht theoretisch. Letztes Jahr gab es so einen Angriff auf jabber.ru, wenn ihr euch erinnert.
Warum erzähle ich das alles? Einer der Ansätze, diesen Angriff zu verhindern, ist dass man einen anderen Cert Store angibt. Curl hat dafür eine Kommandozeilenoption. Dann übergibt man da einen Cert Store, der nur genau die CA beinhaltet, die man erwartet. Und schon hat man Certificate Pinning für Arme implementiert.
Außer man verwendet curl auf Apple-Geräten. Apples SSL-Library verwendet immer auch den System Cert Store, wo Zertifikate von unvertrauenswürdigen Organisationen wie ... Apple drin sind. Falls Apple also eines Tages findet, dass sie in alle eure Kommunikationsn reingucken wollen, um "Kinderpornos zu finden" oder was an dem Tag die Ausrede der Woche ist, dann könntet ihr euch mit --cacert bei curl nicht davor schützen.
Wer kauft solchen Leuten eigentlich ihre Produkte ab?
Bei Microsoft sind natürlich auch ein halbes Dutzend Microsoft-CAs in der Liste. Unter Linux haben die Distros in ihren Root Stores auch Dutzende von CAs drin. Insofern ist das eine berechtigte Sorge, da Certificate Pinning machen zu wollen.
Sieht aus, als wäre es jetzt soweit.
Before the Sept. 5 demonstration, the best-available superconducting magnets were powerful enough to potentially achieve fusion energy — but only at sizes and costs that could never be practical or economically viable. Then, when the tests showed the practicality of such a strong magnet at a greatly reduced size, “overnight, it basically changed the cost per watt of a fusion reactor by a factor of almost 40 in one day,” Whyte says.“Now fusion has a chance,” Whyte adds. Tokamaks, the most widely used design for experimental fusion devices, “have a chance, in my opinion, of being economical because you’ve got a quantum change in your ability, with the known confinement physics rules, about being able to greatly reduce the size and the cost of objects that would make fusion possible.”
Das klingt doch mal vielversprechend! Der Durchbruch war schon 2021 aber die Papers sind jetzt erst veröffentlicht worden. Peer Review braucht halt seine Zeit.
Mir persönlich würde ja eine Warnung "Achtung: Morgen ist Feiertag, geh heute nochmal einkaufen" in der Praxis deutlich mehr helfen. Dass schlecht Wetter ist, kann ich selber sehen. Dass der Supermarkt zu ist, sehe ich erst, wenn es zu spät ist.
Oh, warte.
Hasspostings gegen Frauen: Razzien in elf BundesländernNur bei "Hass" gegen Frauen. Das ist aber bedauerlich. Ich hatte mich schon gefreut, dass sie den Friedrich Merz mal raustragen. Aber gegen Ausländer hetzen geht weiter, kein Problem.
Überhaupt sind so ein paar willkürliche Durchsuchungen bei irgendwelchen Leuten anlässlich eines Awareness-PR-Tages immer eine Zier für einen Rechtsstaat, klar. Da weißt du, dass vor dem Gesetz alle gleich sind.
Wieso sind eigentlich der Herr Merz und der Herr Scholz nie persönlich betroffen, wenn die Politik Politik gegen alte weiße Männer macht?
Ich persönlich finde ja wichtiger, was sie tun, als was sie sagen. Und wenn "Hass" verboten ist und Hausdurchsuchungen nach sich zieht, dann wird sich bald niemand mehr Kritik an der Politik zu äußern trauen. Rechtsstaat 2.0 sozusagen. Das hätte sich der Schily nicht getraut.
Völlig überraschend (für Impfgegner) hat er es überlebt. Er lebt noch und zeigt keine negativen Auswirkungen.
Hat ihm wahrscheinlich bloß noch keiner gesagt, dass er sich damit selbst umgebracht hat. Wie im Cartoon, wenn jemand über die Klippe läuft, und noch nicht gemerkt hat, dass er jetzt runterfallen müsste!1!!
Sie haben Amazon gezwungen, Kunden nicht per Exit-Traffickosten in den Lock-In zu zwingen. Wer vom Cloud-Experiment genug in den Allerwertesten ge, äh, zwickt wurde, der kann jetzt zurück zu On-Prem.
The waiver on data transfer out to the internet charges also follows the direction set by the European Data Act and is available to all AWS customers around the world and from any AWS Region.Wer seine Lektion noch nicht gelernt hat, kann in eine andere Cloud ziehen. Aber hey komm, wer ist denn bitte SO blöde?!
Der Laden ist anscheinend so ein Payment-Mittelsmann, weder eine Krankenversicherung noch eine Apotheke noch eine Pharmafirma.
Früher war die Argumentation immer: root kann /dev/kmem aufmachen und die Platte formatieren, das ist äquivalent zu Kernel-Zugriff. Genau so unter Windows: Admin kann Kernelmodule laden, ist daher äquivalent zu Kernel.
Später hat sich das dann langsam geändert, als Code Signing für Kernelmodule eingeführt und später erzwungen wurde. Ich habe aber schon vor 20 Jahren mit Microsoft verhandelt, dass das eine Security Boundary sein soll, bevor das mandatory war.
Inzwischen kann Admin nicht mehr einfach irgendwelche Module laden, sondern nur noch solche mit valider Signatur. Das ist aus meiner Sicht das Ende der Debatte, denn offensichtlich handelt es sich jetzt um eine Security Barrier.
Ich habe damit ein paar Bugfixes durch-gebullyt gekriegt (am Ende entscheidet nicht die Policy sondern der einzelne Entwickler, ob der Bug gefixt wird; niemand hindert einen Entwickler am Fixen eines Bugs, auch wenn die Policy den nicht so schlimm findet). Aber die offizielle Policy wurde nie geändert.
Das führte zu bekloppten Situationen wie dass die fiesen Ransomwarer eine Lücke aktiv ausnutzen, um von Admin zu Kernel zu kommen, und Microsoft weigert sich die zu fixen, weil die Policy sagt, Admin = Kernel. Nach sechs Monaten (!) haben sie die Lücke jetzt doch zugemacht.
Immer dran denken: DAS sind die Leute, die ihr eure Klöten halten lasst, in deren Cloud ihr eure Kronjuwelen migriert habt.
Oregon's bill stands out for a provision that would prevent companies from requiring that official parts be unlocked with encrypted software checks before they will fully function.Da werden Apple und die Druckermafia aber sehr unzufrieden sein.
Die ganzen Normen-Institute (u.a. auch das DIN) hatten frecherweise argumentiert, sie genössen Urheberrecht auf die technischen Standards.
Insgesamt folgte die Kammer den Empfehlungen der Generalanwältin Laila Medina, wonach Rechtsstaatlichkeit auch den freien Zugang zum geltenden Recht für jedermann erfordere. Nur so könne der Einzelne seine Rechte und Pflichten klar erkennen, hieß es.Ach. Ach was. Das ist ja mal eine tiefschürfende Einsicht!1!! Und DAFÜR brauchte es den EuGH? Ihr werdet lachen! Ja! Denn der EuGH hatte in praktisch derselben Sache das letzte Mal das Gegenteil entschieden.
Vielleicht kriegen wir ja auch die völlig aus dem Ruder gelaufene Normierungspraxis repariert. Im Moment sind die Anreize so gesetzt, dass die Normen möglichst komplex, lang, auf andere Normen referenzierend und für den Privatbürger unnachbaubar sind. Alle möglichen Firmen tun da möglichst viele Referenzen auf von ihnen patentierte oder noch patentierbare "Erfindungen" rein. Das muss alles ein Ende haben.
Und wenn wir schon dabei sind, können wir endlich Dinge nicht patentierbar machen, an deren Entwicklung Steuergelder beteiligt waren.
Für DIE Ausrede brauchten die jetzt über zwei Tage?! Vielleicht sollte mir die Bundeswehr mal ein Angebot als PR-Kokser machen. Das hatte ich schon vorgestern im Blog :-)
Auch ansonsten finde ich das eher enttäuschend. Gar kein "exzeptionell hohe kriminelle Energie"? Gar kein "die zuständigen Behörden sind informiert"? Wo ist der Bullshit-Codename für irgendeinen hochgefährlichen APT-Strang!?
Nicht mal ein "aus ermittlungstaktischen Gründen können wir keine weiteren Details verraten"!?
Ich fühle mich nicht ernstgenommen als verarschter Bürger!1!!
Auf eine experimentelle Nextcloud-Instanz der Bundeswehr, "(c) 2024 Pilotumgebung Link and More". Gestern stand da auch noch "s6 dev gru" und "b0rn 2 l33t". Nein, wirklich. Das stand da.
Und aus Sicherheitsgründen ist das passwortgesichert. Mit dem Passwort "1234".
Wer jetzt ein PDF erwartet, sieht sich getäuscht. Da kommt ein MP3. Mit einer Audioqualität, bei der jeder Podcaster oder Youtuber staunt, dass sich jemand damit ans Internet traut.
Bei allem Gelächter über die Bundeswehr ist das eher ein Zeichen dafür, was für eine Compliance-Hölle die Bundeswehr ist, und spricht eher dafür, dass das per Telefon einwählen Absicht war, damit die Russen das mitschneiden.
Dass die 1234 als Passwort setzen, zeigt, dass sie aus Compliance-Gründen die Plattform so eingerichtet haben, dass alles mit Passwort geschützt werden muss.
Dass sie uns die Plattform überhaupt zeigen, zeigt, dass sie die schon vorher hatten. So unseriös dieses "b0rn 2 l33t" auch aussieht: Die Bundeswehr ist eine lahmarschige, träge Bundesbehörde. Die setzt nicht über Nacht ein Nextcloud auf. Dem ging wahrscheinlich ein monatelanges Beschaffungsverfahren voraus.
Dass das unter bundeswehr.de liegt statt unter bund.de oder bmvg.de ist ein Zeichen, dass sie uns Handlungsfähigkeit demonstrieren wollen, und uns versichern wollen, dass das wirklich von ihnen ist und kein russisches Deepfake.
Unter dem Strich wirkt das alles wie "gut gemeint, schlecht gemacht". Besser wäre gewesen, wenn sie auf ihrer Webseite den Text als HTML gehabt hätten, anstatt auf ein mp3 zu linken. Das wäre barrierefrei gewesen, hätte die Leute nicht mit diesem l33t-Scheiß verunsichert, und da wäre auch niemand auf die Idee gekommen, dass die Russen die Bundeswehr-Webseite manipuliert haben.
Ist ein Nextcloud denn jetzt sicher? Nun ja. Kommt auf die Perspektive an. Auf der einen Seite ist das natürlich besser, wenn man Kram in seiner eigenen Infrastruktur hostet, anstatt in einer amerikanischen Cloud. Auf der anderen Seite hat man dann Verantwortung, der man auch nachkommen muss. Genau wie alle anderen Cloudumgebungen ist Nextcloud viel zu komplex, um eine Fehlerfreiheit anzunehmen. Da muss man dann ordentlich patchen und monitoren. Wer weiß, wie viele Nextcloud-Anwender das auch tatsächlich tun. Ich bin nicht optimistisch.
Wenn jemand einen Link auf eine Nextcloud-Umgebung mit dem Internet teilt, ist das jedenfalls grundsätzlich ein schlechtes Zeichen. Solche Dateien gehören auf den Webserver. Nextcloud hat eine riesige Angriffsoberfläche. Die sollte man so wenig wie möglich in Richtung Internet exponieren.
Das Urteil war abzusehen, aber nicht abzusehen war, dass es einstimmig sein würde. Nicht nur von Trump dort hingesetzte Richter haben so gestimmt, auch alle anderen.
Das peinliche an dieser Theorie ist ja, dass Microsoft tatsächlich in einer einmalig guten Position ist, um so einen Angriff durchzuführen. Die haben remote code execution auf allen Endgeräten, by design. Müssten nicht mal eine Sicherheitslücke ausnutzen oder eine Malware aufspielen, der Code könnte Teil von Windows sein und niemand würde es merken.
Und wenn sie doch Malware aufspielen müssten, könnten sie es via Windows Update machen. Die Beschreibungen der Patches sind absolut wertlos und nicht vertrauenswürdig. Niemand würde merken, wenn die da Malware verteilen würden.
Oh und noch was: Nach Microsofts eigener Definition ist Windows Malware. Der Defender uninstalliert explizit Software, die Werbung anzeigt. Windows zeigt Werbung an.
Unabhängig von dieser Verschwörungstheorie ist das gerade ein Popcorn-Event vom Feinsten. Die fucking Tagesschau diskutiert jetzt offen, ob man Webex überhaupt noch trauen kann. Noch?! Keiner von euch hatte jemals Anlass für Vertrauen in Cisco-Software! Im Gegenteil!
Aber nehmen wir mal an, die Bundesregierung verbannt Webex. Was dann? Zoom? Teams?!? MWAHAHAHAHA
1,8 Milliarden hier, 1,8 Milliarden da, nach einer Weile kommt da richtig Geld zusammen!
Nicht dass irgendeine dieser Konzerne jemals tatsächlich zahlen musste. Man klagt durch die Instanzen, am Ende muss man nur einen Bruchteil zahlen, und von dem hat die Inflation dann den Wert halbiert bis dahin.
Oh und solche Strafen kann man soweit ich weiß von der Steuer absetzen. Klar.
Erstens kann Webex natürlich Verschlüsselung.
Zweitens hat sich hier offenbar jemand per Analog-Telefon aus Singapur in die Webex-Konferenz eingewählt. Das klingt dermaßen bescheuert, dass ich mich langsam für die Theorie erwärmen kann, dass es sich um einen Trick handelt, dass man den Russen was mitteilen wollte, also hat man möglichst so kommuniziert, dass die das auf jeden Fall mitschneiden. Und man spricht das in dem Gespräch auch noch explizit an, um nicht Webex in der Bundeswehr grundsätzlich zu beschädigen.
In Kriegen kann man keiner Seite trauen. Am Ende ist für mich die wahrscheinlichste Erklärung die, bei der alle gemacht haben, was aus ihrer Sicht am besten schien. Gucken wir doch mal.
Die Bundeswehr möchte gerne den Russen eine Nachricht schicken, aber wollen nicht, dass die Russen vermuten, dass sie hier verarscht werden. Die Botschaft ist: Taurus ist lieferbereit und einsatzfähig und wäre eine echte Bedrohung für die Russen. Damit die Russen das glauben, erwähnt man auch ein paar Nachteile.
Dafür wäre das in der Tat der sinnvollste Weg gewesen, aber es ist eine Gratwanderung. Auf der einen Seite will man ja den Russen nicht den Eindruck geben, dass ihnen hier Material gefüttert wird. Es darf also nicht zu offensichtlich sein. Auf der anderen Seite will man ja sicherstellen, dass die Russen das auf jeden Fall mitkriegen. Dann muss man im Gespräch erwähnen, dass einer der Teilnehmer per Telefon aus dem Hotel in Singapur einwählt, damit nicht Webex in der Bundeswehr grundsätzlich kaputt ist. Das klingt schon plausibel als Szenario.
Nächster Schritt: Die Russen fangen das ab. Natürlich fangen die das ab. Kriegsparteien fangen alles ab, was sie können, und die Russen haben schon mehrfach abgefangene Telefonate geleakt.
Aus deren Sicht ist es jetzt der beste Spielzug, das zu veröffentlichen, um die Deutschen öffentlich als Idioten darzustellen. Aus deren Sicht ist das ja keine neue Information, dass die Krimbrücke angreifbar ist. Tatsächlich ist die zufällig heute spontan für den Autoverkehr gesperrt worden, nachdem ukrainische Medien von Explosionen berichtet haben. Aus Sicht der Russen spräche dagegen, wenn sie damit ihre Abhörfähigkeiten offenlegen müssten, wo der Westen noch nicht weiß, dass sie welche haben. Das ist in dem Fall kein Problem wegen der Einwahl aus Singapur. Der Westen weiß jetzt immer noch nicht sicher, ob die Russen Webex mithören können oder nicht. Und dass die Russen Telefone abhören können, ist seit langem bekannt.
Bleibt die Ukraine. Aus deren Sicht ist es jetzt am besten, wenn es Explosionen an der Krimbrücke gibt, damit es so aussieht, als seien sie auch ohne Taurus einsatzfähig und könnten die Russen ernsthaft bedrohen.
Und dann gibt es noch ein bisschen Opportunismus aus der CDU, die das jetzt als Problem von Olaf Scholz hinstellt. Klar, das sind halt Deppen und ihre Wähler sind auch Deppen, die lügen jetzt halt ein bisschen rum, wie sie immer herumlügen. Besonders ärgert mich an der CDU ja immer, wie sie jetzt gaslighting machen, dass Scholz die Bundeswehr in den Zustand gebracht hat, wenn es lange Jahre der CDU-Misswirtschaft waren.
Aus Sicht der Ampel ist der beste Move, in den Medien zwei Narrative unterzurbringen: Die Bundeswehr braucht mehr Geld (Rechtfertigung für das umstrittene Sondervermögen), die Bundeswehr ist inkompetent (man will immer vom Feind unterschätzt werden) und die fiesen Russen hören uns ab.
Aus Sicht der Medien ist der sensationellste Spin, sich darauf zu konzentrieren, dass die bösen Russen uns abhören. Das ist sensationeller als Taurus an die Ukraine.
Was spricht gegen diese Theorie? Es könnte natürlich auch wirklich Verkacken gewesen sein bei der Bundeswehr. Klar. Aber die Bundeswehr ist eine Verwaltung. Verwaltungen können eigentlich nur eines zuverlässig: Compliance-Theater. Dazu ein Leserbrief von einem Insider:
und ich darf an der Bundeswehr-Uni nichtmal eine 0815 Vorlesung/Übung über WebEx halten.Ein anderer Leser weist darauf hin, dass die Bundeswehr längst Open-Source-Alternativen zu Webex im Einsatz hat.Die Bundeswehr selbst betreibt übrigens ein WebEx, dass explizit nicht für Konferenzen mit vertraulichen Daten zugelassen ist (vertraulich bedeutet nicht Eingestuft nach Verschlusssachenanweisung).
Die BWI GmbH (das ist ein wahres Moloch) stellt das WebEx zur Verfügung, mit dem auch eingestufte Daten in Konferenzen ausgetauscht werden. Sowas wird in der Regel vom BSI ( :) ) oder von der DEUmilSAA "abgenommen".
Update: Kiesewetter sagt, die Russen hätten Zugangsdaten gehabt. Der Mitschnitt klingt von der Qualität wie ein Streamdump. Insofern klingt das plausibel. Es würde auch erklären, wieso Russen das ganze für eine Falle gehalten und veröffentlicht haben, als der Typ da im Stream erklärt, er wähle sich per Telefon aus Singapur ein. Ändert an dem Rest der Bewertung nicht viel.
Update: Hmm, der Mitschnitt beginnt aber schon, bevor der Typ aus Singapur dazukommt. Insofern kann das nicht der Weg sein, über den sie das abgehört haben.
Aber das ist nicht das wichtige Detail an der Stelle. War eh klar. Das hier finde ich das wichtigere Detail:
Kanzler Olaf Scholz Scholz (SPD), der am Vormittag in Rom eine Privataudienz beim Papst hatte, zeigte sich nach Bekanntwerden des Spionagefalls besorgtWie meinen? wieso hat denn bitte unser Bundeskanzler eine Privataudienz beim Papst?!
Was setzt denn das bitte für einen Präzedenzfall? Als nächstes dann "... der gerade mit einem Wünschelrutengänger das Kanzleramt ablief, um die beste Lieferroute für Homöopathiepräparate für die Ukraine zu finden, ..." oder was? Wieso nicht gleich ein Medium befragen!
Was haben die da bitte gemacht in Rom? Gemeinsam die Russen weggebetet?!?
Mann Mann Mann
Akt 2: Lawyers who had Elon Musk’s pay dismissed as excessive seek $6bn in Tesla shares.
Genau mein Humor! Beides!
Ihr AHNT ja nicht, was als nächstes passierte!
Der russische Staatssender hat eine Aufzeichnung einer internen Besprechung von Luftwaffen-Offizieren geleakt.Das ist ja unglaublich, Bob!
Was sagt ihr? Ihr wundert euch, dass das die Russen und nicht die Amis abgehört haben? ABER NATÜRLICH haben die Amis das auch abgehört, aber die senden das halt nicht im Fernsehen für die Propaganda dann.
Ich wundere mich ja bei der Industrie schon immer, dass ein geringeres Opsec-Niveau haben als ein paar Nerds beim D&D-Abend. Bei der Bundeswehr wundert mich gar nichts, aber es stellt sich ja wie so häufig die Frage, wieso wir diesen Mount Everest der Inkompetenz auch noch mit Steuergelder besprenkeln. Wieso bezahlen wir die Amerikaner noch dafür, dass sie unsere Telcos abhören können?!
Update: Ein Leser wendet ein, dass die Bundeswehr hier möglicherweise 4d-Schach gespielt haben könnten, indem sie so taten, als hielten sie eine Strategiekonferenz über Webex ab, wissend, dass das abgehört wird, um den Russen ein paar gezielte Botschaften zu senden, wie in diesem Fall: Die Taurus-Gefahr ist echt.
Könnt ihr euch ja selber überlegen, welche Variante ihr für wahrscheinlicher haltet.
Wie? Na wie immer beim BSI. Mit einer Checkliste voller Compliance-Bullshit. Haben Sie schon ein paar Virenscanner installiert?
Aber wartet, das ist noch nicht die Punchline.
In welcher Form verteilen sie die Checkliste?
Richtig geraten! Als Excel-File!
Genau mein Humor!
The world isn’t on track to meet its climate goals — and it’s the public’s fault, a leading oil company CEO told journalists.Ja aber echt mal! Ihr Penner, ihr!!Exxon Mobil Corp. CEO Darren Woods told editors from Fortune that the world has “waited too long” to begin investing in a broader suite of technologies to slow planetary heating.Wir Deppen haben die ganze Zeit das Geld den Ölkonzernen gegeben, damit die das ordentlich investieren! Was für Vollidioten wir waren!Der Exxon-CEO hat völlig recht. Wir hätten ihn schon vor Jahrzehnten in den Knast werfen sollen, anstatt ihm noch Geld zuzuwerfen. Lasst uns das jetzt nachholen!
Nein. Tun sie nicht.
Die sind nicht darauf spezialisiert, etwas gut zu machen, sondern etwas billig zu machen. Das Ziel von Firmen im Kapitalismus ist die Profitmaximierung.
Die Erfahrung zeigt deutlich in die Gegenrichtung.
A technology company that routes millions of SMS text messages across the world has secured an exposed database that was spilling one-time security codes that may have granted users’ access to their Facebook, Google and TikTok accounts.Instinktiv könnte man vielleicht annehmen, dass eine Firma, die nur MFA-SMS zustellen soll, da nicht viel falsch machen kann. Aber das stimmt halt nicht.Genau so ist das mit "der Cloud" und mit "die verwalten unsere Telefonanlage" und allem anderen in der IT da draußen.
Du brauchst auf jeden Fall genug Kompetenz in-house, um selber prüfen zu können, ob du gerade verarscht wirst. In den meisten Fällen kannst du dir dann den Mittelsmann auch gleich sparen und deren Profitmarge und kommst unter dem Strich billiger bei weg.