Fragen? Antworten! Siehe auch: Alternativlos
224 Injured After Glitchy Diabetes App Drains Insulin Pump BatteriesIch bin mir sicher: Auch wenn da jemand gestorben wäre, müsste jetzt niemand in den Knast.
Softwareproblem. Kann man nichts machen.
Bedauerlicher Fehlgriff. Softwarefehler! Keine Sorge, die tut ja gar nichts, die App, sagt Microsoft.
Ich finde, wir sollten hier mal die übliche Rhetorik anwenden.
Die Behörden sind informiert. Die Angreifer haben eine enorme kriminelle Energie demonstriert! Bislang sind unseres Wissens keine Daten weggekommen. Die Bundeswehr wurde in Alarmbereitschaft versetzt. Sowas, wissenschon.
Offensichtlich kriegt Microsoft noch viel zu wenig auf die Fresse. Wäre das nicht schön, wenn wir einen Weg hätten, Firmen für Cyberangriffe wie diesen zu bestrafen? Ihr wisst schon, eine Behörde vielleicht. Ein Regulator? Polizei? Vielleicht ein Bundesamt für Sicherheit. In der Informationstechnik oder so.
Hallo, Verbraucherschützer? Hört ihr zu? Jemand wach?
Update: Zumindest die Verbraucherschutzzentrale Thüringen scheint tätig zu werden.
Damit haben sie dann in Snapchat, Youtube und Amazon-Webaufrufe reingeguckt, um ihre Konkurrenz zu analysieren.
Der eine oder andere von euch wird sich vielleicht gedacht haben: Aber ist nicht genau dafür Certificate Pinning gedacht, um sowas zu verhindern? Google hat doch sogar Werbung damit gemacht, dass sie böse Zertifikate erkennen, wenn Chrome zu Youtube oder einem anderen Google-Dienst verbinden will und ein Nicht-Google-Zertifikat sieht.
Was ist da also los?
Nun, nichts genaues weiß man nicht, aber eine Sache kann ich bei der Gelegenheit mal kurz erläutern: Cert Pinning schaltet sich ab, wenn man ein Root-Cert im Local Store hat, und dann das auf Pinning zu prüfende Zertifikat von dieser Root-CA signiert reinkommt.
Warum ist das so? Wegen Compliance-Bullshit. Ich wettere hier ja seit Jahrzehnten gegen Compliance-Bullshit, und dies ist ein schönes Beispiel dafür, wie Compliance-Bullshit Dinge für alle Menschen schlechter macht.
Für Banken und Versicherungen und Aktienbroker gibt es regulatorische Vorschriften, dass die ihren Traffic mitprotokollieren müssen, damit man danach Insider Trading nachweisen kann.
Kann man natürlich nicht. Also könnte man schon, macht man aber nicht. Wie auch alles andere Security-Theater hören die Aktivitäten bei "wir sammeln alle Daten ein" auf. Niemand guckt je in diese Daten rein.
Aber der Effekt ist, dass Banken ihren Mitarbeitern dann halt ein Root-Cert auf dem Gerät installieren. Und wenn Chrome dann immer meckern würde, dann müsste Google sich mit wütenden Kunden auseinandersetzen. Also schaltet man lieber Cert-Pinning ab.
Chrome macht das so. Firefox macht das auch so. Daher: Wenn euch jemand im lokalen Cert Store irgendwelche Root-Certs installiert, dann solltet ihr das immer ablehnen. Hier ist die Mozilla-Dokumentation zu dem Verhalten. Ctrl-F insert
CPUs haben häufig Schaltungen, die Werte aus dem RAM anfordern, bevor auf sie zugegriffen wird. Normalerweise funktioniert das so, dass wenn du einen Wert aus dem Speicher lädst, z.B. Code, den du gerade ausführst, dass der Prozessor dann schonmal die nächsten Bytes zu laden anfängt, weil du die wahrscheinlich als nächstes anfordern wirst. Diese Art von Prefetching gab es schon im letzten Jahrtausend.
Aktuellere CPUs haben zusätzlich noch einen Daten-Prefetch. Wenn du ein Wort aus dem Speicher lädst, dann guckt der Prozessor mal, ob er das als Pointer interpretieren und laden kann. Das verursacht normalerweise keine signifikanten Kosten, wenn es es kein Pointer war. Intel macht das anscheinend auch, aber nicht so aggressiv wie Apple.
Das Problem ist jetzt, dass man jetzt am Timing beim Laden von Werten sehen kann, ob der Prefetcher das zu Laden versucht hat, und damit ob die Krypto-Operation diesen Wert in ihrem Private Key hat.
Das klingt jetzt krasser als es ist, denn wenn jemand lokal auf deiner Kiste Code ausführen kann, hat er wahrscheinlich auch ohne diese Art von Angriff genug Zugriff, um deine Geheimnisse auszulesen und zu exfiltrieren. Es könnte aber sein, dass es bald günstig M1 und M2-Hardware von Crypto Bros zu kaufen gibt, die bei ihren Wallets nichts riskieren wollen. :-)
Normale Leute müssen sich glaube ich nicht so viel Sorgen machen gerade. Ein möglicherweise gefährliches Szenario könnte noch sein, wenn du in einem Tab Webassembly-Code laufen hast, und in einem anderen Tab irgendwelchen Krypto-Code, der mit irgendwelchen privaten Schlüsseln hantiert, die so auslesbar wären. Das ist allerdings kein sonderlich häufiges Szenario, und wenn ihr so sensible Krypto-Geschichten im Browser macht, eh keine anderen Tabs offen haben.
The military in NATO ally Germany is offering communications apps to soldiers and other federal employees on Chinese phone maker Huawei's app store — even though the telecoms giant has been deemed a security risk by the U.S. and European Union, Newsweek can reveal.
Ja aber echt mal! Der Bundeswehr-Messenger im Huawei-Appstore?! Das geht ja GAR nicht!1!! Da können die Chinesen den doch analysieren jetzt!1!!Ja, äh, die Chinesen können den selbstverständlich auch analysieren, wenn der im Apple- oder Google-Appstore ist. Noch großartiger: Der Messenger ist Open Source! Da musst du gar nichts reverse engineeren, da kannst du einfach die Sourcen runterladen! Das basiert übrigens auf Matrix. Der Quellcode für das Backend liegt da auch rum.
Germany's Defense Ministry told Newsweek the apps were secure, but security specialist Nathalie Vogel said there were clear risks."They are repeating the same mistakes over and over again and they are threatening allies by giving access to the Chinese," said Vogel, a Research Fellow at the Center for Intermarium Studies of the Institute of World Politics in Washington, D.C.
Es gibt da natürlich tatsächlich Risiken, aber diese Expertin ist zu inkompetent, die zu benennen. Ein Appstore kann dir ja eine andere App geben, als die Entwickler hochgeladen haben. Da müsste man eigentlich prüfen.Die Hardware könnte natürlich auch verwanzt sein, die Firmware könnte dich bescheißen, etc. Eigentlich ist schon die Prämisse unsicher, dass man sicher kommunizieren kann, wenn man das Gerät eingekauft hat. Eine der gruseligsten Snowden-Veröffentlichungen war, dass die NSA Cisco-Lieferungen abfingen und die Hardware im Transit manipulierten. Ist alles eine Frage des Aufwandes, den die Unterdrückungsbehörden zu investieren bereit sind.
Auf dem Spektrum der Kompromisse ist aber "die App ist Open Source und wir tun sie in App Stores" vergleichsweise OK. Erst jetzt, durch den Digital Markets Act, wird Sideloading von Apps eine reelle Alternative gegen die eigentliche Bedrohung hier: Dass die Amerikaner uns Backdoors unterschieben. Vor denen freidrehenden Geheimdiensten würde ich mir deutlich mehr Sorgen machen als vor den Chinesen.
Sucht mal in eurem Browser die Liste der vertrauenswürdigen CAs heraus und macht euch selbst ein Bild.
Wenn ihr z.B. eine sichere Verbindung zu meinem Blog aufzubauen versucht, dann ist das Zertifikat normalerweise von Let's Encrypt signiert. Wenn, sagen wir mal, der "Verfassungs""schutz" findet, dass ich regierungsfeindliche Inhalte verbreite und reingucken will, was ihr bei mir lest, dann könnten sie sich in den Netzwerkverkehr zwischen euch und meinem Blog klemmen und einfach ein anderes Zertifikat vorzeigen.
Es gibt da natürlich Vorkehrungen, um zu verhindern, dass einfach irgendeine freidrehende staatliche Repressionsbehörde Zertifikate für anderer Leute Domains holt, aber wenn die CA unter staatliche Kontrolle steht, dann ist das natürlich nutzlos. Diese Art von Angriff ist nicht theoretisch. Letztes Jahr gab es so einen Angriff auf jabber.ru, wenn ihr euch erinnert.
Warum erzähle ich das alles? Einer der Ansätze, diesen Angriff zu verhindern, ist dass man einen anderen Cert Store angibt. Curl hat dafür eine Kommandozeilenoption. Dann übergibt man da einen Cert Store, der nur genau die CA beinhaltet, die man erwartet. Und schon hat man Certificate Pinning für Arme implementiert.
Außer man verwendet curl auf Apple-Geräten. Apples SSL-Library verwendet immer auch den System Cert Store, wo Zertifikate von unvertrauenswürdigen Organisationen wie ... Apple drin sind. Falls Apple also eines Tages findet, dass sie in alle eure Kommunikationsn reingucken wollen, um "Kinderpornos zu finden" oder was an dem Tag die Ausrede der Woche ist, dann könntet ihr euch mit --cacert bei curl nicht davor schützen.
Wer kauft solchen Leuten eigentlich ihre Produkte ab?
Bei Microsoft sind natürlich auch ein halbes Dutzend Microsoft-CAs in der Liste. Unter Linux haben die Distros in ihren Root Stores auch Dutzende von CAs drin. Insofern ist das eine berechtigte Sorge, da Certificate Pinning machen zu wollen.
Oregon's bill stands out for a provision that would prevent companies from requiring that official parts be unlocked with encrypted software checks before they will fully function.
Da werden Apple und die Druckermafia aber sehr unzufrieden sein.
1,8 Milliarden hier, 1,8 Milliarden da, nach einer Weile kommt da richtig Geld zusammen!
Nicht dass irgendeine dieser Konzerne jemals tatsächlich zahlen musste. Man klagt durch die Instanzen, am Ende muss man nur einen Bruchteil zahlen, und von dem hat die Inflation dann den Wert halbiert bis dahin.
Oh und solche Strafen kann man soweit ich weiß von der Steuer absetzen. Klar.
Aber ja! In Schweden ist die größte Supermarktkette und ihre Apothekenkette ausgefallen, weil die Kassen ausgefallen sind.
In Neuseeland sind die Tankstellen ausgefallen.
Und ein Sophos-Kunde schreibt mir, er habe eine Mail von seiner Organisation gekriegt, dass er heute den Rechner nicht ausschalten oder neustarten soll, da "danach das Internet, Teams und unter Umständen Outlook nicht mehr funktionieren".
Und in eine japanische Kommunalverwaltung kann keine Führerscheine ausstellen oder verlängern.
Update: Die BVG-App kommt auch nicht mit Schaltjahren klar. Die schleichen sich aber auch immer so hinterhältig an, diese Schaltjahre! Völlig unplanbar!
Update: Das hat bei der BVG Tradition. Brauchtumspflege!
Update: Auf einer Liste von Verkäufern kaputter Software darf natürlich EA nicht fehlen!
Apple hat Bing dann nach Annie Lennox' erster Band gefragt, und die falsche Antwort bekommen. Also haben sie dankend abgelehnt.
Das muss Microsoft ja wie ein Blitz aus heiterem Himmel getroffen haben. Das haben die bestimmt noch nie erlebt, dass jemand ihre Produkte erst auf Tauglichkeit prüfen wollte!
Denn sonst würde ja niemand den Scheiß einsetzen.
Hey, das könntet ihr ja eigentlich auch mal probieren!
Apple Inc. is canceling a decadelong effort to build an electric car, according to people with knowledge of the matter, abandoning one of the most ambitious projects in the history of the company.
An dem Projekt haben angeblich 2000 Leute gearbeitet. Einige von denen sollen jetzt an anderen "KI"-Projekten weiterarbeiten.Das ist schon eine echte Erfolgsstory, dieses "KI", wenn selbst jemand mit unbegrenztem Budget das nicht hinkriegt.
Invenda.Vending.FacialRecognition.App.exe: The exception unknown software exception occurred in the application
Vending? Wie in Vending Machine? Also so ein Snack-Verkaufsautomat? Ja!
Wenn du im App Store deines Vertrauens eine App auswählst und installieren willst, dann zeigt dir der Laden eine Liste mit Befugnissen an, die die App haben will. Die Facebook-App ist beispielsweise notorisch dafür, Zugriff auf alles haben zu wollen.
Das zeigt dir der App Store nicht an, weil sie gute Menschen sind, sondern das ist eine Schuldumkehr. Wenn du die App trotzdem installierst, und die dann deine Daten in die NSA-Cloud telefoniert, dann bist du selbst schuld. Wir haben dich sogar extra gewarnt!1!!
Das ist deine Verantwortung, keine Apps zu installieren, die komische Dinge tun wollen.
Update: Wo wir gerade bei App-Store-Missverständnissen sind: Die App Stores prüfen nicht, ob die App "Malware" ist. Tun sie nicht. Können sie auch gar nicht. Daher behaupten sie auch nicht, dass sie Security prüfen, denn dann wären sie ja in der Haftung, wenn Malware durchkommt. Das App Store-Ökosystem macht genau eine Security-Zusage: Dass die App nicht die Kamera benutzen kann, außer sie hat das beantragt, der App Store hat es angezeigt, und der User hat OK geklickt.
Das Betriebssystem auf dem Telefon versucht dann noch ein paar andere Dinge zu garantieren, wie z.B. dass die Apps ordentlich voneinander isoliert sind und sich nicht einfach Dateien ändern können. Aber da gibt es absichtlich eingezogene Wege, wie sich Apps doch gegenseitig reinpfuschen können. Eine davon ist bei dem eID-Ding gerade zum Problem geworden. Das ist aber gewollt, dass du als Inhaber des Telefons eine andere ID-App installieren kannst als die eine. Die können an der Stelle nicht gewinnen.
Update: Ja aber aber aber Fefe, kennst du nicht Play Protect? Die scannen doch nach Malware!1!!
Das ist eine PR-Nebelwand. Man erkennt das schon daran, dass sie "safety check" sagen, nicht "security check". Das ist im Deutschen dasselbe Wort, im Englischen nicht. Sie behaupten auch sorgfältig nicht, dass sie dich vor Malware schützen. Genau genommen machen sie überhaupt keine Sicherheitsgarantie. Sie warnen bloß davor, dass sie Apps unter deinem Arsch weglöschen können von deinem Gerät. Da geht es dann aber eher um ihr Geschäftsmodell als um deine Sicherheit.
Die eine relevante Metrik für sowas ist: Haften die für Schäden, die von Malware verursacht wird, die an ihren Scans vorbeigekommen ist.
Nein. Tun sie nicht. Natürlich nicht. Weil das PR ist, nicht Security.
Das BSI äußert sich zur eID-Nummer. Das ist ein Feuerwerk aus sorgfältig formulierter Krisen-PR, ein Windbeutel neben der nächsten Nebelwand, eingebettet in ein Laken aus Nullaussagen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass es von einem IT-Sicherheitsforscher auf eine vermeintliche Schwachstelle im eID-System hingewiesen wurde.Das "vermeintlich" ist eine Frechheit. Wenn sie geschrieben hätten "in der eID-App", dann hätte man hier verhandeln können. So ist das schlicht eine dreiste Unterstellung und eine Frechheit. Das ist eine tatsächliche Sicherheitslücke, und das BSI trägt die Verantwortung, weil sie die App für die Plattform hätten verhindern können, aber es nicht getan haben.
Im Ergebnis betont das BSI: Es handelt sich bei dem beschriebenen Szenario nicht um einen Angriff auf das eID-System selbst oder eine Schwachstelle in den zugehörigen Sicherheitsfunktionen.Ja, äh, doch! Genau das ist es! Wenn du eine App für Apple-Geräte baust, und die Sicherheitsgarantien macht, die sie nicht einhalten kann, dann ist das eine Lücke im System. Auch wenn deine App nicht Schuld ist.
Das BSI sieht weiterhin keine Änderung in der Risikobewertung bei der Nutzung der Online-Ausweisfunktion.Das ist eine Bankrotterklärung des BSI. Sie sagen uns hier: Ja gut, dass man daran sterben kann, das, äh, das wussten wir die ganze Zeit und das war absichtlich so durchgewunken (weil wir sonst zugeben müssten, dass wir völlig inkompetente Tester sind und unsere Risikobewertungen nicht das Papier wert sind, auf dem wir sie ausdrucken). Das ist wie wenn Donald Trump sagt, dass er absichtlich Nancy Pelosi und Nikki Haley verwechselt.
Um die Online-Ausweisfunktion des Personalausweises missbräuchlich verwenden zu können, ist ein mehrstufiger Cyberangriff auf ein mobiles Endgerät der Anwenderinnen und Anwender erforderlich.Lassen Sie mich nochmal die ENORME KRIMINELLE ENERGIE betonen, die jemand aufbringen müsste, um Sie zu hacken! Der Angreifer müsste Sie dazu bringen, dass Sie eine App installieren!1!! So wie es z.B. alle Supermarktketten erfolgreich tun, und die Deutsche Bahn. Und Behörden (KATWARN, NINA). Eine IMMENSE kriminelle Energie also!!1!
Dazu muss das mobile Gerät entweder vollständig kompromittiert werden oder die Anwenderinnen und Anwender müssen aktiv eine entsprechend manipulierte App installieren.Kommt, guckt mal kurz auf einer Smartphone, wie viele Apps ihr aktuell installiert habt. Dreistellig? Vierstellig?
Des Weiteren ist es bei jedem einzelnen Angriffsvorgang notwendig, den Ausweis physisch an der NFC-Schnittstelle zu platzieren. Ein vergleichbarer Angriff wäre auch bei zahlreichen weiteren Online-Diensten denkbar.Niemand würde niemals nie nicht sein Telefon in der Nähe seiner Geldbörse aufbewahren!!1! Und außerdem ist Paypal ja auch unsicher. Wer also einen Hauskauf mit der Paypal-App signiert, der sollte mal über sein Risikoprofil nachdenken!1!!
Aus Sicht des BSI sind grundlegende Sicherheitsmaßnahmen der Anwenderinnen und Anwender ausreichend, um einen erfolgreichen Angriff unmöglich zu machen. Dazu zählen die Verwendung aktueller Soft- und Firmware und die Verwendung legitimer Apps aus vertrauenswürdigen Quellen. Das BSI empfiehlt die Verwendung von durch das BSI zertifizierten Apps wie z.B. der AusweisApp, die kostenfrei durch den Bund zur Verfügung gestellt wird.Die andere App kam aus dem App Store. Das ist eine vertrauenswürdige Quelle. Das sind peinliche Nebelkerzen hier gerade.
Das BSI prüft zudem, mit welchen zusätzlichen Maßnahmen die Nutzung der Online-Ausweisfunktion noch sicherer gestaltet werden kann."Das BSI prüft" ist das neue "der Verfassungsschutz beobachtet", ja? Absolut grotesk. Es gab keinen Angriff. Wenn es ihn gab, dann war immense kriminelle Energie nötig. Wir haben nichts falsch gemacht! Aber wir gucken jetzt mal, ob wir was besser machen könnten. Das ist wie bei Calvin & Hobbes!
Lange las ich nicht mehr etwas so peinliches wie diese Presseerklärung vom BSI. *fremdschäm*
Ein unter dem Pseudonym CtrlAlt auftretender Sicherheitsforscher hat einem Spiegel-Bericht zufolge eine Schwachstelle im eID-Verfahren aufgedeckt. Damit sei es ihm gelungen, im Namen einer fremden Person ein Konto bei einer großen deutschen Bank zu eröffnen.Nota bene: Das war genau das Szenario, das das Verfahren verhindern sollte.
Vielleicht sollte da doch mal jemand jemanden fragen, der sich mit sowas auskennt?
Ich könnte ja viel gelassener auf sowas reagieren, wenn es nicht meine Steuergelder wären, die da für Cyberclown-Securitytheater verbrannt würden.
Aus dem Blogpost des Forschers:
A responsible disclosure process was conducted with the BSI (Bundesamt für Sicherheit in der Informationstechnik), during which the BSI acknowledged the presence of the vulnerability. Their defense centers on the user’s responsibility for maintaining the security of their client devices.War ja klar. BSI so: Habt ihr auch alle 17 Lagen Schlangenöl gestapelt? Ja? Dann macht mal sicherheitshalber noch eine 18. Lage drüber!1!!
Lasst mich das an dieser Stelle nochmal absolut unmissverständlich sagen: Wenn du davon ausgehst, dass die Endgeräte sicher sind, DANN BRAUCHST DU KEINEN NPA ZU VERTEILEN! Vollpfosten, allesamt.
However, users typically exhibit poor security practices. In addition, this paper demonstrates that the attack remains successful even when all BSI recommendations are followed and client devices are updated.
Ach. Ach was. Das war bloß Ass-Covering? Nur Security-Theater? Hätte uns nur rechtzeitig jemand gewarnt!!1!Hey, Fefe, ich habe gehört, die neue BSI-Chefin kommt aus der Informatik. Die ist gar kein Cyberclown! Mit der wird bestimmt alles besser jetzt!1!!
Kommt, liebes Publikum, rollt noch eine Ehrenrunde Schlangenöl über eurer Infrastruktur aus. Wer zuerst über sein Schlangenöl geransomwared wird, muss eine Runde ausgeben!
Update: OK, nochmal mit ein bisschen Abstand. Sicherheitsforscher mit Pseudonym, Blogpost auf Medium und PDF auf Dropbox, da gehen direkt alle Unseriositätslampen an. Bei euch hoffentlich auch. Inhaltlich haben wir es hier mit einer Eigenheit der Apple-Plattform zu tun, nicht mit einem Bug in der App, und die App kann da inhaltlich auch nicht so viel gegen tun jetzt.
Meine Einstellung dazu ist: Apple sind ein paar Tech-Bros aus Amerika, mit einem beschissenem Security-Track-Record. Die sind durch die BSI-Empfehlungen überhaupt erst zu einer satisfaktionsfähigen Plattform geworden für nPA-Scheiß, und da hat das BSI schlicht niemanden, auf den sie jetzt zeigen können. Das ist deren Verkacken, aus Gründen von Realpolitik. Aber aber aber der Minister verwendet ein Apple-Telefon!!1! Da können wir doch nicht ... ja, äh, doch. Könnt ihr nicht nur, das wäre genau eure Aufgabe gewesen, ihr Cyberclowns. Nicht dass Android fundamental besser wäre.
Wenn du findest, das das Gerät vertrauenswürdig sein sollte, dann ist Anforderung Nummer 1, dass da kein Code nachinstallierbar ist. Damit sind wir dann aber bei einer Gerätekategorie wie einem Analogtelefon oder einer Supermarktkasse.
Das ist übrigens alles gaaaaanz kalter Kaffee. Windows NT hat damals Ctrl-Alt-Del für den Login-Screen eingeführt, den sogenannten Secure Attention Key. Das war genau diese Kategorie von Problem. Wie verhindern wir, dass eine Anwendung so aussieht wie ein Login-Screen, und User ihre Passwörter dort eingeben? Du brauchst einen Weg, wie der User erkennbar einen sicheren Eingabepfad hat, und da darf sich dann auch niemand einklinken und mitlesen können. Das ist dann aber alles Software und möglicherweise hackbar. Eigentlich geht das nur, wenn da keine Software nachinstallierbar und die Hardware verplombt ist.
Hier haben wir es mit einer anderen Art von einklinken zu tun, aber die Kategorie Problem ist dieselbe.
Update: Wisst ihr, wer 2010 auf die Problematik mit den sicheren Eingabegeräten hinwies? Anlässlich des "neuen elektronischen Personalausweise" und der SuisseID? Der CCC! Schade nur, dass nie jemand auf die Experten hört. War wichtiger, auszusehen, als würde man Digitalisierung vorantreiben.
Update: Fortsetzung. (Danke, Tenshi)
Her "boyfriend" is a chatbot on an app called "Glow", an artificial intelligence platform created by Shanghai start-up MiniMax that is part of a blossoming industry in China offering friendly—even romantic—human-robot relations."He knows how to talk to women better than a real man," said Tufei, from Xi'an in northern China, who declined to give her full name.
"He comforts me when I have period pain. I confide in him about my problems at work," she told AFP.
Bislang sind "AI Girlfriends" ein Nischenmarkt für männliche Incels, jetzt schließen die Frauen auf.Ich frage mich, was für Geheimnisse man so abgreifen kann, wenn man eine "KI-Chat-App" anbietet.
Ich zitiere:
Generate any static configuration formatDefine all your data in Pkl, and generate output for JSON, YAML, Property Lists, and other configuration formats.
Aber aber aber was ist denn mit TOML?!? (Kontext, mehr Kontext)Update: Wie so häufig, wenn ich im Blog einen Beitrag der Kategorie "ist es ganz schlimm" habe, kommt ein Leser und zeigt Beispiele, dass es es entweder schon länger so schlimm oder gar noch schlimmer ist.
... aber nur, wenn sie 27% Kommission kriegen.
Das ist echt so eine entsetzliche, furchtbare Dystopie eines bösartigen Molochs von einer Parodie des galaktischen Imperiums, da fragt man sich echt, wie die überhaupt jemals auch nur einen Kunden haben gewinnen können.
Ja klar ist das ein Todesstern, der uns alle umbringen wird, aber guck mal wie schön rund die Kanten sind!1!!
Wenn ihr einen PC einsetzt, der nicht von Apple kommt, ist die Antwort wahrscheinlich: Ja.
PixieFail: Nine vulnerabilities in Tianocore's EDK II IPv6 network stack.Pixie steht hier für PXE, also Netzboot. Es handelt sich um Remote Code Execution-Bugs im IPv6-Code von Tianocore, der gemeinsamen Referenzimplementation von UEFI, auf der soweit ich weiß alle UEFI-Implementationen da draußen basieren. Mit Klassikern wie:
CVE-2023-45229: Integer underflow when processing IA_NA/IA_TA options in a DHCPv6 Advertise messageCVE-2023-45230: Buffer overflow in the DHCPv6 client via a long Server ID option
(da wird mir ganz warm ums Herz!)
CVE-2023-45232: Infinite loop when parsing unknown options in the Destination Options header
CVE-2023-45234: Buffer overflow when processing DNS Servers option in a DHCPv6 Advertise message
CVE-2023-45235: Buffer overflow when handling Server ID option from a DHCPv6 proxy Advertise message
*klingel* Hallo? Oh, ich habe die 1990er Jahre am Telefon. Sie möchten ihre Bugs zurück haben! *wieher*Auf der anderen Seite kann man natürlich argumentieren, dass wenn jemand Netzboot macht, der eh remote code execution hat, und zwar by design.
Das Konzept ist auch bekannt als Lampshade Hanging und wurde schon von Shakespeare eingesetzt.
Das kann man immer häufiger in PR beobachten. Achtet mal drauf. Sie kündigen eine Sache an, die schlecht für X ist, und dann schreiben sie direkt in die Ankündigung: ... aber unter Wahrung von X, oder ... aber X hat nach wie vor höchste Priorität für uns.
Aktuelles Beispiel: Google will Glücksspiel-Apps in den Store nehmen.
"We’re pleased that this new approach will provide new business opportunities to developers globally while continuing to prioritize user safety," wrote Google's director of global trust and safety partnerships, Karan Gambhir.
Das ist natürlich eine glatte Lüge. Wenn es hier auch nur unter fernerliefen um User Safety ginge, würden sie keine Glücksspiel-Apps zulassen.Der Staat macht das schon länger so. Sie fordern Vorratsdatenspeicherung aber sagen ... unter Wahrung der Privatsphäre. Sie fordern Staatstrojaner aber sagen ... unter Wahrung des Datenschutzes und der Privatsphäre. Das sind alles glatte Lügen. Offensichtliche Lügen. Lasst euch von solchem Scheiß nicht verarschen.
Google optimiert hier User Unsafety. Vorratsdatenspeicherung, Chatkontrolle und Staatstrojaner zerstören die Privatsphäre, die Unschuldsvermutung und den Rechtsstaat.
Berlins Generalstaatsanwältin Margarete Koppers hat die Abschaffung des Weisungsrechts durch Justizminister von Bund und Ländern gefordert. Der Europäische Gerichtshof mahne dies schon länger anOooooh! Es ist jemandem aufgefallen, dass unser Land sich da seit Jahrzehnten auf dem internationalen Parkett zum Klops macht. Mir hat ja sogar jemand erzählt, dass Deutschland deshalb keinen EU-Haftbefehl ausstellen darf. Weil die Staatsanwaltschaft offensichtlich durch ihre Weisungsbindung nicht unabhängig ist und hier Willkür Tür und Tor geöffnet wären. Wir befinden uns da glaube ich sogar noch hinter Ungarn in der Zivilisationsskala.
Aber wartet, geht noch weiter:
"Deutschland ist in diesem Punkt nicht vorbildlich aufgestellt", sagte Koppers der Deutschen Presse-Agentur (dpa).No shit!
Die Justizminister und -ministerinnen erklärten immer wieder, sie würden das Weisungsrecht tatsächlich nicht ausüben. "Das finde ich so nicht glaubhaft. Denn dann könnten sie es auch abschaffen."DANKE, Frau Koppers! Endlich spricht es mal jemand aus dem Inneren des Apparats aus!
Ein weiteres schlagendes Argument hat sie noch:
Koppers verwies dabei auch auf die politische Entwicklung und sagte mit Blick auf den hohen Zuspruch für die AfD bei Umfragen in einigen Bundesländern: "Wenn ein AfD-Politiker den Justizminister stellte, dann möchte ich mir nicht vorstellen, wie die Strafverfolgung aussähe - vor allem im Bereich des Rechtsextremismus."Das sollte ja eh immer im Hinterkopf sein, wenn man Dinge am Rechtsstaat schraubt. Würde sich nach der Machtergreifung die AfD über diese Regelung freuen?
Das hätte man z.B. beim Staatstrojaner und der Kameraüberwachung und den endlosen Datenbanken über die Bürger mal vorher bedenken sollen. Datenbanken übrigens, die konsequent nur zu unserem Nachteil angewendet werden. Oder hat jemand eine inhaltliche Erklärung dafür, wieso z.B. die Familienkasse für das Kindergeld von den Eltern verlangt, bei der Schule eine Schulbescheinigung zu besorgen und der Familienkasse vorzulegen?
ECC sind redundante Codes zur Fehlerkorrektur bei Bitfehlern. Die Linuxer glauben, dass dieser ominöse Mechanismus aus dem Exploit ein Interface zu direkten Schreiben in den Cache sei, und der Cache hat bei Apple ECC und daher muss man auch die ECC-Werte ausrechnen und schreiben.
Das klingt für mich plausibel. Sehr schön, wenn Experten aus verschiedenen Bereichen zusammenkommen und sich gegenseitig voranbringen. (Danke, Justin)
Da haben ein paar Kaspersky-Mitarbeiter auf ihren Telefonen Malware gefunden. Es waren Apple-Telefone. Sie haben die Exploit-Chain mitgeschnitten und bei uns öffentlich verbrannt.
Die Exploit-Chain (und hier müsst ihr möglicherweise meiner professionellen Einschätzung trauen) war insgesamt mindestens 8stellig Dollar wert. Die haben da einmal die aktuelle Toolbox der NSA verbrannt, oder des GCHQ. Das war der Hammer, was die da für 0days hatten.
Es ging los mit einer Memory Corruption im Truetype-Interpreter (bis hier noch nicht so spektakulär). Von da aus hatten sie einen Kernel Exploit, der aus interpretiertem Javascript heraus ging.
Und am Ende schrieben sie dann ein paar magische Werte in eine undokumentierte MMIO-Adresse und dann überschrieb irgendeine Hardware an allen Schutzmechanismen vorbei physischen Speicher ihrer Wahl mit Werten ihrer Wahl.
Der Adressbereich liegt in der Nähe der GPU und ist in älteren Geräten drin, aber auch in M1 Apple Silicon. Das ist ja schon der Hammer, aber um dieses Operation auszulösen, muss man auch einen undokumentierten Hashwert des Requests in ein undokumentiertes MMIO-Register schreiben. Den Hash haben sie jetzt halt reversed und veröffentlicht.
Aber damit scheiden aus meiner Sicht alle gutartigen Erklärungen für diese Funktionalität aus. Für Debug-Funktionanlität braucht man keinen "geheimen Hash".
Sie haben das an Apple gemeldet und Apple hat dann den Adressbereich gesperrt. In der Konfigdatei für gesperrte Bereiche steht normalerweise das Gerät dran, um das es geht. Hier steht: "DENY".
Da werden gerade einige Geheimdienste sehr unglücklich sein.
eine Anmerkung zum „Genörgel“ über das Deutschlandticket in der DB App. Ich habe mein Deutschlandticket über meinen regionalen Verkehrsbetrieb. Da deren App ganz großer Murks ist – dagegen ist selbst der neue DB Navigator ein leuchtendes Beispiel guter App-Programmierung – habe ich mich bei der Bestellung entschieden, das Ticket nicht in deren App zu nehmen.So habe ich einige Monate lang Papierschnipsel mit Barcodes bekommen, weil mein Verkehrsbetrieb erst die Infrastruktur aufbauen musste, um Chipkarten auszugeben. RFID ist für sie Neuland. Nun habe ich ganz frisch eine Chipkarte bekommen. Und was ist passiert? Die Karte ist unprogrammiert; es ist kein Deutschlandticket drauf! Getestet mit zwei Auslese-Apps, um einen Fehler beim Auslesen auszuschließen.
Mir graut es davor, dieses Problem mit dem Support des Verkehrsbetriebs auszudiskutieren. Wie gesagt: RFID ist Neuland dort. Solange werde ich wohl schwarzfahren müssen. Ich kann mir vorstellen, dass das vielleicht sogar alle Nutzer der Chipkarte meines Verkehrsbetriebs betrifft, von denen die wenigsten ihre Karte per Auslese-App prüfen werden. Ich wünsche mir, ich hätte das Ticket wie Du und der Blogleser von der Deutschen Bahn bezogen. Dort sieht man – anders als bei einer Chipkarte – wenigstens auf einen Blick, ob das Ticket nun vorhanden ist oder nicht.
Hi Felix,Ich habe gerade mal bei mir nachgeguckt und die Bahn-App wollte ein Neu-Login haben, damit sie sich an meine Bahncard erinnert. Das Deutschlandticket war auch weg, aber kam nach einem Refresh zurück.keine Ahnung, ob ich der einzige bin, aber vielleicht lohnt sich das ja für eine Warnung: Ich bin seit ca. 8 Monaten stol... ich bin seit 8 Monaten Besitzer eines Deutschlandtickets. Mit diesem bin ich auch heute morgen mit dem Regionalexpress zu meiner Familie gefahren. Dachte ich zumindest.
Bei der Kontrolle stellt sich nämlich heraus, dass meine App gar kein Deutschlandticket angezeigt hat. Gut ausgeloggt, neu eingeloggt - kennt man bei der neuen Bahn-App ja. Immer noch nicht. App geschlossen, wie auf gemacht. Nix. Dann holen wir doch den Laptop raus und loggen uns auf bahn.de ein. Kein Deutschlandticket. Mir wird die Sache furchtbar unangenehm und ich sage zur Schaffnerin, dass ich nicht weiß, was da los ist und hole meinen Ausweis raus, weil ich kurz vor'm Aussteigen bin. Die Reaktion von ihr hat mich am meisten schockiert: "Ja, das passiert häufiger. Machen Sie sich demnächst zur Sicherheit einen Screenshot." Sie ließ mich dann aufgrund der Feiertage ziehen - offensichtlich sah ich schockiert genug aus, dass ich nicht wie ein Schwarzfahrer wirkte.
Ich bin jetzt hier bei der Familie und kann sicher sagen:
- Ich habe kein Abo laut der Bahn.
- Ich habe keine Kündigungsbestätigung oder ähnliches.
- DBVertrieb hat zuletzt am 15.12.23 49,00 € für das Deutschland-Ticket bei mir abgebucht. Wie jeden Monat.
Mein Tipp an alle, die Bahnreisen: Macht einen Screenshot. Die App scheint mittlerweile so zuverlässig zu sein, wie der Rest der Bahn.
Was machen die Leute hinter dieser App eigentlich beruflich?
Der Internet-Riese betreibe mit seinem App-Store ein illegales Monopol, so das Gericht. Das Urteil könnte branchenweite Folgen haben.Na das kann man aber laut sagen.
Selbst wenn sie das Verfahren verloren hätten, haben sie eigentlich eh schon gewonnen, denn was sie DA (auch im Parallelverfahren gegen Apple) für furchtbar peinliche Dokumente gefunden haben und veröffentlichen konnten, das hat echten Flurschaden angerichtet.
Kleine Auswahl: Spotify muss keine Play-Store-Tax zahlen, Apple behindert keine alternativen Zahlmöglichkeiten mehr, Netflix musste auch keine 30% Play-Store-Steuer zahlen. Google schmiert mit den Play-Store-Gebühren die Telcos, damit die nicht auf die Idee kommen, auf ihren Telefonen eigene App-Stores zu haben.
Ich würde Epic ja hier zum Helden der Arbeit ernennen, wenn das nicht auch eine so furchtbare Scheißfirma wäre. Das ist die Firma, deren Geschäftsmodell ist, Kiddies "free to play"-Spiele wie Fortnite zu "schenken", sie über Lootbox-Modelle süchtig zu machen und ihnen dann über In-Game-Mikrotransaktionen die Kohle der Eltern aus der Tasche zu ziehen.
Insofern muss man das glaube ich eher so sehen: Wenn DIE sich mit Google und Apple schlagen, kann es nur Gewinner geben.
Die Sendung haben wir schon Anfang August aufgenommen, aber Frank hatte Softwareprobleme. (Nehmt Apple, haben sie gesagt. Da funktioniert das alles einfach, haben sie gesagt!)
Für diese unfassbar unprofessionelle Verzögerung bitten wir um Entschuldigung. Es handelt sich um force majeure. Wir haben die Behörden informiert und Spezialisten für eine forensische Untersuchung eingeschaltet. Aus verfahrenstechnischen Gründen können wir leider keine weiteren Stellungnahmen abgeben.
Viel Spaß beim Anhören!
Kennt jemand jemanden bei der Bahn? Denen müsste mal jemand erklären, dass sie mehr Geld verdienen, wenn sie mehr Wagen anhängen. Die Zugfrequenz könnte man auch mal verdoppeln oder verdreifachen, aber das würde ja mehr Personal benötigen.
Bei der Rückreise mussten wir dann hilflos zwei vollen Zügen am ohne uns Abfahren zugucken und haben dann verzweifelt eine Umgehung über Leipzig probiert. Von Leipzig aus nimmt man dann eine S-Bahn nach Dessau und von dort gibt es einen Zug nach Berlin. Die S-Bahn war so krass überfüllt, dass die Türen nicht schließen wollten, weil sich drinnen auch auf den Stehplätzen die Leute mehrlagig lagerten.
Aus dem Zug zeigte die Bahn-App dann an, dass der Zug nach Berlin schon weg ist. Der Zug war aber nicht weg. In einem revolutionären Akt hat der Zug dort gewartet (letzter Zug in Richtung Berlin an dem Tag) und uns doch noch sicher nach Berlin gebracht. "Abfahrt" in Dresden: halb sieben. Ankunft in Berlin: ein Uhr nachts.
An dieser Stelle daher einen herzlichen Dank an den Zugführer von dem Regionalexpress, der uns nicht in Dessau hat stranden lassen. Und ein herzliches Fuck You an die Streckenplaner bei der Deutschen Bahn.
Update: Hier kommt gerade der sachdienliche Hinweis, dass die Regionalzüge vom jeweiligen Bundesland ausgeschrieben und gemanaged werden, nicht von der Bahn. Selbst wenn sie wollte, könnte die Bahn nicht mehr Wagen anhängen.
Das muss man erstmal schaffen, liebe Bundesländer. Noch schlimmer zu verkacken als die Bahn.
Update: Ein Leser erklärt, dass der Grund für den Zustand des Regionalverkehrs in Sachsen das Projekt „City-Tunnel Leipzig“ ist. Das haben die Stadtplaner so verkackt, dass 500 Mio Mehrkosten anfielen, die seit Investitionen in den Regionalverkehr seit dem aufgefressen haben.
Stattdessen sollen die ab jetzt die weltberühmten Messengerdienste Olvid und Tchap verwenden.
Keine Sorge. Ich habe auch noch nie von denen gehört.
OK, aber Sicherheitslücken? Da werde ich hellhörig. Was für Sicherheitslücken denn?
Der französische Digitalminister Jean-Noël Barrot erklärte auf X (vormals Twitter), die Ende-zu-Ende-Verschlüsselung von Olvid sei von der Cybersicherheitsbehörde Anssi zertifiziert.Genau mein Humor!
Erstens: Digitalminister. Direkt ein Lacher.
Zweitens: Verkündet er auf X. Direkt der nächste Lacher!
Drittens: Er meinte nicht Sicherheitslücken, er meinte eine Behörden-Zertifizierung.
Frankreich war, die Älteren werden sich erinnern, jahrelang ein Ödland der Verdammnis, wenn es um Computer ging, weil die Regierung ein Kryptoverbot verhängt hatte. Wenn DIE uns jetzt also was von Ende-zu-Ende-Verschlüsselung erzählen, ist das mehr als lächerlich.
Viertens: Frankreich steht heute für den Einsatz von Staatstrojanern. Wenn DIE uns also was von Sicherheitslücken erzählen, und sagen, wir sollen doch bitte ihre Software einsetzen, dann ist das mehr als unglaubwürdig, dass das was mit einer Erhöhung der Sicherheit zu tun hat. Eher im Gegenteil.
Ich mache mich ja seit Jahrzehnten über Zertifizierungen lustig, besonders über BSI-Zertifizierungen. Die sind inhaltlich absolut wertlos. Waren sie schon immer, werden sie auch absehbar bleiben. Aber eine Sache, die erst mit den Staatstrojanern wirklich Wucht kriegt, möchte ich hier nochmal explizit ansprechen. Eine Zertifizierung kostet sechsstellig. Wenn eine Firma also so viel Geld in die Hand nimmt für einen Messenger-Dienst, dann gibt sie der Regierung einen ziemlich großen Hebel in die Hand, ihnen "Features" reinzudrücken, die am Ende die Sicherheit kompromittieren.
Für mich sind daher staatliche Zertifikate nicht nur wertlos sondern ein starker Indikator dafür, dass ich dieser Software noch weniger Vertrauen entgegen bringen sollte. Selbst wenn es sich um Open Source handelt, auch wenn sich die Bedenken dann abschwächen.
Gibt es denn irgendwas positives zu sagen? Nun, Tchap scheint eine Implementation von Matrix zu sein. Matrix ist ein offener Standard mit Open-Source-Implementationen. Das ist also vergleichsweise gut. Tchap selbst ist auch Open Source. Es könnte also sein, als wäre das hier die eine Ausnahme von der Regel. Auch Olvid ist Open Source und auf Github. Die Beschreibung liest sich auch richtig gut. Das einzige, was ich gerade nicht auf Anhieb sehe, ist Reproducable Builds.
Beide Messenger sehen nicht wie Schnellschüsse aus. Da werde ich ja fast ein bisschen neidisch gerade!
Unter den Fehlern befinden sich neben SQL-Injections auch Möglichkeiten für Angreifer, beliebige Kommandos auf Appliances des kalifornischen Unternehmens auszuführen.Wie, gar keine Backdoors mit hartkodierten Credentials? So wird das nicht mit der Cisco-Konkurrenz.
RCS ist ein Mobilfunkstandard, der Nachfolger von SMS und MMS. Kein Internet-Messaging-Standard. Geht aber über das Internet am Ende.
Und "Standard" ist natürlich eh zuviel gesagt, denn Google hat auf Android RCS über die Jahre immer und immer wieder proprietär erweitert, um mit den Features von Apple mithalten zu können.
Wenn Apple jetzt also RCS implementiert, heißt das noch lange nicht, dass die auch die ganzen proprietären Erweiterungen von Android implementieren.
Dadurch, dass RCS ein Mobilfunkstandard ist, muss der Netzbetreiber das anbieten und im Vertrag freischalten. In Deutschland haben die Telekom, Vodafone und O2 RCS implementiert, aber die klemmen das gerne mal bei Resellern ab.
Oh, und: Die Ende-zu-Ende-Verschlüsselung, die Google (angeblich, denn das kann ja keiner prüfen!) anbietet, ist eine Google-Erweiterung. Standard-RCS ist unverschlüsselt.
Mit anderen Worten: Das kann mit Threema oder Signal nicht mit im Ansatz mithalten. Völlig undiskutabel.
Diese Liste war schon immer unfassbar lang und beinhaltet so Entitäten wie "e-commerce monitoring GmbH" (wat!?) und natürlich Konzerne und staatliche Stellen aus aller Herren Länder. Ich sage nur: GUANG DONG CERTIFICATE AUTHORITY.
Nehmen wir mal an, ihr klickt zu https://blog.fefe.de/ und euer Browser baut eine TLS-Verbindung auf. Dann meldet sich die Gegenstelle (hoffentlich, aber nicht unbedingt, mein Server!) mit einem mit meinem Public Key signierten Handshake, und mein Public Key ist signiert von Let's Encrypt, und Let's Encrypt ist in der Liste in eurem Browser. Daher weiß euer Browser, dass er mit meinem Server redet und nicht mit der NSA.
Aber weiß er das wirklich? Was wenn sich da jemand anderes meldet, sagen wir mal der chinesische Geheimdienst fängt die Verbindung ab und leitet die zu sich selbst um, und da kommt dann ein gültig aussehendes Handshake, das aber von einer anderen CA in eurer Browserliste signiert wurde! Zum Beispiel von "Hong Kong Post". Dann würde euer Browser das auch akzeptieren.
Die Telekom hat auch eine CA in der Liste.
Das ist ein fundamentales Problem bei der ganzen TLS-Nummer, für die es auch keine wirklich tolle Lösung gibt. Bisherige Ansätze sind, dass ich in meinem DNS einen Eintrag haben kann, dass nur Let's Encrypt CAs ausstellen darf. Andere CAs sollten sich dann weigern, wenn der Geheimdienst kommt und ein Cert ausgestellt haben will. Das nimmt aber gutmeinende, nicht kompromittierte und nicht an gesetzliche Vorgaben gebundene CAs an.
Der nächste Ansatz ist, dass alle CAs sich zu Transparenz verpflichtet haben, und alle ausgegebenen Zertifikate automatisiert in eine gemeinsame öffentlich einsehbare Liste eintragen. Das nimmt leider auch eine gutmeinende, nicht kompromittierte CA an.
Warum erzähle ich das alles? Erstens um noch mal Honest Achmed's Used Cars and Certificates zu verlinken. :-)
Aber der dringendere Grund ist, dass die EU gerade an der eIDAS-Verordnung arbeitet, bei der es um digitale Identitäten für die EU geht. Das hehre (und gute!) Ziel ist, "Login via Google" kaputtzumachen. Ihr Plan ist, ein eigenes System zu bauen, ein staatliches System, und das hat dann natürlich eine eigene CA, und die kommt in alle Browser und jedes Mitgliedsland bietet eine Wallet-App an, die dann auf alle Smartphones kommt, und Behörden und Google und Facebook und co werden dann gezwungen, Logins via dieser Wallets zu ermöglichen. Schlimmer noch: dafür kriegt dann jeder Bürger endlich einen Barcode auf den Vorderarm tätowiert (Deutschland ist endlich wieder Technologieführer!!1!), äh, einen lebenslang gültigen eindeutigen Identifier zugewiesen, mit dem der Staat dann schön alle Bürger tracken kann.
Ich würde ja von der Benutzung von sowas immer grundsätzlich abraten, weil man damit Google staatlich validierte Daten gibt, die deren Datensätze massiv aufwerten.
Aber der Punkt, wieso ich das hier alles überhaupt ausrolle, ist ein anderer. Die CAs sollen dann in die Browser, und zwar per Verordnung, d.h. staatlich erzwungen. Im Moment kann man im Browser CAs als unvertrauenswürdig markieren. Das darf der Browser dann bei diesen staatlichen CAs nicht erlauben.
Mit anderen Worten: Hier kommt per EU-Verordnung eine TLS-Hintertür in alle eure Browser. Die erlaubt Polizeien und Geheimdiensten das Ausstellen von Zertifikaten für jede Webseite, bei der sie das gerne haben wollen, und damit können sie dann einen Man-in-the-Middle-Angriff gegen jeden fahren, und zwar nicht nur innerhalb der EU, und deren Verbindungen mitlesen oder auch manipulieren und sich als Server ausgeben. Die EFF warnt da seit Jahren vor. Aktuell gibt es einen offenen Brief von hunderten von Experten dagegen. Ist alles ganz traurig, insbesondere weil sich die EU damit hinter Ländern wie Kasachstan und Indien einreiht, die ihren Bürgern bereits Zwangs-CAs oder "digitale ID"-Systeme aufgedrängt haben.
Update: Jetzt kommt ein Klugscheißer und weist darauf hin, dass das Handshake natürlich mit dem Private Key signiert ist, nicht mit dem Public Key. Der Klugscheißer hat völlig Recht. Was ich sagen wollte: Das ist mit meinem Private Key signiert, aber der Public Key wird als Teil des Handshakes übertragen und ist von der CA signiert.
Hintergrund: Imessage mag nicht mit Android reden, schickt dann halt SMSsen. Die haben keine Formatierung, Längenlimits, keine Verschlüsselung. Seit Jahren versucht Google, Apple zur Öffnung ihrer Plattform zu bewegen, weil sich aus Sicht von Apple-Usern Android-User wie ungewaschene Fußgänger anfühlen. Ohne Erfolg.
Auf der anderen Seite die EU mit ihrem Digital Services Act. Den mag Google natürlich auch nicht. Aber WENN der schon angewendet wird, dann bitte auch gegen Apple!1!!
Update: Siehe auch...
Die haben Schülern und Lehrern Tablets und Laptops gegeben, und darauf war dann eine App, in der sie im Unterricht Notizen gemacht haben.
Dann gab es ein Netzwerkproblem beim Betreiber des Schulnetzes, und jetzt sind alle diese Aufzeichnungen weg.
Und ausgerechnet die sei durch eine Netzwerk-Panne auf den Geräten gelöscht worden. Und damit eben auch alle Mitschriften. Die DASDING-Kollegen haben mit Schülersprecher Rayan Marotta gesprochen. Er erzählt, dass wirklich alles weg ist – außer ein paar Fotos und Screenshots – und dass die Stimmung bei den Schülerinnen und Schülern sehr, sehr schlecht sei.Nun löscht eine Netzwerkpanne normalerweise keine Apps und keine Daten in Apps. Da hat es also noch zusätzliches Versagen gegeben, für das hoffe ich Köpfe rollen werden. Aber wartet mal, geht noch weiter. Das war nicht nur reguläres Versagen, das war Versagen im Industriemaßstab:
Sicherheitskopien gäbe es leider auch kaum, so Rayan Marotta, weil aus Datenschutz- und Sicherheitsgründen keine Clouds aus dem Ausland genutzt werden dürfen.Dieser Satz ist fraktal falsch. So falsch, dass auch das Gegenteil falsch ist.
Selbstredend kann man Backups ohne die Cloud machen, Datenschutz behindert Backups nicht, und man kann auch Backups in fremde Clouds machen, solange man die Daten verschlüsselt.
Dass die jetzt auch noch die Victim Blaming versuchen, finde ich absolut erbärmlich. Pass uff, Atze, als nächste Ausrede kommt "aber wir hatten doch so wenig Geld und kein Personal". NA DANN MACH DAS HALT NICHT, DU FLACHZANGE!
RSA digital signatures can reveal a signer’s secret key if a computational or hardware fault occurs during signing with an unprotected implementation using the Chinese Remainder Theorem and a deterministic padding scheme like PKCS#1 v1.5.
Der Angriff ist mächtig genug, dass ein einziger beobachteter Fehler reicht.Dann fiel jemandem auf, dass es solche Fehler auch "natürlich" vorkommen, weil Hardware kaputt geht oder vielleicht ist es zu heiß an dem Tag oder irgendein Softwarebug triggert das. Tja und in diesem Paper haben sie mal passiv Verkehr mitgeschnitten und nach solchen Fehlern gesucht, und ... das hat geklappt.
Nun macht SSH aber nicht rohes RSA sondern hat einen Diffie-Hellman-Schritt darüber, und man nahm an, dass es deshalb gegen diesen Angriff immun ist. Ist es aber nicht, sagt dieses Paper jetzt.
In this paper, we show that passive RSA key recovery from a single PKCS#1 v1.5-padded faulty signature is possible in the SSH and IPsec protocols using a lattice attack described by Coron et al. [16 ]. In this context, a passive adversary can quietly monitor legitimate connections without risking detection until they observe a faulty signature that exposes the private key. The attacker can then actively and undetectably impersonate the compromised host to intercept sensitive data.
Das ist eines dieser Papers aus der Kategorie "vielleicht doch lieber Rosenzüchter werden?"Der Angriff betrifft SSH und IKE (Schlüsselaustausch für IPsec). Sie haben dann geguckt, was für Geräte betroffen waren, und das waren ein paar alte Cisco und Zyxel Appliances, und dann noch Geräte von Hillstone Networks und Mocana (beides nie gehört), die sie nicht kontaktieren konnten. Cisco und Zyxel meinten, das betrifft nur Versionen, die seit Jahren out of service sind. Immerhin.
Die Prävalenz dieser Fehlerart ist aber bestürzend groß finde ich:
Our combined dataset of around 5.2 billion SSH records contained more than 590,000 invalid RSA signatures. We used our lattice attack to find that more than 4,900 revealed the factorization of the corresponding RSA public key, giving us the private keys to 189 unique RSA public keys.
Und hey, wer will das nicht? Erstmal eine versiffte App installieren müssen, um mit irgendwas interagieren zu können? Da WARTE ich doch nur drauf den ganzen Tag, dass ich endlich wieder zur Installation irgendeiner App genötigt werden!
Oh, und dann ist da noch dieses Detail:
“It’s for this f***ing web app called meandu which proceeded to charge a 6.5 per cent venue surcharge, a 2 per cent payment processing fee, and then had the audacity to ask for a tip (10, 15, 25 per cent) as the cherry on top,” the diner wrote in a post to social media.
Wartet! Geht noch weiter!Hundreds of others enthusiastically agreed and many added they also didn’t like being asked to enter their personal details.
Aber natürlich, mein Herr! Selbstredend wollen die auch noch die persönlichen Details haben. Das steigert den Firmenwert, wenn es da ransomwarebare Daten über unschuldige Passanten rauszutragen gibt!Update: Mehrere Leser berichten, dass das in den Niederlanden auch schon sehr verbreitet ist mit dem QR-Code im Restaurant. Ein Leser erzählte, dass das in China auch absolut Standard sei inzwischen, mit Bezahlung über Wechat dann, und sogar teilweise bei China-Restaurants in Deutschland üblich ist. Hier aber dann noch Barzahlung möglich, schon weil man Trinkgeld haben möchte.
Na gut. Zwei. Die erste: Die "Sicherheitsforscher" binden lauter externe Ressourcen ein, und das auch noch ohne Content Security Policy zum Festnageln mit Hashes. "IT-Security-Experte" ist inzwischen praktisch auf dem Niveau von "Heilpraktiker" angekommen in Sachen Unseriosität.
So und jetzt das Kronjuwel. Klickt mal unten auf "When did you notify Apple?". Ich zitiere:
We disclosed our results to Apple on September 12, 2022 (408 days before public release).
Apple kriegt die Krone für Unseriosität. Derartig epochales Versagen in Sachen "Rapid Response" kennt man sonst nur von Microsoft. (Danke, Fabio)
Meine Überraschung hält sich in Grenzen.
Ich fasse mal die wesentlichen Punkte zusammen:
we can defeat Apple’s low-resolution timer, compressed
35-bit addressing, and value poisoning countermeasures, allowing
us to read any 64-bit address within the address space of Safari’s
rendering process
Apple hat, wie vor ihnen Microsoft und andere, auf irgendwelche mehr oder weniger nutzlosen Mitigations gesetzt, ohne ihre tatsächlichen Probleme zu lösen. Seit Jahren meine Rede, dass das nicht gut ist.Combining this with a new technique for con-
solidating websites from different domains into the same renderer
process
Das erzähle ich in meinen Vorträgen seit Jahren, dass man einen Prozess pro Request braucht, damit die sich nicht gegenseitig die Daten extrahieren können.Finally, we note that Safari
/ WebKit is the only browser engine permitted on iOS devices re-
gardless of web browser app.
Dass DAS eine bekloppte Idee ist, war schon klar, bevor Apple es angekündigt hat. Apple-Kunden war das immer egal, ob Apple Dinge tut, die zu ihren Ungunsten sind. You are holding it wrong.Was an dem Angriff jetzt besonders ist, ist dass das halt mal jemand alles gemacht hat. Dass das prinzipiell geht, und dass Apple nichts tun wird, bis jemand die Arbeit investiert, um das zu zeigen, war auch offensichtlich.
Was ich an der Sache am gruseligsten finde:
This research was supported by the Air Force Office of Scientific Research (AFOSR) under award number FA9550-20-1-0425; an ARC Discovery Project number DP210102670; the Defense Advanced Research Projects Agency (DARPA) under contract HR00112390029 and W912CG-23-C-0022; the Deutsche Forschungsgemeinschaft (DFG, German Research Foundation) under Germany's Excellence Strategy - EXC 2092 CASA - 390781972; the National Science Foundation under grant CNS-1954712; and gifts by Cisco and Qualcomm.
Wer fehlt auf der Liste? Richtig! Apple!Apple-User lügen sich immer selbst einen in die Tasche, dass Apple schon irgendwie der einzige Tech-Konzern ist, der edel und rein ist und für seine Kunden nur das Beste will.
Kurz: Aus meiner Sicht ist das die Aufregung gerade nicht wert. Ist alles genau so, wie es schon lange klar war. Apple verkauft Mist und weiß es, sitzt auf unfassbaren Bargeldbergen und weiß nicht wohin damit, aber überlässt die Finanzierung derartiger Forschung dem Steuerzahler, Konkurrenten und dem Militär. Ja geil. Da willste doch deine Geräte kaufen!!
Samsung schaltet in Mexiko Smartphones remote ab, weil die auf Aliexpress statt im Samsung-Store gekauft wurden.
Motorola hat dasselbe getan.
Warte mal, wenn Samsung und Motorola euer Telefon fernsteuern können, woher wisst ihr denn, dass das nicht auch die "Sicherheitsbehörden" können?
Hold that thought.
Apple macht ihre Telefone jetzt remote zwangsupdatebar.
Apple is planning a new system for its retail stores that will update the software on iPhones prior to sale. The company has developed a proprietary pad-like device that the store can place boxes of iPhones on top of. That system can then wirelessly turn on the iPhone, update its software and then power it back down — all without the phone’s packaging ever being opened. The company aims to begin rolling this out to its stores before the end of the year.
Darauf wartet der Zoll seit Jahren, dass sie das bei einreisenden Touristen machen können, ohne dass die was mitkriegen!1!!
Innovatoren, diese Leute von Apple. Da können (und wahrscheinlich werden?) sich die anderen Uhrmacher bestimmt eine Scheibe abschneiden!1!!
Wobei $17.000 ja auch Kinderspielzeug. Patek Philippe ruft schon mal sechsstellige Preise auf.
Demnach ist auch Motel-One-Gründer und Miteigentümer Dieter Müller von dem Angriff betroffen. Gegenüber der »SZ« richtete er einen Appell in Richtung Politik: »Leider hat der Staat noch keinen Weg gefunden, seiner staatlichen Hoheitsaufgabe gerecht zu werden und seine Bürger und Unternehmen vor kriminellen digitalen Angriffen zu schützen«, sagte Müller.Oh ACH SOOOO ist das! Der Staat ist schuld, dass ihr auf eurer Verantwortung nicht gerecht geworden seid! Klaaaar, Herr Müller, so ist das. Wir setzen hier alle schön Windows und Outlook und Active Directory an, und dann meckern wir über den Staat, wenn wir gehackt werden. *tätschel*
Ja gut, aber wenn der Laden Datensparsamkeit pflegen würde, wäre das ja jetzt kein großes Ding. Haben sie doch sicher, oder? Haben sie?
Laut »SZ« enthält der Satz neben den annähernd vollständigen Übernachtungslisten seit dem Jahr 2016 private Rechnungsadressen, Geburtsdaten von Kunden sowie interne Geschäftszahlen und Handynummern von Motel-One-Mitarbeitern.Hey Fefe, wieso willst du denn immer Hotels nicht deine persönlichen Daten geben? Die wollen dir doch nichts Böses!1!!
Glaubt mal nicht für eine Sekunde, dass das bei irgendwelchen anderen Hotels besser aussieht. (Danke, Marissa)
New hotness: Computer sagen Menschen, was sie tun sollen.
Eine 25-jährige Frau ist in München stur einer Navigations-App gefolgt und am Ostbahnhof durch ein Loch im Zaun auf die Bahngleise gelaufen. Wie die Bundespolizei am Samstag mitteilte, musste deswegen am Freitag eine vom Flughafen zum Ammersee fahrende S-Bahn gegen 21 Uhr eine Schnellbremsung ausführen.Ich finde ja das Verschwinden natürlicher Intelligenz viel bedrohlicher als die Zunahme künstlicher Intelligenz.
Police officers are switching off their body-worn cameras when force is used, as well as deleting footage and sharing videos on WhatsApp.
Ach. Ach was. Wenn die einen Abschaltknopf haben, dann schalten sie halt ab, bevor die Kamera inkriminierendes Material aufnehmen würde? Na sowas!1!! (Danke, Markus)
Das solltet ihr also lieber jetzt zuhause oder auf Arbeit erledigen als im Funkloch in einem DB-Zug.
- The NSA listed Cavium, an American semiconductor company marketing Central Processing Units (CPUs) – the main processor in a computer which runs the operating system and applications – as a successful example of a “SIGINT-enabled” CPU supplier. Cavium, now owned by Marvell, said it does not implement back doors for any government.
- The NSA compromised lawful Russian interception infrastructure, SORM. The NSA archive contains slides showing two Russian officers wearing jackets with a slogan written in Cyrillic: “You talk, we listen.” The NSA and/or GCHQ has also compromised Key European LI [lawful interception] systems.
- Among example targets of its mass surveillance program, PRISM, the NSA listed the Tibetan government in exile.
Darauf warte ich ja seit Jahrzehnten, dass das mal rauskommt, dass fremde Geheimdienste "lawful interception"-Schnittstellen anderer Länder abschnorcheln. Das haben wir praktisch von Anfang an gesagt, dass das passieren würde, aber sowas leakt ja normalerweise nicht, wenn es passiert.Insofern: Sehr erfreulich. Oh, und wenn die sagen, sie hätten "Key European LI systems" unter Kontrolle haben, dann dürft ihr dreimal raten, ob damit Deutschland gemeint sein könnte.
Damit ist auch geklärt, ob wir der Presse vertrauen können, uns zu warnen, wenn wir in Gefahr sind. Keine der Presseorgane, die Zugang zu den Snowden-Akten hatten, haben es für nötig gehalten, und das zu sagen, dass unsere Polizei-Abhör-Infrastruktur von amerikanischen Geheimdiensten unterwandert sind.
[$NA][1479274] Critical CVE-2023-4863: Heap buffer overflow in WebP. Reported by Apple Security Engineering and Architecture (SEAR) and The Citizen Lab at The University of Torontoʼs Munk School on 2023-09-06
Wenn The Citizen Lab einen Bug meldet, dann weil sie einen Staatstrojaner reverse engineered haben, und den Exploit in der freien Wildbahn gefunden haben.Aber eigentlich wollte ich an der Stelle folgende Bemerkung loswerden:
Immer diese versifften unsicheren Schrottimplementationen von inkompetenten Anfängern wie ... *akteumblätter* Google!1!!
Sagt mal, seid ihr auch Kunden von der Google-Cloud ? Weil ihr annahmt, dass der Code, den die produzieren, weniger schlecht ist als der von Microsoft oder Amazon? Tja, das war dann wohl nicht so schlau.
Update: Falls das jemand nicht wusste: WebP ist auch in allen anderen Browsern drin. Und in diverser sonstiger Software, die Bilder entgegennimmt oder verarbeitet.
Hätten sie mich gefragt, hätte ich ihnen gesagt, dass dieser Vorfall zeigt, dass das fundamentale, zentrale Versprechen der Cloud nicht eingelöst werden kann:
Dass sich jemand kümmert, der sich mit sowas auskennt, und dann keine Vorfälle passieren.
Ich hätte ihnen gesagt, dass Microsoft dieselbe Software, die sie uns allen als sicher und vertrauenswürdig verkauft, selber einsetzt und darüber nicht nur von ausländischen Geheimdiensten gehackt und unterwandert wird, sondern das auch weiß und daher das Produktionsnetz vom Entwicklernetz zu isolieren versucht hat. Aber dass diese Abschottung inkompetent implementiert wurde und Microsoft offensichtlich nicht einmal rudimentärste Qualitätssicherung durchgeführt hat.
Ich hätte darauf hingewiesen, dass die Software, die bei Ihnen auf den Rechnern läuft, aus genau dem Entwicklernetz kommt, das (wie sich jetzt rausstellt) großflächig von ausländischen Geheimdiensten unterwandert ist. Wenn Sie 2 und 2 zusammenzählen können, sollten Sie das daher schleunigst durch etwas vertrauenswürdigeres ersetzen.
Wenn ich gute Laune gehabt hätte, hätte ich noch darauf hingewiesen, dass Apples Icloud jahrelang Untermieter bei Azure war und daher auch als kompromittiert gelten sollte.
Außerdem hätte ich darauf hingewiesen, dass Microsoft den ganzen Vorfall unter den Teppich zu kehren versucht hat. Wir hätten davon nie erfahren, wenn nicht US-Behörden in ihren zusätzlich eingekauften und extra bezahlten Log-Zugängen Anomalien gesehen hätten.
Kurz gesagt: Microsoft kann das nicht. Microsoft wusste, dass sie das nicht können. Also haben sie uns uns Gesicht gelogen.
Damit haben sie sich in eine traurige Reihe hinter der SPD, der CDU, der CSU und der FDP eingereiht. Die Grünen haben wenigstens nie ernsthaft so getan, als hätten sie von irgendwas Ahnung, mit ihren Bachblüten und ihrem "Elektrosmog".
Update: Ist in Großbritannien.
Update: Da ist nichts gehackt worden. Die Herstellerfirma ist pleite gegangen, die Domain ist ausgelaufen, und die hat sich dann halt jemand gekrallt und macht darauf Werbung für Porno-Apps. (Danke, Holger)
Microsoft Defender for Cloud Apps [...] Microsoft Entra ID premium risk detections in Microsoft Entra ID P2 and E5 licenses [...] Use a managed authentication configuration [...] Connect Microsoft Entra ID data to Microsoft Sentinel [...] options for connecting with the Microsoft Graph Security API
Aber hey, Recht haben sie. Wer so blöde war, seine Firma in die Microsoft-Cloud zu schieben, der ist auch abhängig und gefangen genug, dass man ihm noch weitere Microsoft-Abhängigkeiten reindrücken kann. Und er wird noch dafür zahlen!!
Bankhaus Goldman Sachs: Halbe Milliarde Verlust in Apple-Card-Sparte
Ihren Posten als "Chefökonomin" in der Generaldirektion Wettbewerb soll sie am 1. September antreten. Scott Morton war von Mai 2011 bis Dezember 2012 leitende Wirtschaftsanalystin in der Kartellabteilung des US-Justizministeriums, später arbeitete sie als Beraterin für große Tech-Konzerne wie Apple und Microsoft. Brüssel hat in den vergangenen Jahren Rekordstrafen gegen einige Konzerne verhängt.Damit ist dann jetzt wohl Schluss, denke ich.
Keine Ahnung, wieso der Sonneborn noch auf Twitter publiziert, aber er hat sich dazu dort umfangreich geäußert und das ist auch ohne Twitter-Account lesbar. Verstehe einer die Regeln dort. Wie immer bei Sonneborn alles eine Reihe von Money Quotes. Ich will hier mal eines herausgreifen:
In den Unterlagen zum letzten Treffen des Kollegiums am 11. Juli war die Neubesetzung (wohlweislich) im Anhang eines am Vortag per Email übersandten Dokumentenstapels versteckt, am Ende langer Litaneien zu anderen Themen und einer Reihe anderer, völlig unspektakulärer Neubesetzungen.Das finde ich eine passende Zusammenfassung des Parlamentarismus in der EU, auch in Deutschland. Niemand weiß, was da eigentlich gerade abgestimmt wird. Die eigentlichen Dinge sind schon im Vorfeld "geklärt" worden. Und wir erzählen dann Saudi Arabien was von Demokratie und China was von Menschenrechten. Prost!Der Hauptteil der 26-seitigen Passage zum Posten des Chefökonomen war den zehn abgelehnten Kandidaten gewidmet, unter ihnen etwa der Spanier Juan José Ganuza Fernández. Und die Darstellung von Mortons Vita schließlich kaprizierte sich auf die zu erwartende Muttersprache („Englisch“), während die dazugehörige Nationalität (USA) einfach gänzlich unterschlagen wurde. „Es gab keinen Hinweis darauf, dass sie Amerikanerin war. Wir dachten alle, sie sei Irin“, berichtet ein Hoher Beamter der französischen Libération und versichert, niemand habe eine Ahnung gehabt, worüber da eigentlich abgestimmt wurde. „Wir haben erst auf Twitter herausgefunden, dass wir etwas Inakzeptables akzeptiert hatten“.
Update: Gibt es auch bei Sonneborn auf der Homepage, ohne Twitter.
Fangt ihr am Ende an, euch sicher zu fühlen? Da muss der "Sicherheits"-Apparat schnell etwas tun. Frankreich legt mal vor.
Französische Senatoren machen sich für ein weitgehendes Verbot von TikTok stark. [...] Die Verfasser warnen darin, dass die Plattform eine "Bedrohung für die nationale Sicherheit" darstellen könnte. [...] Diese [Risiken] reichten bis zur "kognitiven Kriegsführung" etwa durch Propagandamaßnahmen der Kommunistischen Partei Chinas.Kognitive Kriegsführung, ja?
Diese Scheiß Extremisten immer! Gesteuert von undurchsichtigen fremden Mächten, wollen sie unsere guten Sitten zerstören und unsere Kinder korrumpieren!
Da hilft nur eines. Mehr Geld für die Geheimdienste, mehr Geld fürs Militär, und Feindsenderverbot. Ab heute wird zurückgeschossen!1!!
Nun, wenn man die Erwachsenen nicht kriegt, dann indoktriniert man halt die Kinder, solange sie sich nicht wehren können!
Ab 2024 soll es keine neuen Kinderreisepässe mehr geben - das hat der Bundestag beschlossen. Ersetzt werden sollen sie durch elektronische Pässe mit längerer Gültigkeitsdauer und mehr Nutzungsmöglichkeiten.Oh yeah, die vielen neuen ... Nutzungsmöglichkeiten!!1! Also nicht für die Kinder, versteht sich. Für den "Sicherheits"-Apparat aus Geheimdiensten, Polizeien und sonstigen Unterdrückungsbehörden.
Aber Fefe, wieso bist du denn schon wieder so schlecht gelaunt? Da steht doch nur was davon, dass sie es für die Kinder besser machen wollen!
Mit der Reform des Pass- und Ausweisgesetzes soll es den Behörden außerdem erleichtert werden, deutsche Sexualstraftäter und Extremisten an einer Ausreise zu hindern - und zwar dann, wenn zu befürchten ist, dass sie im Ausland Straftaten begehen. Wenn bestimmte Tatsachen diese Annahme begründen, erhalten solche Menschen entweder keinen Reisepass, der Pass kann ihnen entzogen oder die Ausreise untersagt werden.Ach. Ach was. Extremisten, sagt ihr? Na sowas.
Update: War ja auch höchste Zeit, dass mal jemand die Klimakleber am Ausreisen hindert. Die sollen bitte schön hier wohnen bleiben, und unter den Auswirkungen dessen leiden, was sie vergeblich zu verhindern versucht haben.
Leute an der Ausreise hindern, das hatten wir seit 1989 nicht mehr. War höchste Zeit, dass diesen rechtsfreien Raum mal jemand beseitigt.
Eine Webcam ist integriert und leistet mehr als bei Apple: Die Auflösung liegt bei 4K, während das Studio Display nur 12 Megapixel schafft.Unter 4k versteht man im Volksmund 3840 × 2160 Pixel. Wenn wir das mal ausrechnen, kommen wir auf 8294400, also 8 Megapixel.
Update: In dem Kontext auch witzig war diese Meldung vom rbb. Und zwar haben die Berliner Unis sich entschlossen, das Semesterticket abzuschaffen, das seit ein paar Jahren Teil der Einschreibung war. Das fanden ein paar FDP-Wähler nicht gut, dass sie "gezwungen" werden, in ein Solidarsystem einzuzahlen, wenn sie doch gar nicht ÖPNV fahren sondern von ihrem Chauffeur hingefahren werden. Und jetzt, wo es das Deutschlandticket gibt, ist der Preisnachlass ihrer Meinung nach zu klein. Aber das haben sie nicht einfach so behauptet. Nein! Dafür haben sie Gutachten von Experten anfertigen lassen!
Um das zu belegen, verweisen viele Studierende auf ein Gutachten, das der Allgemeine Studierendenausschuss (Asta) der TU Dortmund im Frühjahr in Auftrag gegeben hatte. Anwälte bestätigen darin für Nordrhein-Westfalen (NRW), dass die Ersparnis des Semestertickets im Verhältnis zum bundesweiten 49-Euro-Ticket nur noch bei 25 Prozent liegt.
Wer kann denn bitte ohne Gutachten nicht ausrechnen, wie hoch der Preisnachlass ist? Nun, ...
Zwar gebe es insgesamt noch einen Preisvorteil. "Ob der verpflichtende Bezug aber von den Verwaltungsgerichten noch als verhältnismäßig im engeren Sinne gesehen wird, erscheint angesichts der geringen Preisdifferenz durchaus fraglich", so die Juristen.
I rest my case.
Update: Ich bin übrigens zufriedener Deutschlandticket-Kunde, auch wenn ich da gerade mangels Fahrvolumen Verlust mit mache. Die Freiheit, einfach in einen Bus einsteigen zu können, und unterwegs irgendwas angucken zu können, ohne rechnen zu müssen, ob das alte Ticket noch gültig ist, ist Gold wert. Die große Freiheit! Kann ich nur jedem empfehlen.
Update: Hmm, kann man auch anders lesen. Die Asta konnte nicht rechnen und brauchte das Gutachten und Juristen haben das Gutachten geschrieben. Ich würde aber auch unter der Leseweise davon ausgehen, dass die Juristen so komplexe Sachverhalte nicht selber klären in dem Gutachten, sondern da einen technischen Gutachter heranziehen, der Prozentrechnung beherrscht.
Update: Ah, nicht alle. An der FU ist das Semesterticket weiterhin aktiv.
Das fragt ihr euch doch auch, oder?
Nun, hier ist eine kurze Durchsage des Premierministers von Australien dazu:
JOURNALIST: In your experience, do you think that Australians understand the challenges we really face when it comes to cyber security?[...]PRIME MINISTER: [...] We need to mobilise the private sector, we need to mobilise as well consumers. We all have a responsibility. Simple things, turn your phone off every night for five minutes. For people watching this, do that every 24 hours, do it while you’re brushing your teeth or whatever you’re doing.
Gut, dass wir das mal geklärt haben.Wisst ihr was? Wenn das gut für die Sicherheit ist, dann schalte ich gleich mal ab. Und zwar nicht nur 5 Minuten. 10 Minuten!!
Mal ohne Scheiß jetzt: Das ist natürlich so erstmal Blödsinn. Was der sagen wollte, ist dass mal Geräte für Betriebssystemupdates gelegentlich mal booten muss. Üblicherweise fragt einen der Updater dann, ob jetzt genehm wäre, und dann sagt man: Ja. Und zwar sofort, wenn man gefragt wird, sagt man das.
Ab und zu mal eine App neu starten schadet auch nicht, aber nutzt im Allgemeinen auch nichts. Es gibt ein Szenario, wo das nutzen kann, nämlich wenn jemand einen Exploit in die App lädt aber nicht auf Platte schreibt.
Leider wissen die meisten Leute nicht, wie man Apps beendet, weil das nicht Teil des von den Herstellern gewünschten UIs ist. Google und Apple wollen es ja gerade so aussehen lassen, als müsse man sich um derlei Details nicht kümmern. Apps werden im Hintergrund geschlossen und neu gestartet, und speichern ihren Zustand solange im System.
Insofern ist das nicht völlig blöde, sein Telefon ab und zu zu booten. Aber viel wichtiger wäre, dass man alle Updates eingespielt hat. Und DAS macht Google ja schlicht nicht. Absichtlich nicht. Damit ihre "Partner" schön immer wieder neue Android-Schrottgeräte die Pipeline runter drücken können, die Android-Kunden dann kaufen müssen; weil es für das alte Gerät keine Updates mehr gibt.
Wenn wir doch nur eine europaweite Union hätten, die derartig umweltzerstörendes Verhalten verhindern könnte mit Regulierungsbehörden oder so!1!!
Dann kam völlig überraschend raus, dass es auch reguläre Apps betrifft. Die Apps, die Reddit überhaupt erst groß gemacht haben. Reddit hat eine eigene schrottige App gebaut, aber die kann mit den anderen Apps inhaltlich nicht konkurrieren, also klemmt Reddit die anderen Apps jetzt halt unter Ausnutzung ihres Marktmonopols ab.
Daraufhin haben diverse Subreddits angekündigt, aus Protest "schwarz" zu gehen. Das gab es schon häufiger, hat nie lange gehalten. Dementsprechend hat der Reddit-CEO dann eine Mail rumgeschickt intern, dass die Leute mal ein paar Tage ihre Reddit-Logos auf Kleidung und Taschen und Laptops verstecken sollen, und in ein paar Tagen ist der Spuk vorbei. Wir sitzen das jetzt aus.
Die Mail leakte. Das hat die protestierenden Subreddits angefeuert, den Protest noch nicht einzustellen.
Und jetzt? Jetzt haben Leute beobachtet, dass Reddit undelete auf alte gelöschte Inhalte macht, d.h. löschen war bei denen nicht löschen sondern "als gelöscht markieren".
Außerdem geht das Gerücht um, dass Reddit widerspenstige Moderatoren entmachtet.
Hier sieht man mal wieder, wieso es eine schlechte Idee ist, eine kommerziellen Firma eine Plattform stellen zu lassen. Das ist bisher noch immer ein Reinfall geworden, so halt jetzt auch hier.
Die Situation wird sich auch nie verbessern, solange ihr solchen Plattformen Macht gebt, indem ihr ihnen eure Inhalte und Aufmerksamkeit schenkt.
Update: Noch kurz zur Einordnung. Der Inhalt bei Reddit kommt von unbezahlten Usern, von denen Reddit am besten noch Geld haben will jetzt. Die Moderation und damit die Wertschöpfung kommt von unbezahlten Moderatoren, die sagen, dass das nur mit 3rd party Apps zu leisten ist, und von denen Reddit jetzt auch noch Geld haben will. Das Geld kassiert Reddit, die außer ein paar ranzige AWS-Dienste zu mieten und Firmen Werbung einblenden zu lassen keine Leistung erbracht haben.
Wie ein Hohn muss einem da diese Aussage des CEO von Reddit vorkommen:
It's time we grow up and behave like an adult company
Wie, ihr wollt jetzt anfangen, eure Mitarbeiter zu bezahlen? Whoa whoa whoa, ruhig Brauner! Nun wollen wir hier mal keine absurden Ideen in die Welt setzen!1!!
Demnach soll der Tatverdächtige am 11. März 2023 in seiner Wohnung eine 35-jährige Kollegin mutmaßlich mit K.-o.-Tropfen betäubt und sie auf einer Dating-Plattform zur Vergewaltigung angeboten haben.Wie so häufig rettet uns, dass Kriminelle im Allgemeinen ein bisschen doof sind:
Nach Informationen des Tagesspiegels soll es sich um die Plattform „Grindr“ handeln – eine App für Gay-Dating. Auch die Ermittler sind verwundert, warum der Polizist diese App wählte.Ja komm, hatte er das Tab halt noch offen!1!!
Ich weiß ja nicht, wie es euch geht, aber ich fühle mich adäquat beschützt. Genau die richtige Charakterstärke, die man für den Job braucht. Glaubt nicht mir, glaubt der Staatsanwaltschaft!
Gegen den 36-Jährigen sei kein Haftbefehl erlassen worden, da keine Fluchtgefahr bestehe.Der war nämlich früher beim Mobilen Einsatzkommando, und da kommt nicht jeder rein:
Einige Voraussetzungen: „charakterliche Festigkeit und Besonnenheit“ und „ausgeprägte Teamfähigkeit“.Ja gut, die Teamfähigkeit kann man ja wohl kaum in Abrede stellen. Er hat sofort an seine Freunde gedacht, als er die betäubte Kollegin vor sich liegen sah!1!!
Nehmt nur Barracuda. Die bauen "Email Security Gateways". Allerdings so schlecht, dass die reihenweise gehackt wurden.
Wenn man kurz einhält und sich fragt, was die zentrale Sicherheitszusage eines "Email Security Gateways" ist, dann fällt einem schnell auf, dass es das Netz vor Angriffen schützen soll, das heißt mindestens nicht selber hackbar sein darf.
Nicht nur kann Barracuda keine sicheren Appliances bauen, wie man an diesem Vorfall schön sieht. Sie sind auch nicht in der Lage, das ohne externe Hilfe zu bemerken (es brauchte einen externen Hinweis) oder aufzuklären (sie brauchten die Heißluftgebläse von Mandiant). Und jetzt der neue Rekord: Sie sind auch nicht in der Lage, gehackte Geräte wiederherzustellen.
Barracuda’s remediation recommendation at this time is full replacement of the impacted ESG.
Wegschmeißen! Dem kann ich mich nur anschließen. Einem Hersteller, der eine Security Appliance verkauft, die gehackt werden kann, sollten man sofort alle Artefakte aus allen zugreifbaren Netzen rausschmeißen.Aber diese Meldung ist auch in anderer Hinsicht toll. Ein hocharomatisches Geschmackserlebnis für alle Security-Interessierten!
The vulnerability stemmed from incomplete input validation of user supplied .tar files as it pertains to the names of the files contained within the archive.
Wenn du Dateien auspackst, um auf Malware zu scannen, hast du im Wesentlichen EINEN JOB: Nicht von komischen Dateinamen im Archiv verarschen lassen.Aber wartet, wir noch krasser.
Consequently, a remote attacker could format file names in a particular manner that would result in remotely executing a system command through Perl's qx operator with the privileges of the Email Security Gateway product.
Perl! Der externe Kommandos ausführen darf! Und der auch noch mit den maximalen Zugriffsrechten läuft!Mir fällt gerade kein Weg ein, wie sie noch krasser verkacken könnten. Wer von so einem Laden Security-Produkte kauft, hat alles verdient, was ihm danach deswegen zustößt.
Update: Mit "Appliance" ist hier nicht zwingend ein Gerät gemeint, sondern kann auch ein VMware-Image sein. Elektroschrott entsteht also immerhin nicht notwendigerweise beim Wegwerfen.
Erstens: Apple hat ohne große Ankündigung ein DirectX12-Emulationslayer ausgeliefert, wenn ich das richtig verstehe. Damit könnte man dann zumindest theoretisch Windows-Spiele einfach so auf Apple-Hardware spielen. Damit stehen sie natürlich auf den Schultern von Open-Source-Giganten, die auch schon DXVK und co im Angebot haben. Valve hat Millionen in DirectX-Emulation in Wine gesteckt. Da wird sich Apple einfach mal bedient haben.
Erwähnenswert ist das aus zwei Gründen. Erstens haben sie wohl einen großen Patch an Wine zurückgeschickt. Die GPL funktioniert also!
Zweitens sind ja in den M1 und M2-ARM-Geräten angeblich sehr gute GPUs drin, die es mit gehobenen Mittelklasse-GPUs auf PCs aufnehmen können. Konnte man nur nie sinnvoll nutzen, weil es keine erwähnenswerten Spiele für Apple gab. Es könnte also sein, dass die wirtschaftlich eh schon darbenden GPU-Hersteller jetzt auch noch von Apple Stress kriegen.
Die andere Ankündigung war, dass Apple überraschend in Safari plötzlich JPEG XL unterstützt. Ich bin ein Fan von JPEG XL und war sehr ungehalten, als Chrome und Firefox das abgekündigt haben, obwohl das größte Argument gegen die Unterstützung schon vom Tisch war: Dass das viel Arbeit ist. Die war schon getan.
Jetzt habe ich Hoffnung, dass Chrome und Firefox ihre hirnrissige Abkündigung zurücknehmen und wir doch noch alle JPEG XL bekommen.
New hotness: Russische Behörden regen sich über Malware aus den USA auf.
Und zwar will der FSB zusammen mit dem FSO (Präsidentenschutz) Apple-spezifische Malware gefunden haben, und behauptet jetzt, Apple habe auf Geheiß der NSA bewusst Lücken eingebaut, damit die NSA darüber Malware verbreiten kann.
Beweise legen sie keine vor.
Vor ein paar Wochen: Whole Foods schließt ihren Laden in San Francisco wegen "employee safety concerns". Oh und zu vielen Raubdelikten.
Jetzt so: Nordstrom schließt beide Läden in Downtown San Francisco. Sie bleiben unkonkret, aber der Betreiber der Mall, in dem einer der Läden war, sagt folgendes:
"A growing number of retailers and businesses are leaving the area due to the unsafe conditions for customers, retailers, and employees, coupled with the fact that these significant issues are preventing an economic recovery of the area," the statement said.The mall's owner went on to say that it had expressed serious concerns to city leaders for many years and "urged the city to find solutions to the key issues and lack of enforcement against rampant criminal activity."
Was ist denn da bitte los? Whole Foods ist sowas wie eine Bioladen-Kette. Das Essen da ist vergleichsweise teuer, deren Läden sind eher nicht in heruntergekommenen Gegenden. Nordstrom ist eine Bekleidungskette, vielleicht vergleichbar mit C&A. Normalerweise würde man denken, dass sich Kriminalität erstmal bei Juwelieren und Apple Stores und sowas zeigt.Ich fühlte mich spontan an Escape from L.A. erinnert. Weia.
Update: Hierzu sind viele Leserbriefe reingekommen. Die einhellige Erklärung ist: Proposition 47 ist Schuld. In Kalifornien gibt es Volksentscheide, was wohl auch gerne mal nach hinten losgeht. In diesem Fall war der Volksentscheid, dass die Knäste ja eh völlig überfüllt sind, Leute einknasten teuer ist, und wir viele Obdachlose hier in Kalifornien haben, also sollten wir mal aufhören, Mundraub als Straftat zu verfolgen, dann haben wir auch wieder Cops für echtes Verbrechen übrig. Das ist angenommen worden, vor fast zehn Jahren sogar schon. Es gab schon vorher eine Schranke: Ab 450 Dollar Warenwert ist das eine Straftat. Das hob dieses Proposition auf 950 Dollar an.
Je nach Erzähler gibt es auch noch einen Identity Politics-Winkel, weil die meisten geschnappten Ladendiebe Schwarze oder Latinos waren, und da hätten dann die üblichen verstrahlten (ich paraphrasiere mal und übertreibe dabei ein bisschen) Antirassisten gefunden, dass die Verfolgung von Ladendiebstählen von Minderheiten ungerecht sei und daher sollte man das nicht mehr machen.
Ein dritter Winkel ist, dass offenbar einmal bei einem Raub in einem Supermarkt (?) ein Kassierer erschossen wurde, und seit dem die Lädenbetreiber ihren Mitarbeitern sagen, sie sollen die Diebe lieber gehen lassen.
Was davon stimmt und was nicht? Keine Ahnung. Aber das Narrativ mit den Schwarzen passt geradezu optimal in Wahlkampflügen der Republikaner. Die Geschichte mit dem erschossenen Kassierer passt gerade optimal in europäische Vorurteile über die bekloppten Amis und ihre Schusswaffen. Proposition 47 ist jedenfalls echt. Die Kriminalitätsstatistik zeigt insgesamt einen Rückgang von Verbrechen an, bis auf Morde, das steigt. Allerdings kann das auch daran liegen, dass Ladendiebstähle jetzt halt nicht mehr als Verbrechen zählen.
Jedenfalls passt die 950-Dollar-Grenze wunderbar zu meiner Frage, wieso die nicht Juweliere und Apple-Läden ausrauben. Damit wären sie dann darüber.
Update: Übersetzungsfehler meinerseits. Das sind keine Ordnungswidrigkeiten sondern Vergehen und damit technisch gesehen noch Straftaten. Nur halt welche, die in der Praxis anscheinend nicht verfolgt werden, und man gilt dann nicht als vorbestraft.
Erstens: Nitrokey verbreitet, dass der Qualcomm-Chipsatz deine privaten Daten in die Cloud hochlädt.
Das ist Blödsinn. Der Cloud-Kontakt von dem Qualcomm-Chipsatz ist das Runterladen des GPS-Almanachs. GPS funktioniert so, dass Satelliten Signale schicken, und du kannst dann deine Position ausrechnen, wenn du die Signale siehst, und weißt, wo die Satelliten gerade waren. Im Signal ist ein Timestamp, mit dem du sehen kannst, wie lange das Signal unterwegs war. Jetzt musst du nur noch wissen, wo die Satelliten sind, und da deren Laufbahnen ständig nachkorrigiert werden, sind das keine statischen Daten. Die Positionen stehen in einem sogenannten Almanach, und den lädt Qualcomm halt alle zwei Wochen oder so aus der Cloud nach.
Dass das über HTTP geht, kann man kritisieren. Aber was Nitrokey hier verbreitet überschreitet die Grenze der grotesken Inkompetenz und sieht für mich nach mutwilliger Irreführung aus.
Zweitens: Heise verbreitet, dass Google Authenticator deine Zwei-Faktor-Seeds in die Cloud backupt und dabei nicht Ende-zu-Ende-Krypto einsetzt.
Analysieren wir doch mal die Situation. Wir haben hier ein Cloud-Backup "im Klartext", d.h. der Typ in der Cloud kann die Daten einsehen. Der Weg zur Cloud ist TLS-verschlüsselt, und Google spricht jetzt davon, dass die Daten auch verschlüsselt bei ihnen abgelegt sind. Das ist natürlich ekelhafte Irreführung, denn damit meinen sie Platten-Krypto. Das schützt gegen "jemand bricht bei Google ein und klaut die Platten". Es schützt nicht gegen "jemand bricht bei Google ein und kopiert die Daten". Das ist das Szenario, vor dem man hier Sorgen haben sollte, und da hat Heise einen Punkt, dass das ein Problem ist.
Auf der anderen Seite läuft auf deinem Telefon Google-Software. Das Google-Android schützt deine Seeds auf dem Telefon vor dem Zugriff anderer Apps und verhindert Netzwerk-Kommunikation der Google Authenticator App. Wenn dein Bedrohungsmodell also ist, dass jemand bei Google einbricht und dort böse Dinge tun kann, dann hast du eh schon komplett verloren, weil derjenige dir auch ein böses Android-Update schicken kann, das deine Seeds auf Facebook postet oder bei Github hochlädt oder so.
Was hätte man besser machen können? Man könnte das Backup mit einem Schlüssel verschlüsseln, den Google nicht kennt. Allerdings muss diesen Schlüssel halt dein Telefon kennen, sonst kann es ja nicht die Daten damit verschlüsseln, und die Software auf deinem Telefon kommt von Google. Die Forderung hier ist also gerade, dass Google deine Daten vor Google schützt. Das klingt nicht nur bekloppt, das ist bekloppt.
Zusammenfassend: Ich würde nie meine Daten zu Google (oder sonstwo) in die Cloud backuppen oder auch nur mein Windows an einen Microsoft-Account binden. Aber selbst mit dieser paranoiden Grundeinstellung bin ich machtlos, mich auf einem Android-Telefon gegen böse Updates zu wehren.
Insofern: Ist das ein Problem? Ja. Aber ein weitgehend akademisches. Mit "E2E" (passt in diesem Szenario eigentlich nicht, weil beide Enden du selbst bist) würde man sich gegen ein Szenario schützen, wo ein Einbrecher es innerhalb von Google bis zu dem Backup-Storage schafft, aber nicht die Updates kompromittiert kriegt. Ist das sonderlich realistisch? Müsst ihr selbst beurteilen. Aus meiner Sicht sieht das nach "Sommerloch bei Heise" aus. Wenn du mit Firmen wie Microsoft oder Google überhaupt kooperierst, hast du schon direkt ziemlich komplett verloren. So zu tun als gäbe es da Graustufen und man hätte aber eigentlich doch noch Reste von Kontrolle ist aus meiner Sicht Augenwischerei.
Ist 2FA damit vollständig Bullshit? Ich bin grundsätzlich kein Freund von 2FA, weil das im Wesentlichen nur einen Zweck erfüllt: Eine Beweislast- und Schuldumkehr von Google zu mir. Vorher: Mein Google-Account wird gehackt? Google war Schuld. Nachher: Mein Google-Account wird gehackt? Ich bin Schuld.
Wieso würde ich da mitspielen wollen? Sehe ich nicht ein.
Aber WENN man schon 2FA macht, dann zwischen konkurrierenden Firmen. Wenn Microsoft 2FA erzwingt, dann generiere das Token unter Android. Wenn Google 2FA erzwingt, generiere das Token unter Windows oder Linux oder sonstwo, wo Google nicht rankommt. D.h. dann auch: Wo kein Chrome läuft!
Der ganze postulierte Sicherheitsgewinn von 2FA kommt daher, dass Username+Passwort und Token nicht an derselben Stelle abgreifbar sind. Das muss man dann auch sicherstellen. Wenn du also Google Authenticator verwendest, dann darfst du dich von dem Android aus nie in den Account einloggen, sonst kann Google auch Username+Passwort sehen (über die Keyboard-App u.a.).
Update: Hat der Fefe gerade argumentiert, dass man Cloud-Backup nicht verschlüsseln muss? Nein! Das ist grundsätzlich eine gute Idee. Da gibt es gute Gründe für, Backups immer zu verschlüsseln, auch wenn das Backup lokal ist. Nehmen wir an, eine der Platten geht kaputt und du willst die entsorgen. Wenn die Backups verschlüsselt waren, kannst du die einfach wegschmeißen (der Schlüssel darf dann natürlich nicht daneben liegen). Wenn die Backup-Infrastruktur komplett nur verschlüsselte Daten sieht, kannst du da unvertrauenswürdige Infrastruktur einsetzen (z.B. ein SMB-Share, NFS, Cloud-Storage, whatever). Da kann dann nichts absichtlich oder versehentlich leaken. Wenn die Software Temp-Files rumliegen lässt oder Daten im RAM cached, dann musst du dir keine Sorgen machen.
Aber die Gelegenheit war günstig, mal zu zeigen, wie man so eine Risikoanalyse in der Praxis machen sollte. Mein Argument war nicht, dass Backup-Crypto nicht notwendig ist, sondern dass Google auch mit Backup-Crypto an deine Daten rankommt und daher die Auswirkungen nicht so groß sind wie man erstmal instinktiv annehmen könnte.
Es gibt noch ein Argument für E2E-Krypto in diesem Fall. Wenn jemand bei Google deine Daten abgreifen will, kann der im Moment entweder dir ein böses Update schicken oder deine Backups abgreifen. Die Risiken sind additiv. Wenn du die Backups ordentlich verschlüsselt hast, bleibt zwar der andere Teil des Risikos bestehen, aber dieser Teil fällt weg. Hilft halt nichts gegen "der CEO / das FBI verlangt Zugriff auf deine Daten", und das ist der Fall, der mir persönlich mehr Sorgen machen würde.
Update: Ja aber Fefe, muss ich mir für meinen Google-Account ein Iphone kaufen, damit das 2FA auf einem anderen Gerät als dem Android läuft? Nein. Für sowas kann man auch FIDO2-Tokens nehmen, von Yubikey oder so.
Ich halte das für ein krasses Fehlurteil, das weiteren Kundengängelungen von Apple und anderen Firmen Vorschub leisten wird. Das ist ja inzwischen praktisch industrieweit das Standardverhalten, die Leute erst in eine Abhängigkeit zu treiben und dann auszunehmen wie Weihnachtsgänse. Google hat ähnliche Abzockgebühren in ihrem Play Store.
Aber auch sonst geht der Trend klar in die Richtung. Adobe hat irgendwann angefangen, ihre Software nur noch zu vermieten, das sehe ich auch als Teil dieses Trends. Microsoft versucht ja auch mit der Brechstange allen Kunden Cloudaccounts aufzunötigen, damit man dann im nächsten Schritt Produkte wie Office nur noch zur Miete anbieten kann.
Diese ganze Nummer ist aus meiner Sicht eine einzige Anklage für den libertären Fiebertraum, dass der Markt das schon regeln werde.
Und was sieht man, wenn man reinguckt? Ich hab mal kurz auf das erste Dokument geguckt, ScanV_4. Auf Seite 15 sehen wir da Java-Code, der eine Datei "verschlüsselt", indem er XOR mit dem Passwort macht.
Da kann ich das ganze Ding direkt zumachen. So macht niemand Verschlüsselung, der mehr als Kindergarten-Niveau Kontakt mit dem Thema hatte.
Ich hab keine Angst vor diesen Leuten. Viel tiefer kann man in Krypto-Fragen nicht ins Klo greifen.
Ich muss euch aber auch sagen, dass ich ansonsten nicht viel Grund sehe, wieso ich diese Dokumente durchgucken sollte. Die Angriffsoberflächen und Risiken unserer Systeme sind wohl untersucht und bekannt. Welche Art von Daten man sehen und korrelieren kann, ist auch bekannt. Was man tun müsste, um weniger angreifbar zu sein, ist auch bekannt.
Was für Überraschungen gibt es denn, an denen ich Interesse hätte? Die könnten neue Angriffsarten gefunden haben, oder sie könnten bisher unbekannte Lücken in Systemen gefunden haben. Das war's. Daran hätte ich Interesse.
Beides ist hier nicht zu erwarten, und nicht nur wegen der "XOR-Verschlüsselung". Die Dokumente da scheinen Handbücher zu sein (das sage ich ganz oberflächlich angesichts des Layouts, ich habe das nicht zu übersetzen versucht). Da würde man keine 0days dokumentieren, denke ich.
Was könnte da noch drinstehen, was andere Leute interessante fänden? Die könnten da ihre C&C-Protokolle dokumentieren. Finde ich absolut uninteressant. Interessiert mich nicht die Bohne. Mich interessiert, wie man verhindern kann, dass die Ransomware überhaupt aufs System kommt, nicht wie das dann nach Hause telefoniert.
Wieso lese ich diese Dokumente jetzt nicht, um nach den Dingen zu suchen? Weil das echten Nachrichtenwert hätte. Davon hätten wir gehört. Oder wir würden davon hören, wenn das jemand noch findet. Die Wahrscheinlichkeit dafür ist zu gering, als dass ich jetzt tausende von Seiten durchgucke.
Bisschen oberflächlich reingucken kann man mal machen, da findet man dann in dem scanv_1.pdf z.B. eine Sektion, wie man bei einem Brand der Appliance den Feuerlöscher auf die Oberfläche und nicht die Flamme in der Luft lenken soll. In dem amezit.pdf sehe ich Compliance-Blablah, was für Tests durchgeführt werden, um festzustellen, ob das System läuft. *gähn*
Das krystalv2.pdf redet darüber, wie sie das Lecken von Staatsgeheimnissen durch organisationellen Aufbau vermeiden wollen. Schon interessanter, aber das ist auch wohlverstanden und untersucht im Westen. Da erwarte ich jetzt keine neuen Einblicke.
In sandworm.pdf geht es offenbar um Protokolle zwischen den Scannern und Backend. Interessiert mich auch überhaupt gar nicht. Mich interessiert, wie ich das System so baue, dass der Scanner nichts findet. Weiter unten sind dann die üblichen Stichwörter. Die machen einen Portscan und gucken nach CVEs. Wenn man bei euch mit einem Port- und Bannerscan CVEs finden kann, dann habt ihr alle Ransomware verdient, die ihr euch einfangt.
Meine Methodologie war, die Dokumente aufzumachen, zufällig auf eine Seite zu springen, einen Absatz in deepl zu pasten, und dann zu gucken, was der übersetzt.
Dass andere Länder solche Programme haben, ist seit Jahren bekannt. Wir haben sowas schließlich auch, minus hoffentlich der Ransomware. Aber unsere Behörden finden auch, dass sie in offensive Security investieren sollten. Was dachtet ihr denn, was das in der Praxis heißen würde?
Das Ganze hat Konsequenzen: Eine Reihe von Firmen (Mittelstand, aber auch ein großer Konzern) mit denen ich gesprochen habe, laden für fachlich herausfordernde Positionen keine deutschen Bewerber mehr ein (Ausnahmen auf Empfehlung hin mal ausgenommen). Es werden sehr viele Kandidaten aus dem post-sowjetischen Raum geholt, die eine hervorragende Mathematik-Ausbildung haben. Diese werden dann in kürzester Zeit auf den Stand gebracht, der in der Firma benötigt wird. Eine gute Machematik-Ausbildung ist ein so gewaltiger Wettbewerbsvorteil, dass Bewerbungen aus Deutschland postwendend zurück geschickt werden.Macht ja nichts. Man kann ja immer noch Jurist werden. Oder Bankster.
Mein persönliches Highlight in die Richtung war ja neulich diese Bloomberg-Story. Ist alles Paywall, aber Überschrift und Anreißer reichen schon:
$335,000 Pay for ‘AI Whisperer’ Jobs Appears in Red-Hot MarketThe fast-growing apps have created a seller’s market for anyone — even liberal arts grads — capable of manipulating its output.
EVEN LIBERAL ARTS GRADS!!1! (Liberal Arts sind Geisteswissenschaften)Daher investieren die gerade alle wie Sau in "KI". Die KI pumpt eine Packung Bescheiß-Text raus und der Mensch ist dann nur noch zum Unterschreiben und Absenden-Klicken da.
Apropos KI (ich mach jetzt mal eine Adam Curtis-Style Kollage). Da gab es ja kürzlich einen offenen Brief, der die "KI"-Branche zu einem halben Jahr Moratorium aufforderte. Unterschrieben von lauter alten Hasen, lauter Professoren aus dem Feld und Promis wie Elon Musk und Steve Wozniak. Da sprangen dann natürlich sofort die üblichen Apokalyptiker auf. Falls ihr da jetzt sowas wie Hoffnung entwickelt: Hier ist der eigentliche profane Hintergrund. Die warten eh alle auf die neue Hardware-Generation. Innovation gibt es da ja schon länger nicht mehr, immer nur "was wenn wir NOCH MEHR Hardware draufwerfen?"
Ich möchte an der Stelle nochmal darauf hinweisen, dass "KI" ala GPT-4 keine KI ist, weil es da keine Intelligenz gibt. Das ist ein Trickbetrüger, diese KI. Deren Output basiert nicht auf Verständnis und wird nicht darauf optimiert, inhaltlich korrekt zu sein. Das wird darauf trainiert, von Laien für plausibel gehalten zu werden. Laien, die nicht die Finger zählen und nicht Fake-Referenzen hinterherlaufen. Leute, denen nicht auffällt, dass die Kette des generierten Papst-Bildes nur auf einer Seite eine Kette hat. Das ist nicht künstliche Intelligenz. Das ist künstliche Trickbetrügerei. Das sieht man ja auch super an den Finanziers, die vorher Uber Geld gegeben haben. Und man sieht es daran, in welchen Ländern dieser Scheiß super ankommt. Das sind die Länder, in denen es keine brauchbare wissenschaftliche Grundausbildung gibt. Die USA. Und Deutschland.
Vor der nächsten Schulstunde kramt Flavia Brunner, die eigentlich anders heisst, ihr Mobiltelefon hervor. Seit Samstagabend blickt die 32-jährige Lehrerin häufiger auf ihre Trading-App als auf ihre Uhr. Letzte Woche hat die Kleinanlegerin für knapp 6000 Franken Aktien der Credit Suisse gekauft. Tiefer als die 1 Franken 90 werde der Kurs nicht fallen, dachte sie. Doch sie hat sich getäuscht.Habt ihr das gesehen? Eine 32-jährige Lehrerin (!!) kann sich leisten, für höhere vierstellige Franken-Beträge Aktien zu kaufen!!Am Montag leuchtet Brunners Handy blutrot. Minuszeichen dominieren den Bildschirm. «Credit Suisse bei 78 Rappen», lautet die Schlagzeile in ihrer App. Die junge Frau sagt: «Ich habe mich verzockt.»
Könnt ihr euch das hier in Deutschland vorstellen? Ich nicht!
Aber wartet, geht noch weiter:
«Es geht mir nicht um mein Geld, darauf kann ich verzichten», sagt Brunner.Da krieg ich vor Schock ne Hirnblutung, wenn ich das lese. Eine Lehrerin Anfang 30 kann sich ein Aktienpaket für 6000 Franken leisten, und sagt dann ernsthaft, auf das Geld könne sie auch verzichten?!?
Da sieht man: Die Schweiz ist ein Paradies. Himmel auf Erden. Völlig undenkbare Zustände dort.
Passt auf, am Ende haben die Schulen da auch noch ausreichend Klopapier und Unterrichtsmaterialien!
Das würde man in Deutschland nicht mal als Science-Fiction-Film drehen. Viel zu unrealistisch. Das nehmen uns die Zuschauer NIE ab!
Prior Art 1: Mit einer "KI" erkennen, welche Teile einer Konfigurationsdatei Keywords und welche variable Werte sind. Dann Konfigurations-Fuzzing!
Prior Art 2: In Echtzeit Konfigurationen unternehmensweit durchrotieren, so dass die Funktionalität bestehen bleibt, aber ständig andere Parameter nötig sind für die Inanspruchnahme von Diensten. So reduziert sich die Angriffsoberfläche automatisiert und man belästigt Exploiter!1!!
Prior Art 3: Auf Mobiltelefonen haben Apps einen serialisierten State, den sie dem System sagen, und anhand dessen sie in genau denselben Zustand wiederhergestellt werden können. So kann man eine App killen und später neustarten, ohne dass für den Benutzer erkennbar ist, dass die App in der Mitte weg war. Das könnte man auch auf Servern machen! Dann in der Mitte des Unternehmens einen Orchestrator haben, der ständig Dienste killt und neu startet mit dem State, vorher meinetwegen dafür sorgt, dass die solange aus dem Load Balancer genommen werden. So verhindert man, dass irgendwo ein Angreifer Schadcode injected hat.
Prior Art 4: Antivirus / Firewall / AI based anomaly detection für den hinterlegten State. Observability. Einmal das ganze Programm!!1!
Prior Art 5: Serviceangebot: Wir fahren Angriffe auf Ihr Unternehmen, aber nicht um Schwachstellen zu finden, sondern damit Ihre "KI" Anomalien zum Trainieren hat!1!!
Hat noch jemand brillante Ideen, bei denen man den Patentanwälten mal in den Pool pinkeln müsste?
Update: Ein paar Kumpels meinen, Prior Art 3 werde jetzt schon so gemacht. Man nenne das "Rejuvination". Einer meinte gar, das sei bei der Mondlandung so gemacht worden.
Update: Aus Prior Art 1 könnte man auch noch eine Firewall und Anomaly Detection "erfinden".
Update: Prior Art 6: Bei der Passwortrücksetzung könnte man einen KI-Chatbot haben, der vorher schon mit dir gechattet hat, und dich dann wiedererkennt anhand früherer Konversationsthemen und -Meinungen. Quasi sowas wie Schrittmustererkennung, nur halt für Textchat!
Prior Art 7: Eine KI benutzt das über dich vorhandene Wissen aus dem Netz, um Kandidaten für die Sicherheitsfrage zu bewerten (abzulehnen) bei der Accountregistrierung.
Prior Art 8: KI-assistierte Partnersuche. Die KI matcht Leute, die online über dieselben Dinge und Leute Hatespeech verbreitet haben.
In der EU soll mit Hilfe von Quanten-Kryptografie ein hochsicheres Kommunikationsnetz entstehen. Die Arbeit dafür leitet die Deutsche Telekom.Da kannste eigentlich direkt zu lesen aufhören. Aber seid mal tapfer und bleibt dran.
Die EU-Kommission strebe ein "Quanteninternet" an, das Quantenprozessoren und -sensoren miteinander verbindet und eine EU-weite verteilte Quantencomputer- und -kommunikationsfähigkeit ermöglicht.Oh. Quantenprozessoren und -sensoren, ja?
Unterdrückt mal den sich hier direkt einstellenden Facepalm- und Tab-Schließ-Reflex. Geht noch weiter.
Ja, ich weiß. Quantensensoren und Quantenprozessoren. ICH WEISS. Haltet durch!
EuroQCI soll Verschlüsselungsmethoden aus der Quantenphysik nutzen und ein wichtiger Pfeiler für ein sicheres europäisches Kommunikationsnetz werden, erläutert die Telekom.Ach komm. "Verschlüsselungsmethoden aus der Quantenphysik". Nee, so blöde ist selbst die Telekom nicht, so einen Stuss zu schreiben. Unter Quantenkryptographie versteht man keine Verschlüsselungsmethode sondern eine Schlüsselaustauschmethode. Wenn jemand von "Verschlüsselungsmethoden aus der Quantenphysik" redet, hat der sich direkt als Scharlatan gebrandmarkt. gut, von der Telekom kann man in Sachen Kryptographie nichts erwarten, aber SO eine krasse Blöße geben selbst DIE sich nicht. Oh, da ist ein Link dran. Gucken wir doch mal.
EuroQCI wird Verschlüsselungsmethoden aus der Quantenphysik nutzen und ein wichtiger Pfeiler für ein sicheres europäisches Kommunikationsnetz.Wie sich rausstellt: Doch. Die Telekom würde sich so eine Blöße geben. Würde nicht nur. Hat.
Halt! Wartet! Geht noch weiter!
Eine wichtige Nutzergruppe von EuroQCI werden Regierungsbehörden sein, die für die Übermittlung vertraulicher Informationen ein besonders hohes Maß an Sicherheit benötigen.Das ist nicht völlig von der Hand zu weisen. Immerhin wissen wir seit Snowden, dass die Amerikaner uns komplett abgehört haben, und wo sie selbst nicht rankamen, haben sie die Briten vorgeschickt und die haben uns dann abgehört. Die Briten sind ja jetzt nicht mehr in der EU. Es gäbe also die Chance, hier mal ein System zu bauen, in dem weder die Amerikaner noch die Briten beteiligt sind. Wenn die Telekom beteiligt ist, wird das wahrscheinlich nichts, aber es wäre immerhin eine verteidigbare Idee. Grundsätzlich.
Schauen wir doch mal bei der ESA, wer da die Umsetzung machen wird.
ESA is developing QKDSat with private partner ArQit, a British quantum key distribution services operator.
Mit den Briten! So, jetzt könnt ihr den Facepalm machen und das Tab angewidert schließen. Blöder geht wirklich nicht. Mir als Zyniker fällt jedenfalls kein Weg ein, das noch gewaltiger zu verkacken. (Danke, Nicolai)
Heute so: BP macht Monsterprofite. So viel Profit, dass sie still und heimlich ihre "green targets" zurückgedreht haben. Aber die waren ja eh nur PR. Da hat hoffentlich niemand etwas anderes erwartet.
Diese Ölfirmen müssen zerschlagen werden. Appeasementpolitik wird den Klimawandel nicht aufhalten.
Beim Truppenversuch der modifizierten Hololens 2 für die US-Armee hat sich herausgestellt, dass die Soldaten an Kampfkraft einbüßenDas ist ja wie Windows, Office und Teams!
Aber wir sind halt Lemminge. Wenn wir alle anderen Windows benutzen sehen, dann machen wir das auch. Oder Apple, je nach Peer Group. Und alle reden sich ein, es sei jetzt besser als vorher.
Das ist bemerkenswert, denn Threema hat bereits mehrere Audits hinter sich. Die haben aber offenbar eher auf Code-Qualität als auf die Protokolle geguckt, jedenfalls haben die diese Probleme nicht gefunden.
Threema hat in der Zwischenzeit ein neues Protokoll ausgerollt, das Forward Secrecy für die E2E-Krypto schaffen soll. Das war aber noch nicht Teil dieses Audits, kann also auch noch Probleme dieses Kalibers haben.
Sehr schön finde ich, dass hier wirklich ein Audit des Protokolls durchgeführt wurde, nicht bloß jemand einen Fuzzer laufen gelassen hat, wie es heute üblich zu sein scheint, besonders in akademischen Umgebungen, wo man so schnell und leicht Papers und Aufmerksamkeit generieren kann.
Ich mag auch die Lessons Learned von dem Team, u.a. "ordentliche Crypto-Libraries wie NaCl nehmen macht noch kein sicheres Protokoll". Und dann kommt folgende Lektion, die ich sehr wichtig finde:
Proactive, not reactive security: our inability to find an attack on a protocol does not imply it is secure. New attacks could be found at any moment and known attacks only get stronger over time if left unaddressed. Often, secure systems and protocols follow a design-release-break-patch process (a reactive approach). This is inconvenient for users and often requires the maintenance of backwards compatibility. Developers should instead adopt a proactive approach, where the system or protocol is formally analyzed during the design stage.
Ob nun formale Beweisführung hilft, sei mal dahingestellt. Ich bin da eher zurückhaltend in meinen Erwartungen, denn wenn der Beweis komplexer ist als das Protokoll, wieso trauen wir dann dem Beweis, wenn wir dem Protokoll nicht getraut haben?Aber dass man Dinge vielleicht mal vor dem Release ordentlich machen sollte, und nicht diesen agile "ja klar ist es Scheiße aber wir patchen dann halt die übelsten Wunden im Feld nach" hat jetzt meiner Meinung nach echt genug Schaden angerichtet und kann mal in Rente gehen.
Wenn ihr Papers lesen könnt, lest nicht nur die Webseite sondern auch das Paper. Die kryptografischen Fehler, die die gemacht haben, sollten alle in ihr Repertoire aufnehmen, damit die niemand nochmal macht. Threema hat eine Stellungnahme veröffentlicht, die so defensiv geschrieben ist, dass sie es schafft, den Laden noch schlechter aussehen zu lassen als er eh schon rüberkam. Sie hätten auch einfach sagen können: Die Findings sind valide, wir haben Fehler gemacht, und es tut uns leid. Wir geloben Besserung. Stattdessen lauter "das ist doch bloß theoretisch" und "das betrifft die aktuelle Version nicht" (die, die nach dem Melden dieser Lücken veröffentlicht wurde!).
Ich weiß nicht, wie ihr das seht, aber ich erwarte von meinem sicheren Messenger, dass der Hersteller nicht herumverhandelt und kleinredet, wenn Lücken gefunden werden, sondern die fixed und ein Post-Mortem veröffentlicht, wie das durch ihre QA kommen konnte.
Das ging soweit, dass es einen Schwarzmarkt für eine versehentlich ohne DRM an die Ukraine ausgelieferte Firmware gab, die die Bauern dann schwarz auf ihre Mähdrescher aufgespielt haben.
Es gab in letzter Zeit einige Fortschritte im "Right to Repair", insofern vermute ich mal, dass sie ein deutlich unvorteilhafteres Gerichtsurteil vermeiden wollten.
Und gegen Gesetzesvorhaben können sie jetzt argumentieren, die seien ja nicht mehr nötig, weil man ja freiwillig eingelenkt habe.
Auch Apple hat schon eingelenkt und den Kunden Eigenreparaturen erlaubt, was aber eher ein Feigenblatt ist, denn man kann da z.B. kein Display-Panel fürs Handy einzeln kaufen (billig) sondern nur als Kombination mit der Elektronik. Elektronik-Profis, die in der Lage gewesen wären, das Display einzeln zu tauschen, können das jetzt halt immer noch nicht tun, was den Preis für Ersatzteile mal eben verdreifacht oder so.
Die nächste Frage ist, ob das John-Deere-Ding nur in den USA gilt oder auch sonst.
Der Wettbewerb um intelligente grüne Technologien habe längst begonnen, so Habeck. "Deutsche Unternehmen sind hier sehr gut aufgestellt und genießen einen exzellenten Ruf. Aber um wettbewerbsfähig zu bleiben, müssen wir besser werden im klugen Umgang mit digitalen Daten. Datenverfügbarkeit ist die Bedingung für künftige Wettbewerbsfähigkeit."Unsere Windräder könnten noch super konkurrenzfähig sein! Die sind nicht gescheitert, weil Altmaier sie gealtmaiert hat, nein nein, die sind gescheitert, weil sie nicht genug Daten erhoben haben!
Er mahnte mehr Regeln bei der Digitalisierung an. Es sei klar, dass solche Prozesse in Demokratien länger dauerten, so Habeck. Dahinter dürfe sich der Staat aber nicht verstecken, meinte der Minister selbstkritisch. "Wir haben nicht ewig Zeit."Der Klimawandel wird uns umbringen, wenn wir nicht schnell mehr Daten sammeln!1!!
Seid ihr eigentlich auch so froh, dass der Klimawandel in den Händen der Experten von den Grünen sind?
Dieses ganze Dateninstitut-Ding ist so ein unfassbarer Rohrkrepierer, dass ich gar nicht die Kraft habe, das angemessen zu kommentieren. Nehmt nur den hier:
Digitalgipfel: Habeck schwärmt vom Bezahlen mit Iris-ScanSehr her, wenn wir den Klimawandel bekämpfen wollen, dann müssen wir Iris-Scanning machen. Lange war nichts mehr so klar wie das!
Das ganze Ausmaß der Katastrophe findet ihr hier.
Dessen Mission müsse es sein, dem Gemeinwohl zu dienen, betonte die Bonner Rechtswissenschaftlerin Louisa Specht-Riemenschneider als Mitglied der Gründungskommission. Die Einrichtung an sich solle "kein Selbstzweck" sein.Mit anderen Worten: Das ist genau, was das ist. Ein Selbstzweck. Damit die SPD noch schnell überflüssige Politiker irgendwo parken kann, wo sie schön mit Steuermitteln durchgefüttert werden.
Als eine Art Alleinstellungsmerkmal der Einrichtung machte Stefan Heumann von der Stiftung Neue Verantwortung die Aufgabe aus, "Datenteilen über Sektorengrenzen hinweg" zu fördern.OH NEIN! Auch noch die Stiftung Neue Verantwortung! Das ist ja alles furchtbar.
Bundesdigitalminister Volker Wissing stellt sich das so vor: Wer in Brandenburg auf dem Land wohnt, bekommt bei der Online-Buchung eines Arzttermins in Berlin gleich auch per App Möglichkeiten der Reiseplanung mitgeliefert, je nach seinen Voreinstellungen. In einem solchen Ökosystem werde "die Anschlussfähigkeit von Anfang an mitgedacht".Oh geil! Upselling! Wie bei bahn.de, die einem jetzt immer noch ein Hotel und eine Reiseabbruchversicherung reindrücken wollen! Unseriöse Drückerkolonnenscheiße ist jetzt das Vorbild für staatliche Planung. Fuck me.
Das Gründungsteam sollte bewusst "nicht erst vier Jahre einen Bericht schreiben" auf der Suche nach Problemen, sondern erst einmal "zwei, drei lösen", unterstützte Bundeswirtschaftsminister Robeck Habeck den "niedrigschwelligen Ansatz".Haha, die wissen alle intern genau, was das für ein Clusterfuck ist.
Bei den Abgeordneten im Haushaltsausschuss gebe es daher noch "eine gewisse Verunsicherung", die übersprungen werden müsse. Die Kollegen müssten noch überzeugt werden, dass das Ganze Hand und Fuß habe und sich hochskalieren lasse.Hahaha, Hand und Fuß! Die haben keine Ahnung, was sie überhaupt erreichen wollen, außer ein paar inhaltsfreien Parolen aus der FDP. Oh Mann.
Immerhin wird es billig.
Für den Aufbau und die Arbeit des Dateninstituts sollen von 2023 bis 2025 jährlich 10 Millionen Euro zur Verfügung stehen, die das Parlament aber noch freigeben muss.Das ist in Sachen Geldverbrennung durch die Politik so gut wie gar nichts. Das wird nicht doll weh tun, wenn die wie absehbar nichts erreichen.
"Es wird ein Startup sein" und "in der Garage beginnen", gab Katja Wilken, Vizepräsidentin des Bundesverwaltungsamt, als Parole aus.Hahahaha, das Bundesverwaltungsamt redet auch mit?! Ist das hier ein Trinkspiel? Wen können wir noch ins Boot holen, um das Scheitern des Projekts wirklich zu garantieren?
Hey wenn sich jemand mit Startups in Garagen auskennt, dann ja wohl das Bundesverwaltungsamt!
Neben der "Ausbauexpertise" etwa auch im Marketing und der Kommunikation sei natürlich auch ein gutes Management erforderlich.Oha! Gutes Management sei erforderlich? Na dann müssen wir die GANZ großen Kanonen rausholen fürchte ich. Da fällt mir persönlich in der Ampel ja überhaupt nur ein Spezialexperte ein:
Bundesinnenministerin Nancy Faeser (SPD) mahnte, das Institut schnell aufzusetzen.Ich hätte es ja nett gefunden, wenn die wenigstens einmal versuchen würden, etwas gut zu machen, statt des "schnell" zu machen. Was dann am Ende eh schnell im Behördenvergleich heißt, also langsam.
Der Bedarf dafür sei da, erläuterte Svenja Falk, Forschungsexpertin beim Beratungshaus Accenture.Oh geil! Accenture! Da wären wir wieder bei dem Trinkspiel.
Ich wundere mich, wieso wir nichts von T-Systems gehört haben, wenn es um massives Totalversagen im Industriemaßstab geht. Oder Fraunhofer.
Du hast am Anfang einmal ein Investment, klar. Im besten Fall für die Umsetzung des Pflichtenheftes, das sich dann auch als korrekt herausstellt. Im Regelfall gibt es ein paar Iterationen, bis im Prozess der Umsetzung klar wird, was der Kunde eigentlich haben wollte, und dorthin schwenkt man dann halt um.
Aber dann? Irgendwann ist Schluss mit Investition, da trägt sich das dann von selbst. Klar, man hat vielleicht hie und da noch ein bisschen Wartungsaufwand.
Aber irgendwann, so spätestens ein paar Monate / ein Jahr nach Produktivgang, ist das Ding dann in einem Zustand, wo es den Return on Investment abwirft.
Ein Projekt, bei dem das Pflichtenheft keine groben Korrekturen brauchte, bei dem die Aufgabe relativ zeitnah erledigt werden konnte, und das Ding von da an im Wesentlichen ein Selbstläufer ist, war die Corona-Warnapp.
Umso irritierter bin ich gerade zu lesen, dass die Kosten für 2022 von 50 auf 73 Millionen explodieren. Ich persönlich finde ja, Telekom und SAP hätten die App kostenlos entwickeln sollen. Damit in der Bevölkerung die Tech-Industrie einmal für was anderes als Bauernfängerei und endlose Abzocke gestanden hätte. Ist ja nicht so, als bekämen beide Firmen nicht schon genug Steuergelder in den Arsch geschoben.
Ich kann mir das nur so erklären, dass die beiden Firmen annehmen, bei dem Controlling auf Regierungsseite weiß keiner, dass bei ihnen keine Kosten mehr entstanden sind, und dann halt wie üblich in der Branche voll auf Bauernfänigerei und endlose Abzocke umgeschwenkt haben.
Gar keine Kosten? Nein, da stehen ein paar Server in irgendeinem Rechenzentrum. Es gibt bestimmt auch einen Bugtracker, in dem sich ungefixte Meldungen anhäufen. Und es gibt ein Callcenter, in dem seit Monaten keiner mehr angerufen hat. Das Gesamtbudget dafür liegt so weit unter den hier diskutierten Geldmengen, dass man das als Rundungsfehler vernachlässigen kann. Selbst wenn man das bei anderen Abzocker-Tech-Bros wie Amazon in die Cloud stellt und dort Freudenhauspreise zahlt.
"Our initial investigation indicates that there our service infrastructure is performing at a sub-optimal level, resulting in impact to general service functionality" states an advisory time-stamped 12:41PM on December 2.
Sub-optimal level, my ass. Die Hütte brennt! Aber keine Sorge, sie haben Experten und die kümmern sich. Die tun, was man halt so tut bei Microsoft:"While we continuing to analyze any relevant diagnostic data, we are restarting a subset of the affected infrastructure to determine if that will provide relief to the service," stated an update posted 17 minutes after the first status notice.
Have you tried turning it off and on again?Ja, haben sie. Hat nichts gebracht.
We have successfully restarted a small portion of the affected systems and are monitoring the service to determine if there is a positive effect on our service. While we continue to monitor, we will work to understand the root cause and develop other potential mitigation pathways.
Na dann ... Volle Kraft Voraus, meine Herren!Oh warte, gibt noch mehr Updates:
A status update time-stamped 3:14PM - it's unclear in which time zone - states the incident now also impacts SharePoint Online, Microsoft PowerApps, and Microsoft PowerAutomate.
Da willste doch deine Firma von abhängig machen, von so einer Cloud-Infrastruktur! Was waren da noch gleich die Vorteile von? Der Preis ja wohl offensichtlich schon mal nicht. Oh ja, ich erinnere mich. Damit das dann von Profis gewartet wird und nicht mehr ausfällt.Nastrovje!
“Apple and Google need to seriously start exploring booting Twitter off the app store,” said Alejandra Caraballo, clinical instructor at Harvard Law’s cyberlaw clinic. “What Musk is doing is existentially dangerous for various marginalized communities. It’s like opening the gates of hell in terms of the havoc it will cause. People who engaged in direct targeted harassment can come back and engage in doxing, targeted harassment, vicious bullying, calls for violence, celebration of violence. I can’t even begin to state how dangerous this will be.”
Hört ihr? Entsetzlich! Jemand im Internet könnte Dinge sagen!Schnell! Geht in eure Safe Spaces und riegelt die Tür zu!
Mir fehlen auch die Worte, wie schlimm das werden wird, wenn Leute im Internet Dinge sagen können!
An der Stelle sei vielleicht der Hinweis erlaubt, dass alle genannten Beispiele bereits für sich verboten sind und polizeilich verfolgt werden.
Wenn die werte Frau Schneeflocke also an Apple und Google appelliert statt an die Staatsanwaltschaft, dann ist meines Erachtens völlig klar, aus welcher Richtung hier der Wind weht. Und er riecht nach Sondermülldeponie.
Ich könnte mich ja schon über "clinical instructor" kaputtlachen. War Kindermitbringtag und jeder durfte sich zum Spielen Titel ausdenken oder was?
Your iPhone's analytics data includes an ID number tied to your name, email, and phone number, say researchers who uncovered other holes in Apple' promises.
Sehr lustig finde ich auch folgenden Teil:“I think people should be upset about this,” Mysk said. “This isn’t Google. people opt for iPhone because they think these kinds of things aren’t going to happen. Apple doesn’t have the right to keep an eye on you.”
*schenkelklopf*Ja aber aber aber schützt Apple uns nicht vor Facebook? Kann sein, aber nur um den Wert von ihrem Big Data Pool in der Cloud zu erhöhen!
OK aber was für Daten sammelt Apple denn da?
In some cases, this analytics data apparently includes details about your every move. Mysk’s tests show that analytics for the App Store, for example, includes every single thing you did in real time, including what you tapped on, which apps you search for, what ads you saw, and how long you looked at a given app and how you found it.
Ach. Ach was. Aber, äh, ... das ist ja wie bei Google!!1!Update: Dieser Artikel ist sogar noch ein bisschen schöner:
This isn’t an every-app-is-tracking-me-so-what’s-one-more situation. These findings are out of line with standard industry practices, Mysk says. He and his research partner ran similar tests in the past looking at analytics in Google Chrome and Microsoft Edge. In both of those apps, Mysk says the data isn’t sent when analytics settings are turned off.
(Im Gegensatz zu Apple, die auch Telemetrie senden, wenn man das explizit ausgeschaltet hat)
Along the way, Apple developed a very convenient definition of what privacy means that lets the company criticize its rivals’ privacy practices while harvesting your data for similar purposes. Apple says you shouldn’t think of what it does as “tracking.” According to the company’s website:Apple’s advertising platform does not track you, meaning that it does not link user or device data collected from our apps with user or device data collected from third parties for targeted advertising
Seht ihr? Apple shared die Daten nicht mit dem Data Broker, Apple ist der Data Broker! Damit ist das nach ihrer Definition kein Tracking. Wobei, hey, wenn Apple die Daten nicht weiterverkauft, dann sind sie ja technisch gesehen nicht mal ein Broker sondern nur ein Datenkrake. Man kann ja von sowas auch profitieren, ohne dass man es weiterverkauft.
Ganz witzig sind auch die Reaktionen der besagten Firma. Da gibt es zwei Antworten. Einmal von der Shell Company in Delaware, die meint, sie sei überhaupt nicht russisch, und sie habe lediglich ein paar Dinge outgesourced. Und dann von dem Gründer der russischen Firma gleichen Namens, der meint, er habe nie irgendwas zu verstecken versucht, er sei stolz ein Russe zu sein (weil die US-Behörden da jetzt natürlich behaupten, sie seien böswillig hintergangen worden).
m( (Danke, Oliver)
Mit der Vermutung, dass ein gewisser Teil der Briefpost relativ unwichtig ist und es ja auf ein paar Tage Laufzeit nicht ankommt, liegen die vermutlich nicht völlig daneben. Aber es gibt dummerweise Gesetze, die die Rechtswirksamkeit von Bescheiden an der "Zugangsfiktion" festmachen. Wenn der Gesetzgeber davon ausgeht, dass eine Postsendung innerhalb von drei Tagen zugestellt ist, beginnen ab dann Fristen zu laufen, deren verstreichen man nicht so ohne weiteres wieder heilen kann.You heard it here first! :-)Ich habe die elektronische Postankündigung in der Post-/Dhl-App aktiviert und weiß daher zB. dass ich seit Dienstag diverse Schreiben von Gerichten zu erwarten habe, die (Stand gestern) immer noch nicht da sind. Wenn es da um Terminsladungen etc. geht, fahre ich u.U. sinnlos durch die Lande, weil ich eine Aus- oder Umladung nicht rechtzeitig bekommen habe.
Meine Vermutung ist, dass die Post demnächst einen Premium-Service aus dem Hut ziehen wird, mit dessen Buchung (und Zuzahlung) man einen schnelle Postzustellung sicherstellen kann…
Update: Haha, war ja klar: Gibt es schon!
Da kommen dann gerne Leute und meinen: Aber wir passen da schon gut drauf auf.
Wie sowas in der Praxis aussieht. kann man gerade gut in Australien beobachten. Da hat sich eine private Krankenkasse namens Medibank eine Ransomware eingetreten, und die Ransomware-Gang hat einmal alle Patientendaten rausgetragen. Die wollten 1 US-Dollar pro Patienten-Datensatz Lösegeld haben. Medibank hat nicht gezahlt.
Daraufhin haben die Ransomwarer angefangen, stückweise Dateien zu veröffentlichen, z.B. "abortions.csv" und jetzt "boozy.csv" für Alkoholkranke.
Und wisst ihr, was die Regierung in der Situation im Arsenal hat? NICHTS. Hohle Rhetorik ist alles, was die haben.
The new release was “disgusting and … totally reprehensible,” the prime minister, Anthony Albanese, said on Friday morning.
Ach. Aber diese Daten über die Bürger einzusammeln und rumliegen zu haben war OK?He said the government was doing all it could do to limit the impact of the data breach, and support people affected.
Lasst mich das kurz aufklären: Nichts. Sie tun nichts. Denn da ist nichts, was sie tun können.The Medibank CEO, David Koczkar, said on Friday that customers who are concerned should call the cybercrime hotline, mental health support hotline, Beyond Blue, Lifeline or their GP.
Oh na DAS ist doch mal ein hilfreicher Tipp! Ruft die Seelsorgehotline an!“I unreservedly apologise to our customers,” he said. “The continued release of this stolen data on the dark web is disgraceful.”
Disgraceful! Reprehensible! Abominable!1!!“These are real people behind this data and the misuse of their data is deplorable and may discourage them from seeking medical care.”
Deplorable! Appalling!Albanese said the release of the data was “already incredibly distressing”.
Distressing!!“The fact that the information was published, going to very personal health details of Australian citizens, is disgusting and something that I think is just totally reprehensible and causing a great deal of distress in the community.”
Reprehensible! Disgusting!!He said the government had met with state and territory governments and Medibank and agreed to establish a “one-stop shop” to help those affected find advice.
Oh, OK? Was genau ratet ihr denn den Betroffenen?He urged all Australians not to access the leaked data, let alone publish it, “because we need to provide a disincentive for this sort of criminal, disgusting behaviour”.
Oh. Never mind.Criminal!!
Aber warte, Fefe, fehlt da nicht noch ein bisschen impotentes Faustrecken? Klar! Kommt! Keine Sorge.
“We will get to the bottom of where this has come from [and] hold whoever is responsible for this to account.”
Was ist denn, wenn sich die Leute von der Regierung verarscht und im Stich gelassen fühlen?!On Thursday the home affairs minister, Clare O’Neil, told parliament the government was standing by Medibank customers, who were entitled to have their information kept private after the “morally reprehensible and criminal” attack.
Morally reprehensible!! Criminal!!!Gehen denen schon die Schimpfwörter aus? Da hatte ich von Australien aber mehr erwartet, muss ich sagen.
“I want the scumbags behind this attack to know that the smartest and toughest people in this country are coming after you,” she said.
Oh. OK. Scumbags. Nunja. PG13, wie?Was mal wieder auffällt: Kein Wort dazu, dass man diese Daten vielleicht da nicht hätte rumliegen haben sollen. Kein Wort dazu, dass der Staat das hätte verhindern können, indem man ordentliche Regularien hat. Stattdessen Bullshitbingo wie das hier:
“I received the assurance from Medibank … that if a large data dump occurs, they are fully ready to provide services when and if they are needed to Australians who need them.”
Oh, "services", ja? *Klingel* Ihr Anruf ist und sehr wichtig *Fahrstuhljazz* Bitte bleiben Sie in der Leitung *dudel* Vor Ihnen warten noch *knister* zwei tausend fünf hundert drei und siebzig Kunden auf einen freien Sachbearbeiter!Warte mal, Fefe, das ist doch gefundenes Fressen für die Opposition! Die machen doch bestimmt ein riesiges Fass auf jetzt, oder?
The opposition cybersecurity spokesman, James Paterson, said anyone who is contacted by a person purporting to have access to their data should immediately report it to authorities.Paterson has proposed a “safe harbour” provision – involving the nation’s cybersecurity agency, the Australian Signals Directorate – to give companies time in the immediate aftermath of an attack to respond to the crisis without worrying about legal and privacy ramifications.
Ja genau. Das ist das Problem. Unsere guten Firmen könnten betroffen sein von den Auswirkungen ihres Verkackens. Das müssen wir verhindern, während wir den Opfern eine Seelsorgehotline empfehlen.Update: Ich bin mir sicher, dass mit "whoever is responsible" weder Medibank gemeint ist, die das ransomwarebar gespeichert hatte, noch die Regierung, die das nicht verhindert hat. Immer schön Freund-Feind-Rhetorik aufrecht erhalten in der Krisen-PR!
Update: Ihr AHNT ja nicht, was die jetzt herausgefunden haben! Der Russe war's! Das hat bestimmt die CIA herausgefunden!1!!
Neu aufgenommen werden soll in diesen Teil eine Pflicht für Anbieter von Online-Suchmaschinen, Webseiten, "die auf bestimmte Fälle von sexuellem Kindesmissbrauch hinweisen", nicht mehr anzuzeigen. Google, Bing & Co. will die tschechische Regierung neben Hosting- und Zugangsanbietern, App-Store-Betreibern und "interpersonellen Kommunikationsservices" auch in die Liste der "relevanten Dienste der Informationsgesellschaft" aufnehmen, die von der vorgesehenen Verordnung betroffen sind.
Ja gut, Adobe ist ja das Cisco bei den Kreativ-Tools, insofern berichte ich nur sehr zurückhaltend über die. Seit die von Kaufen auf Abo umgestellt haben, und ihre Kunden dageblieben sind, habe ich da kein Mitleid mit irgendwem mehr.
Und Farben? Nunja. Ich erinnere mich da an die Telekom-Nummer, als die die Farba Magenta als ihr Eigentum betrachtet haben.
Aber stellt sich raus: Doch, ist wirklich was dran. Ist keine Satire. Cory Doctorow hat die Details. Wenn ihr nur mal den Screenshot sehen wollt: Hier ist ein Tweet damit.
Es geht um Pantone. Geht mal zu deren Webseite und guckt, ob eure Fantasie reicht, euch etwas Bekloppteres auszudenken als diese Firma.
Dabei ist das ganz einfach, sich etwas noch Bekloppteres auszudenken! Ein Rechtssystem, in dem jemand mit dem Benennen von Farben Lizenzgebühren einfordern kann! Genau das haben die getan, und Adobe hat offenbar jahrelang gezahlt. Aber offenbar nicht genug, oder vielleicht wurde Pantone noch gieriger, weil sie ja das Gehalt für ihre Trendexpertin reinkriegen müssen, jedenfalls schmeißt Adobe jetzt Pantone-Farben raus. Wer die haben will, und das sind einmal die meisten professionellen Kunden, der muss sie extra lizenzieren. Wie? Nein, natürlich keine Einmalzahlung. 21 Dollar pro Monat! Für ... immer.
Ja, äh, benutze ich halt die alte Version weiter. Nee, geht nicht, denn das ist jetzt alles Cloud-Software. Das hast du nicht unter Kontrolle, welche Änderungen Adobe an der vornimmt.
Doctorow vergleicht die Situation mit Apple in China. Dass China alle Apple-User mit einem Befehl an Apple in ihr Überwachungsnetz zwängen konnte, lag nicht an China sondern an Apple. Es ist nicht China, was verhindert, dass Leute einfach eine andere VPN-App sideloaden. Es ist Apple.
Und genau so ist das hier, argumentiert Doctorow. Wenn Adobe nicht auf SaaS umgestellt hätte, dann hätte Pantone hier keinen Hebel gehabt. Money Quote:
Pantone started out as a tech company: a way to reliably specify ink mixes in different prepress houses and print shops. Today, it's an "IP" company, where "IP" means "any law or policy that allows me to control the conduct of my customers, critics or competitors."https://locusmag.com/2020/09/cory-doctorow-ip/
That's likewise true of Adobe. The move to SaaS is best understood as a means to exert control over Adobe's customers and competitors. Combined with anti-competitive killer acquisitions that gobble up any rival that manages to escape this control, and you have a hostage situation that other IP companies like Pantone can exploit.
Hostage situation ist eine schöne Zusammenfassung der Situation, wenn ihr mich fragt.
Nun fällt mir gerade auf, dass das mehr Erkenntnisgewinn haben könnte, wenn ich es mit typischen Architekturen vergleiche.
Dann könnte man mal zeigen, was es so für Optimierungsdimensionen gibt, und was für Vor- und Nachteile die jeweils in anderen Dimensionen haben. Ich glaube, dass die meisten IT-Entscheider überhaupt keine Grundlage für ihre Entscheidungen haben, sondern eher so nach sozialen Gesichtspunkten entscheiden. Wenn es aussieht, als machen das alle anderen, dann machen wir das besser auch.
Daher hier mal eine kleine Umfrage.
Ich suche Leute, die eine IT-Architektur (ich denke hier in so Jungschen Archetypen-Kategorien wie "PHP-Monolith" vs "Rails-App" vs "Enterprise-Java mit Microservices und Message Bus und Kafka") zu verantworten haben und ihre Entscheidungen so gut finden, dass sie das auch anderen gegenüber vertreten würden.
An die jetzt die Frage: Wie sieht eure Architektur aus (ganz grob, höchstens ein-zwei Absätze)? Was sind aus eurer Sicht die Dimensionen des Problemraums? In welche Richtungen davon habt ihr optimiert, und warum? Wieso glaubt ihr, dass euer Ansatz das sinnvolle Optimum herausholt?
Insbesondere bin ich an nicht offensichtlichen Dimensionen (also andere als Performance, Kosten, Security, Zuverlässigkeit, Wartbarkeit, Monitorbarkeit, Skalierbarkeit), die für euch eine Rolle spielten.
Das ist offenbar bei diversen Appliances drauf. Ich hoffe mal, dass das alle abgeschaltet haben, die diese Appliances einsetzen. Ich habe jedenfalls wenig Mitleid mit Leuten, die im Jahre 2022 telnetd aktiv haben.
In diesem Sinne: Da werden die beiden Betroffenen aber sehr ungehalten sein!1!!
Was meint ihr, ist das der TÜV Süd (die mit dem Staudamm in Brasilien) oder der TÜV Rheinland (die mit dem Sicherheits-Zertifikat für die Vivy-App)?
Ich bin mir sicher, diese Aussage hat nichts damit zu tun, dass der TÜV exzellent an einer Neuzertifizierung verdienen würde.
Nun, der installiert einen Backdoor-Admin-Account mit hartkodiertem Password.
Was hat Atlassian zu ihrer Verteidigung vorzubringen?
This account is intended to aid administrators that are migrating data from the app to Confluence Cloud.
Oh ach soooo ist das! Wir machen die On-Prem-Geschichten schrittweise immer kaputter, bis auch der letzte von euch renitenten Pennern endlich unser Cloud"angebot" annimmt!1!!
Auf der einen Seite will ich nicht nur schreiben, wie kaputt alles ist. Auf der anderen Seite will ich aber auch nicht dafür sorgen, dass Leute länger bei Windows bleiben, weil sie dank irgendwelcher Konfigurationsratschläge den Eindruck haben, sie könnten das schon irgendwie absichern. Zu guter Letzt bin ich Code Auditor, nicht Admin. Was man da alles konfigurieren kann ist nicht mein Spezialgebiet. Am Ende verbreite ich noch Unfug?
Daher haben meine Zero-Trust-Folien am Ende eine eher allgemeine Vision.
Allerdings kam ein Leserbrief mit konkreten Ratschlägen rein, den ich jetzt mal veröffentlichen möchte. Nehmt das aber bitte nicht als abzuarbeitendes Howto sondern als Grundlage für eigene Recherchen. Ziel der Übung sollte sein, dass ihr ein bisschen mehr verstanden habt, wie die Dinge funktionieren.
zu deiner Zero Trust Präsi möchte ich mal etwas zur Windows Security einwerfen. Sorry, ist etwas länglich geworden.Anmerkung von mir: Die ct hatte dazu mal ein Tool veröffentlicht, da könnt ihr damit mal herumspielen.Wir sind IT Dienstleister und übernehmen in der Regel den Service einer bestehenden IT Landschaft die entweder vorher durch den Kunden oder durch einen anderen Dienstleister betreut wurde. KMU 1 bis 500 MA.
Dahin zu gehen und den Kunden Windows und Outlook wegzunehmen wird in der Regel nicht gelingen. Wenn es möglich ist einen neuen Server auf Linux hoch zu ziehen könnte man das vorschlagen und umsetzen, da hört es aber dann auch schon auf.Der Satz "Das geht, weil Sie Outlook und Office benutzen" stimmt leider in den meisten Fällen, obwohl das nicht so sein müsste.
MS liefert schon seit Windows 2000 allerhand Techniken mit die genau das alles verhindern. Wir haben aber noch nicht einen Kunden bekommen bei dem irgendwas davon aktiv war und holen das alles schleunigst nach. Das schlimmste was uns als Dienstleister passieren kann, ist ein Ransomwarebefall eines Kunden bei dem wir die Schuld tragen, weil deren Systeme nicht sicher sind, obwohl man es *ohne* Anschaffung zusätzlicher Software hätte besser machen können. Der Kunde verlässt sich darauf dass wir ihm eine sichere Arbeitsumgebung geben. Es ist ein Unding, dass ein aktueller Windows Server bei einer frischen Active Directory Installation immer noch fast die gleichen Sicherheitsdefaults verwendet wie es in 2000 eingeführt wurde und so kommt es, dass von all dem was nun kommt in freier Wildbahn oft nichts zu sehen ist.1: Software Restriction Policies (SRP), ja ich weiß ist deprecated, läuft aber selbst auf Win 11 noch. MS wollte das durch Applocker ersetzen. Ist aber auch deprecated. MS will das durch Defender Application Control ersetzen, geht aber nur per XML oder und nur in Enterprise oder so. Wir bleiben bisher bei SRP, weil das keine Enterprise Lizenzen braucht und seit Win 2000 unverändert läuft. Muss man halt nach jedem größerem Update testen ob es noch geht.
Was tut es? Windows führt nur noch EXE, CMD/BAT, PS1, sonstwas aus Pfaden aus die der Admin per GPO festgelegt hat. Outlook kopiert den Anhang aus der Mail in ein Temp Verzeichnis und will es dort starten. Das darf es dann nicht mehr. Admins installieren nach c:\program files\. Das ist erlaubt. Ein User darf da nicht schreiben.GPO ist ein Group Policy Object, oder in deutschen Versionen: Gruppenrichtlinien.
MS torpediert es aber selbst mit Programmen die sich unter AppData\Local installieren. Teams z.B. und andere Hersteller sind da auch keine Vorbilder. Muss man sehr enge Ausnahmen setzen und das Risiko in kauf nehmen.2: Makros. Ja, der gelbe Balken bringt nix. Per GPO hart ganz abschalten. Brauchen ohnehin die wenigsten Anwender. Die die es brauchen, kann man geziehlt auf die Dokumente einschränken für die es gehen soll. Was machen die Malware Makros? VBS oder Powershell Script ausführen und Payload nachladen und starten. Geht eigentlich durch SRP schon nicht mehr, aber es soll ja Bugs geben die vielleicht um SRP drum rum kommen.
3: Beschafft sich lokale Admin-Rechte und übernimmt den Domain Controller.In meinen Folien hatte ich gesagt, dass Lateral Movement nicht Teil des Threat Models ist. Ich bin mir unsicher, inwieweit man das verallgemeinern kann. Ich unterhalte mich zu Ransomware mit Kumpels, die weiter oben auf der Eskalationsskala sitzen, die sehen dann praktisch ausschließlich Fälle, bei denen der AD übernommen werden konnte. Ich habe leider keine Zahlen, wie hoch der Prozentsatz der Ransomware-Angriffe ist, die man verhindern könnte, wenn man Lateral Movement unterbindet. ALLERDINGS: Wenn man durch andere Maßnahmen dafür sorgt, dass der Sprung zum Domain Admin nicht geht, dann wird die Verhinderung von Lateral Movement plötzlich eine wichtige Maßnahme. Genau das spricht der Leserbrief hier an.
Wenn 1 und 2 versagt hat kommen wir dahin. Nächste Verteidigungslinie ist Lateral Movement zu verhindern.Es gibt genug GPOs zum härten der Systeme, aber man klemmt halt damit alten Legacy ab, was ich aus technischen Sicht eigentlich ganz gut finde. NTLM Auth weg, Credential Caching für Admins und generell Server abschalten, Debugging Rechte global abschalten und nur im Einzelfall erlauben. LAPS benutzen, auch für Server. Das macht es Mimikatz schon ganz schön schwer an verwertbare Daten zu kommen.
Mit ESAE hat MS schon lang ein Konzept die Admin Ebenen voneinander zu trennen. Man muss auch nicht zwingend mehrere Domänen betreiben um den wichtigsten Teil davon umzusetzen.Ich hab das in einem Nebensatz irgendwo erwähnt, dass man die Admin-Accounts aufteilen soll, und dass der Domain Admin nicht an die Datenbanken können soll. Der Leser hier hat völlig Recht, das kann und sollte man noch mehr auftrennen. Dann hat man tatsächlich etwas getan, um im Threat Model ein Bedrohungsrisiko zu senken.
Bei uns darf ein Domain Admin nicht mal PCs in Domänen aufnehmen. Niemals sollte sich ein Domain Admin an einem Client anmelden und das lässt sich auch per GPO verhindern.
Der darf auch nur an Domain Controller, die CA und ähnliche Systeme. Ein Server Admin darf da nicht hin und der darf auch nicht an Clients. Ja, der Domain Admin hat dann halt 4 User Accounts. User, Client Admin, Server Admin, Domain Admin. Natürlich mit Grundverschiedenen Passwörtern. Kommt man mit klar.
Selbst ein Keylogger auf dem Client bekommt dann höchstens den Admin für die Clients, aber kann immer noch nicht auf Server oder gar Domain Controller.Dazu sei angemerkt, dass auch mit Smart Cards im Hintergrund immer noch Kerberos läuft mit Kerberos-Tickets, die abgreifbar sind. Aber die laufen wenigstens nach einer Weile aus.4. Benutz Smart Cards für die Admins und lass nur Anmeldungen per Smart Card zu. In dem Fall kann ein Keylogger auf dem PC auch das Kennwort nicht einfach mal mitlesen.
USB Smart Cards sind nicht teuer. Die Menge an Admins überschaubar.
Für RDP gibt es dann noch den Restricted Admin Mode mit entsprechenden Komforteinbußen.
In Enterprise Editionen noch Credential Guard, usw.
5. Exchange kann Split Permissions. Nutzt das. Es entfernt die Berechtigungen dass der Exchange Server Domain Admin Rechte hat. HAFNIUM war damit nur halb so schlimm.Für die BMC und Hypervisoren würde ich dringend zu physisch getrennter Verkabelung raten, statt zu irgendwelchen Software-Geschichten.
Server müssen auch nicht überall ins Internet dürfen. Verhindert dass Malware auf euren Servern ganz bequem per HTTPS ihren Payload laden können.Erweitert das noch mit VLANs und Firewalls. Kein Anwender muss auf die ESXi Infrastruktur, einen Switch oder das BMC vom Server. Die müssen auch auf die wenigsten Ports für die Anwendungsserver. Da reichen oft ACLs auf dem Core Switch um zumindest bei Line Speed zu bleiben.
Backupserver aus der AD nehmen. Per Firewall/ACL einschränken, dass der an die Server darf, aber die Server nicht zum Backupsserver.Das ist ein guter Ratschlag!
All diese Dinge die ich beschrieben habe gehen mit Bordmitteln. Da ist nicht ein Anti-Virus, SIEM oder sonst eine 3rd Party Lösung beteiligt.Nur ein Nachsatz noch von mir: Der Feind ist Komplexität. Es ist zwar schön, dass man bei Microsoft eine Menge konfigurieren kann, so dass es weniger schlimm ist, aber am Ende des Tages überblickt niemand mehr den ganzen Softwarehaufen, und alle sind nur an der Oberfläche am Herumkratzen. Das betrifft glücklicherweise auch die meisten Angreifer. Wirklich sicher fühlen würde ich mich da nicht. Und wenn man erstmal diese Art von Knowhow aufgebaut hat, dann wird man wahrscheinlich nie wieder von Windows wegmigrieren wollen.
Wir setzen das meiste davon bei Firmen ein die keine 10 Mitarbeiter haben. Das kann man mit Routine an einem Tag umsetzen. (Den Windows Teil zumindest) Testet das selbst mit Mimikatz, Bloodhound und was auch immer. Hackt euch selbst und danach oder wenn ihr das generell nicht könnt, holt euch noch einen Pen Tester um die offensichlichen Lücken weg zu machen.Am Rande: Domain Joined Device Public Key Authentication muss man nicht einschalten. Das ist per Default an. Man muss es aber erzwingen wenn man das Fallback nicht haben will. Ist fast das gleiche, aber doch nicht ganz und geht erst mit Server 2016.
Am weiteren Rande: Patchmanagement. Es wäre schön, wenn MS nicht Patches raus bringen würden die großflächig zu Boot Loops auf Domain Controllern, Druckproblemen oder 802.1X/802.11X Problemen führen würden. Dann hätte man auch mit Auto-Updates weniger schmerzen. So muss man eigentlich schon zwangsweise ein paar Tage warten, wenn man nicht vor einem Totalausfall am nächsten Tag stehen möchte. Beides verfahren sind somit schlecht.
Ich gehe nicht davon aus das danach das System unhackbar sicher ist. Wir sprechen hier immer noch von Software und von Microsoft, aber zumindest hat man etwas in die richtige Richtung getan und die offenlichtlichen Scheunentore geschlossen.
Wer nun mit dem erhöhten Supportaufwand argumentiert, dem sei gesagt dass er bei uns gesunken ist, weil die Anwender eben nicht mehr alles ausführen können was bei 3 nicht auf den Bäumen ist und die Computer dadurch so bleiben wie der Admin es sich mal vorgestellt hat.
Entwicklungsabteilungen können zusätzlich Nicht-Domain Computer oder VMs bekommen um ihre systemnahe Arbeit durchzuführen.
Aus meiner Sicht ist der Vorteil von Linux und co, dass es da keine natürliche Schranke gibt, wie viel Verständnis man von dem Gesamtsystem aufbauen kann.
Update: Einer der Gründe, wieso ich solche Tipps ungerne gebe, ist weil das alles furchtbar komplex ist, und es da immer wieder Untiefen gibt, die man halt nicht kennt, wenn man nicht nach ihnen sucht. SRP und UAC sind da exzellende Beispiele für. Seufz. Siehe auch hier und hier.
Das ganze funktioniert über Zero-Knowledge-Proofs, die gerade ein riesiger Hype sind, der besonders in der Blockchain-Szene gezeigt hat, dass man damit ganz hervorragend Investorengelder oder Forschungsmittel einwerben kann.
Ich bin mir ja ehrlich gesagt schon auf fundamentaler Ebene nicht sicher, wieso ich das haben wollen würde. Eines meiner Hauptprobleme mit digitaler Souveränität im Moment ist, dass ich keinen Google-Account aufmachen kann, weil Google eine Telefonnummer verlangt, die ich nicht bereit bin, ihnen zu geben. Das ist ein Problem für mich, weil Trolle auf Youtube Videos zensieren können, indem sie klicken, dass da nicht jugendfreie Dinge drin sind, und dann verlangt Google zum Angucken, dass man einen Account hat. Ich würde jetzt gerne derart zensierte Videos gucken können, aber nicht zu dem Preis, dass Google meine Telefonnummer sehen kann.
Wie hilft mir denn jetzt SSI dabei, meine Identität privat zu halten? Gar nicht!
OK, denken wir mal weiter. Google macht im Moment Milliarden damit, unbelegte Daten über uns alle zu verkaufen. Die Daten sind schon ohne Echtheitsbeweis Milliarden wert. Wenn Google per SSI Details über mich sieht, können sie an ihre Daten "validiert!" dranschreiben. Dann sind die noch mehr wert. Völlig wurscht, ob Google das Dritten gegenüber beweisen kann oder nicht.
Ich glaube daher, dass SSI in erster Linie eine akademische Masturbationsübung ist. Kann sein, dass es ein Problem löst. Aber das wäre dann keines, das mich betrifft.
Daher hab ich SSI bisher großflächig ignoriert. Rückblickend hätte ich das vielleicht nicht tun sollen, denn jetzt gibt es halt einen Wust aus mehr oder weniger unseriösen Instituten und Startups, die Lobbyarbeit bei der Regierung und in der Verwaltung betrieben haben, und da gibt es jetzt Pilotprojekte, die ich als verstörend empfinde. Eines gibt syrischen Flüchtlingen in Italien SSI-"Belege" für ihre Ausbildung in Syrien (nicht dass die Italiener das wirklich überprüfen könnten), und die werden dann angeblich an einzelnen deutschen Hochschulen anerkannt. Win-Win-Win!!1!
Schlimmer noch: Das Ökosystem entpuppt sich als U-Boot für die Umgehung des DSGVO-Datenhandelverbotes. Und die Pilot-App, die uns vom Konzept überzeugen wollte, war sicherheitstechnisch eine Katastrophe und ein Rohrkrepierer. Dass da überhaupt eine Blockchain beteiligt ist, ist ein Treppenwitz, denn die trägt überhaupt nichts zur Erfüllung des Konzeptes oder der Sicherheitsversprechen bei. Die ist bloß Trust Anchor und Speicher für Zertifikate (weil man sich das Aufsetzen einer gemeinsamen CA nicht vorstellen konnte) und soll Revocations regeln. Inhaltlich ein non-sequitur und ein Clusterfuck. Ist meines Erachtens nur drin, weil Fraunhofer beteiligt war, und die sammeln halt mit heißer Blockchain-Luft erfolgreich Kohle ein, also musste da Blockchain draufstehen.
Woher ich das weiß? Nun, nachdem Fluepke und Lilith einen Proof of Concept für das grundlegendste Konzeptproblem (du weißt gar nicht, wem du da eigentlich gerade deinen Ausweis zeigst!) veröffentlicht hat, gibt es jetzt ein Mythbusting-Paper von Fraunhofer. Nein, wirklich. Die nennen das selbst Mythbusting. Wer versucht ist, schon auf der Titelseite das Browsertab zuzumachen, weil da Projektgruppe Wirtschaftsinformatik steht: Haltet durch! Ihr verpasst das beste! Die Autoren sind nämlich zwei Professoren, einmal Uni Bayreuth, einmal Fachhochschule Frankfurt. Der eine "Professor für Wirtschaftsinformatik und Digitales Energiemanagement", der andere "Professor für Wirtschaftsinformatik, Digital Business und Mobilität". Beides ohne Überlappungspunkte mit den vorgeblichen Zielen von SSI. Wartet, wird noch besser. Beide sind auch:
Projektgruppe Wirtschaftsinformatik des Fraunhofer FIT, Leiter des Fraunhofer Blockchain LaborsAch. Ach was. Nicht nur die Blockchain ist verteilt, auch die Führung von deren "Fraunhofer Blockchain Labors" (nur echt mit Deppenleerzeichen!)? Also wenn ich mich unabhängig über Blockchain-Technologie informieren will, dann frage ich auch zuerst einen Blockchain-Lobbyisten und -Verkäufer eines "Blockchain Labors" (nur echt mit Deppenleerzeichen!), die auf Forschungsmittel für Blockchain-Blablah angewiesen sind. Wer sonst könnte uns neutral und unabhängig sagen, dass die Blockchain die Zukunft ist und absolut essentiell für Identitätsnachweise!1!!
Wartet, wird noch besser. Die haben ein Kapitel: "Mythos 4: Das SSI-Konzept weist technische Sicherheitslücken auf". Ab Seite 22. Und da steht:
Wie bei jeder öffentlichen Softwarearchitektur muss auch bei einem SSI-basierten System jederzeit mit böswilligen Akteuren gerechnet werden. Somit müssen vor dem Start ausführliche Penetrationstests durchgeführt werden, um Angriffspunkte auszuschließen.Ja, äh, danke. Keine weiteren Fragen. Wer Penetrationstests für ein Mittel zur Sicherstellung von Qualitätsstandards hält, mit dem muss man sich gar nicht weiter unterhalten. Und dann so: Oh, wir haben Man-in-the-Middle-Angriffe nicht verhindert? Die Angriffsart aus der Überschrift des Vorworts in jedem Buch über Kryptoprotokolle? Die elementarste Art, ein Protokoll zu verkacken? DAS haben wir zu bedenken vergessen? Nee, keine Sorge, sagt Fraunhofer, vertraut uns, da werden schon Lösungen diskutiert. Bei sensiblen Daten zertifiziert man einfach, wer die sehen darf. Und die Bösen kriegen dann keine Zertifikate!!1!
Das ist ungefähr so realistisch wie Microsofts Idee, dass man mit Code Signing Malware bekämpfen kann. Das funktioniert super, bis der erste signierte Malware unter die Leute bringt, was inzwischen regelmäßig passiert. Den Rest erspare ich mal euch und mir. Das wird nicht besser.
Tsja. Was erwartet man auch von einer Institution, die sich "Fraunhofer Blockchain Labor" nennt (nur echt mit Deppenleerzeichen!).
Update: Es gibt übrigens auch Ansätze, wie man SSI ohne Blockchain machen kann: re:claimID, lustigerweise auch auch ein Fraunhofer-Projekt, aber halt nicht von einem Blockchain-Institut. Von meinen fundamentalen Fragen beantwortet das leider auch erstmal nicht viele.
Ich weiss nicht, ob du das damals im Blog hattest (hab auf die Schnelle nichts gefunden), daher nochmal kurz die Hintergrundgeschichte:Dann kam noch ein Nachschlag:
- Die gemeinnützige Stiftung "meineimpfungen" betrieb im Auftrag des Schweizerischen Bundesamts für Gesundheit BAG den "elektronischen Impfausweis" als Web-Applikation unter meineimpfungen.ch
- Da wurden gravierende Sicherheitslücken gefunden, u.A. waren die Daten aller anderen User nicht nur abrufbar, sondern sogar manipulierbar.
- "Irreparabel", Projekt wird beendet, Stiftung meldet Konkurs an
- Das zuständige Konkursamt wollte die Daten als Teil der Konkursmasse verscherbeln
- Der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragte) schreit laut "nein", und empfiehlt, die Daten zu löschen, Konkursamt gibt klein bei und stimmt der Löschung zu.
Soweit zur Story, u.a. nachzulesen hier.
Heutiges Update: "Meineimpfungen.ch: Gesundheitsbehörden wollen Daten retten - EDÖB hebt Löschempfehlung auf".
Hab ich erwähnt, dass die Daten manipulierbar waren?
Zwischenzeitlich hatte die Stiftung noch versucht, den Usern wenigstens noch ihre Impfdaten zuzustellen… via E-MailDazu zitiert er noch https://meineimpfungen.ch, das aber gerade wegen im März abgelaufenem TLS-Zertifikat nicht abrufbar ist.
Wie vom EDÖB gewünscht, werden die Nutzerinnen und Nutzer darauf hingewiesen, dass die Stiftung die Integrität und Richtigkeit der Daten nicht aktiv nachweisen kann. Sie fordert die betroffenen Personen deshalb auf, die Daten zu prüfen und damit zu plausibilisieren.Oh Mann.Der E-Mail-Versand steht im Einklang mit dem schweizerische Datenschutzrecht. Dieses verlangt eine angemessene Datensicherheit, wobei die verschiedenen Interessen gegeneinander abgewogen werden müssen. Die Stiftung ist der Ansicht, dass bei dieser Interessenabwägung und mit Blick auf die Verhältnismässigkeit der E-Mail-Versand datenschutzkonform durchgeführt wird.
Seid ihr eigentlich auch so froh, dass die CDU nicht mehr an der Macht ist? Meine Fresse haben die einen Flurschaden angerichtet.
Ein Leser hat noch einen sachdienlichen Hinweis eingesendet:
Am 14.11.2019 hat Gernot Kiefer (stellvertretender Vorstandsvorsitzender des GKV-Spitzenverbandes) beim Diskussionsabend "Der Patient zwischen Kassen, Krankenhäusern und Politik" - er saß mit Prof. Dr. Roland Nau auf dem Podium - etwas dazu gesagt. Meine Mitschrift von damals: "Apps (egal, ob sie Nutzen bringen oder nicht) müssen jetzt von der KK bezahlt werden, um Leute aus dem Silicon Valley nach Deutschland zu holen (so die offizielle Begründung: Standortargument)."Da wird vieles klarer.
Und wenn man dann mal kurz genauer hinguckt, ist das alles genau so schlimm, wie man erwarten würde.
Zum einen betrifft die Sicherheitslücke die App "Novego: Depressionen bewältigen".Oh ja klaaaaaar, auch noch die Depressiven ausnehmen. Die haben nicht die Kraft, sich gegen Abzocke zu wehren.
Wenn ein Nutzer dieser App sich bisher seine eigenen Daten herunterladen wollte, hätte er die Nummer seiner Nutzer-ID so verändern können, dass er an die E-Mail-Adresse und den Nutzernamen anderer Patientinnen und Patienten gelangt wäre.Das ist so der dämlichste Anfängerfehler, die tiefhängenste Frucht bei sowas. Meine Güte, ey. Solche Leute sollten direkt aus dem Verkehr gezogen werden.
Aber wartet, geht noch weiter. Warum nicht auch Brustkrebsopfer ausnutzen?
Auch bei der App Cankado, die für Frauen mit Brustkrebs entwickelt wurde, war es möglich, Patientinnendaten abzugreifen.Oh haha, nee, warte, das ist ein häufiges Missverständnis. Das kann ich aufklären. Die App wurde nicht für Frauen mit Brustkrebs entwickelt, sondern für den Geschäftsführer der Firma, der sich so auf Kosten des Solidarsystems gesundstoßen will. Wer Brustkrebspatientinnen helfen will, baut keine Notizzettel-App zum Symptome notieren, sondern entwickelt neue Diagnose- und Behandlungsmethoden.
In einer schriftlichen Stellungnahme an das BfArM räumt Geschäftsführer Timo Schinköthe "ein konkretes, jedoch nicht ausgenutztes Sicherheitsrisiko" ein.Wieso wollten wir diesem Goldgräber glauben, dass er Ausnutzen des Problems erkennen würde, wenn er das Problem selbst nicht erkennen konnte?
Wartet, wird noch besser. Der Typ sieht sich hier auch noch als das Opfer!
Schinköthes App für Menschen mit Brustkrebs kostet 499,80 Euro im Quartal. Dennoch sagt er, es sei "ein reines Zuschussgeschäft", die Firma hätte "noch gar nicht die direkten Kosten erwirtschaftet", die die Entwicklung der App gekostet habe. Das liegt vermutlich auch an den bisher geringen Nutzerzahlen. Nur etwa 300 Patientinnen hätten sich die App bislang verordnen lassen, erklärt Schinköthe.Wenn ihr mich fragt: Das sind 300 zu viel.
Welcher Vollpfosten trägt denn bitte für die Idee die Verantwortung, die Krankenkassen für irgendwelche sinnlosen Apps Kohle rausblasen zu lassen?! Das ist ja fast so bekloppt wie Akupunktur und Homöopathie zu bezahlen!
PAC ist ein ARM-Feature und steht für Pointer Authentication Code.
Das Grundproblem ist, dass viele Exploits darauf basieren, einen Pointer zu überschreiben. Bei einem traditionellen Buffer Overflow auf dem Stack übernagelt man die Rücksprungadresse, die auch auf dem Stack liegt. Bei Heap-Overflows übernagelt man Zeiger in den Metadaten des Heapmanagers. Viele Kernel-Exploits basieren darauf, dass man dem Kernel einen Zeiger aus dem Userspace überhilft, wo der einen Kernel-Mode-Zeiger erwartet hat.
In der Intel-Welt sind die Gegenmaßnahmen ASLR (jeder Prozess landet an einer anderen virtuellen Adresse, damit der Angreifer die nicht vorhersagen kann und keinen funktionierenden Zeiger produziert kriegt) und dass man per CPU-Flag einschalten kann, dass User-Mode-Zeiger im Kernel generell beim Zugriff einen Fehler werfen.
In der ARM-Welt gibt es ein anderes Konzept, dass das Problem beheben soll, nämlich nutzt man "ungenutzte Bits" in Zeigern dafür, da eine Krypto-Checksumme unterzubringen. Nun sind Krypto-Checksummen normalerweise viel größer als man freie Bits in Zeigern hat, daher war meine erste Reaktion auf die Idee auch eher ablehnend, aber je mehr ich darüber nachgedacht habe, desto besser gefiel mir das. Bei ASLR hat man ja auch nicht mehr freie Bits in den Zeigern.
Es gibt zwei neue CPU-Instruktionen. Eine macht aus einem gültigen Zeiger einen "signierten", der dann nicht mehr dereferenziert werden kann. Dafür verwendet sie den Wert des Zeigers, ein Geheimnis, das vom Kernel in ein Spezialregister geladen wird dafür, und der pro Prozess anders ist, und einen dritten Wert, z.B. den aktuellen Stack Pointer. Dann gibt es eine Instruktion in die Gegenrichtung, die einen Zeiger in eine dereferenziere Form wandelt und eine Exception wirft, wenn die Signatur ungültig war.
Es gibt davon auch noch mehrere Formen für verschiedene Zeigerarten, damit man nicht einen gültigen Datenzeiger über eine Rücksprungadresse nageln kann.
Das ist jedenfalls eine eigentlich ziemlich schlaue Angelegenheit, die nur einen echten Nachteil hat: Man muss seinen Code dafür kompilieren, dass er das nutzt. Die Intel-Gegenmaßnahmen funktionieren auch ohne Neukompilieren der Programme.
Dieser PACMAN-Angriff hier behauptet, sie könnten das Geheimnis über spekulative execution herausfinden und "von außen" gültig signierte Zeiger erzeugen. Das wäre schon ziemlich doof, wenn das ginge.
Die Behauptung, als sei das M1-spezifisch, stimmt aber nicht. Das ist ein ARM-Feature, kein M1-Feature. Der Einschätzung, dass das "unpatchbar" ist, würde ich mich anschließen.
Im Zuge der starken Nachfrage nach dem Neun-Euro-Monatsticket im Pfingstverkehr der Bahn fordern Verbraucherschützer, Kommunen sowie Verkehrspolitiker dauerhaft günstige Nahverkehrspreise sowie zusätzliche Milliarden-Zuschüsse. Der Städte- und Gemeindebund sprach sich dafür aus, auch nach Auslaufen des auf drei Monate befristeten Tickets für den Öffentlichen Personennahverkehr (ÖPNV) ein bundesweit unbegrenzt gültiges Billigticket anzubieten.Das frage ich mich ja schon länger, wieso wir da eigentlich dieses ganze Theater mit Tickets und Ticketautomaten und Apps mit Tracking und Kontrolleuren fahren. ÖPNV (und ich finde: auch Fernzüge!) sollten ein Angebot sein, das die Gemeinschaft trägt. Jeder Fahrgast von Zügen und Bussen ist besser als ein Autofahrer für die CO2-Bilanz (und die Stau- und Parkplatzsituation!).
Von mir aus wie beim 9€-Ticket nur bis zum Regionalexpress und für ICE muss man weiter zahlen. Könnte ich gut mit leben. Aber wenn du nicht willst, dass die Leute alle in die Stadt ziehen, dann musst du es ihnen ermöglichen, auf dem Land zu leben und im Zweifelsfall einfach in die Stadt zu kommen.
Wie bei Cisco stellt sich auch bei Atlassian die Frage: WARUM?!
There are currently no fixed versions of Confluence Server and Data Center available. In the interim, customers should work with their security team to consider the best course of action. Options to consider include:- Restricting access to Confluence Server and Data Center instances from the internet.
- Disabling Confluence Server and Data Center instances.
If you are unable to take the above actions implementing a WAF (Web Application Firewall) rule which blocks URLs containing ${ may reduce your risk.
Oh wow. Einmal mit Profis.
Habt ihr vielleicht extra ein Apple-Gerät gekauft, weil ihr gehört habt, dass die eure Daten schützen?
Dann seid ihr hoffentlich nicht Vodafone-Kunde, denn Vodafone will jetzt an eure Mobilfunk-Internetzugriff ein eindeutiges Token ranpacken, damit die Werbemafia euch besser ausschlachten kann. Hier sind die Details.
Warum? Weil, äh, "Keeping the Internet free"!1!!
Wie? Nein, nicht free im Sinne von frei. free im Sinne von kostenlos! Die arme darbende Werbemafia hat operative Supply-Chain-Herausforderungen bei der Koksbeschaffung, und wenn denen keiner hilft, dann gehen die alle pleite! Und wer soll denn dann den Mittelstand und die Konzerne zur Ader lassen?! Damit wollten sich die Vodafone-Schlipse doch die Rente sichern!1!!
Update: Laut Torsten Kleinz testet das auch die Telekom gerade.
ich habe gestern ein Fahrzeug bei SIXT abgegeben. Der Mitarbeiter hat sich das Fahrzeug nicht angeschaut, noch musste man etwas unterschreiben oder hat Dokumente off- /online dazu bekommen. Auf Rückfrage dazu gab es nur ein "Die Mailzustellung kann durchaus eine Stunde benötigen" (Die kam sonst immer sofort).Weiß jemand genaueres?Mail ist noch immer nicht da.
Heute dann nochmal Kontakt zu mir bekannten Adressen aufgenommen und siehe da..
Zitat aus MA-Mail:
vielen Dank für Ihre Nachricht. Lieder haben wir aktuelle einen weltweiten Ausfall sämtlicher Sixt Systeme, der schon länger anhält. Wir werden Ihren Fall schnellstmöglich bearbeiten, sobald die Systeme wieder funktionieren.Weltweit? Schon länger? Sportlich!
Bisher so gar nichts dazu online gefunden.Da dort alles über Handheld-Devices läuft, wundert es mich jetzt nicht mehr warum sich nichts angeschaut wird oder unterschrieben werden muss. Alle total hilflos ohne laufende Systeme.
"Softwareprobleme" oder das nächste Ransomware-"Opfer"?
Update: In der App geht wohl noch Car Sharing aber Miete und Leasing ist kaputt. Telefonie ist anscheinend auch betroffen... (?)
Ach. Ach was.
Und was haben die Angreifer damit gemacht?
Major technology companies have been duped into providing sensitive personal information about their customers in response to fraudulent legal requests, and the data has been used to harass and even sexually extort minors, according to four federal law enforcement officials and two industry investigators.
I'm shocked, I tell you. Shocked!!Wer kam nochmal auf die Idee, dass es eine gute Idee wäre, Strafverfolgungsbehörden Zugriff auf Nacktfotos von Minderjährigen zu geben?
Das ist deswegen wichtig, weil Beschlagnahme durch den 4. Verfassungszusatz besonders reguliert ist. Die Cops dürfen nicht einfach Dinge beschlagnahmen sondern sie brauchen mindestens probable cause und einen Durchsuchungsbefehl. Wenn ein Cloud-Backup nicht mehr darunter fällt, dann können die Cops einfach routinemäßig von allen Leuten alle Cloud-Daten in Echtzeit als synchronisierte Kopie vorhalten.
Das ist mal richtig doll furchtbar, und es betrifft offensichtlich nicht nur Amerikaner sondern auch alle anderen Menschen mit Daten in Clouds von amerikanischen Anbietern.
Update: Nein, liebe Leser, das legalisiert nicht "Raubkopien". Ihr könnt aufhören, mir das zu schreiben.
Update: Schöne Grüße an Max Schrems an dieser Stelle.
Außerdem in den Nachrichten heute: Google lässt bisher Apps zu, die heimlich Telefonate mitschneiden.
What the fucking fuck, Google?!?
Ist damit dann jetzt alles gut? Aber nicht doch!
Die Änderung betrifft allerdings nicht Wähl-Apps wie Google Phone oder Mi Dialer, die auf einigen Android-Geräten ins System integriert sind. Sie verfügen über die Möglichkeit, direkt auf den eingehenden Audiostream zuzugreifen und verstoßen damit nicht gegen die Richtlinie.Ja gut, wenn dein OEM dir nicht deinstallierbare Spionagesoftware installiert, dann ist das natürlich was VÖLLIG anderes!1!! Da kann man dann nichts machen.
Aber werden denn zumindst rückwirkend Apps deinstalliert, die heimlich Telefonate mitschneiden?
Unklar bleibt, ob Google bestehende Apps aus dem Play Store entfernt, die auf die Funktionen für die Barrierefreiheit zurückgreifen.Bestandsschutz!!1!
Leaked: New Amazon Worker Chat App Would Ban Words Like “Union,” “Restrooms,” “Pay Raise,” and “Plantation”
Also: “Grievance,” “slave labor,” “This is dumb,” “living wage,” “diversity,” “vaccine,” and others.
Techniker Krankenkasse führt Fax-Funktion in App einTechniker Krankenkasse! Nur echt mit dem Deppenleerzeichen!
Was das wohl für Techniker sind, an die die sich richten? Scientologen?
Das ist auch seit vielen Jahren ein Kritikpunkt an Signal. Die haben jetzt ein Feature, dass sich Telefonnummern ändern können. Whoa, dude! Bis zum Jahre 2022 hat das gebraucht? The Future Is Now!!1!
Ich erwähne das, um eine andere Sache zu erwähnen. NFTs auf Telefonnummern ist eine total offensichtlich und fundamental schlechte Idee. Und ihr könnt sie jetzt nicht mehr in den USA patentieren, weil ich hier Prior Art publiziert habe. Fuck you, Crypto-Bros.
Update: Well fuck me.
Und dann sagt man einfach: Ist zugestellt.
Wie man dann die Kohle eintreibt? Klären wir später!
Ich kann kaum erwarten, wie blöde der Herr Justizminister guckt, wenn das mal irgendein Land dieser Welt mit ihm macht. Wie, na klar gibt es auf Sie einen Haftbefehl und wir haben der Deutschen Bank aufs Konto gegriffen, weil wir Ihr Konto nicht erreicht haben. Könnt ihr ja intern verrechnen. Na hören Sie mal, das stand letzte Woche im Ulan-Bator-Anzeiger! Da können wir ja wohl nichts für, wenn Sie den nicht lesen!1!!
Da haste doch spontan Vertrauen in den Rechtsstaat, wenn der zu solchen Methoden greift.
Ich frage mich ja, wieso die überhaupt finden, sie hätten Zuständigkeit oder Jurisdiktion über Telegram. Die Russen behaupten ja auch nicht, sie hätten Zuständigkeit und Jurisdiktion über Xing oder die Heise-Foren. Diese ganzen Truthähne in der Regierung sind so damit beschäftigt, einen auf dicke Hose zu machen, dass sie gar nicht merken, was dabei alles zu Bruch geht.
Hey! Habt ihr euch mal gefragt, wieso eine gammelige russische Chat-App mit fragwürdiger Pseudo-Krypto hier überhaupt einen Fuß auf den Boden gekriegt hat?
Weil ihr systematisch alles Vertrauen in Verschlüsselung und Sicherheit aus Deutschland kaputtgemacht habt. So sehr kaputt gemacht, dass die Leute lieber eine halbseidene unseriöse App aus Russland verwenden, um sich gegenseitig zu sagen, wie wenig sie euch noch vertrauen. Wenn ihr nicht seit Jahrzehnten herumfaseln würdet, dass ihr in unsere Kommunikation reinschnüffeln und uns Trojaner installieren wollt, dann hätte hier vielleicht ein Messenger entstehen können. Der hätte dann auch eine ladungsfähige Inlands-Anschrift gehabt.
Gut, dem wären dann spätestens beim NetzDG auch alle User weggelaufen. Ihr saugt ja systematisch den Sauerstoff aus dem Raum für Tech-Innovationen aus Deutschland. Da bleiben am Ende nur noch Werbeklitschen und Blockchain-Scammer übrig. Und Akademiker, die auf der verzweifelten Suche nach Forschungs-Drittmitteln was von KI faseln.
Geliefert wie bestellt.
Blue Screen, my ass! Diese Zeiten sollten überwunden sein!
Aber fürchtet euch nicht. Abhilfe ist in Sicht. Apple hat jetzt einen Pink Screen.
Nachdem Australiens Premierminister Scott Morrison den Zugriff auf seinen WeChat-Account verloren hat, gibt es aus der Regierungspartei Zensurvorwürfe.Zensur? In China?!? Niemals!!1!
Außerdem: Wie und warum hat er denn den Account überhaupt aufgemacht?
Oh ich sehe gerade, die App gibt es auch auf Englisch. Hmm. Bleibt immer noch die Warum-Frage.
Tatsächlich meinten wir: Staatsanwaltschaft und Polizei haben in über 100 Ermittlungsverfahren auf Daten aus Corona-Listen und der Luca-App zugegriffen.
Seit Einführung der Kontakterfassung in Restaurants und Geschäften im Jahr 2020 haben deutsche Strafverfolgungsbehörden in mehr als 100 Fällen Daten aus Corona-Kontaktlisten oder mindestens einem Fall aus der Luca-App erhoben.Wisst ihr, was sie nicht missbraucht haben? Die Covid-Warn-App. Weil Nerds und Datenschützer darauf bestanden haben, dass die Daten das so gut wie möglich nicht hergeben.
So langsam kriegt man echt den Eindruck, dass die es darauf anlegen, dass die Bevölkerung jedes Restvertrauen in den Staat verliert.
Softwareproblem. Kann man nichts machen.
Ich finde ja, die Lösung liegt auf der Hand. Wir brauchen eine KI, die die Fehler erkennt und rückgängig macht. Am besten mit einer Blockchain-Integration.
Unsere Gerichte mussten ihnen ihr Unterdrückungsspielzeug aus der Hand nehmen.
Dann wollte unsere CDU+SPD-Junta das einfach auf EU-Ebene machen.
Unsere Gerichte mussten ihnen ihr Unterdrückungsspielzeug aus der Hand nehmen.
Dann haben sie das einfach klandestin Europol machen lassen. Bis da mal ein Datenschutzbeauftragter nachguckte und völlig überraschend feststellte, dass sich die Behörden, die bei uns für die Durchsetzung der Gesetze zuständig sind, nicht an die Gesetze halten, die sie durchsetzen sollen.
Und jetzt die Pointe: Das Bundesinnenministerium äußert sich dazu wie folgt:
Die geplante Aufbewahrung zum Zweck einer Vorfeldanalyse sei nicht als anlasslose Datenspeicherung zu verstehen, erklärte ein Sprecher des Ministeriums gegenüber heise online.Das muss ja wohl die mit Abstand dämlichste Äußerung des Innenministeriums sein, oder fällt jemandem eine noch blödere ein? Da wendet sich ja sogar Scheuer-Andi peinlich berührt ab und legt wert auf die Feststellung, dass er nicht mehr Teil dieser Regierung ist!
Hey, wo wir gerade bei anlassloser Totalüberwachung waren: Die EU-Kommission rückt ihre Kurznachrichten nicht raus. Begründung: Die seien ja bloß kurzlebig und flüchtig.
Ach? Ach ja? Aber bei Telegram ist das fundamental anders, oder wie? Die sind nicht kurzlebig und nicht flüchtig? Daher fordert unsere Innenministerin von Google und Apple die "freiwillige" Entfernung von Telegram aus den App Stores, ja? Mann Mann Mann.
Update: Anscheinend installieren Hardcore-Telegram-User Telegram eh nicht über den Play-Store sondern direkt, weil unterstellt wird, dass bei den offiziellen Versionen bestimmte Kanäle zensiert werden. m(
Wat?!
Die monatlichen Betriebskosten lagen der Regierungsantwort (Drucksache 20/431) zufolge im vergangenen Jahr bei durchschnittlich 3,94 Millionen Euro. Laut einer Prognose sollen es für 2022 im Schnitt rund 2,66 Millionen Euro sein.Haben die dafür ein eigenes Rechenzentrum gebaut oder was ist da so teuer? Heilige Scheiße, SAP und Telekom! Seid ihr wirtschaftlich so am Boden, dass ihr diese Art von Freudenhauspreisen nötig habt?!
Das sich der Staat so über den Tisch ziehen lässt, löst ja inzwischen nur noch ein Schulterzucken aus. Aber dass SAP und der Telekom das nicht peinlich ist, in einer echten öffentlichen Krise dermaßen dem Steuerzahler in die Tasche zu greifen, anstatt das mal als "kein Problem, machen wir pro bono" nebenbei zu machen, das finde ich echt bestürzend. Habt ihr überhaupt keine Scham?
Warum?
Nun, da bleiben bei VPN-Diensten nicht viel Gründe übrig. Die wollen euch weiterhin ungeniert in den Traffic gucken und das geht dann halt nicht mehr.
Einziger anderer Grund könnte sein, dass wenn ein Telekom-Kunde auf einen Server mit Präsenz im Telekom-Netz zugreift, die Daten das Telekomnetz nicht verlassen. Außer du hast ein VPN. Es könnte also sein, dass die Telekom Angst hat, ihre externen Anbindungen könnten sich für alle offensichtlich als viel zu schwachbrüstig erweisen.
Im Moment ist ja deren Geschäftsmodell, dass die Außenanbindung schwachbrüstig und überbucht ist, und sie dann zu den Serverbetreibern gehen und sagen: Schöne Server haben Sie da! Wäre ja schade, wenn die für unsere Millionen von Kunden ruckeln würden! Vielleicht sollten Sie bei uns im Netz Rackspace mieten und ein großzügiges Traffickontingent kaufen!
Most White respondents felt safe, but most Black respondents lived in fear of the police killing them and hurting their family members. Approximately half of Black respondents preferred to be robbed or burglarized than to have unprovoked contact with officers.
Nee, Schatz, ruf lieber nicht die Polizei. Da haben wir von den bewaffneten Räubern auf Crack weniger Schaden zu erwarten!Weia.
Nun, völlig überraschend (ich weiß, ich weiß!) geht mit Luca Profilbildung und natürlich hat sofort Vater Staat mit beiden Händen in den Datentopf gelangt.
Lasst euch bitte nicht von dem "ohne Rechtsgrundlage" verarschen. Das ist für Innenminister bloß Code für "machen wir halt eine Rechtsgrundlage". Wenn man will, dass die Leute diese App einsetzen, dann darf darüber keine Profilbildung möglich sein, egal wie verlockend die Stasi 3.0 das findet.
Update: Ihr habt alle völlig Recht. Dies ist eine exzellente Gelegenheit, den schönen Spruch des Verfassungsgerichts nochmal zu zitieren. Wo ein Trog ist, sammeln sich Schweine.
Die Zielgruppe für das Gerät sind glaube ich Instagram-Influencer. Leute, die mit dem Gerät nicht interagieren müssen. Die es nur in die Kamera halten wollen.
Money Quote:
Einschränkender Minimalismus findet sich auch bei den Schnittstellen wiederHey Dell, warum macht ihr halbe Sachen? Liefert doch einfach nur das Gehäuse, ganz ohne Elektronik drin! Nennt es Digital Detox und nehmt einen Aufpreis. Wer blöde genug ist, dieses Gerät hier zu kaufen, der würde auch das kaufen. You're welcome.
Der Standard-Linker unter Linux ist GNU ld von den binutils. Das ist ein uraltes Fossil von einer Codebasis, weil die eben nicht das konkrete Problem gelöst haben, sondern ein allgemeineres Problem lösen. Der Linker ist parametrisierbar und kann zur Compilezeit mitgeteilt kriegen, ob man ELF, COFF oder gar Windows EXE Files damit linken will. Kann glaube ich auch MACH-O von Apple, bin mir aber nicht sicher gerade.
Jedenfalls ist das Teil schnarchlangsam. Spielt in den meisten Fällen keine Rolle. Ich hab damit jahrzehntelang prima arbeiten können, ohne dass mir jemals aufgefallen wäre, wie langsam das Teil ist. Meine Programme sind aber auch alle relativ überschaubar.
Wenn man mal, sagen wir, Firefox linkt, dann ist die Link-Pause merkbar. Spielt im Vergleich zur Compilezeit keine Rolle, aber ist nicht gar nicht da.
Also haben sich über die Jahre Projekte gegründet, um mal einen schnelleren Linker zu bauen. Der erste, den ich gesehen habe, ist GNU gold, der ist auch Teil von den binutils. Ist in C++ geschrieben und direkt ... doppelt so groß wie ld. War zwar ein bisschen schneller aber linkte bei mir mal Firefox nicht und konnte auch kein link-time optimization und war daher direkt draußen.
Das nächste Projekt, das antrat, war LLVM lld. Der hat erstmals ein bisschen Multithreading am Start, aber nur für einige Teile. mold will jetzt alle Teile auf alle Cores verteilen.
Ich habe mal testweise das Erstellen von libavcodec.so gemessen:
GNU ld: 1.21s user 0.26s system 99% cpu 1.463 totalDas war jeweils noch mit Debug-Symbolen. Gut, unterhalb einer Sekunde ist das jetzt alles nicht sonderlich aussagekräftig, und die %CPU-Spalte bei mold ist offenbar damit überfordert, wie flott das Ding fertig war :-)
GNU gold: 0.83s user 0.10s system 99% cpu 0.928 total
LLVM lld: 0.69s user 0.17s system 258% cpu 0.333 total
mold: 0.03s user 0.00s system 13% cpu 0.247 total
Aber ich finde das ein interessantes Ergebnis und wollte direkt mal dietlibc damit linken, um zu gucken, ob das geht. Ging nicht, weil ich eine obskure Spezialoption von GNU ld benutze, -z noseparate-code. ld hat vor ein paar Jahren angefangen, nach SPECTRE bei den Segmenten Padding auf Page-Größe zu machen. Hintergrund ist, dass die Hardware Speicherschutz mit Page-Granularität macht. Wenn also in einem Binary Code und Datensegment nebeneinander im Binary liegen, dann war früher auf der letzten Page des Datensegmentes (das read-write gemappt ist!) auch die ersten Bytes des Codesegments, und man hätte da also reinschreiben können in einem Exploit oder so. Jetzt bläst der Linker das mit Null-Bytes auf. Ist an sich eine gute Idee, aber bei dietlibc will ich halt winzige Binaries haben. Da ist das Binary für rm sowas wie 9k groß. Wenn der Linker da Padding einfügt, dann ist das mal eben 50% größer. Daher möchte ich das bei der dietlibc gerne selektiv ausschalten können, und obiges wäre die Option dafür gewesen.
Die konnte mold nicht. Also hab ich vor zwei Tagen einen Bug aufgemacht. Heute war die Mail in der Inbox, dass er das eingebaut hat.
Ich muss sagen: Hut ab. So stellt man sich das in seinen Fieberträumen vor, dass Software-Entwicklung so abläuft. Erstens natürlich dass der Typ überhaupt reagiert, dann dass er mir nicht erklärt, meine Anforderung sei Scheiße, dann dass er das implementiert, und dann dass er das quasi über Nacht implementiert. Sehr beeindruckend.
Ich wünsche euch allen, dass ihr eure Codebasen auch so in Schuss habt, dass ihr auf so eine Anforderung mal eben so flott reagieren könntet. :-)
mold hat bei mir jetzt auf jeden Fall mehrere Schritte auf der Treppe genommen.
Update: Äh, jetzt habe ich den Link vergessen. Ist auf Github. Hat m.W. keine separate Homepage.
Ich arbeite an einer Uni, meine Frau als Beamtin in der Verwaltung. Zusammen mit (vermutlich allen) anderen Landesbeschäftigten bekommen wir nun die Corona Prämie in Höhe von 1300€ ausbezahlt. Die Bundesbeschäftigten hatten im Sommer schon etwas zwischen 300€ und 600€ (höhere Lohngruppen weniger). Dass wir die Arbeitsausrüstung für's Homeoffice aus dem Büro mitnehmen konnten, ist aus meiner Perspektive auch Standard. Kosten sind uns also Null entstanden.Die Politik liebt Einmalzahlungen. Das sieht dann viel mehr nach "große Zahl" aus, als wenn man den Pflegekräften 20€ pro Monat mehr zahlt.Im Gegenteil: Wir sind von Corona nicht wirklich betroffen, weil wir als kinderlose ITler gut im Homeoffice arbeiten können. Durch die ausgefallenen Urlaube haben wir unterm Strich eher wenig Geld ausgegeben. Den Aufruf zu einer Aktion, das Geld an Leute zu spenden, die in der Pandemie nicht in den Sessel furzen, sondern richtig hart arbeiten, haben meine Kollegen mit Unverständnis und unser Personalrat mit blockieren quittiert.
Was jeder mit dem Geld macht ist zwar die eigene Sache, aber der Messpunkt für die Solidarität in der Gesellschaft liegt bei mir im tiefroten Bereich der wie-durchkorrumpiert-sind-wir-schon Skala. Ich kann mich da endlos drüber aufregen, dass wir für ein bisschen Applaus im Sommer, mal eben ein Monatsgehalt derer bekommen, die unser letzter Notnagel im Kampf ums Leben sind. Vielleicht hätten wir nicht die vielen Intensivbetten verloren, hätten wir denen diese Kohle mal auf das reguläre Gehalt draufgepackt.
Mein Kumpel Kris hat das mal bei Heise ausführlich erklärt.
Und tatsächlich ist die Sache sogar noch verkackter als ich sie zu verstehen geglaubt hatte.
Besonders witzig bei Kris' Ausführungen finde ich, dass er für seine jahrzehntelage Arbeit in der PHP-Community bekannt ist, und dieses verkackte Classloader-Konzept, zur Laufzeit Code nachladen zu wollen, ist auch eine glorreiche PHP-Innovation, die dort allerdings Autoloader heißt.
Dass das möglicherweise grundsätzlich eine völlig verkackte Idee ist, zur Laufzeit Code nachzuladen, ist nicht nur den Founding Fathers von Java nicht gekommen.
Auch in C und C++ gibt es ein API, mit dem man Shared Library nachladen kann, heißt dlopen oder LoadLibrary, und wird für Plugins verwendet. Und auch da haben viele Leute noch nicht verstanden, dass das Plugin dann dieselben Zugriffsrechte hat wie das Programm, in dessen Kontext es ausgeführt wird.
Oh und lasst mich bei der Gelegenheit einen kleinen Schwank erzählen. Kris macht sich in dem Artikel darüber lustig, dass Java-"Anwendungen" heutzutage immer mit der genauen JRE-Version im Paket ausgeliefert werden, die man braucht, um sie auszuführen. Ich hatte mal bei einem Kunde die Gelegenheit, in eine als "Appliance" ausgelieferte Enterprise-Java-"Anwendung" reinzugucken, und die kam mit drei verschiedenen JREs für verschiedene Teile der "Anwendung". Es ist da draußen also noch krasser verkackt als Kris es hier ausspricht.
Ich empfehle ausdrücklich, nicht nur Seite 1 zu lesen. Die ganzen wunderbaren Money-Quotes sind auf Seite 2.
Der wichtigste Punkt an diesem wunderschönen Rant ist jedenfalls, und das sollte ihr auf jeden Fall mit heimnehmen hier: Das war kein Bug im Sinne von "ein Programmierer hat falschen Code hingeschrieben". Der Code war da vorsätzlich, absichtlich, und hat genau das getan, wofür er gedacht war.
Es war, könnte man sagen, einer der seltenen Momente, wo Java-Code genau das getan hat, wofür er gedacht war. Stressarm und flexibel.
Nun war das trotzdem ein bisschen ein Eiertanz, denn es gab ja schon ein vorhergehendes Urteil, das eine Auslieferung Assanges ausschloss. Das war ja begründet. Die Justiz der Briten mag ein Treppenwitz sein, aber selbst die machen keine höchstrichterlichen Urteile ganz ohne Begründungen.
Die Begründung war: Die unmenschlichen Haftbedingungen der Amis.
Gut, die Amerikaner haben schon für das vorherige Verfahren "versprochen", dass dem Assange keine Todesstrafe droht. Sonst hätte es schon letztes Mal gar kein Verfahren geben müssen. Die Sache wäre schon formal völlig klar gewesen. Aber lebenslange Einzelhaft im Supermax-Knast ist halt immer noch ein Bruch der Menschenrechte. Und so haben Bidens Diplomaten jetzt schön die Finger hinter dem Rücken gekreuzt und den Briten ins Gesicht gelogen, diese Art von Misshandlung sei ausgeschlossen. Fußnote im Kleingedruckten:
But in their ruling on Friday, they sided with the US authorities after a near-unprecedented package of assurances were put forward that Assange would not face those strictest measures either pre-trial or post-conviction unless he committed an act in the future that required them.
Aber hey, die Briten hatten noch nie ein Problem damit, einen Berg der Schande über sich aufzutürmen. Ihr könnt ja mal kurz Diego Garcia nachschlagen.Ich möchte an dieser Stelle nochmal darauf hinweisen, dass inzwischen aktenkundig ist, dass die US-Geheimdienste Wege diskutiert haben, wie sie Julian Assange ermorden können. Was sagt der "Richter" dazu?
Lord Burnett of Maldon, lord chief justice, and Lord Justice Holroyde added in their ruling: “There is no reason why this court should not accept the assurances as meaning what they say. There is no basis for assuming that the USA has not given the assurances in good faith.”
Klar, niemand hat so viel good faith wie die Amerikaner! Thoughts and prayers!Wenn ich mal kurz meine Glaskugel polieren darf: Die USA haben auf dem Papier Gewaltenteilung und unabhängige Justiz. Die ist zwar in der Praxis weder unabhängig (der geheim tagende FISA-Court beispielsweise weist keine Überwachungsanforderungen des Staates zurück. Keine) noch gewaltengeteilt (die Bundesrichter werden von der gerade regierenden politischen Gerrymander-Mehrheit ernannt), aber jetzt, wo es um die Interessen des Bidenschen Pressevernichtungsapparats geht, da könnte man sich prima darauf berufen.
Der Sonneborn ist auch etwas ungehalten und veröffentlicht dazu sogar eine Drucksache.
Ja aber Fefe, es gibt doch noch den Supreme Court! Bei dem kann der Assange doch noch einen Appeal eintüten! Wenn ihr das denkt, dann habt ihr wohl nicht mitgeschnitten, wie es zu diesem Gericht kam. Der wurde für Diego Garcia gegründet, damit die Regierung sich über das Urteil des High Courts hinwegsetzen konnte. Wie, sowas geht? Klar geht das, wenn man keine Verfassung hat. Und ein Winner-Takes-All-"Wahlrecht".
Die Geimpften in den Krankenhäusern, die sind da gar nicht wegen Covid, sondern das sind alles Impfschäden!
Besonders toll finde ich die mitschwingende Annahme, das könne gar kein Covid sein, denn die sind ja geimpft, und die Impfung wirkt ja.
LOL!
Update: Stellt sich raus: Das war eine FPÖ-Abgeordnete. Punchline: Die ist studierte Humanmedizinerin (hat allerdings nie eine Approbation erlangt).
Bestimmt ein bedauerliches Softwareproblem. Kann man nichts machen.
Jedenfalls ganz sicher kein fieses Monopolistengehabe, um mit unfairen Mitteln die eigene Marktmacht als Waffe gegen Konkurrenten einzusetzen!1!! Sowas würde Amazon nie machen!
Äh, warte, bin verrutscht. Sowas würde Google nie machen! Amazon ist schon mehrfach bei sowas erwischt worden, wenn sie im Marketplace nach gut laufenden Produkten geguckt und die dann abgekupfert haben.
Insofern hält sich mein Mitleid auch gerade in Grenzen. Die haben sich alle gegenseitig verdient.
Auslöser dafür ist offenbar eine frisch anhängige Klage von Apple gegen die NSO Group. Offenbar merkt die Regierung, dass der Ruf des Landes darunter leidet, wenn sie der Hauptexporteur von Software für Unterdrückungsregimes sind.
Leider ist Deutschland noch auf der Exportliste, d.h. das BKA und der BND können beherzt weiter bei NSO einkaufen gehen. Mal gucken, was der Koalitionsvertrag da aus unserer Richtung dran bewirken wird.
Ist da etwa die Hölle zugefroren?
Apple today announced Self Service Repair, which will allow customers who are comfortable with completing their own repairs access to Apple genuine parts and tools. Available first for the iPhone 12 and iPhone 13 lineups, and soon to be followed by Mac computers featuring M1 chips, Self Service Repair will be available early next year in the US and expand to additional countries throughout 2022.
Wat? Hat der Louis Rossmann etwa gewonnen?!Update: Klingt hier nicht nach einem Sieg von Louis Rossmann.
Update: Louis Rossmann ist nicht so begeistert, wie man vielleicht gedacht hätte.
Ein bisschen lang für die Zielgruppe, die so einen Text am dringensten braucht, aber die Technikinteressierten unter euch können das für bestimmt gut für eine freiwillige Fortbildung brauchen. Aber seit gewarnt: Ein Grundverständnis an Crypto-Grundlagen wird vorausgesetzt.
Falls ihr gar nicht wisst, was SSI ist, und wieso euch das interessieren sollte: Google-Stichwort ID Wallet-App der Bundesregierung. Das waren nicht die mit den 5 Blockchains. Das war die andere völlig gescheiterte App. Hier könnt ihr euch erklären lassen, warum schon die Konzepte dahinter für den Fuß sind.
Der Name, den K. in sozialen Netzwerken benutzt, lasse sich googeln und führe zu einer E-Mail-Adresse, mit der mehrere Websites registriert wurden. Mit diesen wiederum seien verschiedene russische Handynummern verknüpft, von denen eine zu einem Telegram-Account führt, auf dem eine Bitcoin-Adresse veröffentlicht wurde. Bitcoins im Wert von mehr als 400.000 Euro wurden darauf eingezahlt.Whoa!
Ein Slam-Dunk-Fall, um mal den CIA-Direktor Tenet über die Beweislage zum Irakkrieg zu zitieren!
Aber wartet, geht noch weiter. Wir haben nicht nur Handwaving. Wir haben auch Appeal to Authority!
Experten eines Unternehmens, das sich auf Blockchain-Analysen spezialisiert hat, schreiben diese Einzahlungen mit hoher Wahrscheinlichkeit Erpressungen zu.Ja also wenn das SO ist! Ungenannte Experten eines ungenannten Unternehmens sagen das! Na also DANN ist das ja wohl klar wie Kloßbrühe!!
Das, meine Damen und Herren, ist der Stand der Attribuierung von Cyberangriffen. Kaffeesatzlesen. Wir haben mal was gegoogelt.
Cyberattribuierung ist und bleibt eine Fata Morgana. (Danke, Simon)
Wie sich rausstellt: Ja, gibt es.
In addition to poorly run and deficient drills, many of the ship’s crew had not donned Self- Contained Breathing Apparatus (SCBA) in over a year, did not know how to use or activate Aqueous Film Forming Foam (AFFF) or halogenated hydrocarbon (Halon) firefighting systems, and were unaware of where to locate and use Emergency Escape Breathing Apparatus (EEBA).
Ich weiß, was Sie jetzt denken! Macht ja nichts, holt man halt die Feuerwehr vom Land zu Hilfe! Die sind geschult!There was no “map of the ship” (Fire Control Plan as required by IMO SOLAS convention) available to shoreside firefighters when they arrived at Pier 2 at the San Diego Navy Base to assist in the firefighting effort. And there were no fire standpipes on the pier to supply firefighting water.
Ja gut, macht ja nichts. Wird nicht heiß genug, dass der Stahl schmilzt und das ganze Schiff absäuft.As the fire aboard the 844 ft LOA, 27,000-ton Wasp Class Amphibious Assault Ship grew, temperatures reached over 1400 degrees F, melting her aluminum internal superstructure.
Oh. Aluminium. Verstehe.Naja gut, aber mehr als das können sie ja unmöglich verkackt haben.
Mismatched hose threads, lack of compatible radios and common frequencies, inability to locate the fire, inability to provide firefighting water, no SCBA refilling capability, portable pumps inoperable, dead batteries in equipment, inability to accurately account for all crew, inability to take correct draft readings (required for stability calculations), not accounting for free surface effect, and a “leadership vacuum”. These are just a few of the issues identified in the US Navy’s report.
Öhm. Und DIE machen sich Sorgen um Nordkorea?!?
Seid ihr auch so froh, dass Apple die Guten sind? Nicht auszudenken, was für unmoralische Dinge die tun könnten!1!!
Money Quote:
“Apple was unable to validate for us that Apple’s solutions are compliant with Apple’s policy.”
Steven Bellowin ist der Erfinder der Firewall. Whitfield Diffie und Ronald Rivest haben RSA erfunden. Peter Neumann ist der Mann hinter dem weltberühmten RISKS Digest. Bruce Schneier, Matt Blaze und Ross Anderson sind weltberühme Koryphäen für Krypto und Security. Josh Benaloh hat ein homomorphes Public-Key-Kryptosystem erfunden. Jon Callas ist einer der Gründer der PGP Corporation. Carmela Troncoso war Hauptautor des Papers über DP-3T (dezentrales Covid-Tracing).
Wenn diese Leute in eine Bar laufen, wird das bestimmt ein großartiger Witz.
Wenn dann jemand auf die Bar eine Bombe wirft, dann wirft das die Welt Jahrzehnte zurück.
So und worüber schreiben die da zusammen ein Paper?
Sie regen sich über Apple auf, die Wanzensoftware auf alle Telefone ihre Kunden aufgespielt haben, die dort Inhalte scannen soll.
OK ich glaube ich kenne schon die erste Hälfte von dem Witz. Wie viele Experten braucht es, um Apple zu überzeugen, dass sie auf dem Holzweg sind?
Apple Made More Profit From Games In 2019 Than Nintendo, Sony And Microsoft Combined
Und sie haben keines davon selbst hergestellt. Sie schächten bloß anderer Leuten Einnahmen weg.
Update: Reuters wird noch konkreter:
Widening power shortages in China have halted production at numerous factories including many supplying Apple and Tesla, while some shops in the northeast operated by candlelight and malls shut early as the economic toll of the squeeze mounted.
Zensursoftware? Wie meinen?
Flagship phones sold in Europe by China's smartphone giant Xiaomi Corp (1810.HK) have a built-in ability to detect and censor terms such as "Free Tibet", "Long live Taiwan independence" or "democracy movement", Lithuania's state-run cybersecurity body said on Tuesday.
Ja aber komm, das ist doch nicht angeschaltet in Europa, oder?!The capability in Xiaomi's Mi 10T 5G phone software had been turned off for the "European Union region", but can be turned on remotely at any time, the Defence Ministry's National Cyber Security Centre said in the report.
Aber Fefe, haben die nicht völlig Recht? Ist das nicht ein Problem? Wieso schreibst du denn da Lacher des Tages dran?
Weil Apple und Google und Firefox und Chrome und Windows selbstredent dieselbe Befähigung haben. Nur shippen die das Zensurmodul nicht die ganze Zeit mit, wo es möglicherweise auffallen würde, sondern sie nennen es Updateschnittstelle. Sie nötigen uns außerdem alle, ständig auf Zuruf Updates einzuspielen. Und sie haben so verkackte beschissene Software, dass das in der Tat gar nicht sicher betreibbar ist, wenn man nicht alle Updates immer sofort einspielt.
Wo ist da also noch gleich der fundamentale Unterschied? Oh, gibt gar keinen? Na sowas!
Wir haben alle schon lange die Souveränität über unsere Geräte und Daten abgegeben. Damit haben wir uns ein bisschen Convenience gekauft, die wir jetzt gar nicht nutzen können, weil die immer neuen Security-Theater-Maßnahmen jede Convenience schon längst aufgefressen haben.
Wie? Was sagt ihr? Oh warte, ich kann gerade nicht. Ich muss kurz Pause machen. Windows will meinen Rechner nach Malware scannen. Mit einem frisch remote eingespielten Malware-Scanner.
Lasst euch mal bitte noch von dieser plumpen Nato-Propaganda verarschen.
Die Richterin hat geurteilt, dass Apple nicht mehr Apps daran hindern darf, alternative Zahlungsmöglichkeiten anzubieten.
Gleichzeitig fand sie aber auch, dass Epic seinen Vertrag mit Apple verletzt hat und jetzt drei Millionen Dollar nachzahlen muss.
Da werden bei Softbank aber gerade die Alarmglocken läuten. Das käme denen gerade nicht so recht, wenn sich ihre Haupt-Erfolgsinvestition über Nacht im Wert halbiert.
Das geht hier bei Apple erstmal noch nicht um ein richtiges Ersetzen von ARM, nur so von ein paar Peripherie-Chips. Aber, wie man in den USA so schön sagt: The writing is on the wall.
Apple hat in den letzten Jahre mehr für ARMs Glaubwürdigkeit als Plattform getan als alle anderen Firmen zusammen. M1 war sowas wie eine göttliche Intervention für ARM. Wenn DIE jetzt zu RISC-V abspringen, das wäre echt ein furchtbares Signal für ARM.
Netflix hat offenbar eine Ausnahmeregelung gekriegt, mussten weniger als 30% zahlen.
Das ist natürlich nicht gerade förderlich, um den anderen Entwicklern 30% aus der Tasche zu ziehen, und so zu tun, als gelte die Regel halt für alle und sei daher gerecht.
Aber nicht nur Google kriegt sein Fett weg! Apple hat gerade eine tolle Neusprech-Pressemitteilung veröffentlicht, wo sie ein wunderschönes Shit Sandwich zubereiten. Der App Store sei ja ein economic miracle, das sicherste Einkaufssystem der Welt!1!! Oh äh und ab jetzt dürfen Entwickler ihren Kunden auch sagen, dass es andere Zahlungsoptionen gibt als über Apple. Das ist aber großzügig!1!!
Na gucken wir doch mal!
Ja, das wäre eine gute Idee gewesen. So vor 30 Jahren. Wurde leider nichts draus, denn wir hatten CDU-Regierungen.
Ja, das wäre eine gute Idee gewesen. So vor 30 Jahren. Wurde leider nichts draus, denn wir hatten CDU-Regierungen.
Ja, das wäre eine gute Idee gewesen. So vor 30 Jahren. Wurde leider nichts draus, denn wir hatten CDU-Regierungen.
Das wäre wahrscheinlich glaubwürdiger, wenn nicht die CDU die Zerstörung des Mittelstandes vorangetrieben hätte die letzten 50 Jahre. Konzerne kriegen Bailouts, den Mittelstand lässt man pleite gehen.
Die 1980er Jahren haben angerufen. Sie wollen ihre abgedroschenen Bullshit-Slogans zurück haben.
Ich bin ja ehrlich gesagt erstaunt, dass sich die Partei mit der Bildungsministerin, die wegen plagiierter Dissertation zurücktreten musst, es wagt, sich öffentlich zum Thema Bildung zu äußern.
Dass die Partei, die gerade vor aller Augen den Afghanistan-Abzug brutaltsmöglich verkackt hat, es wagt, und was von außenpolitischer Sicherheit zu erzählen.
Dass die Partei es wagt, uns was über Klima zu erzählen, die erst die erneuerbaren Energien kaputtaltmaiert und deren Kanzlerkandidat dann ein Kohlekraftwerk bauen lässt.
Die Partei, die auf Melden einer Sicherheitslücke in ihrer verkackten Wahl-App reagiert, indem sie die meldende Sicherheitsforscherin vom LKA verfolgen lässt, die erzählt uns jetzt was von digitaler Modernisierung. Die Partei von Schwarz-Schilling und seinen Kupferkabeln. Die Partei hinter dem Hackertoolverbot, das dazu führte, dass unsere Wirtschaft nicht auf einen Pool von Experten zurückgreifen kann, die sie gegen Ransomware verteidigt. DIE Partei erzählt uns jetzt was von digitaler Modernisierung. Nee, klar.
When I think Modernisierung, I think CDU!
Genau mein Humor!
Einige schreiben mir, sie hätten ja grundsätzlich nichts gegen Impfungen, aber trauen diesem mRNA- und Vektor-Zeug nicht, wollen lieber eine traditionelle Impfung mit Totimpfstoff. Offenbar gibt es da eine, die aber noch keine Zulassung hat.
Ich glaube, dem liegt dasselbe Denkmodell zugrunde, das auch Leute anwenden, die Öko-Hausmittel statt "Chemie" haben wollen. Ich habe mich mal vor vielen Jahren (ich war noch unter 20) mit einem Arzt unterhalten, der meinte, dieses Öko-natürlich-Ding sei ja ein attraktiver Gedanke, aber du musst dir halt überlegen, dass Wirkstoffe auch Nebenwirkungen haben. In einem chemischen Medikament ist ein Wirkstoff drin. In einem traditionellen Hausmittel aus Kräutern und Wurzeln sind es Tausende, davon die meisten nicht ordentlich erforscht, und dazu kommen dann vielleicht noch Verunreinigungen durch Pestizide und so weiter.
Aber ist natürlich nicht gut, fragte ich?
Er meinte dann: Natürliche Lebenserwartung von Menschen ist 30 Jahre. Da wäre der Arzt schon Jahre tot gewesen.
Andere schreiben mir, die Zahlen für die Nebenwirkungen seien gar nicht vergleichbar, denn Impfungen bekämen ja alle und die Nebenwirkungen nach Covid kommen ja nur nach einer Erkrankung, nicht nur nach einer Infektion, und Erkrankung sei ja viel seltener als Infektion. Da weiß ich im Moment nicht, ob das stimmt, oder wen man da fragen könnte. Insofern lasse ich das mal offen. Wer da mehr weiß, kann mir ja eine Mail schreiben, das hänge ich dann als Update an.
Viele Impfgegner haben große Angst vor Nebenwirkungen der Impfung und verweisen auf den aktuellen Bericht des Paul-Ehrlich-Instituts. Es gibt zwei große Hürden bei solchen Berichten. Der erste ist, dass man in solche Berechnungen mit einer guten Datenbasis reingehen muss, und die zweite ist, dass man als Leser die Daten interpretieren können muss, um zu prüfen, was für Schlussfolgerungen sich ziehen lassen.
In diesem Fall ist beides ein Problem. Die Zahlenbasis ist nämlich nicht etwa Krankenhausärzte, die anonymisiert Diagnoseergebnisse melden, sondern das sind Selbstmeldungen von Betroffenen per App. Wenn also bei der App jemand klickt, ihm sei nach der Impfung ein Bein abgefallen, dann landet das so direkt in der Datenbank, aus der dieser Bericht erstellt wird. Nun haben Patienten ja nicht direkt einen Anreiz zum Lügen, aber das ist trotzdem wichtig. Das PEI formuliert es so (Sektion 7.1, Methodik):
Dabei ist jedoch zu beachten, dass unerwünschte Reaktionen im zeitlichen, nicht aber unbedingt im ursächlichen Zusammenhang mit einer Impfung gemeldet werden.Nur weil du nach der Impfung Kopfweh gekriegt hast, heißt das nicht, dass das was mit der Impfung zu tun hatte. Warum erheben die diese Daten dann, wenn die so schlecht sind? Weil sie Trends erkennen wollen, denen man dann mit gezielten Studien hinterherforschen kann.
Das nächste Problem ist die Interpretation der Daten. Die Zahl der gemeldeten unerwünschten Nebenwirkungen wirkt auf den ersten Blick recht hoch. In Sektion 4.4 gibt es eine Übersicht. Da sieht man: Eine der häufigsten Beschwerden ist Fieber. Fieber ist keine Nebenwirkung. Fieber ist die Hauptwirkung der Impfung. Fieber heißt, dass das Immunsystem den Impfstoff wie gewünscht erkannt hat und antwortet. Ob das intern bleibt oder sich extern als Fieber messen lässt, hängt davon ab, welcher Teil des Immunsystems wie stark reagiert. "Lokale Reaktion" und "Reaktion an der Impfstelle" sind auch normal und zu erwarten. Mein Lieblingssysmptom ist "Ermüdung". In der heutigen Zeit sind eigentlich alle immer ermüdet. Mit oder ohne Impfung.
Anderes Beispiel, Sektion 4.6. Todesfälle. Da kommen die Impfgegner mit: "1254 sind an der Impfung gestorben!!1!" Im Original liest sich das so:
In 1.254 Verdachtsfallmeldungen wurde über einen tödlichen Ausgang in unterschiedlichem zeitlichem Abstand zur Impfung berichtet. In 48 Fällen hält das Paul-Ehrlich-Institut einen ursächlichen Zusammenhang mit der jeweiligen COVID-19-Impfung für möglich oder wahrscheinlich.Da dampft sich der Gegenstand der Empörung recht schnell zusammen. Und "möglich oder wahrscheinlich" ist jetzt auch noch nicht so eindeutig, dass man von "starb an der Impfung" reden kann.
Die nächste Frage ist: Nehmen wir an, nach der Impfung haben 100 Leute einen Herzinfarkt. Das heißt ja auch noch nicht, dass die Impfung schlecht ist, selbst wenn man eine Verbindung nachweisen könnte. Man muss vielmehr gucken, wie viele Leute in der Altersgruppe umgerechnet auf die Anzahl der Geimpften natürlich an Herzinfarkt verstorben wären. Das Paul-Ehrlich-Institut macht dafür sogenannte "Observed-vs-Expected"-Berechnungen, d.h. rechnet aus, wieviel Fälle sie rein statistisch erwartet haben, und vergleicht das dann mit der Anzahl der tatsächlichen Fälle. Tabelle 3 in Sektion 4.6 macht das. Und weil wir es hier mit seriösen Wissenschaftlern zu tun haben, geben sie auch Konfidenzintervalle an. Wer nicht weiß, was ein Konfidenzintervall ist, sollte sich eigentlich auch keine öffentliche Interpretationen dieser Daten erlauben.
Ein weiteres Problem ist, wann du einen Schaden als "bleibenden Schaden" wertest. Im Moment bestimmt das der Bediener der Melde-App. So und jetzt geht mal in euch und fragt euch, wie wahrscheinlich das ist, dass jemand mit sagen wir Gliederschmerzen nochmal die App aufmacht, wenn die wieder weg sind, und das auch meldet? Weniger als 100%, da sind wir uns hoffentlich einig.
Besonders spannend in dem Bericht finde ich persönlich Sektion 4.1, da haben sie die Beschwerden nach Geschlecht aufgeteilt. Die Diskrepanzen sind enorm und werden im Text nicht weiter erläutert. Über die Ursachen kann man natürlich prächtig spekulieren jetzt. Z.B.: Frauen werden älter, Alte haben mehr Wehwehchen, Alte wurden zuerst geimpft, also mehr Frauen unter den Geimpften. Stimmt das? Keine Ahnung! Spekulation!
Viele der Beschwerden von Frauen beziehen sich offenbar auf deren Regelblutung. Kann das daran liegen, dass eine Impfung stressig ist? Wenn eine Frau einmalig eine zusätzliche Regelblutung kriegt, ist das dann ... schlimm? Ein bleibender Schaden?
Will sagen: Das ist alles nicht so klar, wie man das zu bewerten hat. Daher veröffentlicht dieser Bericht viele der Zahlen auch einfach so, ohne da groß herumzuinterpretieren.
Ich möchte gerne noch auf den Aspekt hinweisen, dass wir ja auch Presseberichterstattung hatten, besonders zu den Herzmuskelentzündungen. Die gibt es auch bei anderen Impfungen. Aber bei der Grippeimpfung waren nicht wochenlang die Zeitungen voll damit, was da die Symptome sind. Und was für tolle Symptome das waren! Ein Symptom war: Herzklopfen! Ja, äh, hab ich!!1! Schnell, rette mich jemand! Erschöpfung! Atemnot bei Anstrengungen! Schmerzen hinter dem Brustbein! Gut, letzteres kann auch ein Symptom von einer Blähung sein. Will sagen: Wenn du in den Zeitungen so eine Liste veröffentlichst, natürlich diagnostizieren dann alle bei sich eine Myokarditis! Dieselben Symptome hätten bei einer Grippeimpfung wahrscheinlich nicht zu einer Meldung geführt.
Ich will das Risiko nicht kleinreden, aber seltene Krankheiten sind selten.
Update: Ein Leser wendet ein:
Myokarditis Meldungen ans PEI erfolgen nicht über das Verbraucher Onlineportal sondern nur durch Ärzte da es sich hierbei um Impfkomplikation handelt welche im §6 Abs. 1, Nr. 3 IfSG geregelt ist!
Update: Auch die Todesfälle werden vermutlich keine Selbstanzeigen sein :-)
New hotness: Etablierte Medien machen Youtube-Berichterstattung.
Das Rezo-Video, um das es geht, ist hier zu finden.
Ich bin ja mit dem Video diesmal nicht so zufrieden, muss ich euch sagen. Ob deren PR eine Lüge ist oder nicht ... ach weißt du, da rechnet doch niemand damit, dass die uns nicht ins Gesicht lügen. Die PR-Leute der Parteien halten das doch für ihren Job, uns ins Gesicht zu lügen. Genau wie die Parteien selber uns gewohnheitsmäßig ins Gesicht lügen.
Dass die Grünen die Männer aus ihrem Foto rauscroppen? Geschenkt. Dass die so drehen ist ja wohl jedem klar, seit die den Habeck aus ihrer Parteispitze rausgecroppt haben, damit nicht so auffällt, wie schlecht die Baerbock ist.
Dass der Laschet in Flutgebieten lacht? Geschenkt.
Wichtiger finde ich den Charakter der Leute und der Parteien. Wofür stehen die?
Der Laschet steht für die Klausurenaffäre. Laschet ist der schlechte Schüler, der von seinen Seilschaften mitgezogen wurde. Laschet ist der schwache Thronfolger, der vom Apparat installiert wird, damit die Berater in Ruhe durchregieren können, ohne dass jemand mit eigenen Gedanken im Weg herumsteht. Sobald was nicht von selbst gut läuft, ist seine erste Reaktion: Bescheißen. DAS ist Laschet.
Der Charakter der CDU ist: Nachteile für die Gesellschaft bis hin zur Zerstörung der eigenen Spezies in Kauf nehmen und sogar durch eigene Taten vorantreiben, um sich kurzfristig persönlich bereichern zu können. Die Maskenaffären, der Rückbau der erneuerbaren Energien, die Uploadfilter, es folgt immer demselben Muster. Vorher lügen, dann tun, was eh alle Zyniker die ganze Zeit gesagt haben, das sie tun werden. Unvertrauenswürdiger als die CDU geht es gar nicht. Sogar die Verräterpartei und die AfD stimmen ab und zu versehentlich falsch ab und tun etwas nicht maximal schlechtes.
Der Charakter der SPD ist: Die haben keinen Charakter. Wenn sich der Wind dreht, dreht sich auch die SPD. Wenn es mal keinen Wind gibt, dann richtet die SPD maximalen Schaden an. Führt illegale Angriffskriege, schafft den Sozialstaat ab, dereguliert den Finanzsektor, privatisiert staatliche Unternehmen, ... Völlig undiskutabel.
Der Charakter der Grünen ist: Die haben keinen Charakter. Wenn die erstmal an der Macht sind, machen sie, was sie für nötig halten, um an der Macht zu bleiben. Illegaler Angriffskrieg? Klar machen wir da mit! Wokeness statt politischer Inhalte? Klar machen wir da mit! Dagegensein und Lamentieren können die gut, aber sobald sie an der Regierung sind, machen sie genau das, was vorher und nachher die CDU gemacht hat. Niemand braucht diese Partei. Wenn du als Wähler eine Partei wählen willst, deren einziges Ziel der Machterhalt ist, dann wähl die CDU. Es brauchte zwar Fukushima, aber die CDU brachte uns den Atomausstieg.
Die Linkspartei hat mich jetzt auch nicht wirklich vom Hocker gehauen, wo sie mal Regierungskompetenz hatte, aber die Linkspartei sind die einzigen, bei denen sich das Parteiprogramm so liest, als hätte da jemand Zeit investiert, um mal nachzudenken, wie man die Gesellschaft gestalten möchte. Die CDU hält sich ja nicht mal an den eigenen Koalitionsvertrag, für die ist das Parteiprogramm eher Klopapier-Reserve.
Wir haben hier, wie so häufig, die Wahl zwischen marodierenden Triebtätern, die alles kaputtmachen, und auf dem Weg noch soviel Geld raustragen, wie in ihre Taschen passt, und auf der anderen Seite zwischen maximal inkompetenten Vollversagern. Marodeure wie Altmaier und Nieten wie Klöckner, Scheuer, Maas, Spahn.
Der afghanische Ex-Präsident (der mit den vier Autos und einem Hubschrauber voll Bargeld geflohen ist) wäre bei uns in der CDU gewesen.
Es ist symptomatisch für das Gesamtsystem, wie die nächste Generation jetzt an Plagiatsaffären scheitert. Die haben sich das angeschaut und gesagt: Hey, Kompetenz ist hier offensichtlich nicht nötig. Da reicht ein bisschen blenden. Wieso wir von denen jetzt plötzlich echte Kompetenz erwarten, das leuchtet ja auch nicht wirklich ein. Als ob irgendjemand von deren Vorgängern nicht auch bloß ein Polit-Blender gewesen wäre!
Die Baerbock und Giffey und der Scholz, das sind m.E. so Leute, die sich nach unten orientieren. Die gucken sich um, finden ein paar ethikfreie Pfuscher, und sagen sich: Also besser als DIE bin ich ja wohl alle mal!1!! Und argumentieren dann am besten ein bisschen im Kreis: Dass ich noch im Amt bin, zeigt ja wohl, dass ich eine unersetzbare Spitzenkraft bin!!1!
Keiner von denen ist daran interessiert, das Land voranzubringen. Die wollen bloß Kanzler / Bürgermeister werden, weil man da ein gutes, sicheres Gehalt kriegt. Die Generation ICH ICH ICH.
Apple fraud executive Eric Friedman told colleague Herve Sibert that Apple is the greatest platform for distributing child pornography. [...]Friedman made the claim in a February 2020 text message conversation revealed in discovery for the Apple-Epic trial
Ja gut, das ist die Art von Erkenntnis, die auch in einem Riesentanker wie Apple spontane Änderungen in der Bewegungsrichtung auslösen kann.
Das ist häufig ein größeres Problem als die durch eine Klage drohenden Kosten. Aber viele gute Gegenstrategien gibt es da nicht. Eine populäre Methode ist, den Gegenüber möglichst am Ende der Frist mit LKW-Ladungen an Akten zu fluten, wo dann die relevanten bei sind, aber eben auch lauter Mist. Die Hoffnung ist dann, dass der Kläger in dem Müll die Rosinen nicht findet. Aber wenn rauskommt, dass du die Rosinen nicht rausgerückt hast, dann kann das richtig unangenehm werden.
Daher ist bei dem Verfahren von Epic Games gegen Apples und Googles gemeinsames App-Store-Monopol auch die eigentliche Befürchtung von Apple und Google gewesen, dass die ganzen peinlichen Unterlagen ans Licht kommen. Genau das passiert gerade, und die Details sind wirklich atemberaubend.
Nehmt nur mal das Detail, dass Google bis zu 25% der App Sales an Telcos ausschüttet, damit die auf ihren Telefonen nur den Play Store haben und nicht etwa wie Samsung einen "Galaxy Store" draufpacken.
Sind die 25% von Googles Profitanteil oder vom Verkaufspreis? Ich lese das als vom Verkaufspreis. Da ist dann auch plötzlich klar, wieso sie 30% Anteil nehmen von den App-Bauern, wenn das fast alles direkt an die Telcos durchgereicht wird. Das ist auch interessant für die Leute, die mir in Mails argumentiert haben, Google haben auch voll die großen Ausgaben für das Bereitstellen ihres Play Stores. Nee, klar.
Warum lässt sich Google da so über den Tisch ziehen? Nun, sie haben mal durchgerechnet, wieviel Profit wegfallen könnte, wenn andere Leute andere App-Stores anböten und kamen auf 6 Milliarden Dollar weniger Einnahmen.
Hier ist noch ein schöner für die Leute, die verhandeln, ob Apple oder Google schlimmer ist:
Larry Page told Steve Jobs in 2010 that "There will always be places we compete, and places where we cooperate."
und in einem anderen Meeting dann:After another meeting between Apple and Google senior executives, notes showed that the execs agreed: "Our vision is that we work as if we are one company."
Jetzt fragt ihr euch vielleicht: Hey, wenn da so schädliche Tretminen in den Akten waren, wieso hat Google dann nicht einfach Epic gekauft und sich die Schmach erspart?Nun, haben sie versucht, aber Epic Games ist nicht börsennotiert. Wenn die Eigentümer nicht verkaufen wollen, dann müssen sie nicht. Egal wieviel du bietest. Die Eigentümer von Epic Games sind u.a. Tencent, ein chinesischer Großkonzern, der auch gerade die wöchentlichen verschenkten Spiele im Epic Store einfach mal bezahlt, um Steam plattzumachen. Die haben tiefe Taschen und waren nicht interessiert.
Eine Kollision heißt, dass ein anderes Bild denselben Hash hat.
So eine Kollision "findet" man nicht, man konstruiert sie. Nun ist die Liste der Hashes natürlich nicht einfach so im Internet herunterladbar. Noch nicht. Aber wenn die mal leaked, und dieses Kollisionsverfahren reproduzierbar funktioniert, dann ist das Verfahren plötzlich eine Waffe gegen Leute, bei denen du dann Bilder mit den gesuchten Hashes auf die Telefone packen kannst, ohne dich selbst wegen Besitzes solcher Bilder strafbar zu machen.
Update: Wenn man zwei Bilder findet, die denselben Hash haben, nennt man das eine Kollision. Wenn man zu einem Hash von einem Bild ein anderes Bild mit demselben Hash konstruieren kann, nennt man das einen Preimage-Angriff. Ein Preimage-Angriff ist normalerweise viel schwieriger als ein Kollisionsangriff, weil man für eine Kollision mehr Freiheitsgrade hat (man braucht nur zwei gleiche Hashes, nicht einen spezifischen Hash). Das hier war offenbar ein Preimage-Angriff.
In dem Urteil hatte die Richterin argumentiert, die Vergewaltigung habe ja nur 11 Minuten gedauert und das Opfer sei nicht verletzt worden und habe "in der Tatnacht «mit dem Feuer» gespielt". Jetzt läuft in der Schweiz eine Debatte, ob man das Sexualstrafrecht mal verschärfen sollte.
Gib ihnen ein paar Wochen, dann ist das Bedingung für Aufnahme in den App Store.
Das Zieren bei High-Profile-Fällen ist bloß Theater, um die Kunden ruhig zu halten.
Wer nichts zu verbergen hat, habe nichts zu befürchten, heißt es beim iPhone-Hersteller.Hah. Und ich dachte, alle haben etwas zu verbergen, und daher sind die Leute zu Apple gegangen, weil sie fälschlicherweise annahmen, dass Apple nicht in ihren persönlichen Daten herumstochern würde.
So kann man sich irren!
Hey, Tim Cook, wenn Sie nichts zu verbergen haben, dann zeigen Sie uns doch mal kurz Ihre Steuererklärungen der letzten 40 Jahre, die Gesundheitsdaten, ihr lückenloses Bewegungsprofil der letzten Jahre, Kameraaufnahme aus Ihrem Domizil und eine Liste aller Sexpartner.
Oh, was sagen Sie? Sie haben doch was zu verbergen? Na sowas!
Apple's iCloud service encrypts all data, but Apple has the decryption keys and can use them if there is a warrant. However, nothing in the iCloud terms of service grants Apple access to your pictures for use in research projects, such as developing a CSAM scanner. (Apple can deploy new beta features, but Apple cannot arbitrarily use your data.) In effect, they don't have access to your content for testing their CSAM system.If Apple wants to crack down on CSAM, then they have to do it on your Apple device. [...] If it encounters any CSAM content, it will send the file to Apple for confirmation and then they will report it to NCMEC. (Apple wrote in their announcement that their staff "manually reviews each report to confirm there is a match". They cannot manually review it unless they have a copy.)
Neal beschäftigt sich beruflich mit Fotos und empfängt Uploads von Usern und muss daher auch nach Missbrauchsfotos gucken und die melden nach US-Recht. Und hier wird es dann inhaltlich spannend, denn er hat NCMEC (die US-Behörde, die die Hash-Datenbank betreibt) um eine Liste mit den Hashes gebeten, damit er danach scannen kann.Eventually (about a year later) they provided me with about 20,000 MD5 hashes that match known CP. In addition, I had about 3 million SHA1 and MD5 hashes from other law enforcement sources.
Warum sind das so viele? Weil es von demselben Bild verschiedene Bilddateien gibt. Mal mit nem Header davor, mal ohne, mal als PNG, mal als JPEG mit 70% Qualitätsschieber, mal mit 80%. Alle visuell identisch aber andere Bits und daher anderer Hash.In the six years that I've been using these hashes at FotoForensics, I've only matched 5 of these 3 million MD5 hashes. (They really are not that useful.) In addition, one of them was definitely a false-positive. (The false-positive was a fully clothed man holding a monkey -- I think it's a rhesus macaque. No children, no nudity.)
OK, dann ist das Problem vielleicht einfach viel kleiner? Nein, ist es nicht!At my FotoForensics service, I typically submit a few CSAM reports (or "CP" -- photo of child pornography) per day to the National Center for Missing and Exploited Children (NCMEC). [...] According to NCMEC, I submitted 608 reports to NCMEC in 2019, and 523 reports in 2020.
Da gibt es dann noch ein interessantes Detail. Apple hat in den Zeiträumen bloß 205 und 265 Reports bei MCMEC gefiled. Er kann aber an den Dateinamen seiner Uploads sehen, dass die von Apple kamen, weil die ein eigenes Schema für Foto-Dateinamen haben. Apple hat also eine Menge solches Material, aber meldet es nicht. Er glaubt, weil sie nicht gucken.
Klar können sie das. Das konnten sie seit der Sekunde, in der ihr Geräte gekauft habt, die nicht euch gehören sondern Apple. Wenn ihr die Souveränität über eure Hard- und Software aufgebt, dann seid ihr solchen Übergriffen schutzlos ausgeliefert.
Das war von Minute 1 an klar. Es war schon vorher klar. Leute haben davor gewarnt. Ihr habt trotzdem lieber Apple-Geräte gekauft. Eigenbau-Linux-Projekte, die diese Probleme nicht gehabt hätten, habt ihr verhungern und austrocknen lassen.
Guckt mich jetzt nicht so an als müsste ich euch jetzt vor den Konsequenzen eurer Handlungen schützen. Jetzt steht ihr mal bitte schön ganz alleine auf der Straße und schimpft über Apple. Ich habe euch das gleich gesagt. Convenience war euch wichtiger. Jetzt habt ihr den Salat. Hört also bitte mit dem Herumgememme auf und fresst die Suppe, die ihr euch eingebrockt habt.
Was dachtet IHR denn? Dass Apple anständig ist und sowas nicht bringen würde?! Nachdem sie sich in China den Regierungsauflagen gebeugt haben? So blöde kann doch niemand sein!
Nein. Wir sind jetzt da, wo der Weg die ganze Zeit hinführte. Ihr habt eure Souveränität aufgegeben. Ihr benutzt Prozessoren mit Management Engines, die verhindert, dass ihr auf eurer Hardware den Kopierschutz von Netflix-Videos brecht. Ihr verwendet Computer mit "Sicherheitschips", die verhindern, dass ihr auf eurem Computer booten könnt, was ihr wollt. Ihr benutzt Software, die eure Daten nicht nur nicht schützt sondern in die Cloud hochlädt. Eure Daten sind längst in irgendwelchen Clouds in irgendwelchen Ländern. Die sind schon so oft weggekommen, dass die Preise für persönliche Daten aus Cloud-Hacks inzwischen in Hunderttausenden von Datensätzen angegeben werden.
Ihr gebt irgendwelchen Webseiten euer Geburtsdatum!! What the FUCK?
Apple war bloß der letzte umfallende Dominostein. Eure Souveränität ist schon länger futsch. Ihr konntet euch nur bisher selbst belügen, dass es schon nicht so schlimm werden würde.
Das Verfahren, das sie das benutzen, ist auffallend wenig schlimm. Die haben das sozusagen umgedreht. Man erspielt sich Awards, wenn man bestimmte Hashes vorweisen kann, die nicht öffentlich bekannt sind. Nur dass der Hash halt aus den Bildern berechnet wird und die Awards dann eine Meldung beim FBI sind.
Es werden also weder deine Fotos gegen deinen Willen in die Cloud hochgeladen zum Analysieren, noch läuft da irgendeine freidrehende "KI" und macht Pornoerkennung.
Wobei, eine freidrehende KI soll es wohl auch geben, und zwar um Eltern zu warnen, wenn ihre Kinder Nacktfotos von sich selbst machen.
Ja, äh, schön ist das natürlich alles nicht. Aber von allen Dinge, die Apple hätte implementieren können, ist das am unteren Ende der Schlimmheitsskala. Ich gebe ja Youtube die Schuld. Die haben das Fluttor geöffnet, dass man Dinge automatisiert scannen kann. Damit haben sie die ganze Welt in den Abgrund gestürzt. Jetzt wird alles ständig überall gescannt.
Klar findet das nichts am Ende. So wird das auch hier sein. Die haben eine Datenbank mit Hashes von bekannten Bildern. Angeblich geht es ja hier um die Bekämpfung von Missbrauch. Alte Bilder kursieren lassen ist zwar nicht schön aber da ist der Missbrauch ja schon geschehen und hoffentlich geahndet, denn die Polizei hat die Bilder gesehen und ermittelt und hoffentlich jemanden inhaftiert. Den Missbrauch von Kindern zum Anfertigen von neuen Bildern hält das mit den Hashes hier natürlich überhaupt nicht auf.
Und so ist das am Ende wie immer. Ihr tut so, als ob ihr uns angemessen bezahlt, und wir tun so, als hätten wir für das Geld gearbeitet. Das tatsächliche Lösen des tatsächlichen Problems? Not my job.
Update: Eine Sache fällt noch auf. Die Leute laden ja ihre Backups in die Cloud hoch, inklusive Fotos. Eigentlich würde es ja völlig reichen, wenn Apple in ihrer Cloud die Bilder scannt. Der ganze Aufwand mit Software auf die Geräte schieben, und dann dafür sorgen müssen, dass ein Angreifer auf den Geräten nicht sehen kann, welche Hashes hier gesucht werden, den Schuh hat sich Google gar nicht angezogen. Die scannen einfach in der Cloud rum.
Warum macht Apple das also?
Nun, gibt zwei offensichtliche Erklärungsansätze. Entweder sie wollen hier wirklich Kriminelle finden, und glauben nicht, dass die Cloud-Backup angeschaltet haben. Oder sie planen ihre Cloud-Backups so zu machen, dass sie da gar nicht reingucken können, selbst wenn sie wollten. Kryptografisch wäre das gar kein Problem, und würde auch ihren Kopf aus gleich mehreren Schlingen ziehen. Wenn ich einen Cloud-Backup bauen sollte, hätte ich das von Anfang an so gemacht.
Dass Kriminelle Cloud-Backup abschalten, glaube ich auch. Aber dass es Apple hier tatsächlich um die Kriminalitätsbekämpfung geht glaube ich auch nicht. Da wird jemand vom FBI den Tim Cook zu einem Abendessen eingeladen haben und dem ein paar fiese Bilder gezeigt haben, und dann hat Tim Cook sich bereiterklärt, ein bisschen Placebo auszurollen, damit man sagen kann, man helfe. Vielleicht auch als Pfand für die nächste Iteration gedacht, wenn das FBI mal wieder Hintertüren fordert. Ich glaube ja nicht, dass das funktioniert. Eher anders herum. Wenn man denen einmal einen kleinen Finger hinhält, beißen sie den ganzen Arm ab.
Der Nachteil von verschlüsselten Cloud-Backups ist, dass man dann auch Kunden mit Demenz nicht helfen kann, oder Hinterbliebenen.
Wenn man derzeit aus einem Hochinzidenzgebiet nach Deutschland einreist, muss man sich ja unter einreiseanmeldung.de anmelden. Da bekommt man am Ende ein PDF. Wenn man nicht geimpft ist (Kinder...), muss man ja für 10 Tage in Quarantäne, verkürzbar auf 5, wenn man nach 5 Tagen einen Test macht und den hochlädt.Klingt für mich wie ein klarer Fall von Not My Job Award.Wie lädt man den hoch? In dem PDF ist ein Link.
Der ist kaputt! Der wird nämlich auf zwei Zeilen umgebrochen, und wenn man klickt, wird nur die erste Zeile als Link genommen. Wenn man copy&pasted, wird ein Leerzeichen mitten in die URL eingefügt. Ws müssten jetzt also Tausende ihre Test-Ergebnisse hochladen, aber wieviele % werden diese Hürde überwinden?
Das Traurige: Scheint genau Niemanden zu interessieren. Ohne, dass der Test erfolgreich hochgeladen wurde, geht die Quarantäne noch 5 tage weiter. aber überprüft ja eh keiner...
Der Link sieht, in korrigiert, so aus:
https://upload.einreiseanmeldung.de/#/9578b324-54ce-4c6d-afb7-7e82e5cdba01Die GUID da ist von mir gerade pseudozufällig generiert, die kommt nicht von denen.
Leider ist der Link damit personalisiert und ich kann hier nicht den korrekten Link posten. Einmal mit Profis arbeiten.
Update: Der Einsender meint gerade noch, dass der Link in dem PDF mit Firefox funktioniert, aber mit dem Apple PDF Reader nicht.
Zu viele Briten in Quarantäne: Regierung ändert Einstellungen der Corona-App
Infolge der Explosion wurde die Warn-App Nina ausgelöst. Die Feuerwehr weist die Anwohner daraufhin, Fenster und Türen geschlossen zu halten. Wer sich draußen aufhält soll unbedingt ins Haus gehen. Die 112 soll nur anrufen, wer Angaben zum Geschehen machen kann. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe ordnete das Ereignis in die Warnstufe "Extreme Gefahr" ein.Nicht nur in China und Beirut haben sie die sicheren Lagerung von Gefahrstoffen nicht im Griff.
Geht damit los, dass die App die digitale Signatur gar nicht prüft.
Geht damit weiter, dass es keine Plausibilitätsprüfung gibt. Die Signatur kommt "vom Robert-Koch-Institut" aber wird gar nicht von denen erstellt. Die können daher gar nichts prüfen, selbst wenn sie wollten.
Wollen sie aber offenbar auch nicht, sonst hätten sie ja nicht ihren private key diesem verkackten Portal in die Hand gedrückt, das gerade vom Handelsblatt bloßgestellt wurde.
Vielleicht hat sich der eine oder andere gefragt, wieso die das ganze Portal ausgeschaltet haben, nur wenn ein paar ungültige Zertifikate ausgestellt worden waren. Die Antwort ist so naheliegend wie beunruhigend: Weil sie keine Recovation-Infrastruktur haben. Die können die ungültigen Zertifikate nicht zurückziehen.
Ja gut, prüf ich halt selber, denkt ihr euch jetzt vielleicht. Geht nicht:
Damit bleiben noch zwei Instanzen, die theoretisch etwas prüfen könnten: Die Apotheken bzw. Arztpraxen, die das Zertifikat ausgeben. Oder aber diejenigen, die die digitalen Impfnachweise technisch gesehen erstellen und signieren. Im Falle von Apotheken also das zentrale Portal des Deutschen Apothekerverbands. Die Prüfungsmöglichkeiten wären ohnehin begrenzt, weil Chargennummer und Impfstelle bzw. Impfarzt ja gar nicht erst erfasst werden.Ja gut, haben halt die Deutschen mal wieder verkackt. Wer vergisst denn bitte Revocation? Oder hält es für optional? Die EU, wie sich rausstellt!
Die letzte Fassung der EU-Richtlinien über Impfnachweise bezeichnet den Rückruf von Nachweisen allerdings als „Zusatzfeature“, an dem noch gearbeitet werden müsse.Was du auf morgen verschieben kannst, erledigst du natürlich nicht heute! Jedenfalls nicht als gutbezahlter EU-Sesselfurzer. Du willst ja auch morgen noch aussehen, als würdest du gebraucht! Daher ganz einfach: Nie irgendein Problem fertig lösen. Immer essentielle Teile verschieben.
Erstens ist er bei AG KRITIS, wo es um kritische Infrastrukturen geht, zweitens berät er immer wieder den Bundestag zu kritischen Infrastrukturen, und drittens hat er gerade beim Haus seiner Eltern den Schlamm weggeschaufelt. Der ist also Experte und Betroffener. Und er benutzt natürlich die Frühwarnapps und kann sich auch dazu äußern.
Hier äußert er sich im Heise-Interview. Da bleibt kein Auge trocken. Geht schon mit dieser offensichtlichen Einsicht los:
Wenn man jemandem sagt: "Da kommen 160 Liter pro Quadratmeter runter", dann können viele Leute damit ohne Kontext nichts anfangen. […] "Zwei Meter Anstieg" ist etwas, das man in Hochwassergebieten vielleicht noch versteht. Wenn man den Leuten aber sagt: "Im schlimmsten Fall gibt es diese zwei Meter innerhalb von einer Stunde" ist das etwas ganz anderes.Eines der Probleme ist, dass die Warnungen für alle Zielgruppen auf einmal formuliert werden. Für den Entscheider ist Liter pro Quadratmeter das relevante Maß. Für den Bauern mit dem Hof im Flutbereich vielleicht eher nicht so.
Es gibt übrigens gerade lauter Leute, die sich darüber aufregen, dass FM-Radio abgeschaltet wurde, was sich für Katastrophenwarnungen ja exzellent eignet. Dem folgt dann häufig der Hinweis, dass Mobilfunknetze sich ja weniger eignen, weil man da die Warnung einmal pro Empfänger verschickt.
Das stimmt möglicherweise für die Apps, aber schon die erste GSM-Iteration kannte ein Notfall-Feature namens Cell Broadcast. Es ist also keineswegs so, dass sich Mobilfunknetze weniger eignen für sowas. Muss man halt nur nutzen, solche Features.
Warum nutzt das bei uns keiner? Weil die Mobilfunkprovider das nicht ausgerollt haben. Die rechnen ja pro Traffic ab und haben daher kein Interesse daran, Menschenleben über Cell Broadcast zu retten, wenn das ihre Profite schmälern würde.
Das Interview lohnt sich aber insgesamt. Er ist eigentlich ein eher ruhiger Typ aber in diesem Fall wirkt sein Zorn dem Thema angemessen. Da kriegen sie alle ihr Fett weg, vom WDR über Laschet bis Seehofer.
Da gibt es jetzt eine "In-App Rating"-Funktion. Warum? Das ist ja wohl das nutzloseste des Überflüssigen?
Naja nee. Die Leute da draußen glauben, sie würden darüber das Restaurant bewerten, nicht die App.
So ist die App gerade von 2 auf 4 Sterne gestiegen, über Leute, die dachten, sie würden gute Restaurants bewerten.
Die Sache sah erstmal relativ klar aus. Die EU-Kommission ist die Exekutive der EU und besteht aus Kommissaren, die von den einzelnen Mitgliedsländern geschickt werden. Die haben u.a. die Aufgabe, die Einhaltung des Europarechts in den einzelnen Ländern zu prüfen und im Zweifelsfall Klage vor dem EuGH zu erheben. Das haben sie auch direkt gemacht in diesem Fall.
Eigentlich sind sich auch alle einig, was jetzt passiert: Der EuGH wird wahrscheinlich gegen Deutschland urteilen.
Aber ganz so einfach ist es denn doch nicht.
Im Luxemburger Gerichtshof herrscht seit Langem eine Zentralisierungsdrift. Der EuGH baut seine eigene Position stetig aus. Jüngstes Beispiel ist die Rechtsstaatskontrolle gegenüber Polen und Ungarn. Dafür bekommt der EuGH viel Applaus, in dem freilich untergeht, dass der Gerichtshof hier eine Kompetenz kreiert hat, die davor nicht existierte; die Justiz ist nicht vergemeinschaftet. Voßkuhle nannte dies einen "Husarenstreich".Das ist eigentlich immer schlecht, wenn sich jemand selbst mehr Kompetenzen geben kann. Dazu kommt, dass der EuGH sehr befangen aussieht, nicht nur in diesem Konflikt jetzt. Eigentlich sollte der EuGH ja auch EU-Organe zurückpfeifen, wenn die Mist machen. Bisher hat er aber praktisch ausschließlich pro EU geurteilt.
Die EU-Kommission sagt jetzt, man müsse im Konflikt mit Deutschland hinter dem EuGH stehen, denn wie sähe das denn sonst aus, was man mit Polen und Ungarn gemacht hat.
Das Argument kann man aber auch umdrehen, und sagen: Dieser Fall mit Deutschland zeigt, dass es falsch war, was der EuGH mit Polen und Ungarn gemacht hat.
Gucken wir doch mal, was die gerade berichten ... Oh, nanu?
THIS WEBSITE HAS BEEN SEIZED
Ja nee, klar. Das FBI und das US-Justizministerium haben die Domain beschlagnahmt.
Gut, fragt man sich schon, wieso der Iran eine .com-Domain holt und nicht eine .ir -- oh warte, sie haben auch eine .ir-Domain. Hey, war das vielleicht ein großartiger Troll des Iran? Mal gucken, wann die Amis sich öffentlich so zum Stück Brot machen?
Gut, da haben wir jetzt die Antwort.
Und wir wissen jetzt auch, ob Trump oder Biden der krassere Betonkopf-Hardliner und Kriegstreiber ist.
So, dann gucken wir doch mal, wie der Iran das schlau nutzt. Vielleicht Statements von befreundeten "Nachrichten"seiten. Russia Today könnte das z.B. für ein generisches Statement pro Pressefreiheit nutzen. Gucken wir doch mal. Oh hier, das böte sich an: Biden kritisiert die Chinesen wegen Verletzung der Pressefreiheit, weil sie in Hong Kong Apple Daily zugemacht haben. Money Quote von Biden: Journalism is not a crime! Da hätte man was schönes draus machen können!
It is, of course, deeply ironic that a country which claims to champion freedom of speech has taken these websites down. But it’s merely the latest act in a long list of crimes and acts of aggression committed against Iran by Washington dating back decades.
Hmm, na gut, jetzt nicht das flammende Pro-Iran-Plädoyer, auf das der Iran gehofft haben wird.Irgendjemanden wird es ja wohl geben, der das für ein generisches Statement pro Pressefreiheit nutzet.
Ah ja, hier, sie haben jemanden gefunden!
Hezbollah, Iraqi anti-terror group slam US seizure of website domains tied to pro-resistance media
Nein, wirklich! Die zitieren da die Hisbollah, praktisch weltweit als Terrororganisation anerkannt.Frage mich, wieso sie das überhaupt auf Englisch veröffentlichen.
Gut, äh. Wo waren wir? Ah, bein internationalen Zum-Stück-Brot-Machen-Wettbwerb. Es steht unentschieden, würde ich sagen. m(
Überzeugt mich nicht. Die Anzeige hat da nichts verloren. Der Eigentümer des Handys weiß ja wohl hoffentlich, ob er geimpft ist oder nicht. Wozu also die Anzeige? Die kann also nur negative oder gar keine Auswirkungen haben.
Mir mailte noch jemand, dass man da auch einfach jemand anderes QR-Code scannen kann.
Tsja. Wie soll die App das auch verhindern?
Aus meiner Sicht ist die ganze Idee für die Tonne. Wir hätten beim alten Impfausweis bleiben sollen. Und gar nicht erst Anreize für Betrug schaffen sollen, indem wir an den Impfstatus irgendwelche Vor- oder Nachteile knüpfen.
Jetzt haben wir Anreize und damit vermutlich auch ein paar Betrugsfälle.
Ich schlage vor, dass wir die gemeinsam wegignorieren.
Denn die Alternative ist, dass das in der fetten Datenbank landet, mit der Steuernummer als Schlüssel vielleicht, oder als Vorwand für neue Datenbanken dient, die niemand von uns wirklich haben will. Dann kriegen wir Online-Lookup und das wird der Seehofer dann direkt der Polizei zugänglich machen, die daraus Bewegungsprofile erstellt und das "nur für schlimmste Terrorfälle" zur Verfolgung von Urheberrechtsverletzungen einsetzt.
Wenn du Skandale in Sachsen-Anhalt suchst, findest du Justizskandale und Impfskandale. Immer CDU-Personal.
Sachsen-Anhalt waren die, die mitten in der Pandemie das Krankenhaus schließen wollten.
Sachsen-Anhalt sind die, die Rainer Wendt (!) zum Staatssekretär im Innenministerium machen wollten.
Das waren die, deren Reaktion auf Funklöcher das Veröffentlichen einer Funkloch-App war. Und als die dann überraschend hunderte von Funklöchern meldete, meinte die CDU, da seien jetzt die Netzbetreiber gefragt.
Man würde denken: Nachdem die CDU so deutlich gezeigt hat, dass sie nicht regierungsfähig ist, wird die jetzt mal so richtig abgestraft.
Das Gegenteil ist passiert. Die Palastrevolution der Grünen ist abgesagt.
Die Leute glauben ja immer, Propaganda und Werbung wirken bei ihnen nicht. Hut ab an Axel Springer. Man kann glaube ich jetzt schon sagen, dass deren Agitationspropapganda die Grünen verhindert hat.
Update: Laut Tagesschau-Hochrechnung sind die Grünen knapp über 5%, noch unterhalt der FDP. DER FDP!!
Ich weiß, ich weiß, totes Pferd. Weitergehen, gibt nichts zu sehen hier.
Die haben sich da gerade eine schöne Piefke-Abmahn-Pipeline aufgebaut in Österreich, mit der sie jetzt die Deutschen in aller Ruhe zur Ader lassen. Und keine der beteiligten Instanzen hat auch nur den geringsten Anreiz, irgendwas genauer zu prüfen oder für zu hoch zu befinden oder gar als rechtsmissbräuchlich abzulehnen.
Ich kann ihnen das nicht übelnehmen.
Nach dem, was Deutschland mit dieser Kochbuch-Abmahnnummer gemacht hat?
Und es ist ja auch Deutschland, was immer noch jedes Jahr einen Scheit vom Baum des Rechtsstaats nachlegt, wenn es um Verlängerung oder Verschärfung von Urheberrecht geht. Rein von der Karma-Bilanz her haben wir das nicht besser verdient. Wir wählen seit Jahrzehnten immer wieder dieselben Urheberrechtsfanatiker.
Und jetzt? Jetzt kaufen wir auch noch vom Urheberrechts-Maximisten Smudo eine Covid-App. Ja nee klar.
Es ist wirklich schade, dass die Abmahnmafia immer irgendwelche Passanten und alleinerziehende Mütter umnietet und nicht mal jemanden wie Smudo oder Internet-Vorzensur-Politiker mit ihren Uploadsperren, die Artikel 5 des Grundgesetzes nicht kennen.
Da ist auch was dran. Singapur z.B. hat ihre Covid-Tracing-Tech nicht nur nicht wieder abgebaut sondern gesetzlich vorgeschrieben und setzt sie jetzt für andere Dinge ein.
Das war der Grund, wieso der CCC diese Liste an Anforderungen für die Covid-Tracing-App publiziert hat, die die SAP-Telekom-App auch (größtenteils) umgesetzt haben. Die ist damit dann nämlich nicht wirklich geeignet, um "für die Terrorismusbekämpfung" benutzt zu werden.
Das ist vermutlich auch der Grund, wieso wir jetzt zusätzlich noch diesen Luca-Bullshit kriegen und wieso diverse Landesregierungen da aufspringen. Luca erfüllt diese CCC-Anforderungen nämlich nicht. (Danke, Mathias)
In the Homebrew/homebrew-cask repository, it was possible to merge the malicious pull request by confusing the library that is used in the automated pull request review script developed by the Homebrew project.By abusing it, an attacker could execute arbitrary Ruby codes on users' machine who uses brew.
Unter uns? You had me at Ruby.
Das Kratzen machen sie aber auch nicht selber, sondern sie benutzen dafür die offiziellen APIs und DLLs von Apple und Google, d.h. adb oder itunes backup. Dafür muss das Handy unlocked sein. Wenn euch also "Zollbeamte" am Flughafen bitten, euer Handy kurz aufzuschließen, und dann damit ins Hinterzimmer laufen, dann wisst ihr, was sie vorhaben.
Jedenfalls, warum ich das erzähle: Das haben sich die Signal-Leute nicht einfach so bieten lassen. Den Blogeintrag solltet ihr euch mal in Gänze geben. Das ist Popcornkino vom Feinsten.
Die Software wird automatisiert durchgeguckt, ob irgendwelche Regeln verletzt sind (oder Abhängigkeiten nicht aufgelöst werden können), dann wird sie gebaut, dann laufen die Tests durch, am Ende vielleicht noch Code Signing und Hochladen in den App Store oder was auch immer man da haben will.
Teil so einer CI-Pipeline ist heutzutage gerne mal ein "Code Scanner". Das ist der zum Scheitern verurteilte Versuch, Software-Qualitätssicherung von einer Maschine machen zu lassen. Leider versteht die Maschine nicht die Intention hinter der Software und kann daher nur ein paar allgemeine Regeln testen, und auch die häufig mehr schlecht als recht. Ein häufiges Problem von so Tools ist, dass man eine gigantische Liste an False Positives kriegt.
Warum erzähle ich das? Manche Leute machen Code Scanning in der Cloud, als Auftrag an eine Drittfira. Bei einer dieser Drittfirmen ist eingebrochen worden und Code kam weg.
Das ist jetzt nicht so krass wie Solarwinds, weil so eine Testfirma im Allgemeinen keinen Schreibzugriff hat und nicht, sagen wir mal, ein paar Backdoors einpflegen kann.
Aber wenn der Quellcode deines Produktes deine Kronjuwelen sind, und du den Quellcode geheim hältst, dann ist der jetzt halt nicht mehr so geheim wie du dachtest.
Die betroffene Firma heißt "Codecov" und die haben angeblich 29000 Kunden.
Update: Oh, stellt sich raus: Das ist doch noch deutlich schlimmer. Man bindet codecov nämlich laut deren Anleitung wie folgt ein:
bash <(curl -s https://codecov.io/bash)
Und jetzt ratet mal, was die Angreifer dort manipuliert haben.
Nein, nicht nur für die Gesundheitsämter.
Das ist auch schon kacke, denn natürlich wird Vater Staat das dann auch für andere Dinge nutzen. Nein nein, keine Sorge, nur für schwerste Fälle von ... Urheberrechtsverletzungen im Internet.
Eine Covid-App von Smudo? Ernsthaft? Die so offensichtlich schlecht ist, dass das vorbeifahrenden Passanten auffällt, die nicht mal wirklich geguckt haben?
Ich dachte mir die ganze Zeit, hey, das ist ein Versuch einer Satire, um zu zeigen, wie dämlich die Politik ist, dass die sich selbst so einen Schmarrn andrehen lässt, wenn sie SCHON EINE FUNKTIONERENDE APP HABEN, bezahlt vom Steuerzahler!
Dann kommt Mecklenburg-Vorpommern und kauft eine Lizenz.
Haha, dachte ich mir, erfolgreich vorgeführt! Jetzt können wir das aufklären!
Dann passiert … nichts. Für ein paar Wochen.
Dann kauft Hessen eine Lizenz.
Äh … Leute? Wo bleibt das Bekennerschreiben?
Dann lachen wir alle einmal herzhaft, wählen die Idioten in Hessen und Meckpomm ab, und es geht zurück zum regulären Elend.
Aber ich kriege langsam den Eindruck, dass das gar keine Satire war. Vielleicht fing es an als Satire? Die Fanta 4 haben sich gesagt: Pass uff, die führen wir jetzt mal so richtig vor. Niemand von uns muss nochmal arbeiten, wir haben nichts zu verlieren. Aber dann sahen sie, dass sie da ernsthaft auch noch Kohle rausziehen können und die Gier übernahm?
Was zur Hölle passiert hier gerade?!
Das ist ja schonmal grundsätzlich eine ganz schlechte Idee, weil es Signal zu einem Ziel für Scammer macht. Im Moment ist es nur ein Ziel für Geheimdienste. Schlimm genug.
Aber Signal baut nicht nur Payments ein. Nein, nein! Signal baut Blockchain ein.
Das ist der letzte Sargnagel. Ich habe schon aufgehört, Signal zu empfehlen, seit sie dieses desaströse Pin-Update eingebaut haben. Inhaltlich hat das bedeutet, dass sie dein Telefonbuch in die Cloud hochladen. War nicht so klar kommuniziert, aber das war das. Sie machen eine Packung Bullshit-Voodoo über deine Pin, dann verschlüsseln sie damit dein Telefonbuch, und dann laden sie es in die Cloud hoch.
Weil Smartphones sich überhaupt nicht für die Eingabe von Text oder Passwörtern eignen, ist die Pin entweder unbrauchbar, weil man sie nicht eingegeben kriegt, oder sie ist unbrauchbar, weil sie zu wenig Entropie hat und auf dem Server einfach durchprobiert werden könnte.
Und Signal hat diese verkackte Pin nicht Opt-In gemacht sondern einmal allen aufgezwungen. Das war der Moment, seit dem ich Signal nicht mehr benutze.
Aber jetzt? Auch noch ein Blockchain-Bullshit-Sandwich draus machen?
Und nicht mal eine echte Blockchain sondern so ein Voodoo-Handwaving-Hybrid-Schlangenöl.
Ich habe mir das letztes Jahr mal näher angeguckt. Das gesamte Ding fußt auf Intel SGX. Das ist Intels Enklaven-Voodoo-Tech. Laut Signal funktioniert das so: Deren Krypto-Blockchain-Voodooware ist Open Source und du kannst sie selber bauen. Dann kannst du davon eine kryptografische Checksumme nehmen. Dann fragst du einen proprietären unprüfbaren closed-source Cloud-Dienst von Intel, und der sagt dir dann die Checksum von dem Kram in der SGX-Enklave. Dann kannst du sehen, dass die Software unmodifiziert war.
Woher weiß denn der proprietäre unprüfbare closed-source Voodoo-Dienst von Intel in der Cloud die Checksumme von der Software in der SGX-Enklave? Nun, der verlässt sich auf proprietäre unprüfbare closed-source Voodooware von Intel in deiner Intel-CPU (in der Management-Engine, die Intel allen Kunden unausschaltbar aufzwängt) mit SGX.
Ihr merkt schon: Lange hat mich nicht mehr ein Konzept so dermaßen wenig überzeugt. Die Anzahl der Schichten an "guck hier mal nicht so genau hin"-Level Krypto ist atemberaubend. Die Humanisten unter euch werden die Wortbedeutung von Krypto kennen und an der Stelle die Ironie genießen, dass Krypto-Voodoo hier als Flimflam-Zutat für ein Bullshit-Cocktail aus wilden Ablenkungs-Handbewegungen hergenommen wird, das man sonst nur von Hütchenspielern und Bühnenzauberern kennt.
Ach komm, Fefe, werdet ihr jetzt sagen. Intel ist doch vertrauenswürdig! Ach ja? Intel, wir erinnern uns, musste mehrere Milliarden Entschädigung an AMD blechen, weil sie sie mit unfairen Methoden zu behindern versucht haben. Intels Compiler erzeugte jahrelang (bis heute?) Binaries, die auf AMD-Prozessoren künstlich mit angezogener Handbremse liefen. Und DIE sollen jetzt die Grundlage für unser Vertrauen in Signal sein?!
Aber Fefe, sagt ihr jetzt vielleicht, Intel hat doch gar keinen Anreiz für Beschiss an der Stelle!!1! Ach ja, ist das so? Wir reden von einem fucking Payment-Dienst! Wer da bescheißen kann, kann sich anderer Leute Geld überweisen! Da seht ihr keinen Anreiz?!
Nee, sorry. Signal hat über die Jahre eine Menge Vertrauen aufgebaut. Das ist jetzt weg.
Oh, übrigens, erwähnte ich, dass deren "Open Source"-Serverkomponenten seit nem Jahr nicht mehr geupdated wurden? Und auf deren Servern andere Software läuft als was sie im open source-Repo veröffentlichen?
Ja, äh, klar stinkt das, aber komm, wir schmieren da jetzt ein paar Lagen Krypto-Blablah drüber und dann decken wir das mit einer Decke unvertrauenswürdigen Intel-Versprechungen zu. Hier, noch ein bisschen Pseudo-Open-Source-Parfüm drübergespritzt, dann riecht man das gar nicht mehr so!1!!
Ich habe ja neulich schon bei der Meldung zu den hopsgenommenen Krypto-Messengern angedeutet, dass in Zukunft die wichtigste Eigenschaft von Krypto-Messengern sein wird, ob sie auch dann noch vertrauenswürdig einsetzbar sind, wenn die Infrastruktur von schattigen Behörden oder Geheimdiensten oder Kriminellen übernommen wurde.
Alle Messenger, die dich nicht selber Key-Management über QR-Codes o.ä. machen lassen, sind direkt durchgefallen. Dazu gehört leider auch Signal.
Ich persönlich schiebe die Schuld an dieser ganzen Misere ja den Sprallos in die Schuhe, die seit Jahren PGP madig reden. PGP ist die einzige fucking Krypto-Software, die explizit mit dem Ziel entwickelt wurde, dass du nicht dem Netz, nicht der Cloud, nicht irgendwelcher von Dritten betriebenen Infrastruktur glauben musst, sondern zur Not alles zur Hand bootstrappen und betreiben kannst. Diese ganze Hipster-Kacke, die heute unter Krypto läuft, kannst du alles einmal in der Pfeife rauchen. Ja, auch Browser-Krypto. Oder hat jemand von euch schonmal manuell Zertifikats-Hashes im Browser verglichen? Und dann verstanden, dass nächstes Mal ein anderes Zertifikat kommen könnte und man das bei jeder HTTPS-Verbindung einzeln verifizieren müsste eigentlich?
Ja, kommt, ihr Apple-Hipster. Erzählt mir mehr darüber, wie man ordentliche Krypto macht. Aber aber aber Signal ist doch viel einfacher zu bedienen!!1! Ja, der bedient sich sogar ganz von selbst und lädt deine Daten in die Cloud hoch!
Apropos Signal. Lacher am Rande. Bei dem Facebook-Datenreichtum ist ja auch der Datensatz von Mark Zuckerberg drin gewesen. Jemand hat die Telefonnummer in sein Adressbuch eingetragen. Und wisst ihr, was als nächstes passierte? Signal hat ihm gesagt: Zuckerberg ist auf Signal! Connect with him! Wie, ach, das habt ihr gar nicht auf dem Schirm gehabt als mögliches Privatsphäreproblem?
Na sowas.
Sic transit gloria mundi.
Update: Oh, guck mal einer schau. Signal hat gestern abend den Open Source Serverteil aktualisiert. Ein Schelm, wer Böses dabei denkt!
Update: Bei Signal kann man übrigens Kontakte manuell verifizieren. Ja, sogar mit QR-Code. Weiß nur keine Sau, weil das so geschickt in der UI verborgen ist. Haben sie irgendwann nachgerüstet und keiner hat's gemerkt. Man geht in die Kontakte-Liste, dann öffnet man einen Gesprächsverlauf mit jemandem, dann geht man im Menü auf Conversation Settings, dann scrollt man runter, denn diese unwichtige Randgruppenoption ist die letzte in der Liste: View Safety Number. Wenn man da raufgeht, dann kommt ein Screen namens Verify Safety Number. Dann muss man nur noch ein paar Jungfrauen in einem Pentagramm opfern und lateinische Inkantationen sprechen.
Guckt nur mal hier: Zwei Landeschefs sind in Covid-Quarantäne. Hamburg und Thüringen.
Wartet, geht noch weiter.
Warum sind die in Quarantäne? Weil bei ihnen die Covid-Warn-App angeschlagen hat.
Warum hat die angeschlagen? Weil die auf der Bundesratssitzung waren.
Bleibt die Frage, warum der Rest nicht auch in Quarantäne ist. Meine Vermutung: Weil die keine Warn-App haben.
Wie gesagt. Die armen Satiriker.
Meldung 1: Berliner Senat schreibt Homeoffice vor.
OK, denkt ihr euch jetzt vielleicht, gibt doch noch einen Funken von Vernunft in Berlin. Aber wartet! Geht noch weiter!
Meldung 2: Gastronomie in Berlin: Bezirk Mitte will Restaurants wieder öffnen. Man braucht bloß einen negativen Covid-Test und drei Apps.
Drei Apps? Ja!
Zum einen die Luca-App (zur Kontaktnachverfolgung), eine Ticketing-App (um einen Tisch im Restaurant zu reservieren) und eine spezielle Diagnose-App. Die soll laut Bezirksbürgermeister Stephan von Dassel (Grüne) als Tagespass nach einem negativen Corona-Test genutzt werden.Und wenn das nicht reicht, dann machen wir halt vier Apps!
Die Älteren und euch werden sich noch an die Nassrasierer-Kriege erinnern, als die Hersteller plötzlich von 2 auf 3 Klingen eskalierten, dann auf 4, und schließlich auf 5.
Da sind wir jetzt wieder. Du brauchst: 1 negativen Test, 3 Apps und 5 Blockchains!
Die FSF hat plötzlich und überraschend gemerkt, dass sie ohne ihren Gründer, Richard Stallman, bloß eine weitere belanglose Pseudo-Organisation ist, die nichts bewegt und der Presse herzlich egal ist. Also haben sie ihn zurück in den Aufsichtsrat gewählt.
Und ah, endlich hat der Lockdown-geplagte Lynchmob wieder ein Opfer und kann sich mal so richtig als woke positionieren, schön mit schönen Rufmord-Lügen wie
Stallman werden in dem Schreiben unter anderem frauen- und transfeindliche Positionen vorgeworfen.Ah, frauenfeindlich, ja? Was ist denn der Vorwurf?
Stallman is a disgusting misogynist and known sexual harasser who licked my law professor friend’s arm from wrist to elbow when she met him and shook his hand.
Wat? OK, also sie steht da, reicht ihm die Hand, und er reicht nicht seine Hand sondern eine Zunge? Und sie kommt nicht auf die Idee, den Arm wegzuziehen? Er fängt zu lecken an, aber sie zieht den Arm immer noch nicht weg? Wat?Ich bin da vielleicht einfach nicht phantasiebegabt genug, um mir das vorzustellen. Oder vielleicht klingt das auch bloß so absurd, weil es eine Behauptung von jemandem ist, und wir nur eine Seite gehört haben?
Gibt es Zeugen? Stand da niemand daneben? Lass mich raten: Sie konnte nicht fliehen, weil sie vor Angst wie gelähmt war?
Komm, Fefe, das ist eine Jura-Professorin, wenn das so passiert ist, dann gibt das ja wohl eine der bestformulierten Klagen in der Geschichte der Jurisprudenz! Haben wir von der was gehört? Nicht?
Ja, äh, sorry, aber da erwarte ich eine bessere Faktenlage als "jemand auf Twitter sagt, ein Freund eines Verwandten habe folgende Geschichte so gut wie selbst erlebt".
Aber ok, er ist ja auch transphob, angeblich. Was ist da der Vorwurf? Die Faktenlage sieht auch da eher dünn aus. Ich zitiere:
In calling for the FSF board resignation, the petition organizers point to those comments, to the harassment complaints, to comments Stallman made about people with Down syndrome, and to his repeated comments about the singular pronoun “they,” which the petitioners refer to as “poorly disguised transphobia.”
Oh ach soooo! Die Trans-Aktivisten haben Stallman vorschreiben wollen, welche Wörter er benutzen darf, und er wollte nicht mitspielen? Na damit ist ja wohl alles klar. STEINIGT DEN TRANS-FEIND!!1!Aber komm dieses ganze Hörensagen, da wird doch ein Qualitätsverlag wie Heise nicht einfach mitmachen, oder? Na gucken wir doch mal:
In einem Appendix haben die Kritiker Beispiele gesammelt, die Stallmans Fehlverhalten dokumentieren sollen. Hier finden sich Äußerungen des GNU-Erfinders über Geschlechtsverkehr mit Minderjährigen, Kinderpornographie oder auch die Empfehlung, dass schwangere Frauen Kinder mit Down-Syndrom besser abtreiben sollten. Ebenfalls wird ihm nachgesagt, dass er sich seit Langem unangemessen gegenüber Frauen verhalte.Whoa, Dude. Geht es noch schmuddeliger, Heise? DAS ist eure Zusammenfassung? Ein von Aktivisten, die Stallman versenken wollen, aus 40 Jahre öffentlicher Äußerungen zusammengepickte Liste an Dingen, und ihr habt nicht mal die Zeit gehabt, da mal reinzugucken?
Was heißt denn "Äußerungen über Sex mit Minderjährigen"? Das Strafgesetzbuch äußert sich auch über Sex mit Minderjährigen. Sind das jetzt alles Übeltäter, die das geschrieben haben?! Was Stallman ein paar Mal gesagt hat, ist dass die Altersgrenze aus seiner Sicht nach irgendwelchen moralischen Gesichtspunkten von irgendwelchen Leuten willkürlich festgesetzt wurde und nicht auf einer wissenschaftlichen Basis beruht, was man schon daran sehen kann, so Stallman, dass in verschiedenen Ländern andere Grenzen gelten. Well yeah. Wisst ihr, wer das noch sagt? Wikipedia! Verbrennt sie!!1!
Kinderpornographie ist genau so eine Chose. Vielleicht sogar noch krasser, denn bei uns ist ja inzwischen Anscheins-Pornographie verboten, d.h. wenn der Richter findet, das Modell in der Sexszene sehe aber jung aus, die könnte theoretisch auch minderjährig sein. Wohlgemerkt: Unabhängig von der Volljährigkeit der tatsächlichen Darsteller!
Was war noch? Oh ja. Down-Syndrom. Stallman hat angeblich mal etwas in die Richtung gesagt, dass Mütter Down-Kinder ja abtreiben sollten. Kann man eklig finden, kann man zustimmen. Ich persönlich bin sehr froh, nie vor der Entscheidung gestanden zu haben. Ich kann beide Varianten verstehen. Ich weiß nicht, ob euch klar ist, wie viele Abtreibungen es nach Down-Syndrom-Diagnose gibt anteilig. Es gibt da ausreichend viel Nachfrage, dass debattiert wurde, ob die Krankenkasse den Bluttest übernehmen sollte. Das ist also keine ekelige Einzelmeinung eines Unabomber-Typen hier sondern Meinung einer substanziellen Teilmenge der Bevölkerung. Hört also mal bitte auf, da auf Stallman zu zeigen.
War noch was? Oh ja.
"Ebenfalls wird ihm nachgesagt". Hey, wisst ihr, was diesem Heise-"Journalisten" nachgesagt wird? Nicht? Gut so. Denn das ist Schmuddel-Rufmord der übelsten Sorte und daran sollte sich niemand beteiligen.
Für mich ist die Sache daher ziemlich klar. Hier will mal wieder ein Woke-Lynchmob auf Kosten von Dritten Empörungs-Olympiade spielen. Am besten immer im Namen von Dritten. Soweit kommt es ja noch, dass man tatsächlich jemanden finden muss, der beleidigt wurde. Nein, nein, solche Lynchmobs ziehen im Namen Dritter los. Genau wie damals der Ku-Klux-Klan. Die wollten ja bloß die Frauen und Kinder schützen!1!! Daher haben die sich auch immer irgendwelche angeblichen kriminellen Handlungen aus dem Arsch gezogen, die der zu lynchende Schwarze begangen haben soll.
Ekelhaft. E-kel-haft. Ich verachte solche Lynchmob-Twittertäter.
Stallman hab ich übrigens mal persönlich getroffen. Ich dachte, das sei ein Irrtum, und ein Obdachloser habe sich verlaufen. Stallman ist im Umgang auch keine einfache Person, kein klarer Sympathieträger. Das heißt nicht, dass ihr ihn lynchen könnt.
Dass ich diesen Satz überhaupt hinschreiben muss!
Widerlich, dieser Twitter-Mob.
Der hat übrigens prominente Mitglieder. Mozilla und die FSFE sind mir aufgefallen. Von Mozilla erwartet man ja schon gar nichts mehr, aber die FSFE hat sich damit voll ins Aus geschossen. Die kriegen von mir nur noch Fundamentalopposition.
Ich konnte die ja ehrlich gesagt noch nie ernstnehmen. Sind bei Stallman aufgesprungen, rennen jetzt in seinem Namen von Schnittchen-Event zu Schnittchen-Event, lassen sich die Reisen von unterinformierten Spendern bezahlen, machen immer schön "ich bin dagegen!!1!"-Statements, und haben noch keine einzige Sache erreicht, die es bis zu meinem Aufmerksamkeitshorizont geschafft hätte. Ich grübel jetzt schon zehn Minuten, ob mir irgendwas einfällt, was die FSFE erreicht hat. Was es ohne die FSFE nicht gegeben hätte.
Nee. Komme auf nichts.
Und jetzt, nach dieser Stallman-Nummer? Zumachen. Schnell zumachen, bevor sie die Free Software Community noch weiter in den Dreck ziehen mit ihrem Verhalten.
Was Stallman zu Minsky und Epstein gesagt hat, kann man übrigens selber lesen. Money Quote:
The "s" in CSAIL stands for "science". The job of scientists is to evaluate evidence and seek truth. We have a social responsibility to do that as well.
Das war hier der Kontext.> Giuffre was 17 at the time; this makes it __rape__ in the Virgin Islands.Does it really? I think it is morally absurd to define "rape" in a way that depends on minor details such as which country it was in or whether the victim was 18 years old or 17.
Wer das für eine abstoßende Idee hält, den frage ich: Schaut euch mal die Gesetze von Saudi Arabien an. Nur weil eine Sache in einem Land zu einem Zeitpunkt legal oder illegal war, heißt das noch nicht, dass man sich der Beurteilung der Gesetzeslage durch die Richter dieses Landes automatisch moralisch anschließen muss. Und zu seinem Punkt über das Alter sei auf die handliche Übersicht der Gesetzeslagen alleine in Europa verwiesen. Oder nehmt nur die Dekriminalisierung von Homosexualität. Hat sich die Dekriminalisierung eure moralische Einstellung geändert? Ich hoffe die war vorher schon auf der richtigen Seite der Frage!
Heute sind wir dank Apps weiter:
Young female Japanese biker is really 50-year-old man with luscious hair using FaceApp
Die App hat offenbar einen Spiegel übersehen in einem Foto, wo man dann das unverfremdete Gesicht sehen konnte.Der Typ sagte dazu:
The man reportedly said that nobody wants to see an "uncle", and so, he turned himself into a "beautiful woman" so that his photos would be popular.
Ich finde daran vor allem spannend, wie sehr wir daneben gelegen haben mit unseren Ideen, was die gesellschaftlichen Auswirkungen von KI sein würden. Bei Deep Fakes war praktisch die einzige Sorge, dass das in der Politik benutzt werden könnte.Stattdessen kann jetzt offensichtlich jeder online eine junge hübsche Frau sein. Es heißt ja immer, junge Mädchen würden von den gesellschaftlichen Erwartungen an ihre Körper kaputtgemacht. Aber hat jemand diesen alten Motorradfan da auf dem Radar gehabt?
Für IBM und die beteiligten Unternehmen geht es um potenzielle Millionenerlöse. Jedes Zertifikat, das via App erstellt wird, bedeutet eine Gebühr, die die Hersteller kassieren. Das Nachrichtenportal "Business Insider" schätzt, dass bei einer Impfquote von 80 Prozent der Bevölkerung in diesem Jahr Erlöse von rund 32,5 Millionen Euro erzielt werden könnten.Was zur Hölle?! (Danke, Erich)
Aufgefallen war die Schwachstelle bei einer Recherche von BR-Datenjournalisten. Die Daten waren weder mit einem Passwort noch mit anderen Sicherheitsvorkehrungen geschützt und mit wenigen Klicks einsehbar.Will sich da etwa das Bildungsministerium an Spahn und Scheuer vorbeimogeln?
Tim Sweeney von Epic Games hat mal öffentlich gefragt, wieso ISO-Standards eigentlich nicht frei im Netz stehen. Er hat das ein bisschen undiplomatischer formuliert.
Ich persönlich fand das nicht schlau, da das Wort "Hobbyisten" in den Mund zu nehmen, weil das unnötig abwertend klingt. OpenSSL und ffmpeg sind beides Hobbyisten-Projekte, die auf Standards basieren, die zumindest zur Projektgründungszeit nicht frei zugänglich waren.
Erstmal: Das ist nicht bloß die ISO. Fast alle Standardisierungs-Organisationen wollen Geld für ihre Standards. SSL basiert auf X.509-Zertifikaten, das ist ein ITU-Standard, und die wollen Kohle sehen. Die ganzen MPEG-Versionen sind ISO-Standards und die wollen Kohle sehen. Ähnlich sieht das mit DVD und DVB aus, und so weiter.
Tim Sweeney mag ein oller Troll sein, der sich u.a. gerade einen Don-Quijote-Scharmützel mit Apple liefert, aber an der Stelle hat er völlig Recht.
Jedenfalls sprang auf die Debatte schnell Mikko Hyppönen auf, und dann ... hat die ISO Mikkos Sarkasmus kommentiert.
Ja, richtig gesehen. Mikko hat die mächtige ISO mit beißendem Sarkasmus zu einer Reaktion provoziert. Und was sagt die ISO? Nun, das zitiere ich hier mal in Gänze:
Hello, unfortunately, the ISO Central Secretariat does not provide free copies of standards. All ISO Publications derive from the work and contributions of ISO and ISO Members that contain intellectual property of demonstrable economic value.
Die ISO sagt: Wir nehmen Geld, weil wir können.For this reason, considering the value of standards, their economic and social importance, the costs of their development and maintenance, we and all ISO Members have the interest to protect the value of ISO Publications and National Adoptions, not making them publicly available.
"Fuck you", sagt die ISO. Wir können Geld nehmen, also tun wir es.Gut, dass wir das mal geklärt haben.
Gute Wahl. IBM hat langjährige Erfahrung damit, der deutschen Regierung die internen Abläufe mit Hollerith-, äh, ich meine, Blockchain-Technologie zu optimieren!!1!
Außerdem, wenn es eine Firma gibt, bei der man nichts, äh, ich meine nur Gutes von deren IT-Projekten hört, dann ist es ja wohl IBM!
Da wächst zusammen, was zusammengehört. Eine Regierung, die technologisch aus den 1980ern ist, kauft bei einem Zulieferer, dessen letzte Erfolge in den 1980ern liegen. Damals hieß es unter Einkäufern: Niemand ist jemals gefeuert worden, weil er IBM gekauft hat.
Ich hoffe, dass das diesmal anders läuft. Viel Hoffnung habe ich aber nicht. Dafür müssten Spahn und Scheuer ja öffentlich zugeben, dass der Auffahrunfall hinter ihnen, den alle klar sehen können, tatsächlich existiert. Wahrscheinlicher ist, dass die wieder Gaslighting betreiben, das alles ok ist, und was es an kleineren Problemchen gibt halt nicht vermeidbar gewesen wäre.
Update: Während bei der Tagesschau steht, das eine beteiligte Unternehmen sei auf "Datensicherheit mithilfe der Blockchain-Technologie spezialisiert", klingt das beim ehemaligen Nachrichtenmagazin so:
Der Kölner Anbieter Ubirch setzt auf QR-Codes und Blockchain-Verifizierung. Mit an Bord: IT-Riese IBM.
Alter Falter, und ich mach noch Blockchain-Witzchen! Auf der anderen Seite: Was sonst wäre von einer Kompetenzkanone wie Spahn zu erwarten gewesen?
Update: Hier ist die Selbstdarstellung von Ubirch:
UBIRCH denkt IoT-Sicherheit neu und geht dabei einen revolutionären Weg: auf Basis etablierter und robuster Kryptografie- und Blockchain-Technologie. [...] Funktioniert übrigens auch weltweit als erste Blockchain-on-a-SIM-Lösung.
Wie weit darf Satire gehen?
Update: Aus dem Spiegel-Artikel:
Technisch funktioniert das Ubirch-System so: Jede geimpfte Person bekommt im Impfzentrum oder beim Hausarzt einen QR-Code – auf einer Plastikkarte oder einem Stück Papier, per Mail oder App. Der QR-Code ist ein anonymer Fingerabdruck, der aus personenbezogenen Daten wie dem Namen sowie den Angaben zum Impfdatum und dem verwendeten Impfstoff generiert wird. Er wird kryptografisch signiert und in insgesamt fünf Blockchains hinterlegt.
Da stellen sich direkt einige Fragen. Wenn der Fingerabdruck aus personenbezogenen Daten generiert wird, wieso ist er dann anonym? Wenn er anonym ist, wie hilft er dann beim impfen? Wenn er anonym ist, aber wieder mit einer Identität verknüpft wird, damit man erkennen kann, ob jemand geimpft ist, welchen Wert hat dann die Anonymisierung und wieso wird sie überhaupt gemacht? Wer signiert hier kryptografisch? Und wieso wird der in fünf Blockchains hinterlegt? Eine wäre nicht sicher genug? Wieso nicht sieben? Wieso nicht 23?
Wenn man der Erklärung bei Ubirch hinterherklickt, findet man:
Entscheidend ist, dass nur die geimpfte Person über diesen QR-Code verfügt und nur sie entscheidet, wem sie ihn später zum Zwecke der Verifikation vorzeigt.
Wofür brauchen wir dann die Blockchains?
Es gibt keinen zentralen Speicherort.
Bis auf die fünf Blockchains, oder zählen die nicht, weil die "dezentral" sind?
Bei Bedarf kann durch den Digitalen Impfnachweis jederzeit gegenüber Dritten nachgewiesen werden, dass der Impfstatus unverfälscht ist. Dazu muss lediglich der QR-Code gescannt werden und die Angaben zur Person mit einem gültigen Identitätsnachweis z. B. dem Personalausweis abgeglichen werden.
Wie watt? Ist das Impfzeug jetzt personengebunden oder nicht? Wie soll man denn sehen können, dass ich da nicht den QR-Code meines Nachbarn vorzeige, wenn der angeblich anonym ist?
OK, ich stell mir das so vor: Die machen einen Hash über die Impfdaten und Name+Anschrift und signieren den. Zum Verifizieren scannst du den QR-Code, da holt er die Impfdaten raus und macht einen Hash darüber und über Name+Anschrift aus dem vorgezeigten Personalausweis. Das klingt erstmal gut, aber was wenn jemand den Namen ändert oder umzieht? Muss derjenige sich dann auch nen neuen QR-Code holen?
Update: So besiegen wir die Pandemie! Das Virus lacht sich tot!
Update: Übrigens, zur Sicherheit explizit: Ein Hash über personenbezogene Daten ist nicht anonym sondern pseudonym. Das ist ein Unterschied, auch juristisch im Kontext der DSGVO.
MIPS Technologies ist 1984 als Stanford-Ausgliederung entstanden, und MIPS geht auf die Arbeit des legendären John Hennessy zurück, der mit "Computer Architecture, A Quantitative Approach" eines der bis heute wichtigsten Standardwerke geschrieben hat, zusammen mit seinem Kollegen David Patterson von Berkeley, wo SPARC herkommt, ein anderer Pionier unter den RISC-Architekturen.
1992 hat Silicon Graphics dann MIPS übernommen, aber sich dann kurz vor der Jahrtausendwende für den Wechsel auf Intels "Itanic" IA-64 entschieden und ist damit endgültig baden gegangen. MIPS wurde dann von Imagination Tech gekauft, die eigentlich für ihre ranzigen "PowerVR" 3d-Chips bekannt waren. Imagination wurde dann von chinesischen Investoren übernommen, die haben den Laden dann aufgespalten und an andere Heuschrecken verhökert. Dabei ging MIPS an einen Laden namens Wave Computing, die Venture-Kapital sammelt, um damit "KI-Beschleuniger" (heiseres Lachen) herzustellen. Die gingen dann pleite und jetzt haben sie ihre Umstrukturierung offenbar überlebt und wollen sich umfirmieren und unter dem Namen MIPS weitermachen *augenroll*
Wie das halt häufig so ist im Tech-Umfeld. Alte Tech stirbt nicht, sie wird weiterverhökert. Myspace und Winamp gibt es ja auch noch.
Schon schade um MIPS. Die waren mal eine echte Legende unter den Architekturen. Aber gegen Intel kamen sie halt alle nicht an, die so viel Kohle im Massenmarkt eingesackt haben, dass sie damit auch ihre eigentlich minderwertige Architektur konkurrenzfähig halten konnten.
Hier ist die Pressemitteilung von Wave Computing, mit diesem zentralen Satz, der eigentlich alles sagt, was es da zu sagen gibt:
MIPS is developing a new industry-leading standards-based 8th generation architecture, which will be based on the open source RISC-V processor standard.
Davor war ihre Ansage, sie würden Deep Learning revolutionieren.Lief wohl nicht so gut.
Ja was hattet ihr denn gedacht? Biden war jahrelang Vizepräsident unter Obama, der mehr Whistleblower verfolgt hat als alle vor ihm zusammen. Natürlich rollt der da jetzt nicht plötzlich Rechtsstaat und Whistleblowerschutz aus!
Warum ist das ein Lacher?
Nun, Apple hatte neulich eine Änderung per Dekret verkündet, dass ab jetzt nur noch Apps eine Zulassung kriegen, die Tracking hinter einem Opt-In (also einer expliziten Zustimmung der Anwender) versteckt haben.
Selbstredend ist das der Todesstoß für das Geschäftsmodell von Google und Facebook und co, jedenfalls auf Apple-Plattformen. Facebook hat mit einer fetten Werbe- und Lobbykampagne reagiert und sich vor Gericht gekloppt.
Google hat einfach ihre alten Apps nicht mehr geupdated.
Wie so eine kindliche Trotzreaktion. "Mal gucken, wer mit der Situation zuerst nicht mehr leben kann". Stellt sich raus: Apple kann damit sehr gut leben.
Googles Server hatten jetzt eine Versionsabfrage. Wenn jemand mit einer ewig lang nicht mehr geupdateten App kommt, dann pusht der Server eine Fehlermeldung an die App: Achtung, lieber User, diese App ist alt und wahrscheinlich unsicher. Update mal!
Das ist natürlich in dem Kontext humoristisch ausgesprochen wertvoll :-)
Wow. Gibt es da niemanden, der den Hebel zieht?!
5,6 Milliarden, das ist fast so viel wie dieser Hedgefunds durch die Reddit-Foristen verloren hat! Wat!?!? Das blutet Google mal eben über ein Jahr raus?
Na kein Wunder, dass Google alle Nase lang vielgenutzte und geliebte Dienste zumacht. Ich habe hier gerade die Warnung gekriegt, dass mein Chromebook keine Updates mehr kriegen wird. Damit ist Google der einzige (!) Marktteilnehmer, der es schafft, einen Webbrowser alszuliefern, der keine Security-Patches mehr kriegt. Microsoft macht es besser, Apple macht es besser, Chromium macht es besser, fucking Mozilla macht es besser! Nur Google hält das für ein akzeptables Geschäftsgebahren, Kunden einfach ins Gesicht zu sagen, sie können die Geräte ja gerne weiter nutzen, wenn ihnen ihre Daten darauf nicht so viel wert sind.
Ja toll, Google, dann wandelt mal euer Geld weiter in Wolken um. Per Verbrennung.
Also erstens Mal: Robinhood verkauft nicht die Metadaten deines Trades an eine 3. Partei sondern beauftragt eine 3. Partei mit der Ausführung des Trades. Das ist also im europäischen Datenschutzjargon sowas wie eine Auftragsdatenverarbeitung.
Zweitens: Die Leute, mit denen sie das machen, sind die Market Maker für die jeweiligen Börsen und Aktien. Ein Market Maker ist eine große Institution, die an der Börse zockt, und die sich verpflichtet hat, in illiquiden Zeiten einen Markt zu schaffen. Wenn z.B. ich als Robinhood-Kunde eine Aktie verkaufen will, und keiner will die kaufen, weil alle glauben, dass der Laden bald pleite ist, dann hat sich der Market Maker verpflichtet, immer ein Kaufangebot zu unterbreiten (aber dann halt zu einem von ihm zu wählenden schlechteren Kaufpreis).
Warum würde jemand so einer Verpflichtung zustimmen? Weil es eine Differenz zwischen Kauf- und Verkaufspreis gibt, den sogenannten Spread, und wenn der Market Maker bei gleichem Kurs eine Aktie von mir kauft und dann an jemand anderen verkauft, dann zahlt der andere mehr für die Aktie als der Market Maker mir gezahlt hat. Wie hoch der Spread sein darf ist reguliert, das sind sehr kleine Beträge, aber es läppert sich.
Da so Knappheitsevents bei normalen Aktien sehr ungewöhnlich sind, hat der Market Maker im Wesentlichen das ganze Jahr über eine Lizenz zum Gelddrucken.
Eines Tages fiel das einem Broker auf, und der meinte dann: Hey, Jungs, wenn wir unsere Trades über euch abwickeln, dann verdient ihr ja daran. Pass mal auf, wir machen das jetzt so, dass ihr mir dafür eine Provision zahlt, und ich kann dann meinen Kunden einen gebührenfreien Aktienhandel anbieten.
So macht das Robinhood und so machen das auch alle anderen (nur dass einige der anderen das mit dem provisionsfreien Aktienhandel nicht an die Kunden weitergegeben haben sondern schlicht auf beiden Seiten fröhlich kassieren).
Das ist NICHT Front Running. Market Maker sind wie der Börsenhandel funktioniert. Das ist das normale Verhalten von Börsen.
Natürlich sind Börsen inhärent Kasinos von sich gegenseitig abzockenden komplett unmoralischen Abzockern, daher ist die Geschichte im Detail noch ein bisschen krasser. Und zwar gibt es nicht nur einen Market Maker, klar. Bei unwichtigen Penny Stocks wie Gamestop kann es sein, dass es nur einen gibt, aber die größeren Aktien haben mehrere Market Maker. Die bieten jetzt möglicherweise unterschiedlich hohe Provisionen an, oder haben zeitlich beschränkt unterschiedliche Preise für ihre Kauf- und Verkaufsangebote, was heißt, dass man Profit machen kann, wenn man Verträge mit allen hat und die Transaktionen seiner Kunden zum profitabelsten Market Maker schickt. Robinhood sagt, dass sie das nicht machen, weil sie das unfair finden (lolwut?).
Warum kam das jetzt überhaupt hoch? Weil einer der Market Maker Citadel Securities ist. Das ist eine Firma der Citadel Group. Die anderen beiden Citadel-Group-Firmen sind ein fetter Hedgefonds und eine Firma, die Tradingsoftware anbietet. Sowohl Citadel der Hedgefonds als auch Citadel der Market Maker sind jetzt Teil dieser Gamestop-Saga.
Citadel steht also auf beiden Seiten, einmal der Hedgefonds als Short Seller und einmal der Market Maker als Umsetzer der Wut der Reddit-Foristen gegen Short Seller.
So und mit diesem Verständnis der Lage kann ich jetzt mal spekulieren, was passiert sein wird: Citadel der Hedgefonds merkt, dass sie Aktienrückkaufprobleme kriegen für ihr Short Selling, und sagt Citadel dem Market Maker, wenn sie das nicht ganz schnell in den Griff kriegen, dann ist am Ende die ganze Citadel Group pleite. Citadel der Market Maker ruft Robinhood an und sagt: Ab jetzt nur noch verkaufen. Und wenn ihr nicht dafür sorgt, dass jemand verkauft, dann canceln wir unseren Vertrag mit euch und euer ganzes Geschäftsmodell steht auf der Kippe. Oder so.
Robinhood (diese Dark-Pattern-Trading-App mit Lockpreisen) hat mal ein Update verteilt, mit dem Kaufen von Gamestop-Aktien nicht mehr geht (Verkaufen aber schon). What the fuck!?
Dann ging dieser Screenshot rum, der zeigt, wie da eine Verkaufsorder für Gamestop auftauchte, die sich vom Benutzer nicht canceln ließ. What the fuck!?!? Ich hoffe mal, dass das nicht echt ist.
Dann ist bekannt geworden, wie Robinhood eigentlich Geld verdient: Indem sie die Aktien ihrer Kunden an Short Seller vermietet. Natürlich ohne denen Bescheid zu geben oder sie um Erlaubnis zu fragen.
m(
Ansonsten geht gerade noch das Gerücht um, Robinhood und co (es gibt da noch andere solche Apps) würden alle Orders kurz verzögern und vorher den Hedge Fonds (gegen Kohle versteht sich) sagen, wer gleich was kaufen wird, damit die schnell vorher kaufen und nachher verkaufen können und ohne Risiko Profit mitnehmen. Diese Praxis heißt Front Running und ist explizit verboten, sowohl in Europa als auch in den USA, und ist eine der wenigen Betrugsmaschen, die anhand öffentlicher Daten gut nachvollzogen und verfolgt werden kann, und das wird auch vergleichsweise hart bestraft, wenn jemand dabei erwischt wird. Daher halte ich das Gerücht für falsch, bis ich Beweise seie. Da reicht mir jedenfalls kein "jemand auf Twitter behauptet".
Nachdem Gamestop blockiert wurde, haben sich die Reddit-Zocker halt andere Penny Stocks genommen, die dann auch blockiert wurden. Inzwischen debattieren Abgeordnete und das Weiße Haus darüber, weil da einige Hedgefonds Milliardenverluste eingefahren haben sollen.
Wieso würde jemand Mitleid mit Hedgefonds haben? Die Argumentation geht ungefähr so: Wer kauft denn Hedgefonds-Anteile? Die Rentenfonds und Versicherungen. Wenn die Hedgefonds Riesenverluste machen, dann stehen Rentner ohne Rente nackig im Regen!
Und so ganz substanzfrei ist diese Argumentation ja nicht, auch wenn Versicherungen und Rentenfonds ein starkes Risikolimit vorgeschrieben haben und nur einen kleinen Teil ihrer Einlagen in Hedgefonds investieren dürfen, die in großem Stil Short Selling von Penny Stocks betreiben würden.
Auf der dritten Seite basieren solche Risikobewertungen nicht zuletzt auf Versprechungen der Hedgefonds und Analysen von Ratingagenturen, und auf beides ist ja vielleicht im Zweifelsfall doch weniger Verlass als man hoffen würde.
Anyway. Aktueller Höhepunkt der Eskalation ist, dass natürlich sofort ein Robinhood-Kunde einen Class Action Lawsuit gegen Robinhood eingetütet hat. Und er verlangt einen Jury Trial, d.h. Geschworene. Geschworene neigen zu Riesen-Strafen, wenn man nur ordentlich einen David gegen Goliath aufbaut oder anderweitig auf die Gefühlstube drücken kann, vielleicht weil ein kleines blauäugiges Mädchen zu Schaden kam oder so.
Popcorn bereithalten!
Für Verbraucher ist der Einkauf im Internet komplizierter geworden. Sie müssen sich nun bei Zahlungen mit der Kreditkarte ein zweites Mal identifizieren. Nach der Eingabe der Kreditkartennummer, des Verfallsdatums und der dreistelligen Prüfnummer ist seitdem eine zusätzliche Identifizierung über eine Smartphone-App ihrer Bank notwendig.Ich finde ja, da sollte man aus Sicherheitsgründen persönlich bei der nächsten Bankfiliale vorstellig werden müssen. Und beim Bürgeramt, wo man eine notariell beglaubigte Kopie des Polizeilichen Führungszeugnisses abholt, die man dann der Bankfiliale vorlegen muss. Und hey, wenn wir schon dabei sind, wieso nicht auch gleich noch die Krankenversicherung und den Vatikan involvieren?
Hier sind ihre Hosting-Anforderungen (Achtung: Hörensagen). Oh, und: Geld dafür bezahlen können sie natürlich nicht. Die haben noch nie einen Cent Profit gemacht.
Warte mal eine Chat-App macht extern 100 GB Traffic pro Minute?! Und intern 400 GB?!?
Tja, meine Damen und Herren. So sieht das Trafficmuster aus, wenn man Netflix-Style ein paar Fantastilliarden Microservices betreibt. Und so sieht der CPU- und RAM-Bedarf aus, wenn man das in Ruby on Rails macht.
Das ist auch der Grund, wieso es PHP noch gibt.
Es ging ja auch das Gerücht um, dass das dezentrale Backup, dass jemand noch kurz vor Rauswurf bei AWS gemacht hat, 70 TB groß ist.
Das ist m.E. ein typisches Cloud-Symptom. Wenn das nicht bei dir sondern bei Amazon wehtut, wieso solltest du dann die Anwendung optimieren? Wenn Storage virtualisiert ist, wieso dann in Sparsamkeit investieren? Die 70 TB kommen wohl daher, dass die nie was gelöscht sondern nur "als gelöscht markiert" haben.
Die Trafficmenge kommt wohl davon, dass die auch Bilder und Videos hatten. Das bläst natürlich die Trafficrechnung enorm auf.
Nuvia? Nie gehört? Das könnte daran liegen, dass die noch keine Produkte auf dem Markt gebracht haben. Nuvia ist eines der Startups, die bisher eher durch ein großes Maul aufgefallen sind: Die tollsten ARM-Server-Prozessoren, besser als Intel und AMD!
Da gab es schon mehrere von, bisher alle ein Reinfall. Wieso gibt Qualcomm jetzt also so viel Geld für Nuvia aus? Deshalb:
Gründer und CEO Gerard Williams III war bis Anfang 2020 fast 10 Jahre bei Apple, zuletzt als CPU-ChefarchitekturDie einzigen, die bisher einen wirklich ernstzunehmenden ARM ins Feld geschickt haben, der es von der Leistung her mit Intel und AMD aufnehmen kann, war Apple. Qualcomm kauft hier also nicht ein ARM-Startup, sondern sie kaufen das Knowhow hinter dem Apple-Erfolg.
Wer hätte gedacht, dass es im Prozessormarkt doch nochmal so spannend wird?
Ich finde das jedenfalls gut, wenn wir jetzt ein paar ARM-PCs kriegen. Schön mit Linux drauf, versteht sich.
Jetzt haben sie so halbfertige 10nm-Tech am Start, aber da ist der Ausschuss offenbar so hoch, dass sie damit den Takt nicht so hoch kriegen und nur Hoch-Margen-Produkte fertigen.
Aber so in Sachen "die sind Marktführer" hat man lange nichts überzeugendes mehr von Intel gehört. Das ist normalerweise die Art von Situation, in der Investoren nervös werden, und Aktivisten-Hedgefonds Druck machen, mal den CEO zu wechseln.
Genau das ist auch bei Intel gerade passiert. Der aktuelle CEO muss gehen, ein Typ namens Bob Swan, der mir zumindest bisher noch gar nicht aufgefallen ist. Sein Nachfolger soll der aktuelle CEO von VMware werden, ein Mann namens Pat Gelsinger.
Und DAS ist sowas wie ein Paukenschlag. Pat Gelsinger hat lange Jahre bei Intel gedient und ist da bis zum CTO gekommen. Pat hat da viele der Erfolge zu verantworten.
Insofern, von allen Leuten, die sie da jetzt zum Kapitän des sinkenden Schiffs machen könnten, ist Pat Gelsinger sicher eine der besten wenn nicht die beste Wahl. Pat Gelsinger war bis 2009 bei Intel, ist also gegangen, bevor das aktuelle strukturelle Verkacken im Industriemaßstab losging.
Vielleicht hat Intel doch noch eine Chance?
Bei Cloud-Deployments sehe ich häufig so eine Art Assoziationsfehler. Das ist wie wenn man einen Brief voller Grammatik- und Tippfehler dann aber auf hochwertigem Papier ausdruckt, in der Hoffnung, das die Qualität abfärbt. Die Leute schieben stinkenden Scheißcode in die Cloud und malen sich dann aus, dass die angenommene Professionalität der Amazon-Cloud auf die App überspringt. Und in der Tat stinkt das dann ja nicht bei dir im Keller sondern bei Amazon im Rechenzentrum. Es ist viel einfacher, da nicht hinzugucken. Wenn es platzt, dann mietest du halt mehr Server.
So scheint das auch hier gelaufen zu sein.
Verschärfend kommt aber hinzu, dass Parler für die Accountvalidierung verlangt hat, dass man einen Scan einer Photo-ID hochlädt, was in den USA in der Praxis dann der Führerschein ist, der im täglichen Gebrauch eine ähnliche Funktion wie unser Personalausweis erfüllt. Diese ganzen Scans lagen da in der Amazon-Cloud und wurden jetzt von den fiesen Linksextremistenhackerterroristen rausgezogen. So jedenfalls die Gerüchtelage.
Ich kann da nur staunen, muss ich sagen. Dass angebliche Revolutionäre bisher so wenig Kontakt zu repressiven staatlichen Organen hatten, dass sie keine Sorgen dabei haben, irgendwelchen beschissenen Webseiten eine Perso-Kopie auszuhändigen. Und dann da Nachrichten zu posten wie dass der Vizepräsident für seinen Verrat gehenkt werden sollte.
Ich vermute mal, dass diese Daten mehr oder weniger zeitnah bei den Strafverfolgungsbehörden oder dem Secret Service landen werden, die dann entsprechend der Reihe nach die Leute aus dem Verkehr ziehen werden.
Die Politik und das Recht in Deutschland sind "viel zu viel auf den individuellen Datenschutz ausgerichtet". [...] So komme es auch, dass die Corona-Warn-App der Bundesregierung "wirkungslos" sei: Sie registriere nur, wer sich mit dem Virus infiziert habe, erlaube eine "Nachverfolgung" der Betroffenen aber nicht.Ja, und zwar mit Absicht. Damit Zombies wie Friedrich Merz sich nicht mit den Daten zum Masturbieren in den Hinterzimmer zurückziehen können.
Wenn wir eine vertrauenswürdige Regierung hätten, hätte man das vielleicht auch anders machen können. Haben wir aber nicht. Weil da so Leute wie Friedrich Merz drohen.
Aber hey, wenn du die Wahl zwischen Merz, Laschet und Röttgen hast, dann kannst du dich auch direkt aus dem Fenster stürzen.
Aber Fefe, das ist doch eine klare Nummer! Laschet ist inkompetent, Merz ein Triebtäter, Röttgen ist der einzige Erwachsene im Raum!1!!
Mag sein, aber Röttgen hat das hier gesagt. Röttgen, Sie sind raus!
Mal gucken, ob sie such noch einen vierten Kandidaten aus dem Arsch ziehen. Wie wäre es mit einer Frau? Kristina Schröder wäre frei, hörte ich!1!!
Wieso würden Google und co eine Chat-App rausschmeißen? Gibt es da nicht Dutzende von?
Parler schreibt sich Zensurfreiheit auf die Fahnen und zieht daher Leute an, die anderswo rausgeflogen sind.
Bei Apple kennt man das ja, dass die sich für die Vorzensur der Inhalte in Apps von Dritten für zuständig halten, die wollen ja auch keine Pornos und Glücksspiel-Apps im Store. Aber Android hatte bisher kein Problem mit Pornos und Glücksspiel in ihrem Store.
Weder Google noch Apple haben Telegram rausgeschmissen, die sich ja auch gezielt an Leute richten, die anderswo rausgeflogen sind.
Wir leben zunehmend in einer Welt, in der uns die Megacorps vor Gefahren "beschützen", die sie häufig selbst verursacht haben. Microsoft gibt euch einen Antivirus, die Verlage schützen euch vor Fake News, die Politik beschützt euch vor "Extremisten", die sozialen Netze beschützen euch vor Hate Speech, Visa beschützt euch vor Wikileaks und Mastercard beschützt euch vor Pornhub. Google und Apple beschützen euch vor bösen Apps.
Und jetzt halt auch: Google und Apple beschützen euch vor Apps, die euch Dinge anzeigen, die Google und Apple für anstößig halten.
Ich frage mich, wie lange das noch dauert, bevor die keine Webbrowser mehr ausliefern, weil man damit zu viele gefährliche Inhalte sehen kann. Wobei, dafür beschützt uns ja die Düsseldorfer DNS-Sperre!1!!
Irgendwie wird die Bedeutung des Wortes Freiheit immer geringer während meiner Lebenszeit. Früher sind Kinder noch zum spielen in den Wald gelaufen. Alleine.
Heute heißt Freiheit, dass du dir aussuchen kannst, für welchen rechten Flügel der CDU du bei der Wahl stimmst.
Ich meine, das ist ja eine legitime Debatte, die man mal führen kann. Wollen wir lieber Freiheit, dann halt auch verbunden mit Risiken? Oder wollen wir lieber gepolsterte Wände an unserer Gummizelle, dafür aber Null Risiko. Essen kommt von Lieferando, Strom kommt aus der Dose, der Müll wird abgeholt, und wohin das Klo abfließt weiß niemand.
Hab ich persönlich ja kein Problem mit, wenn die Leute da draußen lieber in einer Zwangsjacke sediert in der Ecke liegen wollen. Aber nehmt dann nicht das Wort "Freiheit" in den Mund.
Update: Vielleicht fallen mir die Megacorp-Eingriffe gerade besonders stark auf, weil ich Cyberpunk zocke. Da sieht man die Leute zwar nicht sediert in der Zwangsjacke, aber man sieht sie zwischen Müllbergen auf einer Couch sitzen oder in der Gegend herumzucken, eine 3d-Brille tragend, die sie mit unproblematischem Megacorp-Content bespielt, damit ihnen nicht langweilig wird.
Der neue Zwang zu Privacy-Statements ist wohl auch der Grund, dass es von Google keine Updates mehr gibt für ihre Apple-Apps.
Daher lese ich sehr gerne Post-Mortems. Hier hat Netflix einen schönen publiziert. Der hat mich ziemlich aus der Bahn geworfen.
Ich fasse mal grob zusammen. Die hatten da Abspiel-Ruckeln auf einem Gerät, und beim Debuggen haben sie rausgefunden, dass ihre Softwarearchitektur schlecht war. Die hat bei einem Scheduler-Framework von Android einen Callback in 15 Millisekunden beantragt, und hat dann Audiodaten für einen Frame rausgeschrieben.
Im Allgemeinen kam der Callback auch nach 15 ms, aber halt nicht immer. Manchmal kam der auch erst nach 55 ms.
Das war ein Bug in Android. Das will ich auch gar nicht schönreden.
Aber was mich daran irritiert: Wenn du beim System oder sonstwo einen Callback beantragst, dann musst du immer davon ausgehen, dass der zu spät kommt oder einer ausfällt. Wir haben es hier mit Best Effort zu tun, im ganzen System. Es könnte z.B. sein, dass das Gerät heißläuft und daher den CPU-Takt runterschraubt und dann für deine beantragten Events nicht genug Luft war. Oder es könnte sein, dass der Speicher knapp wurde, weil eine andere App irgendwas krasses gemacht hat, und das System dann Speicher von deiner App rausgeschmissen hat, um den Bedarf zu befriedigen. Der kann dann wieder reingeladen werden, aber das dauert halt Zeit.
Kurz gesagt: Wenn du dem System sagst, du willst jetzt 15 ms Pause machen, dann hast du genau eine tatsächliche Zusage: Es sind mindestens 15 ms. Nicht höchstens. Mindestens!
Mit anderen Worten: Dein Handler muss immer davon ausgehen, dass da ein Event verlorengegangen ist und in dem Fall dann halt mehr Audiodaten rausschreiben, um nicht ins Stocken zu geraten.
Und das führt dann dazu, dass man auch den Fall abhandeln muss, wo man ein Event zweimal kriegt, denn möglicherweise kommt das erste Event zu spät, schreibt dann zwei Frames raus, und dann kommt direkt das Event für den nächsten Frame, den man jetzt aber schon rausgeschrieben hatte.
Ich bin einigermaßen irritiert, dass Netflix ihre Software nicht so designed hat, dass sie mit dieser Art von Unvorhersehbarkeit klarkommt und das on the fly kompensiert. Ich hätte gedacht, dass das absolute Mindestanforderung an solche Systeme ist. Mir wäre das gar nicht in den Sinn gekommen, ein System zu bauen, was das nicht tut.
Die Lektion ist, dass man bei der API-Dokumentation auch offensichtliche Dinge immer explizit hinschreiben muss. Nur weil du das für offensichtlich hältst, heißt das nicht, dass es auch alle anderen für offensichtlich halten. Als Beispiel will ich hier mal die Man Page von nanosleep(2) zitieren:
If the interval specified in req is not an exact multiple of the granularity underlying clock (see time(7)), then the interval will be rounded up to the next multiple. Furthermore, after the sleep completes, there may still be a delay before the CPU becomes free to once again execute the calling thread.
Ich kenne jetzt diese Android-API nicht, weil ich noch nie Android programmiert habe, aber ich vermute mal, wenn das da so klar dokumentiert gewesen wäre, hätten die Netflix-Leute ihren Dienst nicht auf der Annahme fußen lassen, dass das immer alles perfekt genau wie beantragt reinkommt.
Ich habe mich ja schon über die früheren Versuche von Cloudflare öffentlich geärgert, und aus meiner Sicht ist alles, was irgendwo in der Infrastruktur ein Cloudflare beinhaltet, direkt abzulehnen.
Aber ich hab mir das RFC mal angeguckt. Stellt sich raus: Die machen da Onion Routing. Also so ein bisschen. Eine Zwiebel mit nur einer Schicht. Ist wie Tor, nur schlechter.
Nehmen wir mal an, ich will was im DNS nach gucken. Dann hole ich mir aus dem DNS (das RFC liegt bisher nur als Draft vor, und es sagt: ich soll dem nur trauen, wenn es per DNSSEC kam!1!!) den public key von dem Cloudflare-Service. Dann gehe ich zu einem der drei Proxy-Server, der für Europa steht bei Surfnet (in den Niederlanden). Dem drücke ich eine Anfrage in die Hand, über https, aber die Anfrage ist auch nochmal verschlüsselt mit dem pubkey von Cloudflare. Surfnet geht damit zu Cloudflare und Cloudflare hat dazu den private key und kann das entschlüsseln.
Die Idee ist, dass Cloudflare dann nur die IP von Surfnet sieht, nicht von mir.
Cloudflare verschlüsselt dann die Antwort an meinen pubkey, den ich in dem Paket mitgeschickt habe.
Da können wir direkt aufhören, über das Protokoll zu reden. Da steht dann zwar nicht meine IP dran, aber mein pubkey. Das ist genau so eindeutig. Was für Spezialexperten denken sich denn bitte solche Protokolle aus!?
Nun würde man denken, dass im RFC steht: du musst pro Anfrage nen anderen Key nehmen. Steht da aber nicht.
Jetzt stellt sich auch die Frage, wieso da überhaupt ein public key drinsteht. Wir haben ja das Protokoll so entworfen, dass nur Cloudflare die Anfrage entschlüsseln kann. Da hätte ich also auch einfach direkt einen zufälligen AES-Key reintun können und mit dem kommt dann die Antwort verschlüsselt. Der Proxy sieht dann die verschlüsselte Antwort aber sah den Key vorher nicht. Public Key Krypto ist langsam und teuer!
Ich fühle mal wieder alle meine Vorurteile vollumfänglich bestätigt.
Seufz.
Mit so einem gemeinsamen Key kann man übrigens auch "signieren". Machst du ein SHA-256 von den Nutzdaten plus dem Key, den du aber nicht in der Antwort wieder mit rausschickst. Fertig. Sparst du dir auch noch die Signier-Pubkey-Operation.
Eine der Fragen ist, wie das denn jetzt genau mit Amris Mobiltelefon war.
[Die BKA-Ermittlerin] konnte beispielweise nicht erklären, wie Amri - oder eine andere Person - mit dem berühmten HTC-Handy vor dem Anschlag hätte kommunizieren können, da doch dessen SIM-Karte am Tattag gar nicht benutzt wurde.Das ist jetzt alles ein bisschen unübersichtlich. Klärung könnte vielleicht der BND herbeiführen, denn der hat von einem "ausländischen Partnergeheimdienst" Beweise zugesteckt bekommen. Die hat er dann prompt ... niemandem gezeigt.Im zweiten Mobiltelefon von Amri, einem Samsung Klapp-Handy, das im LKW lag, steckte wiederum nicht einmal eine SIM-Karte. Die Telefonnummer dieser SIM-Karte war allerdings am 21. Dezember 2016 um 17:30 Uhr in der Funkzelle Kurfürstendamm in Berlin eingeloggt. Amri saß zu diesem Zeitpunkt im Zug von Amsterdam nach Brüssel, mutmaßlich unterwegs mit einem dritten Handy.
Und jetzt kommt der Grund, warum ich das überhaupt ins Blog nehme. Die Ausrede des BND-Chefs dazu:
Antwort des BND-Präsidenten: "Wir haben es nicht vorenthalten, sondern vielleicht nur nicht in der gebotenen Eile weitergegeben."Und das, meine Damen und Herren, ist jawohl ganz klar einer für die Geschichtsbücher. *badumm tssssss*
Update: Und falls jemand diesen Artikel vom Mai nicht mitgeschnitten hat:
Der Untersuchungsausschuss (UA) des Bundestags hat entdeckt, dass sich auf dem HTC-Handy des angeblichen Attentäters Amri, das in einem Karosserieloch des LKW lag, zwei Fotos befinden, die nach dem Anschlag gemacht wurden.
Wir erinnern uns: Das Telefon des Attentäters, das in dem Tat-LKW gefunden wurde, wo es der Einzeltäter zurückgelassen hatte. Da waren Fotos von nach dem Anschlag drauf.
Ich sage euch, die KI wird immer fortschrittlicher!1!!
Was sagt das BKA dazu?
Danach könnten die Bilder, so das BKA, über eine App, möglicherweise eine Google-App, automatisch auf das Handy gespielt worden sein. Beispielsweise gäbe es bei I-Phones die Technik, per App "Nachrichten des heutigen Tages, die Dich interessieren könnten" anzubieten und sie dann im Hintergrund auf dem Handy zur Verfügung zu stellen. Die Fotos auf Amris HTC-Handy fänden sich, so das BKA, auch auf Nachrichtenseiten von jenem Tag.
Das wird sich das Handy dann per Telepathie oder WLAN geholt haben, denn es war ja wie gesagt keine SIM-Karte drin.
Update: Ein Leser hat die Auflösung:
Also ich weiß nicht wie das bei dir ist, aber mein Handy verbindet sich automatisch mit bekannten WLAN-Netzen. Das wird bei Amris Handy wohl das gleiche gewesen sein, als das BKA das Handy dann bei sich hatte.
Nach Angaben Amazons vom Mittwochabend sind folgende AWS-Dienste gestört: ACM, Amplify Console, API Gateway, AppMesh, AppStream2, AppSync, Athena, AWS Signer, Batch, CodeArtifact, CodeGuru Profiler, CodeGuru Reviewer, CloudFormation, CloudMap, CloudTrail, Cognito, Connect, DynamoDB, Elastic Beanstalk, EventBridge, Glue, IoT Services, Lambda, LEX, Macie, Managed Blockchain, Marketplace, MediaLive, MediaConvert, Personalize, RDS Performance Insights, Rekognition, Resource Groups, SageMaker, Support Console, Well Architected und Workspaces.Das sind ... was, ca 3% der verfügbaren AWS-Lock-In-Dienste?
Erinnert ihr euch noch, warum wir alle in die Cloud sollten? Das sind Profis, Fefe! Die wissen, wie man sowas macht! Alles ordentlich redundant. Fachleute! Da fällt so gut wie nie was aus!!1!
Da kann niemand was gegen haben, oder? Jedenfalls keine zivilisierte Gesellschaft? Sklaverei ist doch eh schon ewig abgeschafft, oder?
Naja, nee. Hier vielleicht. In den "Wertschöpfungsketten" der Zuliefererindustrie für z.B. Elektronik basiert heute noch viel auf Kinder- und Zwangsarbeit und Sklaverei.
Im Moment wird in den USA ein Gesetz debattiert, das Hersteller für Zwangsarbeit und Sklaverei bei ihren Zulieferern haftbar machen würde, und zwar transitiv (d.h. betrifft auch Subunternehmer der Zulieferer).
Ratet mal, wer mit aller Macht dagegen lobbyiert?
Kommt ihr NIE drauf!
Seid ihr eigentlich auch so froh, dass euer Smartphone-Hersteller einer von den Guten ist? Ich meine, stellt euch mal vor, die wären Teil der Mafia wie alle anderen! Das wäre wirklich schlimm, oder? Da könnte man gar nicht mehr ruhigen Gewissens einkaufen, oder?
Ich wohne in den Niederlanden und meine (schwangere) Frau ist hier Lehrerin an einer weiterführenden Schule. Ich kann sagen es ist langsam schwer zu verstehen. Auch hier wird den Schülern gesagt sie sollen die Warn-App ausschalten. Mittlerweile sind bei ihr in der Klasse 3 Schüler positiv getestet. Drei weitere warten auf das Ergebnis. Keiner außer der positiven Fälle wird in Quarantäne geschickt.Mann das war ja eine großartige Idee, die Schulen wieder zu öffnen! Schaut nur, was das alles für positive Folgen hatte!!
Wer hat das noch gleich beschlossen? Können wir die einfach mal in den Abendnachrichten vor eine Wand stellen und die Kamera draufhalten? Muss gar nicht lange sein. Eine Minute oder so würde mir völlig reichen. Damit man die Hackfressen mal sehen kann, denen wir das zu verdanken haben.
Einzige Bedingung: Sie müssen die Fresse halten. Die ganze Minute lang. Einfach nur da stehen, vor der Wand. In die Kamera gucken.
Auf Ronald Reagan geht ein berühmter Spruch zurück:
The nine most terrifying words in the English language are: I'm from the Government, and I'm here to help.
So langsam fange ich an zu verstehen, wieso so viele Amis libertär wurden.
In England sollen Lehrer und Schüler im Unterricht die Covid-Warm-App ausmachen. Zu viele Warnungen.
Some teachers are being told to disable the government’s Covid test-and-trace system while in school and to disregard notifications in order to reduce the number of staff required to self-isolate, a union has claimed.
Sagt die eine Lehrer-Gewerkschaft.Wieso die Briten die Schulen aufhaben? Ich vermute, der Boris Johnson hat auf einen Experten gehört.
Jetzt brauchen die die beiden Blindgänger nur noch einen Einäugigen, der sie mal einnordet. (Danke, Markus)
The most popular app among a group Motherboard analyzed connected to this sort of data sale is a Muslim prayer and Quran app that has more than 98 million downloads worldwide. Others include a Muslim dating app, a popular Craigslist app, an app for following storms, and a "level" app that can be used to help, for example, install shelves in a bedroom.
Hauptsache mehr Fülldaten für unsere neuen Plattenstapel, damit es nicht aussieht, als brauchten wir die gar nicht.
Zum Hodencovid gibt es natürlich den Dystopie-Buch/Filmtipp “The Handmaid's Tale”. Und „The Children of Men“.Ich habe hier noch einen Link aus einem dieser nervigen Ticker, wo das bestimmt demnächst rausaltert. Klickt also schnell, wenn ihr das noch sehen wollt: In Herborn ist einer Covidioten-Demo der Veranstalter verloren gegangen, weil der vom Amtsgericht zwangsweise in die Psychiatrie eingewiesen wurde. Der Typ hatte auf Facebook ein Video hochgeladen, in dem er angab, die Schüler befreien und die Lehrer bestrafen zu wollen.Ansonsten hast du sicher schon davon gehört, dass Covid19-Infizierte hinterher 8,5 IQ-Punkte blöder sind als die Kontrollgruppe.
https://www.medrxiv.org/content/10.1101/2020.10.20.20215863v1.full.pdf
Die Bilder in der Studie sehen noch so aus, als ob das hauptsächlich eine Funktion der Schwere der Erkrankung ist, und angesichts prominenter Infizierter, die nicht gerade zu den hellsten Kerzen am Leuchter gehören, vermuten viele auch, dass sich einfach vor allem Blöde anstecken („mit Covid blöde, nicht an Covid verblödet“), und die Studie ja keinen Vorher-Nachher-Vergleich macht.
Aber dann gibt es noch diese App, die Covid19 am Husten und Sprechen erkennt:
https://news.mit.edu/2020/covid-19-cough-cellphone-detection-1029
Und die erkennt das auch bei asymptomatischen Fällen zuverlässig. Und zwar, weil sich die Sprachparameter so ähnlich verändern wie bei Alzheimer. Man kann da echt nur hoffen, dass das dann wieder vergeht.
Aber die Dauer-Müdigkeit, die 50% der genesenen Patienten befällt, bleibt wohl auch länger…
https://journals.plos.org/plosone/article?id=10.1371/journal.pone.0240784
Vergleichbare Müdigkeit kommt auch bei Epstein-Barr-Virus und Influenza vor, aber eher selten. 95% aller EBV-Infektionen sind komplett asymptomatisch, und selbst bei der spanischen Grippe, die von der „europäischen Schlafkrankheit“ begleitet wurde, hat man letztere als „nicht ansteckend“ eingeordnet, weil eben normalerweise keine Kontakte das gleiche Symptom hatten. Das war eine kleine Minderheit der Infizierten.
Es gibt nicht mal eine Dystopie, in der eine Gesellschaft durch ME/CFS in Agonie ist.
Derweil zeigt die Polizei FFM, auf welcher Seite sie steht, wenn Querdenken unter Missachtung der MNS-Pflicht demonstriert… und dass sie sehr wohl Wasserwerfer hat. Die sie gegen die Gegendemonstranten einsetzt.
https://twitter.com/parents4future/status/1327610268575289344
Für die guten Nachrichten müssen wir jetzt in ein Paralleluniversum umschalten, in dem die Pandemie besiegt wurde. In Yunnan hat die KP es nach eigenen Angaben geschafft, das unterste Level an Armut zu beseitigen.
http://www.xinhuanet.com/english/2020-11/14/c_139516497.htm
Wie das? Sie haben da einfach genügend Geld reingeworfen, Gewerbe aufgebaut, und für die hoffnungslosesten Regionen die Leute aus unbewohnbaren Gebieten umgesiedelt.
Genau mein Humor!
Oder als Ubuntu Werbung einblendete? Der Himmel fiel uns auf den Kopf!
Oder als Mozilla auf ihre Neues-Tab-Seite Werbung gepackt hat? Ein Aufschrei!
Seid ihr eigentlich auch so froh, das Apple die Guten sind? Nicht auszudenken, wenn die die Bösen wären! Meine Güte, all die Daten, die ihr denen gegeben habt!
Trotz massiver Proteste aus Wissenschaft, Wirtschaft und Politik halten die EU-Innenminister an dem Plan fest, die Beihilfe von Dienstanbietern wie Apple, Facebook, Google, Threema, Signal oder WhatsApp zum Entschlüsseln zu fordern.Aber natürlich verlieren sie keine Zeit und lügen euch nochmal direkt ins Gesicht:
"Die Vertrauenswürdigkeit der auf der Verschlüsselungstechnologie basierenden Produkte und Dienstleistungen muss gewahrt bleiben", haben die Ressortchefs zwar noch hinzugefügt.Das ist selbstredend Bullshit. Und zwar völlig offensichtlicher Bullshit. Dass die sich überhaupt trauen, sich so zum Stück Brot zu machen! Wer wählt eigentlich diese Terroristen immer wieder ins Amt?
Und kann heute keine Apps starten, die nicht von Apple kommen?
Deren OCSP-Server ist offenbar down und jeder App-Launch führt zu einem Nach-Hause-Telefonieren zu Apple zu diesem Server, der nicht antwortet.
du musst jetzt ganz tapfer sein. Die großen Mobilfunkanbieter können prima ohne die automatische Verlängerung um 1 Jahr oder mit einer kürzeren Vertragslaufzeit leben. Derzeit gehen Rechnung 1-3 als Provision an den Handyladen - vorausgesetzt der Kunde zahlt diese Rechnungen. Bei Telefonen ist die Handelsspanne eher dünn, insbesondere bei Apple. Wenn die Vertragsbindung abgeschafft wird, dann werden die unabhängigen Händler verschwinden und das Geschäft geht dann vollständig an die großen Handelsketten.Ich frage mich ja bei diesen Telefon-Läden immer dasselbe wie bei den Leuten, die mir Spam schicken, ich soll bei ihnen SEO-Dienstleistungen einkaufen, und bei Versicherungsvertretern:Wir merken Corona ganz deutlich. Wir versenden doppelt so viele Mahnungen wie früher und haben einen haufen Kunden, welche die Telefone geschäftlich nutzen - obwohl wir keine Geschäftskunden haben. Die sind bei den Netzanbietern bereits rausgeflogen. Mit 20k€ Schulden gibt's dann halt die Kündigung. Ohne die Vertragsbindung könnten sich derzeit noch mehr Leute kein Smartphone leisten. Die haben die 250€ nicht flüssig.
Der Artikel verschweigt auch, dass in anderen Ländern 50€ Ablöse bei Kündigung des Vertrages üblich sind. Die Verträge mögen kürzere Laufzeiten haben, dafür kommt man nicht so einfach raus. Kulanzkündigungen gibt es gleich garnicht. Der Artikel vergiss ebenfalls darauf hinzuweisen, dass du in DE auch Prepaid mit Telefonflat bekommst. Wer kein Telefon finanziert haben möchte, hat eine Vertragsbindung von einem Monat. Da Prepaid durch die Vertragskunden subventioniert wird, müssen wir sowas dann halt wieder abschaffen.
Wann hat die SPD schonmal ein Gesetz ohne Fallout verursacht?
Wollt ihr es nicht mal mit ehrlicher Arbeit probieren?
Keinem von denen würde ich auch nur ein Tränchen nachweinen.
Das kriegt man doch mit, wenn da was wichtiges passiert!
Ach? Tut man? Wie viele von euch haben mitgekriegt, dass der EU-Ministerrat einen Terroranschlag auf die EU durchgeführt hat?
Im EU-Ministerrat wurde binnen fünf Tagen eine Resolution beschlussfertig gemacht, die Plattformbetreiber wie WhatsApp, Signal und Co künftig dazu verpflichtet, Generalschlüssel zur Überwachbarkeit von E2E-verschlüsselten Chats und Messages anzulegen.Ach nee. Ach was. Das ist ja schon eher wichtig.
Das heißt, dass die Paranoiker natürlich mal wieder die ganze Zeit richtig lagen.
Insbesondere heißt es, dass man ab jetzt keinen Diensten mehr vertrauen kann, selbst wenn man den Betreiber persönlich kennt und für vertrauenswürdig hält.
Ich weiß, was ihr jetzt denkt, und ihr habt Recht. Das können die Sesselfurzer vom EU-Ministerrat doch unmöglich in fünf Tagen selbst erarbeitet haben. Haben sie auch nicht. Das ist die praktisch wörtliche Umsetzung der Vorgabe der Five Eyes. Die wissen nämlich genau: Wenn es erstmal eine Krypto-Hintertür gibt, dann können NSA und GCHQ die nutzen, um die EU abzuhören. Und zwar nicht nur so ein bisschen. Nein, nein. Flächendeckend.
Auch wenn es jetzt den Eindruck erweckt, der Vorschlag käme von Frankreich: Tut er nicht.
Frankreich treibt das ursprünglich von Großbritannien angestoßene Vorgehen gegen sichere Verschlüsselung auf Plattformen wie WhatsApp bereits das ganze Jahr auf EU-Ebene über voran.Ja, richtig gelesen. Frankreich verrät alle EU-Bürger an die Five Eyes, auf Geheiß eines Five-Eyes-Mitglieds, DAS SEINEN FUCKING AUSTRITT AUS DER FUCKING EU ERKLÄRT HAT.
Jetzt denkt ihr euch wahrscheinlich: Betrifft mich nicht. Update ich halt meine Client-Software nicht mehr, bin ich nicht betroffen. So einfach ist das leider nicht. Die meisten Krypto-Messenger sehen eine betreiberseitige Infrastruktur vor, über die man Schlüssel von potentiellen Kommunikationspartnern abfragen kann. Gute Software sieht dann auch einen Weg der manuellen Verifikation vor, aber das ist halt mit Aufwand verbunden, und die üblichen Verdächtigen unter den Saboteuren und Vollidioten haben ja seit Jahrzehnten eine Kampagne gegen Krypto-Software gefahren, dass die "zu schwer zu bedienen" sei und man daher die Komplexität vor den Nutzern verbergen müsse. Das hat dazu geführt, dass die Schlüssel-Übernahme bei praktisch allen Programmen implizit läuft. Als Gegenbeispiel fällt mir gerade nur Threema ein -- und GnuPG. Ja, das GnuPG, das seit Jahrzehnten den Hass der Deppen abkriegt, weil es angeblich so schwer zu bedienen sei.
Wenn Signal per Gesetz zu Hintertüren gezwungen wird, hilft dir jedenfalls auch die ganzen verifizierten Builds nichts und dass der Client-Quellcode Open Source ist. Signal hat sich entschieden, die Krypto-Komplexität vor dem Nutzer zu verbergen, und das bedeutet für das Szenario dann halt, dass der Nutzer wahrscheinlich nicht merken würde, wenn ihm ein falscher Schlüssel untergeschoben wird.
Aber Achtung: Nur weil ich sage dass GnuPG immun ist, heißt das nicht, dass eure Software oberhalb von GnuPG OK ist. Wenn die Software Schlüssel automatisch von irgendwelchen Diensten holt, oder wenn eure Ver- und Entschlüsselung auf irgendeinem Dienst und nicht auf eurem Privatrechner läuft, oder wenn ihr nicht manuell Fingerprints per Telefon oder sonstigem Seitenkanal abgeglichen habt, dann seid ihr Five-Eyes-Futter.
Die Zeit für halbherzige Krypto ist vorbei. Jetzt müssen wir alle in den Freiheitskämpfer-Modus wechseln. Und jetzt ist der Zeitpunkt, wo ihr alle versteht, wieso die Krypto-Anarchisten in ihrer Software einen Freiheitskämpfermodus vorgesehen haben.
Update: Hier vertritt jemand die These, dass Erich überreagiert. Ich finde nicht, dass man in solchen Fragen überreagieren kann. Dass die EU das alleine diskutiert ist in meinen Augen schon ein durch nichts zu entschuldigender Hochverrat. Die EU hat nichts, aber auch gar nichts, auch nur in der Nähe von meinen Krypto-Chats zu suchen.
Update: Wer mein Terror-Bingo schon länger mitspielt, kennt die Muster schon. Aber der Vollständigkeit halber: Es gibt natürlich mal wieder eine Geheimdienst-Verbindung und die Dienste haben so massiv und vollständig verkackt, dass Österreich sogar den Chef des "Verfassungsschutzes" abberufen hat. Wenn die Unterdrückungsbehörden Krypto-Backdoors kriegen, wird das keinen einzigen Anschlag verhindern. Es wird nur dazu führen, dass sie noch großflächiger hätten informiert sein können aber es wegen "Pannen" nicht waren. Ich finde ja, wer so ein Versagen "Panne" nennt, sollte direkt mitgefeuert werden. Eine Panne ist, wenn du das richtige tun wolltest, aber dich technisches Versagen der Infrastruktur daran gehindert hat. Wenn du informiert warst aber deinen Job nicht getan hast, dann ist das Versagen, keine Panne.
Nicht für mich, gegen mich.
Ich mecker doch seit Jahren rum, dass die Democrats so fiese unmoralische Kriegstreiber sind. Keine Military Spending Bill hat so viele Nullen, dass die Nullen bei den Democrats das nicht durchwinken. Kein Land ist schon so zerstört, dass die Democrats nicht nochmal ein paar Bomben drüberwerfen, wie in Afghanistan. Zur Sicherheit. Wo eines Tages jemand bemerkte, dass der Wert der zerstörten Ziele kleiner ist als was die Amis pro Cruise Missile gezahlt haben.
Es gibt einen Moment, wo sich das auszahlt.
Jetzt. Nach einer Wahl. Wenn sich die Welt fragt, ob Trump jetzt möglicherweise mit dem Militär einen Putsch macht.
Nein. Einen Putsch gegen die Democrats macht das Militär nicht. Die haben keinen Grund, Democrats wegzuputschen. Von denen kriegen sie sogar mehr Kohle als sie von Trump gekriegt haben.
Und wie ist es mit den Geheimdiensten? Die hat Trump auch gegen sich aufgebracht.
Ich glaube ehrlich gesagt, dass nicht mal der Supreme Court für ihn putschen würde. Jeder ist in seiner eigenen Story der Held. Keiner der Trump-Appointees will als jemand in die Geschichte eingehen, der dann seinen Benefaktor an die Macht geputscht hat. Glaube ich jedenfalls. Schon gar nicht als eine der ersten Amtshandlungen als neuer Richter am Supreme Court.
Dann wären in South Florida, Greater South Carolina, Greensboro über ein Viertel davon nicht angekommen. Und das ist nur die 1. Seite. Schlusslicht wäre "Appalachian" mit 42.79% Zustellung.
Je nach Bundesstaat gibt es in den USA andere Regeln, bis wann Briefwahlzettel angenommen werden. In einigen zählen die nicht bis zum Wahlabend angekommenen, in anderen nicht.
Ansonsten sieht es im Unterhaus wie eine Wiederholung von 2016 aus.
Instead, it was the Republicans who scored big — at least in the early counting — knocking out at least a half dozen vulnerable Democrats with several more clinging to the ropes.
Tja. Wenn sie das letztes Mal nicht gelernt haben, dass die eigene Blase nicht die Realität abbildet und noch niemand wegen seines Optimismus gewonnen hat, wieso sollten sie das dann dieses Mal lernen. Wenn du die Leute alle blockst und wegfilterst, dann wählen die auch nicht mehr deine Partei.Die Democrats werden im Unterhaus trotzdem weiter die Mehrheit stellen, aber solange Mitch Mcconnell im Senat alle Gesetzesvorhaben sterben lässt, hilft ihnen das nichts und sie bleiben weiter gelähmt.
Ich finde das übrigens nicht notwendigerweise eine schlechte Sache. Im Gegenteil. Checks and Balances. Im Wesentlichen ist das Parlament handlungsunfähig, schon seit den Midterm Elections. Alles, was sich im Land bewegt hat, waren Trumpsche Executive Orders. Dass man mit denen soviel machen kann ist eigentlich so nicht vorgesehen, aber Trump hat ja die Gerichte und den Senat gleichgeschaltet, insofern … wer sollte ihn da aufhalten?
Wie? Nein, nicht die Journalisten. Haha. Seit wann werden bei uns die tatsächlich Bedürftigen mit Geld beworfen! Nein, die Verlage natürlich! Denen man schon das "Leistungs""schutz""recht" in den Arsch geblasen hatte.
So und was soll offiziell mit dem Geld gemacht werden? Die können ja schlecht ranschreiben, dass das für Koks und Nutten für die Verlagsbonzen ist.
beispielsweise für Investitionen in den Aufbau von Online-Shops, Rubrikenportalen und Apps sowie den Aufbau eigener oder verlagsübergreifender Plattformen zum Vertrieb der Inhalte.Oh ja super. Online-Shops, Rubrikenportale und Apps haben ja in den letzten Jahren echt enorm Kohle in die Kassen gespühlt. Man könnte fast von Erfolgsmodellen reden!1!!
Ich hätte ja an Stelle der Politik gesagt, das ist für den Aufbau von Paywalls. Dann hätten die Verlage sich weiter selbst in die Bedeutungslosigkeit wegzensiert und die Bevölkerung würde sich am besten nur noch bei Propagandaoutlets wie der Deutschen Welle (Motto: "Russia Today mit mehr Propaganda als die haben zurückdrängen") "informieren". Win-Win! Und die Verlage glauben noch, du hättest ihnen geholfen! HAHA, Suckers!
SPD-Politiker Karl Lauterbach schlägt vor, Kontaktbeschränkungen auch in privaten Räumen zu kontrollieren. Die Unverletzbarkeit der Wohnung dürfe der öffentlichen Gesundheit nicht länger im Wege stehen, eine „nationale Notlage“ liege vor.Mit dem Grundgesetz hatte es die Verräterpartei ja noch nie so, und dass die verzweifelt auf jede Profilierungsgelegenheit draufspringen überrascht auch niemanden mehr.
Früher hätte der offene Faschismus bei der SPD noch Nachrichtenwert gehabt. Aber seit die die Bundesrepublik Deutschland in den ersten Angriffskrieg seit dem 2. Weltkrieg geführt haben, für den großen Lauschangriff, Hartz IV und den Staatstrojaner stimmten, ist das auch nicht mehr unerwartet.
Wisst ihr was? Ich ziehe die Meldung zurück. Business as usual bei der SPD.
Update: Oh da war wohl der Zensor pinkeln. Lauterbach weiß gerade gar nicht, wie ihm geschieht. Rudert halbherzig nen halben Millimeter zurück, ohne sich inhaltlich zu bewegen. Und als ihm klar wird, wie tief er da gerade ins Klo gegriffen hat, postet sein Handler diese lächerliche Krisenkommunikation. Ach, jetzt ist es plötzlich bloß Appelle, die er meinte? Ja nee, klar. War bloß ein bedauerliches Missverständnis! Wie konnte das jemand falsch verstehen, als er vorher das Gegenteil sagte?
Die meisten Klinik-Labore sind gar nicht an die Corona-Warn-App angebunden. Daher kommen deren Testergebnisse auch nicht in die App.
Eigentlich braucht es dafür nicht viel. Ein bisschen QR-Code-Scannen (kann jedes Smartphone mit Kamera und kostenloser Open-Source-App). Ein bisschen Skripting. Allerdings sollen dafür die Kliniken zahlen, und wenn eine Klinik mit einem Corona-Labor 100 Euro auf der Straße findet, dann investiert sie das in mehr Corona-Tests, nicht in App-Anbindung.
Außerdem sind Kliniken kritische Infrastruktur und fallen damit unter die entsprechenden Gesetze und dürfen gar nicht mal eben kurz ein bisschen was zurechtskripten. Das soll dann schon Hand und Fuß haben, ausfallsicher sein und die Patientendaten besonders schützen.
Hunter Biden ist der Sohn von Joe Biden.
So, passt auf. Hunter Biden ist in lauter Straftaten verwickelt, und hat die Beweise gegen sich auf einem Laptop gespeichert.
Unverschlüsselt, versteht sich.
Neben einem Haufen Kinderpornos.
Der Laptop geht kaputt.
Biden bringt ihn zum Reparaturservice. Und zwar nicht zu irgendeinem, nein nein! Zu einem, der von einem Trump-Anhänger betrieben wird.
Apple, wir erinnern uns, hat einen offen schwulen CEO. Apple spendet den Democrats eine Größenordnung mehr als den Republicans. Apple unterstützt Black Lives Matter. Was glaubt ihr, wie lange man suchen muss, um einen Apple-Reparaturservice zu finden, der Trump-Anhänger ist?
Apple liefert übrigens seit 2003 Plattenverschlüsselung als Teil des Systems aus. Aber Hunter Biden hat das nicht angeschaltet.
Dieser Reparaturservice sitzt jetzt auf dem Laptop, denn Biden vergisst ihn abzuholen. Den Laptop mit dem Polonium-Kompromat. Vergisst er abzuholen.
Daraufhin macht dieser Reparaturservice, was jeder Reparaturservice an seiner Stelle getan hätte, und zieht sich mal ein Image der Platte und stochert illegal darin herum, findet das Kompromat und die Kinderpornographie und dann geht der Chef des Ladens damit zu seinem alten Kumpel Rudi Giuliani, dem Anwalt von Donald Trump.
Der Reparaturservice ist übrigens in Delaware, beim Wohnsitz der Bidens. Das war daher auch keine Impulshandlung und kein "ich bin auf reisen"-Notfall, dass Biden bei diesem Reparaturservice landet.
Ich dachte erst: Niemand kann so blöde sein, diese Nummer zu glauben. Die ist fraktal unglaubwürdig. Jeder Aspekt davon für sich ist so unglaubwürdig, dass er alleine reichen sollte, nichts davon zu glauben.
Dann dachte ich mir: Doch.
Einer ist so blöde.
Donald Trump.
Also wird der das Ziel gewesen sein.
Daher ist meine Theorie gerade, dass der Biden einen schönen Fake-Laptop mit Fake-Daten gebastelt hat, und dann hat er eine Weile recherchiert, welchem Reparaturservice man das mal geben könnte, damit der Trump sich damit im Wahlkampf so richtig zum Deppen macht.
Das erscheint mir jedenfalls deutlich wahrscheinlicher gerade als dass Joe Biden (Berufspolitiker mit über 40 Jahren Erfahrung, der weiß was Kompromat ist und dass man an seine Datenspuren Hygieneregeln anlegt) und vor allem sein Personal (die beobachtet haben, wie Hillary Clinton über geleakte E-Mails stolperte!) auch nur einen Teilaspekt davon so geschehen lassen würden.
Ich bin kein Fan von Biden, wohlgemerkt. Der ist genau wie Trump viel zu alt und hat Anzeichen von Demenz gezeigt. Keiner von denen sollte Präsident werden können. Aber diese Nummer würdet ihr umgekehrt auch nicht glauben, wenn sie angeblich Jared Kushner passiert wäre.
Darf ich an das Wassersport-in-russischen-Hotels-Dossier über Trump erinnern? Das fandet ihr alle total unglaubwürdig, aber den Scheiß hier nicht?!?
Früher war die Basis von Verschwörungstheorien, dass der Gegner super schlau und übermächtig ist. Heute ist die Basis von Verschwörungstheorien, dass der Gegner der dümmste anzunehmende Vollidiot ist und sich wie frisch lobotomiert verhält. Ich mochte die alten Verschwörungstheorien lieber.
Update: Die Reaktion der Democrats deckt sich übrigens mit meiner Theorie. Die haben nicht etwa "ist alles Lüge" gerufen oder Beweise verlangt, sondern die haben gemacht, was auch ein geschulter Geheimdienst-Agitator getan hätte: Behauptet, die Quelle sei ein russischer Agent. Das beendet die Sache nicht, es befeuert sie noch. Kann natürlich immer noch sein, dass die einfach alle unfassbar dämlich sind. Fast (aber nicht ganz) so schlimm wie Trump und sein Clan von Pleitiers und Blendern.
Update: Übrigens, am Rande. Selbst wenn Hunter Biden schlimme Dinge getan hätte, was hat das mit Joe Biden zu tun? Nun, Joe hat vor einer Weile öffentlich den Rücktritt eines Staatsanwaltes in der Ukraine gefordert. Der war angeblich für die angeblichen Vergehen seines Sohnes Hunter zuständig. Das ist aber eine Lüge, wie z.B. ABC News ausführt:
In that time, he did not prosecute a single person for corruption, despite corruption being a widespread problem, particularly in the energy industry.
Mr Shokin instead allegedly spent his time in office shaking people down for bribes. [...]
The US State Department, the European Union and the International Monetary Fund all urged Ukraine to fire Mr Shokin
Von "Joe Biden macht Druck im Ausland, um seinen Sohn aus der Schusslinie von Ermittlungen zu holen" kann überhaupt keine Rede sein. Aber das wusstet ihr ja vermutlich schon. Denn wieso sollte ausgerechnet DER Aspekt dieser Saga wahr sein, wenn der Rest offensichtlich Bullshit ist. Trump macht keine halben Sachen. Da ist immer alles komplett gelogen.
Update: Die New York Times hat übrigens mal jemanden zu dem Repair-Shop geschickt. Ergebnis:
Mr. Isaac said in an interview with The New York Times last week outside the shop that he is legally blind and could not be sure whether the man was Hunter Biden but asked his name to fill out a work order, and the man identified himself as Hunter Biden.
Whoa, Alter, wenn DAS kein Slam Dunk Case ist, dann weiß ich auch nicht!1!!
Das zuständige Landesamt habe offenbar nicht erkannt, dass es sich bei der beanstandeten Hitler-Datei um eine Parodie handele, mit der Hitler verspottet werde.Au weia. Ob die da KI-Software benutzt haben, vielleicht die, die von Youtube für den Uploadfilter verwendet wird?
Aber wartet, kommt noch härter.
zumal nicht einmal klar sei, ob sie die Datei überhaupt wahrgenommen habe (Az.: 2 L 1910/20). Die Polizistin sei lediglich Mitglied einer WhatsApp-Gruppe gewesen, in der die Datei gepostet wurde.Es gibt eine Whatsapp-Gruppe, darin geht eine Parodie herum, und wen ziehen sie raus? Die (eine?) Polizistin. Wo ist Alice Schwarzer, wenn man sie braucht?
Aber wartet, wird noch krasser.
Das Gericht bemängelte weiter, die Suspendierung der Frau sei nicht nur inhaltlich, sondern auch formal mangelhaft gewesen.Hey, lieber Herr Reul, wenn das mit der Karriere als Innenminister nichts wird - für Personal ihrer Kompetenzklasse haben wir jetzt den Flughafen Berlin-Brandenburg.
Auch der in dem Bescheid des Landesamtes geäußerte Verdacht, dass Straftaten begangen worden seien, etwa das Verwenden verfassungswidriger Kennzeichen oder Volksverhetzung, sei "nicht nachvollziehbar".Da steht jetzt leider nicht, welches Landesamt das war. Ich vermute mal: Das Landesamt für Verfassungsschutz?
Jedenfalls drängt sich bei dermaßen vollständigem Totalversagen noch eine weitere Erklärung auf: Dass die absichtlich verkackt haben, weil sie kein Interesse daran hatten, die ganzen Nazis ernsthaft zu bekämpfen. Welchen besseren Weg dafür kann es geben als die schwächste Anklage aufzubauen, die man sich ausdenken kann, damit das vor Gericht krachend scheitert (beachtet auch, wie außer dem Innenminister niemand namentlich genannt wird).
Falls sich jemand wundert, wieso die Staatsanwaltschaft bei so einer Farce mitspielt: Die Staatsanwaltschaft ist in Deutschland weisungsgebunden.
Update: Ein Leser hat mehr Details:
Hier gab es keine Anklage, da es eine verwaltungsgerichtliche Streitigkeit war. Es gab auch kein Urteil, sondern einen Beschluss in einem verwaltungsgerichtlichen Eilverfahren. Dort wurde auch nur eine vorläufige Regelung getroffen, bis die Angelegenheit in einem - länger dauernden - Hauptsacheverfahren geklärt wird. Beim Landesamt handelt es sich nicht um den Verfassungsschutz, sondern um das Landesamt für für Besoldung, welches quasi für die dienst- und bezügerechtlichen Angelegenheiten der Landesbeamten zuständig ist (die Frau wurde suspendiert, hiergegen hat sie sich gewehrt).
Entsprechend gab es hier auch keine Staatsanwaltschaft, die irgendwie beteiligt war.
Im Übrigen ist die Kritik natürlich gerechtfertigt. Die Tatsache dass allein die Mitgliedschaft in der Gruppe das Problem gewesen sein soll, ist natürlich verheerend. In WhatsApp Gruppen ist man unmittelbar nach der Einladung Mitglied ohne weiteres zutun. Man muss aktiv austreten, war dann aber dennoch für einen Moment Mitglied.
New hotness: Apple-Apps sind von die Privatsphäre schützenden Firewall-Regeln ausgenommen.
Ich stelle mir bei sowas immer vor, wie groß der Aufschrei gewesen wäre wenn Microsoft das vor zehn Jahren oder so gebracht hätte.
Money Quote:
Weil viele nach der Quelle fragen. Mir wurde das Bild per WhatsApp geschickt. Absender ist laut Grafik das @BBK_Bund. Vielleicht hat man dort den Link?Ja herzlichen Glückwunsch! Na kein Wunder, dass es immer noch Covidioten gibt, wenn die andere Seite nur zufällig auf der richtigen Seite der Barrikaden aufgewacht ist und nicht etwa tatsächlich faktenbasierte eine Meinung zu bilden versucht hat.
Seid euch bitte des Confirmation Bias bewusst! Menschen halten grundsätzlich ihre Position bestätigende Meldungen eher für glaubwürdig und die anderen eher für unglaubwürdig. Das hier ist ein tolles Beispiel für diesen Effekt.
Es ging mir hier nicht um Covid sondern um Medienkompetenz, aber wenn jemand noch Fragen zu Covid-Tests hat, hat der Volksverpetzer eine ganz gute Zusammenfassung.
Update: Ich hatte gehofft, das mehr von euch anmerken, dass der Link zum Volksverpetzer selbstverständlich genau so dem Confirmation Bias unterliegt. Stattdessen kriege ich nur die üblichen Covidioten-Mails mit "Argumenten" wie dass Volksverpetzer ja Linke seien, Marxisten gar. Ja, äh, ... und? Was für eine Rolle spielt das? *gähn*
Update: Zur Provenienz der Ursprungskarte gibt es jetzt ein Bekennerschreiben des BBK. Nicht ganz identisch aber sehr nahe dran. Das heißt natürlich immer noch nicht, dass man dem blind glauben darf. Wenn zufällig jemand ähnliche Grafiken aus anderen Ländern hat, die das jeweilige Land besonders gut darstellen, würde ich mich über Links freuen.
Bei der Gelegenheit möchte ich darauf hinweisen, dass der Security-Chip damit eine zusätzliche, vorher nicht vorhandene Angriffsoberfläche geschaffen hat, und die sich als angreifbar herausgestellt hat.
Das ist bei Antiviren seit vielen Jahren eine meiner Kernthesen, dass das so ist, und die, bei der ich am meisten Gegenwind kriege (obwohl das ja völlig offensichtlich ist). Es gilt auch bei anderen Security-Technologien und ist eines der am häufigsten ignorierten Risiken.
Das heißt nicht, dass alle Security-Technologien Schlangenöl sind, aber der Nutzen muss unter dem Strich halt höher als die neuen Risiken sein. Wenn jemand an der Stelle schon anfängt, Risiken zu ignorieren oder kleinzureden, dann solltet ihr ab dann keiner anderen Aussage aus derem Munde mehr trauen.
Hey seid ihr auch so froh, dass Apple die Guten sind?
Ich mag mir gar nicht ausmalen, was die tun würden, wenn sie die Bösen wären!
Encrypted email provider ProtonMail says that Apple forced it to monetize its app, which was on the App Store for more than two years without in-app purchases. It also claims that when it tried to inform its customers of the sudden change, Apple blocked it from posting app updates and threatened to remove it from the store.
Schöne App haben Sie da! Wäre ja schade, wenn der etwas zustöße *Finger über der Löschknaste kreis*
Nvidia hat ja vor ein paar Jahren aufgehört, Grafikkarten zu bauen, die für Spieler attraktiv sind. Kein Wunder, denn in den beiden finanziell relevanten Segmenten, Unten und Mitte, haben sie Intel und AMD aus dem Markt gepreist. Und das Oberklasse-Segment ist eher sowas wie Formel 1 für Autobauer. Da versenkt man PR-Kohle rein. Das rechnet sich aber nur, wenn man in den anderen Marktsegmenten konkurrenzfähig ist. Statt für Gamer hat Nvidia versucht ihre Karten für KI attraktiv zu machen. Leider ist das alles bisher eine ziemliche Bruchlandung geworden.
Aus dem "selbstfahrendes Auto"-Segment musste sich Nvidia ganz zurückziehen, und die anderen KI-Geschichten tragen keinen Massenmarkt-Appeal. Nvidia sucht also händeringend nach PR-Argumenten, wieso Privatanwender unbedingt KI brauchen. Ihr aktueller Entwurf: Videokonferenzen!1!! Ja, äh, nee, klar. Ich schäm mich ja ein bisschen dafür, wie wenig Substanz die sich aus dem Arsch gezogen gekriegt haben.
Ich würde ja aus Gerechtigkeitsgründen auch was von Golem verlinken, aber die haben sich hinter einer derartig nervigen Nerv-Cookiewall verbarrikadiert, das kann man niemandem zumuten.
Der Lacher ist ja auch, wieso Nvidia bei KI gelandet ist. Eigentlich waren Grafikkarten mal die große Hoffnung für Supercomputer und numerische Simulationen. Die hätten aber häufig gerne lieber doppelt-genaue Fließkommazahlen. Die hat Nvidia bei ihren Konsumenten-Karten absichtlich lobotomiert, damit die Leute gezwungen sind, ihnen für absolute Freudenhauspreise ihre "professional"-Karten abzukaufen. Viele haben das getan. Viele aber auch nicht. Und ein Massenmarkt ist das auch nicht.
Die andere Anwendung für parallele Arithmetik mit hohem Durchsatz neben numerischen Simulationen sind neuronale Netze. Oh ja, und Computergrafik. Aber aus dem Markt zieht sich Nvidia ja offenbar zusehends zurück. Jedenfalls war ihre letzte Generation von Grafikkarten für den Konsumentenmarkt so teuer wie ein paar Jahre vorher die "professional"-Karten für Simulationen. Die haben so krass an der Preisspirale gedreht, dass sich nur noch Superreiche überhaupt ihre Karten leisten können. Also in den Segmenten jetzt, wo man Nvidia-Karten kaufen würde, weil es keine billigere und schnellere AMD-Karte gibt.
Ich frage mich daher jedes Mal, wieso in Vergleichs-Grafiken sowas wie die Titan-Reihe überhaupt auftaucht.
Die Grafikkarten sind übrigens deshalb so teuer, weil ja irgendwer auch die Eskapaden im KI-Sektor bezahlen muss, und so Aktionen wie "wir kaufen mal eben ARM", und hey, wieso nicht die doofen Deppen aus dem Massenmarkt zahlen lassen, die KI gar nicht nutzen?
Oh warte, doch. Für ... *papierraschel* Videokonferenzen!1!!
Update: Nachschlag zu Nvidia: Deren aktueller Ampere-Launch stellt sich wenig überraschend als Paper Launch heraus. Nur dass Nvidia so tut, als sei das doch lieferbar, während Intel nicht mal so tut, als gäbe es eine Desktop-Version in absehbarer Zeit. Dass ausgerechnet Intel mal in einem Vergleich wie die integerere Firma aussieht, das hätte ich mir auch nicht träumen lassen. Intel, wir erinnern uns, das waren die, die ihre Compiler (die übrigens richtig Geld kosten!) absichtlich lobotomiert haben, damit sie auf AMD-CPUs lahmen Code generieren. Intel, wir erinnern uns, waren die mit den ganzen spekulativen Bescheiß-Technologien zur Performance-Optimierung, die sich jetzt der Reihe nach als Sicherheitsproblem herausstellen. Intel, wir erinnern uns, waren die, die den Markt mit Werbe-Subventionen geflutet haben, aber nur, wenn die beworbene Produktlinie keine Mitglieder mit AMD-Prozessor hat. Und DIE sehen jetzt weniger schlecht aus als Nvidia. Das ist eine beachtliche Leistung auf Seiten von Nvidia.
Update: Das ist nicht die erste schwachsinnige Idee, mit der Nvidia Gamern KI überhelfen will. Es gibt auch schon Hochsampling mit KI und Bildverbesserung mit KI und bestimmt noch ein paar mehr Dinge. Die Zeiten, wo Nvidia performanterer Hardware gebaut hat, sind offenbar echt vorbei.
Update: Das war jetzt missverständlich ausgedrückt. Nur weil ich finde, dass Intel und AMD Nvidia aus dem Markt rausgepreist haben, heißt das nicht, dass sie da nichts mehr verkaufen. Das sind alles Depp ... edle Spender, die ihr Geld für die KI-Forschung verschenken! Also gut, eher nicht so für die Forschung nach KI-Durchbrüchen, eher die Forschung nach Bullshit-Begründungen, wieso ihr alle KI in euren Grafikkarten braucht. Aber hey, der Unterschied macht es ja offensichtlich nicht weniger unattraktiv für die Leute, die immer noch Nvidia Geld hinterherwerfen.
Das war noch nicht der Lacher. Der Lacher ist Facebooks lahme Ausrede:
Facebook wies die Anschuldigung zurück und behauptet, dass es sich dabei lediglich um einen Bug in der Software gehandelt habe, der fälschlicherweise eine Benachrichtigung ausgab, nach der die Software auf die Kamera zugegriffen hätte.Oh, die Kamera war an? *Pfeif* *flöt* Das muss sich um einen bedauerlichen Bug gehandelt haben!1!!
1. Ihr erinnert euch doch bestimmt daran, dass der EuGH den "Privacy Shield" eingefaltet hat. Das ist das Ende für Facebook und co, habt ihr euch da vielleicht gedacht. Hahaaaa, weit gefehlt! so schnell lassen sich die Iren die Steuer-Euros von Facebook nicht vom Brot nehmen. Welche Steuer-Euros fragt ihr? Seit wann zahlt Facebook denn irgendwo Steuern? Nun, äh, dafür ist eine andere Behörde zuständig. Hier geht es ums Prinzip!1!!
Und 2. hat sich ja neulich beim Warntag die digitale Infrastruktur auch direkt selber eingefaltet. Da hieß es dann, ihr erinnert euch bestimmt, da seien einfach zu viele Warnungen parallel gekommen.
Als ITler hat man bei solchen Aussagen sofort einen nagenden Zyniker im Ohr, der einem sagt: Zuviele Anfragen? BULLSHIT! Wir haben hier Multicore-Gigahertz-Kisten, die sollten Hundertausende von Anfragen pro Minute abkönnen! Da hat bestimmt jemand so richtig massiv verkackt und das waren bloß 100 oder so parallele Anfragen!
Den überstimmt man dann, den Zyniker, denn auch als ITler will man ja gelegentlich an menschlicher Gesellschaft teilhaben, und niemand mag so Leute. Nun, was soll ich euch sagen... Es waren 30 Anfragen. Dreißig. Drei Null. Ja, 30. Nicht tausend, nicht Millionen. Einfach nur 30.
Es sei vereinbart gewesen, dass das Bundesamt die Apps alleine von Bonn aus bedienen würde. Stattdessen seien fast zeitgleich etwa 30 andere Warnmeldungen rausgegangen. "Das hat das System nicht verkraftet", sagte Unger.FUCKING DREISSIG!!! Duuuude wer baut denn bitte ein Notfallsystem, oder IRGENDEIN System, dass mit 30 Anfragen nicht klarkommt!?!?
Ich bin ja eigentlich Pazifist, aber dafür sollten Köpfe rollen. Es geht hier um ein Warnsystem, das Menschenleben retten sollte. Wer sowas verbricht, sollte aus dem Verkehr gezogen werden, bevor er noch mehr Unheil anrichtet.
Sonst haben wir bald Tote auf den Straßen und von den Behörden heißt es nur "Softwareproblem. Kann man nichts machen."
"Necessary research and testing can be performed by authorized parties," Voatz writes in an amicus brief to the Supreme Court. "Voatz’s own security experience provides a helpful illustration of the benefits of authorized security research, and also shows how unauthorized research and public dissemination of unvalidated or theoretical security vulnerabilities can actually cause harmful effects."
Genau! Was da rauszufinden ist, das können wir auch selber rausfinden!!1! Und wenn die Forscher ihre Erkenntnisse publizieren, dann könnte das die Bevölkerung verunsichern!In diesem Fall geht es sogar gar nicht um Wahlcomputer selbst sondern um eine beschissene Rotz-App für Android.
In Berlin ist das ja ein bisschen wie im Nahen Osten, wo auch immer erstmal Israel an allem Schuld ist. Bei uns in Berlin ist immer erstmal Bayern an allem Schuld. Diesmal ist die Herleitung:
Dr. Thomas Herzog, Vizepräsident des BBK erklärte, dass nach ersten Erkenntnissen die Warnung pünktlich ausgelöst wurde. Allerdings habe ein Bundesland entgegen der Absprache eine eigene Warnung über die App versendet. Nach Informationen der Berliner Morgenpost soll es sich dabei um Bayern handeln. Der Alleingang des Bundeslandes hatte zur Folge, dass die Warnung des BBK blockiert wurde. Daraus resultierte die zeitliche Verzögerung. Man überlege nun, ob man Warnungen des Bundes gegenüber der Länder priorisiert.HAHAHAHAHAHAHA
Der Lacher ist ja, dass das soooo klar war, dass sowas eines Tages passieren würde. Auf der anderen Seite sollten die örtlichen Meldungen immer Priorität haben gegenüber denen des Bundes, weil die lokalen Behörden über lokale Probleme (und der Hauptanwendungsfall für solche Alarme sind "Brand in Chemiefabrik gegenüber" nicht "die Russen kommen"!) im Allgemeinen besser informiert sein werden.
Eine der Hauptanforderungen an eine Warnapp ist auch, dass sie keine Leute warnt, die nicht betroffen sind. Denn die Forschung ist sonnenklar an der Stelle: Nach zwei-drei Warnungen, die ihn nicht betreffen, ignoriert der Normalbürger alle weiteren Warnungen erstmal.
Wieso aber die Bayern eine Meldung des Bundes in anderen Bundesländern blockieren können, das sollte der Systemdesigner mal in aller Ruhe erläutern müssen, während er kopfüber an den Zähennägeln aufgehängt von der Decke über einem Lagerfeuer baumelt. Was zur Höllt habt ihr Knalltüten euch denn dabei gedacht? Gar nichts?! Wird schon nicht vorkommen, dass in Bayern jemand freidreht?!? Mann Mann Mann.
Oder, die wahrscheinlichere Lösung: Die Projektentwicklung fand in Bayern statt. Und die sehen da vermutlich kein Problem.
Wenn das hier irgendne belanglose Kleinanzeigenplattform wäre, könnte man ja verhandeln, aber es geht um ein Katastrophenwarnsystem. Niemand kann da sagen, es sei nicht klar gewesen, dass von einer ordentlichen Implementation Menschenleben abhängen.
Vielleicht hätten die mal vorher jemanden fragen sollen, der sich mit sowas auskennt?
Was mich ja immer fasziniert: Das ist doch bekannt! Das weißt du doch als Kommune, wenn du keine funktionierenden Sirenen hast? Wieso dann einen Test? Wieso fragen die nicht vorher einmal rum?
Hey, Bremen, habt ihr Sirenen? Wie sieht es mit euch aus, Münster? Nicht? Nun, äh, dann verschieben wir die Tests mal.
Aber nee, so funktioniert das bizarrerweise nie. Dasselbe Phänomen kann ich auch bei Penetrationstests immer wieder sehen. Die wissen, dass ihr System Scheiße ist, und forcieren dann trotzdem einen Test. Die unten hoffen, dass der Test zeigt, wie scheiße alles ist, damit die oben mal aufhören, ihnen im Weg zu stehen, und vielleicht ein paar bewilligte Mittel freigeben. Die in der Mitte hoffen, dass der Tester ein sehbehinderter Gehörloser ist, der wie durch ein Wunder nichts findet. Und die oben waren die ganze Zeit überzeugt, dass alles super ist, weil die Horrormeldungen von unten in der Mitte rausgefiltert werden.
Ich glaube ja, wenn wir mal das ganze Middle Management rausschmeißen, könnten wir viele Menschenleben retten.
Aber es ist nicht so, dass GAR keine Sirenen funktioniert hätten. Der Postillon rettet uns alle.
Der größte Lacher, fand ich, war aber dieser Tweet des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe. Ich zitiere:
Die bundesweite MoWaS-Meldung konnte nur verspätet zugestellt werden. Grund dafür war eine nicht vorgesehene zeitgleiche Auslösung einer Vielzahl von Warnmeldungen über MoWaS.Ja, gut, natürlich, damit konnte beim Auslegen des Systems niemand rechnen, dass da im Katastrophenfall zeitgleich viele Meldungen kommen würden. m(
Dann schrieben mir noch Leute, dass die App Tracker eingebaut hat (äh wat? Warum?!) und dass die unter Android nur warnt, wenn man Google Location Services angeschaltet hat.
Vielleicht haben wir den Untergang ja auch einfach verdient.
Berlin, fuck yeah!
Hey, so wie wir hier unsere Infrastruktur kaputtmachen, wieso sollte da ausgerechnet das Notfallwarnsystem nicht betroffen sein?
Update: Ah, stellt sich raus, das sollte so. Die haben das mit den Sirenen gar nicht erst versucht. Die Warnung ging nur über die app raus, die niemand installiert hat. Na ein Glück, dass wir das mal getestet haben!1!! Ich hab hier jedenfalls nichts mitgekriegt von einem Test.
Es wäre natürlich überhaupt gar kein Problem gewesen, neben der App auch einfach einmal den Cell Broadcast zu bespielen. Das haben alle Endgeräte eh eingebaut.
Update: Den schönsten Tweet dazu hat Heise ausgegraben: Der Deutsche Gehörlosenbund sagt, er habe nichts gehört. LMAO!
Das ehemalige Nachrichtenmagazin wollte wissen, wieso wir in Deutschland per App und nicht per Cell Broadcast warnen. Ein Cell Broadcast hat einen Haufen von Vorteilen. Erstens mal musst du die Warnung nur einmal rausschicken, nicht einmal pro Empfänger wie bei der App. Das spart Bandbreite und es ist auch besser für die Privatsphäre, weil bei Nicht-Broadcast-Kommunikation auch immer die Gefahr besteht, dass die App deine Bewegungsdaten mitschneidet und meldet. Und auf der Haben-Seite für eine App rollen ein paar Tumbleweeds an den Crickets vorbei, da herrscht gähnende Leere.
So und jetzt gucken wir mal gemeinsam, was die Antwort war:
Wir haben davon Abstand genommen, weil die Mobilfunknetze - wie man etwa an Silvester sieht - im Fall der Fälle nicht ausreichen. Hinzu kommt ein datenschutzrechtliches Problem. Wenn man direkt die Handys ansteuert, werden auch Bewegungsdaten erfasst. Wir setzen daher auf die AppWer gut aufgepasst hat, wird gemerkt haben, dass hier jemand überhaupt gar nicht auch nur ansatzweise verstanden hat, wovon er redet, und die Fakten einfach genau andersherum darstellt als sie sind.
Mit wem haben die denn da geredet, fragt ihr euch jetzt? Nun, äh, ...
Christoph Unger, Jahrgang 1958, ist Verwaltungsjurist und seit 2004 Präsident des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe. Zuvor befasste sich der frühere Richter aus Niedersachsen auch im Bundesinnenministerium mit Zivilschutz- und Katastrophenlagen. Er ist Mitglied der SPD.Ein Verwaltungsjurist ist natürlich auch das ideale Personal, um technische Fragen beantworten zu können!1!! Hat der keine Berater, die ihm helfen, sich nicht öffentlich zum Stück Brot zu machen?!
Update: Hahaha, da ist wohl der Zensor vom Pinkeln zurückgekommen. Jetzt ist der Absatz weg und stattdessen steht da, die Mobilfunknetze in Deutschland würden das nicht unterstützen. Naja, äh, warum sollten sie auch? Privatwirtschaftliche Interessenten für das Feature gibt es nicht und der Gesetzgeber hat es verpeilt, das vorzuschreiben. Ich würde mich wundern, wenn das eine erwähnenswerte Investition wäre, das nachzurüsten. Man müsste nur wollen.
Man müsste nur wollen, dass im Katastrophenfalle wieder alles zusammenbricht. Das müsste man wollen.
Ihr werdet sicher genau so überrascht sein wie ich, dass "nazi", "antisemite", "transphobic" und "islamophobe" nicht wegzensiert werden. Denn das ist ja keine Beleidigung, nein nein, das sind Tatsachenbeschreibungen! Die Linke irrt bei sowas nämlich nie, müsst ihr wissen.
Immerhin muss sich niemand mehr als "retard" beschimpfen lassen. Daraus wird "intellectually disabled person". So einfach ist das, nicht mehr beleidigt zu werden! Wer könnte da ein Problem mit haben, als "dirty female dog" beschimpft zu werden? Nur eine "intellectually disabled person"!
Ich bin ja dafür, nur noch sanfte Pastelltöne als Browserhintergrund zuzulassen. Damit die armen Leser nicht schockierenden Farben ausgesetzt werden, die ihren emotionalen Zustand beeinträchtigen könnten. Am besten gar keine Browser mehr erlauben. Nur noch eine Twitter-App. Und bei der reicht es ja auch, wenn die write only ist.
*Applaus*
Wir bieten ein Zahlungs-'Gateway' an, also einen Router der zwischen PSPs (Payment Service Providern) und acquiering Banks steht. Wir nehmen 4 Dollar Cent pro Transaktion, für große Kunden weniger. PSPs können also einem Händler wie Epic ergo nur weniger als 4 Cent verrechnen, damit sich das für sie rentabel ausgeht. Der Acquirer verlangt weder von PSP noch Händler was, für ihn fallen also keine weiteren Kosten an.Ich hatte im Apple-vs-Epic-Beitrag "5 bis 10 Cent" geschrieben. Das hatte ich ergoogelt und nach oben gerundet, weil das Argument ja war, dass die Zahlungsdienstleister so teuer sind, und ich die Fakten daher lieber möglichst positiv für das zu untersuchende Argument auslege, wenn dann immer noch rauskommt, dass 30% eine Frechheit sind.
Bezahlen kann man bei uns mit allen gängen Kreditkarten + einem Haufen lokaler Zahlungsmethoden wie iDeal etc.
Die 4 Cent sind übrigens im zeitlichen Verlauf fallend.
Epic Games' Unreal Engine is critical technology for numerous game creators including Microsoft.
Für die ist es auch kritisch, in den App Stores zu publizieren. Die werden also gerade zwischen den Fronten der geldgierigen Milliardäre aufgerieben.Es geht gerade das Narrativ um, die 30% seien ja voll das Schnäppchen. Darauf will ich noch kurz eingeben. Einer schrieb mir, Apple zahle ja die Umsatz/Mehrwertsteuer, das sei der Großteil der 30%. Das ist meines Wissens Bullshit. Das andere Argument war, dass man ja im Supermarkt Aufladekarten kaufen kann, die regelmäßig weniger kosten als der Wert der Aufladung, und dieser Rabatt kommt dann halt aus den 30%. Die Aussage ist valide, aber hat ein großes ABER dran. Komme ich gleich zu.
Dann kam noch das Argument, die Payment-Mafia greife ja auch immer kräftig zu, und im Vergleich dazu seien die 30% kein so großes Ding. Ich habe noch keinen App Store betrieben, aber hier ist mein Verständnis der Sachlage. Man hat beim Bezahlen Fixkosten pro Transaktion, sowas wie 5 bis 10 Cent pro Transaktion (das ist aber ein guter Deal für wichtige Bestandskunden, sowas wie der App Store). Dazu kommen je nach Kreditkarte 1-3% des Transaktionswertes. Zum Vergleich: Paypal sagt an, dass sie 35 Cent pro Transaktion plus 2,49% des Transaktionswertes haben wollen (geht wohl runter bis 1,49% bei Großabnehmern).
Der Punkt ist: Wenn die Leute für jede 99-Cent-App einzeln per Kreditkarte zahlen, frisst dir der Payment-Provider in der Tat die Haare vom Kopf und die 30% bei Apple sehen nicht so schlecht aus.
Da kann sich der App Store Provider gegen wehren, indem er Konten führt und dich größere Beträge einzahlen lässt und dann per Dark UI dafür sorgt, dass man nicht weniger als 10 Euro auf einmal einzahlt. Was dich als App Store umbringt sind ja nicht die Prozente sondern die Fixkosten pro Transaktion. Zusätzlich kann der App Store Betreiber auch einen Deal mit Supermärkten machen und dann an der Kasse 10-Euro-Aufladekarten verkaufen. Dann hat er das Risiko für Zahlbetrug an den Supermarkt weitergereicht und zahlt unter dem Strich sowas wie 5% glaube ich (habe da aber keine belastbaren Zahlen gerade).
Und jetzt kommen wir zu dem angekündigten ABER von eben: Supermarkt ist mit Rabatt immer noch günstiger als Einzelpayment per Paypal. Insofern ist das Argument zwar technisch richtig aber nicht weiterhelfend.
Mein Punkt ist: Wenn du Dinge verkaufen und dafür bezahlt werden willst, werden sich immer Dutzende von Leuten auf dem Weg zwischen Kunde und dir an deiner Transaktion zu bereichern versuchen. Das ist allerdings kein App-Store-Problem. Wenn es denen gelingt, Zahlungen zu aggregieren (der Supermarkt z.B. wird dir nicht jeden Kauf einzeln überweisen sondern einmal pro Woche oder Monat oder so), sinken für die die Kosten. Wenn also Apple selbst ins Zahlungsbusiness einsteigt, dann u.a. um für ihre App-Store-Bestellungen die Mittelsmänner rauszuschmeißen. Glaubt mal gar nicht, dass die 30% in einer realistischen Relation zu deren Payment-Kosten stehen.
Aber Fefe, was ist denn mit Betrug? Ja, Betrug ist immer Scheiße, aber moderne Fraud Detection hat die Eintrittswahrscheinlich massiv gesenkt, nicht zuletzt durch Kundengängelung. So kann ich auf Geschäftsreisen regelmäßig mit meiner europäischen Kreditkarte nichts online bestellen im Zielland. Und die Aufladekarten-im-Supermarkt-Nummer senkt das Fraud-Risiko auf Null für den Kartenherausgeber. Für Visa habe ich Zahlen für 2014, da war die Fraud-to-Sales-Ratio 0,045%.
Bleibt noch der Rest der Ausgaben, die das Betreiben so eines App Stores beinhaltet. Technische Infrastruktur, Kundensupport, Qualitätssicherung, etc. Ja, das kostet alles Geld. Aber nicht 30% der Einnahmen. Und, mit Verlaub, so viel Malware wie in den Stores immer wieder durchrutscht, glaube ich denen ihr Blablah von wegen Qualitätssicherung nicht. Was die prüden Amis wirklich wegqualitätssichern sind Pornos. Alles andere kommt regelmäßig durch. Bei Android kann man die Suchfunktion praktisch nicht benutzen, weil du zu jedem bekannten App-Namen ein paar Dutzend Malware-Betrüger unter dem selben Namen als Ergebnis kriegst.
Mein Fazit bleibt daher: 30% sind Freudenhauspreise, das ist elende Abzocke. Auf der anderen Seite ist es auch eine Quersubvention des Aufwandes für die Klein-Apps durch die Groß-Apps. Dass dann die Groß-App-Anbieter irgendwann rebellieren, das schockiert hoffentlich niemanden.
Was ihr nicht sagt! Epic ist die Firma, die den Markt über Exklusivtitel für ihren Steam-Klon zu manipulieren versucht, und dann anderen Firmen Marktmanipulation vorwirft. Epics Geschäftsmodell ist es, Kiddies über fiese Glücksspiel-Tricks Kohle aus der Tasche zu ziehen. Epic sind alles andere als die Guten, egal aus welcher Perspektive man auf die guckt.
Wenn sie gegen Apple kämpfen, feuere ich sie trotzdem an. Das ist so eine Situation wie wenn die Amis im 2. Weltkrieg Stalin anfeuern, wenn er sich mit Hitler Schlachten liefert.
Am schönsten hat das bisher dieses 12-Minuten-Youtube-Video auf den Punkt gebracht.
Nur weil ich Epic gegen Apple anfeuere, heißt das keinesfalls, dass ihr da jetzt eine Seite wählen und euch instrumentalisieren lassen solltet. Beide Seiten wollen euch so doll sie können abzocken. Die streiten sich gerade darüber, welcher Milliardär mehr von der abgezockten Kohle behalten darf. Nur um euch mal eine Größenordnung zu geben: Apple hat Epic bei Fortnite angeblich 360 Mio Dollar aus der Tasche gezogen. Bei einer Quote von 30% heißt das, dass Epic den Kiddies da draußen 1,2 Milliarden Dollar aus der Tasche gezogen hat — und das nur auf Apple-Geräten! Das muss man sich mal auf der Zunge zergehen lassen, von was für Dimensionen wir hier reden.
Und glaubt mal nicht, dass da irgendjemand freiwillig zahlt! Hier hat Forbes mal die Tricks beschrieben. Das machen die mit euren Kindern. Die verbrennen dann ihr Taschengeld darauf, weil sie professionell ans Casino herangeführt werden. Während der physische Zutritt zu einem echten Casino für Minderjährige verboten ist, und der Staat sich bemüht, Online-Glückspiel zu regulieren, ist diese Art von professionellem psychologischen Anfixen bisher unterhalb des Radars der Politik.
In diesem Sinne sitze ich mit Popcorn auf der Tribüne und hoffe, dass Epic Apples Abzocke beendet, und dass dann jemand anderes kommt und Epics Abzocke beendet.
Und das dann eines Tages der Staat kommt und diese beiden Schweinebranchen mal so richtig durchreguliert. Am besten alle Nachkauf-Geschäftsmodelle plattmachen, inklusive DLCs, und wenn wir schon dabei sind, auch direkt Vorverkauf plattmachen, inklusive In-Game-Boni.
Ist euch zu krass? OK, Kompromissvorschlag. Wie bei Alkohol und Zigaretten. 500% Steuern draufpacken. Und die psychologischen Anfixtricks unter Strafe stellen.
Ich finde das übrigens auch verbietenswürdig, wenn kein Geld fließt. Ob jetzt jemand im In-Game-Store für erspielte In-Game-Currency immer wieder den Hebel zieht, bis das ultra-rare Sammelitem kommt, oder ob der in der Kneipe am einarmigen Banditen immer wieder den Hebel zieht, bis der Einsatz verzockt ist, das ist für mich gleich verachtenswürdig.
Aber das ändert alles nichts daran, dass jetzt erstmal Apple einen in die Fresse verdient hat.
Das Geschäftsmodell von Fortnite ist, dass das Spiel selbst kostenlos ist, aber die Spieler dann im Spiel Geld für Upgrades ausgeben sollen. Apple (und Google!) haben da ein pauschales Monopol-Schutzgeld in Höhe von 30% verhängt. Wer bei denen im App Store was verkaufen will, muss 30% an Apple oder Google rausbluten. Eine groteske Situation, von der ich mich seit Jahren frage, wieso die Kartellämter da nicht mal mit dem großen Vorschlaghammer draufkloppen.
Jetzt hat Epic jedenfalls den Aufstand gewagt und im Game eine alternative Kaufmöglichkeit für die Gegenstände angeboten, bei der die 30% Kommission wegfallen.
Apple hat umgehend reagiert und Fortnite aus dem App Store geschmissen. Epic hatte für den Fall schon dieses schöne Video produziert, das Apples legendären Anti-IBM-Werbespot aus dem Jahre 1984 referenziert.
Und dann hat Epic noch eine Klage gegen Apple eingereicht.
Nun würde man sich denken, hey, Google ist Konkurrent von Apple, die freuen sich bestimmt, wenn Apple schlechte Presse kriegt. Weit gefehlt! Google hat Epic auch aus ihrem Play Store rausgeschmissen.
Ich hoffe inständig, dass ein Gericht kommt und die Kommission auf sagen wir 0,5% Maximum festlegt. Das ist so eine unglaubliche Frechheit, was Apple und Google da tun, das ist schon lange überfällig, dass das Geschäftsmodell mal entkernt wird.
Frühe Krypto-Software wie PGP haben nicht versucht, diese Komplexität zu verbergen. Die haben sich das angeguckt und sind zu dem Schluss gekommen, dass man die Lage nur unsicherer macht, wenn man so tut, als könnte man das in der Software lösen.
Ergebnis: Jahrelanges Herumgeflenne von Vollidioten, dass die Software ja so schwer zu bedienen sei. Man muss neue Konzepte lernen und so!1!!
Also ist moderne Krypto-Software anders. Die macht faule Kompromisse und verbirgt die Komplexität hinter einer Nebelwand aus Lügen und "weitergehen, gibt nichts zu sehen hier"-Bullshit. Am besten noch mit ein paar Dark UI Patterns wie bei Signal, der dir gelegentlich anzeigt, ein Schlüssel habe sich geändert, aber dir nicht sagt, was das bedeutet, und ob du jetzt was tun solltest oder nicht.
Das Problem ist: Da kann die Krypto so geil sein wie sie möchte! Lücken, die das UI aufreißt, kriegt auch der tollste Algorithmus nicht kompensiert.
Nimm z.B. Signal. Signal hat das Key Distribution Problem nicht gelöst. Daher hängen bei denen die Accounts an der Telefonnummer. Was für Auswirkungen hat das, wenn du deine Telefonnummer oder Simkarte verlierst? Das ist dem normalen Anwender überhaupt nicht klar.
Ich will hier nicht Signal bashen, die sind noch einer der besseren Marktteilnehmer. Ich erwähne die hier nur, weil die ein Vorreiter von neuartiger toller Krypto sind.
Nächstes Problem. Sagen wir mal, du baust einen Keyserver auf, wo man seinen Schlüssel höchlädt. Wenn jemand mit mir reden will, holt der sich meinen Schlüssel von dort. Super? Nein! Was wenn der Schlüssel da nicht von mir sondern vom BKA hochgeladen wurde?
PGP hat hier auch keine gute Lösung. Die haben sich gedacht, das wird dem Anwender schon klar sein, dass er Schlüssel von irgendeinem Server aus dem Internet erstmal prüfen muss. Daher gibt es Fingerprints und Signaturen unter dem Schlüssel. Was hat es gebracht? Sobald jemand kam und Gibt-hier-nichts-zu-sehen-UI um Bullshit-Automatismen um die Keyserver gebaut hat, war es plötzlich ein legitimer Angriff, dort einen falschen Key für jemanden hochzuladen, um dessen Kommunikation zu sabotieren. Wenn die Leute alle ihre Keys verifizieren würden, wäre das überhaupt kein Problem. Aber Dark UI hat das kaputtgemacht.
Warum erzähle ich das alles? Nun, Keyserver gibt es auch bei Messenger-Diensten. Und da kann die Krypto so geil sein wie sie will: Wenn du den Key automatisch vom Keyserver holst, kann der dir auch "den BKA-Key" unterschieben und behaupten, das sei der, nach dem du gefragt hattest.
Oder noch besser: Was wenn du Synchronisation anbietest? Dann kann ein Angreifer mal eben eine Weiterleitung an das BKA eintragen bei dir, wenn der kurzzeitig Zugriff auf deinen Account hat, und dann können die alles mitlesen.
Ach komm, Fefe, das ist doch unsubstanziiertes Paranoia-Geraune! Nun, äh, genau das hat das BKA bei Whatsapp gemacht.
Aber hey, solange gemeingefährliche Heulsusen uns die Krypto-Anwendungen schlechtreden, die die Komplexität an den User weiterleiten, damit er sie managen kann, und den Leuten Weitergehen-Apps empfehlen, die die Komplexität hinter Nebelwänden verstecken und den Leuten eine warme Gemütlichkeit vorgaukeln, die nicht da ist, wird diese Art von Problem noch zunehmen.
Update: Das soll kein Signal-Bashing werden hier. Die geben sich immerhin Mühe und sagen dir, wenn sich ein Schlüssel geändert hat. Andere zeigen das nicht mal an, weil es ja "die Bevölkerung verunsichern würde".
Update: Da hab ich wohl einige Leser überfordert. Whatsapp ist Ende-zu-Ende-verschlüsselt. Das heißt der Server kann gar nicht die alten Nachrichten im Klartext weiterreichen, selbst wenn er wollte, weil die da nur verschlüsselt vorbeihuschen. Wenn man also Synchronisieren will, gibt es zwei Varianten: Entweder man rückt den Schlüssel raus (daher meine Ausführungen oben über Schlüsselaustausch) oder man macht eine Fernsteuerung der Handy-App von dem Browser aus, in welchem Fall man auch ein Zugriffstoken (vulgo: einen Schlüssel) hat, den man dem BKA gibt.
Leider zieht das EJPD (Eidgenössische Justiz- und Polizei-Departement) jetzt vor das Bundesgericht.
Ich drücke Threema ganz doll die Daumen. Das ist der einzige der großen Messenger, der nicht darauf besteht, dass man den Account mit der Telefonnummer assoziiert, und der auch nicht die Komplexität von Krypto hinter Bullshit-Automatismen versteckt (wie z.B. Signals "die Sicherheitsnummer hat sich geändert").
Von der Krypto her ist Signal noch ein bisschen cooler, aber Threema hat mehr dafür getan, das Vertrauen seiner Nutzer wirklich zu gewinnen, und nicht bloß Sicherheit zu behaupten. Ich habe in meinem Leben für eine einzige Smartphone-App Geld ausgegeben. Es war Threema.
Ich bin ja ehrlich gesagt sehr irritiert, dass die Schweizer Regierung das so kurz nach der Aufarbeitung des Crypto-AG-Skandals in der Presse wagt. Die letzten paar verbleibenden rauchenden Ruinen von Glaubwürdigkeit bezüglich Kryptografie in der Schweiz sind Threema. Die jetzt auch noch plattzumachen wäre ein irreparabler Rufschaden für die Schweiz.
Update: BTW: Glaubt mal gar nicht, dass nur die Schweizer Dienste freidrehen.
Das Niveau der Spionage gegen Deutschland sei auf dem Stand des Kalten Krieges oder sogar noch deutlich höher, schätzte Haldenwang.
Aha. Schätzt er. Wie früher. Oder deutlich höher. Schätzt er. Was machen Sie noch gleich beruflich, Herr "Verfassungsschutz"-Chef Haldenwang? Wofür waren Sie noch gleich zuständig? Oh ja richtig. Erkennen und Abwehr ausländischer Spionage. Und Sie können nicht mal sagen, ob das so hoch wie früher ist oder deutlich höher? Was muss eigentlich noch passieren, damit wir diese unnützen Dienste alle mal zumachen und das Geld unter den Hartz-IV-Opfern verteilen?
Brasilien hat sich bei ihrem Bildungsminister für Letzteres entschieden.
That false assertion was “imprecionante” (“imprecive”), Weintraub declared, sparking widespread derision, even from supporters.Weintraub eventually purged the offending post, but it was not his first such blunder. Last year the 48-year-old minister was similarly ridiculed for using the misspelled word “suspenção” (“suspention”) in an official document.
On another occasion Weintraub – one of Bolsonaro’s most loyal, provocative and, to critics, poorly chosen subordinates - appeared to confuse the author Franz Kafka with a Middle Eastern meatball, the kafta.
Na dann: Guten Appetit!Der ist jetzt allerdings zurückgetreten. Aus anderen Gründen.
Update: Oh und wo geht der jetzt hin? Kommt ihr NIE drauf!!
Abraham Weintraub, one of Jair Bolsonaro’s notorious allies, has been put forward for a job as a senior executive by Brazilan authorities at the headquarters of the World Bank in Washington.
Die Lufthansa-Aktien im Portfolio laufen auch nicht so gut?
Kein Problem: Hertz emittiert frische Aktien! Da will man doch investieren!!1!
Hey, warte mal, war Hertz nicht pleite und hat Gläubigerschutz beantragt? Ja genau!
Hmm, ist das dann nicht Beschiss, wenn man Aktien verkauft, obwohl man pleite ist, und die Investoren ihr Geld nicht wiedersehen werden? Das sieht Hertz auch so, daher sagen sie das in ihren Unterlagen auch genau so:
I have bolded the important bits there, which are that the people who buy stock in the offering will get nothing unless there is “a significant and rapid and currently unanticipated” improvement in the business. “Unanticipated” by whom, you might ask. Certainly by Hertz’s creditors. Presumably also by the bankers and lawyers who wrote that amazing paragraph, and by the bankruptcy judge who gave Hertz permission to go ahead and do this nutty thing.
Die wahrscheinlichste Theorie ist, dass das lauter ahnungslose Deppen sind, die gerade mit und wegen einer App namens "robinhood" ihre Kohle am Aktienmarkt verbrennen. Und hey, wenn die schon Geld verschenken, wieso dann nicht an unsere Gläubiger?Hertz steht übrigens mit 1,5 Milliarden in der Kreide, und die neu emittierten Aktien wären im Wert von 500 Millionen gewesen. Reicht also immer noch nicht. (Danke, Jan)
"The quality assurance of Skylake was more than a problem," says Piednoël during a casual Xplane chat and stream session. "It was abnormally bad. We were getting way too much citing for little things inside Skylake. Basically our buddies at Apple became the number one filer of problems in the architecture. And that went really, really bad."When your customer starts finding almost as much bugs as you found yourself, you're not leading into the right place."
Schade dass das nur B2B funktioniert. So viele Qualitätsprobleme wie es mit Apple-Software gibt...Der Typ, der das sagt, war übrigens früher bei Intel fürs Engineering zuständig. (Danke, Ralph)
Mit wertvollen Beiträgen wie "Fem as Fuck #19: Das Dilemma der weißen Frau. Money Quote:
Doch in meinen Augen ist schon alleine die Existenz einer weißen Person in unserer westlichen Gesellschaft von Grund auf rassistischUnd Überschriften wie
Diese App hilft dir, Beauty-Produkte von Schwarzen Gründer*innen wirklich zu supporten
Ich würde denen ja den Untergang wünschen, aber eigentlich ist es mir lieber, wenn Axel Springer da noch ein paar Jahre Geld für rausblutet. Für so diverse Berichterstattung wie
Michalsky nennt Bauchtasche und Anorak Sommertrends 2020 – unter welchem Stein lebt er?Ja aber echt mal, Michalski! Was bildet der sich eigentlich ein?!
Bleibt nur noch zu sagen:
Nicht-rassistisch zu sein ist nicht genug: So wirst du Anti-Rassist*inGut, dass ich Axel Springer habe, um mir zu sagen, was ich sein muss. Nicht auszudenken, wenn man mich da selber denken ließen!
Cisco Webex Meetings Desktop App for Mac Update Feature Code Execution VulnerabilityNICHT MAL DEN UPDATER kriegen die hin!
Wenn es um Corona ginge, hätte man da auch einfach einen entwickeln lassen können und alle anderen nehmen das dann. Ist ja bei Open Source auch lizenztechnisch kein Problem.
Ich als ewiger Optimist hoffe aber trotzdem, dass die App versehentlich auch gegen Covid-19 hilft. Von der Akzeptanz her sieht die App ja gar nicht mal so schlecht aus mit inzwischen angeblich knapp 10 Mio Installationen. Und das trotz aktueller Meldungen wie dieser, dass die Geheimdienste jetzt endlich Staatstrojaner-Befugnis bekommen sollen. Das würde ja eher dagegen sprechen, irgendwelchen Apps irgendwelcher Behörden zu vertrauen. Merken die eigentlich nicht, wie viel Vertrauen sie jetzt schon verloren haben?!
Update: Einen Punkt würde ich an dieser Stelle noch gerne machen. Open Source ist schön und gut, aber nicht hinreichend. Wer sagt denn, dass die App, die man aus dem App Store installiert kriegt, auch aus dem Quellcode kommt? Eigentlich müsst jeder von euch selber aus dem offenen Quellcode die App bauen und auf sein Telefon spielen, was aber natürlich Google und Apple nicht zulassen, weil die ja gerne ihr parasitäres App-Store-Schutzgeldgeschäftsmodell ("Schöne App haben Sie da! Wäre ja schade, wenn die Leute die gar nicht installieren können! Geben Sie uns mal 30% Ihres Umsatzes!") weiter fahren möchten. Und das geht ja nicht, wenn sich die Leute selber Apps installieren dürfen! Wieso hat das eigentlich das Kartellamt noch nicht unterbunden?
Bliebe noch der Weg, dass ihr die App selber baut und dann vergleicht, dass die App aus dem App Store identisch ist. Doch das ist technisch kein Selbstläufer und auch da legen Google und Apple absichtlich Steine in den Weg.
Tja und wenn jetzt der Staat kommt und selber ein Schutzgeldgeschäftsmodell gegen Google und Apple fährt ("Schönen App store haben Sie da! Wäre ja schade, wenn der in unserem Land verboten wäre! Hier, liefern Sie mal diese Malware aus!"), dann geht das ja am Ende auch immer alles zu Lasten des Bürgers. Für uns Bürger kämpft ja leider niemand.
Die Lage ist nicht völlig aussichtslos. Man kann z.B. sehen, was die App alles können will. Da hat leider Google auf ganzer Linie verkackt und auf älteren Android-Versionen (älter als 9 habe ich gehört) kommt da "will Location-Daten haben". Das hilft also nicht, im bösartige Profilbildung zu verhindern.
Bleibt noch die Möglichkeit, dass man stichprobenhaft die App aus dem App Store holt und von Experten vergleichen lässt. Damit sind wir aber auch wieder nicht viel weiter, denn wir haben nur "du musst Google/dem Staat vertrauen" gegen "du musst dem CCC-Experten vertrauen" ausgetauscht. So ganz kriegt man das Vertrauen Müssen nicht weg, denn die Tools, mit denen man solche Analysen macht und Apps baut, die kommen ja auch von irgendjemandem, dem man vertrauen muss. Aber schön ist das nicht.
Bleibt noch die Frage, ob die Geheimdienste vielleicht Google zwingen, ihre Hintertüren nur gezielt auszurollen. Damit wären Stichproblem umgangen, außer einer der Stichproben-Downloader ist auf der Liste der Geheimdienste. Ist alles nicht so einfach.
Update: Oh und dann gibt es natürlich noch das Problem (jetzt vielleicht nicht bei der Corona-App aber bei anderen), dass die App einmal pro Woche ein Update erfährt. Da wird das Fenster für Aussagen über die Vertrauenswürdigkeit einer bestimmten Version sehr schnell sehr klein.
Ich sehe die App als ein Spielzeug für die digitale Oberklasse. Mit der Realität hier in Reinickendorf hat das nichts zu tun.Und dann führt er aus, dass Infektionen vor allem ein Problem der präkär lebenden Unterschicht ist.
Medizin, das zeigt sich wieder einmal, ist auch politisch: Diese Leute werden immer wieder krank, weil sie so leben, wie sie leben - in ärmlichen Verhältnissen. Und unsereins lädt sich dann die App herunter und fühlt sich gut. Ich empfinde das als eine ziemliche Heuchelei.Wunderschön gesagt! Vielen Dank dafür!
Die Süddeutsche meint dann noch, die Leute hätten doch heute alle Smartphones!1!!
Die Leute haben tatsächlich Handys, aber die App gibt es auf Deutsch und auf Englisch, beides sprechen sie kaum. Sie lesen auch keine Push-Nachrichten der Süddeutschen.Und da zeigt sich wie so häufig, dass man am besten erstmal versteht, wem man hier eigentlich gerade helfen will, und was die tatsächlichen Probleme vor Ort sind, bevor man mit dem Helfen anfängt und 50 Millionen in den Geldverbrennungshochofen der Telekom steckt.
Insbesondere die Telekom scheint da völlig ethikfrei mit allen Händen in den Topf gegriffen zu haben. Schon was die SAP aufgerufen hat finde ich ausgesprochen irritierend, aber was die Telekom da abgreift? Meine Herren, da fallen mir gar keine Witze mehr zu ein. Ob das Teil des Sanierungsprogramms für die T-Systems ist, die ja angeblich bis zum Herbst zerschlagen werden sollte?
Bleibt die Frage, ob das jetzt reine Industrieförderung war, oder ob die App auch tatsächlich was nutzen kann/soll.
Weiß ich auch nicht. Der ewige Optimist in mir hofft, dass die App was bringt, egal ob das beabsichtigt war oder nicht.
Und mir bleibt als Lektion, dass ich mal dringend meinen Tagessatz hochsetzen muss.
Allerdings sind die Symptombeschreibungen aus den USA und Europa subtil unterschiedlich. Vielleicht handelt es sich daher um zwei Ausfälle, die nur zufällig gleichzeitig stattfanden.
Weiß da zufällig jemand genaueres?
Update: Auf einer Pressekonferenz zur Corona-App hat der Telekom-Vorstand angesagt, die 5G-Umstellung sei Schuld gewesen. Das klingt erstmal wie die schlechteste Ausrede aller Zeiten, aber mir hat auch jemand erzählt, wie sie das intern ihren Mitarbeitern erklärt haben. Da klingt die Geschichte so: Die haben versehentlich eine für 5G benötigte Konfiguration frühzeitig freigeschaltet, woraufhin ihnen irgendein Schlangenöl die Infrastruktur runterfuhr, um den "Angriff" abzuwehren, und das hat halt auch die Mobilfunkkunden abgewehrt.
Die TÜVit hat mal geguckt und fand dabei eine Schwachstelle in der TAN-Generierung. Damit hätte man das Backend angreifen und möglicherweise überlasten können. Ist ein valider Fund. Allerdings kein sonderlich beunruhigender. Schlimm wäre gewesen, wenn man über die App das Smartphone kompromittieren könnte, oder wenn man Daten deanonymisieren könnte, oder Benutzerprofile erstellen könnte. Dass die diese Lücke melden und keine der anderen, das ist ein gutes Zeichen für die App.
Die zweite gerade kursierende Meldung über die App in der FAZ, die sich damit ihr Loch noch ein bisschen tiefer gräbt. Überschrift: "Forscher entdecken Sicherheitslücke bei Corona-App". Klingt komisch. "bei" der App. Die meinen bestimmt "in" der App. Nein, meinen sie nicht. Das ist bloß die übliche Schlagzeilen-Irreführung, damit ihr denkt, sie hätten über eine Lücke in der App berichtet, wenn ihr nur Schlagzeile und Anreißer lest. Hier ist der Anreißer:
Durch die Lücke lassen sich sensible persönliche Daten einsehen und verändern.Das wäre ein Totalschaden.
Was steht denn im Fließtext?
Das Problem liege im sogenannten Google-Apple-Protokoll (GAP), einer Schnittstelle zum Betriebssystem.Ja, äh, das ist dann ja wohl keine Sicherheitslücke in der App.
Dazu nutzten die Wissenschaftler einen Code, der jenem, der in den Betriebssystemen von Apple und Google verwendet wird, sehr ähnlich ist.Und sie haben das Problem nicht mal am tatsächlichen Code nachweisen können sondern in einer Simulation eines Nachbaus.
Angreifer könnten die sogenannten Bluetooth-Benutzer-IDs, die von einer Kontaktnachverfolgungs-App erzeugt werden, sammeln und zu Orten umleiten, obwohl sich die Person, die hinter den Daten steckt, dort nie aufgehalten hat.*gähn*
Aber wartet, geht noch weiter!
Außerdem war es ihnen möglich, in einem bestimmten Gebiet die Bewegungen einzelner Personen detailliert zu rekonstruieren. Zwar brauche es dazu technische Hilfsmittel, sagte Freisleben. Aber man müsse auch sagen, dass es Telekommunikationsunternehmen oder anderen Konzernen, die über entsprechende Daten verfügten, jetzt schon möglich sei, Bewegungsprofile zu erstellen.Mit anderen Worten: Sie haben gar nichts.
Halt, halt, noch nicht weggehen, es gibt noch ein Sahnehäubchen:
Die Gefahr, dass die Unternehmen dadurch Zugriff auf medizinische relevante Daten der hiesigen Nutzer erhalten könnten, sei nicht auszuschließen.Bingo! Mehr Bestätigung der Vorwürfe von Rezo geht gar nicht. Irreführendes Verschwörungs-Geraune statt recherchierten Fakten.
Update: Das heißt nicht, dass die App gut ist. Ich habe die nicht angeguckt. Die öffentlich kommunizierten Designziele der App waren gut.
Update: Hier ist die Pressemitteilung der TU Darmstadt zu der FAZ-Meldung, und da steht:
Forschungskonsortium belegt Risiken in Google- und Apple-Spezifikation für Corona-Apps
Eine ganz andere Aussage! Das Paper dazu findet ihr auf arxiv.org.
Jetzt: Bürger fluten Denunzier-App des FBI mit Videos von Polizei-Übergriffen.
Genaugenommen ist das genau das, wonach das FBI gefragt hatte:
"The FBI is seeking information and digital media depicting individuals inciting violence during First Amendment protected peaceful demonstrations," the FBI wrote on its Twitter account.
Deshalb war es wichtig, dass unsere App das schon vom Design her nicht zulässt.
You're welcome.
Update: Primärquelle: NBC News hat ein Video des Minnesota Public Safety Commissioners, der das öffentlich ansagt.
Eine der ersten Reaktionen auf einem inhaltlichen Technik-Niveau kommt von Alvar Freude. Da alle Daten in der Datenbank eh für die landesweite Veröffentlichung vorgesehen sind, greifen einige seiner Punkte gerade auf dieses aktuelle Projekt nicht so tief, wie es vielleicht beim ersten Durchlesen klingt, und wären aus meiner sicht kein Hinderungsgrund für die Installation der App.
Allerdings lohnt es sich für jeden Entwickler, der Webanwendungen mit Datenbankanbindung schreibt, Alvars Vorschläge mal in Ruhe durchzulesen, denn was er da sagt hat grundsätzlich Hand und Fuß. Die beobachteten Fehler und Ratschläge treffen auch bei erschütternd vielen anderen Projekte zu.
Nicht alles davon sind Fakten, einige sind auch Einschätzungen. Die von ihm vorgebrachte Beobachtung, dass ORMs "in der Regel eh Mist" machen, würde ich eher unter Ideologie einordnen. Ich bin auch kein Freund von ORMs, im Gegenteil, aber in dieser Allgemeinheit ist dieses Statement unwürdige Ideologie.
An area near Yellowstone National Park has been struck by nearly a dozen earthquakes on Friday, according to the US Geological Survey.
Update: Während ihr noch gespannt drauf wartet, wie sie das den Russen in die Schuhe schieben werden, gab es übrigens im Kongo einen Ebola-Ausbruch und ein Polsprung deutet sich an.
Trevor Noah erklärt derweil, dass die Leute langsam ihren Gesellschaftsvertrag aufkündigen, weil sie von der Exekutive nicht mehr beschützt sondern eher verfolgt werden.
Das gilt nicht nur für verfolgte Minderheiten. Als die Polizei von Dallas eine App veröffentlicht hat, über die man Videos von "kriminellen Demonstranten" hochladen konnte, um die zu verpfeifen, haben die Leute die Uploadserver stattdessen mit K-Pop geflutet, und die mussten die App ziemlich direkt wieder offline nehmen. Wegen "technischer Schwierigkeiten".
Die Chinesen machen sich währenddessen über Trumps Bunker-Episode lustig. Hoffentlich eskaliert das jetzt nicht zu einem richtigen Armeeeinsatz im Inneren, wenn die im Moment beim wild herumprügeln gefilmte Nationalgarde die Situation nicht unter Kontrolle bringen kann.
Mein Vorschlag zur Deeskalation: Trump daran erinnern, was für großartige Einschaltquoten er gerade einfährt!1!!
Update: Äh, da hatte ich in der Aufregung das zentrale nicht ausgelassen. Natürlich wünsche ich den USA keinen Militäreinsatz im Inneren. Im Gegenteil.
„Gucken Sie sich das Elend um die Entwicklung einer Corona-App an. Ich bin kein Experte, aber es dauert mir ein bisschen lange. Wir hätten die Corona-Tracing-App schon am Anfang der Pandemie gebraucht. Und am besten natürlich eine europäische.“Ja aber echt mal! So einen tollen Vorstoß zur anhaltslosen Massenüberwachung hatten wir noch nie! Was dauert denn hier so lange?! Beeilt euch mal, damit die Krise nicht vorbei ist, bis meine feuchten Überwachungsträume umgesetzt sind!!1!
Ich persönlich freue mich ja auf den Moment, wo die App fertig ist, und jemand Schäuble erklärt, dass die dezentrale Struktur der App gerade so ausgelegt wurde, dass ihm das nicht als Schnorchel-Infrastruktur dient.
But despite this early deployment and widespread use, one senior figure in the country’s covid-19 response says the real impact of Rakning C-19 has been small, compared with manual tracing techniques like phone calls.“The technology is more or less … I wouldn’t say useless,” says Gestur Pálmason, a detective inspector with the Icelandic Police Service who is overseeing contact tracing efforts. “But it’s the integration of the two that gives you results. I would say it [Rakning] has proven useful in a few cases, but it wasn’t a game changer for us.”
Gerade im grenznahen Bereich sollten App-Nutzer wieder reisen dürfen. Wer eine solche App hat, sollte auch zuerst wieder ins Restaurant, ins Kino, ins Theater und ins Freibad dürfen.Der muss sich halt um sein Markenzeichen kümmern. Wer sein Markenzeichen nicht verteidigt, der verliert es. Sein Markenzeichen ist die brutalstmögliche Breitband-Inkompetenz.
Ich muss mit meiner deutschen App natürlich auch in einen Mitgliedstaat fahren können, der eine andere App hat. Die unterschiedlichen Protokolle für dezentrale und zentrale Datenspeicherung sind miteinander kompatibel, sagen die Programmierer.Oh, klar, Herr Voss. Die Programmierer sagen das. Natürlich, natürlich. *tätschel*
Ich glaube ja eher, dass Ihre Handler ihnen das gesagt haben, damit sie sich nicht aufregen und am Ende unüberlegte Dinge tun wie ... Interviews geben.
Man muss da mit der CDU Verständnis haben. Die haben bestimmt erst kompetente Handler probiert. Aber welcher kompetente Mensch hält es in der Nähe von Axel Voss aus? Daher jetzt halt ... die anderen Wärter.
Inhaltlich ist das natürlich Bullshit, klar. Muss ich euch sicher nicht erklären. Eine dezentrale App hat die Daten gar nicht, die sie bräuchte, um einer zentralen App gegenüber ein sinnvolles Handshake durchführen zu können. Das ist ja gerade der Punkt bei der Dezentralität. Das ist übrigens auch bei Datenschutz der Punkt. Die Daten gar nicht erst haben, dann können sie auch nicht wegkommen. Auch nicht wenn ein freidrehender Axel Voss es nachträglich möchte.
Update: Falls ihr die Schmerzen nicht ausgehalten und den Scheiß nicht zuende gelesen habt, habt ihr den Teil nicht mitgekriegt, in dem er die Blockchain empfiehlt, damit man wieder in die USA und nach Australien fliegen kann.
Apple, Google and hundreds of privacy advocates have raised concerns that this risks hackers or even the state itself being able to re-identify anonymised users, and thus learn details about their social circles.But NHSX has consulted ethicists and GCHQ's National Cyber Security Centre (NCSC) on the matter, and believes safeguards are in place to minimise the risk of this happening.
Oh ach SO ist das! Wenn GCHQ das sagt, dann wird das wohl stimmen!1!! (Danke, Tim)
Update: Falls ihr euch für Pässe und ihre Geschichte interessiert: Vortrag "Halt! Passkontrolle!" dazu von tomate beim CCC Hamburg. Auch daraus habe ich direkt was gelernt: Pestbrief!
Als jemand der sich seit einiger Zeit beruflich mit Bluetooth LE (BTLE) Chipsätzen beschäftigt, möchte ich zu Protokoll geben, dass sich BTLE-Signalstärkemessung bestenfalls dazu eignet Nutzer hinter Stahlbetonwänden voneinander zu trennen. BTLE Signale gehen problemlos durch Gipskarton, umgehen als Reflektion problemlos dickere Wände und pflanzen sich mittels Waveguiding auch gerne mal 50 m weit fort. Dazu kommen andere physikalische Effekte und technische Einschränkungen.Ich halte die Theorie für wahrscheinlicher, dass das bloß Ablenkung ist, um Zeit zu gewinnen, und damit die Bevölkerung nicht merkt, wie unvorbereitet die Politik war und dass wir jetzt auf Sicht fahren.Allein die Antennendirektionalität kann zu extremen Messfehlern bei der Empfangsleistung führen, die sich dann direkt in der Distanzschätzung wiederfinden. Hier mal ein Datenblatt eines Chipsatzes von hoher Qualität mit den relevanten Polardiagrammen ab Seite 16. Zum Beispiel bedeutet die 20 dB Differenz zwischen "oben links" und "unten rechts" in Fig. 7, dass man hier eine hundertfach stärkere oder schwächere Empfangsleistung misst — je nachdem aus welcher Richtung der Beacon kommt und wie das Smartphone gehalten wird. Da BTLE als Einantennensystem spezifiziert ist, lässt sich die Signalrichtung prinzipiell nicht feststellen. Damit lässt sich dieser Effekt weder weg kalibrieren noch im Distanzmodell kompensieren. Antennen mit gleichmäßiger Richtcharakteristik (bestenfalls will man hier ja Kugelstrahler) sind im Formfaktor von Smartphones noch Raketentechnologie und Tracing-Apps müssen ja sowieso die Antennen verwenden, die bereits im Feld sind. Übrigens sind die Haltewinkel der Smartphones bei den “Kalibrierungsmessungen” in Singapur als Faktoren überhaupt nicht kontrolliert worden — wirkt dort alles sehr aufwändig und “technisch”, ist aber aus Radiosicht leider sehr naiv.
Dazu kommen Reflektionen durch Mehrwegeausbreitung, die die Empfangsleistung je nach Position im Raum und Haltewinkel massiv verändern können. Wir haben das mal mit billigen und teuren Smartphones in einer Büroumgebung durchgemessen und Fehlerfaktoren zwischen 4 und 31 festgestellt. Anbei mal 2 Diagramme dazu — sieh Dir einmal an wie sich das ändert, wenn man die Handys 30 cm zur Seite bewegt. Um das auszugleichen, müsste man jede Ausbreitungsumgebung im Land im 12 cm-Raster vermessen (ungefähre Wellenlänge des BTLE-Signals) oder einfach mit Machine Learning draufhauen (nicht ernst gemeint).
Kurz: Schon die technische Ausgangsbasis der meisten Tracing Apps (Distanzmessung über BTLE-Signalstärkemessung) kann nicht funktionieren. Grundlegende physikalische Effekte führen zu Lokalisierungsfehlern deren Größenordnung (!) bereits den Ansatz irrelevant macht. Das ist aber für Leute aus dem Funkbereich alles nichts Neues. Profis lokalisieren deshalb mit Signallaufzeit (z.B. TDOA) anstatt mit Signalstärke. Dafür sind aber die Uhren in Smartphones viel zu ungenau.
Was mich endlich zu meinem eigentlichen Punkt bringt: Warum lanciert man jetzt eine App die schon technisch gar nicht funktionieren kann? Technische Inkompetenz? Na klar! Fraunhoferische Geldgier? Sicherlich aber vielleicht steckt da noch etwas anderes dahinter ;-)
Aus gut unterrichteter Quelle weiß ich, dass man in Südkorea Infektionen anhand von Kreditkartendaten zurück verfolgt. In Deutschland undenkbar… es sei denn, man lanciert eine dysfunktionale Tracing App, handelt einen Hinterzimmer Deal mit VISA & Co. aus und sagt dann, dass die App wirkt. Ginge natürlich auch mit anderen Datenschutzverletzungen (Kameraüberwachung, toll collect, …) und ist für mich derzeit eines der wenigen Szenarien in dem diese App einen Sinn hat.
Diese Art von Gedanken machen sich natürlich auch die Leute, die an solchen Apps arbeiten. Was ich so gehört habe, ist deren Gegenargument: Wenn es nur ein Menschenleben schützt, hat es sich insgesamt gelohnt!
The vulnerability allows remote code execution capabilities and enables an attacker to remotely infect a device by sending emails that consume significant amount of memory
(Danke, Frank)
Das würde erklären, wieso sie jetzt bei der Corona-App auch zuerst an SAP gedacht haben. (Danke, Martin)
Inzwischen klang das ja an einigen Stellen so, als seien da Dinge in die Wege geleitet worden, Entscheidungen getroffen worden.
Das war alles genauso virtuell wie der Plan der Regierung zur Sicherstellung der Renten. Money Quote:
eine Vergabe der Entwicklung einer dezentral speichernden #ContactTracingApp an SAP u TSystems ist noch gar nicht erfolgt. Eine Direktvergabe wg Dringlichkeit ist geplant.Oh, ach?
ein Vertrag existiert genauso wenig, wie eine Schätzung der Kosten. Nicht mal ungefähr. […] Für die Entwicklung eines Prototyps der zentralen Variante waren 600.000€ an Fraunhofer geflossen.Wieso denn überhaupt SAP und T-Systems? Dazu hier ein prophetischer Leserbrief dazu. Und was war wirklich? Das hier:
Warum SAP u T-Systems? Antwort BuReg:Das mit der Hotline ist besonders geil. Die wollen vermutlich nicht, dass ihre eh schon völlig überlasteten Bürgertelefone jetzt Coronafragen erklären müssen. Das soll mal lieber die DTAG ihre völlig überlasteten Billiglohn-Callcenter mitverkacken lassen.
- große Industrieplayer, die auf Augenhöhe mit Apple/Google reden können
- Infrastrukturkompetenz
- Fähigkeit, eine 24/7 Hotline zu schaffen.
Andere Fragen im Raum waren noch, ob es denn jetzt ein Gesetz geben wird. Ansage der Bundesregierung: Nein. Das heißt erstens: App ist optional. Zweitens: Du wirst auf Arbeit wahrscheinlich nicht reinkommen ohne App, sie ist also doch nicht optional.
Und auch der Rest der bisherigen Aussagen war schlicht gelogen.
Auf meine Frage, wer im Kanzleramt die schwierigen u Druck ausübenden Gespräche mit Apple geführt hätte, von denen häufiger die Rede war, kam die überraschende Antwort: niemand. BMG? auch niemand. Nur bei Fraunhofer hätte es Apple Kontakte gegeben.LOL!
Bleibt noch eine Voraussage von mir: Dass das zu viele Player sind, als dass das zeitnah fertig werden kann.
Apropos: einen neuen Zeitplan gibt es nicht, auch keinen ungefähren.Das sehen die offenbar auch so.
Egal in welche Richtung ich schaue ich sehe überall nur Informatikerdiskussionen.OK ich fühle mich da mal angesprochen :-)Datenschutzrelevante Konsequenzen bestehen jedoch auch über zentrale und dezentrale Architekturen hinaus:
- Soziale Ächtung von COVID-19 Infizierten
- Mögliche Blutrache an COVID-19 Infizierten
- Soziale Benachteiligung von Nichtnutzern der APP
Warum lese ich das nirgendwo? Weil das über Krypto-Bla-Bla hinausgeht. Dafür muss man auch die Dialoggestaltung berücksichtigen, das komplette Konzept auseinandernehmen.
Das zeigt: zentral, dezentral, es ist absolut scheißegal. Man macht hier eine gefährliche Büchse der Pandora auf.
Aber mir scheint, dass niemand so wirklich fähig ist mal außerhalb des Computers zu denken. Schade.
In meinem ersten Beitrag zur App habe ich die CCC-Prüfsteine verlinkt. Die haben als Punkt 2: Freiwilligkeit & Diskriminierungsfreiheit
Das deckt das ab, jedenfalls was die App betrifft. Dass jemand geächtet oder gar Opfer von Blutrache wird, das ist ja leider nicht App-spezifisch. Ich glaube auch nicht, dass man da viel machen kann.
Ich sehe das Problem ehrlich gesagt eher in die Gegenrichtung. Das Leute zu leichtfertig behaupten, sie hätten Covid-19, damit sie nicht zur Arbeit / in die Schule müssen. Und dass uns das dann alle umbringt, weil dann irgendwann "ich glaube ich bin infiziert" nicht mehr als Zuhausebleibengrund akzeptiert wird.
Wie immer im Leben. Ein paar Arschlöcher reichen, um es für alle kaputtzumachen.
Einer argumentiert, dass das die perfekte Entscheidung für die Politik war. Erstens sind die groß und man hat schonmal von denen gehört. Da kann niemand sagen, das hätte man höher aufhängen müssen. Zweitens hat jeder schon von verkackten Projekten mit SAP oder der Telekom gehört (z.B. die SAP-Einführung bei der Bundeswehr oder das Mautdebakel). Wenn die das jetzt also vor die Wand fahren, wird das auch niemanden wirklich überraschen.
Und das wird angesichts der Erwartungshaltung gar nicht so einfach für die, das vor die Wand zu fahren. Oder kann sich jemand von euch eine App vorstellen, die noch verkackter ist als ihr jetzt gerade von dem Projektduo und einem Politik-Schnellschuss erwartet? Da müssten die sich schon echte anstrengen. Oder, wie es ein Kumpel von mir formulierte:
Sieh es positiv: Egal was sie abliefern, es kann nicht so schlimm sein wie die Erwartung.:-)
Die „Corona-App“ ist ein Projekt der Bundesregierung. Basierend auf einer dezentralen Softwarearchitektur wird angestrebt, sie durch die Deutsche Telekom und die SAP zu entwickeln und zur Marktreife zu bringen. Die Fraunhofer-Gesellschaft und das Helmholtz-Institut CISPA stehen bei der Entwicklung beratend zur Seite.Ach du je. Die Telekom und SAP? "Marktreife"? Von welchem Markt reden die da? Der mit den anderen konkurrierenden Corona-Apps?
Mal unabhängig von den konkreten Namen: Das sind zuviele Player. Wenn du willst, dass das was wird, dann muss das eine spezialisierte kleine Firma machen. So klein, dass "die App ist Scheiße, ihr fixt das jetzt sonst gibt es kein Geld" eine ernsthaft Drohung ist. Und nicht so klein, dass der CEO dich bescheißt wie Startups ihre Investoren bescheißen. Und nur Projekte vergeben, bei denen das Scheitern nicht für den Auftraggeber schlimmer ist als der Ausfall für den Auftragnehmer wäre.
Sobald mehr als ein Player beteiligt ist, geht es in Meetings nur noch um die Schuldfrage und das verzögert sich alles endlos. Vier Player plus das beaufsichtigende Kanzleramt? Das wird nichts.
Update: Das heißt aber auch, dass sie noch keine nennenswerten App-Fragmente fertiggestellt hatten, sonst würde man ja nicht mal eben den Zulieferer wechseln. Oder es heißt, dass die App nach wie vor von studentischen Hilfskräften bei Fraunhofer im Homeoffice zusammengeklebt wird, und sie namedroppen Telekom und SAP bloß, damit das seriöser aussieht.
Wobei, wenn man mal ehrlich ist: Wenn "die Telekom" eine App entwickelt, oder irgendwer, dann sind das eigentlich immer gerade so knapp volljährige unerfahrene Ausgebeutete im Homeoffice oder einer Miet-Share-Büro-WG irgendwo. Ob die jetzt noch als Studenten eingeschrieben sind oder nicht spielt höchstens für deren Krankenversicherung eine Rolle.
Man muss glaube ich mal eine Sache ganz klar ansagen: Eine App entwickelt man nicht mal eben. Einen Prototypen entwickelt man mal eben. Wenn man ein unseriöses Startup ist, dessen CEO gerade ein paar Investoren beschubsen muss, damit er die nächste Finanzierungsrunde kriegt, dann shippt man das und belügt die Investoren über den Reifegrade und verschweigt ihnen das Ausmaß des Versagens der App im Feld. Wenn man eine Firma wie die Telekom oder SAP ist, und das tatsächlich selbst entwickelt (und nicht an eine zugekaufte Ranzklitsche vergibt), dann bewegt sich das alles in Zeiträumen, dass sich von alleine Covid-Herdenimmunität eingestellt hat, bis die App geshippt wird. Weil sie vorher die Qualitätsanforderungen nicht erfüllt.
Das heißt nicht, dass das eine schlechte Idee ist. Das heißt, dass wir bei der nächsten Pandemie wahrscheinlich eine App fertig hätten. Ist ja auch was!
"Deshalb werden wir eine dezentrale Architektur vorantreiben, die die Kontakte nur auf den Geräten speichert und damit Vertrauen schafft."Ach nee! Hat die CDU zu lange mit der SPD regiert? Ist deren Umfallen ansteckend?
Egal. Dezentral ist deutlich besser. Mal gucken, wie die das jetzt konkretisieren.
Boos hofft darauf, dass Apple und Google auch für zentralisierte Apps eine Schnittstelle bereitstellen [… wollen die aber nicht, weil das totalitären Staaten Tür und Tor öffnet …] Chris Boos sieht ein solches Vorgehen als Erpressung, spricht davon, dass Google und Apple demokratischen Regierungen nicht vorschreiben sollten, wie sie ihre Apps entwickeln.OK. Letztes Mal wollte ich mich zu Boos noch nicht allzu negativ äußern, weil ich über den nichts wusste. Aber jetzt reicht mir das. Der Typ betreibt eine Firma, die der Politik seit Jahren KI als Allheilmittel reinzuschlangenölen versucht. Die Entscheidung der App sehe ich daher als Profitmaximierungsabsicht für sein Geschäftsmodell. Jetzt so zu tun, als sei das die Entscheidung einer demokratischen Regierung (die haben aus mir völlig unerfindlichen Gründen eben nicht entschieden sondern Leuten wie ihm die Entscheidung überlassen, unter der Annahme, dass er sich nach dem Wohl der Bevölkerung richten würde), ist aus meiner Sicht mindestens irreführend wenn nicht gar offen gelogen.
Das sagt er auch selber:
Boos sagt dazu, dass mit einer zentralisierten App mehr epidemiologische Daten bereitstehen würden, mit denen Institutionen wie das Robert-Koch-Institut arbeiten könnten.Ja nee klar. Oh und ... wer noch? Ja richtig! Seine Firma, die zufällig KI-basierte Automatisierungslösungen für Big Data in der Cloud anbietet!
Ich unterstelle dem nicht Bösartigkeit. Vielleicht merkt der das gar nicht selber. Wer einen Hammer hat, für den sehen alle Probleme wie ein Nagel aus. Aber offensichtlich hätte man dieses Konsortium in die Hände von jemandem geben sollen, bei dem das Problemfeld noch andere Dimensionen als "wie kriege ich möglichst viele Daten für meine Auswertungen" hat.
#Lindner beklagt, dass man den Virus mit dem Mitteln des Mittelalters bekämpfe. Er fragt: "Wo sind die #Apps?" Deutschlands digitale Defizite mache sich nun negativ bemerkbar.Ja aber echt mal. Die Mittel des Mittelalters! Genanalyse und RNA-Nachweise! Antikörpertests! Feinfiltermasken! Beatmungsgeräte! Computerstatistik! Doppelblindstudien für Impfstoffe!
Wusste gar nicht, dass der Lindner ein Fan von Alternate History Fiction ist!
Money Quote des aktuellen Rants:
Wo bleiben Antworten auf die Frage, wo sich die Leute trotz Lockdown noch immer anstecken? Wie können wir über Lockerungen [reden], wenn wir offenbar keine Ahnung haben, was die Hauptinfektionssituationen sind?Gute Fragen, Pavel!Wie wollen wir die Lockerungen managen, wenn wir nach wie vor kein zeitnahes Berichtswesen haben? Statt über Apps zu fabulieren und zu streiten, hätte man längst die Datenerhebung und -verarbeitung der Gesundheitsämter verbessern können.
Update: Leserbrief dazu:
Tja, da ich in der "glücklichen" Situation bin, für unser zuständiges Gesundheitsamt genau eine solche Lösung als DB bzw Workflow abzubilden, kann ich dir nur mitteilen, das es KEINE Lösungen von Bund und Ländern gibt.
Die sind alle, wie wir, auf sich alleine gestellt.Was im übrigen sehr viel Spass macht, da in den ersten Wochen andauernd im Tagestakt Änderungen durch das RKI kamen,
Verbessern an der Situation kann nur die jeweilige lokale IT und da sieht es flächendeckend überwiegend eher mau aus.
Aus eigener Erfahrung kann ich dir mitteilen, das überwiegend Excellisten zum Einsatz kommen, Software zur Erfassung und Verwaltung der Fälle ist eher rar gesät und immer Eigeninitiative.
Da willste doch losgehen und die CDU wählen, die für diese Zustände verantwortlich ist!!1!
Dass sie ihn absichtlich verkacken bzw. gar nicht erst mitbestellen.
Hessens Covid-19-Krisenstab nutzt bald Software des US-Unternehmens Palantir, um den Überblick über die Corona-Krise zu behalten.Ja super! Ausgerechnet Palantir!
Das ist jetzt wahrscheinlich nicht so übel wie es klingt, weil auch Palantir nicht zaubern kann. Der kann nur die Daten auswerten, die man da reinschiebt. Allerdings steht halt zu befürchten, dass die Politik gerade im Hühnerstallmodus fährt und da alles reinpackt, was sie in die Krallen kriegen können. Inklusive Funkzellendaten.
Das ist übrigens nicht der erste Kontakt von Hessen und Palantir. (Bisschen Kontext zu Palantir)
Update: In Hessen regiert seit gefühlt Jahrzehnten die CDU durch, mit so Lichtfiguren wie Volker Bouffier und Roland Koch. Hessen war auch das Bundesland, das Steuerfahnder von einem Psychiater dienstunfähig schreiben ließen, weil die ihre Arbeit gemacht hatten. Und das ist nicht gut für die Wirtschaft, wenn den Bonzen jemand beim Steuerhinterziehen im Weg steht. Woher sollen dann die Parteispenden für die CDU kommen, wenn das Finanzamt diese Kohle hat?
Bittorrent funktioniert so, dass du vorher weißt, welche Datei du kriegst. In der torrent-Datei oder dem Magnet-Link steht der Hash der Daten drin. Du weißt, ob du die richtigen Daten gekriegt hast, weil der Hash sonst nicht stimmt. Bittorrent hat da einen schlauen Kniff namens Merkle Tree am Start, um auch schon einzelne falsche Fragmente erkennen zu können und nicht erst am Ende merkt, dass der Download für die Tonne war. Und selbst damit sind die Probleme noch nicht gelöst.
Wenn dich jemand ärgern will, announced er einfach öffentlich, er habe Segment 23, und schickt dir dann halt kaputte Daten. Wenn das genügend viele Leute machen, dann denkt der Bittorrent-Client immer, da war halt das Netz gerade kaputt, und versucht es beim selben Sender nochmal. Und natürlich kommt es auch vor, dass für einige Segmente gar keiner online ist, der die hat. Dann hängt euer Torrent halt ewig.
So und jetzt kommt bei den Covid-Daten dazu, dass die dynamisch sind. Da fallen ständig welche weg und an anderer Stelle kommen neue dazu. Woher weißt du als Client, dass die Daten OK sind, die du gerade kriegst? Da müsste man dann irgendwas mit Krypto-Signaturen machen, und der Client müsste die Signaturen prüfen können, d.h. die müssten dann von "der Behörde" signiert sein, damit es nur einen Signierer gibt und man den Public Key von dem halt in die App packen kann. Wenn man das so macht, hat man ein sogenanntes Revocation-Problem, falls der Key abhanden kommt.
Aber nehmen wir mal an, das sei alles gelöst.
Dein Telefon müsste jetzt die ganze Zeit online sein, um seine Fragmente anzubieten. Nehmen wir mal an, man nimmt Bittorrent-Tech wie eine distributed hash table, um das zuständige Gerät zu einem Fragment findbar zu machen.
Das ist schon im Bittorrent für die Raubkopierer Scheiße, weil es heißt, dass ein Abmahnanwalt die IP finden kann. Wenn jeder nur seine eigenen Fragmente hostet, dann ist das noch schlimmer. Dann findet man nicht nur raus, wer teilnimmt, sondern man findet die aktuelle IP zu einem gegebenen Fragment, und weil die jetzt gerade online sein muss, damit ich da Tokendaten abholen kann, kann ich auch eine Geolokalisierung machen und sehen wo das Gerät gerade grob ist. Das sind alles Daten, die man nicht rausrücken will.
Ich will jetzt nicht behaupten, dass da gar nichts geht, aber das ist bei weitem nicht so ein Selbstläufer, wie der eine oder andere anzunehmen scheint.
Übrigens, am Rande. Wenn ihr euch mal die DP-3T-Dokumente anguckt, dann werdet ihr sehen, dass das recht nahe an dem Konzept war, das ich hier als Idee eines Kumpels präsentiert habe. Das lag jetzt nicht daran, dass mein Kumpel sich deren Proposal angeguckt hat, sondern dass das halt das "naheliegende" Verfahren ist. Also für Leute, die hauptberuflich Krypto-Protokolle machen.
Ich sagte ja schon in meinem initialen Beitrag zu Corona-Apps, dass DP-3T aussieht, als hätten da Leute dran gearbeitet, denen Datenschutz wichtig ist. Aber wie dort auch gesagt: Da gibt es noch genügend andere Dinge, die man in so einer App verkacken kann.
Ich weiß nicht, ob ihr mal Bergwandern gemacht habt. Da wandert man stundenlang über mehr oder wenige einsame Bergwege, und man macht sich die ganze Zeit vor, man sei so gut wie da. Nur noch um die Ecke da, dann muss da die Hütte sein, zu der wir wollten. Bergwandern kann man nur machen, wenn man sich entweder selbst bescheißen kann, dass man gleich da ist, oder einen Weg gefunden hat, die früher oder später einsetzenden Schmerzen zu ignorieren. Beim Programmieren ist das leider genau so. Wenn daher jemand kommt und sagt, er hackt mal eben ne App, dann könnt ihr euch sicher sein, dass der zur ersten Gruppe gehört. Der redet sich gerade selbst ein, er sei so gut wie da. Weil er genau weiß, dass er sonst auf halbem Weg scheitern wird und aufgeben muss. Glaubt so jemandem kein Wort.
Die "ich spür keinen Schmerz"-Methode ist auch sehr verbreitet in der IT. Das sind die Leute, die sich zwölf Dutzend Libraries und Frameworks und Datenbanken und andere Abhängigkeiten in ihre Projekt reinholen und dann "schnell fertig" sind. Nur dass die Schmerzen für die ganzen beweglichen Teile halt auf den Endanwender abgewälzt werden, und auf den, der den Scheiß dann warten soll.
Eine ordentliche App braucht ihre Zeit. Sowohl im Design der Protokolle als auch in der Umsetzung, dem Testing, und so weiter. Ich weiß: Ihr wisst das alle. Ich wollte es nur mal wieder angesagt haben. Weil auch IT-Anwender sich gerne Dinge einreden, die nicht der Realität entsprechen.
Ich dachte mir, ich skizziere mal kurz, wie man da rangehen würde, damit ihr versteht, was das Problem ist.
Nehmen wir also mal an, Bluetooth ginge nicht durch Wände und mein Telefon hätte Daten darüber, welche Geräte in den letzten zwei Wochen im Radius von 2m waren.
Aus Datenschutzgründen speichern wir nicht die echte ID des Gerätes, sondern dein Handy generiert für jedes 2m-Radius-Ping ein neues zufälliges Token. Das Token wäre so, dass dein Gerät es wiedererkennen kann, aber sonst niemand es deinem Gerät zuordnen kann. Wenn du jetzt herausfindest, dass du dir Covid eingefangen hast, dann gehst du mit der Liste der Tokens der letzten beiden Wochen zu einem Server und lädst sie dort hoch.
Da haben wir das erste größere Privacy-Problem. Der Server sieht deine IP und dass du infiziert bist. Das ist schonmal nicht gut. Aber nehmen wir mal an, das ginge irgendwie, vielleicht über Tor anonymisiert.
Wie teilt denn der Server jetzt den Betroffenen mit, dass sie ein Problem haben? Die Tokens konnte man ja nicht zuordnen! Das war ja absichtlich so designed.
Also müsste man das so machen, dass alle Geräte periodisch auf dem Server die Liste aller Tokens abholen, und dann gucken, ob sie betroffen waren. Das wären sehr schnell sehr große Downloads. Das ist also auch kacke. Man würde also lieber ein System basteln, indem die Tokens zwar nicht direkt zuordnungsfähig sind, aber wo man bei der Abfrage einen Wert hochlädt, anhand dessen dann der Server die Tokens identifizieren kann, die mich betreffen. Diesen Wert könnte man z.B. im Telefon täglich oder stündlich neu vergeben, um die Zuordnung zu erschweren. Aber wenn wir das machen, dann kann der Server sehen, ob ich infiziert bin, weil die Antwort an mich nicht leer ist.
Das ist also auch Mist. Die offensichtliche Lösung wäre, entweder auch über Tor zu gehen (das kann man bandbreitentechnisch mal vergessen, das würde das Tor-Netz vermutlich krass überfordern). Oder man baut in die Daten der Infizierten auch lauter "blinde" Tokens ein, die "nicht infiziert" heißen, aber das kann nur das Endgerät des Betroffenen sehen. Dann müssten aber alle Endgeräte die ganze Zeit immer zwei Tokens hochladen, das Blind-Token und das echte Token, damit der Server nicht sieht, welches welches ist. Das wäre vom Traffic und dem Speicherplatz für die Datenbank her prohibitiv teuer.
Ich sehe da ehrlich gesagt nicht viel Luft für eine datenschutzrechtlich einwandfreie Lösung.
Da muss man schon echt die Augen zukneifen und viel mit den Händen herumwedeln, um sich von der nervigen Realität abzulenken. Da kommen dann so Modelle wie "Ja gut, aber die IP speichern wir ja nicht, das wäre ja böse. Vertrauen Sie uns. Wir sind die Guten." raus. Oder "wir machen das mit Google/Apple/Vodafone/Telekom, die haben eh eure Daten". Ja super.
Bleiben so Modelle wie "wir zwingen einfach die Telcos dazu, diesen Traffic kostenlos zu machen". Oder "Wir teilen das in zwei Teile auf; Google macht den einen, Apple den anderen. Der Kapitalismus schützt uns dann schon davor, dass die Kartellbildung machen." Mag sein, aber der Kapitalismus schützt uns nicht davor, dass Hacker bei beiden einbrechen oder dass der Staat einfach per Durchsuchungsbeschluss bei beiden die Daten rausträgt und verknüpft.
Update: Eine Krypto-Lösung ist einem Kumpel noch eingefallen. Man macht das so, dass man die Tokens mit einem Pseudozufallszahlengenerator generiert. Die funktionieren so, dass man sie mit einem (hoffentlich tatsächlich echt zufälligen) Zufallswert füttert und der Rest der augespuckten Werte sieht zufällig aus und ist auch praktisch nicht vorhersagbar, wenn man nicht den Initialwert kennt. Das könnte man nutzen, indem man im Infektionsfall den Seed veröffentlicht, und die Tokens bleiben auf den Endgeräten. Dann könnte mein Handy vom Server die Liste der Seeds holen und gucken, ob es damit irgendwelche der gespeicherten Tokens generieren kann. Nachteil: Das wäre eine sehr akkuunfreundliche Operation. Und man müsste die Initialwerte einmal pro Woche neu auswürfeln, damit nicht beliebig lange in die Vergangenheit Treffer rausfallen würden.
Update: Man kann da noch Bandbreite optimieren, z.B. mit einem Bloom-Filter. Wenn ihr davon noch nie gehört habt, googelt das mal. Das zum ersten Mal erklärt bekommen löst in manchen Menschen eine religiöse Erfahrung aus :-)
Da der Hebel so hoch ist (jedes Endgerät im Land einmal pro Tag) ist das aber immer noch sehr viel Traffic.
Update: Liebe Leute, der Punkt dieses Beitrags war nicht, eine Lösung zu finden. Der Punkt war, euch ein Gefühl dafür zu geben, was da so ein paar der Dimensionen des Problemraums sind. Mein Eindruck ist, dass im Moment viele Leute so „mein Cousin kann PHP, der hätte da schon längst was gehackt” drauf sind, und gar nicht verstehen, wieso man da überhaupt so lange berät und wieso da nicht einfach kurz jemand was hackt.
Es ging damit los, dass jemand meinte: Hey, wir brauchen eine App.
Da war die Sache eigentlich schon klar.
Ich weiß nicht, wer das war, aber ich vermute einen bekloppten Big-Data-Sprallo, der mal eine Familienpackung KI-in-der-Cloud-Bullshit an den Steuerzahler verkaufen wollte.
Ich hörte das Gerücht, dass es Hans-Christian Boos war. Ich hatte mit dem noch nie was zu tun, insofern kann ich nicht einschätzen, was der kann. Aber seine Selbstdarstellung checkt einmal alle Boxen. Da muss ich echt aktiv meinen Würgreiz unterdrücken, wenn ich das lese. Oh und er ist im Digitalrat der Bundesregierung. Das spräche gegen die Kompetenzvermutung. Aber wer weiß, ich kenn den nicht. Und ich hörte, der sei eigentlich schon eher einer der Guten, nur halt irgendwie komisch sozialisiert mit seinem Big-Data-KI-in-der-Cloud-Scheiß.
Aber gut, ignorieren wir mal, aus welcher Ecke das kommt. Ergibt das denn inhaltlich Sinn, wenn wir die Bewegungsdaten tracken?
Naja. Kommt drauf an. Man könnte sich da Szenarien vorstellen, wo sagen wir mal jemand merkt, dass er infiziert ist, und man dann bei den Handydaten mal guckt, mit wem der so Kontakt hatte in den letzten zwei Wochen. Dafür würde es reichen, wenn dein Handy ein Profil speichert und nach zwei Wochen immer rausaltert. Man will ja in der Situation auch selber Menschen retten, an deren Ansteckung man beteiligt war, insofern würde es reichen, wenn das freiwillig stattfindet und die Daten überhaupt nur entschlüsselt werden, wenn der Eigentümer des Geräts zustimmt.
Aber, wenn ihr mal genau hinguckt: Das ist nicht das Modell, um das es hier geht. Die Debatte geht darum, ob man die Daten zentral (d.h. auf einem Server der EU) speichert oder dezentral (jedes Land hat eigene Server). Kein Mensch redet von einer Variante, wo die Daten auf deinem Handy bleiben.
Also muss ein anderes Szenario gemeint sein. Wenn man da mal ein bisschen guckt, findet man nur so Big-Data-Allgemeinplätze und Forschungsinteresse, die so neutral wie Strömungsmechanik in Gewässern formuliert werden.
Aber nehmen wir mal an, das hätte alles Hand und Fuß.
Grundsätzlich klingt dezentral ja schonmal besser als zentral. Es gab da einen Vorschlag für eine Plattform namens "PEPP-PT" (was für ein bekloppter Name!), wo die Daten landen. Und da gab es einen Untervorschlag namens "DP-3T", der zumindest von den Zieldefinitionen her klang, als wäre da jemand am Datenschutz interessiert. Der verschwand dann plötzlich vor ein paar Tagen von der Webseite von PEPP-PT, und die Leute, die den eingereicht hatten, waren anscheinend genau so überrascht wie die Beobachter von außen. Die sprangen daraufhin von dem Projekt ab, wie auch das Helmholtz-Zentrum. Und jetzt stehen alle vor den Trümmern und keiner will es gewesen sein.
Fakt ist, dass alle Vorschläge für eine App, die Bewegungsdaten sammelt, sehr kritisch gesehen werden müssen, weil das Missbrauchspotential so enorm ist.
Auf der anderen Seite sehe ich aber auch überhaupt keinen Anlass für die Annahme, dass die den Rest hingekriegt hätten. So eine App hätte ja noch andere Parameter. Wie sie sich z.B. auf die Akkulaufzeit auswirkt, wieviel Daten das verschickt, wer für die Übertragung der Daten zahlen soll, wer den Speicher betreibt, etc. Und so eine App wird ja auch gerne mal vom OS gekillt, wenn sie keine interaktive Komponente hat und der Benutzer gerade andere Dinge tun will, oder wenn sie zuviel Strom verbraucht hat.
Kurz gesagt: Hängt euch mal nicht am Datenschutz auf. Da kann man noch viel mehr Dinge verkacken. Und so wie es im Moment aussieht ist das so ein fraktal verkacktes Ding wie BER. Egal wo du konkret hinschaust: alles ist vergiftet.
Was ist denn z.B. wenn jemand an ein paar alten Leuten mit Vorbelastung vorbei geht, die aber kein Handy haben? Oder deren Handy ist aus weil der Akku alle ist? Oder die haben noch ein Uralt-Gerät ohne Apps und Bluetooth?
Ich persönlich halte die ganze Debatte ja für Ablenkung. Damit ihr das Gefühl habt, es geschieht was. Denn wenn ihr nicht das Gefühl habt, dass was passiert, stellt ihr möglicherweise den Rest des Maßnahmenkatalogs in Frage, und das wäre Scheiße für alle. Daher simulieren sie jetzt vor euren Augen ein neues Maut-Debakel.
Gehen Sie weiter. Hier gibt es nichts zu sehen.
Nee, warte, gehen Sie nicht weiter! Bleiben Sie drinnen!
Update: Ihr wisst, dass ich Recht habe, wenn sie das jetzt nach Strich und Faden verkacken, und dann sagen, die Datenschutzanforderungen seien Schuld gewesen. Dann wisst ihr, dass sie euch dreist ins Gesicht lügen.
Update: Das ist auch eine gute Gelegenheit, nochmal die CCC-Prüfsteine für solche Apps zu verlinken.
Update: Für die Nicht-Techniker unter euch: Habt ihr schonmal Bluetooth-Discovery in eurer Wohnung gemacht und Drucker oder Fernseher des Nachbarn gesehen? Das Problem wird auch diese App haben. Das sorgt dann für eine Tonne False Positives in der Datenbank und könnte dem ganzen Projekt das Genick brechen.
Update: Ein Leser hat mich noch auf diesen offenen Brief hingewiesen, den einmal alle Forscher mit Rang und Namen in dem Bereich unterschrieben haben. Inhalt:
Thus, solutions which allow reconstructing invasive information about the population should be rejected without further discussion.
Update: Es gibt da noch ein paar Gerüchte gerade. Eines ist, dass die Bundesregierung erkannt hat, dass das nur mit einem Vertrauen-Sie-Uns-Siegel der Datenschützer von der Bevölkerung angenommen wird, und haben daher angesagt, dass das von Datenschützern auditiert werden muss. Die Datenschützer haben daraufhin gesagt, dass sie nur Lösungen auf Compliance auditieren können, wo die Daten zentral (oder von mir aus auf mehrere Locations verteilt aber jedenfalls nicht P2P!) lagern. Und damit fielen dann die P2P-Ansätze direkt raus. Im Übrigen ist auch völlig unklar, was eigentlich "dezentral" bedeutet. Jedes Land macht was eigenes? Verschiedene Organisationen haben eigene Server? Ganz eigene Software vielleicht? Nichts genaues weiß man nicht!
Ich bin mir ja sicher, dass das überhaupt nur mit Blockchain lösbar ist. Was das für Forschungsmittel freimachen würde!!1! *sabber*
Update: Das PEPP-PT-Konzept findet ihr hier, falls ihr mal nach den besonders schlimmen Stellen suchen wollt. PEPP-PT selbst ist anscheinend ein Fraunhofer-Forschungsmittel-Acquise-Projekt. Die haben erstmal alle Institute mit reingeholt, die nicht bei drei auf den Bäumen waren. Ich weiß ja nicht, wie es euch geht, aber bei Fraunhofer werde ich hellhörig. Besonders bei einem Projekt, wo es um meine Privatsphäre geht. Und wenn ich dann "vertrauen Sie uns" höre. Nein, Fraunhofer. Tue ich nicht.
Apparently, one reason Taiwan’s response to Covid-19 was so early was that Taiwan CDC Deputy Director Luo Yi-jun stumbled upon the Wuhan Municipal Health Commission’s 30 December notices on notorious online forum PTT in the early hours of 31 December.
PTT ist ein telnet-basierter Online-Textchat, der 1995 von zwei Studenten ins Leben gerufen wurde und bis heute als BBS von Freiwilligen betrieben wird.
Ein Volk von Cookie-Akzeptierern, Instagram-Postern und Werbetracking-Zustimmern, 50 Millionen Bürger, die widerspruchslos und freiwillig intimste Daten über ihr gesamtes Sozial-, Arbeits-, Reise- und Beziehungsverhalten an internationale Datenkonzerne senden, geraten in Überwachungsstaat-Panik angesichts der Frage, ob man gegen eine hochinfektiöse tödliche Lungenkrankheit möglicherweise eine (freiwillige!) Tracking-App einsetzen soll. Diese Menschen kaufen pro Jahr 25 Millionen Smartphones und Navigationsgeräte, für deren Nutzung durchweg Ortungsdienste aktiviert werden, und klicken bedenkenlos «Ja» bei jeder ungelesenen Kenntnisnahmeerklärung unter AGB und Datenschutz-Disclaimern.Das Argument haben wir schon mehrfach gehört, aber noch nie so schön formuliert :-)
Wo wir gerade bei Mobilfunkdatennutzung waren: Der CCC hat da mal 10 Kriterien formuliert, die sie an entsprechende Datenverarbeitung anlegen würden. Ich habe da nicht mitgearbeitet, aber ich stimme ihnen inhaltlich zu. Was sie da sagen, was technisch geht, das geht technisch. Und daher ist es auch nicht überzogen, zu verlangen, dass das als Mindeststandard so gemacht werden könnte. Bleibt die Frage, ob die Daten auch dann noch nützlich wären, wenn das Opt-In ist (und potentiell niemand freiwillig mitmacht). Für so statistische Aussagen reicht das, wenn man eine kleine Teilmenge der Bevölkerung hat, aber Tracking von Infizierten ist vermutlich erst dann nützlich, wenn die Infizierten auch alle mitmachen. Trotzreaktionen von Infizierten gab es aber jetzt schon vereinzelt.
Auf der anderen Seite braucht man vielleicht Tracking einzelner Infizierter gar nicht.
Lustigerweise gibt es da noch dieses Detail:
Laut BS wurde die App vor der Veröffentlichung einem Security-Audit unterzogenDas ist bemerkenswert. Denn das ist so ziemlich das erste, was ein Pentest ausprobiert, und worauf man beim Source Code Audit einer App guckt.
Immerhin scheinen die Auswirkungen nicht so krass zu sein wie das jetzt klingt, weil die übertragenen Daten immer noch auch Ende-zu-Ende-verschlüsselt sind, sagt der Hersteller.
Ich fahre seit 20+ Jahren ehrenamtlich als Sani bei [Organisation] Krankentransport und Rettung. Kenne daher das System dort recht gut, und hab schon einiges erlebt. Und zumindest in [Stadt] ist es so, dass schon seit Jahren aussichtslose Fälle von Pneumonie bei betagten Menschen nicht mehr auf der Intensivstation landen. Deswegen sind die von Dir erwähnten Guidelines NICHT grundsätzlich neu, oder Corona-spezifisch.Das wird in [Stadt] nicht gemacht, weil [die Zuständigen] ein Haufen herzloser Pfennigfuchser ist, die lebensbedrohlich erkrankten Senioren die ICU nicht gönnen. Sondern weil bei einer schweren Pneumonie im hohem Alter und bei von Haus aus schlechtem Allgemeinzustand (! - es gibt keine Altersgrenze, das wird individuell angeschaut!) die Reise sowieso praktisch sicher nach oben geht. Egal ob vorher auf der Intensivstation ein Zwischenhalt eingelegt wurde, oder nicht. Und ganz hart gesagt: auf einer Betreuungsstation stirbt es sich deutlich "schöner", als auf der ICU. ICU ist hoch invasiv, Intubation, x Zugänge gelegt, riesen Zirkus, Apparate… das nicht automatisch jedem Patienten anzutun ist keine Geldfrage. Diese für den Patienten extrem belastende (!) Maschinerie setzt man nur dann in Gang, wenn es auch absehbar einen Sinn hat.
Was jedenfalls natürlich immer gemacht wird ist Gabe von Flüssigkeit, Schmerzmittel, sonstige pflegerische Betreuung. Man kümmert sich natürlich um die Patienten, auf einem hohen Niveau. Aber man gibt sich eben nicht der Illusion hin, dass da noch allzu viel zu machen wäre.
Falls sich der Zustand so eines solchen Patienten wider alles Erwarten doch bessern sollte, wird er natürlich innerhalb des Spitals wieder in die Betreuung verschoben, die auf Heilung ausgerichtet ist (statt Betreuung und Abwarten).
Wie gesagt, das ist in [Stadt] schon seit Jahren mehr oder weniger Standard - aber höchst inoffiziell, weil das ein Tabuthema ist. Es spricht aber meiner Meinung nach sehr für die Verantwortlichen, dass das so gelöst worden ist. Niemand ist gedient, wenn ein Patient mit Überlebenswahrscheinlichkeit nahe Null kurz vor seinem Hinscheiden noch mit Intubation und x anderen höchst mühsamen Maßnahmen gequält wird.
Der Effekt ist, dass Videokonferenzsysteme, wenn sie nicht von völlig inkompetenten Vollpfosten implementiert wurden, mit einer Größenordnung weniger Datenübertragung auskommen als ein Hollywood-Actionfilm oder gar ein gestreamtes Videospiel. Dieser Effekt macht so grob einen Faktor von 10 aus.
Es gibt allerdings auch einen Gegeneffekt. Videokompression kostet viel Rechenzeit. Wenn man mehr Rechenpower aufwendet, kriegt man effektivere Kompression. Bei Plattformen wie Netflix und Youtube lohnt es sich daher, einmalig in maximale Kompressionseffizienz zu investieren, weil man ja deutlich mehr ausstrahlt als man reinkriegt. Netflix und Youtube haben daher schon auf AV1 gesetzt, als das noch weit von Echtzeit-Kompressionsfähigkeit entfernt war. Heutzutage haben Grafikkarten auch Videokompressions-Hardware an Bord, aber die braucht für die gleiche Qualität im Allgemeinen deutlich mehr Bits als wenn man das in Software macht. Videokonferenzsysteme und Twitch-Streaming brauchen daher wegen ihrer Echtzeit-Anforderungen mehr Bandbreite. Dieser Effekt macht so grob einen Faktor von 2 aus.
Ein dritter Effekt hat wieder Vorteile für Filme statt Streaming: Für die Vorhersage überträgt man ein Standbild "aus der Zukunft", anhand dessen dann die Bilder dazwischen besser vorhergesagt werden können. Die Übertragung eines Standbildes kostet um die Faktor 100 so viele Daten wie die interpolierten Bilder zwischen Standbildern. Bei Konferenzen und Echtzeit-Streaming ala Twitch hat man keine Bilder aus der Zukunft, daher packt man auf den ganzen Stream ein bisschen Latenz. Aber nicht viel, denn das soll ja Echtzeit sein. Daher greift man nicht weit in die Zukunft und muss daher häufiger Standbilder übertragen. Bei undynamischem Content wie einer Telefonkonferenz kann das so Faktor 2 Bandbreitenbedarf ausmachen. Bei hochdynamischem Content wie einem Videospiel ist es eh egal, weil sich zwischen den Frames so viel ändert, dass man eh nicht so gut interpolieren kann.
Effekt 2 und 3 werden mehr als ausgeglichen durch den ersten Effekt, weil sich in Videokonferenzen im Allgemeinen kaum jemand bewegt und sich das daher super komprimieren lässt.
Wenn es jetzt also tatsächlich Knappheit im Internet gäbe (und nicht nur innerhalb der Netze von Kapitalisten-ISPs, die nie was in Netzausbau investiert haben), und man eine Stellschraube drehen wollen würde, dann sollte man lieber bei Twitch und co drosseln als bei Youtube und Netflix. Die arbeiten jetzt schon sehr nahe am technisch machbaren. Und man könnte Streamer aufrufen, nicht so rumzuwackeln :-)
Update: Was auch super gut komprimiert sind Vorträge, außer wenn der Kameraengel auf Speed war und die ganze Zeit die Kamera umschaltet und herumzoomt. Ihr könntet also die Zeit gerade gut nutzen, um euch mal die ganzen alten Kongressvideos vom CCC reinzuziehen. Weil solcher Content gut komprimiert müsst ihr euch auch kein schlechtes Gewissen machen, zuviel Bandbreite verschwendet zu haben.
Update: Noch ein paar Details. Man kann die Qualität der Standbilder runterdrehen, um Bandbreite zu sparen. Die Details kann man dann mit den Interpolations-Frames nachliefern. Der Effekt ist etwas, das ihr bestimmt schon mal bei einem Livestream gesehen habt: So ein "pumpen" der Qualität. Man kriegt immer ein total verwaschenes Bild und das wird dann rapide besser aufgelöst. Das macht niemand freiwillig, sondern das passiert, wenn man Codecs im Fernsehmodus betreibt. Fernsehen wird traditionell über Transponder in Satelliten gemacht, und jeder Kanal hat eine bestimmte Bandbreite. Die darf dann aber auch nicht überschritten werden. Daher waren die ersten Codecs auch alle auf eine fixe Bandbreite ausgelegt. So machen das aber heute weder Videokonferenzen noch Youtube noch Twitch. Im Internet überträgt man halt mehr Daten, wenn die Szene mehr Bandbreite braucht. Beim Digitalfernsehen teilen sich mehrere Kanäle einen Transponder. Die erste Gammelhardware hat dann halt jedem Kanal ein festes Stück Bandbreite gegeben, auch wenn auf Kanal 1 ein Testbild lief und auf Kanal 2 ein Actionfilm. Das ist heute nicht mehr so.
Update: Oh einen noch. Firefox und Chrome haben keinen Support für H.265 eingebaut. Das ist einer der Gründe, wieso es von Netflix unter Windows eine App gibt. Die kann dann H.265 verwenden und kommt mit weniger Bandbreite aus. Jedenfalls war das immer so. Jetzt rollt Netflix gerade AV1 aus, was auch Chrome und Firefox können. Damit wäre der Vorteil der App dann dahin.
Update: Ach du je, Twitch empfiehlt ernsthaft ihren Streamern konstante Bitrate. Der Hintergrund wird sein, dass sie keine Bandbreiten-Peaks haben wollen, wenn das Spiel hektisch wird. Aber das heißt, dass alle anderen Streams völlig sinnlos Bandbreite verplempern. Ich nehme also meine Aussage von oben bezüglich Twitch zurück und empfehle die Schließung von Twitch statt der Drosselung von Youtube und Netflix. Was für Pfeifen.
Das kann mir doch keiner erklären, dass sie das in Frankreich machen aber hier nicht? Wieso sind unsere Kartellbehörden eigentlich solche Schnarchnasen?
Schools are suspended until further notice. With many workplaces also shut, notoriously absent Chinese fathers have been forced to stay home and entertain their children. Video clips of life under quarantine are trending on TikTok. Children were presumably glad to be off school – until, that is, an app called DingTalk was introduced. Students are meant to sign in and join their class for online lessons; teachers use the app to set homework. Somehow the little brats worked out that if enough users gave the app a one-star review it would get booted off the App Store. Tens of thousands of reviews flooded in, and DingTalk’s rating plummeted overnight from 4.9 to 1.4. The app has had to beg for mercy on social media: ‘I’m only five years old myself, please don’t kill me.’
Wie die App den Code "errechnet", sagen sie nicht.
Ich fühle mich an Lottery of Doom erinnert.
Rian Johnson, the writer and director of "Knives Out," revealed that Apple will permit film productions to use its products onscreen, but bad characters can't have an iPhone on camera.
Nee, Schatz, der Butler ist nicht der Mörder. Der kann es nicht sein! Der hat ein Iphone.
Und wo wir gerade beim Coronavirus sind: Irans Vize-Gesundheitsminister fährt da einen Hands-On-Approach.
Update: Es gibt eine Hintergrundgeschichte zu dem Coronavirus in Südkorea. Es hat was mit einem religiösen Kult zu tun, der in Form eines Schneeballsystems operiert.
ich war 2001 bis 2006 bei Siemens (zum Schluss BenQ) als Entwickler in der Handy-Sparte beschäftigt. Am Produktionsstandort Kamp-Lintfort gab es auch Taschendurchleuchtung und Ausgangskontrolle. Das wurde ganz selbstverständlich außerhalb der Arbeitszeit (nach dem "Ausstechen") durchgeführt, und nach meiner Kenntnis gab es da nie große Beschwerden oder gar Gerichtsverfahren von Seiten des Betriebsrats oder so gegen.Und jemand anderes bestätigt das:
Das ist bei uns im Konzern auch so. Taschenkontrolle findet stichprobenartig am Werkstor statt, da hat der Mitarbeiter aber blöderweise schon ausgestempelt. Pech gehabt, ist ja seine Freizeit.Alter Schwede! Bei was für furchtbaren Firmen arbeitet ihr denn da? Und was macht der Betriebsrat so beruflich?
Apple muss Retail-Angestellten den Zeitaufwand für Taschendurchsuchungen nach Schichtende entlohnen, wie der oberste Gerichtshof von Kalifornien entschied.What the FUCK? Das stand jemals zur Debatte? Und das musste bis zum obersten Gerichtshof!?!?
Gucken wir doch mal.
Erster Tweet: Pauschale Abwertung und Diffamierung aller anderen.
Zweiter Tweet: ad hominem.
Dritter Tweet: Hitler. Na gut, Globke. Funktional das Gleiche.
So sieht bei der Linken "inhaltliche Auseinandersetzung" aus.
Ist ja komisch, Fefe. Wie kommt denn das, dass die Leute alle AfD wählen? Dabei haben wir sie doch jahrelang als Idioten und ungebildete Halbaffen beschimpft und ihnen ins Gesicht gespuckt! Ein unerklärliches Mysterium! Werden wir wohl nie herausfinden! Die sind halt alle doof, die unterbelichteten Proleten.
So ein ähnliches Phänomen haben die Rechten auch, wenn sie Obdachlosen zurufen, sie sollen sich halt einen Job suchen. Und dann verstehen sie nicht, wieso die alle SPD wählen. Ein unerklärliches Mysterium! Werden wir wohl nie herausfinden! Die sind halt alle doof, die faulen Proleten!
Update: Jetzt kommen hier lauter Leute mit "aber die Tweets dahinter sind besser". Nein, sind sie nicht. Achtet mal darauf, wie öft sie für ihre Position Begriffe wie "differenziert" oder "Abgrenzung" heranzieht, aber die Gegenseite selbst als homogen darstellt. In dem Zerrbild, das sie konstruiert, um es besser unter dem Applaus ihrer Gleichgesinnten zertrümmern zu können. Das nennt man übrigens Strohmann.
Wenn das wirklich wie behauptet eine Analyse wäre und kein ideologisches Beschimpfen, dann würden da auch nicht den Analysierenden positionierende Begriffe wie "problematisch" auftauchen.
Was ist denn das Zerrbild, fragt ihr? Na z.B. dass die rechten alle homogen seien. Wie man das überhaupt behaupten kann, während sich die AfD seit Jahren blutige interne Grabenkämpfe liefert, denen schon mehrere hochrangige Politiker zum Opfer gefallen sind und die Partei verlassen haben, erschließt sich mir nicht. Und was ist mit den Republikanern? Der identitären Bewegung? Den Reichsbürgern? Die sind alles dasselbe in Grün? Ernsthaft? Sorry, aber wer so wenig über die Gegenseite weiß, dessen Analyse kann man sich auch direkt sparen.
Mich stört auch, wie sie Faschismus und Rassismus gleichsetzt, ja ausschließlich darüber definiert. Wie schwierig die Definition von Faschismus ist, könnt ihr ja mal selber bei Wikipedia nachgucken. Sowas kann ich ja nicht leiden, wenn Leute für sich selbst Differenziertheit in Anspruch nehmen, und dann solche tumben Verallgemeinerungen raushauen. Zumal ja selbst das mit dem Rassismus nicht konstant ist bei den Rechten. Während die Nazis damals mit den Arabern zusammen die Juden bekämpfen wollten, wollen die Nazis heute mit Israel zusammen die Moslems bekämpfen. Und unsere modernen Rechten fordern auch eher selten den Rauswurf der türkischen Gastarbeiter oder ihrer hier geborenen Kinder. Es scheint da also Graustufen zu geben.
In Israel hat die konservative Partei von Ministerpräsident Benjamin Netanjahu personenbezogene Daten von mehr als 6,4 Millionen wahlberechtigten Staatsbürgern in eine App geladen
Habt ihr die gekauft, weil Apple mit ihrem Trackingschutz Werbung gemacht hat?
Dann habe ich schlechte Nachrichten für euch. Der funktioniert nicht nur nicht, der ist kontraproduktiv.
Apple erinnert langsam so ein bisschen an Intel. Da sind ja auch alle Innovationen der letzten Jahre nach hinten losgegangen.
Entwickler von Kinder-Apps hatten zuvor beklagt, das neue Regelwerk sei zu unspezifisch und mache Geschäftsmodelle wie eine Werbefinanzierung praktisch unmöglichJa genau! Das ist die Idee, ihr Übeltäter! Ihr solltet keine werbefinanzierten Apps für Kinder schreiben, ihr solltet in Isolationshaft im Knast sitzen.
Jedenfalls, Apple, wir erinnern uns, der Hüter der Moral, Ritter der Rechtschaffenheit, Beschützer der Kinder, was taten die? Na klar!
Es gibt aber neue Vorgaben für Anbieter: Kinder-Apps sollten für ein "sichereres Erlebnis" auf Werbung und auf Analyse-Tools verzichten, schreibt Apple nun in den App-Store-Richtlinien, beides könne in "begrenzten Fällen" aber erlaubt werden.Denn es stellt sich raus: Wenn man Schmarotzern das Geschäftsmodell wegnimmt, dann kann man auch nicht mehr die 30% Schutzgeld abgreifen, die man den auf der Plattorm gefangenen App-Entwicklern aus den Rippen schneidet.
Apple ist also noch schmieriger und noch ekliger als die Schleimbolzen, die werbefinanzierte Software für Kinder schreiben. Gratulation. Da willste doch Kunde werden!
Ich frage mich ja manchmal, was der Tim Cook eigentlich nachts zuhause mit seinem Partner macht, wenn die Puritaner so dermaßene Angst vor Sex haben. Es ging ja hier nie um die Kinder. Es ging darum, dass Apple auf einem Kreuzzug gegen nackte Haut ist. Ich vermute wegen einer krassen Psychose der Geschäftsführung. Oder fällt jemandem eine rationale Erklärung ein?
In a modern telecommunications service provider, new equipment is deployed, configured, maintained and often financed by the vendor. Just to let that sink in, Huawei (and their close partners) already run and directly operate the mobile telecommunication infrastructure for over 100 million European subscribers.
(Hervorhebung im Original, und völlig zu Recht)Das ist übrigens ein echt alter Trend. Wir haben uns in den 90ern im CCC über zwei Firmen namens Comverse (später umbenannt zu Verint) und Amdocs besorgte Verschwörungstheorien zugeraunt. Die Israelis haben damals als erste erkannt, dass die Deppen im Ausland eh alle outsourcen, und wenn du da deine Wanzen einbringen willst, dann musst du gar nicht Leute bestechen oder einbrechen oder hacken. Es reicht, wenn du deine inländischen Produkte subventionierst. Dann kaufen die Deppen im Ausland automatisch bei dir.
Comverse und Amdocs haben so Abrechnungssysteme für Telcos verkauft. Also die Systeme, die die ganzen Metadaten sehen. Genau die Daten, die man so haben will als Geheimdienst.
Man könnte sagen, die Amis haben das Modell perfektioniert. Die haben es geschafft, dass die Deppen auch ohne Subventionen den überteuerten Scheiß von Cisco kaufen.
Der Punkt war jedenfalls: Schon seit damals haben sich alle unsere großen Firmen in eine erstickende Abhängigkeit von ausländischer Technologie begeben und da kommen wir jetzt auch nicht wieder raus.
Die Politik schwadroniert gerne von digitaler Souveränität. Der Zug ist abgefahren, und zwar schon echt lange.
Bert fasst die Folgen so zusammen:
The host service provider often has no detailed insight in what is going on, and would have a hard time figuring this out through their remaining staff. Rampant outsourcing has meant that most local expertise has also left the company, willingly or unwillingly.We recently asked a large European service provider why only part of their customers get IPv6 service, and how they pick which parts do or do not get such service. They could not tell us, and informed us they too would like to know
Das kann ich nur unterstreichen. Das Niveau, auf dem da Duplosteine von irgendwelchen mehr oder weniger unseriösen ausländischen Zulieferern zusammengestöpseln werden, ist immer wieder ernüchternd.Ich habe einen Kunden, der an einigen Stellen den ernsthaften Versuch unternommen hat, die beworbene Funktionalität auch zu nutzen. Die sind da gegen Wände gerannt, das glaubt man gar nicht. Rudimentärste Basisfunktionalität funktioniert einfach nicht! Die Israelis sind wenigstens so professionell, dass ihr Scheiß dann auch mehr oder weniger zuverlässig funktioniert. In anderen Bereichen, besonders bei Security-Appliances, ist das häufig nicht der Fall. Die kauft man, stellt sie in die Ecke, kreuzt im Compliance-Report die Checkbox an, und dann ist es völlig wurscht, ob das Gerät irgendwas tut oder nicht.
Bert schildert ein schönes Beispiel für Outsourcing-Ketten:
However, over time, such IT staff also tends to get outsourced. At one major mobile provider the chain is now that the company has outsourced IT to Tech Mahindra and that Tech Mahindra in turn talks to Ericsson, who then finally operate the network.Meanwhile, Ericsson and other vendors in turn have outsourced or shipped many functions to to yet different countries where staff is more affordable.
So sieht es aus.In another example, one large Dutch mobile provider has handed over most of their technical staff to Huawei. Half of their freshly built and well designed headquarters has since stood empty - what remains in the other half are IT Architects who do not get closer to actual operations than an Excel sheet or a Visio diagram.
Auch das kann ich bestätigen. So sieht das in der Praxis häufig aus. Besonders beeindruckend finde ich immer, wie die IT-Architekten sich dann im Kreis auf die Schulter klopfen, was für wichtige Arbeit sie doch tun hier. Dabei ist das im Wesentlichen das Anklicken einer "Lösung" aus einem Katalog. Denn was die Zulieferer nicht anbieten, das geht halt nicht. IT-Architekten versuchen dann ihr Selbstbild aufzubessern, indem sie da irgendwelche mehr oder weniger sinnlosen Integrationsanforderungen formulieren. Das ist das Stichwort, auf das die Zulieferer gewartet haben, denn das ist der Schlüssel für die wirklich teuren Rechnungen. Da machen die ihre fetten Profite.Ja, aber Fefe, wo kommt denn dann die Security her? Ganz einfach! Wir schreiben in den Vertrag, dass der Rechnungszulieferer die Daten nur für die Rechnungsstellung benutzen darf.
(Kunstpause)
That's it.
Oh und einen schönen Punkt hat Bert noch: Wenn du bei Ericsson kaufst, weil du denkst, dann hast du Europäische Tech im Haus: Ericsson lässt in China entwickeln.
Als Schlusswort nehme ich mal dieses tolle Zitat von Bert:
As a case in point, one European 15-million subscriber network now relies on a core team of 4 people (one of whom is their manager) to provide all addressing and numbering services. After years of failed attempts, these four people will now also be outsourced.
ich hänge seit mehr als 20 Jahren als Externer bei verschiedensten Banken herum. Ich habe sie im wesentlichen alle gesehen. Große, kleine mit eigener IT, mit IT von Dienstleistern und die übliche Mischung. Was Du schreibst ist völlig richtig und dem geneigten Leser sei gesagt, es ist noch viel schlimmer als man es sich von außen vorstellt. Eine Bank betreibt hunderte oder gar tausende von verschiedenen Systemen. Eins erstellt Reports für die Aufsicht über das Eigenkapital, andere für den Jahresabschluss, dann gibt es noch welche die verschieden Risikokennzahlen ermitteln, welche die über die Kredite laufen und Gebühren berechnen, welche die Auswertungen für die Kundenansprache erstellen, andere wiederum die Zahlungen verwalten und weiterleiten, Systeme die in der Wertpapierabwicklung Bestätigungen versenden uswusf. Und das war nur das Backoffice. Im Frontoffice Handelssysteme mit denen man an den verschiedensten Wertpapiermärkten handeln kann, Kassensysteme, ach ja und natürlich Verwaltungssysteme für Geldautomaten, die Geldautomaten selbst (sind ja im Prinzip auch nur Windows PCs), Kassensysteme für die Schalter, Systeme für die Kundenberatung für Immobilienkredite, Unternehmenskredite, Anlageberatung und schlussendlich natürlich die üblichen PCs für die Angestellten mit Office, Mail, einem Browser mit denen sie auf die vorher genannten Systeme zugreifen können.Da müsste man ja eigentlich auch mal ein bisschen Grundlagenforschung machen, wie die Fintechs es schaffen, bei so einer unfassbaren Steilvorlage an fossilen Krusten bei der Konkurrent, NOCH schlechter zu sein.Und alles das ist alt. Alt nicht wie das Smartphone von vor zwei Jahren, sondern alt wie das allererste iPhone verglichen mit aktuellen Smartphones. Da sind Systeme die aus einem C++ Kern bestehen um den man Java herumgebaut hat und das jetzt in eine virtualisierte Hadoop Umgebung „integriert“ wurde. Alle Entscheidungen die zu so einem Müll geführt haben sind individuell sinnvoll gewesen. Man konnte kein Blech bestellen (Vorstand hat ausgegeben nur noch virtuelle Server), Java weil man keine anderen Entwickler kurzfristig bekommen hat, hadoop weil ja jetzt alles in der Cloud (private) laufen muss. Oder anderes Beispiel, Man hat einen Dienstleister schuften lassen mit der Karotte vor der Nase dann den ganzen Konzern umzustellen. Das ist dann gescheitert weil Oracle für die Tochter die das Geschäft übernehmen sollte nicht anerkannt hat das die Enterprise Lizenz der Mutter auch da gilt. Kosten in 7 stelliger Höhe, Business Case im Eimer. Alternative und auch zertifiziert wäre SQLServer 2016 gewesen. Das war dann aber 2018 zu neu gewesen für die Bank und man ist beim alten Dienstleister geblieben, frag nicht was der neue der sehr viel umsonst gemacht hat davon hält.
Oder die Desktops der Mitarbeiter. Thin Clients waren der heiße Scheiß. Schade nur das über Citrix o.ä, Video in Skype for Business und Telefonier nicht ganz einfach ist. Wird also abgeschaltet bis man das im Griff hat, dauert üblicherweise Jahre. Oder Lokale PCs aber Applikationen nur über Citrix gestreamt. Alt-Tab funktioniert nur zufällig. Die Applikationen werden aus einem Portal aufgerufen das natürlich nur sauber in IE11 läuft. Dafür gehen immer mehr externe Seiten mit Windows 7 und IE11 nicht mehr weil die Cypher die der Server anfordert schlicht in Win7 nicht existieren. Windows 10 muss man mit viel Aufwand optisch so umbürsten das es Windows 7 möglichst ähnlich sieht weil man kein Geld für Mitarbeiterschulungen ausgeben will und Angst vor den Supportcalls hat. Open Source Software ist grundsätzlich böse, weil man da ja keinen Herstellersupport bekommt, selbst für Tools in der IT und selbst installieren geht ja nicht, Sicherheit und so. Und wenn dann mal ein Tool wie Putty verfügbar ist (ist halt kostenlos) dann ist es üblicherweise Jahre alt. Aktuelle Sicherheitslücken kurzfristig patchen? Da will ja keiner Owner der Applikation sein…
Und das ganze noch gewürzt mit Dienstleistern/Outsourcern/Hostern deren erstes, wichtigstes und in vielen Fällen einziges hervorstechendes Merkmal war der billigste zu sein.
Ja nicht bei jeder Bank trifft alles das zu und in den letzten Jahren hat sich an einigen Stellen etwas getan. Aber tatsächlich ist man dann dort nicht mehr 10 Jahre zurück, sondern nur noch 5. Bis mitte der 2000 Jahre hatte der durchschnittliche Arbeitnehmer am Arbeitsplatz noch die bessere Ausstattung als zu hause. Heute ist der durchschnittliche Anwender privat bei weitem besser ausgestattet als am Arbeitsplatz. Für die meisten Banken wäre Office 365 sowohl was security als auch safety, wie auch Benutzerfreundlichkeit und Effizienz ein Segen. Ich war auch lange dagegen, habe meine Meinung aber aufgrund der bitteren Realität mittlerweile geändert. Die Banken und Ihre Dienstleister können es schlicht nicht, haben nie begriffen das die IT ihre eigentliche Produktion ist und deshalb das Thema vernachlässigt. Heute besteht die einzige Chance fürs Überleben in der Cloud. Bitter aber wahr.
[...] Banken-IT ist ein liederlicher, alter zum Teil uralter Haufen Scheiße der über Jahrzehnte zusammengeflickt wurde und nur weil sich einige Mitarbeiter den Arsch aufreißen noch halbwegs stabil läuft. Ohne Mitarbeiter die manuell eingreifen, würde eine Bank innerhalb weniger Stunden komplett stillstehen.
Der Vergleich mit Fintechs ist unfair, da die erst vor ein paar Jahren auf der grünen Wiese angefangen haben -> keine Altlasten. Die haben andere Probleme
Das hat ein offensichtliches Problem: Cloudflare kann jetzt den entschlüsselten Traffic sehen, inklusive eure Kontostände und Überweisungen, wenn ihr euch da einloggt und Überweisungen tätigt.
Cloudflare hat in den letzten Jahren vor allem durch Inkompetenz und Ausfälle auf sich aufmerksam gemacht, und darauf, dass sie so verzweifelt "Kunden" brauchten, dass sie ihre Dienste verschenkt haben, um ihren Investoren mehr "Conversions" zeigen zu können. Gewinn haben die glaube ich noch nicht gemacht, das ist wie Uber eine Verbrennungsmaschine für Investorenkohle. In Expertenkreisen werden die gerne als Clownflare verspottet.
Außerdem ist das eine US-Firma. Und es ist bekannt, dass die US-Regierung sehr an Kontoinformationen ausländischer Bürger interessiert sind. Mit solchen illegal erlangten Daten haben sie gegen die Schweiz ein Exempel statuiert, wenn ihr euch erinnert.
Das ist alles ein perfekter Sturm. Wieso sitze ich also seit mehreren Tagen auf der Meldung?
Weil die Lage nicht so einfach ist. Meine Anforderungen an meine Bank sind völlig klar. Ich möchte, dass die höhere Security-Anforderungen haben, dass die ihren Scheiß nicht in der Cloud haben sondern selber hosten, dass das ein ordentliches Rechenzentrum mit ordentlichen Betreibern ist, und mit physischer Security, und dass meine Kontodaten da sicher liegen.
Das Problem bei dem Bild ist, dass Banken keine Hosting-Experten sind. Die können auch nicht mit Geld umgehen, daher werfen Banken üblicherweise mit hanebüchenen Geldsäcken auf das Problem, was aber meiner Beobachtung nach nicht dazu führt, dass die die beste Leistung kriegen, sondern dass sie die krassesten Blender und Abzocker als Dienstleister kriegen.
Dazu kommt, dass das Umfeld ein Morast aus Compliance-Scheiß und einer inkompetenten, freidrehenden Regulierungsbehörde ist, die (aus meiner Warte gesehen) an einem Stück völlig hilflos sinnlose Maßnahmen verhängt. Dazu kommt, dass es je nach Bank und Zusammenschluss (z.B. die Landesbanken oder die Sparkassen) nochmal separate Regularien gibt. Da blickt niemand mehr durch. Am Ende hat man da einen riesigen Apparat, der sich so Passierschein-A38-mäßig selbst mit Alzheimer-Prävention in Form von sinnloser Beschäftigung im Kreis beschäftigt.
Die Situation ist daher regelmäßig so, dass der Scheiß in der Cloud sogar besser implementiert und kompetenter administriert wird.
Wer also wie ich Wert darauf legt, dass seine Bank den Scheiß nicht in die Cloud geschoben hat, der wird wahrscheinlich nicht eine superkompetente Bank kriegen, die ihren Kram im Griff hat, sondern einen Moloch aus Abhängigkeiten, der eigentlich schon vor fünf Jahren in die Cloud gesollt hätte, aber sie haben es nicht geschafft.
Ich verallgemeine hier natürlich schamlos.
Aber eine Frage könnt ihr euch ja mal direkt stellen: Wieso hat die Regulierungsbehörde der DKB nach der Cloudflare-Nummer nicht direkt die Lizenz entzogen? Das kann doch nur heißen, dass sie entweder nichts taugt, weil sie zu lahmarschig ist, oder sie taugt nichts, weil sowas nicht verhindert. Das heißt aber im Umkehrschluss, dass deren Regulierung sicher auch nicht dazu geführt haben wird, dass bei den anderen Banken die Rechenzentren ordentlich betrieben werden.
Denkt mal drüber nach.
Ich weiß aus gut informierter Quelle, dass die Bafin (die Regulierungsbehörde) keine grundsätzlichen Einwände gegen Cloud-Migrationen hat. Also nicht nur Cloudflare vorschalten sondern richtig komplett in die Cloud ziehen. Wozu haben wir eigentlich eine Regulierungsbehörde, wenn die das nicht verhindert?
Anders herum gefragt: Was ist eigentlich der fundamentale Unterschied zwischen Cloud und "eigenem RZ"? Das ist im Allgemeinen nämlich kein eigenes RZ sondern das betreibt irgendein Zulieferer. Ist das nicht dasselbe in grün?
Ja aber Fefe, die sitzen doch in Deutschland und unterliegen unseren strengen Gesetzen und Regulierungen!!1! Ja das haben wir ja gerade live gesehen, wie hilfreich unsere strengen Gesetze und Regulierungen sind. Keine weiteren Fragen.
Ich habe mich über die Jahre mit vielen Kunden über die Cloud unterhalten, und da die hanebüchsten Geschichten gehört. Die Ausrede ist immer dieselbe. Schlimmer als was wir jetzt haben kann das auch nicht sein. Ein Kunde formulierte das mal so: Amazon antwortet wenigstens auf unsere Trouble Tickets.
Insofern, kurz gesagt: Das Gedankenmodell, das euch dazu bringt, die Cloudflare-Nummer negativ zu bewerten, fußt auf völlig falschen Annahmen über die Industrie. Ihr habt zwar völlig recht, dass das Scheiße ist, aber ihr habt ja gar keine Vorstellung davon, wie Scheiße der Normalzustand in der Branche ist. Dabei ist gerade erst live und in Farbe die PSD2-Apokalypse an euch vorbeigescrollt. Aber irgendwie nimmt das niemand als Anlass, mal sein Gedankenmodell zur Bankeninfrastruktur zu überdenken.
Den Staatstrojaner hatten ihnen eigentlich ihre Richter weggeschossen, aber ihr wisst ja, wie das so ist. Genau wie bei uns.
Der österreichische Verfassungsgerichtshof (VfGH) hatte Teile des "Sicherheitspakets" der Vorgängerregierung der Konservativen und der FPÖ erst im Dezember gekippt und den 2018 eingeführten Bundestrojaner für rechtswidrig erklärt. Nun soll die Suche nach einer Lösung zum Entschlüsseln insbesondere von Messenger-Kommunikation via WhatsApp, Signal oder Threema also weitergehen und der Staatstrojaner möglicherweise wieder eingeführt werden. Das VfGH-Urteil werde man dabei berücksichtigen, versichern beide Seiten.Die Quadratur des Kreises! Wir probieren es einfach solange nochmal, bis das Verfassungsgericht mürbe geschossen ist und entnervt zustimmt.
Aber das ist nicht alles. Unsere Nachbarn können auch innovativ sein, wenn es um "Sicherheit" geht:
"Während es die Möglichkeit einer 'akustischen Überwachung' in Wohnungen und Räumlichkeiten gibt, ist das für Personen in Fahrzeugen nicht erlaubt", heißt es in dem Plan für die Legislaturperiode. "Diese Lücke soll geschlossen werden."
Nein, die App kommt nicht von mir. Nein, die haben vorher nicht gefragt. Nein, ich finde das nicht gut.
Sollte ich dagegen vorgehen? Gute Frage. Muss ich mal drüber nachdenken.
Der Beißreflex ist natürlich da. Auf der anderen Seite verkaufen die kein Abo, und natürlich hat die App nichts, was man nicht auch im Browser hat.
Ich sähe ehrlich gesagt akuteren Handlungsbedarf, wenn jemand eine App mit meinen Inhalten anbietet, die dann Werbung einblendet.
Auf der anderen Seite besteht natürlich die Gefahr, dass ich Nachahmer einlade, wenn ich da jetzt nicht verbrannte Erde hinterlasse.
Alles nicht so einfach.
Update: Jetzt sind offenbar alle Fefe-Apps weg, auch die ganzen kostenlosen Fan-Apps. Gut, kann ich mit leben, aber zur Klarstellung nochmal die Policy:
Kostenlos und ohne Werbung: Geduldet. Open Source, kostenlos und ohne Werbung: OK. Alles andere: Nicht OK. Insbesondere alle Kombinationen aus "kostet Geld", "in-app purchases", Werbung und Tracking.
Wenn du nicht findest, dass die Leute verdient haben, deiner Hände Arbeit kostenlos verwenden zu dürfen, dann hast du auch nicht die Erlaubnis, meiner Hände Arbeit kostenlos für deine kommerzielle App verwenden zu dürfen.
Die benutzen im Backend Node.JS.
Gut, da könnte man eigentlich schon mit dem Lesen aufhören, aber wartet, das war noch nicht die Punchline!
We were running 4,000 Node containers (or "workers") for our bank integration service. The service was originally designed such that each worker would process only a single request at a time. This design lessened the impact of integrations that accidentally blocked the event loop, and allowed us to ignore the variability in resource usage across different integrations.
Das war die Punchline. Sie fahren Node, was man aus genau einem Grund einsetzt, nämlich weil es in JS mehrere Requests parallel bearbeiten kann, mit einer Event Loop, was mal als besonders effizient galt. Das wird halt zu einem Problem, wenn der Entwickler zu blöde ist, seine Reaktion auf ein Event dann nicht schnell und non-blocking hinzukriegen. Lustigerweise halten sich alle Leute, die Node einsetzen, erstmal für kompetent genug, dass SO ein Anfängerfehler nur DEN ANDEREN passieren würde, doch nicht mir! Ich bin doch der Größte!1!!Jedenfalls ist denen offensichtlich genau das passiert. Und ihre Antwort war: Wir machen einfach 4000 Instanzen von Node in jeweils einer eigenen VM auf.
Die Schlaueren unter euch werde sich jetzt fragen: Was ist denn, wenn mehr als 4000 Requests zur Zeit reinkommen?
Ja, äh, guter Punkt!
But since our total capacity was capped at 4,000 concurrent requests, the system did not gracefully scale.
No shit, Sherlock!Der ganze Artikel ist ein einziger Brüller. Hier ist noch eine gute Stelle:
We hypothesized that increasing the Node maximum heap size from the default 1.7GB may help. To solve this problem, we started running Node with the max heap size set to 6GB (--max-old-space-size=6144 command-line flag), which was an arbitrary higher value that still fit within our EC2 instances. To our delight, this fixed the "allocation failed" messages in production.
Die experimentelle Verifikation des "eine Million Affen"-Gedankenexperiments!So und jetzt die geistige Transferleistung: Wenn dieser Anbieter so gruselig ist, was glaubt ihr, wie die anderen Anbieter in dem Umfeld aussehen?
Richtig! Genau so!
Ein Monopol für sich genommen ist nicht schlimm, solange es nicht missbraucht wirdAch SO ist das! Gut, dass wir das mal geklärt haben!
Einer der Abgeordneten hinter dem Vorschlag, Oleg Nikolayev von der Partei "Einiges Russland", sagte der russischen Nachrichtenagentur Interfax, auf neuen Geräten seien hauptsächlich westliche Apps und Programme vorinstalliert, sodass Nutzer denken könnten, es gebe keine einheimischen Alternativen. "Wir wollen den Nutzern auch russische Anwendungen anbietenDie Idee klingt attraktiv, aber nur für den Fall, wo es auch eine konkurrenzfähige russische Alternative gibt. Ansonsten macht sie die Sache eher schlimmer. Ich bin jetzt nicht so der Experte für den russischen Softwaremarkt, aber Marken, von denen man schonmal gehört hat, sind Yandex, Telegram und Kaspersky.
Verbote sind natürlich ein hartes Mittel, aber die grobe Idee gibt es ja auch bei uns beispielsweise mit der Förderung deutschsprachiger Filme und Musik und dem sog. Kulturauftrag der öffentlich-rechtlichen Sender.
Nun kann man sich natürlich streiten, ob nicht so ein Verbot vielleicht erst der geeignete Anreiz ist, damit sich eine nationale Alternative als tragfähiges Geschäftsmodell etablieren kann. Das würde mich ehrlich gesagt wundern. Es gab ja auch in der EU Zwang auf Microsoft, den Media Player und IE zu entbundeln. Die Ergebnisse waren … sehr übersichtlich.
Heute als Doppel-Einschlag: Cisco-Schlangenöl!
A vulnerability in the implementation of the Lua interpreter integrated in Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD) Software could allow an authenticated, remote attacker to execute arbitrary code with root privileges on the underlying Linux operating system of an affected device.
Das setzt Maßstäbe. Der Scheiß läuft als root! Als root!!Ich sollte die Gelegenheit nutzen, mal grundsätzlich vor Appliances zu warnen. Es gibt da ein verbreitetes Missverständnis. Spezialisten sind nicht gut darin, etwas gut zu machen, sondern die sind gut darin, etwas schnell und billig anzubieten. Leute, die Appliances anbieten, sind gut darin, Appliances günstig anzubieten. Und Appliances haben den "Vorteil", dass Kunden im Allgemeinen nicht reingucken dürfen. Da kann man als Hersteller also ganz andere Pfusch-Level fahren (obwohl es da erschütternderweise auch bei Nicht-Appliances wenig Zurückhaltung gibt).
Dass da zentrale Dienste ohne Not als root laufen, das ist im Appliance-Umfeld nicht selten. (Danke, Martin)
Bonus: Natürlich sind alle Schuld — nur wir nicht. Klar.
The first person was like “I don’t know why, but I swear we’re not discriminating, IT’S JUST THE ALGORITHM”. I shit you not. “IT’S JUST THE ALGORITHM!”.
Hätte uns doch nur jemand vorher warnen können, dass ab jetzt immer der Algorithmus Schuld ist und kein Mensch mehr! Tja, da kann man dann wohl nichts machen. Bleiben Sie dran, nächstes Jahr ist der Algorithmus dann Machine Learning, dann kann man erst recht nichts mehr machen!1!! (Danke, Marcel)
Fiese Hacker haben über Whatsapp fremde Nationen bespitzelt.
Wisst ihr, woran ich direkt denken musste? An diese Meldung von vor ein paar Wochen. Da wollten nämlich ein paar EU-Abgeordnete Signal benutzen, aber das EU-Parlament hat gesagt: Nein. Aus Sicherheitsgründen müsst ihr Whatsapp benutzen.
Nein, wirklich! Das haben die gesagt!
Gut, beim EU-Parlament ging es um die Desktop-App und hier geht es um die Mobil-App.
Whatsapp hat dann zur Schadensbegrenzung eine PR-Klage gegen die israelische Klitsche eingereicht, die die Malware verkauft hat. Ich hoffe, ihr fallt auf diesen Schmuh nicht rein. Zum gehackt werden gehören immer zwei. Ein unmoralischer Krimineller, der die Malware schreibt, und ein unmoralischer Entwickler, der unsichere Software an seine Kunden verteilt.
Update: Ich hoffe, ihr habt euch den Artikel ganz durchgelesen. Das Money Quote ist wie üblich gegen Ende im Kleingedruckten:
Prior to notifying victims, WhatsApp checked the target list against existing law enforcement requests for information relating to criminal investigations, such as terrorism or child exploitation cases. But the company found no overlap, said a person familiar with the matter. Governments can submit such requests for information to WhatsApp through an online portal the company maintains.
Die israelischen Ultra-Haxors haben nicht etwa Whatsapp gehackt. Die haben die existierende Backdoor für "lawful interception" benutzt.
Wisst ihr noch, wie ich seit Jahren davor warne, dass staatliche Hintertüren auch von Dritten genutzt werden könnten? Hier haben wir den ersten Fall, indem das passiert und dokumentiert ist.
Nein, ist es nicht. Eine Malware auf deinem Endpunkt kann alles tun, was du auch tun kannst. Das heißt insbesondere: Daten in der Cloud löschen. Wenn du Geschäftsführer-Credentials hast: Die Cloud löschen. Wenn du Admin-Credentials hast: Die Backups löschen.
Die einzige garantierte Strategie gegen Malware ist, sie sich gar nicht erst einzufangen. Dass heißt in der Praxis: Den Mitarbeitern einen Arbeitsplatz zur Verfügung zu stellen, der gegen sowas nicht so anfällig ist. Das schränkt leider die Flexibilität deutlich ein. Daher werden Firmen in der Regel einen Kompromiss suchen.
Einer der Kompromisse wäre, wie ich glaube ich auch schon mal skizziert habe, eine Append-Only-Datenstruktur. Was man mit Daten tun kann, ist durch die Zugriffs-Möglichkeiten definiert. Wenn man eine Datei hat, kann man da Dinge überschreiben oder anfügen oder die ganze Datei löschen. Wenn man allerdings ein API hat, bei dem man nur Dinge am Ende anfügen kann, und statt löschen geht nur "als veraltet markieren", und die Software beinhaltet ein Rollback-Feature, mit dem man die Änderungen einzeln zurücknehmen kann, dann kann auch eine Malware nichts verschwinden lassen – solange sie an dasselbe API gebunden ist.
Das kann man über eine Cloud implementieren, aber man kann es auch in-house implementieren. Wichtig ist bloß, dass es auf einem separaten Rechner implementiert wird, der sich keine Malware einfangen wird. Das heißt: Der hat keine User-Accounts, bietet sonst keine Dienste an, hat keinen Browser und kein Office drauf und auch sonst keine Anwendungssoftware, und niemand liest auf ihm seine Mail.
Aber vielleicht ist dem einen oder anderen noch nicht auf Anhieb klar gewesen, dass das natürlich auch für Apps für Alexa und co gilt, bei Amazon heißen sie "Skills".
Oh und hey, warte mal, wenn man schon mithört und mit dem Opfer reden kann, kann man damit nicht auch prima Phishing-Angriffe fahren? Aber ja, kann man!
Na SO eine Überraschung!
Hätte uns doch nur jemand gewarnt!!1! (Danke, Markus)
ich arbeite auch bei einer Bank und möchte Deine Aussage korrigieren:Das ist die Lebenslüge der Politik an der Stelle. Als Kunde konnte man schon seit echt vielen Jahren per HBCI alle seine Konten in einer Software verwalten, ohne das auch nur den beteiligten Banken sagen zu müssen, dass man da noch andere Konten mitverwaltet."Mit Kontoinformationsdienst ist die Schufa gemeint." Es ist gerade nicht die Schufa gemeint. Bei den Kontoinformationsdiensten geht es nicht in erster Linie darum dass eine Zentrale Einrichtung der Banken einen Überblick über die Bonitätssituation eines Kunden erhält, sondern dass der Kunde selbst einen Überklick über die Geldbewegungen diverser Konten erhält, die er bei unterschiedlichen Instituten unterhält.
Der Punkt, der jetzt anders wird, ist dass es darum geht, dass das nicht eine Software auf meinem Rechner tut, am besten noch freie Software, für die ich den Quellcode habe. Nein. Jetzt soll das irgendein unmoralischer, stinkender Mitesser von einem Parasiten-"Dienst" machen. Das ist eine Firma. NICHT der Kunde. Eine Firma. Jemand anderes. Der ganze Punkt bei dieser Geschichte ist, dass die Politik gerne Arbeitsplätze bei unseriösen Betrüger-Startups schaffen will, die im Moment alle unter dem Namen "Fintech" arbeiten und so tun, als hätten sie irgendwas neu erfunden. Oder leisteten irgendwas außer anderen Leuten Geld aus der Tasche zu ziehen.
Es gibt also "passive" Lösungen die nur Kontodaten ziehen und irgendwas damit machen bzw. dem Kunden einen Überblick über seine finanzielle Situation bieten. Z.B. die ganzen Finanzoptimierer, die die Kontodaten auslesen und einem automatisch "bessere" Versicherungen, Engergieversorger etc. vorschlagen.A-Ha! Hier kommen wir der Sache näher! "Finanzoptimierer" sollen Zugriff auf eure Konten haben. Wer bei dem Gedanken, einer Finanzoptimier-Firma Zugriff auf sein Bankkonto zu gewähren, nicht sofort heiser lacht, der ist genau die Opfergruppe dieser nichtsleistenden "Industrie".
Aber Fefe, wenn der bei einer Bank arbeitet, wieso ist der denn dann latent negativ eingestellt für das ganze? Mein Bank versucht mir ja auch ständig, unseriöse Finanzoptimierung und leistungsfrei mein Konto leerende "Versicherungsberatung" unterzujubeln, wenn ich nicht aufpasse!
Stimmt, und jetzt kommen wir zum spannenden Teil dieses Leserbriefes:
Wenn der Kunde dann auch noch aus einer zentralen Plattform heraus aktiv auf seine Konten zugreifen und Zahlungen auslösen kann dann handelt es sich um einen "Zahlungsauslösedienst ". Das wird Neudeutsch auch "Multibanking" genannt und betrifft beiliebe nicht nur die "Sofortüberweisung". Früher hieß das z.B. "WISO mein Geld".(Hervorhebung von mir)Man sieht dass die BAFIN die Richtlinie im März 2016 veröffentlicht hat und die Banken mithin dreieinhalb Jahre Zeit hatten sich darauf vorzubereiten.
Aber natürlich können sie gar kein Interesse daran haben dass diese Schnittstellen alle reibungslos funktionieren. Wenn Daten das neue Öl sind, dann sitzen Banken die Girokonten anbieten quasi auf Ölfeldern weil sie über die Zahlungsströme ihrer Kunden extrem gut unterrichtet sind. PSD2 ist dann quasi die Erlaubnis für andere Banken und Startups, diese Ölfelder auch anzuzapfen und das Öl in ihre Kanäle umzuleiten. Noch schlimmer für die Banken ist, dass nicht nur die Informationen abfließen, sondern der Kunde u.U. gar nicht mehr im Login Bereich des jeweiligen Instituts auftaucht (und dort durch das Marketing bearbeitet werden kann) wenn er alle Zahlungsauslösungen aus einer "neutralen" Multibanking App heraus veranlasst. Das ist dann so als ob es (früher) keine Kreissparkassen- und Commerzbank- und Blaubankfiliale gegeben hätte sondern alle Kunden aufs Rathaus gegangen wären um dort ihre Geldgeschäfte zu tätigen.
Das ist der springende Punkt an dieser Stelle. Ja, die Banken sind häufig technisch so unfähig, dass man geneigt ist, von digitalem Analphabetismus zu sprechen. Ja, das hätte vermutlich gereicht, um ihr Verkacken zu erklären. Aber es ist eben nicht alles. Selbst wenn die weniger inkompetent wären: Sie wollen das auch gar nicht.
Achtet mal bei eurer Bank darauf, ob die euch beim Login zum Online-Banking und/oder auf den Kontoauszügen versucht, "Finanzoptimierung", "Geldberatung", "Investment-Ratschläge" oder Versicherungen reinzudrücken.
DAS ist, worum es hier wirklich geht. Um diese Werbeflächen.
Hier gibt es einen Überblick über die Fintechs (und alte Bekannte) die aktuell Lizenzen bei der BAFIN für Kontoinformationsdienst und Zahlungsauslösedienst beantragt haben.Ich rechne fest damit, dass sich dieser Sumpf aus Mitessern Klondike-mäßig aufblasen wird wie der Sumpf der Online-Werbung-Parasiten. Und die Banken sind natürlich wenig begeistert, weil diese Art von "Wertschöpfung" der Weg war, auf dem sie gehofft hatten, die Trockenphase der Negativzinsen zu überbrücken. Jetzt, wo die Investment-Bereiche sich alle als Kriminelle und Zocker herausgestellt haben, und die Banken das lieber zumachen als weitere Milliardenstrafen aufgedrückt zu kriegen, ...
Ich habe daher ein paar Kollegen befragt, die sich mit sowas auskennen, wieso wir das eigentlich überhaupt gekriegt haben.
Die Antwort könnte die Bevölkerung verunsichern.
Kollege1: Fefe: SOFORT-"bank" legalisieren und schufa im business haltenAls wenn das noch nicht schlimm genug ist: Die Schweiz lacht sich kaputt über unsere Idiotie und sagt an:
Kollege2: was Kollege1 sagt
Kollege1: Fefe: ziemlich genau das ist die anforderungsdefinition
Kollege1: "Zahlungsauslösedienste" und "Kontoauskunftsdienste"
Kollege2: Kontoinformationsdienste bitte
Kollege1: pardon
Kollege2: also ich stelle mir das so vor: Schritt 1: Dings und Bums legalisieren. Schritt 2: Hmm, wir müssen uns irgendwas einfallen lassen, das als Sicherheit zu verkaufen. Schritt 3: Alles andere kaputmachen.
Fefe: na meine daten ohne mein einverständnis weggeben wäre auch gegangen, ohne mein ui anzufassen
Kollege2: Fefe: nene, muss ja mit deinem einverständnis sein!
Fefe: IST ES ABER NICHT
Kollege2: doch doch, du musst einmal (im laufe der zahlungsabwicklung ggbf) zustimmen
Die PSD2-Regulierung der EU gilt nicht für die Schweiz. Die Schweiz setzt auf marktwirtschaftliche Lösungen.Es sah ja eine Weile so aus, als ob das Schweizer Bankgeheimnis und damit Schweizer Banking als (aus welchen Gründen auch immer) attraktive Option für EU-Bürger tot ist.
Welch selbstloser Akt der Selbstaufopferung auf Seiten der EU! Die haben wahrscheinlich beim letzten "Stabilitätstest" gesehen, dass die europäischen Banken eh alle so gut wie tot sind, und haben sich gedacht: Dann sorgen wir lieber dafür, dass die Leute in der Schweiz ein Konto haben, damit sie eine Chance haben, den Kollaps zu überleben.
Ich bin jedenfalls gerade ernsthaft am überlegen, ob ich nicht in der Schweiz ein Konto aufmache, um diesem nicht enden wollenden Bullshit-Tsunami zu entgehen, mit dem die Banken mich erst von Papier-TANs zu Chip-TANs, dann von Chip-TANs zu Mobile-TANs und jetzt von Mobile-TANs zu App-TANs genötigt haben, und jeden Schritt des Weges ist für mich das Verfahren untransparenter und unsicherer geworden. Ich hab echt die Schnauze voll.
Das geilste ist ja immer, wenn die Banken sich dann wundern, wieso die Leute zu N26 und co gehen.
Bei einem anderen großen deutschen Autohersteller, der auch Car-Sharing anbietet, konnte man sich lange Zeit im Fahrzeug für den Online-Kram anmelden und damit die Fahrzeuge tracken. Einige Fahrzeuge konnte man auch per App öffnen – unabhängig davon, ob gerade eine Miete lief.Das ist ja auch mal geil! Unsere Anmeldung ist so kacke, das nimmt kein Angreifer auf sich. Nicht mal wenn er dafür ein Auto bekäme.Der Verantwortliche hat darauf angesprochen gesagt, dass er einmal versucht hat sich zu registrieren, das nicht hinbekommen hat und daher das Problem als "nicht gravierend" eingestuft hat. Er hat zwar recht, dass sich anzumelden krass umständlich ist (Hotspot vom Handy für das Auto aufmachen, Passwort mehrfach eingeben, ...) aber mit ein bisschen Übung bekommt man das an einem Ampelstop hin.
Das Problem zu "fixen" hat ein paar Monate gedauert. Der Workaround ist, dass ein Script die "jemand hat sich in deinem Auto angemeldet" Mails empfängt und die Autos aus der Vermietung nimmt, dann fährt ein Praktikant hin und meldet wieder den Firmen-Account im Auto an.
ich hatte im vergangenen Jahr über mehrere Wochen hinweg eine Mercedes E-Klasse einer großen Autovermietung.Digital First, Bedenken Second!
Für den ganzen Office-Kram und die Verkehrsdaten im Navi habe ich mir da einen Account erstellt und das Auto in der App hinzugefügt.Nun ja, da ist es auch heute noch drin. Das Auto stand eine Weile beim Händler, nun aber seit einem halben Jahr bei dem vermutlichen Käufer.
Ich habe weiterhin vollen Zugriff auf Kilometerstand, Verbrauchswerte, Servicemeldungen, die aktuelle Fahrzeugposition und natürlich habe ich auch weiterhin die Möglichkeit, das Fahrzeug über die App zu Ver- und Entriegeln.
Da gibt es wohl noch keinen Prozess für, dass das mal jemand löscht wenn das Auto den Besitzer wechselt. Oder wenn man sich ein Jahr lang nicht mit den Auto verbindet oder so.
Schöne neue Welt!
Ist hier zufällig jemand Mercedes-Kunde?
Und weil für die Kirche ja wichtig ist, dass ihr schön eure Kirchensteuer zahlt, und ihr die länger zahlen könnt, wenn ihr gesund seid, hat die App auch einen Fitnesstracker, der eure Gesundheitsdaten in den Vatikan überträgt.
Vatikan? Ach komm, Fefe, das ist doch Satire! Nun, … guckt selbst ins Kleingedruckte!
Nein, sorry, nichts von der Schlangenölbranche diesmal.
Reparatur-Shop-Betreiber öffnet ein kaputtes Macbook Air und filmt sich beim Facepalmen. Money Quote:
I'm going to guess that the reason that this machine is brain dead, even though it has its primary power rails, is because … Apple.
Das ist echt der Brüller, das Video. Das Produkt ist so, wie man sich das vorstellt, wenn die Marketing-Abteilung das Produktdesign übernimmt. HARR HARR HARR
Das Problem, wie man trojanerresistente Datenablage macht, ist gelöst. Seit Jahren.
Programmierer haben nämlich immer ihren Quellcode verloren. Also haben sie Versionierungssysteme erfunden.
Ein Versionierungssystem ist wie ein Dateisystem, in dem man auch rückwärts gehen kann. Du kannst alles ändern oder löschen und die Änderungen auf den Server hochladen, aber damit sind die alten Versionen nicht weg. Ein Verschlüsselungstrojaner bewirkt überhaupt gar nichts. Checkst du den Stand von gestern mittag aus, bist du fertig.
Etwas formaler: Man nimmt eine Datenstruktur, an die man nur anhängen kann. Wie eine Buchhaltung! Da kannst du nur am Ende Dinge anfügen. Sowas kann man technisch auch für andere Dateien erzwingen. Und schon ist das Trojanerproblem gelöst.
Ein Angreifer kann natürlich immer noch Dokumente ausspähen. Das ist ein anderes Problem, das auch andere Lösungsansätze benötigt. Das ist auch gelöst, vom Militär, durch Kompartmentalisierung, aber mit unerwünschten, die Produktivität einschränkenden Nebenwirkungen.
Update: Zwei Arten von Klugscheißern schlagen jetzt hier auf. Erstens die "HAHA ER HAT BLOCKCHAIN GESAGT"-Witzbolde und zweitens die "aber so ein Versionierungssystem liegt doch im Filesystem, das ist dann auch verschlüsselt"-Leute.
Nein, ich habe nicht Blockchain gesagt. Die Idee mit append-only Datenstrukturen ist steinalt. Was bei Blockchain gut ist, ist nicht neu, und was neu ist, ist nicht gut. Bei Blockchain können auch andere anhängen und/oder verhindern, dass du anhängst. Hatte ich ja schon ausgeführt.
Und ich rede hier natürlich nicht von sowas wie Apple Time Machine oder einfach ein .git neben den Dateien zu haben. Ich rede davon, dass Institutionen wie ein Verlag und ein Gericht ja eh schon Content-Management-Systeme einsetzen. Und die müssen dann halt so arbeiten. Alles auf dem selben Rechner, dessen Infektion man überleben können will, ist Theater. Das muss auf einer anderen Kiste sein, und die programmatischen Schnittstellen dürfen schon gar nichts außer append-only zulassen. Wenn DU den Snapshot oder die Versionsgeschichte löschen kannst, kann das auch der Trojaner.
Daher glaube denen kein Wort, wenn die Presse behauptet, dass in einer großen Firma eine weitreichende Entscheidung von einem Ingenieur oder irgendeiner Abteilung unterhalb von Geschäftsführung oder Aufsichtsrat getroffen wurde. Das passiert nicht. Die lassen sich grundsätzlich alles abzeichnen, auf Papier. Damit sie im Notfall zeigen können, dass es nicht ihre Schuld war.
Immer. Keine Ausnahmen.
Aber auch in der Außendarstellung arbeiten Firmen so. Bei IT kann man das gut zeigen. Nehmt MS Office. Diesen Balken, wenn man ein Attachment aus einer Mail öffnet. Da kommt dann oben so ein gelber Balken über dem Dokument: Achtung, das Dokument ist read-only geöffnet, weil es aus dem Internet kam und das gefährlich ist. Hier kann man Schreiben anschalten: [Anschalten]"
Dieser Balken hat genau einen Grund. Dass die Firma sagen kann: Na der User hat doch auf den Balken geklickt. Nicht unsere Schuld. Wir haben da sogar "gefährlich" reingeschrieben!
Viele Leute haben den Eindruck, der Balken ist da, um sie zu warnen. Nein. Es geht nicht um euch. Es geht um den Hersteller.
Genau so muss man übrigens UAC ("Wollen Sie wirklich?"-Prompts von Windows seit Vista) sehen. Das ist alles unsicher und ein Einfallstor, aber die Arbeitsprozesse brechen zusammen, wenn man das ordentlich macht, und die Kunden von Microsoft wollen es nicht ordentlich sondern die wollen weiter pfuschen. Also kommt da ein Knopf hin. Damit Microsoft im Zweifelsfall auf den Knopf zeigen kann. Schaut her, sagen sie dann, da hat der User drauf geklickt. Selber Schuld.
Das geht hier nicht um Microsoft. So läuft die Argumentation übrigens auch intern, ich habe das ja mehrfach bei Firmen beobachten können. "Wir haben doch im Kleingedruckten stehen, dass das gefährlich ist, und man musste klicken". Der wichtige Teil ist: Man musste klicken.
Android macht das genau so. Ihr installiert eine App, da kommt eine lange Liste mit Zugriffen, die die App haben will. Facebook will einmal alles, klar. Google zeigt euch das nicht, um euch zu warnen, sondern damit wenn Facebook mit euren Daten Scheiße macht, damit Google dann sagen kann: Guck mal, hier war der Knopf, und du hast da draufgeklickt.
An einigen Stellen geht das sogar noch weiter. Bei Windows 10, bei den Privacy-Vorstellungen, haben die intern ernsthaft argumentiert, naja, man kann ja hier im Installer unter More... und Advanced... die ganzen Haken wegmachen. Wer das nicht tut, ist halt selbst Schuld. Die akzeptieren für genau eine Art von Telemetrie die Verantwortung, und das ist die, die man nirgendwo wegklicken konnte. Alles andere ist eure Schuld.
Ich erzähle das hier, weil ihr euch darauf trainieren könnt, Situationen zu erkennen, wenn ein Hersteller die Schuld auf euch abwälzt. Achtet auch mal darauf, wie das UI immer mit Dark Patterns so getuned wurde, dass ihr nicht den Eindruck habt, tatsächlich eine Wahl zu haben. Aber ihr habt immer eine Wahl. Wenn mir eine Software oder ein Dienst so ein Prompt gibt, dann bin ich normalerweise draußen. Go fuck yourselves. Ihr solltet mal versuchen, das genau so zu halten. Nur so als Test, ob ihr mit dem Ergebnis leben könntet.
Denn das ist aus meiner Sicht die essentielle Kernkompetenz im digitalen Zeitalter, was wir allen unseren Kindern beibringen sollten.
Achtet auch darauf, wie die Hersteller nie genau erklären, was passiert, wenn man die Zustimmung erteilt. Denn dann wären sie in der Haftung, wenn sie mehr machen. Und die Hersteller wollen sich ja alle die Tür offen halten, in Zukunft mehr mit der einmal erteilten Zustimmung zu machen.
Update: Übrigens, apropos Dark Patterns: Ich hätte in Browsern gerne einen Knopf, der HTML untersagt, Scrollbalken zu deaktivieren. Einfach grundsätzlich. Geht nicht mehr. Denn inzwischen machen viele Anti-Adblocker- und Cookie-Nervbalken auf der Webseite das Scrolling aus. Es wird höchste Zeit, dass Adblocker das rückgängig machen oder Browser es gar nicht erst zulassen.
Aber jetzt sitze ich gerade in einer Keynote von deren Security-Chef, und komme ins Zweifeln. Das ist eine Familienpackung FUD. Wir benutzen alle diese Tools und haben diese namhafte Firma hier mit Bullshit-Untersuchungen beauftragt und daher sind wir jetzt sicher. Da ist echt alles bei, was es so an schlechten Ideen gibt. Sogar homomorphe Verschlüsselung, wo ich seit Jahren gegen wettere, und was ich schon mehrfach für endlich friedlich entschlummert gehalten habe.
Highlight: Er sagt "KI-Angriffe" voraus. Die KI wird unsere IT angreifen und wir werden gar nicht verstehen, wie die das macht!
Hey, macht ja nichts! Machen wir einfach eine Gegen-KI zur Verteidigung!!1!
Update: Oh und Huawei setzt KI auf dem Mobiltelefon ein, um böse Apps zu erkennen!! *fremdschäm*
Update: "Wir brauchen Standards, denn nur gegen Standards lohnt es sich zu zertifizieren" o_O
zum Beitrag http://blog.fefe.de/?ts=a384681d spende ich Applaus. Sehr treffende Schilderung, die ich aus eigenem Erleben - war damals als junger Wissenschaftler in der Halbleiterforschung und habe GaInAsP-Strukturen "gebacken" für Infrarotlaser - voll bestätigen kann. In diesem Zusammenhang gab es noch eine sehr interessante Sache, die CoCom-Listen. Der CoCom-Ausschuss kontrollierte die Technologieexporte in den Ostblock ("Embargoliste")Faszinierend! Ich als Wessi kannte diese ganzen Story mit dem Technologie-Schmuggel nur als Witzchen und Geraune im Westen. Zum Beispiel erzählte man sich in meiner Kindheit den Witz, dass an einer Ost-Rakete eine Schraube gefunden wurde, die keine Funktion erfüllte und deren Gewinde falsch herum war. Die hatte der Erfinder in den USA dort angebracht, um sich selbst ein Denkmal zu setzen. Die Sowjets wussten nicht, dass die keine Funktion erfüllte, und haben sie mitkopiert. Auf dem Niveau waren die Stories, die man sich in Westberlin erzählt hat damals :-)Die RGW-Staaten taten eine Menge, um dieses Embargo zu umgehen und gaben dafür sehr viel Geld aus. An der Leipziger Karl-Marx-Uni hatten wir für Strukturberechnungen an Kristallen schrankgroße Computer aus sowj. Fertigung, deren Betriebssystem gar nicht verbergen wollte, dass es von IBM stammte, und deren Boards überwiegend mit Intel bestückt waren. Die Schaltkreise kamen zT per Diplomatengepäck aus den USA. Das ging ewig gut, auch wenn auf dem Flughafen mal ein Gabelstapler in so eine Kiste piekste und die ICs rauskullerten.
An der Umgehung des Embargos haben eine Menge Leute sehr viel Geld verdient. Wir hatten in unserem Labor in Leipzig eine Menge Kram aus den USA: Palladiumdiffusionszellen für die Wasserstoffreinigung, alle nur erdenklichen Fittings von Swagelok (Ohio), Gasventile von Nuclear Products usw. Sogar eine etwas in die Jahre gekommene Lithographiemaschine zur Waferbelichtung aus den USA stand bei uns rum. Solche Dinge wurden alle "irgendwie" in die Planung aufgenommen und "in Berlin" bestellt. Unsere IR-Lser waren Staatsplanthema, also hatten wir gute Chancen, all die netten Sachen auch zu erhalten. Irgendwann (meist mindestens ein Jahr nach Bestellung) kam dann eine Kiste mit vielen Vermerken und Aufklebern und es war im Labor wie Weihnachten.
Ich hab als junger Assistent mal die Lieferung eines Gerätes "zurückverfolgt". Es ging um ein Leckspürgerät für Wasserstoff ("Sniffer") von Panametrics. Bestellt wurde der Sniffer vor meiner Zeit, gegen Ende meines 2. Jahres als Assi kam er an. Nach dem Auseinanderpolken der diversen Verpackungslagen zeigte sich: Das Gerät stammte von Panametrics USA, wurde an die Tochter in NL geliefert, von dort an ein anderes niederländisches Unternehmen in Amsterdam, von dort nach Westberlin, dann in Westberlin nochmal an eine andere Adresse und von dort nach Ostberlin und dann via Maschinenhandelskontor der DDR zu uns nach Leipzig. Auf dem Weg von den USA bis zur 2. Westberliner Adresse entwickelte sich der Preis von knapp 25.000 Dollar zu 150.000 Dollar, bei uns kam der Sniffer für gut 450.000 DDR-Mark an. Letzteres war harmlos, denn DDR-Mark gab's ja ohne Ende. Interessant wurde es vor allem dadurch, dass außer Panametrics USA und NL alle Beteiligten zum Imperium der KoKo (Schalck-Golodkowski) gehörten (oder regelmäßig in dessen Umfeld agierten). Der auf den Frachtpapieren deklarierte Wert der Sendung stieg bei der Lieferung an Panametrics NL nur geringfügig, danach aber immer stärker.
Da mehrere meiner Kommilitonen in der DDR-Halbleiterbranche arbeiteten, hatte ich dorthin gute Kontakte und weiß, dass das kein Einzelfall war. Entweder wurde die benötigte Technik über KoKo auf verschlungenen Pfaden importiert oder sie kam aus Ländern, die sich nicht an die Restriktionen der Amis hielten. Zu "meiner" Forschungsgruppe gehörte auch ein Labor, in dem MOCVD betrieben wurde (Metallorganische Gasphasenepitaxie). Eine der Anlagen in diesem Labor stammte von Epiquip aus Schweden.
Alles in allem hat sich die DDR ihre erfolglose Aufholjagd Milliarden DDR- und D-Mark kosten lassen. Während die Investitionen sich in anderen Bereichen (Floatglas, Produktionsstraßen für PVC-Folie, ...) sich durchaus über den Export "gerechnet" haben, wage ich das bei der Halbleiterbranche zu bezweifeln, da diese Produkte in der Breite so komplex sind, dass der Rückstand der DDR nicht auzuholen war. Um das an einem simplen Beispiel zu verdeutlichen: Mitte 1989 hatten wir Epitaxiematerial auf Basis von InGaAsP hergestellt, dass den IR-Lasern von Siemens mehr als ebenbürtig war. Allerdings konnten wir diese Parameter nur messen (lassen). In der DDR war jedoch niemand in der Lage, daraus ein Lasermodul zu fertigen. Es fehlte am geeigneten Gehäuse, am Bounding und sogar an der wärmeableitenden "Paste" zur Montage des Laserchips im Gehäuse.
Bezüglich des Leserbriefs zum Thema „AML“ und Geldwäsche stelle ich die nicht allzu steile These auf, dass die nicht funktionierende Kontrolle systematisch gewünscht ist. Untermauert wird die These von unten verlinktem Podcast, mit dem großartigen Titel "How Britain can help you get away with stealing millions: a five-step guide“ :) Es sind zwar nur (sehr unterhaltsame und lehrreiche) 20 Minuten, aber ich glaube den Produzenten des „Alternativlos“-Podcasts könnte dieser Beitrag gefallen!Da fühlen sich die Leser aus anderen IT-Outsourcing-Zombie-Betrieben gleich viel besser, wette ich!Ansonsten kann ich dem Leserbrief komplett beipflichten. Ich arbeite auch gerade in der Finanzindustrie und der Zustand ist erschütternd, in jedem Aspekt. Ich war zu Beginn geschockt vom Zustand und Alter der verwendeten Hardware (Rechner, Stühle, alles!) und bei der Software sieht es entsprechend noch ranziger aus. Da werden mehrere hunderttausend Zeilen lange Excel-Dateien voller Steuerungsdaten als plaintext in source code copy pasted und damit in Produktivsysteme für mehrere Millionen Kunden hochgeladen. Versionierung existiert nur in Form von Kommentaren oder Dateibezeichnungen („…v23.xxx“). In der deutschen Konzernzentrale arbeitende Abteilungsleiter sind von Lizenz-Approvals aus Indien abhängig, nichtmal einen Ramriegel gibts ohne Approval aus „Land b“ *und* „Land c“.
Kurzum: ein komplett fremdgesteuerter Zombie, bei dem Outsourcing-Dienstleister mehr Macht als die Konzernzentrale haben und in dessen IT-Kartenhaus externe „Berater“ ohne jede Erfahrung mit „kurzfristigen“ Verträgen jahrelang Spaghetti-Code an noch mehr Spaghetti-Code klatschen. Wird nur über Wasser gehalten von den unter der ledrigen Haut gefangenen Verwesungsgasen.
du musst jetzt tapfer sein. Updates im Netzwerkbereich werden gemacht wenn die Hardware getauscht wird. Oder wenn einen funktionalen Bug gibt der die Arbeit stört. Also meistens zumindest. Ausnahmen bestätigen die Regel.Der Kollege hat inhaltlich natürlich völlig Recht. Genau so sieht das in der Industrie aus. Aber ich habe mir noch nie einen schönen Rant voller gerechtem Zorn von Fakten oder der Realität kaputtmachen lassen!1!!Beispiele:
- Vor vielen Jahren hab ich in einem Projekt man ein Tool zum Config Backup (rancid) aufgesetzt und mit einem Tool zum Config Audit (nipper, war damals noch OpenSource) verheiratet.. Dazu noch ein wenig Shell und es gab eine mehr oder weniger schöne Webseite mit einem Report. Das ganze für einen Laden eine hohe zweistellige Anzahl von Cisco "Firewalls" speziell für site-2-site VPNs im Einsatz hatte. Musste ich wieder abstellen weil zu viel Rot. Und Updates wären zu viel Arbeit. Gut, wahrscheinlich waren viele der Verwundbarkeiten überhaupt nicht relevant für den Einsatzzweck, aber für die Security eines Outsourcing Ladens ist das schon eine komische Einstellung.
Der Laden nahm ITIL sehr ernst und als es ein Ticket zu "die CheckPoint braucht mal dringend Updates und vor allem mehr RAM" für die interne Firewall gab wurde das wegen eines zu hohen Risikos abgelehnt. Ein paar Tage später ist sie dann ausgefallen und es konnte gar nicht schnell genug gehen bis sie wieder ging.
- Vor etwas weniger Jahren hab ich mich mal um das Netz eines Kunden gekümmert. Inkl. BGP zur Außenwelt. Einer der großen Hersteller (IIRC Juniper) hatte einen Bug in der BGP Implementierung. $Carrier schickte eine Mail das sie ganz dringend Updates machen. Das Update erforderte einen Reboot. Nur: Die BGP Session stand noch 2 Wochen danach. Dann gab es Tagsüber einen kurzen Schluckauf. Wahrscheinlich hat irgendwer im Internet mal die passenden Pakete an den Router geschickt und das Teil hat rebootet. Da das nicht noch mal passiert ist, gehe ich davon aus, dass mit dem Reboot auch die neue Softwareversion hoch kam.
- Vor noch weniger Jahren hab ich für einen anderen Kunden Netzkram gemacht. Da lieft mir in irgendeinem IRC Channel ein Hinweis zu einem Cisco Bug über den Weg. Betraf alle der Hauptswitche im Office. Habs abgestellt, den Kollegen von der Security und den Netzwerkern am anderen Standort den Link geschickt. Die Security fand das cool das einer mitdenkt und hat sich bedankt. Von den Kollegen am anderen Standort gab es 2 Wochen später eine Reaktion. Da haben sie von dem Problem bei Heise gelesen und musst mich ganz dringend auf den Bug hinweisen.
- Und dann war da noch der Laden mit dem Cisco WLAN Controller der das WLAN absichern sollte. Also eigentlich eine Kiste zum Management von Accesspoints. Sowas will man in einer großen Umgebung haben und die Dinger funktionieren im Normalfall sogar. Der Fall war nicht normal, weil die viele tausende Euro Appliance hing einfach so im Rack. Ohne Netzwerkkabel und vor allem ohne Strom.
- Cisco hatte da mal eine ganze tolle Management Software. Da konnte man dann u.A. zu allen IOS Versionen im Netz die passenden Bugs raus suchen. Mir hat das Teil beim Kunden immer was davon erzählt, dass es keine Bugs gibt. Bis ich dann mal mit tcpdump / Wireshark geschaut habe. Das Tool rief eine Webseite von Cisco auf (http!) und bekam einen 404 zurück.
Ich glaube übrigens nicht, dass die Software bei anderen Herstellen besser ist. Von den anderen hört man nur weniger. IIRC hab ich auch noch nie einen anderen Hersteller gesehen der selbst Bugs auf Security Mailinglisten veröffentlicht.
Apple-Apologeten bringen ja gerade gerne zu ihrer Verteidigung das Argument, dass Apple ja immerhin kein Geschäftsmodell auf dem Verkauf der Nutzerdaten aufgebaut hat. Ich bin ja nicht optimistisch, dass das so bleibt.
Turbokapitalismus vom Feinsten!
Warum?
Weil diese Cloud in Sankt Petersburg ist. Und die Russland-Cloud erzeugt natürlich Beißreflexe, wo die Amazon-Cloud unter dem Radar weitersegelt.
Die Doppelmoral ist erstickend! Zeitungen, die keine Sekunde gezögert haben, meine Daten an Dutzende Werbenetzwerke in intransparente Clouds irgendwo hochzuladen, die erzählen mir plötzlich, Daten in die Cloud laden ist gefährlich?!
Ich kann nur jedem empfehlen, mal eine Private-Browsing-Sitzung in ihrem Browser zu machen und den Adblocker auszuschalten. Nur für eine Stunde oder so. Und dann klickt euch mal durch eure Lieblings-Nachrichtenseiten. Nur mal so als Realitätsabgleich. Da findet ihr überall Werbenetzwerke der untersten Kategorie, die euch Scams aller Art andrehen wollen ("Day-Trading schnell gelernt!", "Silbermünzen als Andenken an Nicki Lauda!", "Krypto-Währungen, die Bitcoin hinter sich lassen werden!!"). Besonders enttäuscht hat mich Heise, die jetzt auf Telepolis unter allen Artikeln eine externe Firma eine "Abstimmung" einblenden lassen, mit so Fragen wie "Die Nutzung des Weltraums steht allen frei / sollte stärker reguliert werden". Selbstdarstellung dieser Firma:
We are not just a widget – we are THE platform for brands to scale content marketing and insight
Are you fucking kidding me, Heise? Und IHR habt die Stirn, mich vor irgendwelchen russischen Cloud-Firmen zu warnen!?Oder noch geiler beim ehemaligen Nachrichtenmagazin. Ohne Adblocker kriegt man da die Tage nach dem obersten Artikel eine ZDF-Werbung, die beim Runterscrollen mal eben den ganzen Bildschirm einnimmt. Un-fass-bar! Da hast du echt Schwierigkeiten, zwischen der Werbung den Inhalt zu finden!
Kommt, liebe Medien, erzählt mir mehr über die Risiken der russischen Cloud für meine Privatsphäre!
Update: Hahaha, ist ja noch geiler! Das ist die Amazon-Cloud, nicht die Russland-Cloud! Ein Leser wies noch darauf hin, dass man ein Foto manuell zur App schickt, nicht dass die App von sich aus Zugriff auf alle Fotos haben will und die dann durchgeht. Oh Mann. Die App ist also datenschutzfreundlicher als die meisten anderen Apps! LMAO
Das Bundesinnenministerium ist dem Vorwurf entgegengetreten, es wolle Anbieter von Messenger-Diensten wie WhatsApp zur Entschlüsselung der Kommunikation ihrer Nutzer zwingen. Die Bundesregierung halte an dem Prinzip "Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung" fest, sagte ein Sprecher der dpa. Er betonte: "Wir wollen weiterhin keine Hintertüren oder Verschlüsselungsverbote."Nee, wir wollen keine Hintertüren oder Verbote! Wir drohen aber mit Verboten, damit wir Hintertüren kriegen!
Damit Terroristen und Bandenmitglieder ihre Kommunikation nicht durch die Nutzung verschlüsselter Messenger-Dienste komplett abschotten könnten, müssten die Provider aber einen "staatlichen Zugriff als gesetzlich geregelte Ausnahme" ermöglichen. Einen Gesetzentwurf hierzu gebe es jedoch noch nicht, sagte der Sprecher. "Wir stehen hier noch am Anfang einer Lösungsfindung."Seht ihr? Eine Ausnahme, keine Hintertür!1!!
Ich glaube ja, dass die inzwischen aktiv nach Dingen Ausschau halten, mit denen die Regierungen anderer Länder sich zum Gespött der Welt gemacht haben, und das machen die dann auch. Morgen: Wir bauen eine Mauer um Italien, gegen die Flüchtlinge!!1!
Konkret will das Justizministerium (eigentlich in SPD-Hand, aber die sind ja eh nur noch Handlanger der CDU seit ein paar Generationen) mehr Werbungs-Kennzeichnung in sozialen Medien haben.
Ich bin ja dafür, dass auch Politiker endlich gekennzeichnet werden. Wie in der Formel 1. Es gab da mal einen Kabarettisten, der das vorgeschlagen hat. So auf der Jacke die ganzen Sponsorenlogos. Und am besten auch auf den Gesetzen. Vorne so ein Titelblatt mit Bertelsmann-Logo. Diese Grundrechte wurden Ihnen weggenommen mit freundlicher Unterstützung der Deutschen Bank und der Bertelsmann-Stiftung.
Überhaupt ist der Unterschied zwischen Influencern und Ministerien ja auffallend dünn, wenn es um nicht gekennzeichnete Schleichwerbung geht.
Oh und noch einen Lacher aus der Richtung gibt es: Facebook und Whatsapp wollen Newsletter und Massen-Messages über Whatsapp unterbinden. Soweit kommt es noch, dass jemand unsere schöne Plattform für Werbung nutzt, ohne uns zu bezahlen!1!!
Ich glaube ja, dass das auch für das Influencer-Problem die Lösung ist. Die Politiker sind einfach damit unzufrieden, wie wenig Schmiergeld sie bisher von Influencern kriegen im Gegensatz zu anderen, etablierteren Branchen. Das war ja auch eine Theorie, wieso das US-Justizministerium damals gegen Microsoft plötzlich Antitrust-Ermittlungen gestartet hat. Vorher hat Microsoft so gut wie nichts in Lobbyismus investiert. Jetzt sind die ganzen Tech-Bros einer der größten Geld-Gießkannen im Lobbysumpf. Und siehe da, plötzlich gibt es gar keine Antitrustprobleme mehr. Nur noch mit der EU.
Ich forsche an der Universität Kopenhagen und habe gerade eine E-Mail bzgl. unseres Support-Dienstleister für DNA-Sequenzierung erhalten, die ich dir gerne weiterleite:Ich wünsche schönen Feierabend! :-)[…] told me that Eurofins has been hacked, so they have no access to servers etc. (Apparently the hackers want a ransom) […] They have no idea when things will be up and running.
Ich mache jetzt jedenfalls erst einmal Feierabend.
Das ist irgendeine belanglose Messaging-Geschichte. Was diesen Fall auszeichnet, ist dass wir mal erfahren, wie lange die Angreifer Zugriff auf die Datenbank hatten, bevor es jemand gemerkt hat.
Einem offiziellen Statement von Flipboard zufolge hatte ein unbefugter Dritter im Zeitraum von Juni 2018 bis April 2019 Zugriff auf die Datenbank.Die Firma sagt jetzt: Naja, wir haben ja die Passwörter gehasht abgespeichert. Ist also nicht so schlimm.
Ich würde dem nicht zustimmen. Wenn es jemand bis zu eurer Datenbank geschafft hat, dann hing die entweder am Internet, in welchem Fall man nie wieder irgendwas aus eurem Hand vertrauen sollte, oder der Angreifer musste sich durch den Rest eurer Infrastruktur durchhacken. Es gibt wenig Grund für die Annahme, dass der dann nicht auch die Klartext-Passwörter abgeschnorchelt hat bei dne Logins in der Zeit. Das macht man zwar trotzdem und es ist gut so, aber sorry, wer Angreifer die Datenbank abschnorcheln lässt, und das ein Jahr lang nicht merkt, dem sollte man an der Stelle keinen Vertrauensspielraum mehr einräumen.
Und zukünftig auch nicht mehr.
Man muss sich auch fragen, wieso man denen überhaupt jemals getraut hat.
Ist ja nicht so als wäre da der Quellcode offen und man könnte selbst Server betreiben.
Nehmt nur die CDU. Reaktion 1 auf das Rezo-Video:
CDU-Chefin @akk: Als sie hörte, es hätten sich >70 Youtuber zusammengeschlossen, habe sie sich gefragt, was eigentlich los wäre, würden 70 Redaktionen aufrufen, CDU & SPD nicht zu wählen. Man müsse prüfen, inwiefern Regeln aus der analogen auch für die digitale Welt gälten.Topp! Wohlinformiert, wie man es von der CDU erwarten würde!
Ist die Kramp-Karrenbauer eigentlich auch ein Ossi? Dieses Reflexverhalten erinnert mich frappierend an Honecker und Ulbricht.
Oder nehmt diesen bis dato unbekannten Apparatschik!
Ich glaube, beim CDU-Wahlergebnis ist noch deutlich Luft nach unten.
Das muss diese unsichtbare Hand des Marktes sein, von der man immer hört!
Das killt mal eben 30-40% der (bezahlten) Performance. Und wegen der armen notleidenden Intel-Aktionäre verlang jetzt niemand von denen, dass sie ihre kaputte Hardware tauschen. Das muss daran liegen, dass Intel eine US-Company ist. Bei VW sah das noch ganz anders aus. Und bei Monsanto. Jedenfalls solange die nicht von Bayer gekauft wurden.
Der Effekt wird wahrscheinlich sein, dass die Leute jetzt neue Prozessoren mit mehr echten Cores kaufen. Win-Win-Win-Win für Intel!
Ich schalte Hyperthreading jedenfalls nicht ab bei mir. Und mein nächster Prozessor wird ein Ryzen.
Auf meinen eigenen Server komme ich, auf die Tagesschau, die Süddeutsche und den Spiegel komme ich von hier, aber die Welt ist z.B. gesperrt. Die Sites, auf die ich komme, fühlen sich schnarchend langsam an (sowas wie 20 KB/sec). Aber mir fiel auf, dass das nur den Textinhalt betrifft. Bei der SZ z.B. laden die Bilder sehr schnell. Da ich Mail lese, indem ich mich auf dem Server interaktiv einlogge, was bei 300ms Latenz gar keinen Spaß macht, wird jetzt der Blogdurchsatz massiv einbrechen, solange ich hier bin. Macht euch keine Sorgen, das ist nur vorübergehend. :-)
Das ist mein erster China-Aufenthalt, und da ist ja immer besonders spannend, die Vorurteile und Erwartungshaltung mit der Realität zu vergleichen. Die erste Beobachtung: Man braucht ein Visum, und das kann man nur aus dem Land mit dem Wohnsitz beantragen, und man braucht eine Einladung einer örtlichen Firma dafür. Das Visum lässt sich aber relativ ad-hoc beantragen und wird dann auch innerhalb von ein paar Tagen ausgestellt. Bei der Einreise gibt es dann eine Menge Security-Foo, wo u.a. alle 10 Fingerabdrücke eingescannt werden. Die Dichte an Überwachungskameras toppt gefühlt noch London, besonders am Flughafen war die Kameradichte sehr beeindruckend.
Wir hatten ein Shuttle zum Hotel mitgebucht, und das stellte sich dann als eine Art Uber-Service heraus, aber in einem Elektroauto, das praktisch 1:1 ein Tesla-Klon war. Als der Fahrer dann das Parkticket bezahlt hat beim Ausfahren, traf mich fast der Schlag: Die Gegenstelle zeigte einen QR-Code an, der Fahrer scannte das mit seinem Handy, dann klickte er auf "Jetzt Zahlen" und seine App generierte einen Rück-QR-Code mit der Bestätigung, die zeigte er dem Kassierer und fertig war die Bezahlung. So habe ich seit Jahren argumentiert, dass Bezahlen gemacht werden sollte. Diese Idee, dass der Supermarkt da ein "sicheres Terminal" hinstellt, hat aus meiner Sicht noch nie Sinn ergeben. Ich habe genau Null Anlass, diesem Terminal mehr zu trauen, als ich dem Kassierer oder seiner Kasse trauen würde. Nur weil das "sichere Terminal" mir 100€ anzeigt, muss das noch lange nicht stimmen. Ein Gerät, dem ich vertrauen würde, wäre mein Handy. Nun kann man natürlich argumentieren, dass die meisten Handys im Umlauf da draußen nicht mehr geupdatete Kaputt-Androids sind, und das stimmt natürlich. Aus Sicht des Kunden (und um dessen Vertrauen geht es ja hier!) sind die aber immer noch vertrauenswürdiger als ein angeblich sicheres Terminal im Supermarkt. Anyway, genau so wie ich mir das immer gedacht hatte, so machen die das hier einfach. Und siehe da: Es funktioniert und flutscht. Und es gibt mehrere Anbieter für solche Bezahl-Apps. Ist mir ein Rätsel, wieso wir das nicht auch so machen.
Die Geschwindigkeit, mit der die hier Infrastruktur aus dem Boden stampfen, ist auch sehr beeindruckend. Wir fuhren da auf der Autobahn und fragten den Fahrer, ob die neu sei, und er meinte so: nee, die ist schon 10 Jahre alt. In einem Tonfall, wie wir in Deutschland über eine Autobahn aus den 1930er Jahren reden würden. Alles wirkt neu. Ging schon los mit dem Flughafen, wo es ein Schild zum "Maglev" gab (Magnetschwebebahn). Redet Deutschland seit Jahrzehnten drüber. Haben die hier einfach.
Dann sieht man im Straßenbild lauter so stinkende Motorroller, äußerlich Vespa-Klone. Bis einer von denen an einem vorbeifährt und man merkt: Die sind alle Elektro-Roller. Zweitakter sind verboten. Wieso bei uns eigentlich nicht?
Was mich im Moment noch am meisten fasziniert: Wo laden die die auf? Man sieht davon neben dem Supermarkt mal eben 30-40 Stück geparkt stehen, aber da ist dann keine Ladestation. Wieviel Reichweite haben die? Seit wann gibt es die hier? Die sahen jetzt alle eher wie ältere Modelle aus Europa aus. Und wieder frage ich mich: Wieso haben wir eigentlich Zweitakter noch nicht verboten? Wieviel Krebs muss ein Gerät mit den Abgasen erzeugen, bevor wir mal handeln in Deutschland?
Ich sah auch bisher keinerlei herumliegenden Müll oder so. In vielerlei Hinsicht fühlt sich das hier wie eine Scifi-Utopie an. Sehr lustig fand ich auf der Autobahn, dass sie auf der Mittel-Barriere plötzlich unvermittelt Blumenkästen hatten.
Das war auch eine Sache, auf die ich sehr gespannt war: Die Luftqualität. Ich rechnete ja mit dem Schlimmsten nach der Berichterstattung im Westen, und in der Tat kann man hier aus dem Fenster die Skyline im Hintergrund nur durch eine diesige Nebelwand ausmachen. Heute habe ich kurz den Hauch eines Brandgeruches in der Luft festgestellt, aber insgesamt ist das jetzt nicht schlechter als in Hannover oder Berlin. Ich bin allerdings in einer Hafenstadt, das hilft wahrscheinlich.
Der Grund, wieso wir in Europa so verkackte Zahlsysteme haben, liegt übrigens daran, dass die Smartcard-Industrie aus Europa kommt. Die gehen an so ein Problem daher nicht mit "Wie lösen wir das Problem?" ran, sondern mit "Wie können wir hier Smartcards einsetzen?" Klar, kann man so machen. Wird dann halt Mist.
Update: Twitter und Reddit sind auch geblockt. Die BBC geht nicht, aber der Guardian geht. nytimes.com geht nicht, washingtonpost.com geht.
Update: Einige Leser hatten klärende Anmerkungen. Der Maglev ist offenbar tatsächlich der einzige davon und aus Deutschland gekauft :-)
Ich werde mal gucken, ob ich damit eine Fahrt eingeplant kriege. Einige Leser wiesen auch darauf hin, dass der nicht zu jeder Tageszeit gleich schnell fährt. Na mal gucken.
Und zu den E-Rollern: Die lädt man wohl zuhause auf. Der Akku ist rausnehmbar und da gibt es dann ein fettes Netzteil und damit hängt man das an die Steckdose. Manche Roller gehören auch Lieferdiensten und die haben dann eigene Infrastruktur. Aber sowas wie öffentliche Ladesäulen oder so gibt es wohl gar nicht.
Jetzt sind sogar Rückbaumaßnahmen im BER-Terminal notwendig, um die nach wie vor gravierenden Mängel an Sicherheitskabeln des Brandschutzsystems beseitigen zu können.Rückbau! Au weia.
Das Papier kommt diesmal nicht vom TÜV Süd (die mit dem Staudamm in Brasilien), sondern vom TÜV Rheinland (die mit dem Sicherheits-Zertifikat für die Vivy-"Gesundheits-App"). Nur dass es da keine Verwechslungen gibt!
Ich halte das ja für nicht schlau. Die Leute sind alle bereits im Apple-Gefängnis eingesperrt. Wenn du denen sagst: Apple oder Netflix, dann ärgern die sich und bleiben bei Apple.
Ein Highlight jagt das nächste in dem Text. Geht los mit:
"Nur durch den Schulterschluss der Verlagsmanager und in Zusammenarbeit mit der Politik haben wir eine faire Chance im Wettbewerb mit Google, Amazon, Facebook und Apple"Ihr Vollpfosten konkurriert doch nicht mit Google und co! Die helfen euch noch, eure Inhalte zu verbreiten! Dass ihr kein Geschäftsmodell mehr habt, seit ihr eure Inhalte kostenlos im Internet verbreitet, dafür können die doch nichts!
Vor allem: WTF? Google News hat doch keine eigene Nachrichtenagentur oder so?! Wie verwirrt muss man sein, um die als Konkurrenten zu sehen!?
Aber was mich ja so richtig auf die Palme bringt ist sowas hier:
Dies zeige zugleich, "welche Macht datengetriebene Großkonzerne auf den Willensbildungsprozess der Bevölkerung ausüben".Was für eine Frechheit! NIEMAND verkauft meine Zugriffsdaten an mehr Datenkraken, hat mehr Tracker und Auswerter und mehr Werbenetze als Zeitungen! Erst sei der DSGVO muss man in umatrix bei den Zeitschriften nicht mehr seitenweise scrollen, um alle Tracker gesehen zu haben. Wer hat Do-Not-Track einmal komplett ignoriert? Die Zeitungen! Also hat Firefox einen Tracker-Blocker eingebaut und jetzt heulen sie rum.
Und dann DIE STIRN zu haben, Google vorzuwerfen, sie seien "datengetrieben"! Unfassbar!
Oh und eine Kreditkarte bietet Apple auch an. In Kooperation mit … (kommt ihr NIE drauf!)
iPhone users are already using Apple’s Wallet app, Apple Pay, and Apple Pay Cash — wouldn’t they like an Apple credit card, too? The Cupertino company and bank partner Goldman Sachs believe the answer is “yes,” so they’ve teamed up for Apple Card.
Da wächst zusammen, was zusammen gehört! Na? Are you blown away yet?Update: Effektiver Jahreszins sind knapp 25% bei der Kreditkarte. Da bin ich tatsächlich "blown away".
You had me at "Arbeitskreis". In der SPD auch noch. Arbeit! HAHAHAHA
Wäre eigentlich keine Erwähnung wert, wäre da nicht dieses Money Quote:
Man gehe davon aus, die Angelegenheit einvernehmlich klären zu können, „im Rahmen von Gesprächen“.Wir können gerne verhandeln, solange ihr vorher meine Position zu 100% übernehmt!1!!Ob diese allerdings etwas bringen, ist fraglich, weil der Dialog an Bedingungen geknüpft ist. Denn Klingbeil bietet zwar in seinem Brief ein nochmaliges Gespräch an. Erst aber stellt er die Prämissen klar: kein säkularer Arbeitskreis, keine Verwendung der besagten Begriffe wie „SPD“ und „Sozialdemokraten“. Die Genossen könnten ihm gerne eine E-Mail schreiben, um einen Gesprächstermin zu vereinbaren – „wenn Ihr diesen Prämissen zustimmt“.
Der Lacher ist ja: Ich erinnere mich noch, als der Klingbeil nicht als verkalkter festgekrusteter Apparatschik galt, sondern als Hoffnungsschimmer der SPD! Ja, wirklich! Der war sogar für Netzpolitik zuständig! Jung und hip aber Atheisten ausgrenzen. Ich lach mich kaputt.
Aber hey, jemand der in der Tasche der Rüstungsindustrie ist, der kann es auch nur innerhalb der SPD zum Hoffnungsträger schaffen.
OK, gut, bei den Olivgrünen wahrscheinlich auch. (Danke, Ronald)
Ziel des Appple-Vorhabens ist es, die Anstrengungen der drei Organisationen "zur Förderung junger Menschen mit den im heutigen digitalen Zeitalter notwendigen Fähigkeiten des kritischen Denkens voranzutreiben". Apple-CEO Tim Cook sieht in den Projekten – beziehungsweise der allgemeinen Medienkompetenz – einen wichtigen Baustein "für die Aufrechterhaltung einer freien Presse und einer funktionierenden Demokratie".Hey, Medienkompetenz ist eine tolle Idee! Hätte uns das doch nur jemand früher schon gesagt! Und uns am besten trainiert! :-)
Update: Ich finde ja auch geil, dass Apple das jetzt mit ein paar Brotkrumen lösen will. Die sitzen auf mehr Bargeld als die meisten Staaten. Die könnten auch mal eben 10 Milliarden in eine wohltätige Stiftung übertragen, die Zeitungen eine unabhängige Arbeit ermöglicht. Apple weiß gar nicht wohin mit ihrer Kohle!
- Flooding the zone: RT, Sputnik and Russian framing of the Skripal incident. This analysis shows how Russian news outlets inserted over 130 competing and often contradictory narratives into their extensive coverage of the March 2018 Salisbury poisoning incident. The study shows how state-linked news outlets operate in a ‘crisis management’ situation, mobilising a ‘parallel commentariat’ to air dozens of narratives explaining events and the motivations of Western actors, as well as amplifying provocative statements from senior Russian government officials.
- Heads we win, tails you lose: projecting Russian strength. This analysis demonstrates how Russian news outlets portray Russian military prowess and Western military weakness to English-speaking audiences. It demonstrates how RT and Sputnik generate a large volume of coverage critical of NATO and extensive reports on the potency of Russian prototype weapons. The susceptibility of Western news outlets to eye-catching details of Russian military strength is demonstrated through evidence of directly and indirectly replicated information on Russian weapons published by UK news outlets.
- Division and dysfunction: how RT and Sputnik portray the West and construct news agendas. The final analysis records how Russian English-language news outlets publish a steady stream of articles about domestic politics and events in the USA and Europe that focus on political dysfunction, institutional failure, social division and the negative effects of immigration. It also shows that RT and Sputnik act as negative news aggregators, harvesting, repackaging and translating stories from local news outlets across Europe, before publishing them for English-language audiences. A software-driven text-matching analysis also demonstrates the extent to which UK news organisations (primarily tabloid news sites) gather and republish content from RT and Sputnik, as well as showing how the Russian outlets replicate content from UK news sources in return.
Über das "Flooding the zone" hatten Frank und ich schon in Alternativlos 36 ein bisschen Gedanken gemacht. Ich möchte an dieser Stelle noch nachtragen, dass es für diese Taktik einen Fachbegriff gibt: Gish Gallop. Benannt nach einem notorischen Kreationisten, der halt schneller Bullshit-Behauptungen aufstellen kann, als man die der Reihe nach widerlegt kriegt.Appendix 3 ist einfach eine Liste der Narrative, die die Russen über Skripal so verbreitet haben. Ausgesprochen unterhaltsam! (Danke, Detlef)
Mein Ratschlag war übrigens schon immer, TLS-Terminierung nach dem Scale-Out zu machen, d.h. auf den Webservern, nicht auf den Load-Balancern. Und Load Balancing kann man auch komplett selbst in Software machen, beispielsweise mit haproxy oder … nginx. Es gibt keinen inhaltlichen Grund für die Anschaffung von Appliances.
Vielleicht sollte ich doch noch mehr Zeit in gatling investieren. Womöglich belebt sich der Webserver-Markt nochmal :-)
Das klingt jetzt natürlich alles sehr absurd, mit Cyberwar und ausgerechnet Marco Rubio. Die Infrastruktur von Venezuela ist nicht gerade auf westlichem Niveau, und schon bei uns gibt es Stromausfälle, ohne dass jemand Cyberwar machen muss. Aber nicht in der Größe, normalerweise. Und der Zeitpunkt passt schon auch richtig gut für die Agenda der Amis. Hmm.
Update: Ein Leser weist darauf hin, dass es auch beim Allende-Sturz damals einen den Amis auffallend gut ins Narrativ passenden Stromausfall gab.
Certain versions of the NetApp Service Processor firmware were shipped with a default account enabled that could allow unauthorized arbitrary command execution.
Ach komm, halb so schlimm. Wer will schon auf einer Netapp Kommandos ausführen? Siehste! (Danke, Daniel)
Update: Das habe ich falsch wiedergegeben. Der Opt-Out war aus ELGA (Elektronische Gesundheitsakte), nicht der e-card. Der kann man sich nicht verweigern, sonst hätte man keine Krankenversicherung.
Update: Leserbrief dazu:
Die Verwechslung zwischen E-Card und ELGA war nicht das einzige Problem mit der "G'schicht'". Man kann sich ggü. österr. Behörden auch anders elektronisch ausweisen. Mir sind keine Zahlen bekannt, aber ich gehe davon aus, dass die Bürgercard dabei eine verschwindend kleine Rolle spielt (da man dafür einen extra Cardreader benötigt). Die vmtl. meistgebrauchte Alternative dazu ist die sogenannte "Handysignatur", welche im Prinzip ein mTAN-Verfahren ist, d.h. man loggt sich auf der Webseite der Behörde per PIN und zusätzlichem TAN, der per SMS oder App an eine registrierte Mobilfunknummer geschickt wird, ein.
Facebook maintains a list of individuals that its security guards must "be on lookout" for that is comprised of users who've made threatening statements against the company on its social network as well as numerous former employees.The company's information security team is capable of tracking these individuals' whereabouts using the location data they provide through Facebook's apps and websites.
Ist das nicht süß, wie sie so tun, als würden sie nicht auch bei allen anderen Facebook-App-Installationen die Location tracken? Putzig! (Danke, Thorsten)
The former Apple lawyer who was supposed to keep employees from insider trading has been charged with insider trading
Sie hat einen eigenen Pass und könnte möglicherweise ohne deine Erlaubnis ausreisen?
Kein Problem! Da gibt es eine App für! Android und Apple!
Das geht soweit, dass sie einen Alarm erhalten, wenn ihre Frauen mit Hilfe ihres Passes die Grenze passieren oder ein Flugzeug betreten wollen. Sie sind dann sogar dazu in der Lage, dieses zu verhindern.o_O
Wir können jetzt viel über die App meckern, aber das ist m.W. Rechtslage in Saudi Arabien. Dass die damit durchkommen finde ich echt erschütternd.
Update: Leserbrief dazu:
das geht weiter.. vor 2 Jahren war ich in Abu Dhabi zu Besuch bei meinem Bruder, als wir am Wochenende in den Oman gefahren sind bekam er bei der Grenzüberschreitung mehrere SMS von den Behörden, dass seine Frau (auch europäisch) soeben das Land verlassen habe, wir waren alle erst irritiert, dann schockiert... Also, in Abu Dhabi ist das eine Gratis-Dienstleistung der Behörden, ohne Anmeldung, selbst für Expats!
Denkt euch da mal Apple raus. Das ist genau, was passieren muss. Aber im Web, nicht in Apples Walled Garden. Soweit kommt es ja wohl noch, das Apples Prüderie dann zu inhaltlicher Zensur von Nachrichtenquellen führt.
Der Lacher ist, dass Apple ja nicht doof ist. Und nicht blind. Die sehen genau, dass die Zeitungsverleger alle so gut wie tot sind. Und verlangen daher für ihre 10-Dollar-im-Monat-Flatrate saftige 50% der Abozahlungen für sich. Apple sagt mit anderen Worten: Wir glauben nicht, dass ihr Vollpfosten es hinkriegt, aus eigener Kraft einen Abodienst zu bauen, der euch mehr als 5 Dollar pro Monat pro User bringt, weil ihr zu blöde seid, eure lächerlichen Konkurrenzkämpfe zu beenden. Daher müssen wir euch gar nicht mehr als 5 Dollar pro Monat bieten. Das ist besser als alle anderen Optionen für euch.
Und DAS, meine Damen und Herren, ist mal eine saftige Ohrfeige für die Verleger. Verdient, wenn ihr mich fragt. Und ich teile Apples Einschätzung an der Stelle auch, dass die Verleger zu blöde sind, sowas mal eben selbst zu stemmen.
Tja. Good riddance dann, liebe Verleger.
Update: Ein Detail noch, falls ihr das nicht selber bemerkt habt. Die Verleger regen sich über Apples 50% auf. Nicht über das $10. D.h. mit einer $10-Flatrate könnten die prinzipiell leben, sie gönnen Apple nur die 50% nicht.
Ich habe von Anfang an vor Bug-Bounty-Programmen gewarnt und auch nie an welchen teilgenommen. Das hat mehrere Gründe:
Mein Ratschlag ist daher: Der Gesetzgeber sollte sofort den Handel mit Sicherheitslücken unter Strafe stellen, und zwar unter empfindliche Strafe, und ebenso das Ausliefern von Produkten mit Sicherheitslücken oder das Einstellen von Support nach dem Verkauf von unsicheren Produkten. Wer unsichere Produkte verkauft, der sollte dafür haften, und zwar lebenslang. Da darf man sich nicht mit "ist end of life" rausmogeln dürfen. Dann hättet ihr es halt nicht verkaufen dürfen, wenn es so Kacke ist, dass es ohne euren Support nicht sicher betrieben werden kann!
Nun, … guckt doch mal in den Wirtschaftsteil.
Many of those [companies] that filed reports with CDP said they believe climate change can bolster demand for their products.
Abwegig? Stellt euch mal vor, ihr seid ein Pharmaunternehmen. Wie … Merck z.B.:“As the climate changes, there will be expanded markets for products for tropical and weather related diseases including waterborne illness,” wrote Merck & Co.
Oder stellt euch das mal aus Sicht von Apple vor!“As people begin to experience severe weather events with greater frequency, we expect an increasing need for confidence and preparedness in the arena of personal safety and the well-being of loved ones,’’ the company wrote. Its mobile devices “can serve as a flashlight or a siren; they can provide first aid instructions; they can act as a radio; and they can be charged for many days via car batteries or even hand cranks.’’
Kapitalismus, Fuck Yeah!Und so geht das weiter. Wells Fargo freut sich auf die Kredite, die die Menschen aufnehmen müssen werden, denen das Haus bei einer Katastrophe zerstört wurde. Home Depot malt sich aus, dass die Leute ja für die Reparaturen Materialien kaufen müssen. Und Google denkt sich, dass die Werbeeinnanhmen sinken könnten, aber immerhin werden mehr Leute Google Earth benutzen. Um sich ein Bild zu machen, wie schlimm es ist.
“If customers value Google Earth Engine as a tool to examine the physical changes to the Earth’s natural resources and climate, this could result in increased customer loyalty or brand value,” Google wrote. “This opportunity driver could have a positive impact on our brands.”
Und, klar, was ist in einem Weltuntergangsszenario wichtiger als der Wert der Marke?
Und wisst ihr was? Facebook hat die Leute wenigstens dafür bezahlt, dass sie ihnen alle ihre Daten geben. Im VPN-Markt sind die Preise dermaßen implodiert, dass man glaube ich davon ausgehen kann, dass auch die meisten VPN-Anbieter die Daten ihrer Kunden weiterverkaufen. (Kontext)
Das klingt erstmal plausibel. Und jetzt bröselt bei Facebook angeblich die Infrastruktur weg. (Danke, Ralf)
Falls sich jetzt jemand denkt: Haha, ich nehm Android, betrifft mich nicht: Die Onavo-App ist auf Android gar nicht erst aus dem Play Store geschmissen worden.
Update: Oh gucke mal, das ging ja fix: Facebook will shut down its controversial market research app for iOS.
you can call somebody via FaceTime and listen to their phone’s microphone regardless of whether the person you’re calling picks up.
Das passiert wohl, wenn man während des Verbindungsaufbau auf Konferenz-Modus umschaltet.Klingt wie ein feuchter Traum der NSA, nicht wahr?
Google teilte mit, das Unternehmen wolle nach einer ausführlichen Prüfung des Beschlusses über sein weiteres Vorgehen in dem Fall entscheiden. Google sei entschlossen, die hohen Erwartungen der Nutzer an Transparenz und Kontrolle über die Daten zu erfüllen.Hahaha, ja nee, klar. Transparenz und den Usern Kontrolle über ihre Daten geben war ja schon immer Hauptziel von Google! Man gucke sich nur mal Android an, wie toll man da alles sehen und abschalten kann!
Das lässt schon echt tief blicken, wenn Google von Apple in Sachen Datenschutz überholt wird. Von Apple!!
Jedenfalls kriegen die regelmäßig Besuch von zornigen Menschen, oft in Begleitung von der Polizei, die bei ihnen geklaute Telefone oder entführte Kinder vermuten — und zwar im Brustton der Überzeugung, weil ihr professioneller Gerätepark das zweifelsfrei zugeordnet hat. (Kontext)
Wie ich schon sagte. Anonym bleiben ist deutlich schwieriger als man als Laie so annehmen würde. Genau wie Anonymisierung von Datenhalden, das ist auch viel schwieriger als man so denken würde.
Update: Ein Leser sagt, Wire erfordert auch keine Telefonnummer. Matrix auch nicht.
Das ist wie Krypto-Währungen. HODL!!1!
Apple just lost a Facebook: Market value decline since peak exceeds value of nearly any US company
Zum Vergleich: Die Deutsche Bank hat eine Marktkapitalisierung von 15 Milliarden Euro. Die 452 Milliarden Dollar, die Apple verloren hat, entsprechen 400 Milliarden Euro. Apple hat also den 26-fachen Wert der Deutschen Bank verloren.Die Größenordnungen, in denen man sich da gleich befindet, sind atemberaubend.
the unforeseen “magnitude” of the economic slowdown in China
Der Markt reagierte wie üblich: Mit Panik.Trading in the company’s shares was temporarily halted
Und zwar nicht nur bei Apple!Apple’s shock downgrade has sent shares in European-listed companies with exposure to China – from Burberry and the Gucci owner, Kering, to chipmakers and miners – tumbling over fears the slowdown that has hit the Silicon Valley giant is set to spread.
Aber ist nicht alles negativ:Hintergrund scheint der Angriff des chinesischen Konzerns Alibaba auf den globalen Onlinehandel zu sein.Die Russen k… äh Die Chinesen kommen!!1! Und wollen Zalando kaufen (gerüchtet es)!1!!
Ich fand heute auffällig, dass bis auf die Einführungsveranstaltung die ersten drei Vorträge der große Saal 1 praktisch leer war. Die Seitentribünen praktisch komplett frei, und die hintere Hälfte vom Parkett auch. Nur vorne so halb gefüllt. Das habe ich auch schon ganz anders überlegt. Da hat wohl die Congress-Orga ein paar Talks eher nach gefühlter Wichtigkeit als nach tatsächlicher Nachfrage gelegt. Von den Sälen D und E hörte ich, sie seien krass überfüllt gewesen.
Ich blieb wie gesagt in Saal 1 für die ersten drei. Der erste war bei Saal 1, da bin ich ein bisschen traurig, dass ich den TLS-Talk verpasst habe, und die Neutrinos. Gucke ich mir dann als Video an.
Der zweite Talk war für mich Election Security von Alex Halderman. Den fand ich ehrlich gesagt eher enttäuschend. Nicht nur gab es im Wesentlichen nichts Neues zu berichten seit seinem letzten Vortrag vor zwei Jahren, auch seine Probleme und Lösungen fühlten sich alle sehr nach Solutionism an ("dafür machen wir eine App"). Bei den Amis wird nicht am Sonntag gewählt, sondern in der Woche. Wer wählen gehen will, muss einen Tag unbezahlt Urlaub nehmen. Und Wahlbetrug in den USA funktioniert weniger über Wahlcomputer als über Gerrymandering und Caging Lists (Greg Palast publiziert da seit Jahren drüber). Diese Aspekte fehlten in dem Talk aber völlig, und es stellte sich ein bisschen der Eindruck ein, wenn man bloß die Wahlcomputer sicher macht und Paper Trail hat, dann ist wieder alles gut. Das ist halt nicht so. Mich stört auch ein bisschen, dass Alex da ziemlich unkritisch mit der Attribuierung der angeblichen Cyberangriffe auf die fiesen Russen hantierte, und das erst auf Nachfrage aus dem Publikum relativierte. Da hätte man mehr draus machen können.
Der Vortrag "Taming the Chaos" hat mich auch nicht überzeugt. Das war einer aus der Cambridge-Arbeitsgruppe, die da an durchaus interessanten Ideen herumforschen, wobei es viel um Theorem Prover und formale Verifikation geht. In diesem Talk ging es um die Definition einer neuen Hardware-Architektur auf MIPS-Basis, bei dem C-Memory-Probleme gelöst werden sollen, indem Pointer die Basis, die Länge und einen Index (und Read/Write vs Read/Only) speichern. Geschickt komprimiert passt das in 128 Bit sagen sie (aber auf einer 64-bit Plattform, da hab ich ja Zweifel). Dafür haben sie dann eine clang-Toolchain angepasst und damit Webkit übersetzt. Das sind alles großartige Leistungen, die ich hier nicht kleinreden will, aber das Ergebnis ist: Alles wird besser, und wir müssen nur die Software neu kompilieren (und teilweise manuell nachkorrigieren) und wir brauchen neue Hardware. Leute kriegen jetzt schon ihre Software nicht auch nur mit der neuen Compilerversion des selben Herstellers oder mit besseren Security-Flags übersetzt. Und Compartmentalisation von Software wurde hier auch mal eben angenommen, als ob das nicht auch ein Problemfeld wäre. Akademisch interessant, keine Frage, aber hat mich nicht überzeugt.
The Fuzhou court ruled that Apple infringed two of Qualcomm’s patents and granted a requested injunction against the sale of the Apple products that are currently in the market ranging from the iPhone 6S to the iPhone X. This means that Apple is essentially banned from selling all infringing iPhones in China.
Stattdessen seien neutralere Begriffe wie "Zustand" und "Situation" zu verwenden sowie Beschreibungen wie "reagiert nicht". Daraus könnten "absurdistische Dialoge" entstehen, heißt es weiter, wenn der Mitarbeiter einem Kunden eigentlich nicht mehr helfen kann – dies aber nicht sagen darf.Ich habe mich ja schon vor vielen Jahren darüber amüsiert, wie PowerPC die völlig offensichtlich überlege Plattform war, bis hin zu dem Tag, an dem Apple auf Intel umstiegt. Ab dann war PowerPC ja schon immer völlig offensichtlich eine Sackgasse gewesen. Und für die Idioten, die noch ein PowerPC-basiertes Gerät zuhause hatten, hatte man nur mitleidiges Kopfschütteln übrig.
Es gibt in Orwells 1984 eine Szene, wo in der Mitte der Hate Week der politische Feind wechselt, quasi in der Mitte einer Rede. Eben noch waren wir schon immer im Krieg mit unserem Erbfeind Eurasien, als das spontan umschlägt und Eurasien ist unser Verbündeter im Kampf gegen unseren Erbfeind Ostasien.
So läuft das bei Apple auch seit Jahren. Nein, das ist kein Nachteil, das ist ein Vorteil! Dann wird es gefixt und plötzlich ist es schon immer offensichtlich ein Vorteil gewesen.
Übrigens: Trotz Fehlermeldung kannst du die banking App wie gewohnt nutzen.Gut, dass wir das mal geklärt haben!1!!
Zertifikatswarnungen kann man natürlich nicht einfach wegklicken oder anderweitig ignorieren. Die sind nicht nur ein elementares Sicherheitsfeature. Die sind DAS Sicherheitsfeature, dass zwischen dir und Internet-Scammern steht. (Danke, Jan)
Chile ist mittlerweile eines der größten Haselnuss-Anbaugebiete der Welt. Industriell werden die Nüsse produziert. Und, das zeigt Matthias Ebert (ARD-Studio Rio de Janeiro), es werden Pestizide eingesetzt, die in der EU längst verboten sind. Trotzdem kommen die Haselnüsse tonnenweise nach Europa. In Form von Nutella, denn Hauptabnehmer ist die Firma Ferrero.Na dann: Guten Appetit!
Vampire lehren Gründern BuchhaltungApp-Game "Count FEFE" soll mangelnden Kenntnissen bei Start-up-Inhabern entgegenwirken
Ich bin ja fasziniert, dass wenn jemand von Project Zero Apple-Ingenieure fragt, ob sie mal kurz was ausprobieren mögen, dass die dann nicht alle NEIN!!!1! brüllen und wegrennen. Die haben echt immer noch Reste von Steve Jobs Reality Distortion Field am Laufen und halten sich für kompetente Programmierer. Unglaublich.
Update: Mir sei noch der Hinweis erlaubt, dass sie das mit RTP-Fuzzing gefunden haben. Erstmal ist es ausgesprochen peinlich, wenn überhaupt ein Bug mit Fuzzing gefunden wird. Peinlich, aber leider nicht unüblich in der Industrie, so beschissen ist ihr Zustand. Aber dass Apple einen mit Fuzzing findbaren Bug nicht selber gefunden hat, das ist echt unakzeptabel und unverzeihlich. Wenn Apple-Kunden mehr als eine Hirnzelle hätten, wäre Apple echt in Schwierigkeiten.
N26 is Europe’s first Mobile Bank with a full European banking license. We redesigned the banking experience to be simple, fast and contemporary. Founded in 2013 by Valentin Stalf and Maximilian Tayenthal, N26 has more than 500 employees and more than 1,5 million customers in 18 countries. N26 has raised more than $215 million from renowned investors including Allianz X, Tencent Holdings Limited, Li Ka-Shing’s Horizons Ventures, Peter Thiel’s Valar Ventures, members of the Zalando management board and Earlybird Venture Capital.Once here you will
- Use penetration testing skills and methodology to strengthen our internal and external applications and services.
- Use software engineering skills to build services for security related topics such as: access management, continuous security testing, intrusion detection, fraud and abuse detection.
- Use systems engineering skills to architect and build out solutions and frameworks that address current and future threats.
- Use your knowledge of security architecture to help software engineers build secure products and services.
- Perform application security design, threat modeling and code reviews.
- Improve engineering standards, tooling, and processes.
- Delve into large datasets to find significant features, anomalies and patterns.
- Enable other engineering teams to find flaws before they are introduced into production.
- Perform reactive incident response when a security event occurs.
- Perform proactive research to detect new attack vectors.
- Educate technical and non-technical staff through our security awareness training program.
- Improve our customer education program.
Also ich empfehle ja meinen Kunden immer, lieber erst Security und dann Produkt zu machen als umgekehrt. Dann hat man eine Chance. Sorum wird das erfahrungsgemäß ein ewiges hinterherlaufen und nie ankommen, wie bei Apple und Microsoft. Der Einsender hat noch einen Screenshot mitgeschickt.Inhaltlich klingt das alles sehr nach "das ist SO verkackt, dass wir jetzt alles wegschmeißen und nochmal ordentlich neu machen wollen". Sie suchen jemanden, der weiß, wie man Architektur ordentlich macht. Das ist nichts, was man nachträglich ändern kann.
Das ergab für mich keinen Sinn, und ich bin erkältet schlafen gegangen. Hatte dann in einem Fiebertraum eine plötzliche Eingebung. Was, wenn wir hier bloß die Prinzipien des Poststrukturalismus auf Projektmanagement übertragen sehen? Genau wie man heute leugnet, dass man sich für gute berufliche Karrierechancen mit der Materie auskennen sollte, und postuliert, dass jeder Misserfolg durch externe Unterdrückung verursacht wurde, so macht man das jetzt auch analog für Projekte.
Man leugnet, dass die Produktqualität eine Rolle spielt, "das können ja die Ingenieure schon richten". Wichtig sind UX, Farbwahl fürs Branding, die Diversity-bejahenden Stock Photos. Klar kann die App nichts, aber schau wie schön langsam sie ist!
Nun kann man vermuten, dass das schlicht alles daran liegt, dass der UX-Wahn die Kohle vom Engineering abzieht. Das glaube ich aber nicht, wenn am Ende noch Geld für Krisen-PR und fünf weitere Finanzierungsrunden auf einem Haufen UX-Bullshit auf Treibsand-Fundament bzw. ganz ohne Fundament da ist.
Ich glaube daher, hier wird systematisch Realitäts-Leugnung betrieben. Und ich vermute ähnliche Beweggründe / Mechanismen wie beim Poststrukturalismus.
Gut, bei Startups kommt noch eine andere Familienpackung Bullshit oben drauf. Die verplempern ihre Kohle ja auch lieber in Growth-Hacking, Suchmaschinenoptimierung und A/B-Testing und "User Stories" (was früher Use Cases hieß und einen Sinn hatte). Und man zahlt für die ganzen Cloud-Services, das war früher auch nicht. Klar, da bleibt dann irgendwann kein Geld mehr für das eigentliche Produkt übrig.
Jedenfalls, zusammengefasst. Wo man früher leugnete, dass man Knowhow für eine Tech-Karriere braucht, leugnet man heute, dass es ein Produkt für Erfolg am Markt braucht, und bauen kaputte Mockups.
Informationen darüber, wer wann mit welchem Arzt Gesundheitsdaten geteilt hatte, lagen ungeschützt für jeden lesbar im Netz. Versicherte konnten durch die Informations-Yecks anhand von Name, Foto, E-Mailadresse, Geburtsdatum und Versichertennummer identifiziert werden. Auch Name, Adresse und Fachrichtung des kontaktierten Arztes konnten ausgelesen werden. Unbefugte konnten über das Internet alle Dokumente, die an einen Arzt gesendet werden sollten, abfangen und entschlüsseln. Darüber hinaus fand modzero zahlreiche konzeptionelle Schwächen im Rahmen der Nutzung der RSA-Verschlüsselung und des Schlüssel-Managements. So konnten beispielsweise über trivial ausnutzbare Fehler in der Server-Anwendung die geheimen Schlüssel der Ärzte ausgelesen werden.Wow. Das ist echt Totalschaden.
Aber leider nicht so ungewöhnlich für die Startup-Kultur im Augenblick. Ich hab das ja schon ein paar Mal in Vorträgen thematisiert, wie da erstmal gewaltig auf den Busch geklopft wird, und man plant dann, wenn man am Markt Erfolg hat, das später nach ein-zwei Investitionsrunden oder dem IPO nochmal richtig und ordentlich zu machen. :-(
Update: Der Gründer von Vivy war vorher CTO bei N26. Und die hatten ja auch schon ihren Auftritt beim CCC-Congress m(
Ach komm, Fefe, Sicherheit ist nicht so wichtig bei Banking und Gesundheitsanwendungen! Da liefern wir einen Patch nach!1!!
Update: Falls das jemand übersehen hatte: Vivy ist natürlich vom TÜV geprüft. Diesmal Rheinland, nicht Süd. Da kann also gar nichts schiefgehen!!1!
Akt 2: Facebooks Ex-CISO Alex Stamos kackt auf Twitter kräftig zurück :-)
Also ich finde ja, wenn sich Firmen wie Apple und Facebook gegenseitig öffentlich ihre Datenschutzvergehen vorhalten, dann kann es nur Gewinner geben!
Geht in die Cloud, sagten sie! Klar ist das langsamer und unter jemand anderes Kontrolle, aber dafür ist es super verfügbar!1!!
JA SUPER, DOCKER! Boah mich regen ja immer diese Silicon-Valley-Idioten auf, die zuhause 100 mbps oder so haben und dann ihre Services alle nach dem Motto "Scheiß auf die Datenmenge, weniger als 16 mbps wird schon keiner haben" entwerfen. Einmal fucking Android Updates und das durchschnittliche LTE-Monatslimit ist aufgebraucht.
Aber darum wollte ich euch nicht schreiben. Ich wollte euch schreiben, um euch von Herzen und im Namen aller Mitreisender zu sagen: SHUT THE FUCK UP! Ihr habt ein ICE-Portal, das zeigt alles an. Ihr habt Personal, das rumrennt, und den Leuten Anschlusszüge raussucht. Ihr habt eine Navigator-App, die den Leuten Anschlüsse raussucht. Ich sitze gerade in einem der neuen ICEs mit von der Decke hängenden Anzeigen mit den Anschlusszügen. Oh und auf jedem fucking Sitz liegt ein Zugplan mit den Stopps und Verbindungen aus.
Ich will auch nicht vom Zugführer per Lautsprecher begrüßt werden nach jedem Halt. Ich brauche auch keine Durchsage, dass wir gerade stehengeblieben sind. Das sehe ich.
Ich sitze hier im Ruhebereich und ALLE halten sich daran. NUR. IHR. NICHT.
Daher, mit freundlichen Grüßen, haltet bitte die Fresse. Ich versuche mich hier zu konzentrieren. Und ich brauche alle Konzentration, um meinen Blutdruck unten zu halten angesichts eurer beschissenen Internetqualität schon wieder.
Unusual communications from a Supermicro server and a subsequent physical inspection revealed an implant built into the server’s Ethernet connector, a component that's used to attach network cables to the computer, Appleboum said.
New hotness: Micro-Apps. Weil dann, äh, *raschel* *knister* dann kümmert sich jedes Team um seine eigenen Micro-Apps und *umblätter* … mehr steht hier nicht.
Na DAS wird bestimmt GROSSARTIG! Wenn jedes Team seinen eigenen Scheiß deployed und die müssen dann miteinander Nachrichten austauschen. Was kann da schon schiefgehen. Die sollen auch noch alle ihre eigenen Datenmodelle pflegen. Hey, wenn es eine funktionierende, skalierende Lösung für reibungsarme Zusammenarbeit gibt, dann ja wohl "jeder macht seinen eigenen Scheiß"!1!!
Oh Mann ey. Die müssen uns wohl für echt blöde halten. Die "Lösungen" aus den Hipster-Firmen ist jetzt seit Jahren "wir brauchen mehr Agilität". Funktioniert nicht? Dann war es noch nicht genug Agilität!!1! Und raus kommen dann so super-agile schlanke "Lösungen" wir die Facebook-App. Oh warte, nein, nicht die von Facebook. Die von Twitter! Oh, nee, warte, sagte ich Twitter? Ist auch zu bloatig. Ich meine Snapchat!!1!
Das ist bisher ein einziges Horrorkabinett, was aus diesem ganzen Agilitätsgepfusche rausgekommen ist. Ein Sediment aus unzureichenden Quick Hacks, die dann aufgegeben wurden, als sie "gut genug" waren. Und dann Workarounds auf der Ebene darüber, die um die Warzen der Schnellschüsse darunter herumnavigieren. Und am Ende braucht es mindestens täglich Updates und alle wundern sich, wieso 1 GB Trafficvolumen auf dem Handy so schnell alle ist.
Als ich meine erste Linux-Distribution gezogen habe, musste ich über einen Tag lang an den 12 oder so Disketten-Images downloaden. Heute hat eine Spiegel-Online-Homepage schon mehr Daten als damals mein Linux-Kernel.
Und was passiert? Wir müssen noch agiler werden!!1! Ja super. Rumhampeln war schon immer die Gewinner-Strategie im Leben.
Und da war jetzt ein Chip verbaut, der da nicht hin gehörte. Das fand ein Dienstleister raus, den Amazon mit Due Diligence beauftragt hatte, weil sie eine Firma namens Elemental kaufen wollten, die Video-Kompression als Appliance anbot.
Amazon reported the discovery to U.S. authorities, sending a shudder through the intelligence community. Elemental’s servers could be found in Department of Defense data centers, the CIA’s drone operations, and the onboard networks of Navy warships. And Elemental was just one of hundreds of Supermicro customers.
Und das war anscheinend keine kleine Operation, die die Chinesen da gefahren haben.The chips had been inserted during the manufacturing process, two officials say, by operatives from a unit of the People’s Liberation Army.
Leider sagen sie nicht, welche Firma da Due Diligence gemacht und die Chips gefunden hat. Das würde mich ja mal interessieren, WTF das für ein Laden ist, und was da für Leute sitzen, dass die sowas erkennen können. Nicht dass das am Ende eine Legende für eine NSA-Operation war.Wisst ihr noch, wie alle über Dragos gelacht haben, als der behauptete, von Geheimdiensten mit airgap-bridging Hardware-Trojanern infiziert worden zu sein?
Update: Oh Mann, dabei ist die Lösung so einfach! (Kontext)
Update: Bloomberg hat von allen Betroffenen umfangreiche Dementis erhalten. Die sind inhaltlich ziemlich unwieselig und vollumfänglich. Wirkt ein bisschen, als hätte Bloomberg sich das komplett aus dem Arsch gezogen.
"Wir sind verblüfft, es ist offenbar noch problematischer, als angenommen. Dass wir innerhalb von drei Tagen über 1700 Meldungen bekommen, hat uns mehr als erstaunt", so der wirtschaftspolitische Sprecher der CDU-Landtagsfraktion von Sachsen-Anhalt, Ulrich Thomas. Nun seien die Netzbetreiber gefordert, die Empfangsqualität zu verbessern.Wie bitte was? Jetzt sind die Netzbetreiber gefordert? DAS IST ALLES?!? Die waren schon immer gefordert und haben aus dem überfliegenden Firmenjet auf eure Bevölkerung herab gepinkelt. Und mehr als "hmm die sollten da wohl mal was machen" habt ihr nicht?!?
Wer wählt eigentlich immer diese personifizierte Inkompetenz namens CDU?
Also ich zum ersten Mal in einen seiner Vorträge reingeguckt habe, dachte ich: WTF? Dann: What the I don't even!? Dann: OMGWTF!?!? Und schließlich: Es muss wunderbar sein, ich verstehe kein Wort!
Diese Erfahrung hat sich seitdem jedes Mal wiederholt, wenn ich ihm begegnet bin. Als er dann zufällig in der Nähe war (eigentlich arbeitet er am MIT gerade), haben wir ihn uns gekrallt und schnell eine Sendung aufgenommen, die hoffentlich auch alle Ansprüche erfüllt, die ihr so an eine Sendung mit der Nummer 42 gestellt haben könntet.
Weil unsere Audioingenieur Dr. Gerd Eist gerade anderweitig ausgelastet ist, hat Frank das wieder durch ein Shellskript ersetzt, das sich als recht widerspenstig herausgestellt hat. Von der unfassbaren Wartezeit erklärt das aber gerade mal ein paar Wochen. Wir sind Schuld, wir wissen es, und es tut uns furchtbar leid. Vielleicht sollten wir mal unsere Berufe aufgeben und nur noch Podcasts machen.
Anyway.
Bei der Gelegenheit mal eine kleine Umfrage. Wir hatten noch eine andere Sendung aufgenommen, zu einem Thema, das mir persönlich sehr wichtig war, nämlich Jordan Peterson und der aufstrebende Einfluss des Konservatismus. Allerdings hat ein Freund sich recht kritisch geäußert, der reingehört hat, weil wir weder von Bibelexegese noch von der Theorie des Konservatismus wirklich Ahnung hatten, und er fand, die Sendung entspräche daher nicht unseren üblichen Qualitätsansprüchen. Wollt ihr die trotzdem hören? Auch auf die Gefahr hin, dass die nicht so gut ist? Wir könnten die ja auf ins Darknet leaken oder so, und dann sagen, Franks Apple-Cloud-Accounts seien von den Nordkoreanern penetriert worden. Dann würde niemand sein Gesicht verlieren. Aber bevor ihr darüber nachdenkt, hört euch erstmal die Sendung 42 an. Ich finde, sie ist ein ganz großer Wurf geworden. Ich habe nicht mal die Hälfte verstanden, und ich war der Moderator!
Ich weiss ja, dass Du Java nicht so sehr magst (vor allem das verteilte Echtzeit Java ;-), aber Java und auch die LTS Releases sind jetzt auch nicht so gammelig wie Du tust. Aber das ist Ansichtssache und darüber lässt sich vornehmlich streiten. Wo ich Dir allerdings widersprechen möchte, ist Deine Schlußfolgerung: "Die Industrie wird auf Long Term Support setzen". Nein, die Industrie wird sich von Oracle Java abwenden, wenn die jeweilige Firma sich nicht aus anderen Gründen Oracle verschrieben hat (Operating Systems, Middleware, Database, Business Applications, …).Hui!Ich arbeite an der (Oracle) Java Migrationsstrategie für eine große europäische Softwarefirma. Unsere Kunden (Furtune 500 Firmen) wollen besser heute als morgen weg von Oracle Java. Manche CIO's haben das schon in ihre IT Policies gegossen: "Wenn eure Produkte bis Anfang 2019 noch Oracle Java brauchen, schmeissen wir sie aus unseren Datacentern raus". Die andere Kategorie Kunden (vor allem aus dem Finanzsektor) trauen den undurchsichtigen Buildprozessen nicht und bauen ihre eigene JRE/JDK Binaries direkt von den OpenJDK Sourcen. Ich bin nicht sehr zuversichtlich für das Oracle Java Geschäftsmodell.
Und die im Artikel erwähnten Alternativen zu Oracle Java basierend auf OpenJDK, z.B. Azul Systems (kommerzielle und kostenfreie OpenJDK Distributionen) und AdoptOpenJDK (kostenfrei, noch im Aufbau) sollten für die meisten genügen. Es gibt nur wenige Perdefüße: Oracle Java hat ein paar add-ons, die es in OpenJDK nicht gibt (font rendering, browser plugins, WebStart, JavaFX). Aber Für die meisten Serveranwendungen sollten andere OpenJDK Distributionen gute Alternativen sein. Wenn man aber Oracle Java für Enduser UI's braucht, dann sollte man einen dicken Geldbeutel haben, um die Rechnung an Oracle zu bezahlen.
The CTO stressed that the decision was made not based on technical issues that the company faced, but on a careful consideration of business opportunities the company had with its 7LP platform as well as financial concerns.
Also doch technische Probleme, war zu teuer und funktioniert nicht so gut wie erwartet, oder so. Globalfoundries ist die ausgegliederte Fertigungsabteilung von AMD, und AMD hat neulich angesagt, dass sie ihr 7nm bei TSMC fertigen wollen.Für mich klingt das jedenfalls, als wäre Globalfoundries so gut wie aus dem Rennen. Schade eigentlich. Ihr erinnert euch sicher noch, wie schlecht das für den PC-Markt war, als nur Intel konkurrenzfähige CPUs liefern konnte. Neben TSMC bleiben noch Samsung und IBM übrig, aber IBM ist m.W. weit abgeschlagen. Das ist nicht gut, wenn die halbe Welt von TSMC abhängt. Apple sitzt auf so viel Cash, die könnten den Laden wahrscheinlich einfach mal kaufen, um ihren Nachschub zu sichern.
Intel fertigt noch selber und kann wohl auch für andere fertigen, aber warum würden sie ihrer Konkurrenz da günstige Preise diktieren? Und wenn sich jetzt rausstellt, dass TSCM den 7nm-Prozess doch nicht ordentlich hinkriegt, oder mit zu viel Ausschuss, dann beißt sich Globalfoundries wahrscheinlich in den Arsch.
Update: Leserbrief:
IBM haben ihre Foundrysparte plus R&D 2014 an Globalfoundries verkauft, und 7nm wäre das erste Resultat davon gewesen. IBM macht also selber schon kein Foundryzeugs mehr, daher ist Globalfoundries stopp von 7nm umso verblüffender. AMD scheint aber gut vorbereitet zu sein. Deren Zeitplan für Zen 1/2/3 schien schon immer sehr optimistisch für Globalfoundries zu sein. Jetzt stell sich praktisch raus, dass der Teil für Zen 2/3 wohl von Anfang an an TSMCs Zeitplan angelehnt war.
Oh das hatte ich gar nicht mitgekriegt mit dem Verkauf. Das ist ja eine noch krassere Marktkonzentration dann.
Wir haben ja in Deutschland seit dem 2. Weltkrieg das Modell, dass freie Meinungsäußerung garantiert wird, aber du darfst nicht den Holocaust leugnen oder Volksverhetzung betreiben. Die USA haben hingegen traditionell das Modell, dass jeder alles sagen darf. Gut, nicht ganz alles. Die Rechtssysteme ziehen gemeinsame Grenzen bei Beleidigung oder sowas wie falschem Hilferuf.
Aber traditionell durfte man in den USA den Holocaust leugnen, "die Neger" als Untermenschen bezeichnen und ähnliches. Und das Argument dafür war, dass das ja der Gesellschaft ermöglicht, sich damit auseinanderzusetzen und das zu widerlegen und man sieht ja, dass das funktioniert, weil die USA weniger Nazis als wir haben.
Aus meiner Sicht hat sich das jetzt unter Trump verschoben. Nicht nur haben die USA jetzt signifikant viele Rechtsradikale, sie fangen jetzt auch mit Hate-Speech-Sachen an. Wobei das wohlgemerkt einzelne Firmen sind, nicht der Staat, der hier "Plattformen entzieht", das ist also keine staatliche Zensur.
Aber die Debatte müsste man an der Stelle eigentlich nochmal neu führen, findet ihr nicht? Sind wir uns jetzt einig, dass Free Speech doch nicht gegen Extremismus hilft?
Ist Zensur doch das bessere System? Warum?
Their new line, Tommy Jeans Xplore, will contain smart-chip technology that will track how often customers wear the clothes. Tommy Jeans will offer rewards and experiences, including gig tickets and gift certificates, to people that wear their clothes often enough […]Tommy Jeans says that by tracking users’ clothes-wearing habits they will be creating a “micro-community of brand ambassadors”.
Und wenn du dann mit deinen Tommy-Hilfiger-Kleidern Pokemon-go-mäßig an bestimmten Stellen vorbeiläufst, die die App dir zeigt, kriegst du "Bonus-Credits".Ich für meinen Teil habe schon vor vielen Jahren entschieden, Produkte zu vermeiden, die mich zu einem Werbeträger machen. Ich boykottiere Kleidung mit Logos drauf, und ich kaufe auch keine Laptops oder Smartphones mit Logo drauf. Geht mal kacken, ihr ganzen Zombies. (Danke, Magnus)
Zudem arbeiten wir künftig mit Cloudflare zusammen, um eine Web Application Firewall (WAF) auf unserer Webseite und im Kundenmenü einzusetzen. Diese dient als Filter zwischen unseren Servern und potenziell bösartigem Datenverkehr aus dem Internet. Sie schützt vor betrügerischen Aktivitäten wie SQL-Injections und Cross-Site-Scripting und wird in den nächsten Tagen aktiv.Ich bin kein Kunde von denen und kann daher nicht beurteilen, dass das wirklich so von Domainfactory geschrieben wurde.
Aber erstens: Das ist wie "wir haben einen Virenscanner installiert und sind jetzt sicher". Bullshit.
Zweitens: Der Traffic zwischen dem Kunden und der Firma geht jetzt über eine Drittfirma mit Sitz im Ausland. Das fände ich als Kunde unakzeptabel. Ich finde es auch unakzeptabel, wenn Firmen ihre Mail über Drittserver von Anbietern im Ausland machen. Möglicherweise vertrete ich da eine Mindermeinung.
Drittens: Wenn jemand seine Sicherheitsprobleme nicht durch "wir machen die Software sicherer" sondern durch "wir schalten Schlangenöl davor" löst, dann liegt die Vermutung nahe, dass die Kompetenz fehlte, das Kernproblem zu lösen. Meiner Meinung nach ist das eine Bankrotterklärung. Wieso habt ihr die Software dann überhaupt eingesetzt, wenn ihr die nicht absichern könnt?!
Nun ist der Betrieb sicherer Systeme für einen Hostinganbieter Teil der Kernkompetenz. Wenn die also an der Stelle schon eine solche Bankrotterklärung verkünden, würde das mein Vertrauen in den Rest ihrer Kernkompetenzen deutlich schmälern.
Zu Cloudflare im Speziellen: Ich bin bisher nicht beeindruckt von denen. Die fallen vor allem durch Marketing-Getöse auf. Und durch Fehlermeldungen und Captchas vor irgendwelchen Webseiten, die sie angeblich "beschützen". Und diese "Fehlermeldungen" sind vor allem Cloudflare-Eigenwerbung. Ich hatte glaube ich sogar schon mal eine Cloudflare-Fehlermeldung als Aprilscherz. :)
Update: Über ein Dutzend Leser haben bestätigt, auch eine Mail mit diesem Textblock von Domainfactory gekriegt zu haben. Einer schrieb, er habe anlässlich der Sicherheitslücke letztens eine fristlose Kündigung ausgesprochen und sei damit (für ihn überraschend) anstandslos durchgekommen.
Staff at the clothing brand Feminist Apparel found out their CEO had admitted to sexual misconduct - and were fired within days of confronting him about it.
Und was hat der CEO zu seiner Verteidigung vorzubringen?He said the nine former employees were let go legally and that they did not share his views on "feminism or business".
"feminism or business", ja? Bei einer Firma namens "Feminist Apparel"? Leuchtet ein!1!!
Ich glaube, ich spreche für die Mehrheit im Lande, wenn ich sage: Ja, gerne!
Aber da sieht man mal, in was für katastrophalem Zustand die CSU intern sein muss. Nicht nur dass sie Seehofer überhaupt aufgestellt hatten, nein, wie sie jetzt reagieren:
Offenbar will CSU-Landesgruppenchef Alexander Dobrindt einen Rückzug Seehofers nicht akzeptieren. "Das ist eine Entscheidung, die ich so nicht akzeptieren kann", sagte er nach Angaben von Teilnehmern in der Sitzung der CSU-Spitze Dobrindt habe dafür lang anhaltenden Applaus erhalten.Deren Zustand ist dergestalt, dass sie Seehofer lieber behalten wollen als jemanden nachrücken zu lassen, der dann auf Bundesebene vielleicht einen Söder pullt.
Und nicht nur das: Im Asylstreit pullt die CSU einen Trump und macht einen Double Down.
Zuvor hatte der CSU-Vorstand mehr als sieben Stunden lang über die Konsequenzen der CSU im Asylstreit mit der CDU diskutiert. Dabei hatten Seehofer und seine Parteifreunde sich mehrheitlich gegen die Beschlüsse des EU-Gipfels und für einen nationalen Eingang ausgesprochen.Wer braucht schon die EU?! Die STIRN, nach den Forderungen, die Leute wie Seehofer und co innerhalb der EU in der Asylfrage an Italien und Griechenland hatten, jetzt sich selber nicht an EU-Recht gebunden zu fühlen!
Und an dieser Stelle bitte ich um eine Runde Applaus für die Helden von Netzpolitik.org dafür, dass sie das hier getan haben:
Seitdem gab es sieben Kleine Anfragen zum Thema im Bundestag. Die Regierung hat all diese Fragen nur oberflächlich beantwortet, vieles als Verschlusssache eingestuft und einige Antworten vollständig verweigert. Abgeordnete von Grünen und FDP haben deshalb bereits mit Klage gedroht.Fuck Yeah, Netzpolitik.org!Wir haben jetzt die sieben „nur für den Dienstgebrauch“ eingestuften Antwort-Teile erhalten und veröffentlichen diese wie gewohnt in Volltext.
Dank der DSGVO haben spanische Nutzer erfahren, dass die App ihrer Fußball-Liga übers Mikro nach nicht lizenzierten, öffentlichen Übertragungen fahndet.Was für eine Frechheit!
Und? Nach all der Terrorpanik in den letzten Tagen fragt ihr euch vielleicht, ob es schon die ersten Toten gibt.
Ja, gibt es. Die LA Times und alle anderen Publikationen von Tronc sind jetzt aus der EU nicht mehr abrufbar.
Aber hey, auch wenn die Datenschutzbehörden jetzt unter ihrer Last zusammenbrechen werden und keinerlei Verfahren lostreten können, weil sie unter einer Flut begraben werden, dann ist doch zumindest auf einen Verlass: Auf Max Schrems. Der nutzt die GDPR nicht nur gegen Facebook sondern endlich auch gegen Android!
Three complaints worth €3.9 billion were filed in the early hours of Friday morning against Facebook and two subsidiaries, WhatsApp and Instagram via data regulators in Austria, Belgium and Hamburg. Another complaint worth €3.7 billion was filed with French data protection authority France CNIL in the case of Google’s Android operating system.
Bei Facebook beklagt er sich natürlich darüber, dass die ihren Usern halt die Pistole auf die Brust setzen, friss unsere Datenerhebung oder du kannst deinen Account nicht mehr benutzen. Und das ist grob auch die Beschwerde gegen Android:In the case of Google’s Android operating system, the noyb complaint says users of a new phone with the Android operating system are bounced into the Google ecosystem.“There was no option to use the phone without consenting,” it adds, something the privacy group claims is a breach of GDPR informed consent rules.
Das habe ich auch so verstanden. Freut mich sehr, wenn da gleich mal jemand Butter bei die Fische macht.Primärquelle: noyb.eu.
Oh und: Trump benutzt natürlich Apple-Geräte. Wie alle Leute, die sich für schlau und progressiv halten, aber keines davon sind.
For the second time in less than a week, users of the popular end-to-end encrypted Signal messaging app have to update their desktop applications once again to patch another severe code injection vulnerability.
Primärquelle hier.ACH KOMM! Das patchen wir, dann ist wieder gut! PGP hingegen ist voll tot und so!1!!
Update: Oder noch geiler: Bruce Schneier meint neulich so:
If you need to communicate securely, use Signal. If having Signal on your phone will arouse suspicion, use WhatsApp.
JA KLAR! Whatsapp!!1! Das will man internationalen Dissidenten doch empfehlen! Pumpt eure Daten bei Facebook vorbei! Vertraut Facebook, die würden nie eure Daten missbrauchen!1!!
Er begründet das mit der Teilnahme von LLVM bei einem Outreach-Programm namens Outreachly. Ich kenne da jetzt die Details nicht, aber der Gründer des LLVM-Projekts heißt Chris Lattner, und die Frau, die diese Mitgliedschaft anscheinend bei LLVM begleitet, heißt Tanya Lattner. Der dort verlinkte CFP sagt allerdings, daraus sei nichts geworden. Ist mir also gerade nicht klar, was hier der konkrete Problempunkt war…?
Der Typ schreibt jedenfalls:
Somewhat recently a code of conduct was adopted. It says that the community tries to welcome people of all "political belief". Except those whose political belief mean that they don't agree with the code of conduct. Since agreement is required to take part in the conferences, I am no longer able to attend.
Das halte ich für ein Problem, das man ernst nehmen sollte. Das Gefühl, ausgegrenzt und benachteiligt zu werden, ist nicht schön, und hat ja überhaupt erst zur Gründung der SJW-Bewegung geführt. Wenn ihr wollt, dass wir das bei der einen Seite ernst nehmen, dann müsst ihr es auch bei der anderen Seite ernst nehmen.Falls jetzt übrigens jemand denkt, diese Tanya, die macht bestimmt nur SJW-Scheiß und hat von Technik keine Ahnung (nicht, dass das inhaltlich eine Rolle spielen würde): Sie arbeitet als Compiler-Ingenieur bei Apple. Und den CFP für dieses Outreach-Programm fand ich jetzt auch nicht irgendwie schlimm oder ausgrenzend. Das ist halt ein Stipendium. Wer das Geld will, muss den Regeln genügen. Deswegen hätte ich jetzt kein Fass aufgemacht. Aber wenn man an der Konferenz nicht teilnehmen darf, wenn man nicht einen Wisch mit einem Glaubensbekenntnis unterschreibt, das finde ich auch ausgesprochen bedenklich. Ich frage mich, ob er das überinterpretiert hat, oder ob das wirklich so ablief.
Nun, RSA war noch nie eine technische Konferenz, und die Firma RSA hat eh nicht gerade einen guten Ruf in Sachen Security-Kompetenz.
Diese Veranstaltung ist, soweit ich informiert bin, im Wesentlichen eine reine Sales-Hölle. Lauter unwichtige Sales-Schlipse stehen sich gegenseitig auf den Füßen und machen einen auf dicke Hose und sind überzeugt, total wichtige Gespräche mit total wichtigen Entscheidern führen zu können.
Aber eine Sache kann ich doch namentlich erwähnen, denn die machen das ehrenamtlich und sind auf Spenden angewiesen und freuen sich über jeden Besucher: Die Volkssternwarte am Ostbahnhof. Ich bin fast der Meinung, dass man das eher als Hackerspace sehen sollte, oder vielleicht als Makerspace, denn die haben da nach dem Krieg auf einer alten Flak-Bunker-Plattform der Nazis Teleskope montiert (wackelt nicht und hält auch schwere Aufbauten aus). Die Halbkugel und die Apparaturen, um das drehbar zu gestalten, haben sie sich selbst aus Holz geschreinert, die Teleskope sind teilweise gespendet, teilweise selbst gekauft oder gebaut. Und da sitzen dann nach Sonnenuntergang Nerds und beobachten den Himmel. Als ich da war, haben wir mit Computer-Tracking einen ISS-Überflug beobachtet mit einem 80cm-Teleskop, das ist sozusagen deren Rechts-Unten-Modell. Wenn man das direkt nach Sonnenuntergang macht, dann wird die ISS selbst noch von der Sonne beschienen, und man kann sie mit bloßem Auge als Punkt innerhalb von 5 Minuten oder so über den Himmel rauschen sehen. Mit dem Teleskop konnte man die Solarmodule zählen. Ein cooles Erlebnis und ich kann das echt nur empfehlen, besonders mit interessierten Teenagern (das ist spät am Abend, mit kleinen Kindern ist das möglicherweise zu spät und wird auch je nach Jahreszeit recht kühl). Die haben da auch ein Mini-Planetarium, alles inklusive der Bestuhung aus Spenden zusammengebastelt. Ein tolles Erlebnis, auch wenn man nicht auf Astronomie steht, einfach um mal die Begeisterung mitzunehmen, mit der die Nerds da ihre Sachen bereitwillig zeigen und erklären und Gäste mal mitgucken lassen.
Ansonsten haben wir noch einen kurzen Abstecher in den Englischen Garten gemacht und uns die stehende Welle angeguckt und die Surfer, den chinesischen Turm (mit Blaskapelle in Lederhosen und mit Gamshaar am Hut), Touristen-Programm halt. Nicht einmal trafen wir auf jemanden mit schlechter Laune. München macht da etwas richtig, das Berlin sich mal abgucken könnte. Ich glaube, der Hauptunterschied ist, wenn in München etwas kaputt geht, dann wird das repariert :-)
Auf jeden Fall: Danke, München, für die Gastfreundschaft und die tollen Dinge, die ihr uns gezeigt habt. Wir kommen hoffentlich bald wieder. Und wenn ich hier ein paar Leser inspirieren konnte, auch mal eine Forschungstour zu machen, dann ist das ja auch was wert.
Update: Oh und wenn man in München und in Berlin eine Milliarde Euro auf den Tisch legt, dann baut München damit coole Infrastruktur und pflegt die auch, und in Berlin werden erstmal Löcher gestopft (Lehrergehälter zahlen oder so) und einen Plan für Wartung und Pflege gibt es auch nicht. Es ist erstaunlich, wieviel sich das Lebensgefühl steigert, wenn die Infrastruktur verlässlich ist. Die Münchner meckern immer noch gerne über ihren öffenltlichen Nahverkehr, das kann ich gar nicht nachvollziehen. Wenn man bedenkt, für wie viel weniger Fahrgäste das U-Bahn-System ausgelegt war, ist es eine bemerkenswerte Leistung, dass das alles so flutscht. Früher war das Preisniveau mal ein valider Kritikpunkt, aber da haben andere Städte deutlich nachgezogen.
Update: Volkssternwarten nach diesem Muster gibt es auch in anderen Städten, mir schreibt gerade noch jemand aus Nürnberg von der Volkssternwarte.
Update: Leserbrief:
du tust uns Volkssternwarten, insbesondere heute bei dem traumhaften Wetter, noch einen riesigen Gefallen wenn du auf die öffentlichen Führungen hinweist die heute in München und Nürnberg um 21:00 Uhr stattfinden :)
Gerne doch!
Update: Äh, 80cm nicht 80" :-)
Erinnert mich an den alten Witz: Wofür brauchen für Kraftwerke? Bei uns kommt der Strom aus der Steckdose! (Danke, Tina)
CoreTypes
Impact: Processing a maliciously crafted webpage may result in the mounting of a disk imageDisk Images
Impact: Mounting a malicious disk image may result in the launching of an application
CoreFoundation
Impact: An application may be able to gain elevated privileges
LaunchServices
Impact: A maliciously crafted application may be able to bypass code signing enforcement
Das muss dieses legendäre "Macos ist voll viel sicherer als Windows!1!!" sein, von dem man immer hört!
Wohnort, Alter, sexuelle Orientierung: Mit einer Facebook-App sammeln die Statistiker von Barack Obama zahlreiche Informationen, um den Wahlkampf genau steuern zu können.
Ja super, liebe Bahn! Deren Webseite ruft gerade wegen Wintereinbruchs die Apokalypse aus.
Wie heißt es so schön? Die Bahn hat nur vier natürliche Feinde. Frühling, Sommer, Herbst und Winter.
Mit Wintereinbruch im März konnte nun wirklich niemand rechnen. Wann ist es denn bitte mal kalt im März? Doch so gut wie nie!1!!
Es erscheint an der Stelle ein bisschen ironisch, dass die Bahn auf Ökostrom umsteigt. Mit Global Warming wäre das nicht passiert.
In der Binärdatei der App aus dem App Store befanden sich unter anderem fest einkodierte Zugangsdaten, die einen Zugriff auf reale Einsätze ermöglichten.
Unter dem Namen Runtime Application Self-Protection (RAP) versprechen viele Anbieter von Sicherheitsdiensten ihren Kunden neue Schutzfunktionen, die Angriffe auf ihre Anwendungen zur Laufzeit abwehren können.Yeah! Wir haben so viel Komplexität aufgestapelt, dass wir nicht mehr in der Lage sind, auch nur grundlegende Aussagen über die Software zu treffen, geschweige denn sie sicher zu machen. Also tun wir … MEHR Komplexität auf den Haufen!
Faith-Based Programming!
Die Erbin aber habe keine Änderungen gewollt.Na dann ist das ja jetzt geklärt. Gut, dass wir keine Remix-Kultur haben. Nicht auszudenken, wenn jemand einfach so korrigierte Fassungen rausbringen könnte.
Da wären die Gefühle einer Witwe bedroht. Und vermutlich die Einnahmen, wenn die Leute nur noch die korrigierte Version kaufen.
Mir hat ja noch keiner erklären können, wieso eigentlich Nachfahren eines Künstlers Geld für das Werk ihres Vorfahren bekommen sollten. Ich finde das zutiefst ungerecht (genau so ungerecht wie das Vererben von Reichtum generell). Kriegen die Nachfahren des Müllmanns Geld für die Arbeit ihrer Vorfahren? Wie ist es mit den Nachfahren von jemandem, der ein Gebäude oder eine Brücke gebaut hat? Ein Maschinenbauer? Sogar Parlementsabgeordnete, denen sonst keine Selbstbereicherung zu schamlos ist, haben für ihre Nachfahren keine solche Regelung eingeführt. Meine Familie kriegt auch nichts, wenn ich vom Bus überfahren werde.
Update: Oh wow, ein Leser erklärt:
wenn der jemand auch der architekt war: jepp, da ist das genauso.
architekten haben ein copyright auf ihre werke, also die gebäude, die aus ihren entwürfen entstehen. und jepp, das copyright wird vererbt und gilt 70 jahre nach dem tod des architekten. ich habe in frankfurt mal einem hochhaus gearbeitet, auf dessen dach wir keine parabolantenne stellen konnten, weil die witwe des architekten dagegen einspruch eingelegt hat (die begründung war, dass die antenne die silhoutte des gebäudes verändert hätte).
Update: Ein Leser hat noch mehr Beispiele:
Das Drama um die verbesserte "Ulysses"-Übersetzung und ihre Blockierung durch Erben des verstorbenen Originalübersetzers, ist überhaupt nicht neu. Ich bin Literaturwissenschaftler und kenne diese Materie daher gut. Drei bekannte Fälle:
- In den 90ern verhinderten die Erben des französischen Schriftstellers Raymond Queneau (Autor u.a. von "Zazie in der Metro") Web-Versionen seiner "100,000 Milliarden Gedichte". Queneau war Mitglied von Oulipo, einer Gruppe von Dichtern und Mathematikern, die in den frühren 60er Jahren Pioniere auf dem Gebiet der Computerdichtung waren. Die "100,000 Milliarden Gedichten" waren Sonette - also vierzehnzeilige Gedichte - bei denen jeder Vers/jede Zeile beliebig zwischen zehn Alternativen gewählt werden konnte, was 10 hoch 14 mögliche Gedichtvariationen erlaubt. Im Buchdruck wurde das durch aufgeschlitzte Zeilen realisiert. Natürlich funktionierte das im Web viel besser, was aber nicht sein durfte.
- Der im spanische Dichter Federico Garcia Lorca hat in Deutschland völlig zu Unrecht einen folkloristisch-romantischen Ruf. Das lag an der hundsmiserablen deutschen Übersetzung seiner Gedichte durch einen verhinderten Romantiken, der "den klaren Stil von Lorca mit seinen eigenen dichterischen, aber erfolglosen Bestrebungen" zutünchte: "'Mädchen' wurden zu 'Mägdelein', 'Erbrechen' zu 'Gespei' und die 'fette Frau' zum 'feisten Weib'".
Daran änderte sich zwischen 1936 (der Ermordung Garcia Lorcas im spanischen Bürgerkrieg) und 2006 nichts, weil die spanischen Erben Lorcas auf der bestehenden deutschen Übersetzung bestanden. Erst nach Ablauf der Urheberrechte konnten vernünftige Neuübersetzungen erscheinen, aber da war der Ruf Lorcas in Deutschland gewissermaßen schon ruiniert.
- Der bekannteste Fall ist Franz Kafka, der Zeit seines Lebens nur wenige seiner Kurzgeschichtem publizierte und den größten Teil seines Werks - darunter seine drei Romane - unveröffentlicht nachgelassen hatte. Hier ist die Materie noch komplexer: Kafka beauftragte seinen besten Freund, den Schriftsteller Max Brod, alle unveröffentlichten Manuskripte zu verbrennen. Brod hielt sich glücklicherweise nicht daran und gab die Werke heraus. Allerdings griff er redaktionell stark in die Texte ein, weil er versuchte, ihren fragmentarischen Charakter abzuschleifen. Das ging so weit, dass er beim Roman "Der Prozess" die Reihenfolge der Kapitel selbst bestimmte, einige Kapitel aus den Manuskripten wegließ und sogar die Zahl der Personen, die die Hauptfigur zu ihrer Hinrichtung begleiten, von drei auf zwei reduzierte. Beim Roman "Der Verschollene" veränderte er den Titel zu "Amerika". Bis heute basieren die meisten Kafka-Ausgaben auf Max Brods Edition der Texte. Erst nachdem im Jahr 1994 die Urheberrechte an Kafkas Werk abgelaufen waren, konnten kritisch revidierte Editionen erscheinen. Eine davon war übrigens ausgerechnet von Roland Reuß, der heute - Ironie der Geschichte - der fanatischste Bekämpfer von Open Access geworden ist (mit einschlägigen Appellen und Artikel u.a. in der Frankfurter Allgemeinen Zeitung).
(Danke, Burkhard)
Transaktionen, die auf der Technologie basieren, sind sicher und können gleichzeitig deutlich schneller abgewickelt werden als zuvor. Die getesteten Anwendungsfälle reichen von der Ver- und Entriegelung des Fahrzeugs per App über zeitlich befristete Zugangsberechtigungen bis hin zu neuen Geschäftsmodellen durch verschlüsseltes Datenlogging. Das kann beispielsweise für die Verbesserung autonomer Fahrfunktionen weiterentwickelt werden.BINGO!! (Danke, Malte)
Customers leverage Zenedge’s Web Application Firewall (WAF) and Distributed Denial of Service (DDoS) mitigation products to secure their applications, networks, databases and APIs from malicious Internet traffic. Powered by artificial intelligence (AI), Zenedge’s products and 24/7 virtual Security Operations Center (SOC) defend over 800,000 web properties and networks globally.
BINGO!!!(Wer die Referenz nicht kannte: Viel Spaß)
Mein Pro-Tipp: Lieber den Code fixen als immer unter strace laufen lassen! (Danke, Philipp)
Doch dann heulten gegen 12.15 Uhr die Sirenen, der eingerichtete Krisenstab der Stadt gab Alarm und warnte die Bürger – mit der kleinen Panne, dass erst der einminütige Dauerton unüberhörbar über der Stadt lag. „Echt ärgerlich, wir haben sofort den Heulton hinterhergeschickt“, entschuldigt sich Tittmann – es war halt Stress pur in der Leitstelle.Zweitens gibt es da eine App vom Bundesamt für Bevölkerungsschutz, die heißt NINA (und ist wohl unter Preppern sehr beliebt) :-)
Ich frage mich gerade, ob das jetzt heißt, dass Trump am Ende doch ein guter "deal maker" ist. Das ist zwar ein großer Nachlass, aber Apple stand ja nicht unter Druck, das Geld überhaupt jemals in die USA zurückzuholen.
Das ist übrigens eine effektive Steuerrate von 15,5% für Apple.
Man kann das natürlich auch andersherum sehen. Apple hat gekriegt, was sie eh die ganze Zeit wollten, und Trump ist eingeknickt. Liegt im Auge des Betrachters. Für Trump ist alleine die Schlagzeile natürlich ein großer Sieg.
Update: Ein Leser erklärt:
Trump hat da so eine Art Zwang eingebaut. Bisher war es so, dass das Geld erst versteuert werden muss, wenn es in die USA zurückgeholt wird, jetzt werden die Steuern auf Auslandsgewinne auch fällig, wenn das Geld noch im Ausland lagert. Insofern ist es nutzlos, das Geld noch im Ausland zu lagern, zumal man besser darüber verfügen kann, wenn man es heimholt.
Ein guter Dealmaker ist er deswegen noch lange nicht. Denn erstens ist der Steuersatz jetzt fast lächerlich niedrig, und zweitens sind die zur Zeit kolportierten aufsehenerregenden Summen ein einmaliger Effekt - da werden Gelder zurückgeholt, die sich im Laufe eines Jahrzehnts angesammelt haben. Das wird im laufenden Betrieb also erheblich weniger sein.
Dass IBM ins Minus rutscht, dürfte daran liegen, dass die Abschreibungsmöglichkeiten sich verändert haben... vorher konnte ein Unternehmen seine Steuerlast auf nahezu null drücken, wenn es genug Abschreibungen hatte, das geht nicht mehr, jetzt gibt es einen Mindeststeuersatz, der auch nach Abschreibung nicht unterschritten werden kann. Dementsprechend müssen die Assets dann wohl neu bewertet werden...
In der Cloud zahlt man ja für Leistung. Und jetzt, dank Meltdown-Prävention, braucht man für die selbe Leistung doppelt so viel Hardware. Man würde denken, dass man da was hören würde, oder? Entweder Cloud-Provider, die fett AMD einkaufen und Intel verklagen, oder vielleicht ihre Preise halbieren. Oder Cloud-Kunden, die heulen, weil sie jetzt doppelt so viele Server kaufen müssen. Oder Leute, die bisher auf einem Server laufen, und die Architektur kann nicht auf mehrere Server verteilt werden.
Man würde doch denken, dass da gerade alles mögliche platzt.
Wieso hören wir davon nichts?
Update: Hier kommt sie. Ein Leser schreibt:
als Sysadmin eines Anbieters von "Cloudservern" kann ich dir zumindest für UNS deine Frage beantworten: Von uns zum Beispiel hört man dazu nichts, weil es für das verwendete Hostbetriebssystem (Joyent SmartOS) noch keine Patches gab. Und auch sonst gibt man sich wohl schmallippig dazu.
Könnte mir jedenfalls vorstellen, dass hier auch andere Cloudanbieter schlicht noch nicht so weit sind.
Die physikalischen Server die bereits gepatcht sind verhalten sich bislang allerdings unauffällig.
Für nächste Woche ist wohl geplant, dass wir die Patches ausrollen, sofern sie wirklich verfügbar sind, dann werden wir ja sehen wie hart es VM-Hosts mit 30 bis 35 Gästen trifft. So oder so, bei mehr als 1500 physikalischen Hosts steht uns noch viel Arbeit ins Haus. Einziger zu erwartender positiver(?) Effekt: Die ganzen alten Schleudern, für die es keinen Herstellersupport mehr gibt, dürften bald ausrangiert werden.
Hier kamen auch schon diverse Aluhüte vorbei, die meinten, dass Intel das sicher bewusst herbeigeführt haben wird, damit die Leute neue Server kaufen. Das würde mich ehrlich gesagt wundern.
Ein anderer Einsender meint:
Weil die großen Cloud-Provider noch mitten im Patchen ihrer Infrastruktur sind. Amazon rollt seit ~2-3 Wochen peu a peu Instanzen durch. Azure hat das große Patchen für ab dem 9. Januar angekündigt, wir sehen bei uns aber Hinweise das sie intern vermutlich doch schon Maschinen durchstarten. Dazu kommt dass die Kunden sich gerade erst fertig machen ihre Applikations-Images mit den von AWS geupdateten Base-Images zu backen und zu releasen. In vielen Fällen werden die Kunden noch in der Schadensbestandsaufnahmephase sein und testen wie sehr ihre Applikationen betroffen sind.
Bei uns weiß ich von mindestens einer Applikation bei der wir auf einen größeren Instanztyp gehen werden müssen weil die Applikation auf dem derzeitigen eh schon sehr nah am Limit lief und nun permanent zuviel Load hat. In einem anderen Fall beobachten wir bei einer ElastiCache Umgebung mit klein gewählter Instance-Size seit 2 Wochen deutlich höhere Antwortzeiten inkl. mehr Time-Outs als zuvor, nachdem die darunterliegenden Instanzen kurz vor Weihnachten alle im Rahmen einer AWS planned maintenance durchgebootet wurden.
Aber wie gesagt, ich denke momentan sind die meisten Betroffenen noch am patchen und beginnen gerade erst damit zu analysieren, welche Mehrkosten dadurch entstehen.
Hah, das ist ja auch mal eine schöne Idee. Vielleicht sind die Kunden alle zu blöde, um 1 und 1 zusammenzuzählen, und klicken halt auf "größere Instanz bitte", vielleicht haben sie gar den Automatismus zum Server-Nachklicken aktiv und freuen sich noch über die höhere Rechnung, weil das ja heißt, dass mehr User klicken!1!!
Das Joyent-Ding ist übrigens kein Randgruppenproblem:
ich arbeite selbst bei einem der größeren deutschen Cloud-Anbieter.
Hier wurde in den letzten Jahren sehr stark auf SmartOS umgestellt um mehr Leistung zu erziehlen und damit das Preis/Leistungs-Verhältnis zu bessern.
Für SmartOS stehen derzeit noch keine Updates bereit.
Das SmartOS basiert übrigens auf der Open-Source-Version von Solaris.
Ein Einsender wirft die Frage auf, ob vielleicht die Zocker-Infrastrukturen (Börsen, etc) den Patch nicht einspielen werden, weil Latenz wichtiger als Security ist.
Nicht nur Joyent hat noch keine Patches:
bezüglich deiner Frage warum man bisher noch nicht viel von einer Cloud-Apokalypse hört kann ich aus meiner persönlichen Erfahrung als Angestellter bei einem großen deutschen Hoster folgendes sagen:
Alle unsere virtuellen Systeme laufen unter verschiedenen Virtualiserungslösungen der Firma Parallels (Virtuozzo) und bisher sind die Patches für diese Systeme noch nicht verfügbar und damit auch noch nicht eingespielt.
Das volle Ausmaß von Meltdown und Spectre auf unsere Intel-basierte Infrastruktur ist dem C-Level und auch den meisten anderen Personen in der Firma nicht bewusst bzw. wird als nicht so schlimm eingestuft.
Das jetzt ein großer Wechsel auf AMD-Prozessoren stattfinden wird ist unwahrscheinlich, die Hardwareplattformen sind eingerichtet und alle Prozesse für diese Systeme optimiert ein Wechsel erfordert einiges an Aufwand und Entwickler-Ressourcen sind knapp.
Ich vermute das dies einfach auf den Kunden abgewälzt wird, wenn seine Ressourcen nun nicht mehr ausreichen soll er halt auf eine größere Ausbaustufe wechseln.
Lieferando akzeptiert seit einiger Zeit Bitcoins. Da ich über ein paar mBTC in meinem Wallet verfüge, wollte ich mir gerade eine Pizza bestellen. Heute ist bei meiner Lieblingspizzeria "Pizza-Dienstag". Mit ein paar anderen Sachen bin ich auf ca. 9,50 EUR gekommen.In diesem Sinne: Guten Appetit! :-)Als ich dann über den Bezahldienstleister "bitpay" zahlen wollte, stand dort etwas von 18,50 EUR (umgerechnet aus Bitcoins und Kurs).
Tja, hat sich herausgestellt, dass man innerhalb von 15 Minuten zahlen muss und die Transaktionsgebühr für eine Transaktion in diesem Zeitraum halt 9 EUR kostet.
Ich habe dann eine Dose Ravioli aufgemacht.
Ich sage euch, 15 Milliarden hier, 15 Milliarden da, nach einer Weile kommt da richtig Geld zusammen!1!!
Aber keine Sorge, es gibt einen Workaround:
Temporary fix:
Set the clock on your Mac to some other month than December.
Wer jetzt spontan ausrechnen möchte, wieviel Geld er schon bei Apple gelassen hat, verwendet dafür besser nicht den Apple-Taschenrechner.
If your device with iOS 11 unexpectedly restarts repeatedly on or after December 2, 2017, learn what to do.
Ihr werdet euch jetzt sicher denken, hey, Apple macht doch Qualitätssicherung. Das wäre doch mal interessant zu wissen, seit wann sie von dem Problem wissen.Published Date: Dec 2, 2017
Einmal mit Profis arbeiten!
Laut Medienberichten waren zum Beispiel die Telefonnummern und Profilbilder der Nutzer im Internet frei einsehbar. Die Sicherheitslücke sei weltweit aufgetreten.Das ist so ein chinesischer Anbieter von Fahrrädern, die sie großflächig im öffentlichen Raum abgeworfen haben, und die man dann per App kurzzeitig mieten kann. (Danke, Andy)
Der Kontext dafür ist natürlich EA und ihr Battlefront 2, das sie gerade massiv verkacken. Aber Lootboxen sind echt verbreitet in Videospielen. Fallout und Skyrim haben welche, Teamfortress 2 hat welche, die Borderlands-Reihe hat es so überzogen, dass es schon als Satire durchging bei Beobachtern. Wo zieht man da die Linie? Sind jetzt alle Lootboxen mit zufälligem Inhalt Glücksspiel? Inhaltlich finde ich das überzeugend. Aber wenn das jetzt der Stand ist, dann brennt bei der Videospielebranche gerade aber mal die Hütte.
Ich bin mal sehr gespannt, wie das jetzt weitergeht.
Ich weiß gar nicht, wie weit man da zurückgehen muss, bis man die erste Lootbox findet. Ultima 5 hatte Loot an Monstern in Dungeons! Zählt das jetzt auch? Wie zufällig muss der Loot sein, damit es als Glücksspiel gilt?
Update: Jetzt kommen hier lauter schlecht informierte Leute und wollen mir erklären, es ginge um Mikrotransaktionen. Nein, geht es nicht. EA hat vor einer Weile angesagt, als das gerade auf reddit platzte, dass sie Mikrotransaktionen aus dem Spiel ausgebaut hätten jetzt als Reaktion. Und danach kam Belgien. Kann natürlich sein, dass die Belgier das nicht mitgekriegt hatten. Klar.
Aber mal unter uns: Ich finde die Frage völlig gerechtfertigt, und zwar auch wenn da kein Geld fließt. Wieso ist denn das weniger Glücksspiel, wenn man "nur" Lebenszeit opfert? Überlegt mal, wie viel Lebenszeit unsere Kids wegen solcher Crack-Abhängigkeits-Antrainier-Mechanismen mit Videospielen verplempern.
Update: Jemand, der besser flämisch kann als ich, hat mir gerade übersetzt, dass es den Belgiern doch nur um bezahlte Lootboxen geht. Schade. Ich finde, die Debatte müsste man breiter führen. Ich hatte hier ja schon ein paar Mal, wie Facebook und co letztendlich einen Krieg um die Aufmerksamkeit ihrer "Kunden" führen, und dabei phsychologische Tricks anwenden, gegen die viele Menschen machtlos sind und sich in einen Sog der Zeitverschwendung zu Gunsten von Facebook ziehen lassen. Das ist Ausnutzung von Wehrlosen zur eigenen Profitmaximierung und moralisch mindestens genau so anstößig wie der Verkauf von Lottotickets oder Alkohol und Zigaretten. Ich finde nicht offensichtlich, wieso der Staat dem nicht einen Riegel vorschieben sollte.
Update: Ein Einsender berichtet:
Habe mit dem 6j alten Sohn vor ein paar Tagen das Tablet-Game "Hill Climb Racing" ausprobiert, das im Android-App-Store - siehe Video - direkt an Kinder vermarktet wird:
https://play.google.com/store/apps/details?id=com.fingersoft.hillclimb
Krass: Wir haben das Spiel installiert, gestartet und in weniger als 5 Minuten hat er versehentlich 3x Banner angeklickt, sollte Upgrades nachkaufen und für In-Game-Währung Werbung für Ballerspiele ansehen.
Das ganze passierte, während ich als digitalaffiner und videospielbegeisterter Vater direkt neben ihm saß und all meinen Elternpflichten nachging.
Diese sehr populäre App war voller Dark UI Patterns mit dem klaren Ziel, Kinder abzuzocken.
Siehe auch der Artikel auf netzpolitik.
Jedenfalls war ich völlig baff, dass es bei Free-To-Play-Apps wirklich so krass ist, und es sieht ganz so aus, dass man da wohl regulierend eingreifen muss.
Selbstverpflichtungen der Industrie und Aufrufe zur Medienkompetenz brachten uns ja nicht weiter.
Au weia.
Update: Übrigens hat ausgerechnet der Erfinder von Magic the Gathering ein Manifest geschrieben, das ganz gut beschreibt, wie diese Industrie arbeitet.
Apple sieht sich der "Süddeutschen Zeitung" zufolge zu Unrecht beschuldigt. Ein Sprecher des Konzerns teilte der Zeitung mit, dass Apple sich an die Gesetze halte.
From: [zensiert] Team <info@[zensiert].in> Date: October 27, 2017 at 19:04:12 EDT To: <der@kollege> Subject: Monetize your App by Monero crypto Mining Hi, We noticed that you have published your app on Android Play Store/Apple App Store.We ([zensiert]) provide technology services to enable app developers integrate Monero mining(a crypto currency similar to bitcoin, but very profitable to mine on general purpose devices like smartphones) within their app and monetize it. If your app is deployed on thousands/millions of devices, you can monetize it with monero mining and earn really huge income. We manage all the complexity of backend servers and mining operations and you get a really simple control panel to monitor your hashrate and earnings. Features of our service are: 1. Very easy Integration to any app 2. 0 knowledge of crypto currency mining required. 3. Several key features to ensure 0 inconvenience to your app's user. ->Mining Only when device's battery level is greater than 70%(variable as per your choice), so that user does not have any battery issues. ->Mining only on those phone which have at least 4 processor cores ->Using only 1 processor core (variable as per your choice) for mining, rest of the cores are free for user's own work. ->No mining when device's sleeping, so battery usage only when user is actually using his phone. 4. You have a control panel to real time monitor the hashrate generated by your apps. 5. 100% legal and legitimate.You just need to include the fact in your app's user license that we use their device for some calculations. 5. Daily Payment to your monero wallet. 6. We charge only 0.5% as fee.No setup charges or any other hidden fee. For an estimate or your app's earning potential or any other discussion, feel free to contact us on skype : [3]info@[zensiert].in -- [zensiert] Team
Ich bin ja ein Freund davon, wenn Firmen Bugs in Software finden, und nicht bloß Bug Bounties ausschreiben und hoffen, dass ihnen die Bugs schon von außen gemeldet werden. Das ist eine Unsitte, weil es das Bugfinden zu einer Finanztransaktion macht und einen Markt schafft, in dem Geheimdienste einfach mehr zahlen können und dann kriegen die halt die Bugs und nicht der Hersteller.
Aber ich muss mich an der Stelle wundern, wenn die so tolle Mechanismen haben da (und der Hauptzweck des Artikels ist offensichtlich das Protzen, was sie für tolle Möglichkeiten haben), wieso verwenden sie sie dann nicht, um ihren eigenen Gammelbrowser besser zu machen?
Lasst euch von dem ganzen Mitigation-Gelaber nicht blenden. Das ist sowas wie eine Bankrotterklärung. "Wir versuchen gar nicht mehr, alle Bugs zu finden. Wir machen Mitigations rein". Das ist wie "Wir müssen unsere Dienste nicht absichern, wir haben ja eine Firewall".
Außerdem: Habt ihr euch mal gefragt, wieso die so viele Mitigations haben? Wieso hat der Less Privileged App Container nicht gereicht? Weil jede Mitigation umgehbar ist. Manchmal dauert das ein bisschen, manchmal geht es flott. Alles, was das tut, ist die wohlmeinenden Forscher behindern. Die Geheimdienste nehmen dann halt mehr Geld in die Hand.
Wenn ich Mitigation höre, dann denke ich mir immer: Je mehr Geld in Mitigations fließen, desto weniger Geld ist offensichtlich in das Finden und Schließen von Bugs geflossen. Das ist aus meiner Sicht ein Antipattern.
Im Übrigen möchte ich noch kurz darauf hinweisen, dass der Bugtracker von Chrome offen ist, da können wir alle reingucken, und uns davon überzeugen, wie schlimm der Zustand des Produktes ist. Das traut sich Microsoft bei ihrem Browser nicht (aber es gibt immerhin bei Chakra auch einen externen Bugtracker). Warum wohl?
Ein cheap shot, diese Aktion. Wirft kein gutes Licht auf Microsoft.
Der Intel Compiler kommt mit neueren glibc Versionen nicht zurecht, da diese einen Bug im Intel Compiler exponieren, der zu "unpredictable system behaviour" führt. Bei uns auf dem HPC Cluster hat sich das so manifestiert, dass unsere Benutzer nach dem Update von CentOS 7.3 auf CentOS 7.4 (dieses Update der glibc exponiert den Intel Bug) bei Simulationen (z.B. mit Kommerziellen "Finite Element" Applikationen wie ANSYS CFX, 3DS Abaqus etc.) falsche Resultate bekamen:Und weil das so grandios ist, kommt hier die technische Erklärung, was da vor sich geht:
- Simulationen die vor dem Update konvergierten tun dies nicht mehr
- Simulationen brechen ab, weil an verschiedenen Stellen NaN's raus kommen wo das nicht sein sollte.
- Bei Simulationen kommen andere Zahlen raus als vor dem Update
Der Bug betrifft potenziell alle mit Intel (Versionen älter als 17.0 Update 5) kompilierten Binaries und Bibliotheken auf Systemen mit Intel CPUs, welche AVX unterstützen.
According to x86-64 psABI, xmm0-xmm7 can be used to pass functionKeine weiteren Fragen, Euer Ehren!
parameters. But ICC also uses xmm8-xmm15 to pass function parameters
which violates x86-64 psABI. As a workaround, you can set environment
variable LD_BIND_NOW=1 by# export LD_BIND_NOW=1
Update: Ich sollte vielleicht mal erklären, was hier vor sich geht. Das ABI ist die Spezifikation dafür, wie man auf einer gegebenen Plattform auf Maschinencode-Ebene Argumente an Funktionen übergibt, und welche Registerinhalte Funktionen überschreiben dürfen, welche sie sichern müssen. Intel hat die Spec gesehen und gesagt "Hold my beer! Die Register dahinten benutzt keiner! Die nehm ich mal!" Das ABI hat aber ganz klar gesagt, dass die eben nicht frei sind.
Das Szenario hier ist: Der Compiler generiert Code für einen Funktionsaufruf. Nun könnte man sagen, hey, wenn der Intel-Compiler beide Seiten erzeugt hat, dann kann ja nichts schiefgehen. Aber es kann halt doch was schiefgehen. Wenn man ein dynamisch gelinktes Binary hat, dann geht der Funktionsaufruf eben nicht zur Funktion, sondern zum Wert in einer Tabelle. Die Einträge in der Tabelle zeigen initial auf ein Stück Code in der glibc, der dann die Adresse für das Symbol herausfindet und in die Tabelle einträgt und dann dahin springt. Die Idee ist, dass so eine Tabelle mehrere Zehntausend Einträge enthalten kann bei großen Binaries, und wenn man die alle beim Start von dem Binary auflöst, dann ergibt das eine spürbare Verzögerung. Denkt hier mal an sowas wie Firefox oder clang von LLVM. Daher löst man erst beim ersten Aufruf auf. Mit LD_BIND_NOW=1 kann man der glibc sagen, dass er bitte alles am Anfang auflösen soll, nicht erst später.
Was hier also passiert ist, ist dass der glibc-Code, der die Symbolauflösung macht, sich an das ABI gehalten hat und die u.a. für ihn reservierte Register benutzt hat. Und da hatte der Intel-Compiler aber Argumente reingetan. Die hat der Code zum Symbolauflösen dann mit Müll überschrieben. Die glibc wäscht hier ihre Hände in Unschuld (und ich hätte nicht gedacht, dass ich DAS nochmal sagen würde). (Danke, Samuel)
Liest man häufig in Foren-Debatten über Android. Das ist ja der Vorteil von Apple. Die schützen eure Privatsphäre.
To improve functionality between Uber’s app and the Apple Watch, Apple allowed Uber to use a powerful tool that could record a user’s iPhone screen, even if Uber’s app was only running in the background, security researchers told Gizmodo. After the researchers discovered the tool, Uber said it is no longer in use and will be removed from the app.
Naja so ein Screenshot ist ja keine Privatsphäreverletzung!1!!
Die Behörden nutzten dafür Informationen aus dem Internet und Dating-Apps.
Das Video demonstriert Apple-Qualitätsstandards. Also ich weiß ja nicht, wie es euch geht, aber mich überzeugt das auf Anhieb!1!!
Enterprises need to tread carefully and learn to appreciate that, for many tech suppliers, GDPR is seen as little more than a new source of revenue generation.
Was Sie nicht sagen!Tja, die sollten sich mal lieber ein Geschäftsmodell wie Netapp raussuchen. Festplatten mit ein paar Tausend Prozent Profitmarge verkaufen. Da braucht man dann kein Schlangenöl mehr, klar. (Danke, Daniel)
Ein Fuzzer ist ein Stück Code, das mehr oder weniger zufälligen Müll generiert. Dann lässt man den zu testenden Code drüber laufen und guckt, ob er abstürzt. Eine fürchtlich primitiv klingende Methode, aber sie ist immer wieder erschütternd effektiv. So auch dieses Mal.
Sie fanden in allen Browsern Bugs. In Chrome waren es 2, in Firefox 4, in IE 4, in Edge 6 und in Safari 17 (!!).
Apple wird also mal wieder ihrem in langen Jahren harter Arbeit erworbenen Ruf gerecht.
Baseball (ich erkläre das jetzt bestimmt falsch *hust*) funktioniert so, dass in der Mitte des Spielfeldes der Werfer steht, der ist von Team A. Der wirft den Ball in Richtung Ecke. Dort steht der Typ mit dem Schläger, der ist von Team B. Hinter dem Schläger kniet ein Fänger mit Körperpanzerung, der ist auch von Team A. Der steht also genau hinter dem Schläger. Ziel des Werfers ist es, dreimal den Ball so zu werfen, dass der mit dem Schläger ihn nicht kriegt. Innerhalb eines relativ kleinen Fensters. Der Fänger signalisiert jetzt dem Werfer, wo er am besten hinwirft. Dafür haben die Team sich so Handzeichen ausgedacht.
Die Red Sox haben jetzt anscheinend per Video mit Zoomobjektiv die Handsignale des Fängers des Gegenteams aufgenommen und dann per Apple Watch dem Typ mit dem Schläger gesagt, was sie glauben, wo der gleich hinzielen wird. Das ist natürlich ein Regelverstoß. Der Schläger kann, weil der Signalisierende hinter ihm steht, die Signale selbst nicht sehen.
Update: Ein Leser korrigiert:
Das Spionieren selber ist erlaubt. Nur nicht das Spionieren mit technischen Hilfsmittel.
(Danke, Mathias)
„Wir sind nicht der globale Steuereintreiber für alle anderen“, sagt der neue irische Finanzminister Paschal DonohoeIst ja schon irgendwie geil. Das Geld liegt auf der Straße. Die müssten sich nur bücken und es aufheben.
Aber zurück zu Murdoch. Der gibt zu Protokoll:
“I can’t even believe I have to write this: standing up to Nazis is essential; there are no good Nazis. Or Klansmen, or terrorists. Democrats, Republicans, and others must all agree on this, and it compromises nothing for them to do so.”
Das ist der Erbe des Murdoch-Imperiums. Der sitzt im Moment als CEO bei 21st Century Fox, denen auch Fox News gehört.Ist das nicht krass, wie schnell sich der Wind drehen kann?
Rassenfilter? Da sieht man dann nur noch Weiße Männer online? Nein. Das ist ein Fotofilter. Man macht einen Selfie, und den gibt man der App, und die macht dann KI-Voodoo und spuckt ein Foto von einem in einer anderen Rasse aus. Die Ergebnisse sind sogar gar nicht so schlecht, finde ich.
Nun wäre meine erste Reaktion gewesen, dass das eine gute Möglichkeit sein könnte, um Empathie zu steigern. Den Leuten helfen, sich in andere reinzuversetzen. Da hasst es sich dann gleich gar nicht mehr so bequem, wenn man sich selbst in der Rolle gesehen hat.
Aber ob das bei den Rassisten von Rechts klappt, werden wir wohl nie erfahren, denn bei der PC-Polizei hat es nicht geklappt. Die hat da einen Blackface-Aufschrei gemacht und einen Shitstorm losgetreten und jetzt ist das weg.
Es sieht ganz so aus, als hätten die einen Datenreichtum zu begießen!
How severe is the problem? Our experts could recover the following types of information from several Fortune 1000 companies:- Cloud keys (AWS, Azure, Google Compute) – which could provide you with access to all cloud resources
- App store keys (Google Play Store, Apple App Store) – letting you upload rogue applications that will be updated in place
- Internal usernames, passwords, and network intelligence
- Communications infrastructure (Slack, HipChat, SharePoint, Box, Dropbox, etc.)
- Single sign-on/two factor keys
- Customer data
- Proprietary internal applications (custom algorithms, trade secrets)
Naja, äh, das geht ja noch. Hätte ja noch schli… andererseits. Nee. Wüsste gerade nicht, wie das noch schlimmer hätte sein können. Das ist schon echt schlimm. (Danke, Maximilian)
Wie sich rausstellt: Apple!
Apple owns $52.6 billion in US Treasurys — more than many major countries
Amber Rudd has said “real people” do not want secure end-to-end encryption on messaging services. […]Writing in The Daily Telegraph, Rudd said: “Who uses WhatsApp because it is end-to-end encrypted, rather than because it is an incredibly user-friendly and cheap way of staying in touch with friends and family?"
Die BBC bringt es auch schön auf den Punkt:Amber Rudd said technology companies were not doing enough to beat “the enemy” on the internet.
Was tun Sie so beruflich, Herr von Leitner? I'm beating the enemy on the internet! Scheiße, jetzt brauche ich neue Visitenkarten!
Selbst nur für diese Bücher lohnt sich das Bundle, und ich vermute mal, bei den anderen werden auch noch ein paar ganz gut sein.
Wer übrigens wie ich Bruce Schneier nicht so mag, der kann trotzdem unbesorgt Cryptography Engineering lesen; ich hörte, das hat im Wesentlichen Niels Ferguson geschrieben, und der hat da seinen Kumpel Bruce Schneier nur aufs Cover getan, damit sich das besser verkauft :-)
British signals intelligence agency Government Communications Headquarters (GCHQ) can crack end-to-end encrypted messages sent using WhatsApp and Signal, according to Australian attorney-general George Brandis.
New hotness: Busse virtualisieren!
Bei der BVG gibt es in der App anscheinend regelmäßig Busse im Fahrplan, die schlicht nicht existieren. Damit sie echter aussehen schön mit ausgewiesenen Verspätungen. Aber dann steht man da und es kommt kein Bus, wenn der Fahrplan sagt, er sei gerade an einem vorbei gefahren.
Ein Bekannter berichtet, dass er das auch schon häufiger bei U-Bahnen beobachtet hat.
Oh und wo wir gerade bei Apple waren: Little Snitch geht dann wohl auch bald nicht mehr.
Wer eine Illustration für eine 404-Seite braucht: Das ist sie.
A source close to the 2010 talks with Trump say he made the Doha stopover (along with stops in Dubai and Abu Dhabi) to raise money for a distressed real estate fund he was assembling. Trump opened the discussion with QIA by bragging about the success of Trump International and the many deals he had personally put together. Trump had hardly got through his own biography when Dr. Al-Abdullah, QIA’s senior executive, interrupted to say words to the effect of: We know who you are and what you have done. Tell us what you can do for us right now.That single, curt interruption apparently left Trump stunned. He had expected his hosts to be impressed, if not grateful, that a person of Trump’s stature would visit the Qatari capital. Apparently distracted by the lack of decorum, Trump barely continued with his pitch. The meeting abruptly ended, according to one account, with Trump exiting the room visibly angered.
Man merkt dem Comey an, dass er Erfahrung mit Verhören hat. Das perlt alles nur so an dem ab, kein einziges Mal ließ der sich auch nur ein bisschen vorführen, oder es so aussehen, als hätte man ihn auf dem falschen Fuß erwischt. Weia.
Update: Inhaltlich ist das durchaus unterhaltsam. Comey wurde z.B. gefragt, wieso er bei Trump die Notizen gemacht hat, wenn er sie vorher bei anderen nicht gemacht hatte. Und Comey meint so ganz trocken, naja, war wichtig, und seine Persönlichkeit. Wie, seine Persönlichkeit? Na ich musste annehmen, dass er später über den Inhalt des Gesprächs lügen würde. *krawumm*
Ansonsten merkt man, dass der Mann viele Jahre Verhör-Erfahrung hat. Der lässt sich überhaupt gar nicht aus der Ruhe bringen, alles perlt an dem ab. Keine einzige Falle greift. Die Republikaner haben dann auch aufgegeben, seine Person anzugreifen, und fingen an, über Benghazi und die Clinton-Emails zu reden. Alles bloß nicht Trump. Paul Ryan meinte dan, das sei doch gar kein mafiöses Verhalten, was Trump da an den Tag gelegt hat, der sei bloß neu hier und kenne das Protokoll noch nicht so!1!! So verzweifelt sind die.
Übrigens fand ich bemerkenswert, in welchem Maß Comey sich im Amt rückwärts aus dem Fenster gebeugt hat, um Trumps Gesicht zu wahren. Selbst als Trump ihn aufforderte, öffentlich anzusagen, gegen ihn werde nicht ermittelt, hat Comey es nicht getan — weil, wie sich rausstellt, das FBI dann auch offiziell ansagen müsste, wenn sie doch gegen ihn zu ermitteln anfangen. Ich an seiner Stelle hätte da mit Kusshand die Steilvorlage genommen, mir von Trump schriftlich geben lassen, dass er das gerne offiziell angesagt haben möchte, und das dann offiziell angesagt. Ein besseres Szenario als Trump sich selbst Schaden zufügen zu lassen gibt es doch gar nicht, nachdem der sich mir gegenüber wie ein Mafia-Don verhält.
Das andere Zitat, über das die Amis sich gerade ein Loch in den Bauch freuen, ist "Lordy, I hope there are tapes"
Auch ansonsten erweckt Comey den Eindruck, dass er nicht jemand ist, den man sich zum Feind machen will. An einer Stelle sagt er z.B.
if there is evidence of any wrongdoing, I am sure [Sonderermittler im Trump-Russland-Sumpf] Mueller will find it.
Das kann man auch als "ich habe die Sachen genau da hingelegt, wo Mueller als erstes gucken wird" interpretieren.
Zu der offenen Trump-Drohung, es gäbe Tapes der Meetings, meinte er nur so
I hope there are tapes and he turns them over
Denn wenn der Präsident Tapes hat, landen die irgendwann in irgendeinem Archiv und werden öffentlich einsehbar. Ein Einsender kommentiert:
Dass er die Papiere bei einem Law-Prof hinterlegt hat, ist ein echt schicker Trick. Der Typ hat genug Ahnung, dass ihm keiner an den Karren pisst, ist neutral genug, dass es nicht schlecht aussieht, und die Papers sind für das Ermittlungsgremium einsehbar, auch wenn sein Nachfolger beim FBI die Shredder warmlaufen lässt.
Auch die ganzen Fragen, mit denen sie versucht haben, ihn zu Aussagen über Geheimdinge zu bringen, blieben alle erfolglos. Die Senatoren sind ja nicht doof, die fragen das mit Absicht. Um Comey dazu zu bringen, dass er sich strafbar macht, oder zumindest angreifbar, oder dass die Sitzung geschlossen werden muss. Das perlt alles nur so an Comey ab. Der Mann weiß, was er tut.
Update: Was ich ja richtig geil fände: Wenn jetzt die Russen Comey ein Jobangebot machen würden. Es gibt ja diesen alten Spruch: Die Amis spielen Poker, die Russen Schach. Comey hat gezeigt, dass er Schach spielt. Er würde gut passen. Könnte er natürlich nicht annehmen.
Immerhin haben direkt Tesla-Chef Elon Musk und Disney-Chef Bob Iger ihre Posten in Trumps Beraterstab niedergelegt.
Update: Macron hat seine erste Rede auf Englisch gehalten als Antwort.
Daher jetzt auch mal was Konstruktives. Eine Einsendung von Kris Köhntopp, wie man Rollout und Testing richtig macht.
Victim Blaming: »Patching is hard? Yes—and every major tech player, no matter how sophisticated they are, has had catastrophic failures when they tried to change something. Google once bricked Chromebooks with an update. A Facebook configuration change took the site offline for 2.5 hours. Microsoft ruined network configuration and partially bricked some computers; even their newest patch isn't trouble-free. An iOS update from Apple bricked some iPad Pros. Even Amazon knocked AWS off the air.«Ein Canary ist ein Kanarienvogel im Kohleminen-Sinn. Man schiebt die neue Version nicht gleich auf das ganze Rechenzentrum, sondern erstmal nur auf ein paar Kisten, und da routet man nur ein paar User hin. Und guckt, ob es platzt. Das ist an sich eine gute Praxis, aber man muss aufpassen, dass man das nur kurzzeitig macht. Ich habe schon Firmen gesehen, die praktisch permanent diverse Versionen parallel ausgerollt hatten. Das ist nicht gut.Wo ich arbeite haben wir dieselbe Beobachtung gemacht. Wir haben ein Outage Budget, d.h. wir messen die tatsächlichen Einnahmen und vergleichen mit den vorhergesagten Einnahmen. Ist durch einen mißglückten Rollout ein Einnahmeausfall zu verzeichnen, buchen wir das vom Outage Budget ab.
Wir versuchen das so gut als möglich zu treffen. Wenn wir mehr Outage als geplant haben, ist das zu viel Risk Taking, wenn wir zu wenig Outage hatten, ist das nicht genug Risk Taking und wir sind zu langsam und complacent.
Häufige Rollouts sind kleine Changes und die sind viel besser zu kontrollieren als große unübersichtliche Changes. Daher versuchen wir, so oft als möglich einen Rollout (== Patch) zu machen und so die Patches möglichst klein zu halten.
Wenn wir Rollout-Probleme haben, dann meist in den Subsystemen, die wir nicht oft genug ausrollen und in denen dann sekundäre Changes (== Library Changes, die mit sich schneller ändernden Systemen geteilt werden) den Rollout zerknallen. Die Lösung ist für uns, so was auch dann auszurollen wenn sich im Code selbst nix geändert hat (also Dependency-Änderungen auszurollen).
Alles in allem ist das eine sehr anschauliche Darstellung von Technical Debt: Je größer der Diff zwischen ausgerollt und trunk ist, um zu wahrscheinlicher ist es, daß Trunk in Production explodiert.
Um Patching sicher zu machen, muß man es oft tun.
Wenn man oft patchen möchte, müssen Patches und deren Rollouts ein Operativer Prozeß und kein Upgrade-Migrationsprojekt sein.
Wenn Rollouts ein operative Prozeß sein sollen, dann muß man Testen in der Produktion sicher und überlebbar machen.
Um Testen in der Produktion sicher zu machen, muß man:
- das Austeilen von Code und die Aktivierung von Code trennen, also Feature Flags und Experiments einführen,
- sich ändernde persistente Datenstrukturen doppelt führen (alte und neue Version gleichzeitig und parallel aktualisieren, sodaß alter und neuer Code coexistieren können).
- Reporting und Monitoring exzessiv ausbauen und den Monitoring Lag (Event Timestamp vs. Timestamp in dem das Event im Monitoring auf dem Operator Screen sichtbar wird) mitloggen und Anzeigen ("Monitoring Framerate einblenden")
- und den Leuten klar machen, daß es wichtig ist, eine Fehlerkultur zu etablieren ("blameless postmortem" einführen und durchsetzen).
- Canaries
- Overcapacity
- nur 2 Versionen aktiv zur Zeit (also nicht drei- oder mehrphasige Rollouts laufen haben)
Alles kein Hexenwerk eigentlich.
Overcapacity heißt einfach, dass man nicht am Limit fährt mit seiner Hardware, damit man eine Performance-Regression zur Not mal kurzzeitig abfangen kann.
Stört euch bitte nicht an dem Denglisch, das ist in der Ops-Abteilung von internationalen Firmen durchaus normal :-)
Update: Kris hat das auch in sein Blog getan und verlinkt dort auch ein paar Vorträge, die er in dem Bereich gehalten hat.
MS hat seit dem letzten W10 update delta updates, sie nennen es UUPEin zweiter Leserbrief beschreibt die Situation im Digital Signage-Markt:
blogs.windows.com
blogs.windows.com
wenn ihr schon so nett fragt kann ich ja mal ein paar Zeilen schreiben da ich beruflich so ein System entwickelt habe. 2010 brauchte ich einen neuen Job und wurde über einen ehemaligen Kollegen angesprochen ob ich nicht für eine Firma die Digital Signage macht ein Internet basiertes System neu entwickeln will.Ein Dritter berichtet auch aus dem Signage-Markt:
Das VB6 System das die Firma bis dahin bai knapp 1000 Kunden am laufen hatte war in die Jahre gekommen und etwas das über einen Browser von überall her steuern war dringend erforderlich.Wie man sich sicher denken kann lief die alte Software auf Windows also sollte die neue Software auch darauf laufen - hier also schon mal der erste Grund warum Digital Signage auf Windows läuft - weil Version N-1 das getan hat. Hinzu kam das der technisch Verantwortliche (der die VB6 Version entwickelt hatte) darauf bestand verschiedene Teile der VB6 Version weiterzuverwenden (U.A. einen Laufschrift Generator der dank V-Sync seiner Meinung "Broadcastqualität" hatte).
Den Kontrollserver durfte ich glücklicherweise als Linux System bauen. Der Windows-teil in in C# geschrieben.
Seit 2010 hat sich einiges getan auch hardwaremäßig und ich hatte versucht seit 2012 oder so die Client PCs durch etwas sinnvolleres wie einen Raspberry pi oder ein geeignetes Android System zu ersetzen. Leider war dafür nie Zeit bzw. die günstigere Hardware war nie ein genügendes Argument um die knapp 2 Monate in eine neue Player Software zu investieren. (Hier also Grund 2 - "Warum es funktioniert doch").
2013 wurde die kleine Firma durch eine Größere gekauft. Der Kollege der die VB6 Software geschrieben hatte verstarb plötzlich und die Firma wurde praktisch komplett aufgelöst und alle Mitarbeiter einschließlich des Geschäftsführers entlassen. Der einzige verblieben Mitarbeiter bin ich. Das Produkt für Digital Signage in Apotheken wurde einer anderen Größeren Unterfirma mit 150 Mitarbeitern zugeteilt.
Meine neue Firma ist 100% Microsoft. Leute verwenden Windows 10 Handys hier. Ich denke das ist Grund 3 warum digital Signage auf Windows läuft - Die Funktionalität ist mittlerweile zu "klein" um das einzige Produkt einer Firma zu sein. Das heißt das diese Funktionalität als "Zugabe" zu anderer auf Windows basierter Software entwickelt wird. Und keine Firma die Windows Software baut verwendet dann Linux oder etwas anderes.
Damit ist allerdings auch die Zukunft klar - der Kontrollserver wird auf ein Windows System umgestellt. Ich denke ich werde mich nach einen neuen Job umschauen.
Die Frage "Warum ist bei DS Systemen das Update ausgestellt" hat auch ein paar Erklärungen- Digital Signage Systeme haben keine Benutzerinteraktion also fallen die häufigsten Infektionswege komplett weg - der Webbrowser und Email. Das macht es auch dank der Probleme in der jüngeren Vergangenheit mit durch WU installierte Popups (Windows 10 Nag und Office 356) einfach WU einfach auszuschalten weil wirklich die einzige Sicherheitslücke die das System überhaupt beeinträchtigen kann ein Remote Code Excecution Exploit ist - und die sind selten :/
Bei uns war WU standardmäßig angeschaltet. Es gab allerdings immer wieder kleinere Probleme mit den entsprechenden Blasen und Popups die manchmal hoch kamen - die Windows 10 Nagscreens und die Office 356 haben allerdings dafür gesorgt das Windows Update bei allen neuen PCs aus war.
Ich sehe das Nichtupdaten bei Anzeigetafeln und ähnlichem Bullshit (mir fallen Spontan einige Industriesteuerungen ein, die zwar unter Debian laufen, aber im Prinzip das gleiche Problem haben): Gut gemeintes Firewalling.Der nächste Beitrag ist kein Leserbrief aber passt gerade so schön…Diese Kisten erreichen alle anderen Kisten im LAN (müssen sie, denn ich muss die möglicherweise warten), aber nicht das Internet. Daraus folgt, dass die Dinger über die Existenz von Updates überhaupt nicht informiert sind! Jetzt reicht aber, dass eine blöde Kiste im LAN hängt und den Mist verbreitet und alle Kisten fallen um.
Ein ähnliches Problem betrifft Rechner, die (aus Sicherheitsgründen oder weil sie einfach nicht gebraucht werden), garnicht oft am Netz sind.
Ich bin im Übrigen ganz klar gegen Haftungsgeschichten, die haben nämlich schon den Schienenfahrzeugmarkt erfolgreich monopolisiert und zerstört.
Einen hab ich aber noch:
Ich arbeite in einer Organisation (stolz auf ihr HighTech-Image) in der die IT, dass volle Program der Schlangenbeschwörung durchzieht, das ihr skizziert habt. Patches testen bevor man sie ausrollt, kumulieren. Schlangenöl auf allen Rechnern, Internet über Proxy, Microsoft blacklisten für "pöse Websites" (da ist dann auch schon mal das nameserver-config-interface von Schlund gesperrt), you name it…Es hat mich echt überrascht, dass ich bisher intern von einem wannacry-Befall nichts gehört habe.
Ich selbst war lange IT-Leiter in einer grösseren Unterabteilung, mit viel spezial Krams für Geräteansteuerung. So wie ihr das beschrieben habt, nur noch gruseliger.
Diese Lösungen sind oft in-house gestrickt von Leuten, die schon längst in Rente sind und die laufen eben. Und wenn man sie anfasst, fliegt es einem um die Ohren. Die stammen aus einer Zeit, wo es ausschliesslich darauf ankam, das etwas ans Laufen kam. programmiert haben das Leute, die ihre Gehversuche mit FORTRAN gemacht haben. Irgendwann haben sie sich C oder gar C++ beigebogen, aber immer noch Spaghetticode gemacht.
Wenn du das anfassen willst, musst du es von Grund auf neu machen. Also gehst du zu deinem Management und versuchst, ein Budget zu bekommen. Wenn du Glück hast, bist du in ein paar Jahren!!! so weit, dass du deine Kisten mal upgraden kannst. Meist kriegst du aber kein Budget. Und für Security gibt es ja Schlangenöl.
Wer entscheidet in Organisationen über die Bugjets? Das sind Leute, die sich für sehr wichtig halten und die fest daran glauben, was immer zu entscheiden ist, besser entscheiden zu können, als so ein Techie mit seinem schmalspurigen Blick auf die Welt. Das gilt für Produktionsanlagen und gilt erst recht für IT, denn der Manager hat ja daheim selbst einen PC und daher kennt er sich in IT besonders gut aus. Welche Erfahrungen haben diese Typen gemacht? Wenn man updates einspielt, geht danach irgentetwas nicht mehr. Das legt eine Teilaufgabe lahm, kostet Zeit und ist ärgerlich. Updates verändern die Applikation, so dass irgendetwas liebgewonnenes nun nicht mehr oder anders geht. Firmen nutzen Updates, um den Nutzer zu entmachten (die Digikam erkennt plötzlich den Akku aus dem Zubehör und spielt nur nach mit Originalakkus. Der Drucker verlangt nach HP-Patronen.) Kurzum, in ihrer Welt sind Updates von übel. Und das Internet war ehrlich gesagt bis dato nicht wirklich so gefährlich, oder? Mein damaliger Boss hatte nie einen Virus. Er war immerhin clever genug, nicht auf jeden Scheiss zu klicken. Und Backups hat er auch. Diese persönliche Erfahrung bestimmt weitesgehend seinen Managementstil. Also kriegst du kein Budjet, denn an anderen Stellen in der Bude brennt es viel dringender. (Z.B. braucht man Juristen, damit einem nix angeflickt wird oder so ….. jedenfalls keine Scheiss-Updates.)
Nun komme ich zu dem entscheidenden Punkt: Ihr habt das T-shirt mit der Aufschrift "told you so" erwähnt. Wenn du als kompetenter Manager im IT-Bereich auf Risiken hinweist, ist das so lang o.k., wie du nach einiger Quälerei überzeugen kannst und das Budjet zur Umsetzung einer Maßnahme bekommst. Es ist unerquicklich, wenn du dich nicht durchsetzen kannst und du mit dem Risiko weiter leben mußt, weil dir per Order die Hände gebunden sind. Am schlimmsten ist aber, wenn du recht behälst. Vermutlich kannst du, wenn die Katastrophe eintritt sogar noch einen "cover-my-ass-letter" aus denm guten alten Leitzordner ziehen. Das machst du einmal, vielleicht zweimal. Sowas vetragen Manager gar nicht. Ich bin kein IT-Leiter mehr. Zum Glück war für mich das Arbeitsrecht noch so hart, dass ich eine Weile gemütlich auf dem Abstellgleis verbringen durfte und in ein paar Monaten in Rente gehen werde.
Was wir verbreitet in allen Industrien haben, ist eine Managementkrise. Es ist nicht wirklich wichtig für die Zukunft zu denken. Wichtig ist, die Dinge so zu verwalten, dass man nicht persönlich zur Rechenschaft gezogen wird. Das was Gunther Dueck so treffend die anonymisierte Verantwortungslosigkeit nennt. Diese Art von Entscheidungkriterien betreffen auch die Securityfrage. Aber das war bisher eine winzige Baustelle im Vergleich zu anderen Ecken, wo mit dem Feuer gespielt wird.
Zurück zu wannacry. Das einzig wirklich neue ist die Erkenntnis, dass einem so ein Angriff potentiell so abschiessen könnte, dass man nicht mehr auf die Hufe kommt. Da ist er in der öffentlichen Warnehmung der erste Fall. (Falls er überhaupt so wargenommen werden wird. Was sind schon ein paar Krankenhäuser!)
Apple ist im Vergleich zu Microsoft aus meiner Sicht deutlich schlimmer (allerdings ist das Beobachtung von außen, nicht von innen). Dass Apple-User nicht alle drei Sekunden von Ransomware ausgenommen werden, liegt eher daran, dass der Marktanteil zu insignifikant ist. Und dass die Kriminellen ihnen nicht zutrauen, Bitcoins zu überweisen :-)
Warum erwähne ich das? Nun, ihr werdet euch schon gedacht haben, wenn da irgendwelche Komponenten zusammengeleimt werden, das dann möglicherweise das Updaten unter den Tisch fällt. Hier hat mal jemand ein paar Electron-Apps untersucht. Ergebnis:
out of 98 top Electron apps, they averaged 145 known Common Vulnerabilities & Exploits each due to unpached versions of Chromium :-O
Sportlich! Selbst für übliche Webapp-Sumpfbewohner-Hipstermüll-"Anwendungen".
Wer sich jetzt denkt: Hey, Sekunde, das klingt aber wie ein potentielles Sicherheitsproblem!1!!, dem kann ich Entwarnung geben, denn:
Die Ausweise werden aber nicht am Smartphone gespeichert. Über einen zentralen Hochsicherheitsserver im Innenministerium und nur mit Zustimmung der betroffenen Person kann über eine verschlüsselte Internetverbindung auf die angeforderten Daten zugegriffen werden.Ohoooo! Na DANN ist ja alles gut! Da kann dann ja kaum noch was schiefgehen. (Danke, Florian)
Apple will auch gleich nochmal eine Milliarde Dollar zurückgezahlt haben von Qualcomm. Hier ist Apples Statement dazu:
"We've been trying to reach a licensing agreement with Qualcomm for more than five years but they have refused to negotiate fair terms. Without an agreed-upon rate to determine how much is owed, we have suspended payments until the correct amount can be determined by the court," Apple said in a statement
Das klingt für mich, als habe Qualcomm ihre Patente nur im Bundle anbieten wollen oder so. So das Elsevier-Geschäftsmodell.
Mein IoT-Vortrag schien ganz gut anzukommen, aber das Podium war zu lahm. Heise hatte kurzfristig ein Podium zur Frage "Sind Antiviren Schlangenöl?" eingeplant, nachdem ich da im Blog einen kleineren Schlagabtausch mit Heise Security hatte. Ich war ja erstmal überrascht, dass Heise Events es geschafft hat, für alle fünf Termine jemanden von der AV-Industrie zu finden, der sich da hinsetzt und das debattieren will. Die haben ja im Wesentlichen nichts zu gewinnen in einer Diskussion zu der Fragestellung. Aber sie haben es geschafft, und Hut ab vor den Leuten, die das jetzt machen.
Heute war das Ralf Benzmüller von G Data.
Weil das recht kurzfristig noch ins Programm gehievt wurde, und wir dann an dem Tag noch am Programm herumgeschoben haben, damit das nicht nur 30 Minuten sind wie ursprünglich eingeplant, und wir vorher auch keine Gelegenheit hatten, mal einen roten Faden zu klären, lief das Podium dann ein bisschen unrund, wie ich fand. Erstmal hat Heise vorher und nachher gefragt, wer meine These unterstützen würde, und wer die Gegenthese unterstützen würde, und ich konnte grob niemanden auf meine Seite ziehen, fing auch mit der klaren Minderheitsposition an. Das erwähne ich nur, um euch zu sagen, dass mich das nicht stört. Ich mache das nicht, "um zu gewinnen" oder so. Mich stört aber, dass wir teilweise aneinander vorbei geredet haben.
Ich habe extra versucht, da die technischen Details rauszuhalten, und auf einer ganz fundamentalen Ebene zu argumentieren.
Ich habe u.a. argumentiert, dass ein Virenscanner ja PDF-Dateien scannt, auch wenn ich gar keinen PDF-Viewer installiert habe. Dann wäre ich also ohne Antivirus sicher vor Angriffen via PDF gewesen, und erst durch den Antivirus kommt ein PDF-Parser ins Spiel, der wie jeder Parser-Code potentiell angreifbar ist. Ralf dachte, ich meinte, dass der mit den selben Exploits wie Acrobat angegriffen würde, und versuchte dann auszuführen, dass ein Antivirus ja die PDF-Datei gar nicht wirklich ausführt, sondern nach Heap Spraying und NOP Sleds sucht. Nicht nur verteidigte er damit einen Punkt, den ich nie kritisiert habe; im Publikum verstand das dann auch noch jemand so, als habe er eingeräumt, dass sie da nur oberflächlich ein bisschen draufschauen und das also gar nicht wirklich absichern.
Diese Art von Detail-Kleinkram wollte ich gerade vermeiden in der Debatte, denn da verliert man sich in irgendwelchen für die Diskussion und das Publikum unwichtigen Dingen.
Meine Aussage ist ja, kurz zusammengefasst, folgende:
In meinem rationalen Universum ist mit diesen beiden Punkten alles gesagt. Funktioniert nicht und verursacht Folgeprobleme? Will man nicht!
Und für den Fall, dass die "ist ja bloß ein Grundschutz"-Ausflucht kommt, vielleicht noch garniert mit "100% Sicherheit gibt es gar nicht", hatte ich mir überlegt, wie das wäre, wenn man eine Putzkraft einstellt, und die hinterlässt dann in der Küche einen großen Schmutzfleck, und argumentiert dann: Ist ja nur eine Grundreinigung, der Flur ist aber voll sauber jetzt!
Wieso würde man bei einer Putzkraft höhere Standards anlegen als bei einem Antivirus? Erschließt sich mir nicht.
Aber es stellt sich raus, und das muss ich völlig emotionslos hinnehmen, dass die Leute da draußen wissen, dass Antiviren nichts bringen, potentiell die Dinge schlimmer machen, Geld kosten, und die Werbeversprechen der Hersteller zum Gutteil falsch sind — und das trotzdem für einen nicht nur akzeptablen sondern notwendigen Deal hält.
Ich vermute, dass es da einen bisher unerkannten psychologischen Hintergrund gibt. Meine Vermutung ist, dass das unser Ablassschein dafür ist, dass wir lauter Software einsetzen, der wir nicht vertrauen, und von der wir aus Erfahrung wissen, dass sie unsicher ist. Wir setzen die trotzdem ein, uns müssen diesen offensichtlichen Fehler irgendwie wegrationalisieren. Dafür kaufen wir uns beim Schlangenöllieferanten einen Ablassschein. Dem können wir zwar auch nicht vertrauen, aber das war ja auch nicht der Punkt an der Sache. Den Antivirus kauft man nicht, damit er einen absichert, sondern damit man sagen kann, man habe aber einen Antivirus gehabt.
Ich frage mich, ob man da nicht viel Aufwand sparen kann, und den Leuten das Geld abnimmt, aber ohne einen Antivirus zu liefern. Sankt Fefes Schlangenöl-Ablassbrief. Du setzt Internet Explorer ein? Sag drei Ave Maria und kaufe vier Sankt Fefe Schlangenöl-Ablasszertifikate!
Als Gegenleistung könnte man so richtig schöne Zertifikate drucken. Auf gutem Papier, ihr wisst schon. Wasserzeichen, Prägung, vielleicht noch ein Wachssiegel.
Sollte ich mal vorbereiten und bei solchen Gelegenheiten verkaufen. Aufschrift: Dem Eigentümer dieses Zertifikates wird verziehen, dass er immer noch Firefox einsetzt, obwohl er wusste, was da mit jedem einzelnen Release für unfassbar furchtbare Sicherheitslücken zugemacht werden müssen, und dass es keinen Grund für die Annahme gibt, dass diese Reihe nicht so weitergehen wird. Gezeichnet: Kardinal Rieger.
Auf der anderen Seite kann es natürlich sein, dass so ein Podium gar nicht funktionieren kann, denn es war ja gar nicht mein Ziel, da irgendeinen bestimmten Hersteller rauszuziehen und schlecht zu machen, schon gar nicht den, der sich neben mir aufs Podium getraut hat. Es ist auch nicht mein Ziel, dazu aufzurufen, dass die Leute alle ihre Antiviren deinstallieren. Wir sind hier alle Erwachsene. Wer auf selbstzugefügte Schmerzen steht, dem werde ich da keine Vorschriften zu machen versuchen. Und häufig haben gerade Firmen sowas ja auch aus Compliance-Gründen oder weil sonst die Versicherung im Schadensfall nicht zahlt.
Naja, und so kam am Ende völlig überraschend raus, dass die Fakten völlig unstrittig sind. Wir legen sie bloß fundamental verschieden aus.
Update: Der Vollständigkeit halber: 100% Sicherheit gibt es natürlich doch. Jemand, der keine PDF-Software installiert hat, ist 100% sicher vor PDF-Exploits. Bis er einen Antivirus installiert. Dann nicht mehr.
Update: Ich werde häufig gefragt, was denn mein Vorschlag gegen Malware ist. Hier ist meine Antwort.
Die Malware-Problematik besteht aus zwei zu trennenden Hälften. Erstens Malware, die unter Ausnutzung von Sicherheitslücken auf das System kommt. Zweitens Malware, die völlig legitim auf das System kommt, beispielsweise in einer E-Mail, und die dann vom Benutzer ausgeführt wird.
Die erste Kategorie von Malware kriegt man weg, indem man Softwarehersteller für Schäden in Haftung nimmt, die aus ihren Sicherheitslücken resultieren. Die zweite Kategorie von Malware kriegt man weg, indem man das Modell von Mobiltelefonen übernimmt. Anwendungen laufen nicht mehr in einem großen Universum gleichberechtigt nebeneinander und haben alle vollen Zugriff auf alle Ressourcen, auf die der User Zugriff hat, sondern Anwendungen laufen jeweils in einer Sandbox mit minimalen Rechten, und wenn sie eine Datei öffnen wollen, können sie nur das System bitten, einen "Datei öffnen"-Dialog anzuzeigen. Dateien einfach so mit Dateinamen öffnen oder ohne Rückfrage geht nicht. So ein Modell hat Microsoft mit ihrem App Store zu etablieren versucht, und der Markt hat sie ausgelacht und das nicht haben wollen. Dafür installieren wir uns dann einen Antivirus drüber. Um unser schlechtes Gewissen zu beruhigen.
Update: Hier kommt der Einwand, dass das ja noch dauert, bis wir Produkthaftung kriegen. Das ist also jetzt keine akute Lösung!1!! Ja, und? Gegen 0days zu helfen sagen ja auch Antiviren nicht zu. Und wenn es kein 0day ist, muss man halt immer schön alles gepatcht halten. Dann kann einem die auf Sicherheitslücken basierende Malware auch nichts. Für mich ist das der Gipfel der Unverantwortlichkeit, wenn Konzerne sich ganze Abteilungen mit Bremsklötzen leisten, die dann vorgeblich Patches "prüfen", ob die wirklich ausgerollt werden müssen oder nicht. Und in der Praxis führen die nur dazu, dass steinalte Exploits in dem Laden noch funktionieren. Aber hey, dafür haben wir ja Antiviren installiert!1!!
Und nicht auf Sicherheitslücken basierende Malware kriegt man im Firmenumfeld dadurch weg, dass man den Leuten keinen lokalen Adminzugang gibt und sie nur Programme von der Whitelist ausführen lässt. Ich glaube ja, dass das mit der Tooldiskussion neulich hier im Blog Hand in Hand geht. Firmen tolerieren ein geradezu groteskes Maß an Unwissen und Lernverweigerung. Und die Mitarbeiter nehmen das dankend an, weil sie dann die Unschuld vom Lande geben können. "Ja aber ich hab doch bloß auf das Bild geklickt und die drei Warnfenster sofort ungelesen zugemacht!1!!"
Ich komme ja beruflich rum und habe mit verschiedenen Firmen und Konzernen zu tun. Es gibt da eine Sache, die ich häufiger beobachten kann (nicht immer!).
Stellt euch mal jemanden vor, der in einer Firma Post austrägt. Doofes Beispiel, doofe Analogie, aber macht mal kurz mit.
So, der kommt morgens immer zur Poststelle, greift sich mit beiden Händen Briefe, und trägt die dann in der Firma rum zu den einzelnen Gebäuden oder Mitarbeitern.
So, jetzt stellt euch mal vor, dass die Firma dem einen Sack kauft. Hier, Postausträger, du musst die Briefe jetzt nicht mehr mit deinen Händen tragen, tu sie in diesen Sack. Dann werden die auch nicht nass, wenn es regnet und du ins andere Gebäude musst.
Und jetzt stellt euch mal vor, dass der Austräger ablehnt. Nee, Sack braucht er nicht. Er kann das auch so, vielen Dank.
Ja, aber du könntest damit deine Produktivität steigern! Mehr Post in weniger Zeit austragen! Schau mal hier, wir können dir die Post auch vorsortieren, dann hast du einen Sack für Gebäude A und einen für Gebäude B!
Ja, nee, will ich nicht, ich mach das so wie ich es gelernt habe.
Das ist jetzt ein plakatives Beispiel, aber diese Art von … ja was? Starrsinnigkeit? … erlebe ich häufiger in Firmen, besonders in großen Firmen. Die Firma schafft irgendwelche Produkte an, die irgendwas besser machen sollen, und dann nimmt sich niemand in der Firma die Zeit, sich in den Scheiß mal einzuarbeiten! Das Produkt steht dann da rum, oder manchmal nimmt man auch einen externen Dienstleister, der das irgendwo einbaut. Dann hat das Ding Strom und Netz und es gibt einen Mitarbeiter, der guckt, ob das noch an ist.
Aber das Gerät hilft dann nicht, sondern es wird nur verwaltet. Mit den anderen Geräten, die auch nicht helfen. Und am Ende gibt es eine Landschaft voller Ruinen, die alle verwaltet werden, und die Firma kauft vielleicht noch eine weitere zukünftige Ruine für die Verwaltung der anderen Ruinen. Vielleicht gleich alles doppelt angeschafft, wegen der Ausfallsicherheit.
Aber am Ende des Tages laufen die Leute da mit Bleigewichten an ihren Füßen herum, weil sie so viel unnützen Mist verwalten müssen, der eigentlich überhaupt nicht gebraucht wird.
Aber das ist gar nicht der Punkt, der mich bedrückt, dass sich da so viel Mist akkumuliert. Was mich bedrückt, ist: Wenn du in der Abteilung für $FOO arbeitest, und die Firma schafft das Marktführer-Tool für $FOO an, und du kannst es nicht bedienen … hättest du dann nicht das Bedürfnis, das zu lernen? Ich meine, das wäre für die Firma besser, wenn das jemand bedienen kann. Du bist in der Abteilung, in der man wissen sollte, wie man das Marktführer-Tool für den Bereich bedient. Es würde deinen Wert auf dem Arbeitsmarkt und für die Firma steigern, wenn du wüsstest, wie man das bedient.
Und dennoch … das höchste der Gefühle ist, dass so Basisfunktionalität in Betrieb genommen wird. Bei einer Firewall werden ein paar Regel gesetzt, vielleicht. Ein Logging-Server wird mit Logs beschickt. Mit einem Backup-Server werden vielleicht ein paar Backups gemacht. Aber das ist auch alles. Benachrichtigung im Problemfall? Beim Backup auch gucken, ob Restore geht? Bei der Firewall gucken, dass kein Kollege unegal am Regelset herumspielt? Das ist sowas von die Ausnahme, dass man regelmäßig bei Enterprise-Tools Produkt-brechende Bugs in der fundamentalsten Basisfunktionalität hat. Und wenn man den Support fragt, wie so ein Bug es bis zum Kunden schaffen kann, sagen sie: Die Option hat wohl vor Ihnen noch keiner genutzt. Oh tatsächlich? Noch niemand vor mir hat das Suchfeld benutzt?!
Mit Nichtwissen kann ich leben. Da bin ich auch niemandem böse. Solange man das erkennt, das man keine Ahnung hat, ist das OK. Aber dann bitte auch Gelegenheiten zur Wissensmehrung wahrnehmen! WTF?! Wie kommt das, hat jemand eine Erklärung? Das sind übrigens nicht bloß ältere Mitarbeiter, die dieses Muster zeigen. Im Gegenteil, auch viele Jüngere!
Update: Oh und das betrifft ja auch nicht nur so Enterprise-Apps. Nehmt nur mal Windows und MS Office. Muss man nicht mögen, aber wenn man damit tagtäglich Briefe schreiben muss, dann setzt man sich dochmal damit auseinander, dass man Text auch mit Shift-Ctrl-Pfeiltasten wortweise markieren und mit Ctrl-B fett setzen kann, und da nicht mit der Maus herumkrautern muss. Aber was man da teilweise bei Fachkräften sieht, das irritiert mich jedes Mal. Gut, ich hab auch keine Lust auf MS Office, und mache lieber XeLaTeX oder Webseiten, wenn ich eine Wahl habe. Aber wenn man sich schon mit so einer Software herumschlagen muss, dann guckt man doch, wie man sich die Schmerzen reduzieren kann!?
Apparently, Trump came into his first meeting with the Chinese leader, in early April, convinced that China could simply eliminate the threat posed by North Korea’s nuclear program. Xi then patiently explained Chinese-Korean history to Trump — who then promptly changed his mind.“After listening for 10 minutes, I realized it’s not so easy,” the president told the Journal. “I felt pretty strongly that they had a tremendous power [over] North Korea. … But it’s not what you would think.”
Tjahaaa, liebe Leser, manchmal hilft es enorm, sich mal mit jemandem zu unterhalten. Da merkt man dann schnell, welche Vorurteile Blödsinn waren :-)Japan ist übrigens auch schon ein bisschen nervös, dass Trump bei einem Schokokuchen entscheiden könnte, Nordkorea zu bombardieren. Und aus Nordkorea gibt es Gerüchte, dass Kim Jong-un Bewohner von Pjöngjang aus dem Stadtkern in das Umland geordert haben soll, möglicherweise als Vorbereitung auf einen Angriff der USA.
The founding funders are Facebook, the Craig Newmark Philanthropic Fund, the Ford Foundation, the Democracy Fund, the John S. and James L. Knight Foundation, the Tow Foundation, AppNexus, Mozilla and Betaworks.
Nich schlecht, mein Herr! Nicht schlecht!Doch dann:
The News Integrity Initiative will be run as an independent project by the CUNY Graduate School of Journalism under the auspices of the School’s Tow-Knight Center for Entrepreneurial Journalism, whose director is Professor Jeff Jarvis.
OH NEEEIIIINNNNN! Nicht dieser belanglose Dampfplauderer! Nicht dieser Startupkultur- und Social Media glorifizierende Disruptions-Faseler, nicht diese lebende Buzzword-Maschine!
Das Krasse ist: Jetzt muss Toshiba auch ihre Flash-Sparte verkloppen, um für die Verluste von Westinghouse aufzukommen. Wow.
Das ist so ein seltenes Ereignis, dass mal ein Flash-Hersteller zum Verkauf steht, und Flash ist inzwischen wo wichtig für Konsumenten-Produkte geworden, dass jetzt unter den angeblichen Kaufinteressenten nicht nur andere Flash-Hersteller sind sondern auch Apple, Amazon und Google.
Das Spannende ist aber, mit was für Geheimdienstmethoden Uber da ans Werk gegangen ist.
One technique involved drawing a digital perimeter, or “geofence,” around the government offices on a digital map of a city that Uber was monitoring. The company watched which people were frequently opening and closing the app — a process known internally as eyeballing — near such locations as evidence that the users might be associated with city agencies.Other techniques included looking at a user’s credit card information and determining whether the card was tied directly to an institution like a police credit union.
Enforcement officials involved in large-scale sting operations meant to catch Uber drivers would sometimes buy dozens of cellphones to create different accounts. To circumvent that tactic, Uber employees would go to local electronics stores to look up device numbers of the cheapest mobile phones for sale, which were often the ones bought by city officials working with budgets that were not large.
Das ist schon mal echt krasse Kacke. Und ich finde es bemerkenswert, wie wenig Zeit vergangen ist, bevor die fiesen Überwachungstechniken der Geheimdienste von den Tech-Firmen appropriiert und gegen den Staat angewendet haben.Der einzige Ausweg gegen die Dystopie ist, wenn wir als Menschheit freiwillig auf diesen ganzen Scheiß verzichten. Alle von uns. Auch Polizei, Militär und Dienste.
Die Story ist, nach den Leuten bei Supermicro, die ich kenne, ein wenig anders.Supermicro stellt BIOS-Updates auf einem FTP (sic!) Server bereit. Darunter auch BIOS-Updates für Komponenten Dritter, hier eine Netzwerkkarte.
Apple hatte Probleme mit dem BIOS (nicht nach Malware gesucht), wurde nach Seriennummern gefragt und gab Nonsens-Antworten. Das hat tiefere Investigation getriggert und daraufhin die Story in dem Artikel. »Ich bin einigermaßen erstaunt, dass Apple Resourcen aufwendet, um die BIOSse von ihren Servern auf Malware zu prüfen.« Du kannst zu Deinem gewohnten Weltbild zurück kehren, tun sie nicht (also, jetzt eventuell schon).
Interessanter hier ist: Wir haben Trusted Whatever, Secure Boot, Blah, Keys bei Microsoft, aber wir haben immer noch keine Versionierung und Signierung von BIOS Updates, keine gesicherten Transportwege und einen Scheiß von Code-Review bei diesem Zeugs (oder bei Qualcomm Radio-BLOBs in Android Phones).
Auf der einen Seite sehr erfreulich, dass sowas mal Konsequenzen für den Zulieferer hat und nicht alle bloß mit den Schultern zucken. Auf der anderen Seite: In was für einer Welt leben wir hier eigentlich!?
Details aus dem Update bei Ars Technica:
The firmware, according to the source, was downloaded directly from Supermicro's support site—and that firmware is still hosted there.
Ich bin einigermaßen erstaunt, dass Apple Resourcen aufwendet, um die BIOSse von ihren Servern auf Malware zu prüfen.
Vom Weißen Haus, wie sich rausstellt!
The White House has been accused of trying to smear a critical reporter by planting its own fake news.
Es geht um diesen Politico-Artikel, dass sie im Weißen Haus eine Hexenjagd auf Leaks machen, mit Pressesprecher Sean Spicer als Inquisitor. Die Autoren des Artikels sind Annie Karni und Alex Isenstadt.Und dann?
Six and a half hours after the Politico report broke, the Washington Examiner published a story about Mr Isenstadt.
Der Washington Examiner ist sowas wie die Print-Version von Fox News, die sonst solche "Stories" hier bringen (Zum Vergleich: Gallup hat ein Approval Rating von 42% für Trump).Bei Politico findet man ziemlich offensichtlich, was hier passiert:
Politico editor Carrie Budoff Brown accused the White House of anonymously planting a fake story to smear its reporter.
Zur Erinnerung: In dieser vielzitierten Politico-Story darüber, wie Trumps Mitarbeiter ihn mit Pro-Trump Fake News vom Twitter abzulenken versuchen, werden explizit die folgenden Medien genannt:the communications team scrambled to place a story in conservative-friendly outlets like Fox News, the Washington Examiner, the Daily Caller and Breitbart
Und Google ist nicht alleine. Auch Breitbart hat ein wichtiges Werbenetzwerk verloren, die u.a. die Budgets von Apple, McDonalds und einigen Autoherstellern verwalten. Allerdings geht das wohl nicht von besagtem Werbenetzwerk aus, sondern:
Anfang Februar wurde ein internes Memo öffentlich, wonach die meisten Omnicom-Kunden des Netzwerks mittlerweile Breitbart von ihren Anzeigenschaltungen ausschließen. Die Konzerne werden über Social-Media-Kampagnen von liberalen Trump-Gegnern unter Druck gesetzt, die die Firmen direkt darauf hinweisen, in welchem Umfeld ihre Premium-Anzeigen auftauchen.Ich finde das ja furchtbar, wenn wir den Krieg der Ideen gegen die Rechten nicht mit Ideen gewinnen können, sondern indem wir ihnen den Mund verbieten. Lange wird das nicht mehr dauern, fürchte ich, bis die genug Mehrheit hinter sich haben, dass wir die Minderheit sind, und dann werdet ihr euch noch alle umdrehen, wenn euch die Werbeeinnahmen wegbrechen.
Mal aus Sicht von Werbetreibenden könnte man ja heute schon argumentieren, dass die Konservativen mehr Kohle haben und daher die wichtigere Zielgruppe sind. Oder so. Ich halte das für eine Aberration, dass das gerade noch nicht geschieht. Weil die Kids im Moment alle nicht ordentlich erzogen sind und Konsum über Schulden fahren.
Update: Stefan Niggemeier hat sich das auch angeguckt und findet heraus, dass die Faktenbasis des "Welt"-Artikels auch eher aus dem Fake-News-Bereich kommt. Money Quote:
Die schärfste Waffe – das Nicht-Anzeigen einer Seite in den Suchergebnissen – hat Google nicht gegen die nationalistische amerikanische Nachrichtenseite „Breitbart“ gezückt, sondern gegen die radikale Verschwörungs- und Anti-Pharma-Seite „Natural News“. Aber auch das augenscheinlich nicht, wie der „Welt“-Artikel über weite Strecken suggeriert, weil sie „Fake News“ verbreitet, sondern wegen eines von Google ausdrücklich untersagten technischen Tricks, um Besucher auf andere Seiten weiterzuleiten.
Never mind then.
Kommt, Apple-Kunden, beugt euch noch ein bisschen länger vorne über! Ist doch in eurem besten Interesse! Und denkt dran: Apple tut das mehr weh als euch!1!!
Gut gemacht! Schön weiter nach vorne beugen, Apple ist noch nicht fertig.
Die Forscher untersuchten rund 8 Milliarden TLS-Verbindungen zum Firefox-Update-Dienst, einigen E-Commerce-Sites und bei Cloudflare. Dabei stellten sie fest, dass bis zu 10 Prozent der gesicherten Verbindungen nicht mehr die typischen Verbindungsparameter des verwendeten Browsers aufwiesen – sie also irgendwo unterwegs unterbrochen wurden.10 Prozent finde ich ausgesprochen krass.
Konkret bedeutet das etwa: 13 von 29 untersuchten Antiviren-Programmen klinken sich in die verschlüsselten TLS-Verbindungen ein.Naja, TLS ist TLS, denkt ihr euch jetzt vielleicht. Ihr irrt. TLS handelt beim Handshake am Anfang aus, welche Verfahren verwendet werden, und wenn da ein Schlangenöl zwischen sitzt, das nur alte Gammelverfahren spricht, dann sinkt eben die Sicherheit der Gesamtverbindung dadurch. Wie schlimm ist es?
So erlaubten gemäß der Studie Produkte von Avast, Bitdefender, Bullguard, Dr.Web, Eset, G Data und Kaspersky direkte Angriffe auf die gesicherten Verbindungen. Bei den getesteten Security-Appliances für die Inspektion von TLS-Verbindungen sieht es nicht besser aus: 11 von 12 schwächten die Sicherheit etwa durch die Hinzunahme von kaputten Verfahren wie RC4.Ja prima!
Das Fazit ist:
"Viele der Verwundbarkeiten in Antiviren-Produkten und Proxies in Fimrenumgebungen [….] sind fahrlässig und ein weiteres Zeichen für den Trend, dass ausgerechnet Sicherheitsprodukte die Sicherheit verschlechtern statt sie zu verbessern" heißt es im Fazit.Ich weiß, ich weiß! Hätte uns doch nur jemand rechtzeitig gewarnt!!1!
Beide reden sich um Kopf und Kragen, aber die SJWs löschen dann schnell ihre peinlichen Tweets.
Ich frage mich, ob dem Trump einfach noch keiner erklärt hat, wie man Tweets wieder löscht, ob dem seine alten Tweets schlicht nicht peinlich sind, oder ob er das nicht alles mit voller Absicht macht.
Stellt euch mal vor, ihr wäret US-Präsident, und ihr wurdet von den ganzen Rednecks gewählt. Eigentlich seid ihr eher progressiv drauf, habt jahrelang für Abtreibungen argumentiert, für eine ordentliche staatliche Gesundheitsversorgung, für Drogenliberalisierung. Ihr müsst jetzt irgendwie diese Hillbillies befrieden, damit die nicht mit Mistgabeln nach Washington kommen. In Sachen Signalling macht Trump gerade aus der Perspektive alles richtig, und da sind auch die alten peinlichen Tweets alle eher Asset als Liability.
Aber hey, was ich eigentlich sagen wollte: Ich brauche eure Hilfe. Arnold hat ja bei Trumps Amtseinführung seine Reality-TV-Sendung "The Apprentice" übernommen, und ohne Trump gingen natürlich direkt die Einschaltquoten runter. Seit dem piesacken die sich gegenseitig aus der Ferne. Arnold meinte dann irgendwann, hey, Trump, lass uns tauschen. Du machst Apprentice, ich mach Präsident! :-)
Trump hat daraufhin beim National Prayer Breakfast (nein, wirklich!) dazu aufgerufen, für Arnold zu beten. Also nicht direkt für Arnold, für Einschaltquoten. Glaubt ihr nicht?
President Donald Trump veered off script at the start of the National Prayer Breakfast Thursday when he asked a room full of lawmakers, foreign dignitaries and religious leaders to pray for Arnold Schwarzenegger so that ratings of his show — NBC's "The Apprentice" — would go up.
Also ich für meinen Teil kann nur sagen: you had me at "National Prayer Breakfast". WTF?!Aber da ging mir durch den Kopf: Was wir jetzt brauchen, ist ein GIF. Arnold geht in die Vergangenheit, um Trump zu verhindern. Ich finde gerade keine Bilder von Miles Dyson (dem Cyberdyne-Chef in Terminator 2) mit Arnold in einem Bild. Das wäre glaube ich das angebrachte Motiv an der Stelle. Da halt über den Dyson einen Trump-Kopf photoshoppen.
Oder man könnte auch einen Photoshop machen mit einem Trump-T800, der Arnold jagt. Denkt euch mal was schönes aus, und viel Spaß dabei!
Update: Oh das war anders herum. Erst hat Trump zum Gebet gerufen und dann hat Arnold gemeint, wir können ja tauschen, dann können die Leute wieder ruhig schlafen.
nach Durchsicht aller öffentlich zugänglichen Unterlagen über Qualcomms Geschäftsgebaren muss ich sagen, dass dieses an Brutalität wohl nur noch durch den Einsatz physischer Gewalt zu toppen wäre. Da werden wirklich alle Register gezogen, die sich im Lehrbuch der Wettbewerbsverstöße befinden dürften, so als wollte jemand kartellwidriges Verhalten parodieren.Wow.
Dänemark will als erstes Land der Welt einen digitalen Botschafter ernennen, der die Beziehungen des Landes zu Firmen wie Apple, Microsoft und Google pflegen soll. „Diese Konzerne sind eine Art neue Nationen geworden, und dazu müssen wir uns verhalten“, sagte Außenminister Anders Samuelsen der Zeitung „Politiken“ „Das sind Firmen, die Dänemark genauso beeinflussen wie ganze Länder.“In Shadowrun dominieren die transnationalen Konzerne die Politik und Nationen spielen keine Rolle mehr. Seine Konten hat man bei der Zurich Orbital Gemeinschaft Bank. (Danke, Jan)
Heute kauft man ein Telefon und das lädt erstmal ein paar Gigabytes Updates runter. Oder habt ihr mal ein frisches Windows installiert? Oder Linux? Bei Apple sieht das bestimmt auch nicht besser aus. Die Browser updaten sich auch alle erstmal. Was für eine Frechheit, eigentlich.
Ich hab meine Internetleitung für meine Nutzung gekauft, nicht damit Hersteller ihre Qualitätssicherung wegrationalisieren können und dann die Kosten auf mich externalisieren können!
Daher mein Vergleich mit Safe Spaces.
Auf mich wirkt das, als wenn Außenstehende sich bemühen, sich von Aussagen anderer triggern zu lassen, die gar nicht mal an sie gerichtet waren, und die auch nicht als Angriff auf irgendeine Person gemeint waren. Man fühlt sich durch Vorwürfe in seiner Lebensqualität beeinträchtigt, die man sich auch noch selber einbildet, die gar nicht tatsächlich da sind. Niemand hat Moxie beschuldigt, ein NSA-Kollaburateur zu sein!
Aber man muss schwere Krypto-Probleme auch ansprechen dürfen, denn sonst werden sie ja nie gefixt. In diesem Fall ist das Problem eine Sache, über die man verschiedene Meinungen haben kann. Das kommt auf die Perspektive an, wie so häufig.
Man kann auf der einen Seite sagen: Ein Krypto-System mit so einer Schwachstelle wiegt Menschen in falscher Sicherheit und ist daher schlimmer als gar keine Krypto.
Man kann auf der anderen Seite sagen: Wir haben eine Milliarde Menschen zu starker Krypto gekriegt, und dieser Angriff wäre eh ein aktiver Angriff, passives Abhören haben wir erfolgreich verhindert! Sieg!
Welche Perspektive sich durchsetzt, das entscheidet man mit einer Debatte. Aber die Debatte wird jetzt durch lauter Schneeflocken-Argumente gestört. Ja aber wenn ihr so böse zu Moxie seid, dann schreibt er vielleicht gar keine Software mehr für uns! Ihr solltet ihm lieber dankbar sein!
Ich spitze jetzt ein wenig zu, klar. Aber ihr versteht hoffentlich den Punkt, den ich zu machen versuche.
Wenn ihr nicht wisst, wovon ich hier rede, könnt ihr euch mal diese Argumentation hier durchlesen, die sogar so weit geht, "eure Krypto hat eine Schwäche" auf eine Stufe mit Impfgegnern zu stellen. Das schöne bei Krypto-Software ist ja, dass man sie stärker machen kann, ohne dass User mehr Aufwand haben. Den Mehraufwand übernimmt die Software für sie. Daher tendiere ich in diesem Spannungsfeld auch eher zu "wenn es stärkere Krypto gibt, die man an der Stelle ausrollen könnte, und man tut es nicht, dann ist das ein Fehler".
Konkret geht es um ein Detail im Protokoll, die von Anfang an bekannt und dokumentiert ist. Ich paraphrasiere das jetzt wahrscheinlich falsch, aber ich mache es trotzdem mal. Wenn euch die Details wichtig sind, schlagt sie selber nacht :-)
Bei traditionellen Kryptosystemen wie PGP hat man eine Nachricht, verschlüsselt und signiert sie, und schickt sie zu. Signieren und Verschlüsseln sind offline, man braucht dafür keinen Live-Kanal zum Gegenüber oder überhaupt Internet (solange man den public key vom Gegenüber hat). Die Nachricht schickt man dann rüber und fertig.
Neuere Kryptosysteme wie OTR haben aber noch weitergehende Anforderungen als PGP. Wenn ich eine PGP-Nachricht an jemanden schicke, dann beweise ich damit nicht nur demjenigen, dass die Nachricht von mir kam, sondern der kann die dann auch Dritten gegenüber als Beweis benutzen, dass die Nachricht von mir kam. OTR möchte jetzt erreichen, dass ich jemandem etwas so sagen kann, dass der weiß, dass das von mir kam, aber er kann damit nicht Dritten gegenüber beweisen, dass das von mir kam. Das ist protokolltechnisch eine komplexe Geschichte, weil man pro Nachricht einen anderen Schlüssel nehmen muss. Und damit ist auch das Schlüsselaustauschproblem größer als bei PGP. Signal und Whatsapp sehen jetzt vor, dass man im Voraus ein paar Schlüssel sozusagen vor-austauscht, damit man auch offline Nachrichten verschicken kann (jedenfalls solange die Liste der vorausgetauschen Schlüssel noch nicht leer ist). Jeden Schlüssel kann man natürlich nur einmal nehmen.
Das Problem, um das es jetzt geht, ist was passieren soll, wenn diese Liste mal alle ist. Sagen wir mal, das FBI will meine Whatsapp-Nachrichten mitlesen. Dann gehen die zu Whatsapp und sagen denen: sag diesem Client mal, dass seine Liste ungültig ist. Weil der Client gerade offline sein kann, heißt das auch, dass möglicherweise Nachrichten mit neuem Schlüssel nochmal verschlüsselt werden müssen. Ihr könnt schon ahnen, wie man so möglicherweise Abhör-Möglichkeiten schaffen könnte.
Das Problem ist jetzt, dass bei Whatsapp in dem Fall kein Warn-Popup kommt. Die Security-Hardliner (zu denen ich mich an der Stelle auch zähle) sagen jetzt: Dafür gibt es keine Entschuldigung. Macht da nen Warn-Popup hin. Das sollte auch so gut wie nie Fehlalarm geben.
Die anderen sagen: Man kann diese Warnung aber anschalten, und der Whatsapp-Server kann nicht wissen, wer das angeschaltet hat und wer nicht, daher können die das nicht machen, ohne entdeckt zu werden. Das Risiko ist überschaubar.
Kann man finden, aber ich finde das nicht. Erinnert ihr euch an die Stories aus der DDR, wenn die Stasi das Telefon abgehört hat, dass das dann hörbar geknackst hat? Da hätte man ja auch argumentieren können: Nicht so schlimm, die Leute merken das ja, wenn sie drauf achten. Das hat die Stasi nicht abgehalten, und das wird das FBI nicht abhalten, glaube ich. Und das UI ist wohl an der Stelle auch nicht offensichtlich, wo man da was klicken muss, um diese Warnung anzuschalten. Ich weiß es nicht, weil ich kein Whatsapp benutze.
Ich finde aber, dass diese Debatte wichtig ist und geführt werden wollte. Und ihr solltet da auch alle mal drüber nachdenken, wie ihr das seht, und dann eure Krypto-Produkte entsprechend auswählen.
Update: Bei meinen Rust-Kommentaren ist übrigens auch so eine Schneeflocken-Safespace-Ding passiert. Gleich mehrere Leute haben sich aufgeregt, dass ich es wage, Rust als nicht stabil zu bezeichnen (was ich gar nicht getan habe! Ich habe den Branch referenziert, den Rust selber auf ihrer Downloadseite als Stable bezeichnet). Ein Leser hat mich auf einen Reddit-Thread hingewiesen, der sich dazu gebildet hat, und ungefähr die Hälfte der Kommentare handelten nicht von meinen Argumenten sondern von mir als Person. Als ob man sich mit Kritik oder Argumenten nicht beschäftigen müsste, nur weil man die Person nicht mag!? Sowas finde ich immer echt unverständlich. Es geht doch hier um euer Softwareprojekt, wollt ihr nicht, dass das besser wird!?
Update: Ah, die Erklärung habe ich wohl tatsächlich verkackt. Whatsapp und Signal haben die Authentisierung an die Telefonnummer gebunden. Das hat Vorteile (besonders bei der Usability), aber es hat halt auch Nachteile, weil das FBI halt einfacher eine Telefonummer übernehmen kann als die Krypto in der App auf dem Telefon, das ich in der Tasche habe.
Update: Ist sogar noch ein bisschen anders. Selbst wenn man das Popup anschaltet, dann hat Whatsapp trotzdem schon eine Retransmission der Nachricht mit dem neuen Key gemacht. Signal macht das erst, wenn der Nutzer es bestätigt hat.
Die Liste der Opfer ist beeindruckend: ehemalige Regierungschefs, Minister, Abgeordnete, Mitarbeiter der Zentralbank, Chefs der Finanzpolizei, Manager, Militärs und Kardinäle. Unter anderem hatten die Kriminellen Zugang zum Apple-Konto und damit zum iPhone des früheren Ministerpräsidenten Matteo Renzi sowie zu einem E-Mail-Konto des Präsidenten der Europäischen Zentralbank, Mario Draghi.Tut eure Daten in die Cloud, sagten sie! Da sind sie sicher, sagten sie!
Aber hey, das waren doch bestimmt die Russen, nicht wahr? Mit APT? Da kann man nichts machen.
Oh warte, doch nicht die Russen.
Der 45-jährige Giulio Occhionero ist ausgebildeter Nuklearingenieur, seine 49-jährige Schwester Chemikerin. 1998 gründeten die beiden die Investmentfirma Westlands Securities.Sekunde, Sekunde, kommt noch was:
Er war Mitglied einer FreimaurerlogeHahaha, fuck yeah! (Danke, Andreas)
Nun, das waren bezahlte Jubelperser, sagt Politico.
On Wednesday morning, when the president-elect once again faced hundreds of reporters from around the globe gathered in his lobby — this time for his first press conference in seven months — Trump filled the room with paid staffers who clapped and cheered as he blasted members of the media as purveyors of “fake news.”
Denn Fake-Klatschen ist ja viel weniger anstößig als Fake-News, müsst ihr wissen.
Observation #1: Any measure that weakens encryption works against the national interest.
Und DAFÜR musste der Supreme Court angerufen werden!?
Damit haben es die gammeligen Verlage ernsthaft geschafft, aus dieser Freiburg-Nummer eine Krise des Journalismus zu machen. Nein, nicht des Journalismus bei der Tagesschau. Des Journalismus bei den Verlagen. Das ist so eine unwürdige Nummer, dass die an dieser Hexenjagd teilnehmen, weil sie eh schon immer die Tagesschau da weghaben wollten. Erst klagen sie völlig bescheuert gegen die App, dann klagen sie völlig bescheuert gegen Google News, jetzt versuchen sie hier ein Narrativ zu etablieren, dass die anderen alle Fake News machen und die Tagesschau nicht ordentlich entscheidet, was News ist und was nicht.
Aus meiner Sicht ist völlig klar, dass es sowas wie "ordentliche News" nicht objektiv gibt. Ganz objektiv braucht niemand Nachrichten über Sportereignisse. Das betrifft niemanden. Niemand muss das wissen. Aber es hat ein großes Publikum, also berichtet die ARD. Und verplempert meine Gebührengelder für diesen Bullshit. DA könnte man mal ein Fass aufmachen. Aber dass die Tagesschau, die im Vergleich zu Printmedien nun wirklich eine massiv kleinere Bandbreite hat, dass die dann gelegentlich was hinten runter fallen lassen, daraus jetzt einen Angriff zu konstruieren, das ist hanebüchen. Insbesondere zumal ja anscheinend die großen Printmedien alle berichtet haben. Es gab da also kein Informationsdefizit in der Bevölkerung. Wer es wissen wollte, konnte es wissen. Und wusste es ja offensichtlich auch.
Tsja. Da hat die Tagesschau sich aber 1a vorführen lassen. Erst mit dieser Facebook-Ansage, dass das keine überregionale Bedeutung hatte — was stimmt, bis sich die Tagesschau mit diesem Statement das Argument in diesem Statement weggeschossen hat, indem sie der Nummer doch überregionale Bedeutung zugespielt hat. Und jetzt auch noch dieses öffentliche Eingeständnis, dass man Qualitätssicherung braucht und auf Zuschauerbeschwerden mehr hören will (Machen sie doch jetzt schon dauernd! Gefühlt alle paar Monate gibt es irgendeinen Shitstorm, weil irgendjemand nicht mit einer Tagesschau-Meldung einverstanden ist!)
Ein bisschen mehr Selbstbewusstsein wäre an dieser Stelle angebracht gewesen. Und insbesondere hätte sich das ARD-Management und die Politik sofort breitbeinig vor der Tagesschau positionieren müssen, und die in Schutz nehmen müssen. Es gab da einzelne zaghafte Aussagen Einzelner, das reicht nicht.
Jetzt schreibt mir ein Einsender, dass er sowas auch schon in Deutschland bei einem McDonald's beobachtet hat.
Hier bin ich von der Realität überholt worden.
Und noch eine Meldung zu Alternativlos 38: In Österreich hat sich auch im 2. Durchlauf der Kandidat der FPÖ nicht durchsetzen können. Ich hatte in Alternativlos noch befürchtet, dass sich hier die Trump-Wahl wiederholen könnte.
Klingt erst mal prima, bis man auf der Landkarte nachguckt, wo Polesien liegt. Nahe Tschernobyl.
Polesian berries are marketed to western European customers as organic; radioactivity does not affect that designation
Guten Appetit!
The China Consumers Association (CCA) has asked Apple to investigate "a considerable number" of reports by users of iPhone 6 and 6s phones that the devices have been shutting off and cannot be turned back on again, it said on Tuesday.
Aber ich möchte gerne auch auf den Spendenaufruf von Netzpolitik.org verweisen, bei dem man gerade etwas dafür tun kann, dass in Deutschland Schlimmeres verhindert wird (oder zumindest zeitnah darüber berichtet wird).
Wer seine Kohle lieber breiter streuen will, kann auch Campact-Supporter werden, die reichen einen Teil ihrer Spenden auch an andere NGOs weiter, letztes Jahr u.a. auch an Netzpolitik.org.
Update: Ich erfahre gerade, dass die Weitergabe von Campact an Netzpolitik eine Spezial-Kooperation war. Wenn ihr also jetzt Kohle an Campact spendet wolltet, damit das an Netzpolitik geht, dann spendet lieber direkt an Netzpolitik.
Am Sonntag den 30.10.2016 erfolgt die Umstellung von Sommer auf Winterzeit!Wait, what?!Aus diesem Grund, werden laut SAP-Empfehlung alle SAP-Systeme zu den nachfolgenden Zeiten abgestellt (wie letztes Jahr):
SAP-Produktivsystem (R/3): Sonntag, 30.10.2016 von 01:50 Uhr bis ca. 03:20 Uhr.
Update: Ein Einsender erläutert:
SAP ist tatsächlich extrem heikel, wenn es um timestamps geht - wenn da was durcheinander kommt, dann gehen Transaktionen ins Nirvana.
Das Problem ist die Funktion CONVERT DATE, die nicht zwischen 02:00A und 02:00B unterscheiden kann. Zitat SAP:
"Am Ende der Sommerzeit entsteht eine Zeitspanne mit der Länge der Sommerzeitdifferenz, die als lokale Zeit zweimal durchlaufen wird (die doppelte Stunde). Wenn eine Datums- und Uhrzeitangabe für diese Zeitspanne formuliert wird, wird sie in der Anweisung CONVERT DATE standardmäßig als Zeitangabe für die Sommerzeit behandelt."
Klassischer Fall von BAD: Broken as designed.
Und daher fahren tausende von SAP-Admins weltweit schon seit Jahren ihre Systeme während der doppelten Stunde runter.
Update: Weitere Zuschrift:
ich bin wahrlich kein SAP Admin, aber gilt die Empfehlung mit dem Application Stop für Zeitrückstellung nicht nur noch für uralte Release? Und würde das dann nicht eher den schlecht ausgeführten Job der entsprechenden Admins aufzeigen? Wobei ich leidvoll weiß, wie schwer es ist an Wartungsfenster zu kommen.
Nebenbei: Neue SAP Lösung ist wohl Zeitdehnung, die zwei Stunden von 2-3 Uhr zur Umstellung werden einfach "langsamer" als eine Stunde verarbeitet.
o_O
Update: Glaubt ihr nicht? Seht selbst!
This post discusses a design issue at the core of the XNU kernel which powers iOS and MacOS. Apple have shipped two iterations of mitigations followed yesterday by a large refactor in MacOS 10.12.1/iOS 10.1. We’ll look at the bugs, how they can be exploited to escape sandboxes and escalate privileges, and how we can defeat each of the mitigations. Every step is accompanied by a working exploit.
Money Quote:
Die Photo-Tan-Apps der Hersteller haben mehrere Schwachstellen.Äh, nein, haben sie nicht. Die App hat nicht die Schwachstelle, die App ist die Schwachstelle. In der Sekunde, wo dein Code auf meinem Gerät läuft, kannst du dich auf genau keine Aussagen des Codes mehr verlassen. Ich könnte da die Ausführungsumgebung komplett kompromittiert haben. Die App denkt, sie tut etwas, aber sie tut etwas anderes.
Bei 2-Faktor-Authentisierung ist das Argument, dass es ja nur der 2. Faktor ist, wenn der ausfällt, dann ist man immer noch nicht unsicherer als vorher. Wenn der 1. Faktor aber Austerity-Politik zum Opfer fällt, dann ist das ganze System vollumfänglich für den Arsch.
Ob die App die IMEI abfragt und vergleicht oder nicht, das spielt keine Rolle. Ich kontrolliere die Hardware, die der App die IMEI-Nummer sagt. Wenn ich will, dass da IMEI 23 raus kommt, dann kommt da IMEI 23 raus.
Nun gibt es selbst bei einem Totalschaden natürlich noch Dunkelgraustufen, und es mag sein, dass diese Forscher da eine Schattierung entdeckt haben. Aber das Konzept an sich ist für den Arsch. Es spielt keine Rolle, wie gut oder schlecht die App "arbeitet" bzw zu arbeiten glaubt. Und lasst euch nicht von irgendwelchen angeblichen Secure Irgendwas-Technologien ins Bochshorn jagen.
Alleine schon die Vorstellung, dass die App abfragen könnte, ob das Android gerootet wurde oder nicht, ist grotesk. Wenn das jemand ordentlich aufmacht, kannst du da nichts abfragen. Kann sich ja auch jeder leicht selber überlegen.
mein Mütterlein war Allgemeinärztin, bei der Quartalsabrechnung hab ich ca. 20 Jahre lang an der allfälligen Optimierung teilgenommen.Das "Krankreden" von Patienten wird durch die Hintertür seit Jahrzehnten von den kassenärztlichen Vereinigungen über die arztbezogene Budgetierung von Leistungen und Medikamenten forciert. Allerdings eher ungewollt: Bei chronisch Kranken und einigen Krankheiten einer passenden Liste entfällt jede Budgetierung.
Zu der Sache mit den ernsten Konsequenzen für die Patienten:
Bei jungen Patienten am Beginn ihrer Versicherungsbiografie wirken sich überzogene Diagnosen erst aus, wenn die Leute versuchen, in eine private Krankenkasse zu wechseln oder einen Job im öffentlichen Dienst zu erlangen. Für beides wird der Hausarzt um Herausgabe der Dokumentation gebeten (Patientenakte). Bei Beantragung einer Berufsunfähigkeitesrente wird ebenso die Patientenakte herangezogen und der Patient hat ein plötzlich sehr starkes Interesse an möglichst vernichtenden Diagnosen, die gegenüber dem Amtsarzt bzw. Gutachter der Krankenkassen idealerweise durch kurzfristige Medikamentenabsetzung pausibilisierbar sind. Aus diesem Grund wurden bei jungen Patienten kurzfristig entfernbare Probleme (mit anderenfalls langfristigen Auswirkungen auf die Erwerbsund Versicherungsbiografie) vorsichtig Richtung "Gesund" angepasst.Bei älteren Patienten sah die Sache dann reziprok aus. Hier wurde dann versucht, die Leute aus dem Budget zu nehmen und frei von äußeren Zwängen die umfangreichst mögliche Hilfe zu leisten:
Kassenärzte, die über die Kassenärztliche Vereinigung abrechnen (also nahezu alle) müssen mit diversen Budgetierungen leben. Es gibt da ein Budget, was pro Patient an ärztlichen Kassenleistungen 'statthaft' ist. Dieses Budget richtet sich nach dem Durchschnitt der erbrachten Leistungen über alle Patienten des Zuständigkeitsbereiches der jeweiligen KV. Rechnet ein Arzt im Schnitt pro Patient mehr als in diesem Budget vorgesehen ab, so wird er aufgefordert zurückzuzahlen. Ein weiteres Budget ist das Medikamentenbudget (Kassenrezepte). Auch hier die selbe Mittelwertbildung und ggf. Regressforderung - mit dem Unterschied, dass der Arzt die Medikamentenkosten ja nicht vor der Rückforderung bezahlt bekommen hat … praktisch soll der Arzt also mit seinem Honorar die 'zu viel' verschriebenen Medikamente bezahlen. Die Summen um die es da geht liegen je nach Patientenaufkommen pro Quartal zwischen 4 und 20 TEUR.Jeder Patient mit einer chronischen Krankheit wird bei den Durchschnittsberechnungen nicht berücksichtigt (es gibt noch 'nen Katalog von nichtchronischen Krankheiten, bei denen ebenso verfahren wird). Er fällt also aus dem Budget heraus. Im Ergebnis sind Ärzte also immer sehr bestrebt, an passender und unauffälliger Stelle aus einer Mücke 'nen Elefanten zu machen. Aus einem leichten und vorübergehenden Bluthochdruck wird ein starker und chronischer solcher. Aus einem leichten Diabetes, der auch durch Verringerung täglicher Zuckerberge behandelbar wäre, wird ein ernstes Problem, dem man nur durch glukosesenkende Medikamente Herr werden kann (ganz wichtig: grad so noch nicht dauerhaft Insulinpflichtig). Aus Appetitverlust wegen baldigem ALG I-Ende wird eine endlose Abfolge aus langwieriger Salmonelle, Unterernährung, Depressionen … irgendwas.
Naja, den Aufwand könnte man sich wegen der seit 25 Jahren anhaltenden Widerspruchs-DDOS auf die KVen auch sparen, aber besser man holt sich vorher schonmal Munition für den unwahrscheinlichen Fall, dass der eigene aufschiebende Widerspruch zum Regress doch mal die beiden sachbearbeitenden Fachkräfte überwindet und 'verhandelt' wird.
Ich glaube, dass die Politik-Beobachter zu sehr in ihrer Welt gefangen sind, um zu sehen, wie sehr die Bevölkerung in den USA das ganze politische System verachtet und hasst.
Trump ist nicht der Kandidat, der es besser machen wird, oder der wegen seiner politischen Ideen oder Vorschläge gewählt wird. Trump ist der Kandidat, der gewählt wird, weil man … in den USA gibt es dazu ein schönes Idiom. Throw a wrench into the works. Einen Schraubenschlüssel ins Getriebe werfen. Ich glaube, dass das der Grund ist, wieso die Leute Trump bisher unterstützen und ihn auch zum Präsidenten wählen werden. Die wollen das ganze System brennen sehen. Die wollen soviel Schaden wie möglich machen. Auf politischem Weg geht das nicht mehr, dafür hat das Gerrymandering gesorgt.
Das Gerrymandering wird in den Vereinigten Staaten inzwischen systematisch per Computer und Data-Mining durchgeführt, sodass im Repräsentantenhaus nur noch ca. 1/15 der Sitze wirklich regelmäßig umkämpft sind.Stellt euch das mal vor, was das bei den Wählern anrichtet, wenn für 14 von 15 ihre Stimme keine Rolle spielt, und sie das schon vorher wissen. In den meisten Bundesstaaten steht schon vor der Wahl das Ergebnis fest, die Nachrichten berichten schon gar nicht mehr. Die Wahlkampf-Trosse der Politiker gehen da gar nicht erst hin. Was würdet ihr denn machen, wenn ihr in so einer Gegend wohnen würdet? Würdet ihr da nicht auch irgendwann sagen: Fuck this shit, ich mach den Laden jetzt kaputt?
Congress hat ein Approval Rating von 7% oder so. 7% der Bürger sind mit der Arbeit ihrer Abgeordneten zufrieden. Aber sie können nichts ändern. Sie können aber einen Präsidenten da hinsetzen, der den ganzen Laden vor die Wand fährt. Der Versuch, da einen schlauen Taktierer hinzusetzen, ist ja gerade spektakulär gescheitert. Obama wurde seine ganze Amtszeit über nach Strich und Faden ausgebremst.
Und wenn ihr diese Prämisse mal für eine Minute akzeptiert, dann ergibt sich plötzlich ein stimmiges Bild. Dann ist plötzlich klar, wieso Trump unter seinen Skandalen nicht leidet. Wieso es ihm nicht schadet, dass keine einzige Zeitung ihn endorsed. Im Gegenteil! Das signalisiert seinen Anhängern, dass sie den richtigen Schraubenschlüssel gefunden haben. Man kann für Trump gar nichts besseres tun, als ihn abzukanzeln und auszuschließen.
Wenn man Trump hätte loswerden sollen, hätte man ihn von Anfang an als Teil des korrupten Systems umarmen und zeigen müssen.
Update: Trump-Anhänger sind unbeeindruckt von dem Video. Na SO eine Überraschung!
Donald Trump just retweeted Juanita Broaddrick calling Bill Clinton a rapist. All bets are now off.
Das ist jedenfalls in meiner Erinnerung ein bisher noch nie dagewesenes Eskalationsniveau. Die Kandidaten spielen da gerade Global Thermonuclear War gegeneinander.Übrigens merkte der eine Produzent von Trumps Reality-TV-Show The Apprentice an, dass es da noch viel üblere Trump-Tapes gibt.
Die Ironie an der Situation ist, dass das ja durchaus ein wichtiger Indikator für eine Präsidentschaft ist, ob ein Kandidat es schafft, in Zeiten des Drucks und der Eskalation nicht mit an der Eskalationsspirale zu drehen.
Nun kann man Apple das glauben oder nicht, aber der Deal bei Google war immer, dass man denen die Verwertungsrechte für seine Seele verkauft, und dafür kriegt man den ganzen Scheiß billig bis gratis. Von "billig bis gratis" kann bei diesen Pixel-Teilen keine Rede sein, aber die Daten will Google auch noch alle haben. Ich sagen denen mal vorsichtig voraus, mit diesen Telefonen baden zu gehen. Vereint alle Nachteile von Android mit dem Preis von Apple. Ich hoffe mal, dass die übliche Abzockwoche für die doofen Early Adopter ist, der Hipster-Negativ-Sale. Und dann werden die Geräte halb so teuer. Oder so.
Oder es könnte auch heißen, dass ein echt signifikanter Anteil von deren Benutzern die ganze Google-Integration rauskantet und die Geräte außerhalb des Google-Datenstaubsaugersystems verwendet. Das fände ich ja hochspannend, wenn das so wäre. Ich sehe indes keine Indizien dafür. Selbst ansonsten schlaue und reflektiert denkende Menschen in meinem Bekanntenkreis tun ihre Kalender bei Google auf die Server und begründet das dann mit Convenience.
Update: Naja, wobei, an die Google-Geräte kann man wenigstens noch seinen Kopfhörer anschließen.
Ich meine, wer würde nicht gerne ein vernetztes Sex-Toy einsetzen? Das mit App bedient werden muss, die die Daten nach Hause in Kanada funkt?
Wie kann es denn so eine bescheuerte Hintertür in den US-Steuergesetzen geben?!
Nun, wie sich rausstellt, ist das schon länger bekannt. Und die haben auch versucht, was zu tun, die US-Finanzbehörden:
In new guidance, the department tightened regulations requiring American businesses to bring foreign profits back home — a process known as repatriation — if they want to get credit for taxes paid in that country. Treasury issued the rule last year to prevent companies from enjoying a foreign tax credit when the related profits remained offshore. But businesses circumvented it by shifting money within their foreign subsidiaries, and Thursday's guidance aimed to end that practice.The department said it hoped the new notice would reduce corporate America’s incentive to “take advantage of our broken international tax system.” Washington is worried that mounting international tax obligations will eat away at what's left for Uncle Sam.
Ich glaube ja bei sowas nicht an Zufälle. Das war bestimmt harte Lobbyarbeit, diese Hintertüren da unterzubringen.
"Überzogene Forderungen bei gleichzeitigem Abbruch der Verhandlungen über das Freihandelsabkommen TTIP werden die Handelsbeziehungen massiv belasten", sagte Söder der "Süddeutschen Zeitung" (SZ). "Wir brauchen faire Steuerregeln, aber keinen Handelskrieg."Ich zitiere mal Heise dazu:
In den vergangenen Jahren hat Apple immer mehr Vermögen im Ausland angehäuft, um die hohe Abgeltungssteuer bei der Rückführung ausländischer Gewinne in die USA zu vermeiden. Ende Juni belief sich Apples im Ausland geparktes Barvermögen auf rund 215 Milliarden US-Dollar. Auch andere US-Tech-Unternehmen halten einen Großteil ihres Barvermögens im Ausland um Steuern zu sparen.Und davon will der Fiskus jetzt 13 Milliarden haben. Das sind rund 6%.
Und das Krasse ist: Selbst das ist nur ein Tropfen auf dem heißen Stein für Apple.
Inhaltlich sind das alles diskutierenwerte Punkte, aber ein Generalstreik gegen Tor ist Infrastukturzerstörung. Und zwar nicht nur für einen selbst, sondern für andere.
Tor verspricht Anonymität durch Verstecken im Traffic anderer. Wenn die anderen Tor bestreiken, dann sinkt die Anonymitätsgarantie. Wenn die Infrastruktur-Freiwilligen alle ihre Nodes ausmachen, und nur das Militär ihre weiterlaufen lässt, dann ist Tor-Benutzung am 1. September möglicherweise sogar schlimmer als Surfen ohne Anonymisierung.
Ich verurteile daher diesen Streik, aber kann nur allen Tor-Benutzern raten, am 1. September keine Dinge über Tor zu tun, bei denen von der Anonymität wirklich etwas abhängt. Wer helfen will, kann sich ja vornehmen, mehr Cover-Traffic zu erzeugen durch sinnloses Rumtorrenten oder so, keine Ahnung ob das schlau ist. Aus meiner Sicht haben die Dissidenten auf jeden Fall verloren, wenn ihnen keiner sagt, dass sie am 1. September lieber kein Tor benutzen. Daher erzählt das mal bitte rum.
Wenn das genügend viele Leute mitkriegen, können sie vielleicht den Streik auf einfach absagen und alles wird wieder gut. Ich habe aber wenig Hoffnung. Aus meiner Sicht ist das ein Arschloch-Move erster Güte, dieser Streik. Aus privilegierter Stellung im güldenen Westen "streikt" es sich leicht, klar.
Ich sehe auch keine Chance, dass die Tor-Führungsriege da jetzt ernsthaft über Rücktritt nachdenkt, nur weil so ein Angriff gegen ihre Infrastruktur läuft. Was für eine bescheuerte Idee, echt mal.
Lucky Green hatte schon im Juni hingeworfen.
Ich finde das gut, dass die jetzt die Rechnung kriegen. Das ist ein Zeichen, dass die Tor-Community nicht aus Geheimdienst-Ubooten bestand, sondern aus aufrechten Menschen mit Anstand und Moral. Das ist ja als Außenstehender vielleicht nicht immer so klar sichtbar.
Zusätzlich zu Internetsperren könnten auch große Betriebssystemhersteller wie Microsoft, Apple und Google illegale Downloads verhindern. Diese könnten sogar zu diesem Verhalten gesetzlich gezwungen werden, heißt es in einem Bericht der Film- und Fernsehindustrie.Ja, die Betriebssysteme sind viel zu sehr Plattform, mit dem Zweck, Dinge zu ermöglichen. Das geht so nicht. Was wir stattdessen brauchen sind Gefängnisse, deren Aufgabe es ist, Dinge zu verhindern!1!! (Danke, Matthias)
Besonders beunruhigend:
Remote code execution vulnerability in OpenSSL & BoringSSLNanu? Neue Lücke? Nein! Die hier! Seit Mai bekannt. Redhat hat (um nur mal ein Beispiel für eine andere Linux-Distribution zu nennen) seit dem 10.5. ein Patch draußen. Android wird jetzt gefixt. Ein Bug, den sie als "remote code execution" einschätzen und selbst als kritisch einstufen.
Soll das ein Scherz sein? Ist das der Versuch, Microsoft weniger lahmarschig aussehen zu lassen?
Naja auf der anderen Seite ist das Bulletin auch schon wieder fast nen Monat alt. Keine Ahnung, wieso das jetzt erst die Runde macht.
Und DAS, meine sehr verehrten Damen und Herren, ist, wieso wir heutzutage sogar die Tastatur in die Cloud schieben!
Der Unterhaltungsfaktor ist doch anders gar nicht zu erreichen?
Ich meine, lehnt euch mal in eurem Sessel zurück, macht es euch bequem, und denkt mal kurz darüber nach. Ihr habt eine Tastatur-App geschrieben. Was ist der spektakulärste Verkacker, der euch einfällt?
Seht ihr, so geht es mir auch.
Hier ist, was der CEO neulich sagte:
BLACKBERRY CEO John Chen has said he is "disturbed" by Apple's tough approach to encryption and user privacy, warning that the firm's attitude is harmful to society.[…]
Chen remarked: "We are indeed in a dark place when companies put their reputations above the greater good."
In den Preiskategorien Pooper Basic, Pooper Plus und Pooper Elite.
Und wie hat die in Nizza so performt?
Gar nicht. Die App warnte erst zwei Stunden nach dem Anschlag.
Das war ein Gimmick zum Ablenken der Bevölkerung. Eine Nebelkerze.
Das angewandte Gesetz gebe Gerichten keine Handhabe, die Herausgabe von Daten anzuordnen, die auschließlich auf Servern in Drittländern gespeichert seien, heißt es in dem Urteil des US Court of Appeals for the 2nd Circuit in New York (Microsoft vs United States, 2nd U.S. Circuit Court of Appeals, No. 14-2985).
Nochwas: Wenn bei euch Netflix ruckelt, und ihr den Aussagen des Liberty-Chefs zu glauben versucht seid, dann solltet ihr vielleicht mal kurz die Fakten recherchieren.
Netflix macht kostenlos Peering mit Kunden der Größe von Liberty. Und wenn das nicht reicht, dann stellen sie beim ISP Appliances hin, damit alle Zugriffe nur noch netzintern stattfinden und keine möglicherweise zu schwachen externen Anbindungen im Weg stehen.
So wie ich das verstanden habe, nimmt Netflix dafür von den ISPs kein Geld. Die müssten vermutlich den Strom und die Kühlung im RZ zahlen, aber das war's.
Aussagen von Providern, dass die Leitung von Netflix zu dünn ist, oder dass deren Infrastruktur Schuld ist, sind aus meiner Sicht eine glatte Lüge.
Und was soll man damit so melden? Die Liste ist lang und hat neben Skurrilitäten wie "Nacktjoggen (auf der Straße)" Dinge wie "Graffiti", "Betteln", verschiedene Varianten von Falschparken, "Grillen in Grünanlage", "Hund: Verstoß gegen Beseitigungspflicht (Hundekot)" und "Haus- & Nachbarschaftslärm".
Das schreit geradezu nach ein paar organisierten Freiwilligen, die gezielt Politiker und Ordnungsamtsmitarbeiter stalken und jede Überschreitung sofort melden. Und dann wollen wir mal sehen, ob die wirklich eine Blockwart-App ausrollen wollen.
Update: Ich finde ja, wer diese App installiert, sollte automatisch einen Tarnnamen zugewiesen kriegen, und den Titel "IM" dazu. Sowas wie "IM Erika", wissenschon.
Der eine oder andere wird sich jetzt fragen: Nanu? Sowas gibt es noch nicht? NA KLAR gibt es das schon!
Es heißt BSI.
Das BSI wurde 1991 gegründet und ging aus der Zentralstelle für Sicherheit in der Informationstechnik (ZSI) hervor, deren Vorgängerbehörde die dem Bundesnachrichtendienst (BND) unterstellte Zentralstelle für das Chiffrierwesen (ZfCh) war.Die BND-Abteilung, aus der das BSI hervorging, war für das Entschlüsseln von abgehörten Daten zuständig. Heute wird man beim BSI natürlich ungerne auf die Schlapphut-Skelette im Keller angesprochen.
Die neue Stelle heißt
Die "Zentrale Stelle für Informationstechnik im Sicherheitsbereich", kurz ZITiS, soll Bundespolizei, Bundeskriminalamt und Bundesamt für Verfassungsschutz dabei helfen, verschlüsselte Nachrichten zu dechiffrieren, die beispielsweise über Apples iPhone oder Messengerdienste wie Whatsapp, Signal oder Threema verschickt werden.Ich würde mir da im Moment nicht viel Sorgen machen, dass die irgendwas davon entschlüsseln können, oder auch nur in absehbarer Zeit dazu in der Lage sein werden. Aber was weiß ich schon.
Update: Die waren nicht nur für das Entschlüsseln zuständig beim BND, auch für das Verschlüsseln.
Mich würde mal interessieren, wieviel davon ein reines Windows-Problem ist, und wie doll Chrome plattformübergreifend stinkt an der Stelle. Von Apple-Usern hört man ja auch, dass ein Laptop im Akku-Modus mit Safari deutlich länger durchhält als mit Chrome.
Ich habe das bisher nicht gemessen, aber mir ist unter Linux aufgefallen, dass die Videocodecs in Firefox schlecht sind (wobei das vermutlich vp9 ist). Youtube in Fullscreen (4k) flutscht mit Chrome, aber mit Firefox ruckelt und wackelt es.
Nur mal so als Datenpunkt muss ich aber sagen, dass ich die längste Batteriezeit beim Webklicken bisher mit Chromebooks erlebt habe.
Nun stünde im Fall einer leiblichen Mutter nach deutschem Recht dem Kind automatisch die deutsche Staatsbürgerschaft zu. Das wollten diese Frauen auch gerne für ihr Kind haben und haben geklagt. Der BGH hat ihnen Recht gegeben.
Vielleicht können wir das mal zum Anlass nehmen und dieses unwürdige Gehampel mit "eingetragener Lebenspartnerschaft" einstellen und das ganz einfach als Ehe bezeichnen. Meine Güte, sogar Südafrika ist uns da voraus. Einfach nur noch peinlich, dieses CSU-Wähler-Appeasement.
Der Autor bei Gizmodo ist ein 18jähriger, der für so eine Story wahrscheinlich doch ein bisschen zu unerfahren war.
Den Fall selbst hatte ich nicht weiter verfolgt, und der Artikel war eh von 2014. Ich schrieb also dran: Steht inhaltlich in keinem Zusammenhang zu Jake Appelbaum, und dachte mir nichts weiter bei.
Jetzt schreibt mir ein Einsender, der den Fall kennt, wie der ausgegangen ist. Ich zitiere:
Der aktuelle Stand ist: Jain Gomeshi wurde freigesprochen, seine Anklägerinnen stehen als Verschwörerbande von Lügnerinnen da, die Staatsanwaltschaft und die Polizei haben sich fett blamiert. Objektiver ist es in den Artikeln von Christie Blatchford in der National Post nachzulesen:Damit muss ich dann wohl leben. Das war natürlich eine Übung in Medienkompetenz, denn alle meine Blogeinträge sind Übungen in Medienkompentez. Aber das war eben auch Unwissenheit. Wie krass. Man muss echt jedem Scheiss erstmal stundenlang hinterher recherchieren, bevor man irgendwem irgendwas glauben kann.Christie Blatchford: The Ghomeshi sex-assault case started falling apart right from the start
Christie Blatchford: Ghomeshi verdict was magnificent, compared to trial by press or social media
Was Dir als Verschwörungsfan darüber hinaus vielleicht gefallen wird: Es spricht Einiges dafür, dass der in dem von Dir verlinkten Artikel genannte Freelancer Jesse Brown die ganze Kampgene gegen Jian Gomeshi koordiniert hat, weil er eine persönliche Fehde gegen den CBC ausficht.
Wieder Christie Blatchford:
Christie Blatchford: Is Ghomeshi complaint being dropped over credibility issues? Interview may hold cluesSie bezieht sich dabei auf die vloggerin Diane Davison, die die Hintergründe ausführlich recherchiert hat.
Falls Dein Verweis keine Übung in Medienkompetenz war, sondern Unwissen: Überleg Dir ob Du das veröffentlichen willst - spätestens der Verweis auf Davison wird Dich wieder an die Spitze der Shitlords setzen :-)
Weia.
Diese Diane Davison sagt mir übrigens nichts. Muss ich dann wohl mal klicken, wenn ich mich hier schon ihretwegen zum Shitlord machen lassen muss.
Update: Die Frau heißt Diana Davison, nicht Diane. Unter Diane Davison findet man irgendein irisches Fotomodell. (Danke, Hauke)
Also ich weiß ja immer noch nicht, welche Seite jetzt lügt und welche nicht. Aber ich weiß, dass ich ganz bestimmt nicht auf der Seite derer stehen möchte, die solche Graffitis anbringen.
(Ich weiß nicht, wo Jake wohnt, und ob das tatsächlich sein Wohnort ist)
Update: Beachtet auch diesen Kommentar darunter:
@Shidash @ioerror so obviously done by jake and his pals
Nun, während sich die meisten von uns (ich nehme mich da nicht aus!) darüber nachdachten, wem man denn nun glauben soll, haben einige die Frau in der Szene gesucht … und gefunden. Und es stellt sich raus: Sie fühlt sich gar nicht vergewaltigt. Im Gegenteil. Sie sah gestresst aus, weil sie es war, und sie ging deshalb zu ihrem alten Freund Jake Appelbaum und setzte sich ihm auf den Schoss und flirtete mit ihm herum, um ihren Stress abzubauen. Der Stress kam nicht daher, dass sie sich gerade misshandelt fühlte. Und sie nahm ihre Tasche und ging weg, weil sie eh gerade weg wollte zu einem anderen Freund.
Mit anderen Worten: ein krasses Missverständnis. Und so erklärt sich auch, wieso die Leute, die drum herum standen und das beobachtet haben, nichts gesagt haben. Weil die mehr Kontext hatten.
Dieser gammelige Twitlonger-Scheiß da sieht zwar nicht sonderlich vertrauenswürdig aus, aber ich kenne denjenigen, der die Frau gefunden und interviewed hat, und der versichert mir, dass das Statement echt ist.
Sind damit jetzt alle Vorwürfe gegen Jake entkräftet? Nein. Aber die, bei denen Namen dranstanden. Die aus meiner Sicht glaubwürdiger wirkenden.
Update: Jetzt stellt sich natürlich die Frage, wieso die Presse die Frau nicht gefunden hat. Oder haben sie von ihr gewusst und ihre Seite der Story ignoriert? Ich denke mal, da wird es bald noch einen Nachschlag geben.
Warum ich das jetzt hier blogge: Weil der Artikel einen mich gerade sehr erschütternden Vergleich bringt. Zwischen der Kultur des Weghörens und Wegguckens und … der katholischen Kirche und ihren Missbrauchsfällen.
As you follow all of this, you remember reading the words of Pope Francis when he held a special Mass at the Vatican this summer for visiting survivors of clerical sexual abuse: He spoke of “despicable actions, camouflaged by a complicity that cannot be explained.”
Fühlt sich das in der Tech Szene gerade an wie in der katholischen Kirche?Sind wir gar die neue katholische Kirche?
Übrigens hat die Freedom of the Press Foundation Jake gerade rausgeschmissen und bei Tor ist er anscheinend ganz raus jetzt.
Zu den Vergewaltigungsvorwürfen kann ich nichts sagenaufgemacht, damit auch wirklich dem letzten Lesekompetenz-Durchfaller klar ist, dass sich das Folgende auf die anderen Vorwürfe bezieht.
Dass die anderen Vorwürfe in dem verlinkten Tor-Artikel nicht vorkommen, liegt daran, dass ich diesen Pranger nicht verlinken will. Pranger sind Scheiße und ich spiele so etwas keine Aufmerksamkeit zu. Selbst wenn die inhaltlich Recht haben, und zwar auch mit den Vergewaltigungsvorwürfen, was ich nicht ausschließen kann.
Die Frage der Stunde sollte nicht sein, wer jetzt an was Schuld hat, sondern was wir an den Prozessen in der Community verbessern können. Wie können wir in Zukunft dafür sorgen, dass niemand glaubt, er müsse einen anonymen Internet-Pranger aufmachen, weil die anderen Optionen alle nicht wirken?
Zu den anonymen Anschuldigungen sind jetzt auch noch welche mit Namen dran gekommen, von Nick Farr. Nick hat jahrelang auf dem Congress und dem Camp mitgeholfen und ist in der Szene wohlbekannt und geschätzt. Nick wirft Jake jetzt Bullying vor und sagt, dass er deswegen nicht mehr zu den Congressen gekommen ist. Das hat mich relativ stark mitgenommen, weil ich nicht verstehen kann, wieso ich das jetzt Jahre später in so einem Kontext hören muss und nicht schon vorher. Nick sagt, er habe mit den Leuten gesprochen, denen er vertraut hat, und die hätten ihm nicht geholfen. Nicht nur das, die haben das auch unter Verschluss gehalten, den Buschfunk hat es nicht erreicht und bei mir kam es nie an.
Ob das jetzt inhaltlich stimmt oder nicht, ist nicht so einfach zu beantworten. Ich kenne Nick ungefähr so gut wie ich Jake kenne, ein paar Mal getroffen und unterhalten, eher aus der Ferne. Nick schien mir immer ein netter Kerl zu sein. Und dass er sich mit seinem Namen hinter seine Vorwürfe stellt, macht sie natürlich gleich viel glaubwürdiger. Aber es bleiben erstmal Vorwürfe, und solange ich da keinen Einblick habe, was wirklich passiert ist (und leider sind beispielsweise die Drohzettel aus seinem Hotel verloren gegangen und liegen nicht mehr als Beweismittel vor), kann ich das auch nicht intrinsisch höher bewerten als Jakes Unschuldsvermutung.
Ich ärgere mich gerade über zwei Dinge. Erstens über mich selbst, dass meine erste Reaktion ist: Der Jake ist doch schon immer ein Arschloch, habt ihr das nicht gemerkt? Das stimmt zwar und ist in diesem Fall auch richtig, aber was wenn der nächste ein freundlicher, wohlgekleideter, beredter Mensch ist? So jemand wie Nick Farr? Das kann man nicht immer vorher erkennen.
IN DIESEM FALL hätte man es vorher erkennen können, und meine Äußerungen stehen daher. Aber das Problem ist ja ein tiefer sitzenderes.
Die andere Sache, über die ich mich ärgere: Dass ich Jake das gönne, dass er bei Tor rausfliegt. Und ich weiß genau so wenig wie ihr, was an diesen Vorwürfen dran ist. Ich rede hier von der Unschuldsvermutung, aber emotional kann ich mich da selber nicht dran halten.
Ich bitte daher alle darum, diese konkreten Vorwürfe von "ich fand Jake schon immer doof" zu trennen, denn das scheint mir in der Community gerade Tenor zu sein. Einige Leute fangen jetzt an, Schmutz gegen Jake zu sammeln, der mit diesen Vorwürfen nichts zu tun hat.
Ich persönlich kann mit "der hat mich emotional ausgenutzt" als Vorwurf nichts anfangen. Zum Ausnutzen gehören immer mindestens zwei. Einer, der ausnutzt. Einer, der sich ausnutzen lässt. Und dann noch n Zuschauer, die nicht eingreifen. Jeder davon hat eine Verantwortung bei sowas. Man kann das nicht jahrelang geschehen lassen und dann mit dem Finger zeigen.
In einigen Mails kam das Argument, was denn sei, wenn man nicht weggehen kann, beispielsweise weil das der Arbeitsplatz ist. Mein Rat: GERADE DANN muss man weggehen. Das ist deine Lebenszeit! Die gibt dir keiner wieder, wenn du die so einem emotionalen Vampir opferst! Und da kannst du auch danach niemandem die Schuld zuschieben als dir selbst. Wenn du schon dir selbst gegenüber nicht genug Wertschätzung und Respekt aufbringen kannst, um dich aus solchen Situationen zurückzuziehen, wie kannst du es dann von Außenstehenden erwarten?
Das liegt vielleicht an meiner Sozialisierung und meinen Erfahrungen bisher, aber ich habe Schuldzuweisungen immer als Abwehrhandlung erlebt, mit denen jemand von seiner eigenen Verantwortung in der Sache ablenken wollte.
Zusammenfassung: Die Lage ist komplex und schwierig zu beurteilen. Lasst uns bitte von den Schuldzuweisungen wegkommen und gemeinsam überlegen, was man in Zukunft machen kann. Lasst uns überlegen, wie wir in Zukunft dafür sorgen können, dass sowas ohne Internetpranger geklärt werden kann.
Update: Eine Sache noch. Ich schreibe häufig, man soll halt zur Polizei gehen, und da kommt dann jedesmal der Hinweis, ich wisse nicht, wovon ich spreche, weil die Polizei in solchen Fällen total versagt und niemandem weiterhilft. Weiß ich. Trotzdem. Gerade dann ist es wichtig, dass die Statistik entsprechend aussieht. Wenn wir nicht hingehen, dann steht in deren Statistik, dass sowas nicht vorkommt, und dann kommt der Innenminister und streicht das bisschen Geld für den Bereich auch noch weg.
Dann gibt es da noch das Argument, dass es Überwindung kostet, zur Polizei zu gehen, wenn einem die Story peinlich ist. Klar. Aber das ist kein Argument. Du gehst ja nicht FÜR DICH zur Polizei, um Rache zu üben. Du gehst zur Polizei, damit jemand diesen Typen aus dem Verkehr zieht, damit nicht noch andere zu Schaden kommen. Wenn es nur um dich selbst ginge, dann wäre das ein Argument. Tut es aber nicht. Wenn ein Täter das nächste Opfer vergewaltigt, und du bist zur Polizei gegangen und die haben nichts gemacht, dann ist das deren Verkacken. Wenn du gar nicht erst hingegangen bist, ist es dein Verkacken. Aus meiner Sicht gibt es die Option "nicht hingehen" nicht, egal wie peinlich oder schwierig das ist und egal wie unwahrscheinlich es ist, dass die helfen. Als Opfer weißt du aus erster Hand, wie Scheiße das ist, Opfer zu sein. Es ist deine verdammte Pflicht, dafür zu sorgen, dass das anderen erspart bleibt.
Stellt euch mal vor, eure Tochter/Nichte wird vergewaltigt, und ihr erfahrt danach, dass es seit Jahren entsprechende Geschichten über den gibt, aber die anderen Opfer sind nicht zur Polizei gegangen. Hättet ihr dann nicht vergleichbar viel Hass auf den Täter wie auf die, die ihn nicht angezeigt haben?
Die Zeit dazu, und es gibt auch eine Anklage-Webseite seiner angeblichen Opfer.
Ich habe Jake ein paar Mal getroffen und habe mich kurz mit ihm unterhalten. Zu den Vergewaltigungsvorwürfen kann ich nichts sagen, aber dass Jake sich gerne mit anderer Leute Arbeit schmückt und persönlich schwierig ist, das kann niemanden überraschen, der mehr als 10 Minuten mit ihm zu tun hatte. Solchen Webseiten finde ich hingegen unwürdig. Entweder er hat etwas justiziables getan, dann geht man damit bitte zur Polizei und nicht zum Internet-Pranger. Oder er hat nichts getan außer "ein Arschloch sein", und dann hält man halt Abstand und die Schnauze.
Ich fände es prima, wenn die Leute mal anfangen könnten, selber Verantwortung für ihr Leben zu übernehmen. Wer sich freiwillig und ohne Not in der Nähe von Unsympathen aufhält, der kann — finde ich — danach nicht mit dem Finger zeigen. Jeder ist für seinen Umgang selbst verantwortlich.
Wenn das Tor-Projekt ihn jetzt rausschmeißt, hoffe ich, dass sie mehr als Gerüchte aus dem Internet als Basis dafür haben. Und ich muss mich ehrlich gesagt fragen, wieso sie ihn dann überhaupt eingestellt haben.
Bluecoat ist die Firma, die Abhör-Proxyserver für die Gestapos der Unterdrückungsregimes dieser Welt baut.
Leider haben die Browser im Allgemeinen kein UI, um Intermediate Certs zu invalidieren. Man müsste also das Verisign-Root-Cert rausschmeißen.
Oder halt sowas wie Certificate Patrol ausrollen. Aber das macht ja seit Letsencrypt nur Ärger.
Update: Bei diesem konkreten Zertifikat ist die Pathlen auf 0 gesetzt. Das entschärft es weitgehend (keine Sub-CAs erlaubt). Die müssten den privaten Schlüssel zu dem Zertifikat auf ihren Appliances ausliefern, wo er geklaut werden könnte. Wobei hey, vielleicht tun sie das ja?
Die National Rifle Association hat sich im US-Wahlkampf für Donald Trump ausgesprochen. Bei seiner Rede auf der NRA-Jahrestagung versprach er unter Applaus die Abschaffung waffenfreier Zonen und griff seine Rivalin Hillary Clinton scharf an.
Du hattest vor einer Weile mal ein paar Beiträge zu den Preisen von verschiedenen Online-Zeitungen.Seit dieser Joffe-verklagt-Die-Anstalt-Nummer ist die Zeit bei mir eh unten durch. Wenn der Herausgeber sowas macht, ist das ganze Blatt in meinen Augen nicht satisfaktionsfähig.Hier noch ein Datum dazu:
ZEIT Digital, 46/2015 - 19/2016 = 26 Ausgaben - 30,00 Euro (seit Jahren konstant)
ZEIT Digital, 20/2016 - 45/2016 = 26 Ausgaben - 106,60 EuroSoweit ich sehen kann, ohne jeden Mehrwert. (Hab immer nur das E-Paper gelesen, vielleicht haben sie irgendwelche Apps weiterentwickelt.)
Zum Vergleich:
Papierabo: 114,40 Euro, Papier am Kiosk: 4,70 / AusgabeIch habe soeben gekündigt.
Aber das finde ich schon eine recht krasse Preiserhöhung. Der Beitrag, den sie referenzierte, ist der hier.
Update: Es gelingt mir gerade nicht, Preise zu finden, was ein Werbebanner bei denen kostet. Frank kam bei Überschlagsrechnungen auf einen Schätzwert von unter 5 Cent pro Artikel und User.
Update: Hier ist die Preisliste für Werbung auf Zeit Online schalten. Auf der Homepage zahlt man für 500.000 AI (Ad Impressions, Werbe-Einblendungen) zwischen 14000 und 28000 €. Da muss man gut die Hälfte von für die Mittelmänner im Ad-Business abziehen, wenn ich da richtig informiert bin. Damit kämen wir auf 2.8 - 5.6 Cent pro Einblendung. Normale Banner sind die billigste Kategorie, das andere sind dann so diese ultranervigen Kampagnen mit "wenn man mit der Maus über das Feld hier fährt, breitet sich fullscreen ein Filmtrailer aus" oder so.
Gefunden habe ich das auf Youtube.
Von Serdar Somuncu bin ich schon länger ein Fan, aber die Katrin Bauerfeind hatte ich ein bisschen aus den Augen verloren. Zu Unrecht!
The last time the mayor of Cupertino walked into Apple – the largest company in his small Californian town and, it so happens, the most valuable company in the world – he hoped to have a meeting to talk about traffic congestion.Barry Chang barely made it into the lobby when Apple’s security team surrounded and escorted him off the property.
They said ‘you cannot come in, you’re not invited’.
Oh und Steuern zahlen sie auch nicht. Warum auch. Die örtlichen Politiker haben alle gestrichen die Hosen voll. Hier ist, was passierte, als er einen Vorschlag einbringen wollte, dass Apple mal ein paar Milliönchen aus der Sofaritze kratzen könnte für die örtliche Infrastruktur:To move on the proposal, Chang only needed to get a single vote ‘yes’ among the three other eligible council members. He failed to get that vote.
Bisschen Kontext. Money Quote:
Special thanks to Mr. D. J. Bernstein for refinements to the algorithm that allowed us to reduce the required workload considerably
Das sind übrigens die selben Leute, die auch hinter der Meldung hier standen. Damals war die Aufklärung, dass das Bitflipper waren, die dann auch keine gültige Signatur hatten, die man also auch gar nicht versehentlich verwenden könnte.
In Russland deanonymisieren gerade "besorgte Bürger" per Gesichtserkennungs-App Pornodarsteller und Sex Worker gegenüber ihrer Familie. Ganz ekelhafte Nummer.
Auf der anderen Seite kann man natürlich die Frage stellen, wieso es überhaupt ein öffentliches Gesichtserkennungs-API mit App geben muss.
Und dann wundern die sich, dass die Leute zu irgendwelchen Internet-Banking-Startup-Klitschen mit Bimmel-App wechseln.
Dan Bernstein erklärt das mal in seinem Blog. (Danke, Peter)
Dass ausgerechnet dieser Antiterror-Rottweiler, diese US-Drohne im transatlantischen PR-Brandbombeneinsatz, dieser anti-investigative Journalist Chefredakteur werden soll, das ist echt ein starkes Zeichen, worum es der Politik bei der ARD geht.
Mir tun ja die Leute leid, die in diesem Apparat ihr Dasein fristen. Die ihr Leben auf eine Karriere im Journalismus ausgerichtet haben, damit sie die Bevölkerung aufklären helfen können. Und deren Arbeit jetzt von diesem Nato-Bulldozer plattgewalzt wird.
Oh, übrigens: Ich denke, "Datenschutz ist Terroristenschutz" im Bingo kann man da mindestens anklicken, und "Mehr Befugnisse für die Polizei", "Schärfere Gesetze!" und "(mehr) Datenbanken (zusammenführen)". Bingo!
Ich finde ja gar nicht so bemerkenswert, dass Apple darüber nachdenkt, sondern dass da anscheinend sonst niemand drüber nachdenkt.
Ich glaube nicht, dass das FBI jetzt plötzlich eine neue Methode gefunden hat. Ich glaube, die saßen die ganze Zeit auf mehreren Methoden. Aber diese Methoden sind mit Aufwand verbunden und eignen sich nicht zur anlasslosen Massenüberwachung, daher wollten sie lieber eine Backdoor haben, mit der sie dann auch alle anderen Geräte aufmachen können.
Aber jetzt, wo sich abzeichnet, dass die Bevölkerung da möglicherweise nicht hinter steht, obwohl das FBI so laut "TERRORISMUS!!1!" gerufen hat, und wo sich plötzlich die ganzen Opportunisten hinter Appple stellen, und die Möglichkeit im Raum steht, dass das Gericht ihnen ihren bisher immer erfolgreich verwendeten All-Writs-Act von 1789 (zur Einordnung: die Verfassung der USA ist von 1787) wegschießen könnte, da zieht das FBI lieber den Schwanz ein und riskiert das nicht.
This specific flaw in Apple’s iMessage platform likely would not have helped the FBI pull data from an iPhone recovered in December’s San Bernardino, Calif., terrorist attack, but it shatters the notion that strong commercial encryption has left no opening for law enforcement and hackers, said Matthew D. Green, a computer science professor at Johns Hopkins University who led the research team.
"Apple’s rhetoric is not only false, but also corrosive of the very institutions that are best able to safeguard our liberty and our rights." The government also pushed back against Apple's concerns over the "backdoor" to iPhone making its way to the wrong hands. "Far from being a master key, the software simply disarms a booby trap affixed to one door."
Apple schießt eine Salve Mimimi zurück:He accused the government of trying to "vilify Apple" on unsubstantiated theories.
und legt einen Schmetterball Patriotismus nach:"Everyone should beware, because it seems like disagreeing with the Department of Justice means you must be evil and anti-American," he said in an on-the-record statement. "Nothing could be further from the truth."
Darauf wirft das FBI mit einem Eimer Klärschlamm:the Justice Dept. said in its filing that Apple "made special accommodations in China."
Jawohl! "Ihr habt doch sicher schon eine Backdoor für die Chinesen drin!1!!"Apple reagiert seinerseits mit einer schönen Metapher:
Attorneys for Apple — who were also on the call — quickly rebuffed the allegation, saying that some of the Justice Dept.'s arguments are like "throwing pasta on a wall and hoping something sticks."
Wenn jetzt schon Apple-Erpressungstrojaner mit valider Signatur kommen.
The Maryland Court of Special Appeals on Wednesday upheld a historic decision by a state trial court that the warrantless use of cell-site simulators, or Stingrays, violates the Fourth Amendment.
Das Fourth Amendment verbietet "unreasonable searches and seizures" und sagt, der Staat braucht für Durchsuchungen einen Gerichtsbeschluss oder mindestens Probable Cause. Das Anschalten des Mobiltelefons sei keine Einwilligung zum abgehört werden (das hatte die US-Regierung argumentiert).
Die wollen da 39,90 € pro Monat haben.
Ich muss sagen, dass mich dieser Preis ziemlich schockiert. Das erscheint mir deutlich zu viel. Wenn ich dafür Zugriff auf alle Zeitungen plus Archive kriegen würde, dann könnte man darüber reden (aber es wäre immer noch zu viel finde ich). Aber nur für eine Zeitung? 39,90 im Monat?! Nee, sorry FAZ.
Nun frage ich mich gerade, ob da nur ich falsche Vorstellungen habe, vielleicht ist das ja bei den anderen ähnlich teuer? Der Tagesspiegel will 22,20 pro Monat. Die Berliner Zeitung will 24,99. Die Süddeutsche will 31,99 pro Monat. Der Standard (Österreich): 19,99; NZZ: 66 CHF (60 Euro).
Wow. Ich bin gerade ehrlich erschüttert. Gar nicht wegen der Preise, sondern weil ich es jetzt völlig offensichtlich finde, dass die Zeitungen alle sterben werden. Die haben gar keine Angebote für Leute, die nicht jede ihrer Zeitungen von vorne bis hinten durchlesen wollen! Das rechnet sich doch alles gar nicht? Ich will mich doch pluralistisch informieren! Wenn ich mal Fünfe gerade sein lasse und sage: Drei Abos reichen für den Pluralismus, dann bin ich bei 100 € im Monat! Was glauben die denn, was die Leute so rumliegen haben für Zeitunglesen?!
In meinem Weltbild kann man froh sein, wenn ein Normalbürger für Zeitung ungefähr so viel ausgibt wie für Kino. Alle Zeitungen zusammen dürfen im Monat ungefähr soviel kosten wie einmal ins Kino gehen oder sagen wir mal: Ein Billig-Mobilfunkvertrag.
Besonders krass finde ich, wenn man mal gegenrechnet, wie viel so eine Zeitung an Werbung verdient, wenn ich den Adblocker mal ausmache. Wir reden da von Pfennigbeträgen pro Besucher! Nicht pro Artikel. Pro alle Artikel, die der Benutzer liest. Das Missverhältnis könnte krasser kaum sein.
Ein Konzept gibt es ja noch: Blendle. Da macht man Micropayment pro Artikel. Ich bin da im Moment nicht Kunde, aber das funktioniert dem Hörensagen nach so, dass die einzelne Zeitung da den Preis ansagt, und Blendle kassiert davon ein paar Prozent. Endkundenpreise am Ende sind dann sowas wie 25 bis 75 Cent pro Artikel. Das ist zwar schon viel besser aber immer noch viel zu teuer.
Für mich sieht das alles so aus, als mauerten sich die Zeitungen da gerade in einer Nische für professionelle Zeitungsleser ein, bei denen sich 100 € im Monat für Zeitunglesen lohnt. Die Millionen von Leuten, die ihre Nachrichten aus den sozialen Medien bekommen, und die eh schon nicht viel mehr als die Überschrift lesen jeweils, die haben die schon völlig aufgegeben als Zielgruppe.
Das finde ich gerade sehr belastend, muss ich euch sagen. So klar habe ich noch nie gesehen, dass die Zeitungen alle demnächst tot sein werden.
Ob das besser wird, wenn es eine Weile schlimmer geworden ist?
Ich meine, das ist ja keine neue Einsicht, dass man in den Massenmarkt gehen muss, nicht in den Nischenmarkt, wenn man langfristig gut Geld verdienen will. Was denken die sich denn da alle? Denken die überhaupt?
Update: Mir fällt gerade auf, dass ein offensichtlicher Vergleich hier noch fehlt. Der Rundfunkbeitrag. 17,50 mtl pro Wohnung. Und damit zahlen die nicht nur Nachrichten sondern auch bekloppte Unterhaltungsserien und Fußball- und Olympia-Lizenzen. Mein Vorschlag zur Güte ist daher: Keine Sportlizenzen mehr, keine Vorabendserien mehr, und das eingesparte Geld verteilt man unter den Zeitungsverlagen. Was meint ihr?
Update: Bei der New York Times zahlt man $98 für ein Jahr Zugriff, also $8 pro Monat.
Members of Congress did something almost unheard of at Tuesday’s hearing on the brewing battle over encryption between Apple and the FBI: their job.
*Wieher*
(Jaja, das ist nicht das HQ sondern die Labs in Sunnyvale, aber dann klappt der Witz nicht)
Darauf haben damals, als Chrome mit dem Auto-Update-Kram anfing, einige Paranoide hingewiesen. Heute erinnert sich da kaum noch jemand dran.
Schön formuliert:
So when Apple says the FBI is trying to "force us to build a backdoor into our products," what they are really saying is that the FBI is trying to force them to use a backdoor which already exists in their products. (The fact that the FBI is also asking them to write new software is not as relevant, because they could pay somebody else to do that. The thing that Apple can provide which nobody else can is the signature.)
Ich ärgere mich ja inzwischen mehr darüber, dass Firefox keine Diffs für ihre Quellcode-Tarballs anbietet, aber für die Binaries irgendwelche schrottige Bindelta-Technologie haben. Die wollen schlicht gar nicht mehr, dass jemand den Quellcode anguckt oder selber aus den Quellen seine Pakete baut. Das ist nur noch ein PR-Argument, kein inhaltliches mehr.
Auf der anderen Seite ist natürlich die Frage, wie das gehen soll, wenn Apple Updates ausliefern kann. Dann kann Apple auch böse Updates ausliefern. Mit Verschlüsselung kann man da nur am Rand was machen. Zumindest der Teil, der die Verschlüsselung macht, und den Schlüssel in der Hand hat, der müsste dann un-update-bar sein.
Angeblich ist ja schon bei den Nachfolgemodellen von dem Telefon, um das es in dieser Sache ging, die Krypto in einem Chip und nicht in Software, und das FBI will die Verzögerung bei falscher PIN-Eingabe umgehen, indem sie die Firmware von diesem Krypto-Chip kaputtupdaten. Rein konzeptionell kann man aber mit physischem Zugriff auf die Hardware immer reinkommen, es ist bloß eine Frage der Kosten. Fragt nur mal die Pay-TV-Industrie und die Spielekonsolenhersteller.
Ich möchte aber auf eine Sache bei der Gelegenheit hinweisen: Code Signing hat nicht geholfen. Viele Leute halten Code Signing für ein Sicherheitsfeature. Ist es nicht.
Oh und nur keine bösen Updates mehr reinzulassen ist nicht genug. Man hat auch immer das Problem, wenn jemand ein gutes Update nicht einspielt. Oder was wenn das FBI Apple richterlich verpflichten lässt, für einen ihnen bekannten 0day keinen Patch auszuliefern?
Erfahrungsgemäß ist die Gefahr groß, dass es sich hier um Semantik-Spielchen handelt, die ein paar Zäune ein paar cm verschieben, aber am Ende ist doch alles wie vorher.
Passive Wi-Fi is, as the name suggests, partially passive—it takes in radio wave energy from an outside source and reflects that signal with its data added to it. Vamsi Talla, a UW electrical engineering doctoral student and co-author of the research, explained, "All the networking, heavy-lifting and power-consuming pieces are done by the one plugged-in device. The passive devices are only reflecting to generate the Wi-Fi packets, which is a really energy-efficient way to communicate."
Ergebnis: Faktor 10000 weniger Stromverbrauch auf den Wifi-Clients. Nun spielt Wifi zwar eine signifikante Rolle im Stromverbrauch beispielsweise bei Mobiltelefonen, aber ganz so großartig wie es jetzt klingt ist es auch nicht. Außer das Display ist die ganze Zeit aus und es laufen kaum Hintergrund-Apps.Update: Frank meint, ich soll zur Illustration auch dieses schöne historische Beispiel für das Prinzip erwähnen :-)
Update: Bill Gates dementiert.
Und unsere Verschlüsselung gegen das fiese FBI verteidigt?
Und ich will jetzt nicht auf die naheliegende Theorie hinaus, dass Apple dem FBI nicht helfen wollte, weil sie einen Exklusivvertrag mit der NSA haben. Nein.
Ich will hierauf hinaus:
Apple had asked the F.B.I. to issue its application for the tool under seal. But the government made it public, prompting Mr. Cook to go into bunker mode to draft a response, according to people privy to the discussions, who spoke on condition of anonymity. The result was the letter that Mr. Cook signed on Tuesday, where he argued that it set a “dangerous precedent” for a company to be forced to build tools for the government that weaken security.
Apple hat das FBI gebeten, sie nicht-öffentlich nach der Backdoor zu fragen, und dann hätten sie sie auch ohne zu zucken eingebaut. Aber als das FBI dann aus internen Machtdemonstrationsgründen gegenüber den anderen Geheimdiensten und anderen Tech-Firmen einen auf dicke Hose machte und das öffentlich über einen richterlichen Beschluss machte, da hat Apple sich dann entschieden, lieber einen auf theatralischen offenen Brief zu machen.Apple scheißt auf eure Privatsphäre. Außer man kann für die PR ausschlachten. Dann machen sie Rehaugen und zähneknirschen ein bisschen in die Kamera.
Das ist alles so eine verlogene Scheiße.
Und dass die ganzen Zeitungen, die unsere Daten an Dutzende von Werbenetzwerken verkauft haben, es wagen, über Datenschutz zu schreiben, das ist auch noch mal ein Thema für einen anderen Rant.
Ich bade hier ja gerade in den Tränen der Apple-User, die mich vollheulen, dass Apple doch Datenschutz total wichtig nimmt. Ja, voll sicher, eure Daten. Da in dem Apple-Tresor. Wo außer von Apple sanktionierten Brosamen keine Realitätsfitzelchen durchgelassen werden. Pest und Cholera.
Ja wie jetzt. Duh?! Hat das ernsthaft irgendjemand noch nicht mitgekriegt? Die alten Männer mit ihren Filzstiften wollen Zugriff auf alles und jeden, immer und überall. Wenn es existiert, wollen sie Zugriff. Wollen nicht nur. Haben.
Wir reden hier von einer Junta, die mal eben für ein ganzes fremdes Land einen Ausschalter installieren, damit sie willkürlich das andere Land runterfahren können. Seit Jahren scrollen die Meldungen an uns vorbei, was GCHQ und NSA alles abschnorcheln. Und wo sie keinen offiziellen Zugriff kriegen, da beschaffen sie sich halt inoffiziellen Zugriff.
Und jetzt sollen wir denen ernsthaft glauben, dass sie ein gammeliges Iphone nicht entsperrt kriegen?!
Für wie blöde halten die uns eigentlich!?
Nein, liebe Leser, lasst euch da mal nicht verarschen.
Das ist Theater, dieser offene Brief von Apple. Selbstverständlich kann alles entsperrt werden.
Wir reden hier von der Regierung der USA auf der anderen Seite. Die Emails und SMSsen sind eh an der Schnorcheln der NSA vorbei gekommen, die Telefonat-Metadaten stehen in der Datenbank der Telcos, die mit der Polizei kooperieren.
Ich kenn mich jetzt nicht damit aus, wie Apple ihren Cloud-Scheiß technisch macht, aber ich würde mal vermuten, dass man da an die Daten wieder rankommt, wenn man genug Zeit zum PINs durchprobieren hat und an den Computer mit dem Itunes drankommt.
Wenn nicht eh die PIN als Textdatei auf besagtem Computer liegt.
Oder die NSA benutzt einen ihrer Baseband- oder Jailbreak-0days. Oder man wartet halt ein bisschen, bis die 0days von heute die bekannten Lücken von morgen sind, und dann benutzt man eine bekannte Lücke.
Error 53.
Warum gibt es eigentlich noch Leute, die bei denen kaufen? Was müssen die noch machen? Eure Kinder entführen und in Saudi-Arabien auf dem Sklavenmarkt verkaufen?
Update: Ein Einsender meint, das sei ein klarer Fall für die 2 Jahre Gewährleistung in der EU, denn dass Apple das Gerät aus der Ferne bricken kann, das war offensichtlich ein beim Kauf schon angelegter Mangel.
New hotness: Mann muss Embedded-Controller-Firmware rooten, damit sein Laptop ihn den Akku seiner Wahl einbauen lässt.
Was für eine bodenlose Frechheit. Und mal wieder Lenovo. Wollen die nicht mal zwischendurch auch mal positiv auffallen? Von denen kommt ja echt nur noch sowas als Meldung!
So, dann gucken wir doch mal in den Fahrplan.
Tag 1: Der 11:30-Slot hängt davon ab, wer die Keynote macht. Ich denke mal, ich würde da in der Keynote bleiben.
Der Slot ab 12:30 ist schwierig. Saal 1 ist eine Netzpolitik-NSAUA-Veteranin, das wird sicher spannend. Saal 2 ist die Erfinderin von Blue Pill, wenn ihr euch an den Hype vor ein paar Jahren erinnert. Ihr Konzept im Vortrag hat sie schon geblogt. Es ist: Stateless Laptop. Sie fordert eine Hardware ohne Speichermedien, insbesondere ohne Firmwares und Flash-Biosse, kurz: was, wo man nirgendwo Malware einspielen kann. Ich glaube, der Zug ist abgefahren. Und vor allem ist es bei heutiger hochintegrierter Elektronik gar nicht so einfach, von außen zu bestätigen, dass da nirgendwo Flash-Speicher mit dabei ist. Aber anhören möchte ich mir das trotzdem. Mal gucken, entscheide ich kurzfristig.
Der Slot ab 14:00 wird wohl Saal 1 oder verlängerte Mittagspause mit Socializing bei mir.
Beim Slot um 16:00 tendiere ich zu Saal 2. Bin eher nicht so der Hardware-Hacker, aber Saal 1 ist noch hardware-iger.
Der Slot um 17:00 wäre eigentlich ein klarer Fall von Saal 2, aber da kenne ich den Vortragenden und habe die Folien korrekturgelesen. Mal gucken.
Der Slot um 18:30 ist wieder schwierig, weil es in beiden großen Sälen um Massen-Pwnage geht. Saal 1 ist von den Scada-Strangelove-Leuten und handelt von Eisenbahn, Saal 2 ist glaube ich der Vortrag, in dem das Netz von Kabel Deutschland Schaden nimmt. Wobei sie das schon gefixt haben werden. Also eher Schaden fürs Ansehen.
Der Slot um 20:30 wird Saal 2 für mich, gar keine Frage. Saal 1 betrifft Apple. Who cares.
Der Slot um 21:30 wird ganz klar Saal 1. Saal 2 ist sicher auch spannend und cool, aber Saal 1 ist ein Hardware-Ingenieur von AMD, eine der wenigen ernstzunehmenden Einreichungen, die wir zu Failosophy hatten. Bei Failosophy war die Idee, Industrieveteranen mal über ihre Fehlstarts berichten zu lassen, damit man was daraus lernen kann. Und um "boah guckt mal alle wie toll wir hier sind" zu vermeiden. Da muss ich also hin. Saal 3 klingt auch gut, aber Saal 1 ist Pflicht an der Stelle. Gut, dass wir Video-Aufzeichnungen haben!
Der Slot um 23:00 ist schon wieder ein Konflikt zwischen Saal 1, wo djb und Tanja Lange sprechen werden (mehr muss ich gar nicht wissen, da werde ich sitzen) und Saal 2, wo mein alter Kumpel Gadi und einer seiner Techniker-Mitarbeiter einen dem Vernehmen nach sehr coolen Vortrag über Trojaner-Zoologie halten wird. Na mal gucken, vielleicht geh ich auch zu Gadi und guck mir djb auf Video an. Eine harte Entscheidung. Mann Mann Mann, ey!! Wer macht eigentlich immer diese Fahrpläne?! *rant*
Update: Ich erfahre gerade aus gewöhnlich gut informierter Quelle, dass man den VW-Talk unbedingt sehen will. Der ist heute um 14:00 in Saal 1.
Update: Beim Durchgucken der anderen Tage fällt mir auf, dass ich fehlinformiert war. Wir haben da einige coole Failosophy-Talks.
“We were prepared to cooperate with Turkey on most sensitive issues and go further than their allies. Allah knows why they did it. Apparently Allah decided to punish the ruling clique in Turkey by taking their sanity,” Putin said.
Das "why they did it" bezieht sich auf den Abschuss des russischen Fliegers.
Update: Threema dementiert.
Na?
Kommt ihr NIE drauf!
Sagt der belgische Innenministers.
“The thing that keeps me awake at night is the guy behind his computer, looking for messages from IS and other hate preachers,” he said. He warned of the growing use by terror networks of the gaming console PlayStation 4, which allows terrorists to communicate with each other and is difficult for the authorities to monitor. “PlayStation 4 is even more difficult to keep track of than WhatsApp,” he said.
Klingt ziemlich Sci-Fi, aber die Behauptung ist diese: Werbefilme spielen einen Ton außerhalb des hörbaren Spektrums ab, und den können dann Apps auf dem Tablet oder Mobiltelefon erkennen und damit kann man dann Geräte korrelieren.
Ich frage mich, wie das funktionieren soll. Im Fernsehen kann man ja nicht jedem einen anderen Spot mit einem anderen Ton vorspielen. Da korreliert man doch dann gar nichts am Ende.
Aber nehmen wir mal an, der ein Werbebanner im PC spielt den Ton und das Mobiltelefon entdeckt ihn. Das könnte ich mir vorstellen. Allerdings müssten sie dafür eine fiese App aufs Telefon kriegen, und die müsste die ganze Zeit das Mikrofon angeschaltet haben. Hmm.
Aber versetzt euch mal in so jemanden rein. Stellt euch mal vor, ihr wäret David Cameron. Wie würdet ihr diese Dissonanz zwischen eurer Rhetorik und den Auswirkungen eurer Taten verringern?
Schritt 1 wäre wohl, dass man darauf achtet, vorher nie neutrale Fakten zu Gesicht zu kriegen, sondern nur die massierten "Fakten", die euer Apparat produziert, um eurer Politik mit dem Anschein einer Faktenbasis Legitimität zu erschleichen. Aber es ist ja auch genau so wichtig, dass ihr dann nicht prüft, ob eure Politik funktioniert. Denn sie tut es nicht. Und das würdet ihr ja nicht in eurer Filterblase haben wollen, oder?
Bei Gedanken dieser Art ist es sehr schön, wenn man mal einen Blick hinter den Vorhang werfen kann.
Es geht darum, dass David Cameron sieht, dass in seinem Wahlkreis die Dienstleistungen der öffentlichen Hand so krass zusammengestrichen wurden, dass die Bürger essentielle Dienstleistungen nicht mehr in Anspruch nehmen können. Cameron schreibt also einen Brief an die Zuständigen in seinem Wahlkreis, und in dem Brief drückt er sein Entsetzen darüber aus, wieso die die Dienstleistungen wegkürzen! Er habe ihnen doch von oben lediglich ein kleines bisschen Budget gestrichen, und überhaupt, da hätte man doch Wasserkopf abbauen können anstatt Dienstleistungen wegzustreichen!1!!
Daraufhin antwortet sein Statthalter vor Ort:
Explaining the issue gently, as if to a slow learner, the council leader, Ian Hudspeth, points out that the council has already culled its back-office functions, slashing 40% of its most senior staff and 2,800 jobs in total, with the result that it now spends less on these roles than most other counties. He explains that he has already flogged all the property he can lay hands on, but would like to remind the prime minister that using the income from these sales to pay for the council’s running costs “is neither legal, nor sustainable in the long-term since they are one-off receipts”.
Nicht nur haben sie da keinen Wasserkopf mehr, weil sie den schon in früheren Sparrunden weggekürzt haben. Sie haben auch schon ihr Tafelsilber verhökert. Und im Übrigen:As for Cameron’s claim about government grants, Hudspeth comments: “I cannot accept your description of a drop in funding of £72m or 37% as a ‘slight fall’.”
Hier 72 Millionen, da 72 Millionen, nach einer Weile kommt da richtig Geld zusammen!1!!Again and again, he exposes the figures the prime minister uses as wildly wrong. For example, Cameron claims that the cumulative cuts in the county since 2010 amount to £204m. But that is not the cumulative figure; it is the annual figure. Since 2010, the county has had to save £626m. It has done so while taking on new responsibilities, and while the population of elderly people and the numbers of children in the social care system have boomed. Now there is nothing left to cut except frontline services.
Da sieht man sehr schön, wie die Befehlskette zum Premierminister dafür sorgt, dass der mit der Realität nicht konfrontiert wird.
Frank steuert die Fachbereiche für Cyber-Feng-Shui, Cyberanthroposophie und Cyberontologie bei, ich bin für die Orgonenenergetik, Ordo-Fefeminismus und Fragestellungen aus der kybernetischen Vecturalmystik zuständig.
Ernstgemeinte Bewerbungen auf Beitritt zum Exzellenscluster werden wir wohlwollend prüfen, machen aber keine Versprechungen an dieser Stelle.
Update: Erklärtes Ziel des Exzellensclusters ist full-spectrum cyber, falls das jemandem nicht klar war.
Update: Für den interdisziplinären Aufbaukurs "Full-Spectrum Cyber" kommt überhaupt nur ein Dozent mit ausreichend Credentials in Frage. Damit wir uns jemanden von dem Kaliber leisten können, müssen wir aber noch ein paar Sponsoren gewinnen, fürchte ich.
Update: Wir konnten einen weiteren Stützpfeiler für unseren Exzellenzcluster gewinnen:
Das Bachinstitut für theoretische, angewandte und abgewandte Parainformatik könnte Euren Studierenden Austauschsemester mit den Spezialisierungsrichtungen Systemischer Asozialkonstruktivismus, Angewandte kanonische Cyberepistemologie, Protoorgasmische Multispektralpsychedelik, sowie Aufbaukurse in Indiskreter Hypermathematik, Orgonographie und Dissoziationsrechnung anbieten.
Update: Jeder Exzellenzcluster braucht auch einen Leuchtturm-Forschungsprojekt auf höchstem Niveau, an einem Lehrstuhl von internationalem Renommee. Bei uns ist das:
Der Kurz-Lehrstuhl für Cybersophrologie steuert seine interdisziplinäre Forschungsgruppe für empirische Forschungseklektik bei, die sich aktuell mit den Doktorarbeiten einiger hochrangiger Politiker beschäftigt.
Update: Sagten wir Sponsoren? Wir meinten natürlich: Drittmittel!
Update: Ich fürchte, wir müssen attraktiver für das Militär werden, wenn wir das Drittmittelproblem lösen wollen. Wir brauchen gezielte APT-Forschung und sollten auch gleich ein paar Bullshit-Startups ausgründen und Patenttroll-Gerichtsverfahren gegen Apple und Samsung führen.
Update: Wir haben hier noch eine Bewerbung für die Sozietätsgesellschaft für Cybersteuerung, die Forschungsvorhaben zu polymultipler Cybertechnik, kybernetischer Philosophie und technischem Infrastrukturunterbau beisteuern möchte. Man versicherte uns dort auch glaubwürdig, Fördermittel der Bundeserprobungsstelle für intelligente Kyberwirkmittel acquirieren zu können.
Update: Ein Einsender wies darauf hin, dass theologische Fragen noch nicht ausreichend gewürdigt werden, um von einer wahrhaft ganzheitlichen Forschung sprechen zu können. Wir veranstalten daher im Sommersemester ein interdisziplinäres Forschungskolleg zur Cyberkartografierung der heiligen Dreifaltigkeit aus Cloud, APT und Full-Spectrum Cyber.
Im Review Prozess fand Apple Anstoß an den Folgenden Inhalten:Hardware attacks: hacking chips on the (very) cheap
Bluetooth Hacking – The State of The Art
Hacking Medical Devices
Gamehacking & Reverse Engineering
Crypto-Hacking Export restrictions
Jailbreak: eine Einführung
Social Engineering und Industriespionage
$kernel->infect(): Creating a cryptovirus for Symfony2 apps
Ich hoffe mal, die Verlage haben in der Zwischenzeit mal den Kopf aus ihrem Arsch gezogen und merken, dass proprietäre Plattformen mit Walled Garden keine akzeptable oder gar unterstützenswerte Distributionswege sind. Was kommt als nächstes, Apple killt die Tagesschau-App, weil die Tagesschau mal einen negativen Halbsatz über Apple fallen gelassen hat?
Mein Kumpel Erdgeist hat dazu mal ein paar Gedanken aufgeschrieben.
Unter anderem ist es im Buch Mindy Park, die erkennt, dass auf dem Mars noch jemand am Leben ist, in ihrer Freizeit. Ich nahm anhand des Namens an, es handele sich um eine Asiatin, aber im Film ist das eine Weiße, und sie findet das nicht in ihrer Freizeit, sondern weil ihr Chef ihr sagt, sie soll da mal gucken. Mit Plotkürzungen kann ich leben, aber sowas finde ich nicht akzeptabel. Das ist ja gerade der Punkt an der Stelle, dass eben nicht "der Apparat" ihn findet sondern Kommissar Zufall in Form einer Freiwilligen, ein kleines Rädchen im Apparat, die da ohne expliziten Auftrag rumguckt.
Außerdem gibt es im Film wohl eine Szene, die im Buch nicht ist, wo sie sich abwertend darüber lustig machen, dass die Nasa-PR-Frau keine Ahnung von Raumfahrt hat. Diese Art von Blöße gibt sich das Buch nicht.
Meine Kumpels sagen, der Film lohnt sich trotzdem. Aber lest lieber vorher das Buch.
Update: Kommentar per Mail:
Ganz so ist es nicht. Auch im Film will die Leitung der NASA keine Fotos des Unglücksstelle, weil man die Fotos – wie im Buch – nach einer gewissen Zeit veröffentlichen muss, aber keine Bilder von Marc Watneys Leiche haben will. Es wird dann aber trotzdem gemacht.
Die Geschichte mit der PR-Beraterin ist zwar so, wie geschildert, aber das hat den Grund, dass es in so Filmen immer jemanden geben muss, dem man den technischen Kram erklären muss, damit ihn auch der Zuschauer erklärt bekommt. Da kann man eine neue Figur einführen oder man nimmt eine Figur, die schon da ist. Die Pressesprecherin ist da natürlich ein dankenswerter Kandidat. Im Buch erklärt Marc Watney selber diese ganzen Dinge. Das war einer der Punkte, bei denen ich mich gefragt habe, wie man das im Film rüberbringt und das ist meiner Meinung nach gut gelungen.
Aber ich muss trotzdem sagen, dass viel umgestellt wurde. Wohl viel aus Zeitmangel aber da hätte ich andere Dinge eher mehr gekürzt. Aber da werde ich nicht mit jemanden wie Ridley Scott streiten.
:-)
Update: Noch ein Kommentar:
ich dachte auch, dass Mindy Park eine Asiaten sei.
Die Besetzung von dem Charakter Mindy Park war wohl eine rein strategische, um sich an die "Halt and Catch Fire"-Fans anzuranzen. (https://de.wikipedia.org/wiki/Halt_and_Catch_Fire)
Denn Mindy Park wird gespielt von Mackenzie Davis (https://en.wikipedia.org/wiki/Mackenzie_Davis), und diese spielt als gut aussehende Nerd-Frau auch in The Martian eine völlig unglaubwürdige Figur. Mackenzie Davis ist privat nicht mit der Computerwelt in "Nerd-Form" groß geworden und schafft es nun mal in beiden Rollen keine Sekunde, dass man ihr die Spezialisten abnimmt.
Ah, von der Serie hatte ich noch nie gehört.
Update: Noch ein Einspruch:
ich habe sowohl das Buch als auch den Film innerhalb des letzten Monats gelesen bzw. gesehen, daher kann ich deine Aussage zu Mindy Park so nicht stehen lassen. Sie bekommt auch im Buch den Auftrag die Umlaufbahn der Satelliten so anzupassen, dass Bilder der Forschungsstation von Ares 3 übertragen werden. Sie schaut sich diese Bilder nur als erste an und findet dabei heraus, dass etwas nicht stimmt. Das macht Sie übrigens auch nicht in ihrer Freizeit.
Ich kann den Film zudem nicht empfehlen wenn man vorher das Buch gelesen hat. Die NASA rückt sehr ins Zentrum des Films (gefühlt ca. 60% NASA und 40% Mark Watney) und eine Vielzahl der Probleme die Watney auf dem Mars bewältigen muss werden, wenn überhaupt, nur im Schnelldurchlauf abgehandelt. Dazu kommt die lächerliche Hollywood-Abwandlung eines eigentlich guten Buchendes.
Zudem gibt es im Buch eine Kooperation zwischen chinesischen und amerikanischen Wissenschaftlern. Ich habe das im Buch so aufgefasst, dass Wissenschaftlern die Politik ihres Landes generell egal ist wenn sie die Möglichkeit haben andere Wissenschaftler zu unterstützen (natürlich muss das auch im Buch der chinesischen Regierung anders verkauft werden).
Im Film ist der chinesische Wissenschaftler dann der Onkel eines NASA-Mitarbeiters, denn wir alle Wissen, dass ein Chinese nur dann einem Amerikaner helfen würde, wenn er mindestens mit ihm verwandt ist. Von der ursprünglichen Aussage des Buches bleibt da nicht viel übrig.
Aber macht ja nichts. Für den Preis, den man bei der Reparatur spart, kann man sich dann auch ein Android-Zweitgerät anschaffen. Oder man spart sich den Apple-Kram direkt ganz und kauft sich für das Geld fünf Android-Geräte. Oder was ist da der aktuelle Kurs?
Update: Was hat das mit Feminismus zu tun? Nun, a) es sind Frauen, b) sie führen Frauen (und Männer) der Objektifizierung zu. Das war immer einer der Hauptkritikpunkte des Feminismus an den Männern. Und jetzt machen es Frauen. Ist das Satire? Kunst? Sind die einfach nur doof? Oder ist das voll OK?
Update: Die feministische Sicht auf diese App scheint recht geschlossen contra zu sein. Mary Sue, Jezebel, Feministing. Schönen Dank an die hilfreichen Feministen, die mir die Links geschickt haben!
Ja, äh, wofür brauchen wir dann noch gleich ein Angebot für junge Leute? Vielleicht solltet ihr einfach das normale Angebot so machen, dass sich junge Leute ernst genommen fühlen? Die alte Säcke haben sich ja schon daran gewöhnt, für dumm verkauft zu werden. Das jungen Leute haben da keinen Bock drauf. Das Problem löst ihr doch nicht, indem ihr sie mit buntem Tand ablenkt, sondern indem eure normalen Artikel weniger schlimm werden!
Ich meine, gucken wir doch mal kurz rein bei bento. Nehmen wir doch mal den Artikel, den spiegel.de direkt featured und in ihr Programm übernommen hat. Umfrage: So spießig ist die Generation Y wirklich. Wie, steht da nicht? Nein, steht da nicht. Das war die Bezeichnung bei spiegel.de. Untertitel:
Was wurde der Generation Y nicht alles vorgeworfen: langweilig, zahm, bieder. Jetzt zeigt eine Umfrage unter 18- bis 30-Jährigen: Das stimmt alles. Aber was ist daran so schlimm?Und wenn man dann draufklickt? Dann ist die Überschrift plötzlich "Future: So spießig sind wir wirklich". Die Schriftart der Überschrift heißt übrigens Maax und wirkt wie bei sputnik.de geklaut. Die Schriftart des Textes heißt Roboto Slab und ist von Android geklaut. Und der Untertitel bei bento.de?
Wir sind realistisch, nicht rebellisch, und finden Gesundheit, Sicherheit und Familie superwichtig. Das hat unsere Umfrage unter 18- bis 30-Jährigen ergeben. Ist das schlimm?Fällt jemandem was auf?
Tja, spiegel.de, so wird das nichts. Damit hat ihr mir ins Gesicht gesagt, dass ihr mich für einen alten Sack haltet, der sich von diesem Firlefanz nicht angesprochen fühlen sollte. Und bento wirkt auf mich wie so ein nerviger Animateur beim Pauschalurlaub, der händeringend versucht, sich bei den Elitegören anzubiedern und so zu tun als sei er einer von ihnen und hier könnten gleich alle total viel Spaß haben, wenn sie nur mitmachen und sich drauf einlassen. Sowas stößt mich ja eher ab.
Ihr kennt das vielleicht von Fernsehserien oder Filmen. Ihr guckt eine Weile hin, weil es aussieht, als gäbe es da interessante Twists in der Story. Als ob das alles ein schönes Gefüge ergäbe. Und irgendwann merkt ihr dann, dass das alles Bullshit ist, und von Fokusgruppen-Beobachtern so hingebastelt wurde, damit du dran bleibst und die Werbung guckst. Und plötzlich schaltest du angewidert aus und hast nie wieder Bock auf den Scheiß.
Ich glaube ja, dass Leute sich davon abgestoßen fühlen, wenn man ihnen den Eindruck vermittelt, man will sie einfangen. Wenn ich bei der Unterhaltungsshow den Eindruck erhalte, sie braucht mich dringender als ich sie. Ein Kabarettist bettelt ja auch nicht das Publikum an, sie mögen doch da bleiben und sich seine nächste Pointe anhören. Da würden auch alle sofort gehen. Nein. Es muss völlig klar sein, dass der da was zu sagen hat, und dass das interessant ist, und ich deshalb bleiben will.
Und das verkacken aus meiner Sicht einige Medien ganz gewaltig. Besonders häufig das Fernsehen. Amerikanische TV-Serien haben überhaupt immer viel zu viele Episoden pro Staffel und laufen viel zu lange. Ich habe mich immer darüber aufgeregt, dass die Briten bei ihren besten TV-Shows dann nur sowas wie 6 Episoden haben. Oder gar nur 3 bei Sherlock. DREI! Das reicht doch nicht!!
Aber vielleicht sind das ja deshalb die besten TV-Shows, weil die nur 6 Episoden haben?
Lieber weniger sagen, und dafür dann was zu sagen haben.
Wenn ich mir die bento-Homepage gerade angucke, sehe ich dort:
In der ersten Ausgabe schon so viel Füller-Scheiß! Dann unter "Today" einmal "Hi. Wir sind bento!". Na gut. Lassen wir mal durchgehen. Werbung für Facebook. Werbung für Nexus-Telefone. Werbung für Akte-X. Twitter-Beobachtungs-Freakshow über irgendeinen Republikaner, der irgendeinen hirnlosen Scheiß sagt. Und "Die Stimmen in meinem Kopf sind eigentlich ganz in Ordnung". Sorry, aber soweit komme ich normalerweise nicht. Ich wate doch nicht durch so viel Füller-Werbung, um dann so einer nichtssagenden aber möglicherweise interessanten Schlagzeile hinterher zu klicken! Wer drauf klickt, stellt fest: Ist auch Werbung. Für einen Pixarfilm. Darunter kommt noch "Musik" (Werbung für irgendwelche Acts), "Fühlen" (Was zur Hölle!) mit so Themen ala "Petra"/"Amica" oder "GQ"/"Playboy" (aber ohne entblößte Brüste).
Was an diesem Magazin ist denn bitte nicht schon in der ersten Ausgabe obsolet? Alles Werbung oder von woanders geklaut. Twitter- und Facebookklicken können die Leute auch selber, da brauchen sie kein "Magazin" für.
Jetzt sitze ich zwischen zwei Zielgruppen. Für bento zu alt und für spiegel.de zu jung. Na dann schaut mal, wer sich von euch Werbung reindrücken lässt.
Ich würde ja auch gerne mal wissen, wer auf spiegel.de die Videos klickt. Da muss man jeweils durch 20-30 Sekunden Werbung durch. Und das Video, wenn man es bis dahin durchhält, macht man dann nach 5 Sekunden rumzoomen wieder zu, weil es langweilt.
Und dann wundern sich die Redaktionen, wieso nicht mehr Leute klicken.
Update: So, und nachdem ihr bento.de gesehen habt, schaut euch mal himate.de an. Von denen hatte ich vor heute auch noch nie was gehört. Anscheinend hatten die gerade einen "Relaunch". Äußerlich genau das selbe wie bento. Der selbe von Sputnik geklaute Überschriftenstil, dafür die Schriftart der Artikeltexte nicht von Android geklaut sondern "Avenir" gekauft, eine serifenlose. Das macht man heutzutage so, Apple macht das ja auch! Weniger krass viel Werbung als bei Bento, dafür noch so Clickbait-Listenscheiß dazwischen. "9 Gründe, warum $WHATEVER" und "5 Wege high zu werden". Dazu noch eine Packung Buzzfeed-Pseudozuschauerintegration über "Fragen" wie "Kühlschrank, Obstkorb: Wie lagerst du dein Grünzeug?" (who gives a fuck?!) und "Rosenkohl – warum du ihn entweder liebst oder hasst" (ernsthaft?!?), ein bisschen Beziehungsbullshitkrisen"beratung" und so weiter. Die Site dient sich an wie ein aufdringlicher WG-Mitbewohner. Ihr wisst schon, so "Halt mal kurz das Bier, ich zeig dir mal was"-Typen. So Leute, die irgendwelchen falschen Bullshit aus dem Internet auch noch mal extra-falsch wiedergeben. "27 Apps, die dein Studium ultimativ leichter machen". Wie wäre es damit, die 27 Apps runterzuschmeißen, und sich aufs Studium zu konzentrieren statt mit dem Smartphone zu spielen? Mann ey. Mit Freunden wie diesen braucht man keine Feinde mehr.
Insgesamt frage ich mich, wieso irgendjemand glaubt, die Welt bräuchte solche Sites. Macht Buzzfeed so viel Kohle? Dann sollten wir vielleicht mal einen angemessenen Mindestlohn einführen und nicht noch mehr so Bullshit-Sites aufmachen.
Nun, dann solltet ihr euch mal diese Webseite hier durchlesen. Und dann könnt ihr euch amüsieren, dass die natürlich auch in den USA gehostet ist und damit unter diese Regelungen fallen würde.
Update: Google steht da nicht. Wer's gemerkt hat, kann sich 10 Medienkompetenzpunkte gutschreiben.
Ich kann das Gesabbel über diese so genannte "Flüchtlingskrise", unter der Deutschland angeblich ja ach so doll "leidet", langsam wirklich nicht mehr ernst nehmen. Mittwochmorgen hörte ich im Deutschlandfunk, daß die Unterbringung aller 800.000 Leute irgendwas um die 8 Milliarden Euro kosten würde - und zwar, wenn man es so aufzieht, wie die Hilfsorganisationen es gerne hätten.Das ist ja schon mal eine ganz wichtige Ansage. Ich würde das gerne noch kurz mit der Bankenkrise vergleichen, wo wir in der EU alleine für Spanien mal eben einen Rettungsschirm von 100 Milliarden aufgespannt haben. Und da diskutieren wir überhaupt noch über 8 Milliarden? Wo es um Menschenleben geht und nicht um unsere Renten verzockende Bankster?!Nun werden nach meiner Wahrnehmung diese so genannte Krise und die damit verbundenen Kosten ja landauf-landab als DAS Gesprächsthema überhaupt gehandelt. Ich halte das für eine groteske Fehlallokation von Aufmerksamkeit. Hier ist ein Beitrag von Zeit Online:
http://www.zeit.de/wirtschaft/unternehmen/2015-09/apple-iphone-steuern-europaDarin steht, daß die Firma Apple in den vergangenen fünf Jahren alleine für das Produkt iPhone aufgrund ihrer angewandten Gewinnverschiebungs-Buchhaltertricks satte neun Milliarden Euro an Steuern an den Finanzbehörden vorbeigeschleust hat. Und ich betone: Nur für das Produkt iPhone! Und das völlig legal. Weil unsere Regierungen das erlauben.
So. Und jetzt sage ich den Leuten, die sich hier als Opfer sehen: Überdenkt mal, wo ihr eure Aufmerksamkeit hintut!
Ich glaube, wir sollten bei der Gelegenheit mal auf die Tabelle mit den über die verschiedenen Steuern reinkommenden Beträge gucken. Alleine die Zinsabschlagssteuer 2012 sind über 8 Milliarden. Das ist die Quellensteuer! Ihr kennt die bestimmt, weil die Banken euch einen Brief geschrieben haben, dass ihr euch davon befreien lassen könnt, weil ihr zu wenig Zinsen einnehmt, um davon betroffen zu sein. Ja, DIE Steuer, die wahrscheinlich hier niemanden betrifft. Die alleine könnte für all die Flüchtlinge zahlen.
Tabaksteuer: 14 Milliarden. Kaffeesteuer + Schaumweinsteuer + Biersteuer: 3 Milliarden. Mit Tabak und Alk zusammen könnten wir nochmal doppelt so viele Flüchtlinge unterbringen.
Aber sei es drum. Wie sich rausstellt, hat #BlackLivesMatter "Walking Dead" entdeckt und sofort als mögliches Kritikziel erkannt. Denn — festhalten — die Zombie-Opfer in der Serie sind überproportional viele schwarze Männer, während die weißen, eh schon privilegierten Frauen alle überleben. Nein, wirklich!
Was sich erst wie eine Glosse liest, deckt dann aber doch einen wichtigen Punkt auf, der im Plot noch deutlich eklig-konservativer ist als der eh schon eklig-konservative Rest:
But while critics are trying to reverse-affirmative-action the body count (What do we want? More white zombies! When do we want them? Now!) they’re missing the real outrage — #BlackLivesMatter is helping cause the zombie apocalypse.As the show unfolds, outrage over police shootings is causing crowds to gather exactly where the zombies are, the crowds are refusing to disperse despite the fact that the entirety of human civilization hangs in the balance, and consequently they’re primed to be transformed from a spontaneous public uprising to a cannibalistic zombie herd in a matter of hours. It’s a clever plot device, one that explores how the public would actually react to mind-boggling video footage of an apparently harmless drug addict being shot over and over and over again simply because he was walking towards a police officer. But whether they mean to or not, police reform activists are causing the literal (literal!) end of the world.
Die Polizei schießt auf einen Zombie, und die doofen Aktivisten gegen Polizeibrutalität weigern sich, die Polizei ihre Arbeit machen zu lassen, formen eine Menschenmenge — und liefern damit das Epizentrum für die Zombieapokalypse. Hätten wir doch bloß die Polizei ihre Arbeit machen lassen, dann hätten wir jetzt keine Zombieapokalypse!1!!Übrigens, wenn euch Zombies nicht interessieren, dann ist der Artikel es trotzdem wert, denn er verlinkt dieses tolle Blog, das mit der Herde der Empörungstouristen auf Twitter und Tumblr mitläuft und ihr Herdenverhalten protokolliert. Der aktuelle Aufreger ist, dass Apple bei einer Produktvorstellung gezeigt hat, wie man ein Foto einer Frau nachbearbeitet, um sie lächeln zu lassen. (Danke, Mathias)
Bei der Gelegenheit frage ich mich gerade, ob ich nicht mit der Vorbis-Version aufhören kann. Die Browser, die Vorbis können, können inzwischen auch alle Opus. Ich vermute mal, dass der Hauptgrund, wieso noch Leute Vorbis ziehen, ist, dass sie das Vorbis-RSS abonniert haben.
Da würde es wahrscheinlich mehr Sinn machen, statt Vorbis ein AAC zu veröffentlichen, für die Gammelbrowser von Apple und Microsoft. Ist bei gleicher Soundqualität kleiner als MP3, und wer Gammelbrowser von Apple oder Microsoft verwendet, der scheißt eh auf Softwarepatente, Freihandelsabkommen, Umweltschutz, Klimawandel und Lebensmittel aus kontrolliert biologischem Anbau. Und vielleicht würde das die Peak-Bandbreiten-Situation etwas entschärfen, wenn wir da noch ein ranziges, nach Softwarepatenten stinkendes AAC für die Sandler-User der Gammel-Browser hintun. Die würden schlechte Soundqualität wahrscheinlich eh nicht erkennen. Da könnte man wahrscheinlich auch direkt WMA nehmen oder so.
Hey und um das mal so richtig schmerzen zu lassen, könnten wir das ja mit dem furchtbaren Apple-Encoder erzeugen!
Wer keinen Bock mehr auf öffentliche Geringschätzung hat, ist herzlich eingeladen, auf eine ordentliche Abspielplattform mit Opus zu wechseln :-)
Neue Geschäftsmodelle für 300! :-)
So und jetzt bitte auch alle Webseiten runterscoren, die einen mit "like us on facebook" und alle Youtube-Videos, die "please subscribe"-Bullshit einblenden!
Oh und diese EU-Cookie-Scheiße kann auch mal in die Tonne. Lange nicht mehr ging etwas so nach hinten los wie das.
Ich bin damit ehrlich gesagt immer noch unzufrieden. Ich finde, das CE-Gerät hätte man nicht erwähnen müssen. Diese ganzen Bullshit-Patente gehören entsorgt, weil sie Bullshit sind, nicht weil es Prior Art gibt. Man stelle sich mal vor, Microsoft oder diese Schweden von dem CE-Gerät hätten das damals patentiert und würden jetzt Apple damit erpressen. Oder den Rest der Branche. Oder man stelle sich vor, wir müssten alle Patentgebühren an die Erfinder von Tastatur, Maus und Resetknopf abdrücken. Auf ein Display mit abgerundeten Kanten darf es keine Schutzrechte geben, und auf diesen ganzen anderen Trivialkram auch nicht. Die Ansage der Vorinstanz klingt da schon besser für meine Ohren:
Dem Antrag Motorolas gab das Bundespatentgericht im April 2013 statt und erklärte das Patent für nichtig, weil das beschriebene Verfahren dem Stand der Technik entspreche, darüber hinaus kein technisches Problem löse und deshalb nicht patentierbar sei (Az. 2 Ni 59/11).Fuck yeah, so muss das laufen! Und der Typ beim Patentamt, der diesen Mist begutachtet und durchgewunken hat, der sollte rückwirkend ein paar Monatsgehälter verwirkt haben.
So gesehen müssen wir Microsoft dankbar sein, dass sie das so auf die Agenda gesetzt haben — und dass ihre Datenschutzbedingungen so verständlich sind, dass Leute sie gelesen haben! Über Apples Kleingedrucktes werden Witzchen gerissen, bei Microsoft lesen die Leute das und verstehen danach, was da passiert. Und sind empört.
Ich freue mich da sehr drüber, dass die Leute jetzt aufwachen. Aber ich finde es sehr ungerecht, dass sich der Zorn gegen Microsoft richtet, die beim Datenmissbrauch geradezu der Nachzügler sind, Jahre später dran als die Konkurrenz!
Wieso ist Cortana auf dem Desktop plötzlich schlimmer als OK Google oder Siri?
Vielleicht sollte ich diesem geschenkten Gaul nicht zu tief ins Maul schauen und mich einfach freuen, dass endlich jemand Interesse am Datenschutz hat.
DER TYP ermittelt jetzt wegen Landesverrats gegen netzpolitik.org. Was hat Netzpolitik.org getan? Merkels Telefon abgehört? Massenweise deutschen Internet-Traffic abgeschnorchelt? Via BND Industriespionage gegen deutsche Ziele verübt? Aber nicht doch! Wer sowas tut, wird ja nicht verfolgt bei uns. Wir verfolgen lieber Journalisten dafür, dass sie ihre Arbeit machen. Während der ganze Rest der Journallie lieber Bratwurstjournalismus betreibt und "wie aus uns vorliegenden Dokumenten hervorgeht"-Pullermannjournalismus betreibt und "wie es aus Regierungskreisen hieß" für eine Quellenangabe halten, während die "gewöhnlich gut unterrichtete Quellen" "zitieren", stellt netzpolitik.org die Originaldokumente online. Und DIE werden jetzt verfolgt?! Wegen Landesverrats?
Eine unfassbare Frechheit. Aus meiner Sicht sind das die einzigen in diesem ganzen Apparat, die nicht unser Land verraten haben. Der Herr Generalbundesanwalt sollte sich mal selber wegsperren. Schon die geringe Hoffnung, dass nach ihm jemand den Posten kriegt, der tatsächlich mal gegen Landesverräter wie den Bundesnachrichtendienst ermittelt, wenn die dabei auf frischer Tat erwischt werden, wie sie für die NSA deutsche Ziele ausspühen, schon die wäre ein Schritt nach vorne gegenüber dem Status Quo.
Jetzt wissen wir endlich, wie sich die Schweden gefühlt haben, als ihre Regierung auf Zuruf der Contentmafia Pirate Bay verfolgt hat, obwohl die gegen keine schwedischen Gesetze verstießen.
EINE SCHANDE IST DAS! SCHANDE!
Je suis Netzpolitik.org!
Update: Der Deutsche Journalisten-Verband spricht von einer „Justizposse“
Update: Ach Übrigens, der Vollständigkeit halber. Es steht ja die Frage im Raum, wer uns verraten hat. Meine Stammleser kennen die Antwort schon, für den Rest möchte ich kurz erwähnen, dass der Generalbundesanwalt weisungsgebunden ist und dem Justizministerium untersteht. Der Justizminister heißt Heiko Maas und ist bei der SPD. Mit anderen Worten: Wer hat uns verraten? Die Sozialdemokraten!
Update: Die "Zeit" solidarisiert sich mit Netzpolitik.org, und auch die Süddeutsche in Form von Leyendecker und Mascolo beziehen klar Stellung. Das freut mich ja besonders, dass das sogar dem Geheimdienst-Mascolo zu weit geht. Sie sehen das als Wink mit dem Zahnpfahl in ihre Richtung, und da haben sie natürlich völlig Recht mit. Jeder Journalist sollte jetzt auf den Barrikaden stehen. Selbst die Böll-Stiftung berichtet in ihrer Sektion "Menschenrechte", in der es sonst um so Fragen wie Wahlen in Nigeria und Flüchtlinge im Mittelmeer geht.
Update: Einen erfreulichen Aspekt gibt es schon. Niemand stellt in Frage, dass es sich bei den Bloggern von Netzpolitik.org um Journalisten handelt.
Update: Hier ist die URL bei netzpolitik.org selbst. Die Site war vorhin ein bisschen überlastet, aber jetzt scheint es wieder zu gehen.
Aus Sicht von Microsoft, Google und Apple sind die Zeiten vorbei, in denen man ein Gerät einfach nur so am Internet betreiben kann, ohne dass es ständig nach Hause telefoniert. Und selbst Linux-Distributionen telefonieren ja heutzutage nach Hause, und sei es nur zum Nachgucken, ob es Updates gibt.
O tempora, o mores!
Ich für meinen Teil glaube nicht, dass Windows 10 so viel schlimmer ist als vorherige Windows-Versionen, mal abgesehen von Cortana natürlich, und dafür kann man Microsoft nur partiell die Schuld geben. Da sahe sie sich halt durch Siri und Google Now unter Zugzwang gesetzt. Wenn man Cortana und Wifi Sense ausmacht, dann bleiben hauptsächlich Dinge übrig, die schon bei Windows 8 und früher ein Problem waren, wie der ganze Browser-Kram, der während der URL-Eingabe de facto ein Keylogger ist. Aber das macht Chroma ja auch und warnt da weniger klar vor.
Ich finde diese Grafik vor allem deshalb wichtig, weil die meisten Dinge davon Apple-User z.B. schon die ganze Zeit betreffen, nur regt sich von denen keiner drüber auf, weil die alle nicht die mentale Kapazität haben, um das Problem zu erkennen, bzw. um das als Problem zu erkennen. Und Android natürlich genau so. Was war bei Chrome neulich die Hölle los, als die Leute merkten, dass Google da unter Linux Google Now implementiert hat. Und die Aufregung kam auch dort initial nicht von Privatsphäre-Seite sondern von religiösem Fundamentalismus, weil Debilianisten fanden, das sei ein binärer Blob und gehöre nicht in ihre Distribution. Als ob so eine Funktion irgendwie vertretbarer wäre, wenn der Quellcode für die Clientseite offen liegt!
Wir können hier gerade live und in Farbe beobachten, wie die Welt den Bach runter geht. Das ist wie mit der Umweltverschmutzung, Klimawandel und Massentierhaltung. Alle sehen es, alle wissen, dass es uns alle umbringen wird, aber keiner hält es auf.
Der Einsender fragt: Arbeiten denn da nur Amateure?!
Wie, das fällt dir erst jetzt auf?!
Und und übrigens Hat der Shodan-Typ mal nach MongoDB gescannt und ein paar Terabyte Daten gefunden.
The vast majority of public MongoDB instances are operating in a cloud: Digital Ocean, Amazon, Linode and OVH round out the most popular destinations for hosting MongoDB without authorization enabled.
Ist ja auch irgendwie klar. Der perfekte Sturm an inkompetentem Hipster-Computing. NoSQL in der Cloud.There's a total of 595.2 TB of data exposed on the Internet via publicly accessible MongoDB instances that don't have any form of authentication.
Herzlichen Glückwunsch, liebe "Apple-Programmierer". (Danke, Andreas)
Besonders geil finde ich die Aufschlüsselung von dieser einen CNN-Webseite, weil das echt symptomatisch ist. Über 200 HTTP-Requests, 25 verschiedene Domains, und dann machen die am Ende spezielle Domains für ihre statischen Inhalte, um die übertragenen Cookies wegzuoptimieren und machen das Javascript unlesbar. Und vergeben kürzere Host- und Domainnamen. ALS OB DAS DAS PROBLEM WÄRE! Zum Vergleich: Ein Zugriff auf blog.fefe.de lädt eine Webseite und ein optionales CSS. Der Browser lädt ohne mein Zutun auch noch ein favicon und Apple lädt noch mal irgendeinen anderen Bullshit ungefragt, aber that's it. Alles von dem selben Server, drei von vier statisch und kommen aus dem Cache. Und der Brüller: Ich muss mir dann von Google Vorhaltungen machen lassen, mein CSS lieber nicht vorne zu laden, sondern per Javascript nachträglich, damit die Seite schneller rendert. Sonst gibt es Punktabzüge. So versifft ist dieses gammelige Schweineweb heutzutage!
Kann mir eigentlich mal jemand erklären, wieso die EU nicht bei diesem Cookie-Bullshit gleich mit ins Gesetz geschrieben hat, dass es möglich sein muss, die Funktionalität der Seite ohne Cookies abzurufen, und dass die beschissenen nervigen Cookieerlaubniseinhol-Einblendungen einer bestimmten Form genügen müssen, damit man sie mit einer einzelnen Adblocker-Rule wegmachen kann?
Oh und HÖRT ENDLICH AUF, MIR EURE NEWSLETTER ODER APPS ANDREHEN ZU WOLLEN!
Na, liebe Apple-Kunden? Seid ihr jetzt schön stolz auf euch?
Bei meinem Roadtrip in den USA sah ich ja einmal ein Bing-Maps-Kameraauto, aber das ist auch schon wieder old and busted, denn:
New hotness: Apple Maps-Auto!
Update: Ui das ist auch schon wieder alles old and busted: Nokia-Maps-Auto, Tomtom-Auto, Yandex-Maps-Auto.
New hotness: Chicago führt eine Netflix- und eine Cloud-Steuer ein.
Mir fiel hier beim Rumklicken gerade ein besonders schönes Exemplar auf. Das ist ein Whitepaper von RSA über, … ja so richtig klar ist das nicht. Ihr Team? Ihre Produkte? Es geht jedenfalls um Incident Response (auch bekannt als "Feuerwehr" oder "Ghostbusters"-Einsätze) in APT-Fällen (auch bekannt als "Windows-Trojaner"). Normale Malware gibt es ja gar nicht mehr, ist ja heutzutage alles APT. Mit APT können alle leben. Die gehackte Organisation, denn bei APT kann man halt nichts machen, alles 0day und military grade ultra-Geheimdienst-Qualität und so. Die untersuchenden Spezialisten, denn hey, wer kann schon von sich sagen, einen echten APT gefunden zu haben! Gut, inzwischen fast alle, aber wollen wir mal nicht so sein.
Aber gucken wir uns das Whitepaper mal an. Es geht damit los, dass sie eindrucksvoll schildern, wie raketentechnologisch roswellig ihre UFO-Technologie da ist! Während Villariba erst 10% untersucht hat, ist Villabajo dank RSA-Gehirnchirurgenequipment schon 90% fertig (Seite 5).
Da wird man doch neugierig, wie sie das anstellen! Und blättert weiter bis zum Kapitel 3, Analysis Methodology. Und was steht dort?
RSA IR employs a methodology that is founded on industry standards.
Wie jetzt, nanu? Ich dachte ihr seid der Industrie 90% voraus! Wie könnt ihr dann die selben Standards nehmen wie der Rest der Industrie? Das liegt bestimmt an dem ganzheitlichen Ansatz!The holistic approach includes the following four core components:- Intelligence gathering and research;
- Host-based forensic analysis;
- Network-based forensic analysis; and,
- Malware analysis.
Oder mit anderen Worten: Was auch alle anderen machen, wie das jeder tut, weil das offensichtlich ist.Plötzlich ist dann von iterativen Ansätzen und wiederholbaren Prozessen die Rede, das klingt dann schon gar nicht mehr so 90% schneller als anderswo, und dann gibt es dieses Highlight:
To complete this work, RSA IR uses several commercial and open source forensic tools
Wie, Moment, ihr benutzt anderer Leute von-der-Stange-Tools? Ich dachte, EURE Tools seien der heiße Scheiß!In addition, the Team will leverage available tools and technologies in place within the enterprise
Ja, äh, na was soll man auch sonst benutzen an der Stelle?Aber gut, das ist ja immer noch recht abstrakt. Vielleicht werden die Dinge in der Case Study-Sektion klarer?
The RSA IR team used Volatility to analyze the submitted memory dump. Very quickly, while parsing the Application Compatibility cache from the memory image, RSA IR confirmed this server likely had unauthorized activity based on locations and filenames that were executed on the system.
Das ist ja mein persönliches Highlight. Erstens: Volatility ist ein Open-Source-Tool. Aber über Formulierungen wie "confirmed this server likely" könnte ich mich stundenlang amüsieren. Likely ist, was man vorher hat. Confirm macht aus likely ein definitely. Bestätigen, dass etwas wahrscheinlich passiert ist, geht nicht. Etwas ist wahrscheinlich passiert, dann bestätigt man das, dann weiß man, dass es passiert ist und braucht kein wahrscheinlich mehr.Ihr seht schon: Whitepapers sind ein Quell der Unterhaltung für Leute, die sich für den sprachlichen Dreizack aus Bullshit, Schlangenöl und Herumwieseln interessieren.
Hey, vielleicht sollte ich auch mal ein Whitepaper schreiben. "Wir machen das selbe wie unsere Mitbewerber. Wir können es nur besser." :-)
ENDLICH sind wir weg von diesem Flash-Binärkack und von Binaries für irgendwelche speziellen Plattformen und haben Skriptsprachen für eine gemeinsame Plattform. Endlich kann man einfach Ctrl-U machen und sich angucken, was da passiert. Kaputte Skripte zur Not selber debuggen. Selbstgehackte DRM im Web ist endlich weg (abgesehen von diesem Chrome-Netflix-Zeugs).
Und was machen diese Schwachmaten da? Erfinden ein neues Binärformat fürs Web. Und sagen explizit an, dass das ein Compiler-Target sein soll. JA SUPER! Ich sage gleich mal an, dass es eine Industrie geben wird, die auf Basis davon DRM baut, die "Obfuscation"-Technologien verkaufen wird, und wir werden eine neue dunkle Ära für geschlossenes Web einleuten. Und das alles so völlig ohne Not! Und dann werden wir wieder "works best in Internet Explorer" haben. Eine Frage der Zeit, bis Microsoft oder Apple spezielle proprietäre APIs für ihre "Web-Binaries" exportieren. DirectX für WebAssembly! Und am Ende haben wir dann ein verkapptes .NET für Arme im Browser. Hint: Hatten wir schon. Hieß Silverlight. Ist gefloppt.
1. Akt: Monster verklagt Beats wegen "Betrugs und Piraterie".
2. Akt: Apple entzieht Monster die Lizenz für das "Made for i"-Logo.
Aus meiner Sicht kann es ja nur Gewinner geben, wenn sich Apple und Monster kloppen. Und wenn die sich im Sandkasten wälzen und gegenseitig an den Haaren ziehen: Umso besser.
Nun, Apple macht davon gerade Version 2.0. Sie klauen anderer Leute Content, und schreiben den jeweiligen Beklauten ihre Bedingungen per Email. Unter anderem "wenn wir verklagt werden, zahlst du das". Oh, und "wir nehmen an, dass du einverstanden bist. Wenn nicht, hättest du ja laut NEIN brüllen können."
Ja, ernsthaft! Apple schickt irgendwelchen Leuten im Internet Emails ala "btw hättest ja opt-out machen können".
Ja, schon, aber: Damit fällt jeder Anreiz für den Hersteller weg, gleich ein ordentliches Produkt auszuliefern. Und dieser ganze Update-Scheiß sorgt auch dafür, dass derjenige, der die Update-Server kontrolliert, der ganzen Welt Malware unterschieben kann.
Paranoia? Die NSA hat daran gearbeitet, über den Android-Store Malware zu verteilen. Und ja, das ist völlig unüberraschend. Das hätte ich an deren Stelle auch getan. Die wären blöd, wenn sie das nicht täten!
Nun ist das glücklicherweise nicht so einfach, weil Google relativ frühzeitig mit Certificate Pinning angefangen hat. Da müsste die NSA also mehr machen als sich auf Netzseite einzuklinken (wir wissen, dass sie das können). Sie müssten auch Schlüssel von Google klauen (davon ist bisher nichts bekannt). Oder sie müssten eine Krypto-Schwachstelle ausnutzen. Ich kenne jetzt die Struktur des Android App Store nicht genug, um sagen zu können, ob dafür das Diffie-Hellman-Problem von gestern reichen würde oder nicht. Aber selbst wenn nicht: Habt ihr schon ein Update für eure alten Androids gesehen?
ich bin seit knapp zwei Jahren in Bereich der Lernförderung im Rahmen des Bildungs- und Teilhabepakets tätig. Ich kann nur bestätigen, was mein Vorredner sagte. WhatsApp wird konsequent genutzt um auszuschließen und es wird sich mit dem Mobiltelefon gegenüber anderen abgehoben. Da logischerweise (sonst könnten sie keine BuT-Leistungen in Anspruch nehmen) die Eltern all dieser Kinder einkommensschwach sind, werden sie zumeist Opfer dieser Prozedur. Ihr emotionaler Stress, der durch den Ausschluss aus der Klassengemeinschaft entsteht, wirkt sich auch sehr stark auf ihre Lernfähigkeit aus.Die Kinder, die ich unterrichte, die im Verlauf meiner Förderung den Besitz eines Smartphones erlangt haben, fangen aber auch sofort damit an, Teil der Ausschließer zu werden. Teilweise zu Lasten anderer Kinder, die ich unterrichte. Der Grund dafür liegt meines Erachtens nach in der Natur des Gruppenzwangs, gegen den auch der Verstand der Kinder und meine Gegenreden nicht ankommen können.
Ich kann mir vorstellen, dass auch die Eltern darüber Bescheid wissen. Anders kann ich mir nicht erklären, wieso sie trotz ihres geringen Einkommens den Kindern ein Smartphone kaufen.
Ich saß neulich in einem Fernbus neben einem Jungen (~12 Jahre vielleicht). Der hat mir gezeigt wie seine Familie eine "Familien-App" hat, wo man die Standorte der anderen Familienmitglieder live sehen kann.(Hat er mir so erzählt, ob freilich er auch immer den Standort seiner Eltern sehen kann oder ob die den vielleicht faken können, weiß ich nicht.)
Peer-Kommunikation läuft bei ihm über Whatsapp und sein großer Wunsch ist ein Iphone 6. Die uncoolen Kids in seiner Klasse haben kein Smartphone weil ihre Eltern das Geld für Zigaretten ausgeben, sagt er. (Und können sich dadurch natürlich auch nicht an Whatsapp-Gruppen beteiligen.)
Apple Maps? (Danke, Heiko)
Ich blogge das jetzt, weil ich gerade höre, dass die die Kameras keineswegs abmontiert haben in der Zwischenzeit. Das ist ja geradezu eine Einladung dazu, sich da mal ein paar Kröten auszahlen zu lassen. Wieso macht das keiner?
Um nicht die Smart Meter Gateways mit Displays und Bedienfeld bestücken zu müssen, hat die PTB die Möglichkeit geschaffen, eine zertifizierte Software-Applikation zur Anzeige einzusetzen. Die erfolgt über das Internet in einem Webbrowser.Wait, what?!
Und dafür haben sie jetzt eine Linux-Distro gebaut, die man als Live-CD bootet, und damit kann man dann … was zur Hölle?! Wem hilft ein altes Live-Linux mit einem Firefox, der schon zwei Wochen nach Release der CD veraltet ist? Das ist dann sicher wegen … oh, was sagen Sie? Ist gar nicht sicher? Na sowas.
Und hier ist der Satz, den ich meine:
Aggressive tactics from the music giant have garnered scrutiny from the Department of Justice
Die Formulierung, die ich meine, ist "music giant". Damit ist Apple gemeint. Und das ist ja völlig richtig! Apple ist keine Elektronik-Firma, sondern ein Musik-Gigant. Sowas wie Universal. Oder Sony. Contentmafia!
Wo das Runtime herkommt, ist noch unklar.
In dem Video erzählen sie auch von neuen Security-Geschichten im Compiler und, möglicherweise das spannenste daran, dass sie Coroutinen in C/C++ implementiert haben, mit einem neuen Keyword namens yield.
Das ist ja mal echt beeindruckend viel Neuigkeiten, wenn man bedenkt, dass die auch den Übergang zu C++11 / C++14 machen mussten in der Zeit, und VS2015 auch Cross-Entwicklung für Android unterstützt. Wieviel Leute da wohl im Compilerteam arbeiten?
Und: Wie lange es wohl dauert, bis gcc und clang auch yield unterstützen? Im Moment fummelt man sich dort was mit Boost zurecht oder so.
Update: OMG, die haben das Objective C-Frontend von clang geklaut und ihren Codegenerator dahinter gepackt. *Grusel*
Müssen die dann nicht auch Wahlwerbespots abspielen und dctp und so?
In Zeiten der Konvergenz der Medien stellt sich die Frage, wo man die Linie ziehen will, und wieso man überhaupt eine Linie ziehen will. Wie sieht es konkret mit "Mehr als ein Haus" aus? Video, Multimedia, Berichterstattung, separate Domain, Presseherausgeber, … wieso dürfen die Verlage das, aber die Tagesschau darf keine App machen? (Danke, Andreas)
bezüglich der Meldung, daß die Apple Watch nicht mit Tätowierungen kann: das gilt auch für andere Wearables, die grünes Licht zur Plethysmographie verwenden. Nur macht Apple das Entsperren der Uhr von einem vorhandenen Puls abhängig… was auch heißt, daß Leute mit Prothesen das Ding nicht frustfrei verwenden können.Wait, what!? (Danke, Gunther)
Wobei das für meine ungeschulten Augen eher wie ein xkcd-Comic als wie ein Flugplan aussieht in dem Foto da oben.
Update: Wie mir gerade diverse Avioniker bestätigen, handelt es sich bei dem xkcd-Comic um ein ILS-Chart. So sieht sowas aus (Seite 64).
"I just think [speaking out] was the responsible thing to do. Above anything, I would like people to say, 'Okay, she’s human. She’s obviously had a big life. She’s respectfully come to the table and said what she’s needed to say, and now it’s time for her to grow and heal.'"
Mit anderen Worten: Sie sieht sich hier noch als Heldin der Geschichte. Das war ja bloß menschlich, und schaut her, ich bin hergekommen und habe gestanden! Jetzt muss ich erwachsener werden und heilen.Ja, heilen! Sagt die Frau, die mit falschen Krebsansagen hunderttausende von Dollars an Spenden … ja was sagt man da, hinterzogen hat?
Die Polizei hat sich übrigens entschieden, nicht zu ermitteln.
Man stelle sich mal vor, Bernie Madoff stellt sich vor Gericht hin und sagt: schaut her, ich habe gestanden, jetzt ist es Zeit für mich, erwachsen zu werden und zu heilen.
WTF?
Ich auch nicht. Ich baue aber auch die Platten eh immer aus, bevor ich ein Gerät irgendwo einschicke.
Hier ist mal ein Erfahrungsbericht, der per Mail eingegangen ist:
Wie wäre es, wenn man einfach mal direkt nach Administratorpasswörtern fragt? Ist sowieso viel einfacher. Ich wurde gestern von einem Mitarbeiter bei einem Apple Certified Service Provider nach meinem Passwort gefragt, damit der Techniker meine Platte entschlüsseln kann. Ohne die Daten auf der Festplatte, so sagte man mir, würde Apple nicht überprüfen können, ob die Hardware in Ordnung ist (???). Ja klar, das ist ganz normal. Das wird alles durchs Internet zu Apple geschickt. Die machen da nichts schlimmes mit. Das ist alles zu meiner eigenen Sicherheit. Der Grund dafür war ein loses Teil im Gehäuse. Also der Techniker musste quasi ne Schraube festziehen. Diese Spezialschrauben sind anscheinend so komplex, dass man definitiv uneingeschränkten Zugriff auf alles braucht und auch schauen muss, ob die Daten auf der Platte so sind, wie Apple das möchte.
Was sagt ihr? Schlangenöl hilft gegen Malware nicht? NA SOWAS! Hätte uns doch nur vorher jemand warnen können!1!!
Da frage ich mich ja: Sind auch die ganzen fiesen amerikanischen Werbenetzwerke dann weg, wenn man aus der Krim surft? Dann könnten die ja mal ein paar Kröten als VPN-Endpunkt verdienen dort :-)
zu Deinem Post http://blog.fefe.de/?ts=abc8718c wäre es total super gewesen, wenn Du in dem Zug auf das eigentlich, viel gravierendere Problem hingewiesen hättest. Die betroffene Bibliothek AFNetwork ist ein Symptom für eine große Unsitte, nicht nur bei App-Entwicklern. AFNetwork ist eine externe Bibliothek für Netzwerk-Aufgaben. Es gibt nichts in AFNetwork, dass sich nicht mit wenigen Handgriffen mit Bordmitteln von iOS durchführen ließe. AFNetwork ist im Großen und Ganzen nur ein Wrapper für das URL Loading System. Es ist aber unter App-Entwicklern total hipp, per Cocoapods (externer Paketmanager) solche Libs einzubauen, weil … hey … ich benutze viele Libs mit wohlklingenden Namen … meine App muss gut und ich wichtig sein! AFNetwork wird häufig nur dazu benutzt, Certificate Pinning zu machen. Nativ sind das knapp 10 Zeilen Code:(Hervorhebungen aus dem Original zitiert)-(BOOL)checkCertificate:(NSURLAuthenticationChallenge *)challenge{ if ([[[challenge protectionSpace] authenticationMethod] isEqualToString: NSURLAuthenticationMethodServerTrust]) { SecTrustRef serverTrust = [[challenge protectionSpace] serverTrust]; BOOL trustedCert = NO; NSData *theData; NSArray *theHashes = [NSArray arrayWithArray:[EAPConfig eapCloudHashes]]; if(serverTrust != NULL) { CFIndex theCertCount = SecTrustGetCertificateCount(serverTrust); for(CFIndex theCertIndex = 0; theCertIndex < theCertCount; theCertIndex++) { SecCertificateRef theCert = SecTrustGetCertificateAtIndex(serverTrust, theCertIndex); theData = (__bridge_transfer NSData *)SecCertificateCopyData(theCert); for (NSString *theHash in theHashes) { if([theHash caseInsensitiveCompare:[EAPConfig sha1HexDigest:theData]] == NSOrderedSame){ trustedCert = YES; break; } else { trustedCert = NO; } } } } }Das müsste man sich aber entweder googeln oder selbst aus der Doku zusammensuchen. Und dafür braucht man Hintergrundwissen über X509. Viel zu anstrengend. Da klebe ich mir lieber eine Lib mit tausenden Zeilen von Code in meine App und habe keinen blassen Schimmer, was die tut. Und schlauer werde ich damit auch nicht.Ich habe schon viele Apps auditiert. Die Anzahl der Apps, bei denen keine externen Libs für Trivialaufgaben verwendet werden, kann ich an einem Finger abzählen. SDL … my ass!
Von mir sei als zusätzlicher Hinweis noch erlaubt, dass in meiner Berufserfahrung fast alle Apps für mobile Endgeräte keine ordentliche Zertifikatsprüfung machen.
Update: Hier gibt es eine Übersicht der ganzen grottigen Java-APIs an der Stelle. Wenn wir schon dabei sind, in der Kanalisation herumzurühren …
IBM-Manager Michael Rhodin zeigte sich in der "Financial Times" zuversichtlich, dass vor allem jüngere Nutzer ihre Daten zur Verfügung stellen. "Die Generation, die die Apple Watch kauft, ist interessiert an Daten-Philantropie", sagte Rodin.Old and busted: Mann sind die Apple-User alle bescheuert!
New hotness: Das sind edle Daten-Philantropen!
In unserer Familie war so etwas ähnliches immer geflügeltes Wort auf er Autobahn, wenn uns ein Raser mit einem Porsche oder Motorrad überholt hat. „Das sind edle Menschen“, sagte mein Vater dann. „Organspender. Ohne die ginge Vieles nicht.“
Slice Intelligence estimates that 957,000 people in the U.S. pre-ordered an Apple Watch on Friday, the first day the watch was available for sale. According to ereceipt data from a panel of two million online shoppers, each Apple Watch buyer ordered an average of 1.3 watches, spending $503.83 per watch.
Update: Hier geht gerade eine glaubwürdige Theorie ein, wieso die Leute 1,3 Uhren brauchen. Damit der Akku insgesamt einen Tag lang hält!
Bonus: Es hat mit out-of-band TCP data zu tun. Damit haben wir schon in den 80ern Netzwerkdienste abgeschossen *schwelg*
Oh und es wird noch besser:
Impact: A local application may escalate privileges using a compromised service intended to run with reduced privileges.Description: setreuid and setregid system calls failed to drop privileges permanently. This issue was addressed by correctly dropping privileges.
Apple, fuck yeah!
Und was passierte? Die Trading-Computer haben nicht verstanden, dass das ein Aprilscherz war, und haben Tesla-Aktien gekauft. Der Aktienkurs ging ein knappes Prozent hoch.
New hotness: Unter Pseudonym der Berliner Ausländerbehörde die Reisefähigkeit von abzuschiebenden Asylbewerbern attestieren.
Der angebliche Arzt Rainer Lerche hat nach Recherchen des ARD-Magazins FAKT in den vergangenen Jahren in zahlreichen Fällen die Reisefähigkeit von Menschen bestätigt, die nach Ablehnung ihrer Asylanträge abgeschoben werden sollten. Jedoch gibt es Zweifel an der fachlichen Kompetenz des Mannes. So hat das Verwaltungsgericht Berlin im Februar in einer Verhandlung über die Klage der Türkin Banu O. gegen ihre Abschiebung festgestellt, dass in den mehr als 30 Jahren der Tätigkeit des Mannes für Polizei und Behörden in Berlin niemand die Approbation, also die Zulassung des angeblichen Arztes gesehen und überprüft habe.Natürlich nicht! Der gutachtet schließlich genau das, was wir ihm sagen! Wieso würden wir da genauer hingucken, ob der ausgebildeter Arzt oder ausgebildeter Cricket-Spieler ist?
Wie kam Fefe eigentlich zu seinem Blog?Ein Gastbeitrag von Frank Rieger, meinem Co-Netzbeschaller bei Alternativlos).
Eine Erinnerung, die vielleicht die Wahrheit(TM) ist, oder aber doch nur eine schöne Geschichte.In einem sehr privaten, äußerst mysteriösen Chatsystem weit draußen in den abgelegenen Spiralarmen jener Galaxis, die irgendwann später von sensationsheischenden Journalisten "The Darknet" getauft wurde, begab sich eines Abends eine folgenschwere Konversation. Wieder einmal hatte Fefe den Tag über extensiv eine Funktion genutzt, die es erlaubte, URLs mit einem kurzen Kommentar in eine Art Notizbuch des Chatsystems zu posten, den anderen Insassen zur Kenntnis und Freude. Es gab keinen echten Konsens darüber, wofür und wie oft man dort Links hinterlassen sollte, bevor es als lästig empfunden wurde. Fefe war mit Abstand der fleissigste Nutzer, sein fortgeschrittenes News-Junkietum (siehe auch die causa Paperboy) hatte einen ersten Höhepunkt erreicht.
Eine kleine Handvoll Regulars fühlte sich aus unerfindlichen Gründen davon gestört. Vermutilch war es das lästige Gefühl, bei der Lektüre der schieren Menge an Informationen nicht mehr hinterherzukommen. "Hey Fefe, kannst Du Dir nicht mal ein Blog zulegen? Das wird echt ganz schön viel hier…" war der Tenor der zufällig zusammengewürfelten Runde. Ähnliche Rufe von anderen Teilnehmern waren immer wieder erschallt, nun war aber eine gefühlte kritische Maße erreicht.
Fefe tat, was er in solchen Situationen häufig tut. Erst polterte und paulte er ein wenig. Dann schmollte er ein bißchen. Dann setzte er sich hin und codete sich ein erstes Blogsystem, aus dem was gerade so an brauchbaren Fragmenten herumlag. Einen Webserver hatte er schon geschrieben, dann gab es da gerade noch einen LDAP-Server, der als Backend für die Posts bastardisiert wurde. Dann rumpelte, blitzte und krachte es noch geheimnisvoll hinter dem Vorhang und am Ende war blog.fefe.de geboren. Absichtlich schlicht, absichtlich kurz und knapp – mehr als ein Kommentar zur URL war ja auch nicht das Ziel. Und in seiner sparsamen Schlichtheit auch unter den widrigsten Bandbreiten-Umständen noch zu lesen – egal ob über GPRS, Rauchzeichen, Trommelsignale oder Brieftauben-IP.
Zehn Jahre später ist aus der täglichen News-Linkliste eine Institution geworden, eine beliebte Quelle des Abschreibens, ein Ort des Kopfschüttelns, Aufregens, Hassens, Angwidertseins, enthusiastischer Zustimmung, krassen Fanboitums und schnöden Neids. Wenn Fefe auf einen schwachbrüstigen Server linkt reichen die Klicks der Leser oft aus, das System zu überlasten. Wenn er eine Ente postet, ist sie nur schwer wieder aus der Welt zu bekommen. Und alles nur, weil ein paar Leute unbedacht meinten, Fefe solle sich doch mal gefälligst ein Blog zulegen, für seinen Linkposting-Durchfall…
(Anm. d. Redaktion: Ein Blog wollte ich damals eigentlich nicht haben, weil Tim Pritlove überall herumevangelisierte, heutzutage müsse jeder mindestens ein Blog haben, wenn nicht direkt auch gleich noch einen Podcast. Das roch mir alles zu sehr nach Apple-Technologien.)
“Our requirements are for a secure, SIM-enabled tablet with a good life expectancy and capable of supporting future upgrades.”
Klingt ja schon mal nicht schlecht. Sicherheit, lange Lebensdauer, upgradebar, … was wäre euch da spontan eingefallen? Na klar!“The Apple iPad Air 2 meets these requirements and is competitively priced when compared with similar models.”
Wenn ich über sichere, stabile, upgradebare Hardware nachdenke, fällt mir auch als erstes Apple ein!
MCS Holdings hat dann mit dem Zertifikat ein paar gültige Zertifikate für ein paar Google-Domains erstellt. Das ist aufgeflogen, weil Chrome und Firefox inzwischen Certificate Pinning betreiben, d.h. die haben hart einprogrammiert: Wenn für diese Domain (die Liste umfasst eine handvoll "wichtige Domains" wie halt u.a. die von Google) irgendwo ein falsches Zertifikat auftaucht, dann telefonieren die nach Hause und petzen. Und so konnte Google das sehen und hat dann CNNIC zur Rede gestellt. Und die haben gesagt:
they had contracted with MCS Holdings on the basis that MCS would only issue certificates for domains that they had registered.
Klar haben wir diesem Kind eine geladene Schusswaffe verkauft, Euer Ehren! Aber wir haben ihm ganz deutlich gesagt, dass es damit keinen Scheiß machen darf!1!!Diese Art von Versagen ist übrigens kein Alleinstellungsmerkmal der Chinesen.
Auf der einen Seite ist es natürlich schön, dass sowas heutzutage auffliegt. Certificate Pinning ist keine doofe Idee. Microsoft macht das auch, und die eine oder andere ranzige App tut das inzwischen auch. Damit hat so eine App dann einen handfesten Vorteil gegenüber dem Webbrowser, außer es handelt sich um eine Google-Domain oder so.
Aber, der Punkt, über den ihr an der Stelle mal nachdenken solltet: Was ist denn, wenn CNNIC/MCS nicht für eine Google-Domain so ein Zertifikat ausgestellt hätte, sondern für banking.postbank.de oder so? Das würde doch keine Sau merken! Euer Browser würde jedenfalls nicht meckern. Dabei wäre das eigentlich kein Ding, allgemeines Certificate Pinning zu implementieren. Ich hab sowas 2009 schon mal vorgeschlagen. Aber auf mich hört ja immer keiner, und dann sind danach alle ganz furchtbar betroffen, wie es soweit kommen konnte. Wobei, es gibt inzwischen Browser-Addons, die sowas machen (googelt mal Certificate Patrol). Immerhin. Aber eigentlich will man das im Browser selbst implementiert haben, finde ich.
Update: Es gibt da übrigens ein allgemeines Certificate Pinning, aber da muss die Webseite aktiv mitmachen und (in meinen Augen sinnlos) redundante Informationen im HTTP-Header übertragen.
diese Apps könnten Nutzer glauben lassen, es gäbe Viren für iOS.Well … duh :-)
Oh, übrigens: Told you so.
Ich habe nicht vor, mit meinen Prinzipien zu brechen an der Stelle, aber ich bin doch neugierig. Daher hier kurz der Aufruf, nur zur Befriedigung meiner Neugier: Wenn ihr berufsmäßig dieses Blog lest, z.B. weil ihr in einer Redaktion irgendwo arbeitet, dann hätte ich gerne eine kurze Email von euch gekriegt. Und wenn ihr das mit euren Chefs gebastelt kriegt, würde ich mich über ein kurzes Statement zum Jubiläum freuen — nicht in eurer Zeitung / Sendung, sondern nur so an mich, an die Bloginput-Emailadresse, und ich würde daraus dann zum Zehnjährigen ein Medley machen und hier posten.
Einfach nur ein
Hallo, wir sind die Redaktion des Neustädter Tagblattes, und wir lesen Fefes Blog seit 7 Jahren wegen des Sportteils.oder so, ihr versteht schon. Der Stichtag ist der 31. März.
Oh, es gibt einige Gruppen, bei denen ich mich besonders über eine Grußbotschaft freuen würde. Leute, die ich hier mal so richtig ausgiebig beschimpft habe. Ihr wisst schon. Springer-Presse, ehemaliges Nachrichtenmagazin, Verräterpartei, FDP, INSM, … falls da jemand jemanden kennt, der das klar machen könnte, da würde ich mich echt drüber freuen.
Nachrichten der Form "wir bei der Tagesschau / dem BND / T-Systems lesen dein Blog, wollen aber nicht genannt werden" nehme ich natürlich auch gerne entgegen und würde die dann auch nicht veröffentlichen. Ehrenwort!
"Beruflich" gerne weiter fassen. Ich kriege gerne Mails, solange ich nicht von JEDEM eine Mail jetzt kriege :-)
Update: Oh Mann, wenn ich so darüber nachdenke, wen ich alles so beschimpft habe über die Jahre … *hust* da müsste man ja dann auch diverse Ministerien und die Schlangenölhersteller und so auf die Liste. Und Apple. Und Microsoft. OpenBSD. In diesem Sinne: Ihr wisst wahrscheinlich, wenn ihr gemeint seid.
Wenn ihr, wie ich, gesagt habe: Apple interessiert mich nicht, *tabzumach*, dann habt ihr was verpasst.
Also presented at the Jamboree were successes in the targeting of Microsoft’s disk encryption technology, and the TPM chips that are used to store its encryption keys. Researchers at the CIA conference in 2010 boasted about the ability to extract the encryption keys used by BitLocker and thus decrypt private data stored on the computer. Because the TPM chip is used to protect the system from untrusted software, attacking it could allow the covert installation of malware onto the computer, which could be used to access otherwise encrypted communications and files of consumers. Microsoft declined to comment for this story.
Das, liebe Freunde, ist ein Totalschaden. Davon kann man sich als Plattform nicht erholen. Die gesamte angebliche Daseinsberechtigung (abgesehen davon, dass es verhindern soll, dass wir Bugs in der Firmware durch Einspielen von coreboot fixen können) für diesen ganzen TPM-Rotz ist, dass wir damit verhindern können, dass unvertrauenswürdige Software auf unseren Kisten läuft. Wenn die CIA die Schlüssel extrahieren kann, dann ist das alles für den Arsch, und wir können allen Teilnehmern dieser eh vergifteten Infrastruktur überhaupt gar nichts mehr abnehmen. (Danke, David)
Und so kommt zusammen, was Rüdi uns seit Jahren als Horrorszenario auf den CCC-Kongressen und anderswo erzählt bezüglich TPM. TPM verhindert, dass wir unsere Hardware mit der Software unseres Vertrauens betreiben können.
Das ist die Apple-isierung unserer Computing-Infrastruktur. Erinnert ihr euch noch an früher? Da kaufte man einen Fernseher, und die Baupläne lagen bei. Der PC konnte seinen Siegeszug überhaupt nur antreten, weil er eine offene Plattform war. Das ist jetzt offensichtlich so tot wie das FAZ-Feuilleton. Zuckt noch ein bisschen. Und dann wundern sich alle, dass die Leute lieber Tablets kaufen. Tja, wenn ihr mir den Vorteil der PC-Plattform wegnehmt, geb ich euch auch nicht mehr den Aufpreis für einen PC.
Facebook’s Mark Zuckerberg, Yahoo’s Marissa Mayer, and Google’s Larry Paige and Eric Schmidt all declined White House invitations, opting to send top information security executives instead
Also nicht völlig boykottieren, man schickt da doch noch ein bisschen Fußvolk hin, die dann vermutlich ansagen, wohin Obama sich die Wahlkampfkohle für Hillary mal stecken kann, wenn er nicht jetzt eine 180°-Wende macht. Tim Cook ging aber für Apple hin und hat da anscheinend einmal episch auf den Tisch gekotzt."Too many people do not feel free to practice their religion or practice their opinion or love who they choose," said Cook, who is gay. "Or love who they choose.""In a world where that information can make the difference between life and death," he continued, "if those of us in positions of responsibility fail to do everything in our power to protect the right of privacy, we risk something far more valuable than money. We risk our way of life."
Das ist natürlich eine absolute Farce, wenn Apple als Cloud-Betreiber und Datensammler par excellence da jetzt einen auf Privatsphäre heuchelt, aber es zeigt, dass die Tech-Branche gerade echt schlechte Laune hat. Die Nacktbilder sind schon wieder vergessen, huh?Naja, vielleicht ist das ja endlich unsubtil genug, dass Obama den Wink mit dem Zahnpfahl mitkriegt.
Aus dieser Blockadehaltung heraus entstand damals LLVM, das konkret das Ziel hatte, eine Plugin-fähige Infrastruktur zu bauen, aus der man dann schöne Dinge zusammenstöpseln kann. Und in der Tat hat LLVM in den letzten Jahren einen beispiellosen Siegeszug angetreten und hat — nicht zuletzt durch finanzielle Unterstützung von Apple — in Sachen Qualität des Codegenerators fast zu gcc aufgeschlossen.
Wenn ihr jetzt mal bei dem Link oben auf die Äußerungen von Stallman klickt, findet ihr dieses Statement:
It looks like there is a systematic effort to attack GNU packages.
Ich fürchte, wir haben es hier mit einem entstehenden Grabenkrieg zwischen freier Software und Open Source zu tun. Wenn da keiner was tut, verlieren alle. Sehr traurig.
BMW-Fahrzeuge mit der Ausstattung ConnectedDrive ließen sich innerhalb weniger Minuten per Mobilfunk öffnen. Dies war durch Sicherheitslücken bei den sogenannten Remote Services möglich. Über diesen Dienst kann man die Fahrertür seines Autos per Handy-App entriegeln. Durch die Sicherheitslücken konnte dies auch ein Angreifer ohne Zutun des Fahrzeugbesitzers tun.BMW wird das jetzt fixen. Indem sie eine neue Firmware hochladen. Ja, von außen, auf die verkauften Autos. Da lädt BMW aus der Ferne eine neue Firmware drauf. Alleine das wäre für mich schon ein Grund, solche Systeme nicht haben zu wollen, dass man da von außen per Funk neue Software drauftun kann, ohne dass der Besitzer das mitkriegt oder prüfen oder stoppen kann. (Danke, Stefan)
Apple baut eine Armbanduhr mit 2 ½ Stunden Akkulaufzeit. Wenn man sie nicht bedient. Sonst dann vermutlich weniger?
Update: Oh, falsch herum gelesen. Das ist bei "aktiver Benutzung". Sonst mehr. Na dann. m(
Die Telematikinfrastruktur soll demnach »für weitere Anwendungen im Gesundheitswesen und für weitere Leistungserbringer« geöffnet werden. Damit setzen Lobbyisten der IT-Industrie eines ihrer zentralen Anliegen durch. Bleibt dieser Punkt im Gesetz, könnten künftig private Firmen wie Apple mit den Produkten iHealth oder Apple Watch Patientendaten nutzen, um damit Profite zu machen.Ja super! (Danke, Dirk)
Im Übrigen möchte ich darum bitten, meine Inhalte nicht automatisiert anderswo einzublenden oder zu verbreiten. Setzt lieber einen Link auf das Blog.
Insbesondere untersage ich ausdrücklich das Verwenden meiner Inhalte in Medien, die damit Geld verdienen, z.B. durch Werbung, Spendenbuttons, Mitgliederbeiträge etc.
Update: Warum biete ich überhaupt RSS an, wenn ich nicht möchte, dass das anderswo eingebettet wird? Damit Privatleute das in ihrem Feedreader lesen können. Diese Leute haben dann hoffentlich alle die FAQ gelesen und zur Kenntnis genommen, dass sie auf dem Weg die Updates nicht zu Gesicht kriegen. Wenn man für sich diese Entscheidung trifft, ist das vertretbar, aber für andere trefft ihr die bitte nicht.
Ich werde gelegentlich gefragt, wie lange ich noch bloggen werde, bzw. was mich dazu bringen könnte, damit aufzuhören. Ich will es euch sagen. Wenn ich sehe, dass irgendein Arschloch meinen RSS-Feed bei Twitter hochlädt und dann "sponsored Links" einbaut. Das sind so Sachen, die mich dazu bringen könnten, mit dem Bloggen aufzuhören. Ich bin kein gewalttätiger Mensch, aber solche Leute haben aus meiner Sicht einen in die Fresse verdient.
Oder wenn irgendwelche Leute bei Facebook oder Google+ oder irgendwelchen anderen Datenerhebungsplattformen sind, weil da irgendein Penner meine Inhalte hochlädt, und die Leute nicht wissen, dass sie das auch ohne Facebook kriegen können.
Highlights, die sich anzugucken lohnen, sind (völlig subjektiv, versteht sich):
Mit der Fnord-Show war ich dieses Jahr selber nicht so zufrieden. Wir hatten zu viele Folien. Das wussten wir auch vorher, aber wir hatten schon einen gehoben zweistelligen Prozentsatz an potentiellen Folien vorher weggeschmissen. Das werden wir nächstes Jahr anders machen. Dem Publikum hat es anscheinend trotzdem ganz gut gefallen, insofern will ich da jetzt mal nicht zu schlecht gelaunt sein. Aber zufrieden war ich nicht. Bin ich aber so gut wie nie nach meinen Vorträgen, wäre ja auch langweilig.
Den heutigen dritten Tag nutze ich hauptsächlich für Socializen und vielleicht das eine oder andere Interview. Für Erich Möchls Vortrag heute morgen konnte ich mich leider nicht rechtzeitig aus dem Bett quälen. Das will man sicher auf Video gesehen haben, er sprach über NSA-Niederlassungen in Österreich.
Meiner Einschätzung nach sollte man heute um 17:15 den DP5-Vortrag nicht verpassen, aber der leider parallel liegende Vortrag "What Ever Happened to Nuclear Weapons" ist mindestens genau so wichtig. Ich schau mal, wo ich einen guten Sitzplatz finde, und den anderen gucke ich dann auf Video. Um 18:30 würde ich den Thunderstrike-Vortrag gucken.
Um 21:15 gibt es in Saal 2 einen Vortrag über Nordkorea, der wird bestimmt voll :-)
Um 22:00 verspricht der Perl-Vortrag hochkarätig zu werden.
Heute morgen bin ich direkt von einem FAZ-Reporter zu Regin befragt worden, und habe das ein bisschen auf eine generelle Malware-Schiene umzubiegen versucht. Mal gucken, wie das wird. Danach wurde ich direkt von Tilo Jung abgefangen, der hier auf dem Congress herumrennt und Interviews führt. Wir haben uns vorher ein bisschen darüber unterhalten, was wir für ein gutes Interview halten, und ob der Interviewer da Positionen bekleiden sollte oder nur den Interviewpartner reden lassen sollte. Ich finde ja letzteres. Das optimale Interview ist eines, bei dem der Interviewer dem Interviewgast ein paar Stichworte hinlegt und ihm dann nicht dabei im Wege steht, wenn er sich um Kopf und Kragen redet. Tilo war kürzlich in Israel und Paälstina und hat dort mit allen Seiten Interviews geführt, und erzählte, dass er dann erst dafür kritisiert wurde, er würde ja nur die eine Seite zu Wort kommen lassen, und als er dann mit den anderen redete, wurde er dafür kritisiert, denen nicht ins Wort gefallen zu sein, als die da krude Parolen äußerten und sich zum Klops machten. Dieses Muster (jetzt nicht mit Israel und Palästina) habe ich schon häufiger beobachten können und finde es ausgesprochen deprimierend. Ich hatte da vor ein paar Wochen schonmal was zu gebloggt, und so fragte mich dann Tilo auch zu Ken Jebsen. Ich hoffe, ich habe mich da jetzt nicht zu sehr um Kopf und Kragen geredet *hust*. Soviel ist jedenfalls klar: Je weniger Struktur der Interviewer vorgibt, desto mehr Gelegenheiten zum Verplappern hat der Interviewpartner. Vorsicht bei Interviews mit Tilo! :-)
Was Aftenposten jetzt gemacht hat, ist dass sie mit einem Cryptophone herumgelaufen sind, und die Baseband-Firewall an hatten. Dabei wird das Baseband sozusagen in einem Debug-Modus betrieben und zeigt interne Dinge gegenüber dem Betriebssystem an, was das dann anzeigen kann. Nun ist das nicht völlig ungewöhnlich, wenn ein Mobiltelefon vom Netz Daten kriegt, ohne danach gefragt zu haben. Wenn eine SMS kommt, will man das ja, oder wenn man Web klickt und die Antwort kommt. Daher hat Aftenposten diese Aktivitäten rausgerechnet und nur die übrigen Aktivitäten geplottet. Auch davon sind einige normal, z.B. wenn man sich ein Update für das assisted GPS holt, und es gibt auch einige gutartige Ncahrichten, die das Netz einem schicken kann. So 10-15 davon pro Tag sind normal. Aber so eine geographische Häufung ist ungewöhnlich, daher sind die Aftenposten-Leute nochmal mit einer Counterintelligence-Bude und ordentlichem Messequipment losgezogen und haben da komische Dinge gemessen und die Details ihrer Regierung übergeben.
WASHINGTON — The U.S. Senate passed a measure authorizing the nation’s defense programs Friday, and along with it managed to give lands sacred to Native Americans to a foreign company that owns a uranium mine with Iran.
Da bleibt kein Auge trocken! Und DIE wagen es, anderen Ländern Demokratie bringen zu wollen!the Southeast Arizona Land Exchange and Conservation Act, had twice failed to win support in the House of Representatives, blocked both by conservationists and conservatives.
Kommt ihr NIE drauf!
Ohne die Links von Google News brechen ihre Leserzahlen ein. NA SOWAS! Also das war ja völlig unvorhersehbar! Hätte sie doch nur jemand warnen können!1!!
Und jetzt betteln sie die Regierung an, das Google-Gesetz zurückzunehmen.
Schade, dass ich den 30c3-Facepalm schon für Apple ausgegeben hatte. Das hier wäre auch ein schöner Kandidat gewesen.
"Imagine this scenario. Officers of the local Stadtpolizei investigating a suspected leak to the press descend on Deutsche Bank headquarters in Frankfurt, Germany," Microsoft said. "They serve a warrant to seize a bundle of private letters that a New York Times reporter is storing in a safe deposit box at a Deutsche Bank USA branch in Manhattan. The bank complies by ordering the New York branch manager to open the reporter's box with a master key, rummage through it, and fax the private letters to the Stadtpolizei."In a Monday legal filing with the 2nd US Circuit Court of Appeals, Microsoft added that the US government would be outraged.
"This case presents a digital version of the same scenario, but the shoe is on the other foot," the Redmond, Washington-based company said in its opening brief in a closely watched appeal.
Sie haben nicht "Gestapo" gesagt, aber es wird trotzdem sehr klar, was sie meinen :-)
So haben sie zum Beispiel das Funktionsträgerprinzip erfunden. Wenn der BND z.B. die EU-Kommission bespitzeln will, dann würden sie einfach argumentieren, dass sie den EU-Kommissar Oettinger als juristische Person abschnorcheln, nicht als tatsächliche Person, denn die Person Oettinger ist von BND-Bespitzelungen gesetzlich ausgenommen.
Lustigerweise hatten ja dieses Jahr mehrere Experten ausgesagt, dass sich das genau anders herum verhält. Der Grundrechtsschutz gilt auch für Nicht-Deutsche, der BND darf überhaupt niemanden "strategisch" abhören.
Update: Das ist alles der Hammer, aber ich will mal eine Stelle rausgreifen:
- Der BND wollte von Telekommunikations-Betreibern wie dem DE-CIX (Internet-Knoten in Frankfurt am Main) Zugriff auf Glasfaser-Leitungen, um diese einerseits mit Selektoren und Filtern von Grundrechtsträgern nach Artikel 10 zu “bereinigen”, andererseits aber auch die übrigen “Routine-Verkehre” zu verwenden und an andere ausländische Nachrichtendienste weiter zu geben. Die Opposition bezeichnet das als “Trick”, der BND als “Nutzung gesetzlicher Befugnisse mit erwünschten Nebeneffekten”.
- Mindestens ein Telekommunikations-Betreiber widersprach dieser Rechtsauffassung des BND und sagte, das sei illegal, auch nach § 206 Strafgesetzbuch: Verletzung des Post- oder Fernmeldegeheimnisses. Daraufhin “überzeugte” das Bundeskanzleramt den Telekommunikations-Betreiber mit einem persönlichen Treffen und einem “Freibrief” von der Rechtauffassung des BND.
Ich lese mal zwischen den Zeilen, dass es sich bei dem widersprechenden Unternehmen um DE-CIX gehandelt hat, aber letztlich ist es ja auch egal, wer das jetzt konkret war. Das muss man sich mal vorstellen! Das Bundeskanzleramt hat dann einen auf Der Pate gemacht und die "überzeugt". AU WEIA.
Update: Und nur damit ihr das auch alle gesehen habt: Der BND darf maximal 20% der Bandbreite absaugen. Gemeint ist offensichtlich nicht die Bandbreite der Leitung sondern der übertragenen Daten. Denn Leitungen werden ja nicht auf Anschlag betrieben sondern man will ordentlich Luft haben, falls mal ein DDoS vorbeikommt oder so.
Ein Iphone-Denkmal (!) an einer russischen Schule (!!) wurde jetzt abgebaut, weil Tim Cook sich geoutet hat (!!!). Damit war klar: Man muss den russischen Gesetzen genügen, und die Kinder vor Schwulen-Propaganda schützen. Außerdem kann man so ja auch dagegen Protestieren, dass Apple ja der NSA geholfen haben soll.
LOLWUT?!
Update: War wenig überraschend ein Hoax.
Lawyers representing the women claim Google should have been able to remove the pictures from the internet, and in failing to do so “made millions from the victimization of women,” the New York Post’s Page Six reported.
Das muss man sich mal auf der Zunge zergehen lassen! So wenig Resthirn ist übrig bei typischen Apple-Usern, dass für sie jetzt Google Schuld ist. Denn wenn Apple Schuld wäre, dann müsste man ja eventuell sein Konsumverhalten ändern und deren Produkte nicht mehr kaufen. Und das geht ja nicht.Update: Und um das mal klar zu sagen: Google ist ja damit an beliebigen Internet-Inhalten Dritter Schuld. Und wisst ihr, warum? Weil wir als Gesellschaft es verdient haben. Weil wir Idioten die Contentmafia damit haben durchkommen lassen, Google für Links auf Warez in Anspruch zu nehmen. Das konnte gar nicht anders kommen.
Wer hätte das gedacht, dass ausgerechnet Axel Springer eines Tages die IT-Publikation rausbringen würde, die es als einzige wagt, sowas wie Kritik an Apple anzudeuten.
Schöner Präzedenzfall von Apple, auch. Ist wie bei der Merkel. Wenn die mal Kritik an den Amis äußert, dann kriegt sie auch gleich ein paar Konditionierungs-Peitschenhiebe und rückt noch ein Stück tiefer in den Dünndarm vor.
Das ist wie wenn man ein Tier zähmt.
Ich delektiere mich ja an den Tränen des "Computerbild"-"Redakteurs", der dann verwundert ist, was Apple denn hat, wir haben denen doch den Testsieg gegeben!1!! Ja, nee, so läuft das nicht. Da waren noch Spuren von Fakten in dem Artikel nachweisbar. Dass man DAS bei Axel Springer noch erklären muss, dass das ein Problem ist!1!!
Ich finde es ja falsch, an der Stelle nur Apple zu bestrafen. Auch Irland sollte eine Milliardennachzahlung tätigen müssen. Dumping-Steuersätze und Dumping-Datenschutz müssen handfeste, heftige, schmerzhafte Strafen nach sich ziehen, wenn wir wollen, dass das aufhört. Besonders geil sind die Auslassungen von Apple dazu.
Apple weist die Vorwürfe zurück. Man habe nie gedroht, Arbeitsplätze aus Irland abzuziehen, um Steuervorteile zu erzielen – es "gab niemals ein Quid pro quo mit der irischen Regierung", betonte Apples Financhef Lucas Meastri gegenüber der Financial Times.Ja nee, klar. "Schöne Arbeitsplätze habt ihr da! Wäre doch schade, wenn denen was zustöße!"
Im Übrigen dürfe man die OECD-Regelungen noch nicht anwenden, die gälten schließlich erst seit 2010 (!!) und seien von Irland halt noch nicht umgesetzt. Money Quote:
Der mit Irland ausgehandelte Steuersatz ist nach Apples Angabe "angemessen" – und mit den Steuerabgaben anderer Firmen vergleichbar.Mal abgesehen von dem tollen Nicht-Dementi… die haben da ihren Steuersatz ausgehandelt?! Krass.
Die bei Apple für den Test von iOS-Updates verantwortlichen Entwickler erhalten die neueste Hardware oft erst nach dem allgemeinen Verkaufsstart, wie Bloomberg berichtet.Die geben den Testern erst nach dem Release die Hardware? D.h. die shippen ungetestet? Und wundern sich dann, wenn da Fehler drin sind?! Was ist DAS denn für ein lächerlicher Kindergarten-Laden?
Aber wartet, wird noch besser!
Apple-Chef Tim Cook habe die interne Nutzung von unveröffentlichten iPhones aus Geheimhaltungsgründen erheblich eingeschränkt – lediglich Führungskräfte sollen ohne Ausnahmeerlaubnis Zugriff erhalten.Damit die auf Parties ordentlich damit posen können, nehme ich an. m(
Und DAS, meine Damen und Herren, ist der Facepalm des Jahres. Diese Firma betreibt und bezahlt eine Abteilung mit Testern, aber lässt sie aus Sicherheitsgründen nicht an das zu testende Produkt ran.
Da bleibt nur nur noch eines zu tun: feierlich den 30c3-Facepalm zu verlinken!
Auf der anderen Seite ist das nur konsequent. Dove kämpft ja auch gegen untergewichtige Models und mag Frauen wie sie sind. Und Always kümmert sich jetzt um Gleichberechtigung. Und Apple ist jetzt eure Privatsphäre wichtig. (Danke, Christoph)
Und wem das zu unwissenschaftlich ist: Stephen Hawking warnt davor, weitere Experimente mit dem Higgs boson könnten das Universum vernichten. Daily Mail FTW!
At very high energy levels, the Higgs boson could cause space and time suddenly collapse - and 'we wouldn't see it coming', the former Cambridge professor of mathematics says.The God particle, which gives shape and size to everything that exists, could cause a 'catastrophic vacuum delay' if scientists were to put it under extreme stress.
Vacuum Delay! Das ist ja noch geiler als der Doomsday Technobabble aus Star Trek! Da können das Omega-Molekül und Thetabandstrahlung nicht mithalten.Update: Hier gehen der Reihe nach Hinweise ein, dass die Daily Mail Hawking falsch zitiert haben könnte. NEIN!! DOCH!!! OH!!!! Meint ihr wirklich?!
Falls sich jemand dafür interessiert, was Hawking wirklich gesagt haben könnte, wäre der Googlebegriff übrigens vacuum decay, nicht delay. Oder False Vacuum. Ist nicht unspannend.
Verizon said (PDF) that a decision favoring the US would produce "dramatic conflict with foreign data protection laws." Apple and Cisco said (PDF) that the tech sector is put "at risk" of being sanctioned by foreign governments and that the US should seek cooperation with foreign nations via treaties, a position the US said was not practical.The Justice Department said that global jurisdiction is necessary in an age when "electronic communications are used extensively by criminals of all types in the United States and abroad, from fraudsters to hackers to drug dealers, in furtherance of violations of US law."
Die sagen offen an, dass sie sich weltweit für zuständig halten. Weil das Verbrechen ja auch international sei!1!! Bisschen viel Superheldenfilme geguckt, wie?
Money Quote:
"Apple is deeply committed to protecting the privacy of all our customers," the company said in response. "Privacy is built into our products and services from the earliest stages of design. We work tirelessly to deliver the most secure hardware and software in the world."
So agil muss eine Firma erstmal sein, dass sie das "earliest stages of design" betitelt, wenn sie im Jahre 2014 STARTTLS einbauen.Oder hey, vielleicht war das ja schon eingebaut und sie haben es nur noch nicht angeschaltet? Gucken wir doch mal, was sie da für einen SMTP-Server benutzen…
220 st11p00mm-smtpin005.mac.com — Server ESMTP (Oracle Communications Messaging Server 7u4-27.08(7.0.4.27.7) 64bit (built Aug 22 2013))Oh… Oracle. Nun, äh, … ich habe da so eine Theorie, wieso sie bis heute gewartet haben, SSL auszurollen. *hust*
Hier ist das Video, geht los bei 1:33:00. Da war wohl der Zensor pinkeln.
Aus Ermittlerkreisen verlautete, auf dem Rechner befinde sich eine Wetter-App. Frage der Nutzer das Wetter in New York ab, öffne sich automatisch ein Kryptoprogramm.M(
Bürochef Fahmi wird vorgeworfen, Mitglied der Muslimbruderschaft zu sein. Am bizarrsten ist der Vorwurf der Staatsanwaltschaft, dass die Fernsehbeträge der Journalisten mit dem Apple Computer-Schneideprogramm Final Cut Pro geschnitten und nach Doha geschickt worden seien.Um dazu mal den Einsender zu zitieren:
Militärdiktatur hin oder her, mit dem Vorgehen gegen Apple machen sie ordentlich wieder Punkte gut.:-)
Immerhin wurde der Wilders in Holland abgewatscht, dafür haben UKIP in England und Front National in Frankreich zugelegt. Viel klarer kann man der EU nicht den Stinkefinger zeigen.
Eigentlich müssten da jetzt Krisengespräche geführt werden. Die müssten alles stehen und liegen lassen, einmal den gesamten Apparat feuern, und dann solange in Klausur gehen, bis sie einen Plan haben, wie sie diesen Karren aus dem Schlamm ziehen können. Aber mangels Alternative wird natürlich wieder nichts passieren. Und eines Tages werden die Leute dann eine Option finden, die im Vergleich wie das kleinere Übel aussieht und dann kriegen wir hier wieder Faschismus. Die AfD hat bei uns auch zugelegt. In Belgien waren es lustigerweise die Kommunisten, die überraschend zugelegt haben, also auch Extremisten. Die waren vorher unter Fernerliefen.
Ich finde es angemessen, angesichts dieser Situation von einer existenziellen Krise der EU zu reden. Wieso tut da eigentlich niemand was?
Update: Und hey, dass die amerikanischen Unterhändler mit TTIP überhaupt zu Ende angehört wurden, als sie den "Investorenschutz" vortrugen, das sagt mir, dass der Laden auch nicht reformierbar ist. Da hätte man die sofort auslachen und vor die Tür setzen müssen. Was für eine Farce.
Update: Hey, immerhin war die Wahl öffentlich. OMGWTF!?
Aber ja, ausgerechnet nach diesem Mann eine Journalistenschule und einen Journalismuspreis zu benennen, das ist in meinen Augen eine Farce.
Jake hat die Geschichte zu Henri Nannen vor der Annahme des Preises gegoogelt, und hatte vor, da eine Brandrede zu halten, hat sich aber dann nicht getraut, als er die ganzen Leute da sah und die nicht alle beleidigen wollte. Aber immerhin hat er das jetzt mal schön aufgeschrieben. Sehr schön, Jake!
Founding backers of the Initiative include Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware and The Linux Foundation.
Yeah!Update: Ich höre gerade aus gewöhnlich gut informierten Quellen, dass sich OpenBSD bei der Linux Foundation um diese Kohle bewirbt :-)
Diese Art Bug ist leider bei Apps üblich. (Danke, Noel)
Um so erstaunlicher: Die US-Handelsaufsicht FTC hat jetzt ein paar Mobile-App-Klitschen verdonnert, sich 20 Jahre lang jährlich unabhängig die Security testen zu lassen.
Das wird hoffentlich wie ein Donnerhall durch die Branche krachen. Noch schöner wäre es gewesen, wenn da mal eine handfeste Strafzahlung ausgeteilt worden wäre, oder gar direkt Knastdrohung für das Management. Fandango, die eine der betroffenen Apps, verkauft Kinokarten, d.h. da gehen Kreditkartendaten über das Netz.
Update: Alle zwei Jahre nur, nicht jährlich :-(
Nun benutzt Apple aber nicht gcc sondern clang. Und da gibt es die Warnung zwar, aber sie muss manuell angeschaltet werden und ist nicht Teil von -W -Wall -Wextra. Das ist meiner Ansicht nach ein grober Fehler, den clang korrigieren sollte.
Aber wie ist denn das bei gcc? Wäre Apple sicher gewesen, wenn sie gcc eingesetzt hätten?
Wie sich rausstellt: Nein. gcc hat die Option vor ein paar Jahren deaktiviert. Ja, ganz weg. Die Kommandozeilen-Option gibt es noch, aber sie tut nichts mehr. Was für ein epischer Knieschuss, liebe gcc-Maintainer! Da habt ihr ja mal wieder mit Anlauf einen Kopfsprung ins Klo gemacht!
Man kann also im Moment Softwareentwicklern unter Linux nur empfehlen, clang mindestens als Zweitcompiler zu verwenden, um diese Warnung überhaupt kriegen zu können. Oder man steigt gleich ganz auf clang um, weil man keinen Bock mehr auf die Andrew Pinskis bei gcc hat.
Ich bleibe erstmal noch bei gcc, weil da immer noch geringfügig besserer Code rausfällt in meinen Tests.
Description: Secure Transport failed to validate the authenticity of the connection. This issue was addressed by restoring missing validation steps.
Fast überflüssig zu erwähnen, dass es sich um Apple handelt.Update: Es handelt sich anscheinend um dieses Problem — Apple-SSL hat den Common Name nicht geprüft. Das ist ungefähr so das schlimmste, was man bei SSL verkacken kann. Und wie ihr sehen könnt, sitzt Apple seit Monaten auf dem Problem und hat ihre Kunden ins offene Messer laufen lassen. Tolle Firma ist das, wer würde… Oh guck mal da drüben, ein neues Iphone! Jetzt in hellgrün! Schnell kaufen!1!!
Update: Bei reddit behauptet jemand, es sei nicht dieser Bug. Und Adam Langley sagt, das Problem betrifft auch OS X, nicht nur die Mobilgeräte.
Update: goto fail;
Warum nur hat noch kein Qualitätsjournalist den Zusammenhang analysiert, das sowohl Facebook als auch WhatsApp beide von SEQUOIA Capital finanziert werden?!Klingt plausibel, wenn ihr mich fragt.Einfacher lassen sich 16 Milliarden Dollar doch gar nicht aus einem Börsenunternehmen rauswuchten, ohne dass der Kurs zusammenklappt!
Das Ganze ist kein Gewinn für WhatsApp, sondern eine Geldentnahme aus Facebook.
Vermutlich wird im kleinen Kreise bei einem leckeren WhatsApp BBQ Kassensturz gemacht während sich die Anleger mit den Analysen der Technologiejournalisten trösten, die sich haarsträubend absurde Begründungen aus den Fingern schreiben, warum ein $16,000,000,000 Klitschenkauf gerechtfertigt sein könnte.
Beim YouTube Merger war es das gleiche Spiel. Wieder Sequoia Capital auf beiden Seiten.
Update: Oh und wisst ihr, wer noch von Sequoia finanziert wurde? Instagram. Für die hatte Facebook ne Milliarde hingelegt. Das war dann wahrscheinlich Warmlaufen.
Update: Schöne Geschichte, bis auf das Detail, dass Facebook offenbar keine Kohle von Sequoia genommen hat. Die sind fast die einzigen, die da nicht investiert haben. (Danke, Gunnar)
Aus meiner Sicht:
Aus welchem Blickwinkel kommt sowas überhaupt auch nur in die Vorrunde? Weil da "wir haben aber Krypto!1!!" steht? Ich würde keinem von diesen Anbietern, die sich da jetzt gerade versuchen, mit dem NSA-Skandal eine goldene Nase zu verdienen, über den Weg trauen.
Von den Permissions her könnte das Teil in Echtzeit deine Location an die NSA melden und deine Kontaktliste und SMSsen in Utah hochladen.
Wahrscheinlich meinen die es nicht böse und sind eine tolle Firma, ich habe keine konkreten Anhaltspunkte für andere Annahmen, aber Vertrauen muss man sich erarbeiten, das kann man nicht einfach einfordern.
Smartphones sind eine inhärent nicht vertrauenswürdige Plattform. Damit macht man am besten gar keine Dinge, von denen es einem unangenehm wäre, wenn andere Menschen davon erführen.
Oh und das Android-Permission-Modell ist voll für den Arsch. Google sollte sich was schämen.
Oh und einer noch: Schönen Gruß an all die Leute, die ihre Daten Whatsapp anvertraut haben, um sie nicht Facebook geben zu müssen. *wink*
Update: Ich sollte das ein bisschen konkretisieren. Unter der Annahme, dass die tatsächlich starke Krypto benutzen, wäre das in der Tat ein Schritt in Richtung SIGINT-Abteilung der NSA ärgern. Dann würde die NSA halt das Phone hacken oder euch eine bösartige Version der App unterjubeln. Das wäre auch schon mal ein Gewinn. Aber halt kein sonderlich großer. Im Übrigen sei darauf verwiesen, dass die Schweiz natürlich auch fleißig mitschneiden lässt.
Perfect Scenario — Target uploading photo to a social media site taken with a mobile device.
Ich habe das damals bei SAR Lupe erzählt, dem Spionagesatelliten der Bundeswehr. Der ist technologisch Weltklasse. Dabei braucht die Bundeswehr das natürlich nicht, im Zweifelsfall geben uns unsere Nato-Partner das Material von deren Satelliten.
Der Punkt, wieso Deutschland in solche Tech überhaupt investiert hat, ist dass das Abhörmaterial zwischen den Diensten "gehandelt" wird. Das ist eine Art Bazaar. Man möchte dort auf Augenhöhe mitspielen und auch was beizutragen haben. Und man möchte im Zweifelsfall einen Hebel haben, um anderen Ländern etwas anbieten zu können, wenn die mal ein Satellitenbild nicht rausrücken wollen, weil der Satellit gerade was anderes filmen soll.
Und unter dem Aspekt muss man auch diese Schlandnet-Geschichte sehen. Die Dienste nutzen den NSA-Skandal als Hebel, um ihr Standing im weltweiten Geheimdienste-Apparat zu verbessern. Die haben das ja schon über diese No-Spy-Geschichte probiert, was sich ja eher um eine Mitgliedschaft bei Five Eyes handelte als um ein Abkommen, das gegenseitige Spionage untersagt. Das steht da zwar auch drin, aber wie wir inzwischen wissen, haben die Amerikaner da drauf geschissen und trotzdem ihre "Partner" abgeschnorchelt.
Wenn wir jetzt ein nationales Internet schaffen, dann hat das neben allen anderen schlechten Aspekten auch noch den, dass dann der BND mehr Daten zum international verhökern hat. Glaubt nicht eine Sekunde, dass dann weniger abgeschnorchelt wird. Es ändert sich bloß, dass der BND davon "profitiert".
Wir sollten den BND zumachen, nicht aufwerten.
Es war für mich ein sehr schöner Congress, wenn nicht gar der schönste bisher.
Der Assange-Talk fiel weitgehend aus, weil fiese Saboteure ständig strategisch über Kabel stolperten und den Feed unterbrachen. Nicht nur den Feed zu Assange, sondern auch die Streams aus dem Saal, man konnte also nicht mal einen Stream sehen, wie Assange wegbrach. Die paar Sekunden, die die Verbindung stand, musste er sich dann vergleichsweise fiese Fragen stellen lassen. Aus meiner Sicht war dieser Ausgang eine Win-Win-Win-Situation. Sehr schön war auch, dass Sarah Harrison als Rednerin gewonnen werden konnte, was die zu sagen hatte fand ich eh interessanter als Julians Phrasen. Das war nämlich auffällig, dass er da genauso gebügelte PR-Phrasen raushaute wie man sonst von Politikern kriegt, ala "robust and meaningful action" und so. Furchtbar.
Den FX-Talk werde ich mir auf Video angucken, da haben wir nochmal Tippfehler in den Folien korrigiert und nochmal das Präsentationsnotebook durchgebootet (Apple, wissenschon).
Den Fnord-Jahresrückblick haben wir auch direkt für einen kleinen Fnord genutzt, indem wir das Publikum zu einem Simultan-Facepalm animierten, um das mal als Foto für sich zukünftig bietende Gelegenheiten da zu haben. Ich hörte, auch Saal 2 soll voll gewesen sein. Ob die da auch fazialpalmiert haben, weiß ich nicht. Wenn das so war und jemand ein Foto gemacht hat, bitte ich um Zusendung per Email.
Weil das das 10jährige Jubiläum war, hatten sich diverse Gruppierungen einige Fnords am Rande ausgedacht, u.a. trugen da zwei starke Männer ein blaues Fass auf die Bühne, mit dem Schild "Strategische Popcorn-Reserven". Dann gab es da noch ein trojanisches Pony mit bizarren Verschwörungsunterlagen (wenn ich das richtig verstanden habe, dann war das eine Sammlung aus Crackpot-Post, die bei Erfakreisen so im Briefkasten aufschlugen, hauptsächlich über 9/11). Außerdem gab es da noch eine Industrie-Tröte, deren Losgehen Frank durch beherztes Ziehen der Akkus verhindern konnte. Nachdem wir eh schon eine Stunde später als sonst lagen, und dann eine viertel Stunde verzögert wurden, weil FX überzogen hat, haben diese Einlagen leider noch eine halbe Stunde Verzögerung verursacht und Frank und mich aus dem Flow abgebracht. Das ist für das Publikum vielleicht nicht so offensichtlich, aber wir verbringen jedes Jahr Monate mit Sammeln, Aussieben, dem Finden von Geschichten und guten Illustrationen zu selbigen, und dem Aufbau eines Spannungsbogens. Da ist das dann schon schade, wenn der dann so zersägt wird. Gegen Ende merkte man ein bisschen, dass dem Publikum die Luft ausging, und das war halt vermeidbar. Ich denke mal, nächstes Jahr ist kein Jubiläum, da machen wir dann keine Unterbrechungen mehr während der Show, dann flutscht das noch besser. So war das nicht nur der späteste sondern auch der längste Fnord-Jahresrückblick.
Am nächsten Morgen gab es noch einen sehr empfehlenswerten Vortrag, der erste in Saal 1, Hacking the Czech Parliament via SMS. Die haben sich die Telefonnummern der Parlamentarier besorgt und dann auf eine Gelegenheit gewartet. Die kam, als ein Minister wegen Korruption verhaftet wurde und im Parlament bei einer Spezialanhörung Rede und Antwort stehen musste. Das wurde live übertragen und viele Menschen guckten zu. Die Vortragenden haben dann ein Drama aus Fake-SMSsen verschickt, die so aussahen, als schickten die die sich untereinander. Während also vorne ein Politiker steht und sich wegen Korruption verteidigen will, gehen hinten Botschaften per SMS herum wie "Das geht so nicht weiter, wir müssen hier mal wirklich was ändern, diese Korruption muss weg". Das Highlight war, dass der Premierminister dann der Presse sagte, ihm sei ja sofort klar gewesen, dass das Fake-SMSsen waren, weil die eine von seinem Finanzminister kam, und das sei ja offensichtlich, dass der niemals Reform vorschlagen würde :-)
Und jetzt ratet mal, wer ihnen da einen Strich durch die Rechnung macht? Na klar! Die EU-Kommission! (Danke, Michael)
"Friedrich ist entweder ein kompletter Idiot oder ein Lügner", sagt Appelbaum deutlich. Und schickt spöttisch hinterher: "Um höflich zu bleiben - ich denke, dass er nur ein Lügner ist."Man muss ihm das nachsehen. Er ist Amerikaner. Woher soll er wissen, dass Friedrich wirklich so wenig Durchblick hat und das nicht heucheln muss. In der Beziehung ist die deutsche Innenpolitik den USA deutlich voraus.
Ist euch eigentlich mal aufgefallen, wie die Friedrich-Politikerfotos in den Medien das immer mehr reflektieren seit Beginn seiner Amtszeit? Gut, wie ein Einstein sah er noch nie aus, aber in späteren Fotos ist der Gang gebeugter und der gezeigte Gesichtsausdruck nähert sich immer mehr dem eines Schimpansen an. Wenn das nicht unser Innenminister wäre, wäre das echt erheiternd.
An unarmed, emotionally disturbed man shot at by the police as he was lurching around traffic near Times Square in September has been charged with assault, on the theory that he was responsible for bullet wounds suffered by two bystanders, according to an indictment unsealed in State Supreme Court in Manhattan on Wednesday.
Die Polizei hat Passanten angeschossen und dafür klagen sie jetzt den unbewaffneten Verwirrten an, auf den sie eigentlich schießen wollten. (Danke, Magnus)
"Frau Steinbach würde ich nicht als Rassistin bezeichnen", sagt er über Erika Steinbach, die Vorsitzende des Bundes der Vertriebenen, CDU-Bundestagsabgeordnete und ein rotes Tuch für die Linken, nicht nur bei den Jusos.Dabei ist der eigentlich nicht doof, aber halt eher Langfrist-Stratege, nicht schlagfertig. Der braucht Zeit, sich vorher einen Plan zurecht zu legen. Man würde denken, dass er sich die Zeit für die Jusos nimmt. Aber offensichtlich hat der gerade alle Hände mit Feuerlöschen voll.
Auf der anderen Seite sind die Jusos natürlich auch politisch überhaupt nicht ernstzunehmen mit ihrem Antideutschen-und-Womyn's-Rights-Vokabular. Check mal deine Privilegien, Alter!1!!
Und damit ist auch klar, dass Gabriel nur auf Granit beißen konnte, egal mit welchen Argumenten er gekommen wäre. Fundamentalisten kann man nicht mit Argumenten oder Kompromissen überzeugen. Bei Fundamentalisten bringt es nichts, wenn man auf bereits erzielte Errungenschaften verweist. Im Gegenteil wird einem dann erst Recht vorgeworfen, dass man die Weltrevolution mit faulen Kompromissen aufhält. Der Gabriel kann froh sein, dass ihm niemand Derailing vorgeworfen hat (das solltet ihr überhaupt mal in Ruhe lesen, vielen ist ja gar nicht klar, dass es dieses Gedankenspektrum überhaupt gibt. Money Quote:
Der Prozess, “Fakten” höher zu bewerten als “Meinungen” ist sehr stark im Interesse verwurzelt, Privilegien zu bewahren.Viel Spaß bei der Lektüre!)
Ich betrachte ja dieses Privilegien-Checken-Getue ähnlich wie die Pro-Life-Fraktion. Die haben sich lange genug eine Nische so zurechtgelegt, dass sie sich in einer Opferrolle hinein interpretiert haben. Gerade bei den Pro-Lifern ist das zu schön, wenn sich weiße Mittelschichtsangehörige mit Eigenheim und zwei Autos als verfolgte Minderheit fühlen. Dieses indignierte Gestikulieren empfinde ich als sehr unterhaltsam. Und genau wie man nie jemanden von der Pro-Life-Fraktion sieht, der ein paar schwarze HIV-Babies adoptiert, deren Vater unbekannt und deren Mutter Crack-abhängig ist und abtreiben wollte, genau so wenig kann man Privilegien-Checken-Leute dabei beobachten, wie sie tatsächlich Privilegien abzugeben gewillt sind, sobald das mit persönlichen Einschnitten in die Lebensqualität verbunden wäre. Zieht jemand von denen nach Afrika und hilft da Verhungernden? Setzt da wer ein Testament auf, das ihr Hab und Gut an die Zigeuner vererbt, wenn sie mal welches erlangen sollten? Lernt da jemand Brotbacken und verteilt das Brot unter den Armen? Zahlt da jemand freiwillig mehr Studiengebühren, weil das ein Privileg ist? Zahlt jemand von denen seine Arztrechnung lieber aus eigener Tasche und lässt die Versicherung in Ruhe? Geben diese Leute alles auf, werden Arzt und ziehen nach Haiti und helfen da Menschen?
Nein.
Aber wisst ihr, wer das macht?
Die Kubaner.
Und denen geben wir zur Strafe noch ein Handelsembargo oben drauf. Ich hab neulich so einen Artikel gelesen, der war in der Beziehung augenöffnend. Dass die Haitianer und die westlichen Hilfsorganisationen die kubanischen Ärzte rausekeln wollten, weil sie selbst so schlecht aussahen im Vergleich. Denn die westlichen Ärzte bauen Zeltlager auf und helfen denen, die es bis zu ihnen schaffen. Die kubanischen Ärzte ziehen in die Dörfer, lernen die Landessprache und helfen vor Ort. Die haitianischen Ärzte gehören der Oberschicht an und haben auch keinen Bock auf Urwald, Sumpf und Eingeborenenstämme. Die Kubaner sind echt die einzigen, die sich morgens im Spiegel in die Augen gucken können.
Wir im Westen führen einen Studiengang ein, legen uns eine neue Sprache dafür zurecht, und glauben, damit irgendjemandem geholfen zu haben.
Auf der anderen Seite passt das ja auch prima zur SPD. Jede Partei hat die Jugendorganisation, die sie verdient hat. Wer es ernst meint mit dem Wort "sozialdemokratisch", der ist zur Linkspartei gegangen. Bei der SPD hängen nur noch die ganzen Pseudos herum. Warum sollte das bei deren Jugendorganisation anders sein.
Wenn wir mal ehrlich sind, ist schon die Tatsache, dass wir uns hier über Geheimdienstexzesse und Internetfilter unterhalten, ein seltenes Privileg. Unser Wohlstand basiert auf einer historischen Schuld, die leider nicht weggeht, wenn wir unsere Privilegien jetzt aufgeben. Und es geht ja leider auch den Unterprivilegierten nicht besser, wenn wir Privilegien aufgeben. In Ländern, in denen plötzlich Wohlstand ausbricht, z.B. China, ist der genau so schlecht verteilt wie bei uns. Ein paar Superreiche, und das Gros der Bevölkerung ist knapp über dem Verhungern oder hungert. Solange wir dafür keine Lösung finden, müssen wir über den Rest gar nicht reden. Solange wir schon innerhalb unseres Landes und der EU nicht in der Lage sind, Obdachlosigkeit abzuschaffen, und dafür zu sorgen, dass im Winter niemand erfriert, weil Heizen zu teuer war, werden wir die Ungerechtigkeit gegenüber anderen Teilen der Erde ganz sicher nicht lösen können. Und im Grunde will das ja auch niemand. Sonst könnte die EU sowas wie Frontex ja gar nicht machen, wenn nicht die breite Mehrheit der Bevölkerung das insgeheim so haben wollen würde. Und unsere "Entwicklungshilfe". Damit wir uns weniger schuldig fühlen, machen wir Altkleidersammlung, und das wird dann kommerziell nach Afrika gekarrt und dort verhökert. Wie, dachtet ihr etwa, das wird dort unter den Bedürftigen verschenkt? Nix da. Das wird verkauft. Und zwar so billig, dass es jeweils die inländische Textilindustrie kaputt gemacht hat. So eine tolle Hilfe sind wir mit unseren Hilfsprojekten.
Aber Hauptsache ihr habt alle eure Privilegien gecheckt! Dann sterben gleich ne Million Afrikaner weniger an Hunger — oder an deutscher Munition aus deutschen Gewehrläufen.
Update: Nach all der schlechten Laune sollte ich vielleicht noch sagen, dass ich mich diebisch gefreut habe, dass wenigstens die Jusos genug Arsch in der Hose haben, zu ihrer Ablehnung von Merkel-Appeasement-Politik von vor der Wahl zu stehen. Die sind noch nicht alt genug, um das Umfallen ausreichend verinnerlicht zu haben. In diesem Sinne: Auch ein blindes Huhn findet mal ein Korn.
Zwar liege eine Open-Source-Entwicklung vor, deren Produkt habe Appwork sich aber zu eigen gemacht. Hierfür spreche, dass der Hersteller finanziell durch Werbung von der Verbreitung der Software profitiere. Im Informationsfenster der Software sei ein Vermerk zugunsten des Unternehmens angebracht.Damit liegt die Idee nahe, ab jetzt in solcher Software lieber Werbung für das LG Hamburg und vielleicht noch die eine oder andere Abmahnkanzlei einzubauen. Mal schauen, was passiert, wenn das jemand ausprobiert. (Danke, Tim)
As it turned out, the army had installed pirated copies of the software on 93 servers and more than 9,000 standalone devices. With license fees of $1.35 million per server and $5,000 per device, Apptricity calculated that the Government owed the company $224 million in unpaid fees.
Übrigens sieht das Abkommen vor, dass die Firmen dann Staaten auf Schadensersatz verklagen können. Wenn McDonalds kein Klonrind importieren darf, dann rechnen sie einfach die Differenz aus, die sie jetzt mehr zahlen müssen, und können die sich von der EU "rückerstatten" lassen. Die Staaten geben also ihre Souveränität auf, Verbraucherschutz wird abgeschafft. Le Monde Diplomatique hatte da kürzlich einen schönen Überblick. Achtung: Macht alles sehr schlechte Laune.
So und jetzt will ich kein Geheule mehr hören.
Jedenfalls, was tun die Amerikaner? Fliegen da erstmal mit zwei B-52 Langstreckenbombern drüber. Taiwan hat sich übrigens auch schon gemeldet in dem Konflikt und beansprucht die Inseln auch für sich.
Beim Abschlussplädoyer vor der Jury am Dienstag erinnerte Apples Anwalt Harold McElhinny laut Bloomberg an die amerikanischen Fernseher seiner Kindheit. Diese gebe es nicht mehr, weil die Hersteller ihr geistiges Eigentum nicht geschützt hätten – "wir wissen alle, was passiert ist", zitiert ihn die Nachrichtenagentur.Da kann man nur sagen: Ein Glück, dass der Supreme Court Rassismus abgeschafft hat! Nicht auszudenken, wenn es in Amerika noch Rassismus gäbe!
Und im Übrigen: Wer sehnt sich nicht nach Schwarzweiß-Röhrenfernsehern mit Mono-Sound im Einbauschrank-Format und ohne Fernbedienung zurück?
Der Verkauf von Produkten, die wie ein iPhone oder iPad aussehen, hat das "Ansehen gemindert, dass die Welt Apple entgegenbringt"Ja nee, klar.[…]
Nutzer "stellen unsere Innovations- und Design-Fähigkeiten so wie nie zuvor in Frage"
Habt ihr euch mal gefragt, wieso ausgerechnet die Telekom so eine Ansage macht und kein anderer? Weil alle anderen eh bevorzugt Peering betreiben und dann alles in Deutschland bleibt. Ist ja auch offensichtlich. Peering ist im Interesse aller Seiten. Man schließt sich zusammen, keiner zahlt für den Traffic, beide Seiten haben bessere Konnektivität.
Nur die Telekom macht das nicht gerne. Die macht lieber kein Peering sondern will von der Gegenseite für einen direkten Anschluss an ihr Netz bezahlt werden. Und sie kommen sogar gelegentlich damit durch, weil sie so viele DSL-Kunden haben — direkt und via Reseller —, die sie da als Geisel Hebel verwenden können. Die Telekom hat also seit Jahren nicht nur drauf geschissen, ob Mails im Inland bleiben oder nicht, sondern sie haben aktiv herbeigeführt, dass innerdeutsche Mails durch das Ausland gehen, damit bei anderen Marktteilnehmern Leidensdruck entsteht und die Telekom-Zuleitungen anmieten. Und ausgerechnet DIE machen jetzt einen auf dicke Hose von wegen bei uns bleibt Ihre Email im Inland.
Ich könnte kotzen über diese Dreistigkeit.
Die stehen bei mir im Approval-Rating echt in einer Linie mit BND und Verfassungsschutz. Zumachen, jetzt.
Update: Man kann das Apps-Dingens doch abschalten. Rechtsklick, dann ganz unten ein Häkchen wegmachen. Ändert nichts an der Aussage, dass ich mir nicht von anderen Leuten Bookmarks setzen lasse.
Update: Es geht anscheinend um die Erstaktivierung. Wenn man das einmal aktiviert hat, gehen danach auch andere SIM-Karten.
Und unabhängig von der Frage, ob und wo Apple oder euer Gerät euren Fingerabdruck speichert: Euer Fingerabdruck ist Teil eurer Passdaten und wird u.a. bei der Einreise in viele Länder abgenommen.
Die schlechte: RSA BSAFE benutzt das als Default-RNG. Und nicht nur die, NIST hat eine Liste. Cisco, Apple, Juniper, McAfee, Blackberry, … bei den meisten wird das allerdings nicht Default sein.
Die gute Nachricht: BSAFE wird von keiner freien Software eingesetzt. Wenn ihr also Firefox unter Linux einsetzt, seid ihr sicher.
Ich bin mir gerade nicht sicher, wie das unter Windows ist. Da gibt es ein TLS vom System namens "SChannel". Das wird meines Wissens u.a. von IE und Chrome verwendet. Benutzt der BSAFE? Vermutlich. Es gab mal eine Zeit, da konnte man RSA und co gar nicht ohne BSAFE legal einsetzen in den USA, aus Patentgründen. Das müsste mal jemand herausfinden, wie das ist, und ob Windows den NSA-RNG einsetzt.
OpenSSL ist auch auf der Liste, aber die haben schon angesagt, dass sie das nur implementiert haben, weil ihnen jemand dafür Geld gegeben hat, und das ist nur an, wenn man den FIPS-Modus aktiviert, von dem sie im Übrigen dringend abraten und was nicht der Default ist.
Incredibly, intelligence officials said today that no one at the NSA fully understood how its own surveillance system worked at the time so they could not adequately explain it to the court.
Zufall? Aber nicht doch! "Intelligent" Design!the NSA's surveillance apparatus, for years, was so complex and compartmentalized that no single person could comprehend it.
Die trauen sich ja auch innerhalb der NSA gegenseitig nicht über den Weg. Dementsprechend sind dann natürlich auch Anforderungen von außen nicht oder nur partiell erfüllbar. Z.B. die Anforderung, dass man für das Abhören von Amerikanern in der Lage sein muss, ein paar Verdachtsmomente angemessen artikulieren zu können. Das fand jedenfalls das Geheimgericht. Offensichtlich hatten die Richter da doch noch sowas wie Selbstwertgefühl übrig.The court had told the NSA they were only allowed to query numbers that had "reasonable articulable suspicion (RAS)" of being involved in terrorism.
Und wie viele Verdachtsmomente konnte die NSA artikulieren?Apparently, out of the more than 17,000 numbers on this list in 2009, the NSA only had RAS for 1,800 of them.
So um die 10%.
"Ich kümmere mich nicht mehr um die Briten, das ist verloren", sagte sie […](Danke, Kai)Die Briten agierten nur noch mit den Amerikanern zusammen und wollten keine europäischen Gesetze, sagte die Kommissarin.
Ping of Death war gestern, Apple ist einen Schritt weiter!
Rückblickend war diese 1984-Werbung von Apple ja echt ein Treppenwitz der Geschichte.
The Obama administration on Saturday vetoed a U.S. trade body's ban on the import and sale of some Apple Inc. iPhones and iPads, a rare move that upends a legal victory for smartphone rival Samsung Electronics Co.
Die TUN nicht mal mehr so, als ginge es bei ihrem Rechtssystem um Gerechtigkeit! Klar, wir haben hier Gerichte und Behörden und so, aber deren Rechtssprüche gelten nur, wenn sie uns gefallen.
Ich hatte mich im Vorfeld ein bisschen gewundert, dass die überhaupt die NSA die Keynote machen lassen. Die NSA ist ja zumindest international gerade ziemlich der Buhmann. Da hätte es sicherlich unkontroversere Kandidaten gegeben.
Man könnte auch vermuten, dass die die NSA da reden lassen, um Kontroverse und damit Presseinteresse für ihre Veranstaltung zu generieren. Aber das war es nicht, denn sie haben keine Zuschauerfragen zugelassen. Das wäre wohl auch ziemlich nach hinten losgegangen. Ich für meinen Teil hätte da jedenfalls gerne eine Frage gestellt.
Ich hatte mir da als Kandidaten überlegt:
Wenn er öffentlich angesagt hätte, dass das schon OK ist, wenn die Briten seine Mail lesen, das wäre echt ein Höhepunkt gewesen.
Ich teile da die Einschätzung der US-Journalisten, mit denen ich mich unterhalten habe, die meinten, das hätte die NSA wohl nach den Snowden-Leaks am liebsten abgesagt, aber das hätte noch schlechter ausgesehen. Und so haben sie gute Miene zum schlechten Spiel gemacht und es mit Vorwärtsverteidigung versucht. Das ging allerdings ziemlich nach hinten los. Es gab das übliche Programm, was ich mal als die US-Version der Ziercke-Tournee bezeichnen will. Internetzensur begründet man mit Kinderpornographie, Abschnorcheln begründet man mit den Terroristen. Und so war jedes zweite Wort "Terrorist" in der Keynote. Die seien halt unter uns und da müsse ja jemand was tun. Ob er sich als Befehlsempfänger sieht oder als Akteur kam nicht wirklich rüber, weil er jedes Indiz auszuräumen versuchte, dass das in irgendeiner Art und Weise moralisch verwerflich sei, was die NSA da tut. Alles total harmlos! Wir haben da nur ein paar Telefonnummern und verknüpfen die, und damit geben wir dann wertvolle Hinweise an das FBI, und die laufen dann mit National Security Letters los, finden die Namen der Verdächtigen, haben dank unserer Daten "probable cause" und schicken dann einen Richter los. Man könnte es fast zusammenfassen als: Wenn hier einer zu viel Macht hat, dann das FBI!1!!
Das fiel ihm wohl auch selber auf, daher schloss sich eine Hollywood-mäßige Lobeshymne an. Das FBI sei eine großartige Behörde, und ihr Leiter Robert Mueller, das ist ja der tollste Mann, den er je kennengelernt hat. Das war echt wie eines dieser schmierigen Making-Of-Trailer aus Hollywood. Es sei ein Privileg und eine Ehre, mit allen diesen tollen Menschen zusammenzuarbeiten. Alle Mitarbeiter seien selbstlose, ehrenwerte Menschen, die Amerika zu einem besseren Ort machen wollen!
Oh und er habe ja gehört, dass die FISA Courts Rubber Stamps verteilen, d.h. alles einfach durchwinken. Nichts könnte ferner von der Wahrheit sein! Das sind alles knochenharte Karrierejuristen, die lassen sich von niemandem über den Tisch ziehen! Selbst er als Vier-Sterne-General habe sich da schon Rüffel abholen müssen!1!!
Ihr seht schon, das war Hollywood pur. Eine PR-Veranstaltung vom Feinsten. Bis dann, nach ca einer halben Stunde, von hinten eine einzelne Stimme "BULLSHIT!" brüllte. Andy Greenberg von Forbes hat den Typen ausfindig gemacht. Das war echt Popcorn-Kino, weil der NSA-Chef da schon drauf antworten wollte, aber nicht Bullshit sagen wollte. Er sei ja 14facher Großvater und müsse auf seinen Duktus achten. Greenberg hat den ganzen Dialog aus seiner Aufnahme transkribiert.
Zu meiner Überraschung kriegte der Herr General dann sogar noch zwei kurze Runden Applaus für seine Patrioten-Hollywood-Tränendrüsen-Aussagen, und konnte sogar öffentlich dazu aufrufen, die Hacker seien doch die Leute, die das alles verstehen, und wir sollten ihnen doch mal helfen, der Welt da draußen zu erklären, dass die NSA voll die Guten sind. Und im Übrigen sollen wir mithelfen. Gerade wenn wir nicht damit einverstanden sind, was die NSA so treibt. Gerade dann. Doppelt wichtig sei das dann, dass wir mithelfen. An der Stelle wirkte das ganze ein bisschen wie ein Steve Jobs Moment auf mich. Das Realitätsverzerrungsfeld sorgte für einen leichten Schwindelanfall.
Überhaupt, dass der Mann sich da auf die Bühne stellt und was von Transparenz, Offenheit und Fakten auf den Tisch faselt, während die Fakten ja gar nicht er auf den Tisch gelegt hat, sondern der Snowden, das war schon echt ein Dali-Moment.
Unter den Hackern, mit denen ich mich so unterhalten habe, war die Sache völlig klar. Kein einziger war da auf Seiten der NSA. Da aber in den USA die Hälfte der Hacker ihr Gehalt direkt oder indirekt in Abhängigkeit von der Regierung bezieht, sagen da aber nur wenige offen ihre Meinung.
Wir haben da in Europa echt etwas gutes aufgebaut. Unsere Hacker-Szene ist mir deutlich sympathischer.
Update: Den einen tollen Spruch hatte ich noch gar nicht erwähnt. An einer Stelle war er sichtlich erzürnt, dass die Leute bei solchen Angelegenheiten der Presse glauben. Und nicht "den Fakten", womit er wohl seinen Behauptungen-Katalog meinte. Auch sehr auffällig war, dass die Folien sich sehr deutlich von dem Powerpoint-Fegefeuer abhoben, die Snowden da geleakt hatte. Das war ihnen offensichtlich ein echtes Anliegen, da nicht wie blutige Anfänger zu wirken :-)
Update: Oh und falls das nicht klar war: Die Idee, dass jemand schon gegen die Datensammlung an sich sein könnte, und nicht bloß Sorgen hat, dass das missbraucht werden könnte, die ist völlig außerhalb der Vorstellungskraft der NSA. Die gesamte Verteidigung ging davon aus: Wir haben diese Daten, und vertraut uns doch einfach, dass wir damit keinen Mist machen.
This command (command code 76) is a private command used by Spotlight searching on the AFP server. This command is not documented.
Ja super, Apple! Das habt ihr aber fein gemacht! Da hat ja jemand VOLL verstanden, was der Sinn von Dokumentation ist!1!!
1942 glaubte eine amerikanische Zeitung publizieren zu müssen, dass Roosevelt und Churchill über eine neue Erfindung miteinander redeten, ein Sprachzerhacker-Telefon. Das Blatt zeigte ein Foto des Geräts, eines nach Urteil der Redaktion nichtssagenden Kastens. Der Zeitungsartikel und das Foto reichten einem deutschen Ingenieur aber aus, um den Apparat nachzuerfinden und Lauschmaßnahmen zu ersinnen.Aha. Das Foto eines Plastikkastens hat einem deutschen Ingenieur den Nachbau ermöglicht, ja? Soso. Ohne das Foto hätten die das nicht reverse engineeren können?
Immerhin ist der Typ geistesgegenwärtig genug, selber zu erkennen, dass er Kriegsführung gegen ein Land mit "Zusammenarbeit" in Friedenszeiten mit einem Nato-Partner vergleicht. Kein Problem bei Herrn Krauel!
Wir seien doch nicht im Krieg, wird dann gern gesagt. Es gehe doch um den Schutz der Zivilgesellschaft. Wohl wahr, ja, aber Krieg wird heute aus der Mitte der Zivilgesellschaft heraus geführt.Ach sooo. Na dann ist das natürlich was ganz anderes!1!!
Der Mann ist übrigens "Chefkommentator" in der "Welt" und schon früher negativ aufgefallen. (via)
man wolle überprüfen, ob dieses gestohlen sei. Der Beamte habe gesagt: „Ich werde schon nicht in Ihren Nachrichten rumgucken, oder haben Sie etwas zu verbergen?“ Baum habe sein Handy übergeben und es erst nach einer halben Stunde wiederbekommen.Baum ist in diesem Fall Andreas Baum von der Berliner Piratenpartei. Sonst wäre das vermutlich gar nicht bekannt geworden. In der History konnte man sehen, dass der Polizist sich die SMS-App und das Telefon angeguckt hatte, vermutlich um das Telefonbuch abzuschnorcheln. Und um die ganzen alten SMSsen zu lesen.
Dann habe er weiterfahren dürfen, und, zu Hause angekommen, noch einmal sein Handy geprüft. Dabei habe er bemerkt, dass im SMS-Programm bis Oktober 2012 zurückgeblättert worden war, also Nachrichten geprüft worden waren. Auch in der Anrufliste sei zurückgeblättert worden.Was für eine Frechheit. Wie das halt immer ist: Wenn Daten vorliegen, werden sie missbraucht werden. Es hilft nur Datensparsamkeit.
Update: Es gab auch in Köln und Hamburg zu verdachtsunabhängigen Kontrollen u.a. von Mobiltelefonen.
Daher: Im Übrigen bin ich dafür, dass die OSZE die GEMA zumacht.
Die Sendung war übrigens teilweise durchaus unterhaltsam. Popcorn bereithalten. Jake fragt z.B. den Schmidbauer, ob der BND eigentlich auch Leute abschnüffelt mit Trojanern und so. Daraufhin andere in der Runde "natürlich nicht" und der Schmidbauer dann "natürlich!" Die Szene ist echt großartig.
* CVE-2013-0242 Buffer overrun in regexp matcher has been fixed (Bugzilla #15078). * CVE-2013-1914 Stack overflow in getaddrinfo with many results has been fixed (Bugzilla #15330).Also habe ich mir gedachte, hey, die installiere ich doch mal, die Version ohne den so gut wie alle Netzwerk-Anwendungen betreffenden Remote Exploit. Aber in make install begibt sich das Makefile in eine Endlosschleife. m(
Diese Art von Bug würde man vielleicht von Apple erwarten. Ernsthaft, glibc?
"Wenn tatsächlich […] permanent die Gespräche auf vier Apparaten mitgeschnitten wurden […], dann verurteile ich das aufs Schärfste", sagte Michael Hinrichsen, stellvertretender Landesvorsitzender der Deutschen Polizeigewerkschaft (DPolG).Wie kommt das? Nun, äh … hier ist das Zitat in Gänze:
"Wenn tatsächlich beim Kriminaldauerdienst permanent die Gespräche auf vier Apparaten mitgeschnitten wurden und die Kollegen nichts wussten, dann verurteile ich das aufs Schärfste", sagte Michael Hinrichsen, stellvertretender Landesvorsitzender der Deutschen Polizeigewerkschaft (DPolG).Sobald das Polizisten betrifft, ist Schluss mit lustig!1!! (Danke, Bettina)
Noch magenentleerender stößt mir auf, dass die Apple-Sprallos sich jetzt ernsthaft einen Heldenmythos zurechtlegen, dass Apple sich ja jahrelang geweigert hätte, mit der NSA zusammenzuarbeiten, und erst als der Heilige Steve in die ewigen Jagdgründe befohlen wurde, da knickte Apple ein!1!! Auf die Idee, dass Apple schlicht keine Rolle spielte als Kommunikationsinfrastrukturprovider, besonders für Terroristen, die ihr Geld lieber für Sprengstoff und Flugtickets ausgeben als für krass überteuerte Lifestyle-Gadgets, kommt natürlich niemand bei den Apple-Apologeten. m(
Auch das ist alles seit Jahrzehnten bekannt oder wird laut gemunkelt. Wirklich wissen tut man sowas natürlich nur in den seltensten Fällen. Aber in der Praxis gehe ich zumindest im Umgang mit Software aus den USA immer davon aus, dass da alle möglichen Dienste mal reingeguckt und nach 0day gesucht haben. Bei freier Software weiß man wenigstens, dass auch andere mal reingeguckt haben :-)
Update: Auch 0days werden laut Artikel rausgerückt, aber das bringt den Diensten weniger als den Quellcode rauszurücken. Denn das ist halt nur die Lücke, nicht der Exploit, und wenn man das von Microsoft kriegt, dann weiß man ja auch, dass die gerade dabei sind, das zu fixen. Daher gibt es nur ein sehr begrenztes Zeitfenster, in dem das tatsächlich ein 0day ist. Diese Vorab-Info über Sicherheitslücken an Regierungen ist übrigens auch seit Jahren bekannt.
QuickTimeAvailable for: Windows 7, Vista, XP SP2 or later
Impact: Playing a maliciously crafted movie file may lead to an unexpected application termination or arbitrary code execution
Description: A buffer overflow existed in the handling of H.263 encoded movie files. This issue was addressed through improved bounds checking.
CVE-ID
CVE-2013-1016 : Tom Gallagher (Microsoft) & Paul Bates (Microsoft) working with HP's Zero Day Initiative
Hmm, bestimmt ein Copy+Paste-Fehler, denkt ihr euch vielleicht. Microsoft würde doch keine Sicherheitslücken an Apple weitergeben, die sie in deren Produkten finden?
Und dann findet man diese ZDI-Seite mit den "upcoming advisories". ZDI kauft Sicherheitslücken, gibt die dann an die Hersteller weiter, und bezahlt den Einreicher. Deren Geschäftsmodell ist, dass sie die auch weiterverkaufen, bevor die Hersteller die fixen. Und da sieht man dann z.B. das:
ZDI-CAN-1737 Apple CVSS: 6.8 2013-05-14 (27 days ago) 2013-11-10Und so wird dann ein Schuh draus. Dieser Tom Gallaghar arbeitet an der Security von Office. Und Office kann Quicktime einbetten. Und so ergibt sich plötzlich ein stimmiges Bild. Die werden da ihre Office-Dokumente gefuzzt haben, und da waren teilweise Quicktime-Objekte drin, die dann beim Parsen in die Luft flogen. Und dann haben die das halt an ZDI verkauft. Ich wundere mich nur, dass Microsoft das zulässt. Und dass die da nicht nur ihre Namen sondern auch "(Microsoft)" dranschreiben.Discovered by: Tom Gallagher (Microsoft) & Paul Bates (Microsoft)
The National Security Agency and the FBI are tapping directly into the central servers of nine leading U.S. Internet companies, extracting audio, video, photographs, e-mails, documents and connection logs that enable analysts to track a person’s movements and contacts over time.
Und sie haben eine Liste der Teilnehmer:They are listed on a roster that bears their logos in order of entry into the program: “Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube, Apple.” PalTalk, although much smaller, has hosted significant traffic during the Arab Spring and in the ongoing Syrian civil war.Dropbox , the cloud storage and synchronization service, is described as “coming soon.”
What surprised investigators most was that at least three of these companies, including AOI, appeared to have no tax residency anywhere in the world.Their boards have been able to tell the Irish tax authorities that Kearney, the sole Irish-resident director, cannot be judged to manage or control these companies, and that important decision-making rests in California.
As a result, AOI and others are not deemed tax resident in Ireland.
Meanwhile, because these same companies are incorporated at addresses in Ireland, under US law they appeared not to be tax resident in the US either. "Magically," observed Senate committee chair Carl Levin, "it's neither here nor there."
Bwahahahaha
Senators are angry that tech giant Apple isn't paying its fair share.I'm not talking about taxes. This is about campaign contributions and lobbying fees.
Schöne Firma haben Sie da! Wäre ja zu schade, wenn der was zustöße!Es gibt da so ein schönes Zitat von Mark Twain, das es schön auf den Punkt bringt.
It could probably be shown by facts and figures that there is no distinctly native American criminal class except Congress.
Apples Vergehen war nicht, dass sie wenig Steuern gezahlt haben, sondern dass sie zu wenig Schmiergeld gezahlt haben. Das gleiche Spiel haben die werten Herren Senatoren auch schon mal mit Microsoft gemacht. Da gab es auch längliche "kartellrechtliche Untersuchungen", damit Microsoft einsieht, dass das ernst gemeint ist. Microsoft hat dann ihre Lobbyausgaben hochgeschraubt, und dann gingen die Kartelluntersuchungen unverrichteter Dinge wieder weg.Auch Walmart und die Finanzbranche wurde so oder so ähnlich zum Schutzgeldzahlen animiert. Nur Apple bleibt beharrlich dabei, nur eine Million für Lobbying auszugeben im Jahre 2010.
Und bei der Süddeutschen muss man runterscrollen, um den ersten Text sehen zu können, und die Irland-Anzeige darüber ist animiert. War Ehrlichkeit nicht mal eine Tugend, auf die Journalisten stolz waren?
Der Lacher ist ja, dass ausgerechnet das ehemalige Nachrichtenmagazin ÜBERHAUPT keine Ausrede hat, denn die betreiben ihr Werbenetzwerk seit ewigen Jahren selbst. "Quality Channel" heißt das. Die können also nicht sagen, ihr Netzwerk habe ihnen Konditionen diktiert und deshalb hätten sie statt einem Banner oben ein halbes Dutzend nervige Blink-Anzeigen pro Seite reinnehmen müssen. Oder die Anzeigen, die einmal den gesamten Bildrand fressen.
Mein Mitleid hält sich in Grenzen. Ich hörte, die ersten Werbeblocker blocken jetzt auch das Nagging.
Man sollte ja denken, dass den Leuten in der Sekunde ein Licht aufgeht, wo andere Leute einen Monat Lebenszeit investieren, um eine Browser-Extension zu schreiben, die eure Werbung wegfiltert. Spätestens an der Stelle muss doch auch dem letzten CSU-Wähler klar sein, dass die Werbung zu nervig geworden ist.
Das ist eine gute Frage. In der Tat ergibt das nicht viel Sinn. Meine Vermutung ist, dass sie a) Netzausbau sparen wollen und b) dass das schlicht der Versuch ist, Itunes, Lovefilm und co das Geschäftsmodell kaputt zu machen. Das haben sie ja auch in ihrem Mobilnetz erfolgreich kaputtgemacht alles. Da kostet der Traffic viel zu viel, um sich da mal eben einen Film oder eine TV-Folge runterzuladen. Bisher weichen die Leute dann halt auf WLAN aus und ziehen sich das zuhause über ihre DSL-Flatrate. Die Telekom kann halt sehen, wie Apple Milliardengewinne verkündet, während sie da aus ihrer Sicht nur ein paar Brotkrumen bleiben. Natürlich ist das nicht so, die Telekom macht ja selber zweistellige Milliardengewinne. Aber wie das so ist bei den Inkompetenten. Erst kommt der Neid und dann kommt die Einsicht, dass man mit denen nicht konkurrieren kann, also vandalisiert man halt deren Vorgarten. Wenn ich schon nicht Milliarden mit Content scheffeln kann, dann soll es auch sonst keiner können. Die eigenen Kunden werden dafür als Geiseln und menschliche Schutzschilde genommen, denn die sieht die Telekom ja eh schon immer als etwas negatives, nicht als etwas positives, erhaltenswertes. Wer schonmal mit dem Telekom-Support telefoniert hat, weiß, was ich meine.
Aus meiner Sicht ergibt das wie gesagt auch aus marktwirtschaftlicher Perspektive keinen Sinn, was die Telekom da gerade tut. Daher glaube ich wirklich, dass man da auf der Aktionärsvollversammlung ein Fass aufmachen könnte und sollte.
Ich würde wirklich gerne mal die Zahlen sehen, wieviel Kohle die Telekom mit ihrem DSL scheffelt und wieviel Kohle sie mit den Zugängen für Content-Provider scheffelt. Vielleicht machen die ja einfach (nach Abzug der Kosten für Callcenter, Reparaturen, Acquise, T-Punkte und so weiter) tatsächlich mehr Geld mit dem Hosting und dem Verkaufen von Bandbreite an andere Internet-Teilnehmer als an ihre Kunden.
Viel Spaß!
Update: Schlechte Nachrichten auch für Microsoft. Früher brauchte man Excel, heute nimmt man eine Android-App.
Und dann kommt Per Bothner von Oracle und postet diese Mail hier. Per Bothner, Per Bothner, hat vielleicht schonmal jemand gehört, den Namen. Weil der Name beim Lesen der Header oder des Codes für die libg++ von GNU über den Schirm scrollt. Ein Urgestein von GNU, hat u.a. auch für Cygnus gcj gebaut. Das war damals der Versuch, gcc Java kompilieren zu lassen. Konnte leider nie aufschließen. Der arbeitet jetzt bei Oracle.
Aber der Brüller ist, dass der jetzt im Namen von Oracle dagegen argumentiert, V8 aus Webkit rauszuschmeißen, weil Oracle ja die Abstraktionen auch benutzt, um ihre eigene Javascript-Implementation (Oracle hat eine Javascript-Implementation!) namens Nashorn (benannt nach einer bedrohten Tierart) in Webkit reinzubrechstangen. Mehr Popcorn!
Adobe könnte sich jetzt möglicherweise nochmal aufrappeln, aber den Preis bin ich an der Stelle zu zahlen bereit. (Danke, Gregor)
Und wer sich denkt, ach naja, das ist die Vergangenheit, lasst uns lieber über die Zukunft reden: Guckt mal, was Beppe Grillo der Tagesschau in diesem Interview gesagt hat:
Und dann muss man sofort Geld zur Schaffung eines Grundeinkommens für einkommensschwache Bevölkerungsgruppen bereitstellen. Dann müssen wir einen Plan vergleichbar mit der "Agenda 2010" in Deutschland bekommen. Was sich in Deutschland bewährt hat, wollen wir auch.OH NEEEEIIIIINNNNNN!
Die schlechte Nachricht:
Die Nutzung soll exklusiv mit der iTunes-Software möglich sein.Angesichts dieser Meldung schäme ich mich meiner Alma Mater und fordere den Rücktritt des Präsidenten und aller in diese Entscheidung involvierten Funktionäre. Das kann ja wohl GAR NICHT wahr sein! Was zur Hölle?! Ich hoffe da ist wenigstens ordentlich Schmiergeld geflossen und das war nicht bloß Dummheit und Verblendung? Zurücktreten muss der in jedem Fall, nicht dass mich da jemand falsch versteht jetzt. Unglaublich.
In einem internen Schreiben, das der Redaktion vorliegt, wirbt der Kanzler der Universität für die Kooperation mit Apple. Dozenten werden darin explizit dazu aufgefordert, "von der Nutzung anderer externer Internetplattformen zur Verbreitung von aufgezeichneten Lehrveranstaltungen und audiovisuellen Materialien abzusehen".Boah da kommt mir ja das Frühstück wieder hoch. Widerlich!
Update: Die FU ist da nicht alleine, auch die früher mal einen ganz guten Ruf genießende Uni Karlsruhe fördert die Firma Apple mit Steuermitteln. Früher lief das noch andersrum, da haben Unis noch Gelder aus der Industrie eingeworben.
Update: Oh wie schön, guckt euch mal das George Bernhard Shaw-Zitat auf der Open-Access-Homepage der FU Berlin an. Passt wie Arsch auf Eimer!
Update: Netzpolitik.org hatte das schon vor ner Woche, hab ich überlesen *schäm*
Einmal mit Profis arbeiten!
Update: Die Android-Mail-App scheint auch sonst eher apokalyptisch schlecht zu sein. Au weia.
Facebook tut da Dinge, da kriegt man schlechte Träume von. Ich fasse mal kurz zusammen: Ihre App ist nach modernen Software-Engineering-Grundlagen entwickelt und enthält Tonnen von sinnlosen Wrapper-Methoden. Dalvik macht da irgendein Processing beim Laden der Apps, und benutzt dafür einen statischen Puffer, den die Facebook-App platzen lässt, weil sie zu viele Methoden hat. Also tun sie, was jeder an ihrer Stelle getan hätte!1!!
Instead, we needed to inject our secondary dex files directly into the system class loader. This isn't normally possible, but we examined the Android source code and used Java reflection to directly modify some of its internal structures. We were certainly glad and grateful that Android is open source — otherwise, this change wouldn't have been possible.
*göbel*That's when we had the idea of using a JNI extension to replace the existing buffer with a larger one.
Oh und wer glaubt, sowas sei ein Einzelfall… hier ist eine heitere Microsoft-Anekdote zu Adobe und Wordperfect. (Danke, Tobias)
Zur Erinnerung: Zwei-Faktor-Authentifizierung macht man, damit ein mitgelesenes Passwort nicht gleich den ganzen Account kompromittiert.
Hups. (Danke, Klaus)
Ich persönlich freue mich auch, dass Apple nicht über eine Lücke in ihre eigenen Mist angegriffen wurde, sondern über eine Java-Lücke. So können sich jetzt Apple und Oracle im Kreis bezichtigen. Da kann es nur Gewinner geben!
Dieser Angriff hat noch andere Player betroffen, nicht nur Apple.
Oh und falls sich jemand wunderte: Für das Java-Problem gab es schon einen Patch. Aber halt nicht von Apple. Das hätte man wohl manuell installieren sollen. Und jetzt shippt auch Apple einen Patch, aber der spielt nicht das Update ein sondern macht Java im Browser aus. Das ist zwar generell empfehlenswert, aber … WTF? Wenn man einen Patch-Distributions-Mechanismus hat und es einen Patch gibt, dann verteilt man damit doch den Patch und keinen Aus-Knopf?!
Update: Stimmt wohl nicht, nicht die JVM benutzt /dev/random sondern wenn dann irgendwelche Apps.
Und das war für mich auch der spannenste Teil an diesen NSA-Leuten und was sie zu sagen hatten. Die haben da 30-40 Jahre in diesem Umfeld gearbeitet, waren im SIGINT- und Datenbankauswerungsbereich tätig. Wenn jemand sehen kann, was das für eine massenhaften Verletzung von Menschenrechten ist, dann die. Und doch machen die da jahrelang mit. Ich hatte mir ja gedacht, wenn die da auf der Bühne stehen, dass die sich dann vielleicht ein "tut mir leid" oder so abringen können, denn Deutschland ist selbstverständlich auf der Liste der Länder, die die NSA abhört. Aber im Gegenteil hatte ich besonders bei dem ersten Whistleblower den Eindruck, dass dem gar nicht klar ist, dass er gerade nicht in den USA ist sondern in einem anderen Land, und während er sich auf der Bühne über die Ungeheuerlichkeit aufregt, dass Amerikaner jetzt abgehört werden, spricht er das Detail nicht an, dass alle im Publikum schon mehrere Dekaden lang auf der Liste standen, und weiterhin stehen. Soviel Empathie hatte ich erwartet. Selbst wenn man den Überwachungsstaat abschaltet, den die da kritisieren, dann wären wir Deutschen ja weiterhin Ziel für die "strategische Aufklärung", wie das ja auch der BND mit den Amis macht, und das ist selbstverständlich genau so verwerflich.
Aber in diese Richtung kam nicht der leisteste Anflug. Das war ein Niveau an kognitiver Dissonanz, das mich schockiert hat. Immerhin haben die ja persönlich jeweils mehrere Jahre lang Repressalien über sich ergehen lassen müssen, und wissen aus erster Hand, was das für Leute sind, die da die Finger auf den Daten haben — auf unseren Daten! Dass die Daten von ihren Freunden und Nachbarn da jetzt auch bei sind, das ist ein neues Phänomen. Aber das war das einzige, was sie daran aufregte.
Das wäre nicht so schockierend gewesen, wenn die da nicht so eine Indignation an den Tag gelegt hätten. WIE KÖNNEN DIE ES WAGEN, unsere Daten abzuhören!1!! Und sie beziehen sich neben US-Gesetzen auch ausdrücklich auf die Menschenrechtscharta der Vereinten Nationen. Aber den Schritt, dass die Menschen in anderen Ländern ja auch Menschenrechte haben, den ging da niemand.
Sehr beunruhigend. Gar nicht wegen dieser konkreten Leute, sondern zu sehen, wie sehr man sich da in eine gedankliche Ecke manövrieren kann, und beunruhigende Gedanken wie "meine ganze Karriere lang habe ich für diese Menschen gearbeitet" ausklammern kann. Und ich muss annehmen, dass mir das genau so ginge in deren Situation. Das ist der Aspekt, den ich am beunruhigensten finde an der Chose.
Der zweite NSA-Sprecher schein sich sogar im Kern gar nicht über die moralischen Probleme aufzuregen, sondern über die Vetternwirtschaft und ineffiziente Ressourcennutzung bei der Vergabe von Aufträgen. Die seien alle so inkompetent, sein Team habe das damals einfach machen können, aber man habe sie nicht gelassen, und jetzt koste das alles viel mehr und würde trotzdem nicht fertig. Man kann sich seine Whistleblower nicht aussuchen, aber das fand ich sehr ärmlich.
Danach hab ich mir den Vortrag "Die Wahrheit, was wirklich passierte und was in der Zeitung stand" vom Neusprech-Team angeguckt, der wie erwartet sehr gut war, auch wenn sie von mir aus gerne noch eine halbe Stunde hätten überziehen können. Auch klare Guckempfehlung.
Um 16 Uhr hab ich mir dann den Talk von Frank und Constanze über die Terrordatei angehört, der jetzt keine großen neuen Erkenntnisse für mich hatte, weil ich mir das eh schon hatte schildern lassen. Aber für alle anderen auch hier: klare Video-Guckempfehlung.
Im nächsten Slot habe ich mir den Vortrag in Saal 3 angehört, von der Digitalen Gesellschaft. War recht unterhaltsam und fluffig, auch Guckempfehlung.
Der nächste Vortrag war wieder Saal 1, über NSU und V-Leute. Von zwei Vortragenden aus dem Untersuchungsausschuss, die da eine schwindelig machende Liste an Daten und Fakten auf den Tisch gepackt haben, an deren Ende bei mir die Einsicht übrig blieb, dass von allen Abschätzungen darüber, wie furchtbar das alles bei den Geheimdiensten ist, die der Satiriker und Kabarettisten am nächsten an der Realität ist. Und die "Verfassungsschützer" sind auch alle völlig unfähig, auch nur die Anerkennung einzuräumen, dass diese NSU-Sache ein Fehler von ihnen gewesen sein könnte. In einer skizzierten Szene haben sich 5 Nazis auf einem Gipfeltreffen getroffen, um zu beraten, wie sie eine Demo organisieren sollen, und alle 5 waren V-Männer verschiedener Dienste. Wenn ihr nicht für alle Videos zeit habt, priosiert dieses hier höher als die anderen von heute.
Den Vortrag danach, von zwei NSA-Whistleblowern, hatte ich ja als Highlight des Tages eingeplant, auch weil Jake das in der Keynote als Meilenstein und wichtigsten Talk überhaupt angepriesen hatte, aber tatsächlich war es sehr enttäuschend. Die erste Rednerin war die Anwälte der beiden Whistleblower, die ein paar Gemeinplätze ala "Freedom, Liberty, Democracy" abließ, kein inhaltlicher Erkenntnisgewinn. Wie stolz sie doch sei, dass es solche Whistleblower gibt. Unbenommen, aber dafür hätten wir keine NSA-Whistleblower einfliegen müssen.
Der zweite Redner hat im Wesentlichen ein Patriotismus-Programm gefahren, um dann in gebrochenem Deutsch zu erklären, dass er nicht in einem Überwachungsstaat wie der DDR wohnen wollte, und sich nie hätte träumen lassen, dass die USA jetzt so sind. Machte lauter Kunstpausen, sein Vortrag bestand im Wesentlichen aus profunden Zitaten anderer Leute, selbst hatte er eher wenig bis nichts zu sagen. Der Dritte Redner hat dann ein paar lustige Anekdoten erzählt, wie er die Deppen ausmanövriert hat, die ihm da irgendwelche Bogus-Anklagen anhängen wollten. Die technischen Folien über die Möglichkeiten der NSA waren Buzzwords ala "latent semantic indexing" und "social network graph", leider auch nichts konkretes neues. Insgesamt schade, muss man sich nicht angucken.
Insgesamt bin ich positiv überrascht, weil es ja vorher aus mehreren Richtungen Gemecker gab über das Programm, und ich daher mit schlechteren Vorträgen gerechnet habe. Ich würde mir zwar auch mehr Technik-Talks wünschen, aber letztlich kann der Kongress auch nur Tech-Talks reinnehmen, wenn die eingereicht werden. Da müssen sich also die ganzen Techniker selber die Frage stellen lassen, wieso sie denn keine bahnbrechenden Tech-Talks eingereicht haben.
Politisch gesehen mache ich mir Sorgen um Russland. Wenn die Europäer jetzt alle ihre Landschaft mit Fracking vernichten, und den Russen dann nicht mehr ihr Erdgas abkaufen, dann bricht Russland die Geldquelle weg, aus der sie im Moment ihren Lebensstandard finanzieren.
Der Rest beschreibt ein "Double Irish Dutch Sandwich", und das funktioniert so:
Dann macht Googles Irland-Tochter eine Tantiemen-Zahlung an eine andere Google-Tochter in Holland, die an eine zweite Google-Tochter-Holding in Irland zurücküberwiesen wird.
Ich persönlich finde es ja unfair, dass die sich so auf Google kaprizieren. Google ist ja nur eine Firma, die das so macht, und nicht mal die erste. Apple, Facebook, Microsoft, Oracle und Adobe haben auch sowas und Apple waren wohl die ersten. Und wer sich die Dokumentation "The Corporation" angeschaut hat, der wird verstehen, dass die Aktiengesellschaften das machen müssen, sobald sie davon hören, dass sowas geht. Es gab da mal den Präzedenzfall von Henry Ford, der seinen Arbeitern faire Löhne zahlen wollte, und der wurde dann gerichtlich gezwungen, dass er seine Firma auf Profitmaximierung ausrichtet und nicht auf das Gemeinwohl.
Update: Frankreich hat auch angesagt, dass sie das nicht länger dulden wollen. Im Grunde gibt es ja auch keinen Grund dafür, wieso irgendein Land solche Schweinereien dulden sollte. Gestern kam so eine Zahl an mir vorbei, dass das Verhältnis zwischen per Steuerhinterziehung verloren gegangener Kohle und zwischen Sozialbetrug verloren gegangener Kohle 1400 zu 1 ist. Aber Sozialbetrug ist in aller Munde, während keiner über Steuerbetrug redet. Und das hier fällt ja noch nicht mal unter Steuerbetrug, das ist ja auch noch völlig legal!
Und man braucht dafür nur IE9 (HAHA) oder Firefox 10 ESR (HAHAHA) mit einem installierten Plugin der AusweisApp (HAHAHAHAHAHAHAHAHAHA). Und der größte Kracher kommt dann am Ende:
Im Regelbetrieb will die Firma Zertifikate mit unterschiedlicher Gültigkeit zwischen 5 Minuten und vier Jahren anbieten. Die kurzlebigen Varianten wurden bereits als "Einmalzertifikate" angekündigt. Sie sollen das digitale Signieren populärer machen, die Kosten dafür könnten Behörden oder Unternehmen statt des Endkunden übernehmen.Ja nee klar, kei-nes-falls kommt das dann via Steuer oder Preisaufschlägen am Ende doch von Endkunden!1!! Für wie blöde halten die uns eigentlich da bei der Bundesdruckerei? Vielleicht hätten die mal beim Drucken bleiben sollen und die Finger von diesem ganzen neumodischen IT-Kram lassen sollen.
In Deutschland betrifft dies vor allem Aktivitäten türkischer und kurdischer linker Gruppen.Und was für eine Farce das gewesen ist!
Im Konferenzraum wurden eilig Türen mit Pappschildern mit "GETZ" beschriftet. Auch die anwesenden, von Schmidt als "hochkarätig" bezeichneten Amtsträger waren nur Fassade: Zwar trugen sie vor Computermonitoren Ernsthaftigkeit zur Schau. Jedoch waren diese ausgeschaltet. Trotzdem wurde für die anwesenden Journalisten eine "Lagebesprechung" vorgespielt.Unsere Steuergelder bei der Arbeit! Das passiert halt, wenn man die Rechtsradikalen von der Union an die Regierung lässt. (Danke, Erich)
Oh und sie gehen den Weg, mit dem schon Gnome und KDE ihre Userbasis lobotomiert haben: die ganzen Einstellungen verstecken oder ganz verschwinden lassen, verwirrt doch nur. Die Empfehlung am Ende ist: auf dem Desktop Finger weg, und auf dem Tablet lieber auf Windows 9 warten.
Bisher sind das alles nur hier ein paar Euro, da ein paar Euro. Wirklich schmerzhaft wird es, wenn Samsung die Displays teurer macht.
Update: Samsung sieht auch keinen Grund für Verhandlungen im Patentstreit.
Update: Samsung dementiert die Preiserhöhung.
Und ihr habt Recht. Ars Technica hat ein Expose über "Orca", das Wahlkampfverwaltungssystem von Mitt Romney.
Instead, volunteers couldn't get the system to work from the field in many states—in some cases because they had been given the wrong login information. The system crashed repeatedly. At one point, the network connection to the Romney campaign's headquarters went down because Internet provider Comcast reportedly thought the traffic was caused by a denial of service attack.
Weil so eine Wahl ja immer wieder plötzlich und überraschend kommt, und ja bis zuletzt auch der Gegner noch nicht feststand, haben sie erst nach den Republican Primaries mit der Entwicklung angefangen, und dann halt einen Rush Job abgeliefert. Die Entwicklung wurde angeblich von Microsoft und einer ungenannten Consulting-Bude durchgeführt. Sie hatten 11 (Ars vermutet: virtualisierte) Backend-Server und einen Web-Frontend-Server und einen Application Server. Und die waren dann wohl auch Single Point of Failure und mehr down als verfügbar.Und nicht zu vergessen: wir haben es hier mit Republikanern zu tun, nicht die hellsten Leuchten. Da waren Leute damit überfordert, dass sie ihre Zugangsdaten bei einem Romney "Victory Center" hätten abholen sollen, oder haben die URL ohne das https eingegeben und dann nur eine leere Seite gekriegt. Dann funktionierten diverse Passwörter nicht und der Reset funktionierte auch nicht. Es gab ein Telefon-Backup-System, falls das Web nicht geht, aber dafür haben sie die falschen Login-IDs verteilt.
"I tried to login to the field website," Dittuobo told me, "but none of the user names and passwords worked, though the person next to me could get in. We had zero access to Iowa, Colorado, North Carolina, and Pennsylvania. Seems like the only state that was working was Florida."
Gut, hat auch in Florida nichts genützt, aber hey. (Danke, Florian)
Ich finde ja, wenn Apple sich wie ein schlecht erzogenes Kleinkind verhält, dann sollte der Richter einmal übers Knie legen des Vorstandes verhängen. Oder von mir aus kein Taschengeld mehr. Internetverbot vielleicht?
Update: Das wird per Javascript immer so skaliert, dass das Kleingedruckte nur durch Runterscrollen erreichbar ist.
"Apple must now within 48 hours publish a correction on their homepage with a link to the corrected statement in not less than 11-point font."
Das sagt ja an sich schon alles, wenn das Gericht die Fontgröße vorschreiben muss.Update: Die Seite mit dem Kleingedruckten ist jetzt ganz weg.
Naja, bedauerliches Missverständnis, denkt sich jetzt der eine oder andere. Der wird schon wissen, was er tut. Der kann bestimmt gut mit normalen Bürgern kommunizieren, wenn er schon nicht seriös aussieht, dann tritt er vielleicht seriös auf. Hier ist sein Twitter-Avatar. Noch Fragen, Kientzle? Nein, Hauser.
Update: Nur der Vollständigkeit halber sei die Frage in den Raum gestellt, ob jemandem eine andere Erklärung als Sexismus einfällt.
Update: Ach Kinders, es geht doch nicht darum, welche bizarren Hobbies der hat. Von mir aus kann der tote Schildkröten sammeln. Der Punkt ist: der hat eine öffentlich einsehbare Facebook-Seite unter seinem echten Namen, in der er persönliche Informationen inklusive Bilder von sich hochgeladen hat. Das ist "ich hab keine Ahnung, was diese ganzen Knöpfe hier bedeuten" und nicht souveräner Umgang mit Technik und Datenschutz. Das ist unmündiges Konsumententum statt Technikfolgenabschätzung und bedachter Umgang mit IT-Systemen. Das, kurz gesagt, ist Internet-Ausdruckerei. Das ist FDP, nicht Piraten.
Die ersten fragen sich, ob ich bei Anke nicht genau so gemeckert hätte, immerhin hat die ja als Lobbyistin für Microsoft gearbeitet. Werden wir jetzt wohl nie herausfinden. Aber was sagt uns denn das über die Piraten, wenn man die Wahl zwischen Lobbyisten und Pony-Avataren hat? Und die Lobbyisten die besser Wahl sind?
Was ist denn da los, benutzen die alle die neue Apple Maps App?
New hotness: Massenentlassung während Apple-Event, damit es keiner merkt.
Unsere Politik verklappt ja die ganz üblen Klopper immer während der Fußball-WM oder zu Weihnachten.
Überhaupt, "von oben nach unten" für zumachen, voll einleuchtend. Man zieht die App zum Dock. Äh, da wo bei Apple das Dock ist. Windows 8 hat kein Dock. Da war wohl der Aufseher der Azubis gerade pinkeln.
Oder der subtile Unterschied zwischen "Schlenker von links" für "Apps nebeneinander" und "Kreis von links" für "Task-Übersicht". Ich kann mir die gute Laune bildlich vorstellen, die sich da in der Praxis einstellen wird.
Schade nur, dass die Notebooks jetzt teurer werden, weil die Deppen alle Tablets kaufen. Die Deppen mit ihrem Java-Flash-Monsterbloat-Speicherbedarf haben uns seit Jahren teure Hardware erschwinglich gehalten. Die Zeiten sind dann wohl vorbei, jetzt geht es ja eh niemandem mehr ums Arbeiten, das ist nur noch Statussymbol/Lifestyle-Bullshit, so ein Tablet. Wie mir neulich jemand erklärte: ein Alphawellen-Gerät wie der Fernseher. Zum Rezipieren, nicht zum Kommunizieren oder Nachdenken.
Aber das ist noch nicht der Hammer an der Meldung. Der Hammer ist, dass Google innerhalb von 10 Stunden (!) eine gefixte Version von Chrome in ihrem Autoupdater verfügbar hatte.
Zum Vergleich: Oracle sitzt schon mal Jahre auf Sicherheitslücken, Apple, Microsoft und Adobe Monate. Da kann sich der Rest der Industrie mal eine Scheibe von abschneiden.
Außer natürlich der User hat das Telefon die ganze Zeit in der Hosentasche oder in einer nicht durchsichtigen Schutzhülle.
Der Apple-Zeitmesser gleicht aufs Haar dem Design der berühmten, klassischen Bahnhofsuhr der SBB. Sogar der rote Sekundenzeiger ist detailgenau übernommen worden.Die SBB ist die Schweizer Bahngesellschaft, und blick.ch ist das Schweizer "Bild"-Äquivalent. Angeblich schickt die SBB jetzt ihre Anwälte los. Ich finde ja, Samsung sollte sich mit der SBB zusammentun und einen Verkaufsstopp für Apple-Hardware in Europa erwirken. Apple hat ja mehrfach vorgeführt, dass das die angemessene Reaktion auf sowas ist. (Danke, Daniel)
Wer sich an dieses "Digitale Radiergummi" erinnert fühlt, bei dem wir alle laut gelacht haben, weil der "Schutz" darauf basierte, dass der Benutzer die Screenshot-Funktion nicht kennt und sich ein Browser-Plugin installiert? So ist das hier offenbar auch.
Um sich die Bilder überhaupt anzuschauen, müssen aber nicht nur die Besitzer der Bilder, sondern auch die Zuschauer sich Social Protection via Facebook installieren. Außerdem ist ein aktives Windows Aero zwingende Voraussetzung.Wir haben es also nicht nur mit herkömmlichem Schlangenöl zu tun, sondern mit einer neuen Generation von Schlangenöl, das nur funktioniert, wenn man alle seine Freunde überredet, es auch zu kaufen. Genial! Da soll noch mal jemand sagen, soziale Netzwerke kann man nicht zu Geld machen! (Danke, Thomas)
Wie? Nein, nicht von Apple. Von Goophone, eine Firma aus Hong Kong :-) (via)
The FBI denied that it ever had that information. But officials there said they could not verify the validity of the data that AntiSec released. Federal officials also warned that computer users should be careful when clicking on such links because they sometimes may contain malware that can infect computers.
BWAHAHAHAHA, nee klar. Erinnert mich an einen Calvin and Hobbes Comic. "It wasn't me! Nobody saw me! I was framed! I wouldn't do anything like that!"Fängt wie ein Dementi an, aber wird dann so schnell schlechter und schlechter, dass man es am Ende nur noch als Schuldeingeständnis werten kann. :-)
Update: Oh übrigens hatten diese geleakten Daten durchaus humoristische Aspekte.
Update: Apple dementiert, dem FBI die Daten gegeben zu haben. Sie dementieren natürlich nicht, die Daten zu haben. Und danach fragt leider niemand, wieso Apple eigentlich Daten über Käufer ihrer Geräte haben muss.
Auf die Frage, ob die Geschworenen Gelegenheit hatten, während des Prozesses nach der Patentierbarkeit bestimmter Dinge zu fragen, antwortete er: "Nein, und es war auch nicht Aufgabe der Jury, danach zu fragen. […] Die Patente waren erteilt, die Richterin wies uns an, das aktuelle Patentsystem nicht anzuzweifeln."Bei Samsung knallen jetzt bestimmt die Sektkorken, denn die offiziellen Fragen an die Jury beinhalteten explizit die Fragen, ob die eine Seite gezeigt habe, dass die Patente der anderen Seite ungültig seien. Mit der Frage haben sich die Geschworenen offenbar nicht beschäftigt.
Dann die Geschichte vom Projekt "Schoolwater", bei dem Schüler an Schulen für Trinkwasser zur Kasse gebeten werden sollen, natürlich mit RFID-Tracking, und hat dafür zu Recht den Big Brother Award gekriegt. WTF?!? Was für armseelige Unmenschen dürfen denn heutzutage mit Schulen Geschäfte machen?!
Na und dann natürlich der Elefant im Raum, eine Jury hat Apple eine Milliarde Dollar von Samsung zugesprochen. Gut, so sind Jury-Verfahren eben. Milliardenstrafen für bei McDonald's mit Kaffee verbrühen und so. Wird dann alles in der nächsten Instanz korrigiert. Aber als Samsung würde ich mich ja langsam fragen, ob die Leute nicht alle verdient haben, von Apple abgezockt zu werden, und lieber Staubsauger und Energiesparlampen herstellen.
Apple sagt natürlich, ihr Verfahren sei fundamental in Ordnung und hier sei bloß was schiefgelaufen, aber als Wired selber mal probiert hat, sind sie so auch durchgekommen. Mit anderen Worten: Apple lügt.
"I really worry about everything going to the cloud," he said. "I think it's going to be horrendous. I think there are going to be a lot of horrible problems in the next five years."He added: "With the cloud, you don't own anything. You already signed it away" through the legalistic terms of service with a cloud provider that computer users must agree to.
"I want to feel that I own things," Wozniak said. "A lot of people feel, 'Oh, everything is really on my computer,' but I say the more we transfer everything onto the web, onto the cloud, the less we're going to have control over it."
Doch wer [Speichern Unter] unter 10.8 benutzt, speichert dabei gleich zwei Dokumente. Das liegt offenbar an der automatischen Speicherung der Dokumente beim SchließenGanz großes Olympia, Apple!
Aber Apple wird schon einen harmlosen Grund haben. Wir verstehen ihn nur nicht. Die Wege des Herrn Jobs sind unergründlich!1!! Komisch, die drei Tage sind um und er ist noch gar nicht wiederauferstanden.
Lasst EFI in Frieden. PCs sind keine Geldautomaten, die sollen nicht sicher sein. Sicher heißt Zwangsjacke für den Anwender und gerade in diesem Fall reden wir ja von Apple, die zwar in Sachen Sicherheit Jahre hinterherhinken, aber dann Handschellen für den Anwender als Sicherheitsmaßnahme verkaufen und man sein Telefon nur in Betrieb nehmen kann, wenn man Itunes installiert. Apps? Nur aus dem Apple Store. Wegen der Sicherheit!1!!
NICHTS von dieser ganzen Scheiße kommt dem Benutzer zu Gute. Das ist alles nur Gängelei von dem nur einer profitiert: Apple.
Es ist schlimm genug, dass wir seit Jahren nicht in der Lage sind, sichere oder vertrauenswürdige Software zu produzieren. Aber damit jetzt Guantanamo-Technologien auf allen Endgeräten zu etablieren, dass wir DAS zulassen, das ist eine Schande sondergleichen. Und am Ende wird es wieder keiner gemerkt haben. Ach was hätten wir den tun sollen, keine Apple-Geräte kaufen? Das wäre in der Tat mal ein Anfang! Solange Hersteller wie Apple für sowas noch mit Rekordprofiten belohnt werden, wird das nie aufhören.
Dieser UEFI-Codesigning-Bullshit ist übrigens genau die Technologie, mit der auch Microsoft Windows 8 zunageln will. Aus Sicherheitsgründen, wissenschon. Microsoft kriegt dafür zu Recht auf die Fresse. Apple wird für den gleichen Mist noch gefeiert.
Oh und dass der Typ in dieser Meldung ausgerechnet Thunderbolt nimmt ist nochmal ein zusätzlicher Gähner, weil Thunderbolt auch ganz ohne Backdoor den DMA-Zugriff von außen auf dem Hauptspeicher erlaubt. Den Teil benutzt er aber gar nicht. Weil, äh, … keine Ahnung warum nicht, denn das ist inhaltlich genau so "überraschend" wie dass man EFI-Backdoors machen kann. Wie wäre es als nächstes mit der krassen Einsicht, dass wenn jemand deinen Laptop klaut, er deine Festplatte auslesen kann!1!! Oder dass man per Internet Daten übertragen kann!
Was für ein Anfängerfehler.
Apple habe überzeugend argumentiert, dass Samsung bei der Gestaltung des Tablets Design-Patente verletzt habe, schrieb Amtsrichterin Lucy Koh zur Begründung ihrer vorläufigen einstweiligen Verfügung, in der sie recht deutlich wurde. "Obwohl Samsung ein Recht dazu hat, mit Apple zu konkurrieren, darf das Unternehmen sich nicht wettbewerbswidrig verhalten, in dem es den Markt mit missbräuchlichen Produkten überschwemmt", so Koh.
Die Kunden von diesem proprietären Schlangenöl hatten schon letztes Mal kein Mitleid verdient, wenn sie da nicht abgesprungen sind sondern weiter bei RSA geblieben sind. Aber jetzt haben sie eine Runde lautes Gelächter verdient. Verdientes Eigentor, liebe RSA-Kunden. Na und jetzt? Weiter bei RSA bleiben? Stockholm-Syndrom wie bei Apple-Kunden?
The display assembly is completely fused, and there’s no glass protecting it. If anything ever fails inside the display, you will need to replace the entire extremely expensive assembly.
Und so kommt es wenig überraschend zum Repairability Score 1 von 10 (10 heißt am einfachsten zu reparieren).Update: Ich kenn mich ja mit sowas nicht aus, aber mir erzählt gerade noch jemand, dass man auch seine Zweit- und Drittnetzteile und -Docks austauschen muss, weil sie ohne Not den Stecker geändert haben.
Update: Mir mailt gerade jemand, dass die Schrauben nicht proprietär sind, und es dazu eine DIN-Norm gibt. Na gut, also nicht proprietär, nur konsumentenunfreundlich.
Update: Jetzt widerspricht jemand der DIN-Norm:
Pentalob-Schraubendreher sind nach DIN EN / IEC 60900:2004 genormt, aber das bezieht sich nur auf die Isolierung des Griffs - der Abtrieb selbst ist proprietärer Mist.
Doch der US-Bundesrichter Richard Posner wies vergangene Woche die Klagen der Kontrahenten ab. Er sehe weder bei Motorola noch bei Apple einen Schaden, der einen Prozess rechtfertigt. Für Unterlassungsansprüche finde er keine Grundlage. […]Vielleicht tut sich ja da doch mal was.Zuvor bezeichnete Posner Äußerungen von Apple als "albern" und Positionen von Motorola als "lächerlich".
My little Ponyfleisch: Bratwurst is Magic
Ich wünsche guten Appetit!
Die Frage ist, ob Kaspersky jetzt ein bisschen nachhelfen wird bei der Malware-Problematik.
Ich persönlich finde ja, wenn sich Apple und Kaspersky streiten, dann kann es nur Gewinner geben. (Danke, Peter)
Die schlechte Nachricht: a) geht das Video nicht ohne Flash, b) machen sie direkt Werbung für Facebook, Twitter und Google+. Klar, wer speichert weniger Daten auf Vorrat als Facebook, Twitter und Google! Hey, wollt ihr nicht auch gleich noch Apple verlinken? *stöhn*
Immerhin haben sie die die Zwei-Klick-Lösung gewählt und da nicht direkt die Schnüffelicons eingebettet.
Ich frage mich auch, wo diese Tags herkommen. "Postion"? "Privatspähre"? Umlautfehler?! *fazialpalmier* :-)
“generating meeting requests” from a mobile device.
Ich frage mich ja, was noch passieren muss, bis unsere Gesellschaft diese ganze Patentscheiße generell abschafft. Wie viel Schaden muss noch passieren, wenn sich Google, Apple, Microsoft und Samsung gegenseitig mit ihren Junk-Patenten bekriegen?Als Lacher am Rande sei noch erwähnt, dass Microsoft mit neun Patenten angriff und der Richter nur eines davon für überhaupt betroffen hielt. Das ist alles so eine Farce!
Adobe hat ein neues Photoshop rausgebracht, das diverse kritische Sicherheitslücken behebt, aber für frühere Photoshop-Versionen gibt es keine Patches, nur das kostenpflichtige Update auf die nächste Version.
Nicht mal Apple traut sich, ihre verblödeten Kunden so krass über den Tisch zu ziehen. Oh und wir reden hier nicht von 20 Euro, sondern eher so vom zehnfachen davon. Wieso landen solche Firmen eigentlich nicht alle Nase lang vor Gericht? Offensichtlich haben die ein Produkt mit Mängeln verkauft. Das deutsche Recht ist da sehr klar.
Falls jemand diese Bedeutung des Wortes Demo nicht kennt: nehmt euch mal ein Wochenende Zeit und klickt euch durch das Demoarchiv hier durch. Farbrausch hat übrigens kürzlich ihren Quellcode veröffentlicht. Das Repository ist auf github. Wer Appetit auf mehr hat, dem sei noch dieses Blog hier empfohlen.
Über den Angriff auf ein Java-Applet können Zugriffe so umgeleitet werden, dass der Nutzer auf der falschen Webseite unterschreibt.Vorsicht: ohne Adblocker ist die Site unerträglich, drückt einem gleich zwei Umfragen direkt ins Gesicht. (Danke, Gerry)
4. The Defendants' conspiracy to limit e-book price competition came together as the Publisher Defendants were jointly devising schemes to limit Amazon's ability to discount ebooks and Defendant Apple was preparing to launch its electronic tablet, the iPad, and considering whether it should sell e-books that could be read on the new device. Apple had long believed it would be able to "trounce Amazon by opening up [its] own ebook store," but the intense price competition that prevailed among e-book retailers in late 2009 had driven the retail price of popular e-books to $9.99 and had reduced retailer margins on e-books to levels that Apple found unattractive. As a result of discussions with the Publisher Defendants, Apple learned that the Publisher Defendants shared a common objective with Apple to limit e-book retail price competition, and that the Publisher Defendants also desired to have popular e-book retail prices stabilize at levels significantly higher than $9.99. Together, Apple and the Publisher Defendants reached an agreement whereby retail price competition would cease (which all the conspirators desired), retail e-book prices would increase significantly (which the Publisher Defendants desired), and Apple would be guaranteed a 30 percent "commission" on each e-book it sold (which Apple desired).
Business as usual! (Danke, Sandro)
At a hearing last month, prosecutors in the case against Pfc. Bradley Manning noted that they didn't receive the messages but could not explain why. Chief prosecutor Capt. Ashden Fein said at a hearing Thursday that the messages had been "blocked by a spam filter for security." However, it fell to defense attorney David Coombs to explain precisely why the e-mails about evidence issues in the Manning case never made it."Apparently, they were blocked because the word 'WikiLeaks' was somewhere in the e-mail," Coombs said.
Kann man sich gar nicht ausdenken, sowas.
A Remote Direct Memory Access Protocol SpecificationDas Ende ist nahe, liebe Freunde. Da muss man nicht religiös sein, um da apokalyptische Visionen zu kriegen!
Money Quote:
The Remote Direct Memory Access Protocol (RDMAP) enables removal ofWir sind alle so gut wie tot. Ich bin ja immer froh, wenn die Leute sich neue Dinge ausdenken, die mir meinen Job in der IT-Security auf Jahrzehnte hinaus sichern, aber … remote direct memory access?! HALLO?!?
data copy operations and enables reduction in latencies by allowing a
local application to read or write data on a remote computer's memory
with minimal demands on memory bus bandwidth and CPU processing
overhead, while preserving memory protection semantics.
Wer sich jetzt denkt, ach naja, who cares, das wird schon niemand implementieren… das RFC kommt von IBM und HP. Und Microsoft ist bei sowas natürlich auch nicht weiter: SMBDirect - SMB2 über RDMA.
Gut, das ist jetzt nicht völlig offensichtlich für die Tonne designed, so schlimm wie Apple mit Firewire hat vorher niemand verkackt und wird auch nachher nie wieder jemand verkacken. Aber die bloße Idee, dass man ein Remote Direct Memory Access entwickelt, das ist ja schonmal ein Horrorfilm vom Feinsten. What Could Possibly Go Wrong?
Haha, ein Kumpel meint gerade, sie hätten das Microsoft Direct Memory Access nennen sollen, dann wäre wenigstens kein Zweifel übrig, wie sie darauf gekommen sind, wenn man sich die Abkürzung anguckt.
Update: Stellt sich raus: Linux supported auch RDMA, sogar NFS über RDMA. Das ist für Hochparallelrechner gedacht, erklärt mir gerade ein Physiker, der Plasmasimulationen der Sonnenatmosphäre macht, nicht für "über das Internet". Das habe ich mir auch gedacht, als ich das sah. Ein besseres Gefühl gibt mir das trotzdem nicht.
Und da dachte ich für ne Sekunde, Apple hätte mal ein nützliches und sinnvolles Produkt gebaut, und dann war das doch wieder nur eine Produktfälschung!1!!
Aber gut, Apple-Rechner sind ja eh nicht dazu da, bedient zu werden, oder damit man mit ihnen gar arbeitet. Eher so als Statussymbole, zum hinstellen und wie Retro-Scifi aussehen.
Und so wird man es los, damit ihr auch morgen noch kraftvoll AAAAAAAAAAAARGH schreiben könnt.
Schritt 2: Apple stellt den CUPS-Entwickler ein.
Schritt 3: CUPS schmeißt Komponenten raus, die man unter Linux aber nicht unter OS X braucht.
Ich bin mir sicher, es gibt dafür eine völlig harmlose technische Erklärung. Sie fällt mir nur gerade nicht ein.
BundesReg steht weiterhin dazu: Geistiges Eigentum muss auch im Netz geschützt werden. In der engagierten Debatte über #acta…und weiter
…darf nicht vergessen werden: Raubkopien, Patentverletzungen u. Fälschungen verursachen jährlich Milliardenschäden.Ja, genau, z.B. die Firma Apple. So ein Zufall, womit twittert unser Regierungssprecher noch gleich?
(ii) if your Work is provided for a fee (including as part of any subscription-based product or service), you may only distribute the Work through Apple and such distribution is subject to the following limitations and conditions: (a) you will be required to enter into a separate written agreement with Apple (or an Apple affiliate or subsidiary) before any commercial distribution of your Work may take place; and (b) Apple may determine for any reason and in its sole discretion not to select your Work for distribution.
Und wisst ihr was? Solange Deppen wie Teile meiner Leserschaft denen trotz sowas ihren Scheiß abkaufen, wird das fröhlich immer so weitergehen.
Vieles deutet darauf hin, dass Apple das iPad in großem Stil an Schulen verteilen will – mithilfe der Schulbuchverlage. Kinder wären die Marke so von klein auf gewöhnt.Für mich ist das ein weiterer Grund, die Schulbuchverlage zu zerschlagen und auf Lehrmaterialien unter freier Lizenz umzusteigen.
Am Ende ist doch immer der Kunde der gearschte.
Naja, zu diesem ganzen Blödsinn passt diese Meldung hier wie die Faust aufs Auge. Oooh, es geht um Apples "Fashionista"-Kunden. Da muss sich aber jemand echt das Hirn zermartert haben, um den am wenigsten ausfallend werdenden Terminus zu finden. Hier ist das Highlight aus dem Artikel:
Personal-computer makers are counting on ultrabooks to challenge the MacBook Air, Apple’s best-selling laptop, which is less than an inch thick. Still, Hewlett-Packard isn’t trying to compete on price: The new Spectre is $100 more than a MacBook Air with a 13.3-inch screen.
Das muss man sich mal auf der Zunge zergehen lassen. Die machen einen Nachbau, und der ist teurer als das geklonte Produkt, das für seinen gänzlich unverschämten Preis berühmt ist. Wie begründen sie das? So:Hewlett-Packard is emphasizing the laptop’s premium features and design, a bid to reach the “savvy fashionista” market, said Page Murray, a vice president of marketing at the company.
Ich könnte mich ja über das "savvy" nur kaputtlachen an der Stelle. Was ist den daran bitte savvy, wenn man sich von Äußerlichkeiten zum Kauf eines zu teuren Produktes verleiten lässt, mit dem man dann am Ende nicht arbeiten kann? Aber wartet, wird noch besser:“There’s always someone who wants to win the race to the bottom,” Murray said. “It usually ends with a splat.”
So, setzt euch mal hin, und lasst euch diese Äußerung durch den Kopf gehen.HP (!) beschimpft Apple (!!) für ihre Dumpingpreise (!!!). Un-glaub-lich.
Und plötzlich verstehe ich, wieso HP aus dem PC-Markt aussteigen wollte. Das erscheint mir an der Stelle auch als einzig sinnvoller Ausweg. Notschlachten, solange es noch Teile gibt, für die jemand was zahlen würde. (via)
Update: Zwei Stichworte seien noch erwähnt. 1. fest eingelötete Batterien. 2. beschissene Displays. Die Displays sind besonders ärgerlich, weil a) Mobiltelefone bald höhere Auflösung haben als man in diese Lifestyle-Ultrabooks einbaut, und b) die dann ein "Unibody"-Magnesium-Gehäuse drumherum tun. Nicht nur hätte man für den Preis des Gehäuses ein ordentliches Display einbauen können. Auch die Energiebilanz von Aluminium-Gehäusen sollte den ganzen Pseudo-Öko-Veganer-Appleusern die Tränen in die Augen treiben.
Wer sich also gefragt hat, wie sie in Zukunft die Trojaner auf die PCs kriegen…
Aber egal, eine lustige Sache daran fiel sogar dem ehemaligen Nachrichtenmagazin auf, nämlich dass die als Einfallstor Itunes verwenden. Nein, werdet ihr jetzt vielleicht sagen, nicht Itunes! Nicht Apple!!1! Apple-Software ist doch sicher!!
Apple hat das dann auch tatsächlich mal gefixt. Und jetzt guckt mal, wie lange sie darauf schon rumsaßen:
CVE-2008-3434 : Francisco Amato of Infobyte Security Research
Ja, voll sicher, diese Apple-Software.
Für Martin Schallbruch, IT-Direktor im Bundesministerium ist die Sache eindeutig. Nach seiner Einschätzung kommt der Ausweis gut an und hat sich nach überwundenen Anfangsschwierigkeiten als "universelles Werkzeug für verlässliche Identifikation im Netz bewährt".Was die da wohl auf die Schnittchen fürs Innenministerium drauftun?
Wer sich jetzt fragt, was die da so an Erfolgen vorzubringen haben:
Die mit großem Abstand beliebteste Anwendung des nPA ist der Abruf des Punktekontos beim Verkehrszentralregister in Flensburg.Aus offensichtlichen Gründen sagen sie nicht dazu, wie viele solche Abrufe es dann so gab. Wenn ich tippen sollte, würde ich drei- bis vierstellig tippen. Nee, nicht pro Tag. Insgesamt.
Völlig klar, bei so einem Koks-PR-Free-for-All muss auch Bitkom mit am Start sein, und tatsächlich haben sie einen schönen Schenkelklopfer beizutragen:
Zwar spricht der Bitkom in seiner Bilanz davon, dass der Ausweis eine positive Resonanz erfährt, doch die Zahlen der Bitkom-Umfrage nach einem Jahr nPA sind nicht so positiv: 45 Prozent der Bundesbürger stehen der "wichtigsten Karte" positiv gegenüber, 44 Prozent lehnen sie ab und zehn Prozent wissen nicht, was sie von der Technologie halten sollen.Also wenn DAS keine positive Resonanz ist, dann weiß ich auch nicht!1!! Wie lange sie wohl die Umfrage wiederholen mussten, bis mehr dafür als dagegen waren?
Einen Kracher habe ich noch:
Außerdem arbeite [die DATEV] an einer schlanken Alternative zur AusweisApp, heißt es aus Nürnberg.Wenn sogar der DATEV die AusweissApp zu bloatig ist, … whoa. Mein Popcorn ist alle.
Falls sich noch jemand fragt, mit welchen fiesen Tricks sie die Bürger dazu zwingen sollen, diesen nPA-Müll einzusetzen:
Eine weitere Anwendung ist der Zugriff auf Smart Meter über ein Gateway. Detaildaten über den aktuellen Stromverbrauch werden nur ausgegeben, wenn sich der Stromkunde mit seinem Ausweis identifiziert hat.Das passt ja mal wieder alles wie Arsch auf Eimer.
Aber wartet, das ist ja nur der existierende Ausweis. Das geht ja alles noch viel übler. Guckt euch mal an, was die so für die Zukunft planen:
Auch soll eine biometrische Aufzeichnung der Unterschrift eingebaut werden, die Druckstärke und Schreibschwünge misst, damit die Unterschrift wirklich fälschungssicher wird.Geht's noch?!Ferner wird laut Hamann ein DNA-Sensor in der Ausführung als Micro-TAS-Chip (micro total analysis-System) mit subkutaner Probeentnahme bereits erprobt. Die Speicherung und DNA-Überprüfung könnte im hoheitlichen Teil des nächsten "neuen" Personalausweises die Massenfahndung und -auswertung von DNA-Daten entscheidend erleichtern, hieß es unter Verweis auf Polizeiwünsche.
Update: Es sieht so aus, als habe Apple tatsächlich mal ein "Apple Cafe" geplant.
Und legt gleich mit dreisten Lügen los, wie dass es nur um Terrorismus und organisierte Kriminalität ginge, nicht um Allerweltskriminalität (wie eine Online-Apotheke oder gestohlene Kinderkleidung, ja?). Wi-derlich.
"Wo Quellen-TKÜ dransteht, darf keine Online-Durchsuchung drinstehen, meine Damen und Herren!"
Immerhin gibt es ordentlich schlechtgelaunte Zwischenrufe.
"… ist es auch nicht möglich, Schadmodule nachzuladen, weil das bemerkt werden würde."
"Der Trojaner, den der CCC betrachtet hat, ist ja drei Jahre alt. Und drei Jahre sind in der IT ja eine lange Zeit." Schade nur, dass das ehemalige Nachrichtenmagazin gerade einen Trojaner von 2010 covert. Hups.
Und jetzt fordert er auch noch die Unschuldsvermutung für das BKA. "Das sind Unterstellungen, die durch nichts belegt sind. Das sind Vermutungen, die durch nichts belegt sind." Ja, so gut wie keine Belege, außer vielleicht die CCC-Analyse. Aber ansonsten nichts, also so gut wie. Fast gar nichts. Gut, die Antivirenhersteller haben die CCC-Analyse bestätigt, aber das zählt ja nicht weiter.
Jetzt argumentiert er mit dem Verhältnismäßigkeitsprinzip und vergleicht den Trojaner mit Dienstwaffen der Polizei. Was für eine Farce. Die Einrufe werden immer lauter. Der Brüller!
Jetzt ist der Oppermann für die SPD am Start und beginnt erstmal mit einem Lob für den CCC. "Aber der CCC hat auch chaotische Zustände in der Bundesregierung aufgedeckt" *Applaus* Dann zählt er die Widersprüche in den Aussagen der Minister auf. *Popcorn!* Vor allem natürlich bei dem Friedrich. Kein Wunder, dass sie den nicht hingeschickt haben da.
Und dann geht es los mit dem alten SPD-Programm: "Wir sagen: Wenn schon Staatstrojaner, dann vom Staat"
Burkhard Hirsch ist da, die Justizministerin offenbar auch (wurde gerade persönlich angesprochen, ich sah sie noch nicht).
Jetzt fordert die SPD, die Trojaner zu optimieren, die müssen doch nicht einmal pro Behörde angeschafft werden, reicht doch einmal!1!! Na super, genau was wir jetzt brauchen, die ökonomischen Aspekte waren ja auch völlig unterberichtet bislang, dabei stehen die doch so im Zentrum!
Oh Mann, zwischendurch kommt rein, dass die politische Geschäftsführerin der Piraten die Debatte "ermüdend" findet und weggezappt hat. Oh und Autogrammkarten haben auch eine höhere Priorität. OMFG.
Die FDP ist dran und nutzt die Gelegenheit, um die gesamte Trojaneraufdeckung vollständig als ihre Leistung darzustellen. Wi-der-lich. Immerhin sagen sie an, dass die SPD mal die Schnauze halten soll, weil sie den Trojaner ja eingeführt haben. "Es bringt uns nicht voran, den CCC zu chaotisieren oder zu heroisieren". Denn eigentlich war das ja alles Leistung der FDP!1!! Hat den Liberalen noch keiner mitgeteilt, dass sie a) unter 5% sind und b) Eigenlob stinkt? Mann ist das abstoßend. Bisher einziger inhaltlicher Punkt ist, dass sie erschüttert ist, dass das BKA den Quellcode nicht hatte. (Über "grundrechtsschonendere" Methoden des Abhörens) "Wenn das in Asien geht, und ich meine jetzt ausdrücklich nicht China, …" *stöhn*
Jetzt ist Jan Korte von den Linken und lobt den CCC und die FAZ, das gab es bestimmt auch noch nie :-) Deutlicher Kontrast zum Gefasel der FDP. Er weist darauf hin, dass das BKA im Innenausschuss nicht garantieren wollte, dass ihr Trojaner nicht auch mehr kann. "Und das behindert den aufrechten Gang, wenn man nicht weiß, was Sie mitlesen wollen". Schön formuliert. "Die FDP hat nächste Woche die Möglichkeit, einem Antrag der Linken zuzustimmen, die BKA-Befugnisse zurückzudrehen" *schenkelklopf*
Ah jetzt war die Leutheusser-Schnarrenberger kurz im Bild. Ob die auch noch was sagen will? Der Korte gefällt mir jedenfalls, der hat da schön empört auf den Tisch gekloppt.
Ah, jetzt der von Notz von den Grünen. Beklagt sich über die Relativierung der Grundrechte und dass Vertrauen der Bevölkerung in die Bundesregierung verloren geht.
(Nochmal zu den Piraten: vielleicht solltet ihr das mit der Transparenz nochmal überdenken?)
Hmm, der Notz ist mir irgendwie nicht konkret und nicht empört genug. Das wirkt wie eine dieser "Business as Usual" Bashing-Reden im Bundestag, weil man halt in der Opposition ist. Ist ja schön und gut, dass die sich alle widersprochen haben, aber die Zeit hätte man besser nutzen können. Hahaha, ein lustiger Satz war doch (über den CCC) "sonst würdigen Sie ja das Ehrenamt immer, der CCC arbeitet doch ehrenamtlich!" Ah, jetzt kommt das Fleisch. Die Mehrheit der Bürger lehnt den Trojaner ab. Die Mehrheit lehnt auch die Vorratsdatenspeicherung ab. Gut! "Auch Sie müssen einsehen, dass im Netz die Grundrechte voll gelten" (mit anderen Worten: das Internet darf kein rechtsfreier Raum sein!)
Oh Graus, jetzt der Uhl. Und der greift erstmal bis zur Schulter ins Klo und wirft dem Korte von den Linken vor, dass er gegen den Überwachungsstaat wettert (weil ja die Linken, und die SED, ihr wisst schon, gut, der Korte ist ein bisserl jung dafür, aber hey!).
Jetzt versucht er die Kleidungs-Terroristen aus Bayern als große Gefahr darzustellen und bringt "Wer sich ins Internet begibt, der kommt halt um? Ist das Ihre Position?" Und in Ermangelung inhaltlicher Argumente zitiert er den Ziercke indirekt und weist darauf hin, dass der Ziercke ja SPD-Mitglied sei. Der hat noch nicht mitgekriegt, dass die SPD politisch auch keine Rolle mehr spielt.
Wird immer besser. Das ist ja alles kalter Kaffee, weil der Computer Club, der hat ja NICHTS aufgedeckt, der Fall ist ja schon vom April, und da ist ja schon alles aufgeklärt, und im Übrigen klären wir jetzt ALLES auf, der Schaar hat mir das gesagt, und das reichen wir rum, wir wissen ja noch nicht, was da rauskommt. Nicht gänzlich widerspruchsfrei, seine Argumentation :-)
"Das wäre ja sehr schade, wenn unser Land am Ende regiert würde von Piraten und Chaoten aus dem Computerclub." Stattdessen lieber Leute, die sich an Recht und Gesetz halten, wie … die CSU!1!! *schenkelklopf*
Als nächstes der Klingbeil von der SPD, der direkt ins Klo greift und vom Bundestrojaner spricht, den der CCC untersucht hat (Hint: Staatstrojaner!). Man könnte fast denken, die haben sich alle abgesprochen, damit da gleich mal wieder einer widersprechen kann, und dann glaubt die Öffentlichkeit weiter, dass da Details kontrovers seien.
Kloppt auch auf die Widersprüche von dem Friedrich ein, und dass der die Nachladefunktion verteidigt hat. Sagt, die einzigen Chaoten hier gerade sei die Bundesregierung, dankt dem CCC. Spricht von der Offenbarung eines Kontrollverlusts der Bundesregierung. Der hat wohl auch den Schirrmacher gelesen heute. Wünscht sich, dass in der CDU mehr Leute Altmaier als Uhl lesen. Naja, hat mich nicht vom Hocker gehauen. Der braucht einen dynamischeren Redenstil.
Oh jetzt die Schnarrenberger! "Es darf keine Online-Durchsuchung in eine Quellen-TKÜ übergehen!" Klingt schön empört, aber bringt dann so Allgemeinplätze. Die Frau ist halt ein Polit-Profi. Hoffentlich bringt sie auch noch echte Klopper. "Wir müssen jetzt aufklären!" Ja, äh, na dann machen Sie doch mal! Worauf warten Sie denn? "Da müssen harte Grenzen gezogen werden! Und da müssen auch Manipulationsmöglichkeiten ausgeschlossen sein!" Hört, hört! Was Sie nicht sagen! "Und wir können das doch alles gar nicht sagen!" (Kontext: wir Politiker verstehen die Technik eh nicht richtig)
Haut auch in die Kerbe, dass der Trojaner vom Staat programmiert werden sollte. Nur die Linken trauen sich, Trojaner ganz abzulehnen. Beschämend. Die Schnarrenberger hat jetzt 10 Minuten flammend gepredigt und die einzige inhaltliche Aussage war, dass der Trojaner doch bitte vom Staat selber programmiert werden sollte. Als ob das was helfen würde! Was für eine Nebelkerze.
Jetzt die Frau Jelpke von den Linken, dankt auch dem CCC, und spricht dann von "kleinkriminellen Anabolika-Händlern" als Trojaner-Opfern. Die macht das nicht schlecht, könnte aber auch noch ein bisschen dynamischer reden. Und sie spricht auch endlich mal ein paar konkrete Dinge an, haut auf die Nachladefunktion drauf, die "Aktualisierung" als Ausrede, beklagt das Rumgewiesel und Rumgemauschel und Ausweichen bei konkreten Nachfragen. Weist darauf hin, dass das ein langjähriger Trend ist mit den Sicherheitsgesetzen.
Jetzt der Beck, der eröffnet gleich mit einem großartigen Hieb auf den Uhl und sein "im Internet kommt man halt um" Gefasel, meint er soll sich doch nochmal ein aktuelleres Internet ausdrucken lassen in seinem Büro :-) Wun-der-bar. "Das Tragische an dieser Debatte ist doch: nicht eine Kontrollbehörde hat herausgefunden, dass da was falsch läuft! Der Chaos Computer Club hat das gemacht!" *strike*
"Wir haben hier ein Problem! Das Problem heißt: wer überwacht die Überwacher und die Überwachungssoftware?" Fordert auch, dass der Staat das selbst macht, und zusätzlich eine Kontrolle durch unabhängige Stellen.
Schade, dass die Grünen sich nicht trauen, da Trojaner komplett abzulehnen. Ich sehe schon einen Trojaner-TÜV vor uns. Na super.
Weist darauf hin, dass die Regierung die selben lahmen Ausreden bringt wie die Bayern. "Das ist doch eine glatte Lüge!" Jawoll! So macht man politische Reden, sehr schön. Der Mann rockt. "Wenn der Staat sowas sagt, dann glaube ich als Bürger doch erstmal gar nichts mehr, was nicht unabhängig überprüft worden ist!" *strike*
Oh und jetzt zweifelt er an, dass man überhaupt eine Quellen-TKÜ durchführen darf. Sehr schön! Sagt, dass das gar nicht rechtens ist, zitiert das Urteil, verweist auf die Strafprozessordnung. Sehr gut! Weist die Schnarrenberger darauf hin, dass sie mehr Applaus von der Opposition gekriegt hat als von den Regierungsparteien, "ich hoffe Sie haben verstanden, wo in dieser Angelegenheit Ihre Bündnispartner sind".
Jetzt kommt der Binninger von der CDU, da spar ich mir mal die Zusammenfassung. Ih ist der unsympathisch. Beschwert sich, dass der CCC nicht "Bayern" drangeschrieben hat, dann wäre ja die Diskussion ja vielleicht sachlicher gewesen, und im Übrigen war das ja schwere Kriminalität, weil es ja Haftstrafen gab. Ich glaube die CDU hat überhaupt nur die drei Talking Points, durch die die da immer durchrotieren. Jetzt kommt wieder ein "wir brauchen aber die Quellen-TKÜ!1!!" *göbel* Oh die Schmerzen, ich halt's nicht aus! Oh und ihre Inkompetenz in Technikfragen ist gottgegeben, das ist halt so, Technik versteht ja eh keiner mehr, das muss so. Restunsicherheit und so. Wie bei Atomkraft!1!! Lasst uns ein neues Service- und Kompetenzzentrum schaffen! *schenkelklopf*
So, jetzt Hofmann von der SPD. "Die Exekutive hat immer gemauert! Wir hätten [immer noch] keine Erkenntnisse, wenn wir den CCC nicht hätten". Zu den Vorschlägen der CDU: "Ich denke, das sind Sachen, die wir auch vor zwei Jahren schon hätten machen können"
"Die Union ist mit ihren Sicherheitsgesetzen zur Gefahr für Sicherheit und Freiheit geworden". Sehr schön!
"Wenn der Uhl immer von Grauzone redet, dann weiß ich, der mein Rechtsbruch, also sag ich auch Rechtsbruch" :-)
"… nichts anderes gemacht als eine Online-Durchsuchung durch die rechtliche Hintertür." *strike*
[zu Friedrich] "Ich habe den Eindruck, der weiß nicht, wovon er spricht"
"Es ist doch klar, wenn man so eine Quellen-TKÜ nicht umsetzen kann ohne solche Grundrechtsverletzungen, dann kann man sie halt gar nicht machen!"
Der Mann ist mir noch nie aufgefallen, aber die Rede da gerade, die rockt.
"Diese Regierung ist ein Sicherheitsrisiko"
Zur Schnarrenberger: "Wenn Sie diese Rede vor zwei Jahren gehalten hätten und dann auch so gehandelt hätten, dann hätte ich auch geklatscht".
Jetzt kommt Jimmy Schulz von der FDP und grüßt die Zuschauer an den Empfangsgeräten, erwähnt den Begriff "Hashtag". Betont, dass er schon immer davor gewarnt hat, dass der Trojaner mehr können würde, nennt die Nachladefunktion "perfide", erklärt dass man darüber auch andere Dinge als Updates machen kann. Weist darauf hin, dass Trojaner-Erkenntnisse keine Beweiskraft haben. Whoa, spricht von Generalschlüssel und "Man in the Middle Attack". Der ist ja gut gebrieft! :-)
Oh und er weist darauf hin, dass man auch bei Skype direkt abschnorcheln kann. "Wenn so ein Trojanereinsatz nicht grundgesetzkonform gemacht werden kann, wieso tun wir es dann?" Wow! Und jetzt hat er gefordert, generell auf Trojaner zu verzichten! Ich bin beeindruckt! Das ist ja mal eine Überraschung.
Jetzt Edathy von der SPD. Schlägt vor, dass die Bundesregierung miteinander redet, um sich nach außen hin nicht so häufig zu widersprechen. Finde ich gar nicht, das war doch tolles Popcornkino!
Meint, die Interviewerin im Radio sei besser informiert gewesen als der Friedrich. "Ich finde, so einen Verlegenheitsinnenminister hat die Republik nicht verdient." YES!!! Fordert, dass Sicherheit nicht nur gelegentlich mal der Freiheit untergeordnet wird, sondern immer. "Sicherheit kann ich auch in Nordkorea haben". DER ist ja gut drauf heute!
Gelegentlich ist der Ole Schröder noch im Bild, wie er auf der Bank sitzt und twittert. m(
Schade, dass die SPD in der Regierung für die Einführung des Trojaners verantwortlich war. Sonst wäre das jetzt ein echt großartiger Beitrag gewesen.
Huch, jetzt kommt da ein Hinterbänkler (beachtet auch die Sektion "Plagiatsverdacht") von der CDU. Die haben wohl niemanden gefunden, der sich dahinterstellt. Ob das jetzt die CDU-"Netzpolitiker"-Simulation ist? Spricht von "ich habe auf Facebook eine Anfrage gekriegt". Oh Gott ist der gruselig. Da müssen sie aber echt weit nach hinten gegangen sein, bevor jemand den Vorteil durch Selbstdarstellung höher bewertet hat als die Nachteile durch um-Kopf-und-Kragen-reden. "Wir reden von Einzelfällen!" Au weia, wenn das die neue Netzpolitikabteilung der CDU ist, dann stehen die schlechter da als vorher. Der hat gerade ernsthaft dem CCC Strafvereitelung vorgeworfen. Hoffentlich ist der kein Jurist, sonst hat er gerade auch unter Kollegen seinen Ruf ruiniert (hier nochmal von einem Juristen bestätigt).
Jetzt ein Herr Höferlin von der FDP, der mir ja nichts sagt, und der greift erstmal so richtig tief ins Klo mit einem saftigen "also WIR haben ja ZUERST mit dem CCC ein Treffen gemacht". Ooooh wie peinlich. Ansonsten erwähnt er, dass Skype auch ohne Trojaner abgehört werden kann, und schließt mit "Wir werden das gemeinsam mit den Freunden von der Union lösen".
Jetzt noch ein Herr Schuster von der CDU. Verteidigt sich ausdrücklich gegen "Parteien, die sich schon im Bundestag wähnen" (und er meint glaube ich die Piraten, nicht die FDP damit :-] ). Ein sehr undynamischer Redner, klingt wie ein Jurist. *gähn*
Sagt ausdrücklich, dass keiner irgendwelche illegale Software einsetzt, dass das BKA alles dokumentiert, und dass es auch noch keine unabhängigen Prüfungen gibt, die die CCC-Ergebnisse bestätigen. Versucht wieder den Talking Point, dass es ja nur darauf ankommt, auf welche Knöpfe die Polizisten tatsächlich klicken, und nicht was die Software für Funktionen hat. Alles andere sei ein "Misstrauensverdacht" gegen die Polizistinnen und Polizisten!1!! Ich halt's nicht aus. Wo haben sie DEN denn ausgegraben? "Der CCC ist keine institutionelle Referenz in diesem Lande". Will auch ein zentrales Kompetenzzentrum einrichten. Ich begrüße das ja, dass die CDU Kompetenz einführen will. Das hätten sie schon vor 40 Jahren machen sollen. Sein Schlussplädoyer klang für mich nach "Wir haben euch doch alle lieb!"
Update: Uhl hat noch ein Money Quote rausgehauen, das ich aber nicht klar genug verstanden hatte, um es zu zitieren. Aber es gibt ein Video davon:
Das Land wird von Sicherheitsbehörden geleitet, die sehr behutsam mit dem sensiblen Instrument der Quellen-TKÜ umgeht, und so soll es auch sein.
Es wäre schlimm, wenn unser Land am Schluss regiert werden würde von Piraten und Chaoten aus dem Computerclub.
Es wird regiert von Sicherheitsbeamten, die dem Recht und dem Gesetz verpflichtet sind.
Na wenn das so ist, Herr Uhl.
Der Quellcode "einer solchen Untersuchung" könne zudem beim Gericht hinterlegt werden, machte er einen weiteren Vorschlag zur rechtsstaatlichen Fassung der geforderten Maßnahme. Dies setze voraus, "dass sich die Justiz in diesem Bereich fachlich fortentwickelt." Aber auch Experten etwa vom CCC will er im Nachhinein Zugang zu der Programmblaupause einer eingesetzten Applikation gewähren.Oder ist das noch zu früh?
Aber ein Altmaier allein macht noch keinen Frühling. Sosehr es mich freut, wenn ein Ritter der Ehrenlegion und einflussreicher Konservativer offenbar wirklich zu verstehen beginnt […]Man fängt an mit ein paar unbequemen Wahrheiten über den Gegenspieler, dann legt man eine Packung Musikindustrie-Bashing nach, macht ein paar "die sind eh alle so gut wie am Ende"-Zukunftsaussagen, verbreitet eine Packung "die Daten fließen alle nach Amerika ab"-Angst, und schließlich legt man noch eine Packung Eigenlob nach.
Bereits nach dem Zwei-Prozent-Erfolg der Piratenpartei im Jahr 2009 wurden bei CDU, CSU, SPD, Grünen und FDP die randständigen Netzpolitiker in den eigenen Reihen nicht mehr nur belächelt.Soweit zum Standard-Parcours, danach kommt die Kür.
Bisher konnte man die Situation der Piraten mit „hoffnungslos, aber nicht ernst“ charakterisieren. Jetzt gibt es Hoffnung, doch die Lage ist ernst geworden. Waren die politischen Freibeuter bisher nur ein wenig lästig, so ist nun zu erwarten, dass die Gegenkräfte ernstzunehmende Ressourcen mobilisieren werden, um die neuentstandene Situation unter Kontrolle zu bekommen.So sieht das aus. Und der gefährlichste Feind der Piraten sind unerwarteterweise die CDU/CSU. Das zeigt Pavel anhand dieses Beispiels:
Die Konservativen im Land werden die gefährlichsten Gegner der Piraten, denn sie sind bemerkenswert handlungsfähig. Drei Tage, nachdem in Fukushima die Meiler explodiert waren, stritten grüne und linke Kräfte noch über Strategien und Demonstrationstermine, während die Konservativen bereits die kurz zuvor in ihrer Laufzeit noch verlängerten Altkraftwerke reihenweise herunterfuhren - eine beeindruckende Demonstration von politischem Gespür und Machtinstinkt.Das Problem ist, wenn man sowas nennt, dass man ja die CDU nicht loben will, eher im Gegenteil. Der Übergang ist nicht so einfach, aber Pavel macht es ausgezeichnet:
Es zeigt aber auch, dass man es mit Recht und Gesetz nicht so genau nimmt, wenn Eile geboten scheint. Denn so sehr man die Stilllegung der Kraftwerke begrüßen mag, so wenig gab es eine gesetzliche Grundlage dafür.und weiter unten
Das politische Hauptproblem ist, dass es in Zeiten des Internets immer schwieriger wird, mit solchen Rechtsbrüchen davonzukommen. Das zeigt die aktuelle Affäre um den Staatstrojaner.Schöner Übergang auch. Und einmal beim Trojaner angekommen, nimmt Pavel keine Gefangenen mehr:
Wie aber können Verantwortliche, die das Recht mit Füßen treten, sich anmaßen zu behaupten, sie würden das Recht schützen?Die Falle an der Stelle ist, dass man die Debatte "aber die armen Polizisten, die tun doch nichts unrechtes, die folgen doch nur Befehlen" vermeiden will, weil man sich sonst in Aussage-gegen-Aussage-Teergruben aufreibt und sein Momentum verliert. In der Tat geht es ja auch wirklich nicht um die Polizisten, die würden sich nach entsprechenden Strukturreformen auch wieder an Recht und Gesetz halten, zum Großteil jedenfalls, und den Rest muss man dann halt rausschmeißen. Das ist aber nichts, was man jetzt groß thematisieren will, sonst machen die Polizeigewerkschaftsbosse wieder eine Tränentour durch die Talkshows. Pavel umschifft die Problematik so:
Die Ursachen für die Staatstrojaneraffäre liegen nicht in mangelndem technischen Sachverstand oder finanziellen Engpässen. Sie sind in der grundsätzlichen Struktur zu suchen, die mit Konstruktionsfehlern behaftet ist, die nicht erkannt und beseitigt werden, weil vieles den Augen der Öffentlichkeit und der politischen Kontrolle entzogen ist. Der Trend zur Vergeheimdienstlichung normaler Polizeiarbeit zeigt fatale Auswirkungen.SEHR schöner Übergang, Pavel! Dann bedient er sich im Drehbuch von Yes, Minister und spielt die inkompetente politische Ebene gegen die Profi-Beamten aus.
Selbst ein Wolfgang Schäuble, der in der Öffentlichkeit in dem Ruf steht, aus Sicht des Apparats ein guter Innenminister gewesen zu sein, wurde dort für eine Heißluftpumpe gehalten.Hört, hört!
Ich will das nicht alles zitieren, aber das ist taktisch und inhaltlich gut und lesenswert und ich empfehle eine vollständige Lektüre.
Ein-zwei Klopper ziehe ich mal noch raus, weil die so schön sind:
Dem einzelnen mit der Durchführung beauftragten Beamten mag man mit viel Augenzwinkern noch eine rechtlich falsche Beurteilung oder Ermessensfehler zugestehen. Doch kann man unmöglich gelten lassen, dass bei Beschaffungsvorgängen in diesen Größenordnungen keine rechtliche Prüfung erfolgte, wo doch sonst für den Kauf einer Socke erst die Rechtsgrundlagen geklärt und umfangreiche Eignungs- und Konformitätsprüfungen durchgeführt werden.*händereib*
Und dann noch diese veritable Breitseite in Richtung Altmaier:
Sie, Herr Altmaier, und ihre politischen Freunde haben sicher tiefe Einblicke in das Eigenleben der Sicherheitsapparate. So erklärt sich vielleicht, dass ihnen der Staatstrojaner als relative Petitesse erscheint. Was für verfassungsrechtliche Skelette tanzen denn noch in den Kellern der deutschen Sicherheitsbehörden, wenn ein so massiver Verstoß wie der Staatstrojaner eine Kleinigkeit sein soll?YESSSSS!
Und stilvoll endet das Traktat mit dem Hinweis in Richtung Altmaier, sollte er es ernst meinen und feststellen, dass er in der falschen Partei ist, könne man ja über alles reden :-)
Wenn ihr mich fragt: Wenn sich Apple und die GEMA streiten, kann es nur Gewinner geben.
Die andere spannende Sache ist, dass sie sich jetzt aus der Affäre zu ziehen versuchen, indem sie "Screenshot" dementieren und von "Application-Shots" reden. Das ist natürlich lächerlich transparente Wortklauberei, denn der CCC hat nie etwas anderes behauptet als dass sie da Fensterinhalte des Browsers und von einigen anderen Anwendungen abgreifen. Diese Taktik des unfairen Argumentierens nennt man "Strohmann", wenn jemand etwas dementiert, was ihm so niemand vorgeworfen hat. Glücklicherweise fallen da nur Unaufmerksame oder geistig Unterbemittelte drauf rein, insofern wird das wahrscheinlich eher nicht funktionieren.
Der Brüller ist aber diese Aussage hier:
Die in Landshut als speziell für den Einzelfall zusammengestellte Software könne nicht nochmal verwendet werden, ein Missbrauch sei daher ausgeschlossen.Der Grund dafür, dass die nur einmalig verwendet werden kann? Wenn ich das richtig verstanden habe: Lizenzgründe! Mit anderen Worten: ein Rechtsbruch ist ausgeschlossen, weil das ein Rechtsbruch wäre.
Update: Apple hat fix reagiert. Erst haben sie da das englische Bild genommen und jetzt steht da "Bearbeiten" :-)
"Apples Umsatz im zweiten Quartal betrug 25 Milliarden Dollar. Sie haben 18,7 Millionen iPhones verkauft, die wir Mobilfunker mit durchschnittlich 400 Dollar pro Stück stützen. Das heißt, allein 30 Prozent des Umsatzes kommen von uns. Hier braucht man Mut zur Selbstreflexion: Wir sind feste Trottel", warf Krammer in die Runde, um kurz darauf auf die Aktienpolitik der Großkonzerne einzuschlagen.Und dann rechnet der gute Mann noch vor, dass wenn sie zweimal pro Jahr zehn Prozent Rendite ausschütten (ob er Dividende meint?), und wenn sie die ein Jahr lang einbehalten würden, könnte sich z.B. France Telecom Skype leisten.
Na gut, nicht nur Apple. Auch die Antivirenhersteller. Und Adobe, falls es die dann noch gibt.
Die weißrussische Polizei hat den Einwohnern Minsks gestattet, beim Minsker Stadtfest am 10. September in die Hände zu klatschen.Die Bürger hatten ja Applaus als Protestform entdeckt, woraufhin die Polizei Leute wegen Händeklatschens verhaftet hat. Jetzt gibt es also für dieses Volksfest eine Ausnahme.
„Niemand soll Angst haben, Beifall zu klatschen, wenn es einen Grund dazu gibt“, erklärte Iwan Kubrakow, Erster Vizechef der Verwaltung für Ordnungsschutz und Vorbeugung im weißrussischen Innenministerium, am Mittwoch Journalisten.Na denn. (Danke, Stephan)
Update: Ich hab gehört, Symantec will sogar darüber nachdenken, Security-Produkte zu bauen!
In dem Prospekt findet man nichts über Zensur, aber dafür "Application Delivery Network", "Social networking threat protection", "Proxy avoidance blocking" und "Bandwidth management". Das Google-Stichwort scheint "traffic optimization" zu sein.
Oh und nicht nur einmal!
Also, corporations collectively are hoarding more cash than ever before, posting glowing balance sheets. At the end of 2010, companies held an estimated $1.9 trillion of excess cash, and so far in 2011 most have not let go.Apple, for instance, now has $76 billion in cash on its books.
Trillion sind Billionen. Firmen halten also knapp 2 Billionen Dollar in Guthaben in ihren Büchern. Und zu dem Apple-Bargeld als Vergleich: Die US Treasury hat 74 Milliarden Cash, also weniger als Apples 76 Milliarden.
Money Quote:
Kritiker merkten an, dass damit auch das Schlangestehen vor Geschäften oder ein Picknick strafbar werden würde.
Da bewegen wir uns langsam hin. Nicht bei Vorlesungen, sondern bei der Werbung. Da planen die nämlich gerade eine Smartphone-App, die über das Mikrofon mitlauscht und merkt, welche Werbung man sich angeguckt hat, und dann entsprechend Coupons freischaltet.
Mal völlig abgesehen davon, wie gruselig das ist, dass die Smartphones uns jetzt rund um die Uhr belauschen sollen, sehe ich da natürlich ein Szenario vor mir, wo die Leute zuhause die Glotze laufen lassen und ein Smartphone mit der App daneben liegen lassen. "Ferris macht blau" halt.
Tolle neue Welt.
Update: Mist, das war nicht Ferris Bueller sondern "Real Genius".
Und das ist noch nicht alles! Sie haben auch einen Stummen verhaftet, weil er regierungsfeindliche Slogans gebrüllt haben soll.
"There was one case where deaf and mute person was accused of shouting antigovernmental slogans," she says. "Last week there was yet another case when a teacher was arrested while he was riding a bike and was accused of waving his arms and shouting something in a kind of protest."
Von der Größe her ist das ca wie ein PDA, also größer als eine Plakette. Die Ausrede der Chinesischen Behörden ist auch legendär:
A reporter from the newspaper went to the Shenzhen Inspection and Quarantine Bureau and confronted them with the accusations. Staff on duty flatly denied the idea, Apple Daily said. Speaking Cantonese, they assured him that “It’s not that high tech.”
Gut, wenn ich so einen Dienst anbieten wollen würde, wären die Daten selbstverständlich verschlüsselt, und zwar vom Design her so, dass ich die Keys nicht speichere, sondern dass die sich aus den Passwörtern ergeben, damit selbst wenn jemand in meinem Rechenzentrum alle Platten klaut, die Daten der Kunden sicher sind. So würde man das machen, und man würde es offen kommunizieren, damit man im Fall von "die Daten sind irgendwo aufgetaucht" plausible deniability hat.
Auch Dropbox hat einige nebulöse Andeutungen gemacht, die man so deuten konnte, als hätten sie da ordentliche Krypto am Start. Aber dann passierte das hier: Man kam ein paar Stunden lang versehentlich ohne Passwort an jedermanns Account heran. Damit ist klar: die Daten sind nicht so verschlüsselt, dass Dropbox da nicht rankäme. Und ich fühle mich in meinem Zynismus vollauf bestätigt und kann nur weiterhin jeden warnen, seine Daten irgendwelchen Webdiensten anzuvertrauen. Mir ist ja völlig unklar, was in den Köpfen der Leute vorging, die da ihre Korrespondenz gelagert und ihre persönlichen Daten dorthin "gebackupt" haben. WTF?
Inhaltlich geht mir Apple ja weitgehend am Arsch vorbei, wie die da Google, Microsoft und Facebook hinterherhecheln mit ihren "wir aber auch" Nachbau-Angeboten, aber eine Sache muss mal angesprochen werden: ihr habt ja sicher mitgekriegt, dass unsere Parlamentarier die Ipads als Statussymbol entdeckt haben. Jetzt schiebt Apple die Daten in die Wolken. Für die Souveränität unseres Parlaments ist das kein gutes Zeichen, denn Apple wird von Gesetzesentwürfen und internen Positionspapieren dann früher (bzw überhaupt!) wissen als das Gros unseres Parlamentes, geschweige denn die Bürger. Das ist eine ausländische Firma! Das darf man an der Stelle nicht aus den Augen verlieren!
Update: und von Lobbyistenterminen, natürlich. Vielleicht hat das ja auch was Gutes, wenn die Daten alle digital im Internet rumliegen. Man kann das ja auch als Ansporn sehen, wenn man ein Hacker ist.
Naja, jedenfalls hat Apple den Richter kürzlich überzeugt, dass er ihnen Samsungs nächste Gerätegeneration zeigen soll, damit sie gucken können, ob es da auch "Patentverletzungen" gibt. Das sind natürlich für jede Technologiefirma die Kronjuwelen. Dass der Richter zugestimmt hat, ist in meinen Augen ein Hammer sondergleichen. Auf der anderen Seite hat es Samsung jetzt den Konter eröffnet, die Offenlegung der nächste Apple-Gerätegeneration zu fordern, damit sie zukünftigen Klagen vorbeugen können. Das ist natürlich auch grotesk, aber wäre nur gerecht. Wenn der Richter zustimmt, sage ich mal voraus, dass Apple lieber das ganze Verfahren zurückzieht, als ihre zukünftigen Produkte zeigen zu müssen.
Egal wie das ausgeht: Popcorn-Kino vom feinsten!
- Do not confirm or deny that any such software has been installed.
- Do not attempt to remove or uninstall any malware software.
Die Strategie ist klar: Kopf in den Sand, Kunden im Regen stehenlassen. Insbesondere soll man den Kunden nicht zu einem Apple Store schicken, dort wird ihm auch nicht geholfen.
“Apple denies that, based on their common meaning, the words ‘app store’ together denote a store for apps.”
Das kann man sich auch direkt ausdrucken und an die Wand hängen. Auf der anderen Seite, naja, ist halt eine Religion, seit wann sind die an Fakten oder die Beobachtungen aus der realen Welt gebunden.
Die Krise ist sogar so vollständig vorbei, dass sich in den USA auf 62000 Jobs als Burger-Brater bei McDonald's eine Million (!!) Menschen beworben haben. Traumberuf Burger-Umdreher!
Wenn das kein Klassenkampf ist, dann weiß ich auch nicht.
Ich poste das aus Unterhaltungsgründen, Rob Enderle ist schon durch Fehlanalysen aufgefallen. Völlig von der Hand zu weisen ist das aber nicht, weil alle guten Verschwörungstheorien zumindest ein bisschen nach einem Kern von Wahrheit aussehen müssen, sonst funktionieren sie nicht.
Update: Kleine Anmerkung noch: Apple hat den Big Brother Award dieses Jahr dafür gekriegt, dass sie sich selbst die Auswertung dieser Daten erlauben. Und die Mac-Abteilung von Heise findet das nicht so schlimm alles.
Solche Leistung muss gewürdigt werden, und so hat Apple auch einen Big Brother Award abgegriffen heute, wenn auch für eine andere ihrer eiternden Wunden, nämlich die "Datenschutzbedingungen". Das ist Apples politisch korrektes Neusprech für das, was man anderswo als EULA kennt. (Danke, Jörg)
Developers report that Apple has internally officially announced that it will pull Samba from Mac OS X Lion and Lion Server, and replace it with Windows networking software developed by Apple.
Heilige Kuh, das wird sicher episch schlecht. Samba hat ja schon eine eher … gemischte Geschichte in Sachen Sicherheitslücken, aber Apple? Apple wird hier sicher neue Standards setzen. Und ich bin nicht der einzige, der sich da freut, auch HD "metasploit" Moore freut sich auf 10 Jahre Remote-Vuln-Schlaraffenland mit Dank an Apple. Meine Prognose: wir werden da Bugs sehen, die seit Jahren als ausgestorben galten. Und dabei waren über das Netz ausnutzbare Lücken gerade dabei, so selten zu werden, dass man kaum noch richtig Spaß beim Congress und beim Camp haben konnte! *händereib*
Update: Während skitch kaputt ist, nehmt diese Approximation.
Update: Ich bin übrigens nicht CCC-Pressesprecher. Die haben da eine Anfrage an den CCC geschickt und ich hab die halt zur Beantwortung übergeben gekriegt.
Ich muss mal kurz in den Keller, die strategischen Popcornreserven anbrechen.
Update: Jemand anderes mailt mir gerade, dass man ein Windows Phone auch ganz ohne Live ID betreiben kann, aber dann hat man halt keinen Zugang zu deren App-Store. Ich weiß es wie gesagt nicht und gebe daher beides so weiter.
Das Publikum besteht im Wesentlichen aus männlichen Anzug- und Schlipsträgern ab 50, also Generation Internetausdrucker.
Und die Veranstaltung begann dann … mit der Vorstellung der CSU-Iphone-App! m(
Und so wächst zusammen, was zusammengehört.
Update: WTF, da hat ernsthaft jemand eine maschinenlesbare Regierung / Verwaltung gefordert. Oi! Und das bei der CSU!! Entweder die bereiten sich schonmal auf ihre Tätigkeit in der Opposition vor, oder da konnte jemand seine Notizen nicht entziffern und meinte wirklich maschinenlesbare Bürger.
Update: Hahahaha, wer hätte das gedacht, das er das noch mal zu seiner Lebenszeit erleben würde? Eine Frau von der Filmindustrie hat die CSU gescholten, in ihrem Papier würde zu wenig gegen Internetpiraterie gesagt. LOOOOOOL. Oh wartet, geht noch weiter: "Gegen Urheberrechtsverletzungen sind Internetsperren doch wirkungsvoll!1!!"
Update: Meine Herren, ein Kracher jagt den nächsten! Die fordern da auch gerade einen gegenüber dem Informationsfreiheitsgesetz weitergehenden Anspruch, dass die Akten von sich aus ins Netz gestellt werden sollen, ohne dass man da eine Befreiung beantragen muss. Und dann zu Wikileaks:
Wikileaks ist an sich erst mal begrüßenswert, wegen dem Transparenzgedanken.
[…]
Die Tendenz und die Motive sind auf jeden Fall richtig.
Und dann Seehofer zu Wikileaks:
Was man nicht offen sagen kann, ist auch keine gute Politik
Whoa! Rufe mal jemand Doctor Who an, hier hat es offensichtlich einen Dimensionssprung gegeben!1!!
Noch ein Zitat von Seehofer, das er nochmal bereuen wird:
Gebühren [beim IFG] halten Bürger davon ab, einen Antrag zu stellen. Das verstehe ich nicht unter Transparenz des Regierungsgeschäftes!
Und über die Wikileaks-Depeschen:
Die Kanzlerin hat am Sonntag angerufen: "Schau her, das ist genau das, was an einem Sommerempfang ueber uns gesagt wird"
Für uns klingt das grotesk, aber in den USA ist das durchaus üblich. Da haben echt viele Leute an ihrem Karriereanfang für die NSA o.ä. gearbeitet. Das liegt einfach daran, dass Studieren dort so teuer ist. Da hat man entweder reiche Eltern oder verschuldet sich auf Jahrzehnte hoch oder kriegt ein Stipendium. Oder man studiert halt nicht. Und in der Situation kommt dann die NSA und bietet dir an, dich für ein paar Jahre zu verpflichten, und dafür darfst du dann auch auf ihre Kosten studieren. Na klar machen die Leute das. Wenn man sonst keine Möglichkeit auf ein Studium hat?
Insofern: nicht zu viel reininterpretieren, bei den anderen US-Firmen in den Sicherheitsabteilungen sind auch viele Ex-NSA-Leute.
Hat nicht auch Apple ihren IP-Stack von *BSD "geborgt"?
Update: Bei FreeBSD ist das seit 2007 gefixt. Insofern sind nicht alle BSDs gleich schlecht, das ist besonderes OpenBSD-Versagen. Aber was kann man schon von solchen Leuten hier erwarten.
Soviel zum "Apple is sicher"-Mythos.
The culmination of this new design philosophy seems to be the iPad, which offers no easy internal access, can’t have its storage or RAM upgraded. Apple is approaching the same model in its notebook line with the latest MacBook Air, which now also features the tamper-resistant Pentalobe screws in addition to non-upgradable RAM soldered to the logic board, and a non-standard implementation of flash storage that makes it very hard to replace.
Na da weiß man doch, bei der richtigen Firma einzukaufen! Wenn man wie ein Kindergarten-Insasse bedient wird. Aber hey, immerhin ist es alles total einfach zu benutzen, wie sie einem die ganze Zeit einzureden versuchen. Das passt schon.
Mit anderen Worten: für Kalifornien gemacht, nicht für Kontinentaleuropa.
Q: Was tun Sie, um den Zeitungen zu helfen?Oh Graus!!!
A: Wir bieten Kooperationen an. Mathias Döpfner, der Springer-Chef, denkt bei diesem Thema in die richtige Richtung. Er will eine Allianz der Qualitätsanbieter im Wettbewerb, unter anderem gegen Google, Apple und Vodafone. Die ARD steht dafür bereit.
Und dann, noch übler:
Q: Ist Google eine Bedrohung für die ARD?Haben die da kein Vorstellungsgespräch geführt?!
A: Natürlich. Das gilt aber nicht nur für uns, sondern für alle Qualitätsmedien.
Es gibt ja schon heute kostenpflichtige Apps der ARD, beispielsweise die Loriot-App. Den Geburtsfehler des Internets - kostenlose Inhalte - zu beseitigen ist aber schwierig und langwierig.Geburtsfehler!?!? Geht's noch?! (Danke, Norman)
Nanu? Wo kommen denn die ganzen Apple-User her? Bashe ich noch nicht genug auf denen rum? :-)
Ich bin erstaunt, dass Chrome so einen geringen Marktanteil hat. Ich hätte den höher geschätzt.
Wir reden hier von Smartphones, die üblicherweise eh alle zwei-drei Jahre getauscht werden. Die nächste Generation kann dann auch webm. Bis dahin kostet das ein bisschen mehr Batterie, wenn man sich Webfilmchen anguckt. Unschön, aber ohne Leidensdruck wird halt nichts besser im Leben.
Übrigens finde ich ja den eigentlichen Vorteil von Webm gar nicht so sehr den Videocodec, sondern dass das endlich mal Vorbis breit in den Markt drückt. Vorbis ist seit vielen Jahren der überlegene Audiocodec, und zwar sowohl für Stereo als auch für Multichannel. Es supported nur niemand, weil es keinen Leidensdruck gab. Wenn der jetzt endlich dank Webm kommt, gewinnen wir alle. Meine CD-Sammlung habe ich seit Jahren als Vorbis zum mit mir rumtragen abgelegt, und das belegt so ca die Hälfte des Platzes, den man bei mp3 brauchen würde. AAC fällt aus, weil die Encoder alle scheiße sind, und wegen der Patentsituation natürlich. Wenn die Endgeräte alle Vorbis unterstützen, damit Webm geht, dann könnt ihr auf euren Mobilgeräten auch plötzlich doppelt so viel Musik ablegen wie bisher. Wenn das kein Grund zum Feiern ist!
Ich kann den Hype mit mobilem Video eh nicht nachvollziehen. Wenn ich Video gucke, dann will ich das auch genießen, und brauche dafür einen richtigen Monitor. Also größer Netbook meine ich damit. Schon Notebook-Monitore sind im Grunde zu klein. Ich habe für mich keinerlei Bedarf daran, längere Videos auf einem Mobilgerät zu gucken. Vielleicht mal einen drei-Minuten-Clip, den man selber aufgenommen hat, oder ein bisschen Youtube-Klicken, aber längere Videos? Sicher nicht!
Insofern halte ich das Argument mit den Mobilgeräten für vorgeschobenes Zähneknirschen von Apple-Apologeten, die sich mal wieder auf der technologisch schlechteren Seite finden und kognitive Dissonanz haben. Durch die "PowerPC ist aber die bessere Architektur" 2.0 Phase müssen wir jetzt halt durch, bis Apple auch auf Webm umsteigt.
Oh und das Detail, dass die mobilen Endgeräte gar nicht das volle H.264 sprechen sondern nur das Baseline-Profil, das hatte ich ja schon erwähnt. Das ist also eh Augenwischerei, die Behauptung, dass die mobilen Endgeräte ja H.264 können.
Der Effekt ist, dass ausser Youtube und Enthusiasten wie mir niemand webm ausgerollt hat. Und Firefox sah im Vergleich zu Chrome schlecht aus, weil sie sich geweigert haben, H.264 zu unterstützen.
Und jetzt kommt dieser Paukenschlag: Google kündigt an, H.264-Unterstützung aus Chrome zu entfernen. Kurzfristig ist das natürlich schlecht für die Chrome-User, weil damit einige Early Adopter des Video-Tags nicht mehr gehen. Langfristig ist das aber die richtige Entscheidung, um webm nach vorne zu bringen. Denn Firefox 4 kann auch webm, und damit ist die klare Mehrheit der wichtigen Browser webm-fähig.
Es ist auch eine gute Gegenaktion zu Microsofts Subversionsversuch, Firefox unter Windows H.264-Support zu geben, damit die Leute lieber Firefox als den Browser des Erzkonkurrenten benutzen und damit webm nicht vom Boden wegkommt.
Viele Leute hatten webm schon zu den Akten gelegt, weil die MPEG-Lizensierungsmafia als Reaktion auf webm verkündet hat, das H.264-Streaming im Internet bleibe lizenzkostenfrei. Das haben viele Leute so interpretiert, als sei H.264 jetzt generell lizenzkostenfrei, aber das folgt daraus halt nicht. H.264 ist nach wie vor eine Patenthölle, und jeder Schritt, um diesen Leuten das Wasser abzugraben, ist ein Schritt nach vorne für die Menschheit. Scheiß Patentscheiß immer, beschissener.
Update: Übrigens, spannendes Detail: Auch Adobe will webm in Flash unterstützen. D.h. man wird H.264 auch nicht mehr als Flash-Fallback brauchen. Nur noch als Apple-Fallback. Und Apple spricht ja eh nicht H.264 sondern je nach Gerät nur Baseline-Profil und kann auch von AAC nur eine Teilmenge des Standards, d.h. webm muss qualitätsmäßig gar nicht mit dem H.264 High Profile konkurrieren und kann da mithalten. Für mich als Webseitenbetreiber sieht es dann also plötzlich so aus, dass ich mit webm mal eben über 90% des Browsermarktes abdecken kann, und nur für Apple eine Extrawurst braten müsste. Das wird sich der eine oder andere Webseitenbetreiber dann vermutlich schlicht sparen.
Update: Die Apple-Stellungnahme dazu klingt allerdings eher nach Textblock. Wahrscheinlich hat niemand die Pressesprecherin informiert. Im Übrigen erklärt mir gerade ein Apple-User, dass eigentlich die Dinge schon vor Aufnahme in den App-Store geprüft werden, d.h. wenn die an dem Spendenversprechen was auszusetzen hätten, wäre das gar nicht erst reingekommen.
Update: Wow, und sogar das ehemalige Nachrichtenmagazin veröffentlicht einen Pro-Wikileaks-Kommentar, in dem sie folgende denkwürdige Aussage treffen:
Die US-Luftwaffe sperrt WikiLeaks aus, Air-Force-Mitarbeiter dürfen manche Zeitungsseiten nicht mal mehr aufrufen. Solche Schritte kennt man sonst eher aus totalitären Staaten - ein Grund mehr, technische Zensurmechanismen fürs Netz strikt abzulehnen.
Wow. Wir müssen mal unser Apple-Bashing hochfahren, das ist offensichtlich noch zu zurückhaltend. :-)
Update: Dafür hat jemand unseren Wikipedia-Eintrag gelöscht.
Update: Screenshot.
BMI-Referatsleiter Andreas Reisen erklärte, dass die Einführung des neuen Personalausweises erfolgreich verlaufe. Dass exakt am ersten Tag der Einführung eine Sicherheitslücke in der Update-Funktion der AusweisApp bekannt wurde, erklärte Reisen damit, dass dieses Wissen um die Lücke von Kritikern offenbar zurückgehalten wurde: "Das war eine inszenierte Sache."Äh, … zurückgehalten? Wann hätten sie die Lücke denn finden und publizieren sollen, ne Woche vor Release der App?
Mann Mann Mann. Die BESTEN der BESTEN der BESTEN, SIR!
Für die Nutzung der AusweisApp, die Anfang Januar zum Dowload zur Verfügung stehen soll, verteilen zwei Computerzeitschriften "Freikarten" in Form von Kartenlesern und Gutscheinen. Für diesen Service erhalten sie nach Auskunft des Bundesinnenministeriums 792.540,00 Euro. Eine Zeitschrift liefert mit ihrer DVD-Ausgabe 400.000 Basiskartenleser von Reiner SCT an den Kiosk. Dafür bekommt Reiner SCT die 35 Euro, die der Kartenleser kostet, was sich auf 14 Millionen Euro addiert. Weitere 1.864.800,00 Euro erhält die Firma für Service und Support.Und es geht noch weiter mit den Millionen.
Was ich an der Stelle mal hervorheben will: der Heise-Verlag legt keine schrottigen Basisleser bei. Das finde ich angesichts der Zahlen, was man da für Geldberge von der Regierung für diese Propagandamaßnahme kriegt, hoch anständig finde. Denn die Geräte, die da verteilt werden, sind Basisleser, d.h. ohne Keypad, d.h. per Trojaner angreifbar. Da hat sich die c't offensichtlich entschieden, lieber das Geld nicht zu nehmen und den Lesern kein Snake Oil reinzudrücken.
Aus fundamentalistischen Gründen gibt es das Video nur per video-Tag und nur per Ogg Theora oder WebM. Nein, kein Flash, keine Krücken für IE- und Appleuser. Gewöhnt euch dran. Das kennt ihr ja eh schon, dass auf euren Geräten Dinge dann halt nicht gehen. Oder installiert euch halt Firefox oder Chrome.
Wem die Ironie der Aussage in dem Video nicht klar ist, der sei darauf hingewiesen, dass es in den USA gar keine Vorratsdatenspeicherung gibt. Auch "ab und zu mal einen Fingerabdruck" gibt es da nicht, insbesondere nicht im Personalausweis, denn es gibt überhaupt keinen Personalausweis dort.
Update: Mhh, hier stand ursprünglich auch Opera, aber Opera spielt das bei mir auch nicht ab. Suuuuper technologie. Also lade ich es doch auch nochmal als mp4 hoch. Hey, Opera, da könnt ihr ja mal echt stolz auf euch sein!
Update: Für Leser mit kurzer Aufmerksamkeitsspanne sei auch nochmal hierauf verwiesen.
Airwave’s pre-tax profit was £170 million, a 26 per cent increase on the previous 12 months. It represents an eye-watering return of 45 per cent on the company’s £380 million turnover.
Wow. Da sieht man mal wieder die Vorteile der Privatisierung!
Fürs Archiv: Der Hersteller der Äpp, und was sticht mir da sofort ins Auge: die werben da mit Common Criteria EAL4+ Zertifizierung. Da sieht man mal wieder, wie wertlos diese ganze Zertifizierungsscheiße ist. Reines Snake Oil.
Oh und wo wir gerade bei Hirnriss waren: aus der BSI-FAQ zur Ausweis-App:
Der Windows7-eigene Screenreader fängt beim Vorlesen die Eingaben über die Tastatur direkt ab. Dadurch wird auch die eingegebene PIN im Klartext vorgelesen. Unter JAWS, NVDA und VoiceOver tritt dieses Problem nicht auf.
Update: So eine Autoupdatefunktion einer Ausweis-Äpp wäre ja auch genau die Infrastruktur, die man für die Installation des Bundestrojaners braucht.
It all fits with a pattern of behaviour where people evangelise to strengthen their own faltering beliefs.Their study also casts the acts of advocates in a different light. They might be outwardly trying to change the minds of other people but their actions could be equally about bolstering their own beliefs.
Die Beobachtung ist ja schon ziemlich alt, dass Missionare häufig sich selber überzeugen wollen, gar nicht so die anderen. Das ist eher ein Seiteneffekt. Aber jetzt gibt es das halt auch mal als wissenschaftliche Studie.Ich finde das vor allem wichtig, wenn man gerade von jemandem missioniert wird. Dann muss man daran denken, dass das üblicherweise nur so aussieht, als sei der sich seiner Sache sicher, in Wirklichkeit zerfällt das alles unter seinem Eigengewicht, wenn man ein paar peinliche Fragen stellt. Das war ja schon immer so, dass man schlaue Leute daran erkennt, dass sie sich ihrer Sache eben nicht völlig sicher sind. Je mehr man weiß, desto mehr weiß man, wie viel man noch nicht weiß. Siehe auch: Dunning-Kruger-Effekt. (Danke, Konrad)
"Wenn Sie ein Basis-Kartenlesegerät ohne eigene Tastatur in Verbindung mit der AusweisApp verwenden und sich nicht sicher sind, ob Ihr Computer frei von Schadsoftware ist, nutzen Sie zur Eingabe der PIN die in der AusweisApp integrierte Bildschirmtastatur." Als ob man Mausklicks nicht mit einer Spionagesoftware abfangen kann.Das ist ja schonmal ein echter Schenkelklopfer, aber die haben auch ihre Ops verkackt:
"Wäre das hier eine Bank, dann würde ich sofort die Bank wechseln. Die Dinger sind unglaublich langsam. Heute morgen wurde die Warnung rumgeschickt, nicht alle Geräte auf einmal zu starten. Das würden die Zertifikats-Server bei der Bundesdruckerei nicht verkraften." Am Netzanschluss liegt es nicht, das Rathaus von Westerkappeln hat DSL 6000, ganz anders als wir draußen auf dem Bauernhof mit unserem Bauern-DSL.Das ist ja wie damals im Osten! :-)
Ich finde es immer schade, dass da die geifernden Linux-Horden die Kommentare mit ihrer schlechten Laune vergiften, anstatt da mal konstruktiv tätig zu werden. Es ist übrigens bei weitem nicht so, dass Linux weniger Sicherheitslücken hat, wie der eine oder andere vielleicht in seiner naiven Unwissenheit annimmt. Es gibt nur noch keinen Trojaner-Markt, weil der Marktanteil zu gering ist. Genau das gleiche Phänomen, das auch Apple im Moment noch schützt.
"Was mir Sorgen macht, ist die Senkung der Gewaltschwelle bei den Demonstranten", sagte de Maizière am Dienstag im ZDF-"Morgenmagazin". Wenn Tausende Schüler von ihren begüterten Eltern Krankschreibungen bekämen, um zu demonstrieren, "dann ist das ein Missbrauch des Demonstrationsrechts".Zwei Sätze, zwei fundamentale Lügen. Applaus, Herr Innenminister, so dreist hat uns seit Kohl keiner mehr ins Gesicht gelogen.
Aber es wird noch besser:
Die Organisatoren von Demonstrationen müssten sicherstellen, dass keine Gewalttäter teilnehmen. Friedliche Demonstranten müssten sich zudem von Gewaltgruppen lösen, damit die Polizei eingreifen könne.Genau das ist ja auch geschehen! Die Demonstranten haben sich von der gewaltbereiten Quartzsandhandschuh-Pfefferspray-Wasserwerfer-Polizei zu lösen versucht, und die Organisatoren hätten auch lieber ohne die Polizei demonstriert.
Oh und wo wir gerade bei den Parallelen zur Musikmafia waren: Sony, Mitglied von beiden, mahnt auch auf der Softwareseite seine Kunden ab. Glückwunsch, Sony, so schafft man glückliche Kunden, die die nächste Generation auch wieder kaufen!1!!
Wir fordern die Westberliner Polizei [*geht im Gejohle unter*] energische Maßnahmen zu ergreifen, zur sofortigen Einstellung des Beschießens des Hoheitsgebiets über die Grenzsicherungsanlagen [*Applaus der Besetzer*]. Sie gefährden mit ihren Handlungen Leben und Gesundheit der Angehörigen der Grenztruppen [Zwischenruf: "und was ist mit uns? Du Dummkopf!"], der Bevölkerung des grenzüberschreitenden Diplomatenverkehrs im Bereich der Friedrich-/ZimmerstraßeDen Hintergrund dieser Aktion kann man sich auch bei der Wikipedia durchlesen, letzter Absatz in dem Abschnitt. Ich zitiere den mal vollständig, weil das so bizarr ist:
Am Morgen des 1. Juli 1988 wurde das Lenné-Dreieck von mehreren Hundertschaften der West-Berliner Polizei geräumt. 182 der Besetzer kletterten als Mauerspringer über Barrikaden an der Mauer nach Ost-Berlin. Im Todesstreifen standen Lastwagen bereit, die die flüchtigen Besetzer aufnahmen. Die Besetzer wurden in eine Betriebskantine in Ost-Berlin gebracht, wo ihnen ein Frühstück serviert wurde. Anschließend verließen sie in kleineren Gruppen die DDR über reguläre Grenzübergänge. Im Vorfeld der „Fluchtaktion“ hatten Vertreter der Demonstranten Kontakt zum MfS aufgenommen, das sich auf den Übertritt vorbereitete, ohne ihn aktiv zu unterstützen.
"Where is that ugly thing?", fragte der Minister dabeiDaneben eine Merkel mit Gollum-Gesichtsausdruck, oder von mir aus auch irgendein anderer unser ganzen gutaussehenden Poliker ("Politik macht schön").
Ich bin da nicht so drinnen, aber der Absatz in dem Update kommt mir im Moment nicht glaubwürdig vor. Mein Stand ist, dass die "Ende-zu-Ende"-Verschlüsselung eben nicht von Ende zu Ende ist, sondern von (per Trojaner fernsteuerbarem) "Bürgerclient", äh, der "Ausweis-App", und dem Webseiten-Anbieter. Angesichts dessen erscheint mir diese Aussage gerade nicht nachvollziehbar:
Auch muss bei Verwendung des Basislesers kein zusätzliches Sicherheitsprotokoll wie U-Prove verwendet werden, um eine Absicherung der übertragenen personenbezogenen Daten zu erreichen, da der neue Personalausweis grundsätzlich eine Ende-zu-Ende Sitzungsverschlüsselung und Integritätssicherung erzwingt.Bei einem einfachen Kartenleser gibt es kurz gesagt keine Möglichkeit, wie der Ausweis irgendwas erzwingen kann. Selbst wenn man den die Daten kryptographisch signieren lässt, dann kann der Trojaner ja immer noch die zu signierenden Daten ändern, bevor sie den Ausweis erreichen. Wenig erbaulich ist auch das Name Dropping, mit dem sie da zu punkten versuchen:
Derzeit kommen 256-Bit Schlüssel für Elliptische Kurven und AES-128 zum Einsatz.Denn für Integritätssicherung verwendet man eine Hashfunktion. Elliptische Kurven sind ein Public-Key-Verfahren und AES-128 ist ein symmetrischer Blockcipher. Ich vermute daher, dass es sich hier um eine PR-Nebelkerze handelt. Wer sich selbst ein Bild über die Technik machen will, der findet bei den Aufzeichungen vom 26C3 das nötige Bildungsmaterial.
Update: In dem Video erklärt Henryk, dass es tatsächlich ein Protokoll von Dienstanbieter PC/Lesegerät bis Karte gibt, das heißt PACE, aber dafür braucht man ein PACE-fähiges Lesegerät, und die gibt es noch nicht. Bzw. gab es sie noch nicht, als Henryk den Vortrag hielt, zum Jahreswechsel. Er meint, sowas kostet dann so 200 € und er rechnet daher nicht damit, dass das irgendjemand einsetzen wird.
Update: So, Henryk erklärt mir das gerade. PACE ist zwischen Karte und Leser (wenn man einen PACE-fähigen Leser hat), ansonsten zwischen Karte und PC. Nach PACE kommt noch eine Terminal Authentication, bei der sich der Web-Dienst gegenüber der Karte authentisiert, und eine Chip Authentication, bei der sich der Personalausweis gegenüber der Gegenstelle authentisiert, und wenn das durch ist, gibt es in der Tat einen Ende-zu-Ende-Kanal vom Perso bis zum Webanbieter. Da hat das BSI also Recht und ich ziehe mein Gemecker zurück. Hätte ich mich mal vorher informieren sollen :-)
Übrigens, Hashfunktionen sind SHA-1, SHA-224 und SHA-256, je nach Protokoll-Einsatzort.
m(
Oh und wo wir gerade bei behämmerter Bürokratie sind: das Innenministerium hat sich entschlossen, den "Bürgerclient" umzubenennen. Das sei ja halb Englisch, und das passe nicht zu einem deutschen Leuchtturmprojekt. Also hat man eine Agentur beauftragt. Und der neue Name ist jetzt: … *trommelwirbel* "Ausweis-App". Deutscher geht es ja wohl kaum!1!!
If there are any buffer overflows in your program, you should assume they are exploitable and fix them. It is much harder to prove that a buffer overflow is not exploitable than just to fix the bug.
WHOA! Das ist eine Einsicht, die bei den meisten Firmen noch nicht angekommen ist. Die fangen dann immer noch zu verhandeln an, ob sie diesen Bug hier wirklich fixen müssen.
TaintDroid recently identified that 15 of 30 randomly selected, popular, free Android Marketplace applications sent users' private information to remote advertising servers and two-thirds of the apps handled data in ambiguous ways.
Now we discover that they faced yet another peril in the shape of bombs planted on their transport ships by Britain’s Secret Intelligence Service, better known as MI6.
Whoa. Offenbar war das Appeasement-Politik gegenüber den Arabern und ihren Ölvorkommen.
Apparently about 12,000 women per year (Per YEAR!!! On average!) get arrested for breastfeeding in public in the United States. Another 30,000 women per year get arrested for being "topless" under various "indecency" laws across many states in the US.
Ab in den Knast mit den Frauen! Die sollen gefälligst Pornos verkaufen, wenn sie ihre Brüste so gerne entblößen!1!! (Danke, Constanze)
Seit das Bundesverfassungsgericht im März dieses Jahres entschieden hat, dass personenbezogene Daten aus Internettransfers gelöscht und nicht mehr auf Vorrat gespeichert werden dürfen, hat sich die Aufklärungsrate von Internetkriminalität dramatisch negativ entwickelt: Von 1000 Verdächtigen werden nur noch sieben Personen ermittelt.Erstmal die gute Nachricht: ja, das Verfassungsgericht hat im März entschieden.
Dann die weniger guten: der Rest ist Bullshit. Das Verfassungsgericht hat leider nicht entschieden, dass Daten nicht mehr gespeichert werden dürfen, sie haben nur das dilettantische und offensichtlich verfassungswidrige CSU-Gesetz zum Sperrmüll gefahren. Bezüglich der Aufklärungsquote sagt es ja schon alles, dass der gute Herr Müller nicht die vorige Aufklärungsquote und seine Quellen sagt, sondern uns nur ins Gesicht lügt behauptet, es habe sich alles "dramatisch negativ" entwickelt.
Und wer das alles noch nicht schlimm genug findet, für den hat Herr Müller noch folgenden (fettgedruckten) Appell:
Viel schlimmer ist jedoch der Schaden, der darüber hinaus durch Kinderpornografie unzähligen Kinderseelen zugefügt wird.An Widerlichkeit kommt halt keiner an die CSU heran. Nicht mal der Pofalla. Das kann man sich gar nicht vorstellen, dass die mal über 50% der Stimmen in Bayern hatten!
Among the methods considered are voice print analysis, photo analysis, heartbeat analysis (!), hacking attempts, or even "noting particular activities that can indicate suspicious behavior."
Na DAS wollen doch bestimmt alle Apple-User! Dass Apple ihre Biometriedaten inklusive eines EKG von ihnen bei den Akten hat! Eigentlich geht es natürlich um "hacking attempts", also jailbreaking. Also bereitet euch schonmal darauf vor: Apple wird euch eure Spielzeuge kaputtmachen, wenn ihre Software glaubt, ihr seid Hacker. Und wann hatte Apple-Software je schonmal Fehler? Nie, sage ich! Nie!!
Sun didn't file many patents initially. But then we got sued by IBM for violating the "RISC patent" - a patent that essentially said "if you make something simpler, it'll go faster". Seemed like a blindingly obvious notion that shouldn't have been patentable, but we got sued, and lost.
Das hätte Sun fast getötet. Also hat Sun sich hingesetzt und jeden Bullshit patentiert, der ihnen vor die Flinte kam. Denn so funktioniert das System. Jeder sammelt so viele Trivialpatente, wie er finden kann, damit er sich wehren kann, wenn IBM vorbeikommt. IBM ist der größte Patenttroll auf dem Planeten. Die haben das von einer Kunstform zu einem Geschäftsmodell entwickelt. Die ganzen modernen Patenttrolle sind bloß müde Abklatsche dessen, was IBM tut. Hier ist ein schöner Forbes-Artikel zu IBM und Sun und Patenten.Sun lief nicht nur los und patentierte Dinge, sie machten einen inoffiziellen Wettbewerb, wer mit dem beklopptesten Patentantrag durchkommt. Das ist die Quelle der Sun-Softwarepatente, die Oracle jetzt als Basis für ihre Schutzgeldforderungen gegen Google benutzt.
Und auf einen Satz will ich mal hinweisen, weil er in letzter Zeit immer häufiger auftritt, in verschiedenen Kontexten:
It's a sad comment on the morality of large modern software companies that Microsoft, while I don't think they've gotten any better since Sun sued them, probably has the high ground.
Microsoft war jahrzehntelang das Evil Empire, das es zu bekämpfen galt. Microsoft hat übrigens eine ähnliche Geschichte mit Softwarepatenten wie Sun. Ich weiß nicht, ob die auch mal von IBM ausgenommen wurden, aber Microsoft hat jahrelang keine Patente angemeldet, absichtlich, weil das eine Ingenieursfirma war, und die Ingenieure alle die Idee Scheiße fanden. Und dann sind einmal alle Patenttrolle der Weltgeschichte über sie hergefallen, weil sie auf soviel Bargeldreserven saßen. Und seit dem meldet auch Microsoft Patente an. Nur verklagt Microsoft mit ihren Trivialpatenten niemanden, im Gegensatz zu Apple. Soweit sind wir gekommen in dieser Industrie, dass ausgerechnet Microsoft mit gutem Beispiel vorangeht.Update: Stimmt so nicht, Microsoft verklagt doch auch andere mit ihren Trivialpatenten.
Es erlaube, "Finanztransaktionen, die den internationalen Terrorismus fördern, wieder" nachvollziehen zu können. "Das heutige Inkrafttreten stellt … einen wichtigen Schritt für die Gewährleistung der Sicherheit sowohl der EU-Mitgliedsstaaten als auch der USA dar."Endlich können wir wieder sicher Mercedes fahren.
Oh und wo wir gerade bei Terroristen waren: Jake Appelbaum hat an der US-Grenze Ärger gekriegt. Sie haben ihm sein Telefon weggenommen und ihn stundenlang verhört. Seinen Laptop durfte er behalten, weil er ohne Festplatte darin einreiste, aber seine drei Telefone haben sie ihm abgenommen. Money Quote:
Officials from the Immigration and Customs Enforcement and the U.S. Army then told him he was not under arrest but was being detained, the sources said.
Riiiight. Jake hatte zuletzt auf der HOPE Julian Assange vertreten, als klar wurde, dass das FBI sich mit ihm "unterhalten" möchte. Jake ist US-Bürger, insofern hat er da nur die freundschaftliche Behandlung gekriegt. Ausländer wären vermutlich direkt in Richtung Guantanamo verschwunden worden. Change we can believe in!Auf Wikileaks ist übrigens zeitlich passend eine Datei namens "insurance.aes256" aufgetaucht. Da geht es nicht um Versicherungsdaten, sondern das ist eine "Lebensversicherung" für Wikileaks-Aktivisten, eine unverholene Drohung, dass wenn jemandem etwas passiert, das Passwort für diese Datei veröffentlicht wird. Ob das jetzt taktisch klug war, werden wir sehen. Nach dem Zuckerbrot, dass sie 15000 Akten als Teil ihrer Schadensbegrenzungs-Prozedur zurückgehalten haben, ist das dann jetzt halt die Peitsche. Die Presse ergeht sich gerade in wilden Spekulationen, was da drin sein könnte. Vermutlich sind es nur lauter Nullen und das ist nur ein schöner Medien-Fnord. Wer weiß. Währenddessen versucht das US-Militär weiter Stärke zu demonstrieren und verhört die behinderte Mutter von dem Manning. So gewinnt man die "hearts and minds" der Bevölkerung!
Update: Oh übrigens hat Julian der Presse erzählt, sie hätten die Daten vorab dem Weißen Haus angeboten, damit die auf Namen von Informanten und Unschuldigen zeigen können, die sie dann rausgefiltert hätten. Das Weiße Haus hat abgelehnt. Damit hat Wikileaks ihnen das "Blut an den Händen" Argument elegant aus der Hand geschlagen.
Man muss sich doch generell fragen: Was bleibt denn überhaupt heute noch geheim? Ob das jetzt im Kriegsfall ist, ob das Bankenkonten sind, was immer.Das war ja zu erwarten, dass das die Hauptbefürchtung der CDU ist, dass ihre schwarzen Konten auffliegen könnten :-)
Money Quote 2:
Wie wollen Sie denn noch geheime Aktionen durchführen, wie will Politik oder Militär strategische, taktische Entscheidungen vorbereiten, wenn man heute immer damit rechnen muss, dass es irgendwo jemanden gibt, der über elektronische Instrumente solche Informationen vermarktet? Das mag zwar die Öffentlichkeit interessieren, die Politik ist nur aufgefordert und das Militär ist aufgefordert, nur das zu tun, was rechtens ist, denn sie müssen heute - und darin liegt, wenn Sie so wollen, der Vorteil der Veröffentlichung - damit, wenn es öffentlich wird, auch akzeptabel bleiben.Äh… das erinnert ein bisschen an Loriots grandiose Rede. *verhaspel* *stammel* Und er hat ja völlig Recht! Das ist ja eine Schande, wenn sich Politik und Militär plötzlich nur noch rechtens verhalten dürfen!1!! (Danke, atoth)
<img src="logo.svg">und alles wird gut, aber weit gefehlt! Stellt sich raus, dass Chrome das kann, Firefox aber nicht. Firefox erwartet ein object-Tag. Was für ein Hirnriss!
Aber das ist noch nicht alles. Stellt sich raus, dass Safari SVG kann (ist ja auch Webkit wie Chrome, damit war zu rechnen), aber NICHT auf dem Iphone oder Ipad. WTF?! Gerade das Ipad haben sie doch als Browser-Device verkauft!
An der Safari-Version kann man es nicht festmachen. Die Plattformstrings werden schnell unübersichtlich, es gibt da auch noch irgendein webtv-Zeugs, kenn ich alles nicht. Also ist da jetzt eine Javascript-Browsererkennung drin. Wie furchtbar ist DAS denn alles?! Ich dachte, die Zeiten seien vorbei im Web?
Also aus meiner Sicht: Schande über Apple und Firefox.
Und zur Krönung des Tages kommt hier auch noch einer an, der benutzt Epiphany mit Webkit, und das gibt sich als Safari unter Linux aus. Das bau ich da jetzt nicht ein. Was für ein Müll dieses Web doch ist.
Oh und bei Firefox ist offenbar das UI für das audio-Tag kaputt und man kann da nicht die Lautstärke regeln. Na suuuuuper. Bin ich wirklich der erste, der das Audio-Tag benutzt?! Ist das echt noch keinem aufgefallen?!?
Und, äh, mal unter uns: nicht nur Apple. Auch Android macht Location Detection via WLAN. Das ist sozusagen Standard.
Gut, Google hat auch die Inhalte gesnifft, das ist noch mal ein zusätzlicher Schritt. Aber wenn ich hier lese,
Am 21. Juni hatte Apple eine aktualisierte Fassung seiner Datenschutzrichtlinien veröffentlicht. Wer ihr zustimmt, räumt Apple das Recht ein, seine Positionsdaten zu speichern und an Partnerunternehmen weiterzugeben.… das riecht auch nicht gerade gut.
Vermutlich beißt sich Google gerade in den Arsch, dass sie das aus ihren Autos gemacht haben und nicht über Android Crowdsourcing.
Natürlich entspinnt aus so einer Meldung direkt eine Diskussion in den Apple Foren, nicht nur eine sogar. Und Apple löscht sie alle. Da weiß man doch, was man hat!
Must have strong problem solving skillsRelated: noch ein bisschen Internethumor dazu.
Update: Weil jetzt hier die Mails aufschlagen, dass die jemanden suchen, der Excel benutzt: das ist doch sinnvoll. Die wollen jemanden, der keine Schmerzen mehr fühlt und der sich auch sinnlosesten politischen Regulatorien unterwirft. (Danke, Scusi)
By appearances, the act of holding the phone impares signal strength. I'm not so bothered because I typically use a Bluetooth headset rather than hold a phone.
Genau. Wenn euch das betrifft, dann seid ihr selber Schuld. Keinesfalls hat Apple einen Fehler gemacht, hört ihr?Update: If I hold the phone out from my palm, but sill firmly gripped, the number of bars diminishes only slightly.[…]
Otherwise, my initial reaction to iPhone 4 is favorable.
Update: Apples Werbung zeigt hilfreicherweise, wie man das falsch hält.
Also, liebe Leser, was soll ich da mal hintun? Das schreit ja geradezu nach einem Goatse oder Tubgirl o.ä. Oder kann man da auch ein MP4 hintun und das erscheint dann animiert? Oder hat jemand ein schönes Bild eines gammeligen Apfels? :-)
Wir nennt man das eigentlich, was da passiert? Ist das Co-Abhängigkeit, wie wenn geschlagene Frauen bei ihrem Mann bleiben?
Update: Es ist natürlich Stockholm-Syndrom, nicht Co-Abhängigkeit, wie mir gerade diverse Leute mailen :-)
Update: Boah was habe ich für fiese, gehässige Leser! Die Vorschläge gehen von "linke auf ein 2 GB Movie" über "linke auf ein 10kx20k JPEG" (weil das Iphone angeblich resized) bis zu "linke auf einen Exploit". OK, und ein paar Bildvorschläge kamen auch rein :-)
Nein, ich linke nicht auf Exploits, und ich will Apple-Kunden auch nicht die Telefonrechnung platzen lassen, die sind schon geschlagen genug. Nur ein bisschen Spaß, keine Widerlichkeiten! Denn bei 0days sind wir in einer "wer ohne Schuld ist, werfe den ersten Stein" Situation, wenn ich damit anfange, dann müsste ich paritätisch auch die anderen Plattformen bespaßen, und dann hat gar keiner mehr Spaß am Webklicken.
Popcorn! (Ist von Oktober 2009. Keine Ahnung, ob das noch aktuell ist)
Update: Anscheinend ist das noch aktuell.
last November, the Second Circuit Court of Appeals upheld the dismissal of his lawsuit on the ground that courts have no right to interfere in these decisions of the Executive Branch. That was the decision which the U.S. Supreme Court let stand today, ending Arar's attempt to be compensated for what was done to him.
Das ist schon ziemlich unglaublich, finde ich.
Und bei uns denken sie ernsthaft über das Abschaffen der Wehrpflicht nach. Dass ich das noch erleben darf!
Die FTC will Untersuchungen gegen Apple einleiten, weil sie Adobe unfair im Wettbewerb behindern.
Und in Berlin gibt es jetzt schon Splitter-Sprengsätze gegen Polizisten auf Demonstrationen. Was zur Hölle ging denn bitte in den Leuten vor, die diese Bombe geworfen haben? Im Fernsehen haben sie dazu ein Youtube-video gezeigt. Wenn das einen Meter weiter links hochgegangen wäre, dann hätten wir jetzt zivile Todesopfer. Die Polizisten hatten eine fette Rüstung an und sind trotzdem lebensgefährlich verletzt. Krasse Kacke, wer macht denn bitte sowas? Das ist doch klar, dass ab jetzt auf Demos NOCH mehr Oppression stattfinden wird! Das war ja wohl ein Bärendienst. Und der Sprengsatz war gefährlich genug, dass ich auch nicht an eine False Flag Operation denken will. Meine Güte, da hab ich ja gleich gar keine Lust mehr, überhaupt noch mal auf eine Demo zu gehen, wenn man da so um sein Leben fürchten muss. Na mal gucken, was dazu noch so rauskommt.
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-1297).
Note: There are reports that this issue is being actively exploited in the wild.This update resolves a memory exhaustion vulnerability that could lead to code execution (CVE-2009-3793).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2160).
This update resolves an indexing vulnerability that could lead to code execution (CVE-2010-2161).
This update resolves a heap corruption vulnerability that could lead to code execution(CVE-2010-2162).
This update resolves multiple vulnerabilities that could lead to code execution (CVE-2010-2163).
This update resolves a use after free vulnerability that could lead to code execution (CVE-2010-2164).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2165).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2166).
This update resolves multiple heap overflow vulnerabilities that could lead to code execution (CVE-2010-2167).
This update resolves a pointer memory corruption that could lead to code execution (CVE-2010-2169).
This update resolves an integer overflow vulnerability that could lead to code execution (CVE-2010-2170).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2171).
This update resolves a denial of service issue on some UNIX platforms (Flash Player 9 only) (CVE-2010-2172).
This update resolves an invalid pointer vulnerability that could lead to code execution (CVE-2010-2173).
This update resolves an invalid pointer vulnerability that could lead to code execution (CVE-2010-2174).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2175).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2176).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2177).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2178).
This update resolves a URL parsing vulnerability that could lead to cross-site scripting (Firefox and Chrome browsers only) (CVE-2010-2179).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2180).
This update resolves an integer overflow vulnerability that could lead to code execution (CVE-2010-2181).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2182).
This update resolves a integer overflow vulnerability that could lead to code execution (CVE-2010-2183).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2184).
This update resolves a buffer overflow vulnerability that could lead to code execution (CVE-2010-2185).
This update resolves a denial of service vulnerability that can cause the application to crash. Arbitrary code execution has not been demonstrated, but may be possible. (CVE-2010-2186).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2187).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2188).
This update resolves a memory corruption vulnerability that could lead to code execution (CVE-2010-2189).
Note: This issue occurs only on VMWare systems with VMWare Tools enabled.
This update resolves a denial of service issue (CVE-2008-4546).
Ich habe "code execution" mal hervorgehoben, weil das die Totalschaden-Kategorie ist. Schon EIN Bug dieser Kategorie ist Totalschaden. Selbst Apple braucht mehr Pakete, um so viele Totalschaden-Bugs anzuhäufen. Ich komme aus dem Stand nur auf eine Firma, die jemals eine derartige Totalschaden-Dichte erreicht hat. Oracle.Update: Oh toll und 64-bit-Support haben sie offenbar heimlich, still und leise gecancelt. Tja, dann halt kein Flash mehr.
Und deshalb, liebe Leser, kauft man seine Produkte bei Apple. Im Moment sieht es aus, als sei AT&T Schuld. Die BESTEN der BESTEN der BESTEN, SIR!
Ich lese da eine gewisse Verzweiflung raus.
Aber das Video dort funktioniert nicht. Warum? Weil Apple es absichtlich kaputtgemacht hat. Klickt mal auf die Video-Demo drauf. Spielt nicht. Rechtsklickt mal auf das Video und lasst euch die URL ausgeben. Ist bei mir diese hier. Wenn man sich diese Datei per HTTP holt, kriegt man eine MOV-Datei. MOV, das wissen vielleicht nicht alle, ist die Basis von MP4, nicht zuletzt auf Apples Drängen hin. Dass das .mov heißt, ist also nicht der Grund, wieso Chrome das nicht spielt. Auch nicht der MIME-Type.
Wenn ich mir die Datei per wget hole und mal reingucke, ist die bloß 359 Bytes groß, und beinhaltet einen Redirect auf diese Datei. Leider ist der Redirect relativ, da steht also nur der Dateiname drin, nicht die komplette URL. mplayer kann das übrigens, wenn ihr auf der Kommandozeile
mplayer http://movies.apple.com/media/us/html5/showcase/2010/demos/apple-html5-demo-tron_legacy-us-20100601_r848-2cie.moveingibt, spielt der den Trailer. Bei mir zumindest. Hängt vermutlich auch von der mplayer-Version ab. Aber Chrome unterstützt das halt nicht. Nun, erzeugen wir doch mal eine kleine Datei, die das Video-Tag mit der Ziel-URL des Redirects benutzt: hier. Das spielt Chrome dann plötzlich.
Da der Redirect relativ ist und nicht auf einen anderen Server verlinkt, hat das auch mit CDN-Optimierung o.ä. nichts zu tun. Der Redirect erfüllt genau keinen Zweck (außer Chrome auszuschließen). Für den Benutzer ergibt es einen zusätzlichen HTTP Round Trip, für Apple bedeutet es einen HTTP-Zugriff mehr, d.h. mehr Netzwerkkosten und mehr Serverlast. Nicht viel, aber doch vorhanden.
Also, liebe Apple-Apologeten. Dann erklärt mir doch mal, wieso Apple das macht. Außer natürlich, um uns alle zum Installieren von Quicktime zu zwingen? Na? Fällt euch auch nichts ein? Na sowas.
Das gilt übrigens für die gesamte Apple-Trailer-Site. Wieso benutzt das noch Quicktime und nicht HTML5-Video, wenn Apple angeblich so ein Verfechter offener Standards ist? Weil es da nie um die Trailer ging. Sondern um Quicktime-Installationsbasis.
Update: Oh übrigens, ein besonders zynischer Leser hat mir dieses hilfreiche Schaubild gemailt :-)
Update: Eine Sache will ich auch mal sagen: die Demos sind visuell ziemlich geil, die Apple da gemacht hat.
These web standards are open, reliable, highly secure, and efficient.
Gesehen? So, dann klickt mal auf einen der Showcases drauf. Hier ist, was ich da kriege. Da weiß man doch, warum man offene Standards unterstützen will! (Danke, Kilian)
Update: Die erste Zuschrift ist angekommen: Megaphone Desktop Tool.
Die aktuelle Argumentationslinie besteht im wesentlichen aus zwei Argumenten. Erstens: wir waren im Recht die zu entern, weil es nach internationalem Seekriegsrecht erlaubt ist, ein Schiff zu entern, das eine Blockade durchbrechen will. Zweitens: die Leute auf dem Boot haben uns mit Messern und Brechstangen angegriffen.
Wenn ich das so lese, frage ich mich, ob die nicht ein Joint Venture mit den somalischen Piraten gründen sollten. Ich stelle mir das ungefähr so vor: die Piraten erklären die gesamte Gegend unter Blockade. Dann entern sie Schiffe, um sie zu kapern. Wenn sich jemand wehrt, erschießen sie ihn, weil er sich gewehrt hat. Nach der israelischen Argumentation wäre das alles legal. Und wenn das Boot geentert und die Besatzung erschossen ist, dann ist es Treibgut und gehört dem Finder. Alles völlig legal, seht ihr?
Ich bin ja ehrlich gesagt schockiert, dass die sich überhaupt trauen, mit so einer Argumentation an die Öffentlichkeit zu treten. Das soll jetzt verwerflich sein, sich gegen Leute zu wehren, die auf internationalen Gewässern dein Boot zu entern versuchen, offensichtlich bewaffnet und gewaltbereit?! Das können die ja wohl nicht ernst meinen! Und guckt mal, wie schnell die mit diesem San Remo Bullshit am Start waren! Das muss man echt würdigen, was die da für eine Bullshit-Verbreitungs-Infrastruktur am Start haben. Das San Remo Manual erklärt übrigens auch, wann eine Blockade legal ist. Aber den Aspekt ignoriert Israels PR natürlich.
Update: Hier wird noch ein PR-Tool beschrieben. Der setzt dann bei Facebook Israel-freundliche Status-Meldungen für dich ab.
Oh und wo wir gerade bei Cisco waren: auch Ciscos Gebäudeautomatisierungssystem befindet sich voll auf dem Qualitätsniveau, das man von Cisco-Lösungen gewohnt ist. Weia.
Und was wir in diesen Experimenten finden, ist, dass Sie diesen Konflikt hinter sich lassen können, dass sich den sozusagen einfach abwaschen können.Da frage ich mich natürlich, ob das auch umgekehrt funktioniert, ob man so Rückschlüsse über Leute ziehen kann, die sich häufig die Hände waschen.[…]
Wenn sie sich die Seifenflasche nur ansehen, dann sehen unsere Ergebnisse so aus wie in Hunderten von Dissonanzexperimenten zuvor: Sie finden die Marmelade, die sie gewählt haben attraktiver als die, die sie nicht gewählt haben. Sobald sie sich allerdings die Hände waschen und die Seife auf diese Weise testen, sieht es so aus, als ob sie alle ihre Konflikte weggewaschen hätten und sie kein Bedürfnis mehr haben, nun die gewählte Marmelade als so viel besser zu sehen als die nicht gewählte Marmelade. Sie können also sozusagen die Dissonanz wegwaschen und sich die kognitive Arbeit der Rechtfertigung sparen.
Der Einsender rät mir außerdem, Apple-Kunden eine bessere Hygiene nahezulegen, aber das wäre ja fies und gemein, sowas würde ich NIE machen!1!! (Danke, Markus)
Es ist gar nicht überzubewerten, was das für ein wichtiger Schritt für uns alle ist. Google als Betreiber von Youtube weiß ja auch, dass bis 2012 eine Übergangsfrist läuft, in der sie auf Lizenznerv verzichten können. Und bis dahin muss mal eine Alternative her. Und Google sitzt nicht nur wegen Chrome, sondern auch wegen Youtube am fettesten Hebel im Internet. Wenn die umstellen, dann werden die Browser-Hersteller alle folgen. Und tatsächlich haben sie zum Launch schon Firefox und Opera als Partner gewonnen. IE kann man mit Chrome Frame abbügeln. Bleibt nur Safari, und die paar Apple-Spacken fallen in der Statistik ja eh nicht weiter auf, wenn die keine Videos mehr kriegen. Merken die eh nicht, die haben ja auch nicht gemerkt, wie scheiße der Quicktime-H264-Encoder ist.
Rein technisch gesehen ist natürlich nicht alles Gold, was glänzt. Aber ich hoffe trotzdem, dass die x264-Leute das übernehmen und daraus einen Goldesel für uns alle bauen. Vor allem haben die auch das Knowhow, um die Spec so zu ändern, dass sie Patente vermeidet.
Update: Microsoft will in IE9 auch WebM supporten (WebM ist der Marketingname für VP8)
Update: Auch die "Bild" muss für Apple zensieren, obwohl Springer der größte Firmenkunde Apples in Europa ist.
Das heißt, beide Theorien waren korrekt. Apple stellt ein verkacktes API zur Verfügung (man muss den VUY12-Frame von der Grafikkarte kopieren und dann muss man ihn wieder hinkopieren, Grafikkarten sind fürs Schreiben in den Grafikspeicher optimiert, nicht fürs Lesen; im Übrigen supported das ranzige Apple-API offenbar manche Auflösungen nicht, z.B. 864x480, wie es von Youtube kommt). Und Adobe kann YUV12 nur manuell rendern. Das ist grotesk, die X Video Extension z.B. kann das seit 20 Jahren. Soll das ein Witz sein?! Die können kein YUV12 in Hardware rendern!?!? Was für Verlierer.
Das ist natürlich alles gequirlter PR-Bockmist, aber in Neusprech-Fragen recht unterhaltsam. Ich zitiere mal ein paar Stellen, zur Aufmunterung:
Adobe’s Flash products are 100% proprietary. They are only available from Adobe, and Adobe has sole authority as to their future enhancement, pricing, etc. While Adobe’s Flash products are widely available, this does not mean they are open, since they are controlled entirely by Adobe and available only from Adobe. By almost any definition, Flash is a closed system.
Guckt mal, wie häufig er da Adobe schreibt! Ersetzt mal Adobe mit Apple und löscht das Flash weg. Komisch, passt immer noch 100%!Though the operating system for the iPhone, iPod and iPad is proprietary, we strongly believe that all standards pertaining to the web should be open.
Und deshalb setzen sie auf … *Trommelwirbel*What they don’t say is that almost all this video is also available in a more modern format, H.264, and viewable on iPhones, iPods and iPads.
All das Offenheitsgefasel und dann nehmen sie… H.264! Den mit den meisten Patenten und Pferdefüßen versehenen Standard in der Geschichte der Menschheit! Was für eine Lachnummer!Ich bin sicher kein Freund von Adobe, aber dass Steve Jobs anpisst, weil sie H.264 in Software dekodieren, das ist schon wirklich grotesk. Weil Apple bisher kein API angeboten hat, mit dem Adobe das in Hardware hätte machen können! Jetzt gibt es ein API und Flash supported es auch sofort und ist immer noch viel lahmer als Quicktime. Dafür gibt es zwei denkbare Erklärungen. Entweder Adobe ist zu blöde, ein API aufzurufen, und da einen Sack H.264-Daten reinzureichen. Oder Apple exportiert für andere Leute ein schlechteres API, damit ihre eigenen Produkte besser aussehen. Wahrscheinlich ist es eine Kombination von beidem, aber wahrscheinlicher erscheint mir letzteres.
Es ist mir ein Rätsel, wieso immer noch Leute Apple-Produkte kaufen. Was muss passieren? Muß Steve Jobs persönlich zu euch nach Hause kommen und aufs Sofa kacken? Oder würdet ihr das auch noch wegdiskutieren?
Also haben Bug-Finder angefangen, der Öffentlichkeit zu erzählen, dass sie auf einem Bug sitzen, den sie für kritisch halten. Das interessiert normalerweise zu wenig Leute, um Firmen wie Apple zu motivieren.
Also gibt es das Konzept Full Disclosure. Man erzählt der Öffentlichkeit direkt von dem Bug, und zeigt auch genau, wo er ist. Dann haben es die Hersteller plötzlich immer sehr eilig und sind auch plötzlich überraschend in der Lage, innerhalb von Tagen einen Fix zu produzieren. Natürlich sind die Hersteller über sowas unglücklich und heulen rum. Das führt dazu, dass viele Securityfirmen ihren Mitarbeitern untersagen, ihre Bugs zu veröffentlichen, bevor es einen Fix vom Hersteller gibt, weil sie sonst womöglich weniger Aufträge kriegen. Meine persönliche Lösung ist, dass ich gar keine Bugs veröffentliche, weil ich gar nicht erst unbeauftragt nach Bugs suche. In Open Source Software, wenn ich einen Bug finde, file ich ihn, aber in Closed Source Software gucke ich gar nicht erst. Wenn was nicht geht, investiere ich keine Zeit in Debuggen, warum es nicht geht. Unter dem Strich verlieren also alle gegenüber Full Disclosure.
Nun, warum erzähle ich das alles? Weil man hier gerade hervorragend sehen kann, wie der nächste Schritt aussieht. Das ist ein Blog von Verizon, von deren Sparte, die Security verkauft. Das ist also kein Hersteller, sondern eine Security-Firma, sozusagen. Und die sind jetzt soweit, dass sie nicht nur Full Disclosure untersagen, sondern offen gegen Full Disclosure auftreten und sogar Hacker als Kriminelle und Bug-Veröffentlicher als "Narcissistic Vulnerability Pimp" beschimpfen.
Das ist so das schlechtestmögliche, was sie hätten sagen können. Es gibt auch für sie keinen Grund, das so zu sagen, denn wenn Leute Lücken veröffentlichen, hat Verizon mehr Punkte auf ihrer Liste, was sie bei einem Pentest beim Kunden alles checken können. Die einzige Motivation, so einen hanebüchenen Mist zu bloggen, ist, weil sie bis zum Anschlag im Rektum ihrer Auftraggeber versunken sind, und die Perspektive verloren haben. Man kann ihre Angst förmlich riechen, ihre Kunden zu verlieren. Nach Spaß am Gerät klingt das jedenfalls nicht für mich. Au weia. Da würde ich mir ja lieber einen neuen Beruf suchen, als mir öffentlich so eine Blöße zu geben.
Ein Detail noch: ich habe gehört, Verizon macht für die US-Regierung Aufträge, u.a. auch IT-Security bei Militärbasen. Die einzigen, die einen handfesten Vorteil davon haben, wenn Bugs nicht veröffentlicht und gefixt werden, sind Militärs.
Update: Weil ich darauf angesprochen wurde, ob man gefundene Lücken nicht auch unter Pseudonym oder anonym veröffentlichen kann. Klar, kann man. Ist auch eine gute Idee. Also, äh, für andere Leute. Nicht für mich. Iiiich würde sowas niemals tun!1!! *hust* *aufdieuhrguck* Oh guckt nur, wie spät es schon ist *weglauf*
Update: Einer meiner Leser hat eine Mail an Steve Jobs geschickt, ob das stimme, und hat ein "Not true." zurückgekriegt.
Ihr könnt doch nicht ernsthaft alle auf diesen Zirkus reinfallen!? Habt ihr noch nie von viralem Marketing gehört? Apple operiert seit Jahrzehnten so. Da "leaken" irgendwelche Details über deren Produkte, Apple simuliert dann Entrüstung und droht mit Klage, und sonnt sich im Medienzirkus. Und ihr unterstützt das noch, indem ihr das rummailt. Ich glaube ja, dass Apple die Hälfte der Leak-Sites selber betreibt oder von Marketingagenturen betreiben lässt.
This is why I sell beer.
Update: Mir mailt gerade ein Apple-User, dass deren DHCP auch das MTU-Setting aus dem DHCP ignoriert.
Adobe CS3 applications crash at launch on Mac OS 10.6.3 if system serial number is greater than 12 characters
OMFG m(Update: Das wird sogar noch etwas lustiger, wenn man sich diese Technote von Apple anguckt, in der sie folgendes schreiben:
IMPORTANT: Developers should not make any assumptions about the format of the serial number such as its length or what characters it may contain.
(Danke, Matthias)
I propose that the "RSA Security 1024 V3" root certificate authority beDas ist so völlig unglaublich, da fehlen mir die Worte. Der CA Store ist die Liste der Krypto-Zertifikate, denen wir vertrauen, andere Webseiten zu zertifizieren. Jemand, der da ein Zertifikat reinkriegt, kann sich in den Traffic von anderer Leute SSL-Seiten reinhängen und sich als die ausgeben. Und jetzt findet Mozilla, dass sie nicht wissen, wessen Cert das ist?!? OMFG!!!
removed from NSS.OU = RSA Security 1024 V3
O = RSA Security Inc
Valid From: 2/22/01
Valid To: 2/22/26
SHA1 Fingerprint:
3C:BB:5D:E0:FC:D6:39:7C:05:88:E5:66:97:BD:46:2A:BD:F9:5C:76I have not been able to find the current owner of this root. Both RSA
and VeriSign have stated in email that they do not own this root.
Neulich erst gab es die Story, dass eine Firma Appliances verkauft, die (für die Polizei, natürlich!1!!) sich genau so in SSL-Verbindungen reinklemmen. Ihr erinnert euch vielleicht auch daran, dass Mozilla groß herumdebattiert hat, ob sie die CA der Chinesischen Regierung da reinnehmen sollen. Und jetzt das!
Oh und wisst ihr, was man dagegen tun könnte? Das hier.
Update: angeblich ist das von Paypal. (Danke, Jan)
Das Papier zitiert als Haupt-Pro-Faktor für weitere Militärpräsenz die "öffentliche Apathie", die den Regierungen erlaubt, die Wähler zu ignorieren (kein Scheiß, das formulieren die genau so in dem Papier).
Money Quote an der Stelle:
The Afghanistan mission's low public salience has allowed French and German leaders to disregard popular opposition and steadily increase their troop contributions to the [ISAF]. Berlin and Paris currently maintain the third and fourth highest ISAF troop levels, despite the opposition of 80 percent of German and French respondents to increased ISAF deployments
Am wichtigsten sind den Amis an der Stelle Frankreich und Deutschland, aus naheliegenden Gründen. Ihre Hauptsorge ist daher, dass eine lokales Maximum an Toten zum Truppenabzug führen könnte.Dann analysieren sie Frankreich und Deutschland und schreiben über Deutschland:
German opponents of ISAF worry that a war in Afghanistan is a waste of resources, not a German problem, and objectionable in principle, judging from an INR poll in the fall of 2009.
INR ist dem US-Außenministerium untergeordnet. Die haben hier Umfragen gemacht. Wie kommt man da raus? Ganz einfach: mit PR.Tailoring Messaging Could Forestall or At Least Contain Backlash
Was könnte man da z.B. erzählen? Auch dafür hat die CIA einen Plan:Appeals by President Obama and Afghan Women Might Gain Traction
Weil die Franzosen und Deutschen Obama so vertrauenswürdig finden! Und mit Frauen kann man immer punkten bei uns.The same poll also found that, when respondents were reminded that President Obama himself had asked for increased deployments to Afghanistan, their support for granting this request increased dramatically, from 4 to 15 percent among French respondents and from 7 to 13 percent among Germans. The total percentages may be small but they suggest significant sensitivity to disappointing a president seen as broadly in sync with European concerns.
Nur damit ihr mal seht, wie man heutzutage Meinungen manipuliert. Dieses Dokument muss mehr in den Mainstream. Also los, twittert, bloggt, und sprecht mit euren Bekannten darüber.Sehr schön auch, wie die CIA die Franzosen einschätzt. Denen muss man einfach ein paar Flüchtlinge vor der Nase rumwedeln, und ihnen ein paar Märchen erzählen, wie die ISAF den Flüchtlingen hilft, und dann ist alles wieder gut.
Nun, jetzt ist es anscheinend soweit: Vodafone will Porn und Voip zulassen in ihrem App Store.
Im Übrigen: mir geht ja dieses ganze app store Gedudel nur noch auf die Nüsse. Was zur Hölle? App Stores sind das neue Twitter oder wie? Erst brauchte jede Firma zum Überleben eine Flash-Webseite, dann brauchte man unbedingt Blogs, dann ging es gar nicht ohne Second Life, dann Anbindung an soziale Netzwerke, und jetzt sind es offensichtlich App Stores, ohne die Firmen dem sicheren Untergang geweiht sind. Ich sollte auch mal einen aufmachen!1!!
Ein Blick in die Stellungnahme der Bundesregierung zum Verfassungsverfahren zeigt, wie hoch die Sicherheitsbehörden jene Überwachungstechnik einschätzen, die ihnen die Richter nun aus den Händen genommen haben. Eine "verzögerte Auskunftserteilung über Verkehrsdaten" könne bei einigen "Fallgruppen" Folgen haben, heißt es in dem SPIEGEL ONLINE vorliegenden Schreiben. Dann wird ausgeführt, welche Bereiche das wären:Ist das nicht großartig? Kinderpornographie als Vorwand für das Beschneiden von Bürgerrechten wird offensichtlich nie alt. So oft kann man das gar nicht widerlegen, wie die Apparatschiks wieder damit kommen. Und Waffenschmuggel? Was für Gedanken müssen da durch die verkalkten Hirnwindungen gegangen sein, dass sie ausgerechnet das behaupten. Waffenschmuggel deckt jetzt nicht mehr der Zoll an der Grenze auf sondern der Cybercop mit der Hand an den Vorratsdaten?! Da hätte ich ja echt gerne Mal die Begründung für gesehen. Oh warte, gibt es nicht. Weil es überhaupt keinen Sinn ergibt.
- Kinderpornografie,
- der "Einfuhrschmuggel von Waffen oder Betäubungsmitteln" oder
- die Verfolgung von "schnell handelnden Tätern im Bereich des Eingehungsbetrugs im Internet" - sprich: allen Arten von Internetbetrug.
Oh und Internetkriminalität, wow, mir zittern die Knie! Da wird die Aufklärungsrate von Nigeria-Scammern und Ebay-Abzockern von 0,7 auf 0,5% fallen oder so. Meine Fresse, wir sind alle so gut wie tot!1!!
Ich sage euch, wenn diese ganzen Schreihälse nur die Hälfte der Energie für die Strafverfolgung einsetzen würden, die sie für jetzt für Agitation aufwenden, dann hätten wir schon lange keine Kriminellen mehr (außer den Politikern und denen in der Polizei und den Geheimdiensten, natürlich).
Reykjavík Energy lends Magma a full 70 percent of the purchase price with a bullet loan, meaning Magma makes no payments until the end of the loan term – seven years later [apart from the down payment of 30 percent, of course].Reykjavík Energy has no guarantee for the loan except the shares in HS Orka itself – i.e. Magma Energy puts up no collateral.
The loan bears interest of 1.5 percent. [Wouldn’t you love for, say, your mortgage to bear interest of 1.5 percent?!]
The loan is in US dollars, so all exchange rate risk is taken by Reykjavík Energy.
Unfassbar. Das wäre so ein Moment, wo ein Mob mit Heugabeln echt angebracht wäre, so mal von der historischen Perspektive her.Update: Die Meldung ist vom letzten Jahr, inzwischen sind die nicht mehr an der Macht. Es ist unklar, was aus diesen Deals jetzt wird. Daher ist das jetzt auch auf der Agenda gerade, weil das mal geklärt werden muss.
For example, early in my tenure, our group of very clever graphics experts invented a way to display text on screen called ClearType. It worked by using the color dots of liquid crystal displays to make type much more readable on the screen. Although we built it to help sell e-books, it gave Microsoft a huge potential advantage for every device with a screen. But it also annoyed other Microsoft groups that felt threatened by our success.Engineers in the Windows group falsely claimed it made the display go haywire when certain colors were used. The head of Office products said it was fuzzy and gave him headaches. The vice president for pocket devices was blunter: he’d support ClearType and use it, but only if I transferred the program and the programmers to his control. As a result, even though it received much public praise, internal promotion and patents, a decade passed before a fully operational version of ClearType finally made it into Windows.
Und danach erzählt er, wie die Office-Gruppe in Microsoft den Tablet PC sabotiert hat. Wie Office auch heute noch nicht sauber auf einem Tablet PC läuft. Und wie sie die Tablet-Gruppe sogar zugemacht haben, obwohl sie wußten, dass Apple mit einem Tablet PC rauskommen würde. (Danke, Oliver)
tagesschau.de: Bei Apple ist immer wieder von innovativen, gar revolutionären Produkten die Rede: iPod, iTunes, iPhone … Waren das wirklich Revolutionen oder wird das im Rückblick vielleicht ein bisschen zu stark verklärt?Aha. Soso. Und:Schuster: Das kann man gar nicht genug verklären. Das zeigt aber nicht wie gut Apple ist, sondern wie schlecht die anderen sind!
Den Boden bereitet hat der iPod. Der hat mit seiner Einfachheit und seinem Bedienkonzept viele Leute begeistert. Die haben sich daraufhin andere Apple Produkte angeschaut und festgestellt: Die sind durchaus einfacher zu bedienen als Windows-PCs.Man kann gar nicht so viel fressen, wie man da kotzen muss. Ich frage mich ja, wieviel Provision die Beteiligten da abgreifen für ihre Werbung. Und ICH mache mir Sorgen, mit Werbung meine Neutralität zu gefährden! Grotesk, geradezu. Vor allem, was da für Spezialexperten schreiben, beim ehemaligen Nachrichtenmagazin z.B. mit diesen aufklärenden Informationen:
Auch Multitasking kann das iPad nicht, also mehrere Apps gleichzeitig ablaufen lassen. Stattdessen ist nur Multithreading möglich; man kann also immerhin Musik hören, während man E-Mails schreibt.Aaa-ha.
Wenn ich sowas lese, dann muss ich immer an diese eine McDonald's in Manhattan denken, das ein Schild an der Wand hatte. Dort haben sie darauf hingewiesen, dass sie als einzige Filiale (oder war das sogar einziges Fast Food Restaurant? Ist schon ein paar Jahre her…) in Manhattan in den letzten zehn Jahren keine Hygieneverstöße hatten.
In den USA geht man halt anders mit Nahrung um als bei uns. Bei uns versucht man, Bakterien und Insekten zu verhindern. In den USA versucht man, sie vor der Auslieferung zu töten und wegzufiltern. Das kann man auch ganz gut bei diesem Artikel sehen, wo sie beschreiben, wie sie Rindfleisch mit Ammoniak bearbeiten, um Salmonellen und E. coli zu töten. Und das ist nicht irgendeine Firma, sondern die haben 5.5 Millionen Pfund Rindfleisch für Hamburger an Schulen verkauft. Und wer mal so richtig den Appetit verlieren will, dem empfehle ich dieses Bild aus dem Artikel, wo man mal so eine Fleischverarbeitungsfabrik von innen sieht. Mhhhhh, lecker! Auch die Antwort dieser Firma, wieso bei ihnen so viel Probleme gefunden werden, ist episch:
Responding to written questions, Beef Products said it had a deep commitment to hamburger safety and was continually refining its operation to provide the safest product possible. “B.P.I.’s track record demonstrates the progress B.P.I. has made compared to the industry norm,” the company said. “Like any responsible member of the meat industry, we are not perfect.”
Erinnert mich irgendwie an die typischen Aussagen von Leuten, bei denen ein Sicherheitsproblem gefunden wurde.
Oh und wo wir gerade bei Umfragen sind: Die Süddeutsche fragt nach "Polit-Stars 2009" und die aktuelle Auswertung geht zwar im Großen und Ganzen in die richtige Richtung, mit den ganzen Gruselpolitiker im roten Bereich, aber da geht noch was. Bei Westerwelle finden z.B. nur 63%, dass er völlig versagt habe, bei Merkel gar nur 53%. Hier könntet ihr helfen, die Realität genauer zu modellieren. Witzig auch, wie gut der Herr Köhler abschneidet, wo doch seine einzig erwähnenswerte Handlung 2009 war, das Zensurgesetz nicht zu unterschreiben, nachdem Internetfiltern in seinem Gästebuch offenbar OK war für ihn. Oh und völlig unglaublicherweise ist der Politiker mit dem höchsten Grün-Wert der Kriegsminister Guttenberg. Das können wir so nicht stehenlassen.
What I saw was profoundly shocking. The Chinese premier, Wen Jinbao, did not deign to attend the meetings personally, instead sending a second-tier official in the country's foreign ministry to sit opposite Obama himself. The diplomatic snub was obvious and brutal, as was the practical implication: several times during the session, the world's most powerful heads of state were forced to wait around as the Chinese delegate went off to make telephone calls to his "superiors".
Und, kaum zu glauben, so ging es weiter: China hat den Industrienationen untersagt, auch nur ihre eigenen unilateralen Klimaziele zu erwähnen in dem lächlichen Papier, das sie am Ende nur "zur Kenntnis genommen haben".Why should rich countries not announce even this unilateral cut? The Chinese delegate said no, and I watched, aghast, as Merkel threw up her hands in despair and conceded the point. Now we know why – because China bet, correctly, that Obama would get the blame for the Copenhagen accord's lack of ambition.
Tja, blöd sind sie ja nicht, die Chinesen. Well played, wie man so schön sagt. Der Artikel analysiert dann schön Obamas Position, und zählt die Zugeständnisse auf, die Obama auf den Tisch getan hat, und die die Verhandlungsbasis waren (er wäre auch noch weiter gegangen): 100 Milliarden Dollar für die Entwicklungsländer, 17% unter dem 2005-CO2-Emissionslevel für 2020. Die Position der Republikaner gegen Obama und seine Klimarettung ist, dass man damit nur China weiter stärkt, wenn die nicht mitziehen müssen.Oh und wenn es nach den Chinesen gegangen wäre, wäre sogar das 1,5°-Temperaturziel rausgeflogen:
President Nasheed of the Maldives, supported by Brown, fought valiantly to save this crucial number. "How can you ask my country to go extinct?" demanded Nasheed. The Chinese delegate feigned great offence – and the number stayed, but surrounded by language which makes it all but meaningless.
Krasse Scheiße. Insbesondere hat China uns mal vorgeführt, wie sehr sie jetzt schon die Welt an den Eiern haben. Die müssen auf gar keinen mehr hören. Wir müssen auf sie hören, nicht anders herum.Und, mal unter uns, ohne Mao und seinen Großen Sprung nach vorn, und die zu 20-40 Millionen Verhungerten führte, da wären die Chinesen schon viel früher soweit gewesen.
Wieso muss man für solche Berichterstattung eigentlich zum Guardian gehen? BTW: Auch die Kommentare lesen, besonders den von mofo1, den von DWearing, den von dhome0 und den von JohnAckers.
Mal abgesehen davon, dass da die "organisierte Religionen generell verbieten" Option fehlt, ist das natürlich eine Schande für alle Nicht-Nazis, dass es soweit gekommen ist in dieser Umfrage. Daher sollten sich jetzt alle Nicht-Nazis aufgerufen fühlen, diese Umfrage zu korrigieren. Und dass sich das ehemalige Nachrichtenmagazin für diese Rassismus-Kampagne mißbrauchen läßt, das ist eine Schande.
Übrigens ist auch der Schweiz aufgefallen, dass sie da gerade vor allem von Nazis aus dem Ausland Applaus kriegen.
Update: Mir mailt gerade jemand, dass die die Cookies nutzen, um Duplikate zu erkennen. Nur falls sich jemand Sorgen gemacht hat, dass "Politically Incorrect" wirklich 20.000 Leser haben könnte. Nein, keine Sorgen. Eher so 20 plus Sockenpuppen.
Update: Oh wow, die Umfrage ist plötzlich weg. Das ging ja schnell. In nur fünf Minuten haben wir das ehemalige Nachrichtenmagazin genug beschämt!
"I don't know about you but whenever I read a blog I do not let my eye drop below half the screen in case I accidentally hit the bit where the comments reside. Of all the stinking, sliding, scuttling, weird, entomological creatures that inhabit the floor of the internet those comments on blogs are the most unbearable, almost beyond imagining"
Ich bin sogar ein so großer Fan von ihm, dass ich ihm verzeihe, dass er sich mit Apple-Technologie umgibt :-)Nun, Stephen Fry teilt auch gerne mal aus, dafür haben sie auch ein schönes Beispiel in dem Artikel. Da geht es um einen Kolumnisten in der Daily Mail (ein widerliches Schmieren-Tabloid):
I gather a repulsive nobody writing in a paper no one of any decency would be seen dead with has written something loathsome and inhumane
Das hat er getweetet. Schöne Zusammenfassung der Gesamtsituation, wenn ihr mich fragt.
Google hat nicht nur eigene Mappingdaten am Start (wo es vorher ein Kartell aus zwei Monopolisten gab, Tele Atlas und NavTeq), sondern hat auch ein "billiger als kostenlos" Geschäftsmodell für Android.
Also erst mal zu dem GPS Mapping. Tele Atlas wurde von TomTom für 2,7 Milliarden Dollar gekauft, da muss dem Rest der potentiellen Kundschaft schon der Arsch auf Grundeis gegangen sein, und Nokia hat für NavTeq dann gleich 8,1 Milliarden gezahlt, und jetzt sind die beiden vom Markt. Die können die Preise diktieren. Google hat ja für StreetView eh Autos durch die Welt geschickt, und die haben dann eben auch gleich das Kartenmaterial gesammelt, und jetzt hat Google ihre eigenen Daten. Und gibt die Mapping-Software kostenlos weg. Und jetzt versetzt euch mal in die Lage von Apple. Die müssen, um genau so viel zu bieten wie Google verschenkt, draufzahlen. Oder sie einigen sich mit Google, aber dann wird Google vermutlich Google Voice freigeschaltet wollen im Gegenzug oder so.
Oh und Android sieht ähnlich aus. Das verschenkt Google nicht nur in einer Open Source Version, es gibt auch eine "normale" Version, die sich dadurch unterscheidet, dass der Carrier von Google Provision für die Werbeeinnahmen bekommt. Der kriegt das also für weniger als kostenlos. Bei den Nokia und den Windows Mobile Leuten wird gerade keine sonderlich gute Stimmung sein denke ich mal. Die müssen dann subventionieren, um konkurrenzfähig zu bleiben.
Weia.
Update: Na also, geht doch :-) (Danke, Tom)
The law in the Netherlands says that intercepted phone calls between attorneys and their clients must be destroyed. But the Dutch government has been keeping under wraps for years that no one has the foggiest clue how to delete them (Google translation). Now, an email (PDF) from the National Police Services Agency (KLPD) has surfaced, revealing that the working of the technology in question is a NetApp trade secret. The Dutch police are now trying to get their Israeli supplier Verint to tell them how to delete tapped calls and comply with the law. Meanwhile, attorneys in the Netherlands remain afraid to use their phones.
Da kommt einmal alles zusammen. Dateien Löschen ist ein NetApp Trade Secret? Das ist ja wohl die großartigste Ausrede, die wir je hatten! Das ist ja noch besser als die Chewbacca Defense!Oh und Verint? Googelt das mal. Da kommt mal wieder alles zusammen, der perfekte Sturm.
Ganz großer Griff ins Klo, gleich in mehrerer Hinsicht. Denn jetzt kann MS das ja nicht mehr machen, wenn Apple ein Patent drauf hat, d.h. Apple beschmutzt nicht nur ihr Image sondern hält auch das von MS sauber.
Ich vermute mal, dass das Google härter trifft als MS. MS hat schließlich eine zahlende Kundenbasis.
Aber macht euch keine Sorgen: auch dieser Tiefschlag kann echte Apple-User nicht von Apple wegtreiben. Wir werden auch in 10 und in 100 Jahren noch was zu lachen haben. :-)
Update: Es gibt prior art! (andere)
Einer der Admins hat jedenfalls jetzt dem Mogis-Löscher gesagt, er hätte die Löschung des Vereines doch dezenter vornehmen können, z.B. "den Artikel langsam quasi zu Tode kürzen"Keine Ahnung, ob da was dran ist, aber so oder so ähnlich habe ich mir immer das ZK der SED 1989 vorgestellt.
Im Übrigen kommen da gerade noch so Anwürfe hoch, ich sei ja bloß sauer wegen sowas hier und weil sie die Seite über mich gelöscht haben. Ich habe keine dieser Seiten geschrieben und von der Existenz der Seite über mich erst nach ihrer Löschung erfahren, die im Übrigen über ein Jahr zurück liegt. Im Gegensatz zu MOGIS sehe ich mich auch nicht als Person der Zeitgeschichte, über die in einer Enzyklopädie Dinge stehen sollten, also: ist schon OK, dass es über mich keine Seite gibt. Es läßt aber natürlich tief blicken, wenn schon solche Anwürfe kommen.
Im Übrigen weise ich aus aktuellem Anlass darauf hin, dass Meinungs-Mails an mich über Remailer völlig sinnlos sind, weil mich eure Meinung nur dann interessiert, wenn ihr auch Nachfragen dazu beantworten könnt und wollt. Wenn ihr mir per Remailer was mailen wollt, dann: Fakten, Links und erschöpfend alle Details. Zu einer Meldung. Keine Meinungen. So ist das mehr als sinnlos.
Dann kommt hier noch Kritik rein, es sei taktisch unklug, die Wikipedia-Blockwarte mit Kritik vor den Kopf zu stoßen, und man solle lieber freundlich zu ihnen sein. Dazu sage ich nur: Nein. Funktioniert nicht. Das war der Ansatz der letzten zwei Jahre. Das Problem ist seit dem eher schlimmer geworden. Siehe auch: Appeasement.
Update: In der Blogosphäre rumort es zu dem Thema kräftig, tut euch mal ein bisschen um. Lest auch insbesondere die Position von Kris Köhntopp durch.
Die Mail sagt, dass Microsoft Danger gekauft hat, den Hersteller von Sidekick. Die haben sich dann entschieden, deren Infrastruktur einmal physisch in eines ihrer eigenen Datencenter zu schieben, um Mietkosten zu sparen. Die eigentliche Hard- und Software haben sie dabei nicht angefasst, das ist alles noch das alte Zeug. Und am letzten Dienstag, sagt die Mail, hat sich dann deren Storage spontan desintegriert. Da waren 800 TB Daten drauf. Das war ein fettes SAN, dessen Hersteller ich hier mal verschweigen will, aber wenn die Mail stimmt, ist es einer der Marktführer in dem Segment. Natürlich hatte Danger einen dicken Support-Contract mit dem Storage-Vendor. Die waren also ab Dienstag vor Ort. Und das SAN hat beim Sterben auch gleich mal die Parity-Platten zersägt, so dass an sich von Anfang an klar war, dass die Daten futsch sind. Das hat mal eben 800 TB an Daten geshreddert.
Es gab einen Backup, auf ein Off-Site Tape, also die haben sich da schon einmal an die Regeln gehalten, was man so an Vorsichtsmaßnahmen treffen kann für sowas. Leider, wenn das Array so platt ist, wie es jetzt ist, dann kann man das nicht einfach zurück spielen, dann muss man erst mal das SAN reparieren. Der Storage-Hersteller hat es laut dieser Mail nun bis Freitag Nachmittag versäumt, das Detail mit "alle Daten sind weg" zu kommunizieren, und sie haben auch kein Ersatz-Equipment eingeflogen. Das war also nicht nur in dem SAN der Supergau, auch der Support hat sich da einen Megagau geleistet. Ich zitiere mal den Money Quote aus der Mail:
Apparently [Vendor] has been on site since Tuesday, but didn't actually inform Danger/MS that their data is in the crapper until Friday afternoon. On top of that, [Vendor] has done nothing to bring in replacement equipment between Tuesday and Friday.
Nun war MS eh gerade dabei, die Daten "in die Cloud" zu schieben, und hat daher ein zweites, größeres, SAN gekauft, aber das steht noch nicht im Rechenzentrum und ist auch ein Rack größer und da fehlt gerade der Platz für eine Notfall-Installation. Und im Übrigen dauert auch das Einspielen von 800 TB Daten vom Tape eine Weile.Warum erzähle ich das hier? Weil das genau so bei allen großen Firmen aussieht. Die kaufen ihr Storage vom Marktführer und zahlen Unsummen für Support-Verträge, und denken sich, hey, jetzt sind wir sicher. Wie man hier sehr schön sehen kann, ist man dann eben nicht sicher. Im Gegenteil. Die Performance hätte auch das in-house Team nicht schlechter hinkriegen können. Daher: kauft lieber nicht beim Marktführer sondern baut sowas intern auf. Ist billiger und im Zweifelsfall belügen euch eure eigenen Leute dann nicht, wenn das Storage abgeraucht ist.
Update: Und wenn ihr das selber macht, hatte ich schon mal einen passenden Link.
Aus Sicht der CDU ist das geradezu unausweichlich. Die sind zwar ideologisch verblendet, aber nicht blind. Dass bei uns bald die überwiegende Mehrheit aus Hartz IV Opfern und Rentnern bestehen wird, das sehen auch die Apparatschiks der CDU. Früher waren das nur die Rentner, da konnte die CDU noch das Rentenalter nach hinten schieben. Aber jetzt, mit Hartz IV? Die aktuelle Strategie ist, die Rentner mit Verblödungs-Wahlkampf in den Wahnsinn zu treiben, damit die nicht wählen gehen. Und die Hartz IV Opfer durch Bildungsentzug dazu zu bringen, dass sie sich keine eigene Meinung bilden können und mitlaufen. Daher auch Verblödungsmaßnahmen wie das "TV-Duell", dessen Ziel es war, den Hartz IV Empfängern einzureden, sie hätten eh nur die Wahl zwischen den Marodeuren und den Verrätern.
Aber wenn die dann merken, wie im Internet unzensierte Quellen kostenlosen Wissens und Bildung für jedermann entstehen, was bleibt denn da überhaupt noch? Internet zensieren (Kinderpornographie!1!!) oder wegnehmen (Three Strikes).
Und das ist euch hoffentlich allen klar: Three Strikes richtet sich nicht gegen den Mittelstand, denn die kriegt man schon mit der Drohung von Bußgeldern gefügig. Three Strikes richtet sich gegen Hartz IV Empfänger, denen man nichts mehr wegpfänden kann.
Das traditionelle Modell für das Problem waren immer Monarchie und Religion. Die Zeiten sind halt vorbei. Wenn das mit dem Wahlrecht nicht durchkommt, erwarte ich noch stärkeren Fokus auf die Verblödung der Bevölkerung.
Update: Der Typ rennt mit dem Vorschlag schon länger rum, der Artikel ist von 2008. Das hält mich nicht davon ab, das zur Wahl nochmal anzusprechen. Immerhin ist der Mann im Bundesvorstand der CDU.
Update: Der Herr Ludewig ist auch mal bei Anne Will (!) voll gegen die Wand gefahren. Wenn man von Anne Will und Westerwelle argumentativ ausmanövert wird, sollte man sich vielleicht was anderes als Politik aussuchen. Übrigens tritt der als Direktkandidat in Berlin-Pankow an. In Pankow kommt die CDU traditionell mit Ach und Krach über die 5%. Man raunt sich zu, die CDU habe den Ludewig dort abgeworfen, um ihn loszuwerden. Wer sich wundert, wie so jemand überhaupt Einfluß in der CDU kriegen kann, immerhin ist der noch keine 30, für den gibt es eine naheliegende Erklärung: der ist 3. Kind des ehemaligen Bahnchefs Ludewig.
Der Axel-Springer-Verlag will seine Onlineprodukte Welt.de und Bild.de noch in diesem Jahr für den freien Zugriff sperren.Das glauben die doch wohl selber nicht, dass da jemand für zahlt?!
Update: Nicht das Internet-Angebot sondern die Iphone-Apps sollen kostenpflichtig werden. Schade eigentlich :-)
Leider ist das schlimmste, was man da stimmen kann "Diese Person auf diesem Posten: eine totale Fehlbesetzung!". Da fehlt ganz klar ein "diese Person wäre auf JEDEM Posten eine Fehlbesetzung". Aber hey, manchmal muss man im Leben nehmen, was da ist. Immerhin fanden auch vor uns schon über 50%, dass Schäuble eine völlig Fehlbesetzung ist. Eine Gesamtübersicht gibt es hier. Ihr seht schon, da geht noch was. (Danke, Achim)
The government was accused tonight of giving itself draconian powers to clamp down on protests at the 2012 Olympics. Critics said the powers were so broad they would potentially give private contractors the right to forcibly enter people's homes and seize materials.
Und um was für Materialien geht es? Waffen? Bomben? Giftgas?Section 19(4) could cover protest placards, they said, as it read: "The regulations may apply in respect of advertising of any kind including in particular – (a) advertising of a non-commercial nature, and (b) announcements or notices of any kind."
Ich würde weiter gehen. Das könnte nicht nur legitime Protestplakate betreffen, es tut es ganz sicher. Und ich glaube ja, dass der Hintergrund diese Idee des olympischen Zentralkommittees ist, Werbung von Konkurrenten ihrer Sponsoren unterdrücken zu können. Was ich ja die perverseste Sache finde, die Regierungen jemals polizeilich durchsetzten. Jeder normale Mensch würde den Apparatschiks bei dieser Forderung laut ins Gesicht lachen.
In der französischen Zone etwa wurde, wie der Chef der Unionsfraktion, Heinrich von Brentano, 1951 an Kanzler Adenauer schrieb, "die gesamte Post grundsätzlich den französischen Behörden zur Zensur zugeleitet" – auch alle Sendungen aus Bonn, so dass man annehmen konnte, "dass auch die Korrespondenz der Bundesregierung und der Bundestagsabgeordneten der Kontrolle durch die französische Securité unterliegt".Der Artikel ist in der Badischen Zeitung, daher geht es dort um die Franzosen, aber in den anderen Teilen sah das nicht besser aus.
Im Sommer 1951 sollte in Freiburg das Telefonnetz erweitert werden. Die französische Besatzungsmacht forderte "nach Inbetriebnahme der Vermittlungsstelle Berthold" auch den "technischen Überwachungsdienst" im Postamt Eisenbahnstraße zu erweitern. Detailliert hieß es: "Ein 200-doppeladriges Kabel mit Bleimantel wird zwischen dem Hauptverteiler des neuen Wählamts und dem Abhörraum des technischen Überwachungsdienstes gelegt."Und die Statistiken sind beeindruckend:
Die Kontrolle – allein zwischen 1960 und 1967 wurden 42,1 Millionen Postsendungen an die Amerikaner ausgehändigt – erforderte einen großen Apparat. In der britischen Überwachungsstelle in Düsseldorf waren 90 Leute beschäftigt. Auch die deutschen Behörden waren angewiesen, mitzuwirken, ihr Wissen aber geheim zu halten. Nachweislich wurden in 19 Post- und Fernmeldeämtern von Bremen bis München alliierte Zensur- und Überwachungsstellen eingerichtet, deren Mietverträge erst 1968 endeten, als eine Grundgesetzänderung Post- und Telefonüberwachungen nach deutschem Recht legalisierte.Und das wissen wir, weil es Abrechnungen der Bundespost mit dem Hauptquartier der US-Streitkräfte gibt. So illegal können unsere staatlichen Aktivitäten gar nicht sein, dass es nicht doch irgendwo eine Akte dazu gibt.
Überhaupt ist dieser Artikel mal wieder ein klarer Fall von "wieso haben sie uns das im Geschichtsunterricht eigentlich nicht erzählt".
1951 wurde in der Bundesrepublik das politische Strafrecht, das die Siegermächte 1945 abgeschafft hatten, wieder eingeführt und teilweise verschärft. Danach musste jede politische Handlung, die als "staatsgefährdend" galt, verfolgt werden, auch die Einfuhr und Verbreitung "verfassungsverräterischer" Schriften und Materialien.Und was für Post haben sie da so beschlagnahmt? Na? Na ratet mal!
Was aber sollte mit der Masse beschlagnahmter Postsendungen aus der DDR geschehen? Zurück an den Absender, wie es das Postgesetz vorsah? Ritter von Lex, Staatssekretär im Bundesinnenministerium, hatte eine bessere Lösung: "In den Wolf hinein!"ACH NEE. Und die Westbevölkerung ging immer davon aus, dass die Stasi da die Briefe gefressen und zensiert hat! Das ist ja mal wieder augenöffnend. Die Alliierten haben damals Adenauer gefragt, ob ihm das Recht sei, wenn sie die Postzensur durchführen, weil das Grundgesetz das ja leider der Bundesregierung untersagte, und Adenauer hat zugestimmt. Money Quote:
Laut Grundgesetz sei es Bonn ja "leider verwehrt, eine Zensur auszuüben. Unter diesen Umständen könne daher eine wirksame Abwehr der sowjetischen Propaganda nur durch die Besatzungsmacht sichergestellt werden".Au Mann. Ein sehr interessanter Punkt dabei ist das Beamtenrecht. Beamte bei Post, Zoll, Bahn und Polizei hatten jetzt die Wahl, entweder das Postgeheimnis zu brechen und sich strafbar zu machen, oder ihre Treuepflicht zu verletzten und sich strafbar zu machen. Keine gute Ausgangslage.
Nun sollte man denken, hey, wenn die da flächendeckend die Post zensieren, dass muss doch jemand merken! Und ja, das haben die Leute gemerkt!
Wissenschaftler erhielten abonnierte Zeitschriften aus Osteuropa nicht mehr und protestierten. Abgeordnete vermissten ihre Briefe, Zeitungen und sonstigen Informationen aus der DDR. "Tatsächlich", so Adolf Arndt (SPD) 1956 an den bayerischen Justizminister, "üben die Postbehörden im Zusammenwirken mit den Staatsanwaltschaften und den Amtsgerichten eine verfassungswidrige Zensur aus." Auch im Bundestag wurde Kritik laut. Von 1955 bis 1962 stellten SPD und FDP acht Anfragen zur Zensur, ohne tatsächlich informiert zu werden. In der Justiz regte sich Widerstand. Das Landgericht Frankfurt wies einen Antrag des Oberstaatsanwalts zurück, 101 Briefe mit Artikeln aus dem Neuen Deutschland zu beschlagnahmen, weil sie die Bundesregierung kritisierten.KRASS! Und ich rege mich hier angesichts Zensursula über das neue Feindsenderverbot auf! Stellt sich raus, das ist gar nicht neu! Was für eine Schande, dass sich dieser Staat in der Selbstdarstellung immer noch für einen demokratischen Rechtsstaat hält. (Danke, Steffen)
Ausgerechnet in der Turnhalle einer Hauptschule plant die Gemeinde Olching im Landkreis Fürstenfeldbruck einen Schießstand für den Schützenverein. «Der Beschluss wurde mit großer Mehrheit vom Gemeinderat gefasst», sagte der Zweite Bürgermeister der Gemeinde, Robert Meier (CSU), am Mittwoch der Deutschen Presse-Agentur dpa und bestätigte einen Bericht des Bayerischen Rundfunks.Denn nicht Schusswaffen töten, Killerspiele töten!
Update: Wow, ich hatte ja keine Ahnung! Bayern ist da quasi nur Zonenrandgebiet, die tatsächliche Action findet in NRW statt: Es gibt in NRW in mindestens 122 Schulgebäuden Schießanlagen. Krass! Und während sie "Killerspiele" verfolgen, ist offenbar wenigstens einigen aufgefallen, was für eine unredliche Schmierenpolitik sie da betreiben, denn sie haben sich immerhin durchringen können, keine neuen mehr zu bauen. Oh und wißt ihr, wer (neben der CDU natürlich, die steht ja immer auf der falschen Seite) die behalten will? Die FDP. Na was für eine Überraschung. Ich bin ja immer wieder erschüttert, dass solche Apparatschiks überhaupt Stimmen von jüngeren Bürgern kriegen. Die FDP mit ihrem "Der Muff von tausend Jahren" Programm hat es ja tatsächlich geschafft, sich durch Haarefärben bei Westerwelle einen "jugendlichen" Anstrich zu geben. Schockierenderweise gibt es sowohl eine "Junge Union" als auch "Junge Liberale", wobei letztere partiell sogar in Ansätzen nicht völlig verblödete Positionen vertreten. Wie kann so jemand bei der FDP landen? Ich verstehe es nicht. Das ist in meinen Augen auch der schlimmste Aspekt bei den Europawahlen, dass die FDP da nicht nur über fünf sondern sogar über 10 Prozent gekriegt hat. WTF?! Deren Neoliberale Idiologie hat uns in die Wirtschaftskrise gestürzt und die Leute wählen die trotzdem!? Dank an die vielen Zuschriften für das NRW-Detail! (Danke, Andreas)
Unerwartete Zustimmung erhielt Mißfelder von der Deutschen Kinderhilfe. Deren Vorsitzender Georg Ehrmann sagte sueddeutsche.de, gerade in Hartz-IV-Familien sei ein großer Anteil der Eltern nikotin- und alkoholabhängig. In Deutschland lebten 2,1 Millionen Kinder in Haushalten von Alkoholikern.Wi-der-lich, diese JU. (via)
For starters, both Macworld and Boing Boing Gadgets have confirmed with Apple and various third-party vendors that the new shuffle headphones do in fact contain a proprietary control chip, and that would-be headphone makers have to pay to license it from Apple as part of the Made for iPod program.
Es gibt wirklich nur eine Firma, deren Kunden so dämlich sind, dass man sowas mit ihnen machen kann.
Was ich ja nicht verstehe: wieso suchen die nach Bugs in MediaWiki und nicht in ihren eigenen Produkten? Ist ja nicht so, als ob da Knappheit wäre. (Danke, Mathias)
Die Idee ist, dass man das in diversen Sprachen mal implementiert. Und zwar schon so, dass das nicht unnötig langsam abläuft, aber auch nicht groß performance-rumhacken. D.h.: in perl implementiert man das in perl und nicht als C-Extension. In C benutzt man malloc und stdio und keinen custom allocator bzw eigene I/O-Pufferverwaltung. Also schon versuchen, schnell ablaufenden Code zu schreiben, aber so, wie man das in der Sprache tun würde. Für C++ heisst das: STL und iostreams benutzen.
Am Ende kann man das natürlich nutzen, um da mal zu gucken, welche Implementation am schnellsten läuft. Hier geht es nicht darum, die Überlegenheit von C zu zeigen, sondern die relative Performance von Interpretern zu gucken. Es geht aber eben nicht nur um Performance, sondern der Code soll auch demonstrieren, wie man sowas in der jeweiligen Sprache löst. Damit man sich die Sourcen anschauen kann, und sich entscheiden kann, ob man diese Sprache für hinreichend elegant hält, dass man sich die mal näher anschauen will.
Wieso ihr mithelfen könnt: ich kann nicht alle Sprachen und habe auch keine Lust, mich da jetzt jeweils reinzugoogeln. Denn ich will den Sprachen ja auch gerecht werden und nicht bloss eine laufende Variante nehmen, die dann am Ende unfair schlecht aussieht oder unnötig langsam ist. Daher wäre es mir lieb, wenn mir jemand für die fehlenden Sprachen Sourcen zuschickt. Ich erwarte da jetzt nicht AppleScript oder so, aber C# wäre z.B. nett, und Tcl. Und vielleicht noch sowas wie LISP oder Scheme.
What's most striking about Jeffery's résumé, however, is an item omitted when his new job was announced: He served as executive director of Paul Bremer's infamous Coalition Provisional Authority in Baghdad, during the early days of the Iraq War. Part of his job was to hire civilian staff, which made him an integral part of the partisan machine that filled the Green Zone with Young Republicans, investment bankers and Dick Cheney interns. Qualifications weren't a big issue back then, because the staff's main function was to hand over stacks of taxpayer money to private contractors, who were the ones actually running the occupation. It was this nonstop cash conveyor belt that earned the Green Zone a reputation, in the words of one CPA official, as "a free-fraud zone." During Senate hearings last year, when Jeffery was asked what he had learned from his experience at the CPA, he said he thought that contracts should be handed out with more "speed and flexibility" — the same philosophy he cited back when he was in charge of regulating Wall Street traders.
Muhahahaha, die BESTEN der BESTEN der BESTEN, SIR! Den haben sie wohl inzwischen gecancelt, aber es geht munter weiter:Fittingly, one of the first to line up at the new trough was none other than the law firm of Bracewell & Giuliani — yes, that Giuliani. The firm's chairman, Patrick Oxford, could scarcely conceal his glee over the prospect of cashing in on the bailout. "This one," he told reporters, "is very, very big." At least four times bigger, in fact, than the post-9/11 homeland-security bubble, from which Giuliani and his various outfits have profited so extravagantly. Even bigger, potentially, than the price tag for the Iraq War itself.
Und das ist alles nur Seite 1. Es geht bis 5. Auch die "Ausschreibung" für das Bailout-Management lief genau so, wie man sich das vorstellt:Private companies wanting to help manage the bailout were given just two days to apply for massive, multiyear contracts. Since it was such a mad rush — after all, the entire economy was about to implode — there was no time for an open bidding process. Nor was there time to draft rigorous rules to make sure that those applying don't have serious conflicts of interest. Instead, applicants were asked to disclose their conflicts and to explain — and this is not a joke — their "philosophy in fulfilling your duty to the Treasury and the U.S. taxpayer in light of your proprietary interests and those of other clients." In other words, an open invitation to bullshit about how much they love their country and how they can be trusted to regulate themselves.
Bwahahaha, wunderbar! Und es geht weiter und weiter und weiter so. Lest euch das mal komplett durch. Unterhaltung für einen ganzen Winterabend!OK, ich kann nicht anders. Noch ein Zitat:
Secretary Paulson promised that the banks won't just "hoard" the money — they will quickly "deploy it" through the economy in the form of badly needed loans. There is just one hitch: Neither Paulson nor Simpson Thacher got that "deploy" part in writing — nor did they put in place any mechanism to require the banks to spend their taxpayer billions. Apparently, the part about lending the money to homeowners and small businesses was sort of implied."There is no obligation for banks to lend the money one way or the other," Jennifer Zuccarelli, a Treasury spokeswoman, tells Rolling Stone. "But the banks have the understanding" that the money is intended for loans. "We're not looking to control their operations."
Das ist selbst für deren Verhältnisse besorgniserregend korrupt. Die Banken haben natürlich nicht vor, das Geld jetzt tatsächlich zu verleihen. Merrill Lynch wird das erst mal als Polster da behalten, und Citigroup hat offenbar vor, damit Konkurrenten aufzukaufen. Morgan Stanley wird praktisch den gesamten Bailout-Anteil, immerhin über 10 Milliarden Dollar, an sich selbst auszahlen, zum Großteil als Boni für die hervorragende Leistung der Manager. (Danke, Sirko)
Na, wer fühlt sich da noch an Bushs Scheitern an der Holztür in China erinnert [lokale Kopie]?
Update: Es ist noch ein Bild aus einem anderen Winkel aufgetaucht.
Update: Ein paar schöne Reaktionen darauf:
I don't know about you, but when a research paper conclusion says "We suggest that the transient may be one of a new class" I get a chill of oooh-aaahness down my spine. Especially when after a hundred days of observation, it disappeared from the sky with no explanation. Get your tinfoil hats out, because it gets even weirder.The object also appeared out of nowhere. It just wasn't there before. In fact, they don't even know where it is exactly located because it didn't behave like anything they know. Apparently, it can't be closer than 130 light-years but it can be as far as 11 billion light-years away. It's not in any known galaxy either. And they have ruled out a supernova too. It's something that they have never encountered before. In other words: they don't have a single clue about where or what the heck this thing is.
Oder das sind die Vulkanier, die gucken gekommen sind, ob wir inzwischen den Warpantrieb haben :-)
Die Kernpunkte, die ich mitgenommen habe:
Die Sachverständigen haben kein gutes Haar an dem Gesetz gelassen. Es war klar: wenn sie das reparieren wollen, wäre das ein Totalschaden-Aktion, wegschmeißen und neumachen. Daher bin ich mir sicher, dass die das Gesetz genau so kaputt durchwinken werden, und dann werden wir wieder nach Karlsruhe gehen müssen. Der Grünen-Typ hat die Sachverständigen auch mit den Worten begrüßt, er sei dankbar, dass sie nach den ganzen letzten Gesetzen, wo ihre Vorschläge sämtlichst verworfen worden seien, immer noch für diese Anhörungen zur Verfügung stünden. So läuft das da ab. So wird bei uns Politik gemacht.
Oh, eine wichtige Sache noch, die mir bisher nicht so klar war. Das Verfassungsgericht hat bei den Tagebuch-Regelungen entschieden, dass strafrechtlich relevante Erkenntnisse grundsätzlich nicht in den Kernbereich der privaten Lebensführung fallen. In Verbindung mit dem "Richterband"-Vorschlag heißt das: die hören weiterhin alles ab, der Richter schneidet dann das Stöhnen während des Koitus und das Schnarchen heraus, und das Geständnis dazwischen wird verwertet. Genau so wird das ablaufen. Oh und natürlich sind keine Mittel vorgesehen, um die Richter zu finanzieren, die das machen sollen, bzw die dann nötigen Dolmetscher.
Die schriftlichen Stellungnahmen gibt es hier als PDF, falls ihr da mal reingucken wollt.
Ein Highlight gab es noch mit Herrn Dr Roggan, der sich die ersten fünf Stunden eher blass, zurückhaltend und wenig kontrovers gab, der aber in den letzten Minuten noch einen echten Knaller brachte, als er meinte, die Daten dürfen man nicht nur nicht an Länder weitergeben, bei denen dem Betroffenen die Todesstrafe drohe, sondern auch nicht an Folterländer wie die USA oder die Türkei. Niemand reagierte entsetzt darauf, ich bin mal gespannt, ob sie das aus dem offiziellen Transkript raus zensieren.
Hier mal ein paar Ziercke-Stilblüten:
Hier kann gar nicht davon die Rede sein, dass das gegen Unbescholtene eingesetzt wird!Völlig klar, wenn der Ziercke jemanden observieren läßt, dann ist das ein Verbrecher! Das hat dann vermutlich die Precog-Abteilung herausgefunden oder so. Ziercke hat sogar den Sprengstofflaster zur WM noch mal zitiert, der ja angeblich aus dem Baltikum kommen und Deutschland per schmutziger Bombe verstrahlen sollte, sich dann aber schnell als komplette Fiktion herausstellte.Verschlüsselung schafft strafverfolgungsfreie Räume!
Es geht nicht um den intelligenten Internetnutzer, sondern um die Netzwerke, da kommt man immer irgendwie rein.
Wer heute VoIP mit Skype macht, kann sich sicher sein, dass das nicht abgehört werden kann. [Ja! Hat er schon wieder gesagt!!]
… welche Hindernisse vorliegen, zum Beispiel Firewall, Antiviren, … [er weiß also genau, dass er da Malware baut]
Wir brauchen verdeckte Einbrüche, damit wir sicher sind, den richtigen Rechner zu erwischen!
Dann wären ja alle Polizeien weltweit Geheimdienste! [auf die Frage nach den nachrichtendienstlichen Befugnissen, die seine Behörde da kriegen soll]
Wir arbeiten im Moment mit Methoden aus der Steinzeit! Es dauert 8 Monate, bis wir einen Server in China öffnen können, und dann finden wir, dass die Daten seit 7 Monaten gelöscht sind!
Gefahr im Verzug braucht man für den Bundestrojaner, weil man ja nur in der Minute zugreifen kann, wo derjenige online ist!
Die Onlinedurchsuchung hat ja mit dem Kernbereichsschutz nichts zu tun. [ach ja?]
[Auf die Frage, ob sie denn mit der Rasterfahndung schon Erfolge hatten] Mit der Rasterfahndung haben wir Verdächtige identifiziert, das sehen wir als großen Erfolg. Was erwarten Sie den, was wir da erreichen können? [Naja, vielleicht etwas mehr als ein Verdacht? Wie wäre es mit einem Täter?]
[Auf die Frage, wozu sie die Online-Durchsuchung brauchen] Bei den Sauerländern haben wir verschlüsselte Dateien gefunden, die haben wir bis heute nicht entschlüsseln können! [Überraschung!!1!]
Kritik [an den neuen Geheimdienstbefugnissen] verhöhnt die Polizei, die in den Ländern mit diesen Befugnissen hunderte von Menschenleben gerettet haben.
[Angesprochen auf den Blödsinn, den sein Abgesandter beim Verfassungsgericht erzählt hat] Das war ein unautorisierte Aussage eines Mitarbeiters!
Ach, ein Highlight noch, von Prof Kutscha. Der hat mir ja sehr gut gefallen, der Mann. Der hat u.a. argumentiert, dass wir die selben Argumente ("unverzichtbar!", "Untergang des Abendlandes droht, wenn wir das nicht kriegen!!1!") schon beim großen Lauschangriff gehört haben, und heute benutzen sie das nur ein paar Mal im Jahr und das ist völlig unwichtig als Maßnahme. Und er hat die mangelnde Definition von "internationalem Terrorismus" sehr anschaulich illustriert, indem er argumentierte, da seien unter anderem Wirtschaftsgüter betroffen (das habe ich ja damals als "Onlinedurchsuchung bei Sachbeschädigung" kritisiert), und daher könne man argumentieren (er zitierte da auch noch ein EU-Gerichtsurteil in die Richtung, dass Streik als Handelshemmnis darstellte), dass von Gewerkschaften ausgerufene Streiks Terrorismus seien und unter dieses Gesetz fielen. Fand ich so toll, dass ich mich bei dem in der Kaffeepause persönlich bedankt habe, dass er das gebracht hat.
Oh, einen habe ich noch. Einer der SPD-Email-Ausdrucker sprach da davon, bei den Sauerländern hätten sie drei Tetrabyte an Daten gefunden (Danke an slowtiger für den schönen Photoshop). Bwahahahaha
Update: Lacher am Rande: es kam die Frage auf, warum wir nicht einfach die Formulierungen des Bayerntrojaner-Gesetzes nehmen, woraufhin sich die Sachverständigen unisono einig waren, dass das auch ganz offensichtlich verfassungswidrig ist.
Übrigens, mein persönlicher Held der Veranstaltung ist der Prof Geiger, der am Anfang ruhig und gesetzt rüberkam, aber immer schön seriös alle Punkte zerlegt hat. Der war mal BND-Präsident, was mich ja doch schockiert hat, weil der der einzige war, der da mit moralisch-ethischen Argumenten gegen das Gesetz kam. Der sprach auch als einziger ein Verwertungsverbot an, das ich ja auch gefordert hatte, für den Fall, dass sie Gefahr im Verzug brüllen und nach drei Tagen der Richter meint, der Einsatz sei illegal. Dafür habe ich ihm auch in der Mittagspause persönlich gedankt, und daraufhin wurde er nach der Mittagspause echt zum Tiger und kam da mit geradezu missionarischen Argumenten ala "Stellen Sie sich mal vor, SIE seien von so einem Gesetz betroffen, was für einen Rechtsschutz genießen Sie denn dann noch?" Erschütternderweise stießen diese Argumente bei den Abgeordneten auf völliges Unverständnis, so meinte der eine CDU-Apparatschik dazu "Sie tun ja geradezu so, als würden wir diese Maßnahmen gegen Unschuldige einsetzen!1!!". Äh, ja, genau das ist die Gefahr, Sie Knalltüte! Also der Geiger hat mir sehr gut gefallen. Wenn ich einen Orden verleihen könnte, er würde ihn kriegen.
Heise hat auch eine Meldung dazu, aber die liest sich fast als wäre der Herr Krempl bei einer anderen Anhörung gewesen :-)
Die Tagesschau findet auch, dass der Konsens war, dass das verfassungskonform war, und zitiert dafür ausgerechnet Prof Gusy, der da länglich argumentierte, dass man Artikel 13 dafür ändern müsse. Und von all den Kritikpunkten zitieren sie einen organisatorischen ("könnte mit den Zuständigkeiten der Bundesanwaltschaft kollidieren") und einen relativ leicht widerlegbaren ("könnte den falschen Computer treffen"). Pfui, Mainstream-Medien, Pfui! Noch schlimmer ist der erste Artikel dazu, wo sie gar keine Bedenken gehört haben (die müssen sich da was in die Ohren gesteckt haben).
Und wenn tagesschau.de wenigstens halbwegs seriös rüberkommt mit ihrer Falschberichterstattung, dann hat der Stern gar keine Hemmungen, dem Volk ins Gesicht zu lügen. Kein einziger der Staatsrechtler hat den Gesetzentwurf als verfassungskonform bewertet! Nicht mal die beiden CDU-Experten (der Heckmann und der Möstl, der schon vom Dialekt her klang als lehre er in Pullach)! Der Möstl hat immerhin für einige Punkte hanebüchene Rechtsauffassungen zu konstruieren versucht, wieso man möglicherweise für diesen Punkt ohne Verfassungsänderung auskommen könnte, bis es dann das Verfassungsgericht wieder einkassiert. Aber nicht mal DER hat sich da hingestellt und den Entwurf als verfassungskonform bezeichnet. Krass.
Kai Raven war auch da und hat seine Notizen geblogt. Seine Einschätzung zu Prof Gusy teile ich übrigens, der kam mir vor wie ein Hacker im Geiste, der auf Fragen, ob $XY verfassungskonform sei, mit bizarrologischen Konstruktionen antwortete, was man kunstvoll wie auslegen müsse, um da eventuell argumentativ in Richtung Verfassungskonformität kommen zu können. Bei mir blieb der Eindruck zurück, dass das alles in seinen Augen nicht verfassungskonform ist und man da größere Verrenkungen machen müsste, um das überhaupt verargumentieren zu können, aber offenbar sahen das die Experten-Reporter vom Stern anders. Bemerkenswert an dem Geiger war, dass er dieses Mal kraftvoll gegen das Richterband argumentierte, indem er am Ende aufzählte, wer bei einem Richterband (womöglich mit Dolmetschern) die eigentlich absolut geschützten intimen Kernbereichsdetails zu Gesicht bekäme.
I told him I was a musician and I recorded using Garageband in addition to surfing the internet, etc. He told me that Macbooks are consumer level machines and that often they can't handle writing big files like the kind Garageband uses. He said I should use an external hard drive for recording with Garageband.He refused to replace the machine and when I asked for the number for customer relations, he game me a number which was actually the Apple Care hotline.
Wieso kaufen Leute von dieser Firma?! (via)
Konkret geht es darum, die Nutzung des "Nike & iPod Kits", einem Pedometer, das in speziell dafür vorgesehen Nikeplus-Produkten [Schuh mit Fach unter der Innensohle bzw. Sportbekleidung mit kleinen Täschchen] Platz findet, mit Sportartikeln anderer Hersteller zu verhindern.Was müssen die eigentlich noch machen, bevor die ganzen Wochenend-Hacker mal deren Produkte boykottieren? (Danke, Oliver)
Mhh, so ein Zufall, wißt ihr noch einen Spitzenpolitiker mit nur 29% Approval Rating, dem die Mehrheiten verloren gegangen sind, und dessen Wirtschaft am Boden ist?
Und SIEBEN IDIOTEN haben das gekauft! Für 1000 Dollar!
Unfaßbar. Apple ist echt der perfekte Indikator für Leute, mit denen man nichts zu tun haben will.
Auf der anderen Seite würde ich an deren Stelle auch nicht öffentlich über ihren Security-Prozeß reden wollen.
5. CVE-2008-2324 - A privilege-escalation issue exists in Disk Utility. The issue occurs because the "Repair Permissions" tool in Disk Utility sets setuid permissions on "/usr/bin/emacs". An unprivileged local user may use emacs to run commands with system-level privileges after the "Repair Permissions" tool has been run. This issue does not affect systems running Mac OS X v10.5 and later.
Kann man sich gar nicht ausdenken, sowas. Un-faß-bar.
The confiscations are selective, too. One Muslim US tech vendor has been subjected to border interrogations at least eight times since early 2007. The assumption is, that since he had not accepted Jesus into his life, his laptop must be packed with terrorist plans.Apparently Muslim travellers get their laptops and mobiles confiscated if they say they do not like the current batch of US presidential candidates, so it's better to lie and say you like one of them.
Seven per cent of the Association of Corporate Travel Executives said they've had electronic devices seized at the US border and it could take weeks to get them back.
Krass. Da hab ich wohl echt Glück gehabt bisher.
Gut, aus meiner Sicht sind Safari und Paypal beides Geißel der Menschheit, insofern kann ich das nur begrüßen, wenn die sich kloppen. Aber… von ALLEN Gründen, Safari scheiße zu finden (mir ist z.B. völlig unklar, wie man ohne Adblock überleben kann), und — soviel ist unstrittig — da gibt es viele, nehmen die ausgerechnet den fehlenden Snake-Oil-Support? BWAHAHAHAHAHA
Also ich hoffe ja, dass Apple und Paypal sich streiten, und dass Verisign mit hinein gezogen wird, und dass die Saugstärke der drei ein schwarzes Quantenloch bildet und die drei in ein Paralleluniversum wegtunnelt. Bonuspunkte, wenn wir bei der Gelegenheit auch noch Western Union und/oder die katholische Kirche loswerden. (Danke, Gerd)
Impact: Format string vulnerability in Emacs Lisp may lead to an unexpected application termination or possibly arbitrary code execution.
HAHAHAHAHAHAHAHA, Format String! Emacs Lisp! BWAHAHAHAHAHA *lufthol*
Nachdem der Lissabonvetrag dann letztlich ratifiziert war, lieferte Parlamentspräsident Hans-Gert Pöttering ein Paradebeispiel für Heuchelei. Nach dem selbstgefälligen Applaus der Parlamentarier sprach er folgendes aus: "Sie haben mit überwältigender Mehrheit dem Reformvertrag zugestimmt. Dies ist der Ausdruck des freien Willens der Völker, die Sie vertretenAch tatsächlich. Völlig merkbefreit, der Mann.
Ich beglückwünsche Sie sehr herzlich zu diesem überzeugenden Ergebnis! Das Europäische Parlament vertritt die Völker Europas. Dieser Vertrag gibt der Europäischen Union mehr Handlungsfähigkeit und sichert mehr Demokratie.Nee, klar.
Dieser "Reformvertrag" ist der neue Versuch, die vom Volk abgelehnte EU-Verfassung durch die Hintertür durchzukloppen. Ich verweise da nochmal auf diese Videos hier.
Ich persönlich boykottiere sowas ja, solange es sich als "Podcast" bezeichnet. Scheiß Apple-Scheiße immer.
Bemerkenswert an dem Angebot sind folgende Details:
Ohne irgendwas davon mal in Aktion gesehen zu haben, maße ich mir mal folgende Glaskugel-Aussagen an:
Update: noch was vergessen: die verkaufen der Polizei auch gleich zwei (!) Proxy-Server zum Verschleiern der IPs. Zwei! Das finde ich bemerkenswert. Hat wohl doch mal jemand aufgepaßt bei unseren Tor-Vorträgen :-)
Die MP4-Version hat den Vorteil, auf der größten Player-Basis der Welt zu spielen: dem aktuellen Flash-Browserplugin. Ich bin mir sicher, bald wird jemand eine Webseite mit den Videos als Flash-Embeds machen. Mplayer kann das natürlich auch sauber abspielen, ist ja klar.
Die Matroska-Version habe ich so gemacht, weil Vorbis der coolste Audiocodec ist, und Matroska als Containerformat die Warez-Szene im Sturm nimmt, und die Warez-Leute sind da pingelig. Wenn das für die gut genug ist, hat das Zukunft. So sind auch RAR, AVI, MP3 und DivX groß geworden.
Eigentlich hätte es einen dicken FTP-Server auf dem Congress geben sollen für sowas, aber das hat wohl nicht stattgefunden, also haben wir die Videos einfach auf einen der FTP-Server hochgeladen, und sie verteilen sich gerade schon schön. Hier ist das CCC-Wiki, wenn ihr einen Mirror macht, könnt ihr euch da ja auch eintragen. Das sind die Videos von Tag 1, die heute fertig wurden. Im Moment läuft ein fetten Encode-Job, morgen gibt es neue Videos.
Da das dieses Jahr alles so ruck-zuck gehen mußte mit den Videos (haben wir uns nach den bösen Verzögerungen der letzten Jahre selber auferlegt), hat das Qualitätsmanagement ein bißchen leiden müssen. Wenn irgendwo was kaputt ist, und wir das übersehen haben, dann meldet euch. Wir können das in manchen Fällen noch retten. In anderen sind die Videos auch echt im Arsch, und dann müssen die armen FEM-Jungs das manuell von einem der Tapes popeln, die in den Kameras selber liefen. Es ist ausdrücklich geplant, dass das auch noch während des Congresses stattfindet. Mal gucken, wie es wird.
FEM und ich stehen übrigens ausdrücklich nicht in Konkurrenz, die machen Capturing, ich grabbe das nur zur Sicherheit auch noch mal von deren Signal ab und encode das. Ihre Captures sind mit professionellerer Technik aufgenommen und sehen vermutlich besser aus, aber haben wir halt beide mit technischen Rahmenbedingungen wie Matschsignal wegen HF-Signalen auf 100m-Kabel zu kämpfen, und die Beleuchtung ist in Saal 2 und 3 auch eher flau und der Kontrast schlecht, und dann gibt es da noch ein Kabel mit einem Wackelkontakt… wir tun halt, was wir können.
Da es diesmal so toll früh Videos gibt, würde ich mich freuen, wenn ihr euch da auch mal drüber freuen könnt, denn das ist ein echt übler Streß und Aufwand, das so fix hinzukriegen, und wenn ihr dem Club gegenüber zum Ausdruck bringt, dass euch das wichtig ist, dass das so schön läuft, dann ist vielleicht nächstes Mal auch Budget für anständige Leihkameras und kürzere Signalwege da. Oh und die FEM-Leute und ich nehmen natürlich auch gerne Lob und spontane Freudenausbrüche entgegen.
Oh, und den verärgerten Apple-Usern sei gesagt, dass FEM auch MP4-Encodings macht, die dann allerdings Ipod-fähig sein sollen, und vermutlich auch auf Nicht-Ipods besser aussehen (weil deren Capture-Equipment wie gesagt besser ist als meines).
And in the coming years, law enforcement authorities around the world will be able to rely on iris patterns, face-shape data, scars and perhaps even the unique ways people walk and talk, to solve crimes and identify criminals and terrorists. The FBI will also retain, upon request by employers, the fingerprints of employees who have undergone criminal background checks so the employers can be notified if employees have brushes with the law.
Und weil wir es mit der Bush-Junta zu tun haben, schämen die sich nicht mal:"Bigger. Faster. Better. Thats the bottom line," said Thomas E. Bush III, assistant director of the FBIs Criminal Justice Information Services Division, which operates the database from its headquarters in the Appalachian foothills.
Wo kommen die Daten her? Na sie führen einfach zusammen, was sie haben:The use of biometric data is increasing throughout the government. For the past two years, the Defense Department has been storing in a database images of fingerprints, irises and faces of more than 1.5 million Iraqi and Afghan detainees, Iraqi citizens and foreigners who need access to U.S. military bases. The Pentagon also collects DNA samples from some Iraqi detainees, which are stored separately.The Department of Homeland Security has been using iris scans at some airports to verify the identity of travelers who have passed background checks and who want to move through lines quickly. The department is also looking to apply iris- and face-recognition techniques to other programs. The DHS already has a database of millions of sets of fingerprints, which includes records collected from U.S. and foreign travelers stopped at borders for criminal violations, from U.S. citizens adopting children overseas, and from visa applicants abroad. There could be multiple records of one persons prints.
Yeah, die ganzen kriminellen Visa-Applikanten! Und die, die blöde genug waren, ihnen freiwillig ihre Daten zu geben.Aber denkt mal weiter.
Soon, the server at CJIS headquarters will also compare palm prints and, eventually, iris images and face-shape data such as the shape of an earlobe. If all goes as planned, a police officer making a traffic stop or a border agent at an airport could run a 10-fingerprint check on a suspect and within seconds know if the person is on a database of the most wanted criminals and terrorists. An analyst could take palm prints lifted from a crime scene and run them against the expanded database. Intelligence agents could exchange biometric information worldwide.
Und was machen sie dann mit den Daten?At the West Virginia University Center for Identification Technology Research (CITeR), 45 minutes north of the FBIs biometric facility in Clarksburg, researchers are working on capturing images of peoples irises at distances of up to 15 feet, and of faces from as far away as 200 yards. Soon, those researchers will do biometric research for the FBI.Covert iris- and face-image capture is several years away, but it is of great interest to government agencies.
So und jetzt aktivieren wir mal Sci-Fi. Ich stelle mir ja Crowd Control Roboter für Demonstrationen vor, die automatisiert die "Gefährder" rausziehen. Oder Scharfschützengewehre, bei denen im Zielfernrohr eine grüne Lampe angeht, wenn ein Gesicht erkannt wird. Klar, false positives hat man immer, aber wir müssen hier das Wohl der Bevölkerung über das des Einzelnen stellen!1!!
Ja. Apple. Für die Sicherheit.
APPLE! SICHERHEIT! BWAHAHAHAHAHA
Aber lest das mal genau, die stellen nicht um auf Apple, sondern die tun zwischen ihre ganzen Windows-Rechner jetzt ein paar Apple-Kisten. In der Hoffnung, offenbar, dass die "Sicherheit" von Apple abfärbt. Oder so. Oh. Mein. Gott. Und DIESE Leute haben Atombomben in den Händen. *grusel*
Vorab: Bug ist Bug, Windows und OS X sind auf Intel, die Exploit-Technik ist identisch. In Metasploit gibt es für beide Plattformen fertigen Shellcode. Wen greifen die an? Windows!
Versetzt euch mal in Apple. Du hast eine ultra-schlechte Software namens Quicktime gehackt, über die seit Jahren immer wieder Rechner aufgemacht werden, ein einziges klaffendes Sicherheitsloch der Größe von Spanien. Jetzt kommt ein Hacker. Und der hackt nicht dich damit, sondern Windows. Kann man überhaupt klarer mitgeteilt bekommen, dass OS X als Plattform völlig wertlos ist? Apple gibt den Hackern einen Angriffsvektor in die Hand, für den es öffentlichen Shellcode gibt, und die Hacker machen lieber Windows auf. BWAHAHAHAHAHA
Ich frage mich, wann die Scammer den Apple-User-sind-dämlich-Effekt nutzen und für Apple-Auktionen auf Ebay nur Zahlungen von Konten bei der Südnigerianischen Agrarbank annehmen, die aus bürokratischen Gründen 20 Kiloeuro Mindesteinlage brauchen.
Vodafone D2 hatte ebenfalls mit Apple über die exklusiven Vertriebsrecht verhandelt, die Gespräche aber beendet, da der US-Konzern ein Umsatzbeteiligung verlangt hat.Boah. Unglaublich. Sowohl dass Apple das fordert, noch unglaublicher aber, dass da irgendjemand einwilligt. Aber wartet, wird noch härter:
Dem Vernehmen nach reicht die Telekom rund ein Drittel der mit dem iPhone erwirtschafteten Umsätze an Apple weiter.WIE BITTE?!? Ein DRITTEL?!?!? Nicht der Gewinne, der Umsätze! Oh Mein Gott. Da fehlen mir echt die Worte. Mann muss T-Mobile mit dem Rücken zur Wand stehen, wenn sie so einen Deal machen.
Aber macht euch keine Sorgen, ist nur halb so schlimm, denn die Daten aller Apple-User sind eh alle schon dank der sieben Remote Exploits in Quicktime korrumpiert oder gelöscht.
Wozu brauchen die auch Verbesserungsvorschläge. Die kriegen es ja nicht mal hin, dass ihre Firewall die Verbindungen blockt.
Immerhin macht es nichts, wenn die Firewall kaputt ist, denn die Daten sind eh futsch :-) (Danke, Mathias)
Wenn man sein Ipod abstöpselt, während man auf sein Iphone synct, kackt der Iphone-Syncprozess ab und macht auf dem Iphone Daten kaputt. (Danke, Markus)
gzip: mpeg4ip-1.6.1.tar.gz: invalid compressed data--format violatedMhh. Anderer Mirror. Selbes Ergebnis. Überall kaputt. Na PRIMA. Also ziehe ich mir das aus dem CVS. ./configure? Gibt es nicht. Dafür gibt es bootstrap und cvs_bootstrap. Ersteres beendet sich und verweist auf zweiteres. Dieses sagt:
+ automake --add-missing --foreignGanz großes Kino. Das ist noch unter Bananensoftware, denn es reift ja nicht mal bei mir als Kunden. Es handelt sich auch nicht, wie man vielleicht vermuten könnte, um configure.in, sondern um lib/SDLAudio/configure.in. Wie können die so eine Gülle ausliefern?! Und das ist die Software, die man braucht, wenn man mp4-Dateien erstellen will.
/usr/share/automake-1.10/am/depend2.am: am__fastdepCCAS does not appear in AM_CONDITIONAL
/usr/share/automake-1.10/am/depend2.am: The usual way to define `am__fastdepCCAS' is to add `AM_PROG_AS'
/usr/share/automake-1.10/am/depend2.am: to `configure.in' and run `aclocal' and `autoconf' again.
+ exit 5
Die Software referenziert auch libavutil von ffmpeg, aber benutzt dafür nicht pkg-config, der dann alle Dependency-Libraries (xvid, pthread bei mir) auch lädt, sondern versucht es von Hand und fliegt natürlich direkt auf die Fresse. Ganz, ganz groß.
Und was sagt die Homepage?
What's Next??? as of 9/28/07, development is stopped, and we are not taking any more contributions.
Da weiß man, was man hat.Oh, und natürlich kompiliert das auch nicht, weil der aktuelle gcc 4.2.2 da ein bisschen pingelig ist:
cc1plus: warnings being treated as errorsJetzt wird mir bestimmt jemand schreiben, dass man auch mit ffmpeg mp4-Dateien erzeugen kann.
atom_amr.cpp: In constructor 'MP4AmrAtom::MP4AmrAtom(const char*)':
atom_amr.cpp:33: warning: deprecated conversion from string constant to 'char*'
atom_amr.cpp:36: warning: deprecated conversion from string constant to 'char*'
atom_amr.cpp:38: warning: deprecated conversion from string constant to 'char*'
atom_amr.cpp:41: warning: deprecated conversion from string constant to 'char*'
atom_amr.cpp:43: warning: deprecated conversion from string constant to 'char*'
$ ffmpeg -vcodec copy -acodec copy -i HVA.avi HVA.mp4läuft sogar durch und erzeugt eine .mp4-Datei, aber wenn man die mit mplayer abspielen will, kriegt man
Starting playback…und diese Fehlermeldung dann für jeden Frame. Hel-den-haft.
[h264 @ 0xfbd180]no frame!
Error while decoding frame!
Mit mencoder kann man theoretisch auch mp4 erzeugen:
mencoder -ovc copy -oac copy -of lavf -lavfopts format=mp4 HVA.avi -o HVA.mp4mplayer spielt das dann auch wieder ab, und in der aktuellen CVS-Version ist sogar die B-Frame-Warnung verschwunden. Aber das Flash-Plugin hängt sich dann daran auf.
One particular bug that has appeared exists not in Mozilla, but in IPv6-capable DNS servers: an IPv4 address may be returned when an IPv6 address is requested. It is possible for Mozilla to recover from this misinformation, but a significant delay is introduced.Under certain versions of OS X, this bug is compounded by another bug wherein the OS still makes IPv6 DNS requests even if IPv6 support is disabled. A significant delay is introduced in all connections requiring DNS lookups while the OS and the DNS server exchange unnecessary (or redundant) queries and responses to resolve the address.
Kann man sich gar nicht ausdenken, sowas.
Den FEM-Leuten danke ich hiermit ausdrücklich für ihre gute Arbeit. Trotzdem würde ich das nächstes Mal gerne selber machen (gerne zusätzlich zu ihnen), und dann als Zielvorgabe haben, dass die Videos noch während des Congresses fertig geschnitten und final encoded zum Download vorliegen, aber als Mindestanforderung die ungeschnittenen Zwischenschritte während des Congresses downloadbar haben, denn da hat jeder eine dicke Anbindung und es ist nicht so schlimm, wenn man da ein paar Gigabyte mehr ziehen muss, denn Platten sind billig. FEM kann gerne das Streaming machen, aber ich möchte gerne das Rohmaterial haben, damit wir nicht wieder ein paar Monate lang warten müssen, bis das überhaupt im Netz ist.
Also, nichts für ungut, FEM. Nächstes Mal speichert ihr den Ton bitte als PCM ab, damit man die Brummschleife digital rausrechnen kann. Und die Apple-Fraktion ignoriert ihr einfach, wenn die irgendwas nicht abspielen können. Das interessiert nämlich keine Sau, die beiden Apple-User können sich das gerne selber umrechnen für ihren Ipod, dafür gibt es nämlich freie Software.
Daher jetzt hier der Aufruf an die Bastler. Wer hat sowas auch schon mal gemacht? Welche Hardware kommt in Frage? Hier gibt es eine Übersicht der Plaste-Consumer-Geräte, auf denen Leute schon Linux aufgespielt haben.
CPU-Performance wäre mir weitgehend wurscht, solange ich das Gigabit Ethernet saturiert kriege, wenn die Daten im Buffer Cache waren. Aber wenn es so nen Quad Core 2 GHz MIPS64 für nen Appel und nen Ei irgendwo gäbe, würde ich auch nicht nein sagen :-)
A spokeswoman for the justice ministry in Berlin told the Associated Press news agency Germany had decided against passing on to US authorities the extradition demand of the prosecutors in Munich.Ja, äh, warum eigentlich nicht?Der Spiegel reported that Berlin had decided not to proceed in order to "avoid an open conflict with the American authorities".
Update: Hat sich geklärt: Die Zypries läßt das ruhen, weil Schäuble dagegen ist, und mit dem gäbe es ja schon genug Streit gerade wegen dessen "Sicherheits"-Gesetzen. Was die Zypries da betreibt, das nannte man früher Appeasement-Politik. (Danke, Alexander)
Apple spokeswoman Natalie Kerris points out in its terms and conditions that it will cost an arm an a leg to use an Iphone out of the US even if no services are intentionally used.
Aber Recht haben sie. Sowas kann man echt nur mit Apple-Usern abziehen. Wieso soll sich nur Apple an diesen Leuten sanieren, AT&T kann die Kohle auch gut brauchen.
Bei einem Update habe ich mir mal gcc-config geupdated, und plötzlich war gcc richtig doll langsam. Einfach nur gcc ohne Argumente aufrufen dauert plötzlich 0,6 Sekunden. WTF? Ich habe also mal ein strace gemacht, um zu gucken, was der da alles aufruft, und haltet euch fest:
IT IS A TRUTH universally accepted that a man in possession of any Apple product is in want of a brain.
Dem ist nichts hinzuzufügen.Update: Haha, war nur nen Hoax, haha *schenkelklopf* wassindmerwiederwitzisch (Danke, Kris)
Gerade im internationalen Bereich wird Europa noch vor den USA inzwischen als führend bei der Durchsetzung von Immaterialgüterrechten angesehen.Gaaaaanz toll. Genau dafür haben wir die Leute gewählt, damit sie uns jetzt unter dem Joch der Contentmafia knechten.
as police attempted to extricate him from his motor, he "clutched his laptop computer and screamed the name of Apple's CEO Steve Jobs". A fireman later told 3 News "he believed the man had a mental illness".
(Danke, Benjamin)
Update: War Ciscos Schuld, nicht Apples.
Update: Da steht auch noch der größte Apple G5 Cluster. Damit ist die Sache klar, das war Apple-Bogonenstrahlung.
Ich hab ihn überredet, das irgendwo zu bloggen, damit ich drauf linken kann.
Also ich bin ja fast zu wetten gewillt, daß das irgendeine DRM- oder Copyright-Enforcement-Kacke ist, an dem das wieder hängt. Irgendein Antidebug-Scheiß vielleicht? Mann Mann Mann. Das ist selbst für Apple-Verhältnisse schlecht, und hey, das heißt was.
Update: Oh, hier ist noch was schönes:
In light of the recent extremely long article about how cool Macs are, I figured I would provide instructions on how to wreck a brand spankin' new not-even-off-the-shelf Apple Macintosh computer.
- Go to the Apple store.
- Get on a brand new computer.
- Run the Calculator widget.
- Type 99999999*99999999 in the widget.
- Hold down the Enter key until the numbers stop changing.
Voila.
Gut, auch bei uns ist da ein bißchen Posing dabei, aber man trifft doch nette neue Leute auf dem Congress, und kann sich streßarm unterhalten. Bei den Amis geht es echt nur ums Coolness-Simulieren. Da werden immer von sich cool gebenden Firmen krasse Parties geschmissen, wo es dann ein furchtbares "aber nur die Coolen sind eingeladen" Getue gibt, und am Ende ist es dann doch bloß ein tumbes Besäufnis, bei dem sich am nächsten Tag keiner an Details erinnern kann.
Wie komm ich jetzt darauf? Ich habe mich vor einer Weile überreden lassen, bei Daily Dave zu subscriben. Das ist eine Mailingliste von Dave Aitel, dem Chef von ImmunitySec. Und selten sieht man so schön, wie Anspruch und Realität auseinanderklaffen können. Es soll da (natürlich) darum gehen, daß nur die coolen Kids miteinander abhängen, und die sollen angezogen werden über den coolen Content, den Dave da postet, und was passiert dann da am Ende? Sind zwar alle subscribed, aber niemand postet was. Dave schickt eine Mail pro Tag, und eine peinlicher als die letzte. Fast nur Werbung für seine großartigen Produkte, für seine tolle Firma, und der neueste Hammer: Canvas (ihr Python-Framework ala Metasploit) kann jetzt IPv6! Das ist ja un-glaub-lich, IPv6 sagt ihr? In 2007? WHOA! Sogar Windows hat vor denen IPv6 supported, und jetzt glaubt er damit Coolness-Punkte einsammeln zu können? Beachtlich auch, daß er damit Werbung macht, daß sie das einzige "penetration testing platform" mit IPv6-Support seien. Tja, so schlecht ist das da draußen in der Security-Branche. Daher setze ich auch kein einziges dieser Toolkits ein in der täglichen Arbeit. Nicht daß die gar nichts taugen, das ist im Grunde eine Sammlung von Exploits, die sie gehackt haben, mit einer For-Schleife und einem gruseligen Python-GUI drum herum. Also ja, ist ne Leistung, aber … dafür Geld ausgeben? HAHAHA.
Wenig erstaunlich weist ihn dann ein Finne darauf hin, daß ihr Tool schon seit Jahren IPv6 kann, und da entgleist Dave dann vollends. Also ich finde das ja schon frech genug, einen Haufen Python-Kode auch noch verkaufen zu wollen, aber hey, vielleicht findet er ja Kunden. Aber dann seinen Code (der ja nicht mal sein Code ist, er ist da der CEO, nicht der Hacker) als NP-vollständig zu bezeichnen, und deren Fuzzer als O(1), das ist so genau die Art, die ich an den Amis nicht leiden kann. Zumal die einzige Software, die er selbst veröffentlicht hat, SPIKE ist. Eine Fuzzer-Sammlung. Und seine Email-Adresse damals war bei Hotmail. Hotmail! Bwahahaha.
Aber das betrifft nicht nur die Security-Branche. Das ganze Internet ist voll von aufgeblasenen Posern, die selbst noch nie eine meßbare Leistung erbracht haben, aber ewig rumbloggen, wie cool sie sind. Ganz oben in meinem Web-Killfile ist "Joel on Software". ARGH! Wobei der ja offenbar immerhin erfolgreich eine Firma betreibt, also nicht völlig hohl ist. Also ich habe ja so meine Probleme mit den Dylan-Evangelisierern, aber die sind immer noch weniger anstrengend als Joel. Aber so ist das wohl, je weniger jemand kann, desto mehr fühlt er sich zu sagen verpflichtet. Genau wie bei den Apple-Fanboys und den Debilianisten.
BTW: Sobald Jörg Schilling ein ich-bin-ja-so-cool Blog aufmacht, ziehe ich diesen Artikel zurück.
Ich lese ja gerade dieses Buch, "Russland im Zangengriff", von Peter Scholl-Latour, und der stellt da ein ganz anderes Bild von Putin und Russland dar als unsere Presse. Erstens: Russland hat sich uns gegenüber immer peinlichst an die Abkommen gehalten, und wenn sie dafür selbst Engpässe hinnehmen mußten (die Ausnahme war der Rekordwinter letztes Jahr, als ihnen da alles zugefroren ist und die Leute reihenweise erfroren, aber, äh, kann das jemand nicht nachvollziehen?).
Zweitens: der Putin hat Russland an den Haaren aus der Scheiße gezogen, als nichts anderes mehr heraus guckte. Ist der unter unklaren und bizarren Umständen an die Macht gekommen? Natürlich! Aber wer ist das nicht!
Drittens: in den Oststaaten hat sich in den Geheimdiensten die Elite versammelt. Da sind die Strategen hingegangen, die sich mit Diplomatie, Gegebenheiten in anderen Ländern, Überzeugen und sogar PR auskannten. Dort trifft man die Leute, die fünf Sprachen sprechen, die Shakespeare und Goethe gelesen haben. So gesehen ist es geradezu ein Glück, daß jemand mit Grips aus diesem Umfeld gekommen ist, um Russland zu retten, und nicht irgendein Alkoholiker-Tölpel ala Jelzin oder ein gehirngewaschener Apparatschik ala Gorbatschow (dessen Heldenbild sich bei näherer Betrachtung weitgehend in Luft auflöst). Gibt es in den Diensten auch zwielichtige Gestalten, Gehirnwäscher, Giftmörder? Klar! Aber die gibt es auch draußen.
Scholl-Latour stellt Putins Arbeit zu einem Großteil als Aufräumen hinter den Oligarchen dar. Die haben die Macht übernommen, denen gehören die Medien und die Industrie, und Putin nimmt ihnen das der Reihe nach wieder weg. Ist das alles rechtsstaatlich, was da passiert? Nein. Ist es im Interesse Russlands? Kann man nicht wirklich leugnen.
Unklar ist auch die Tschetschenien-Frage. Es sieht so aus, als geht es da weniger um "die Terroristen" als um Russlands Version der Dominotheorie. Genau wie die Amis glaubten, daß eine Niederlage in Vietnam die ganze Gegend "den Kommunisten" in die Arme treiben würde, sieht der Kreml das offenbar so, als würde Schwäche zeigen in Tschetschenien die ganze Region dem Islamismus anheim fallen lassen. Das ist überhaupt ein Problem in den ganzen abgespaltenen Staaten im Osten, und offenbar hat Russlands Militäreinsatz dort tatsächlich bewirkt, daß sich kein anderes Land traut, offen ein islamistisches Regime an die Macht kommen zu lassen.
Scholl-Latour reduziert den ganzen Konflikt (nicht nur) in der Gegend auf "Westen" gegen "Islam", und meint, Russland sei schon traditionell die Pufferzone des Westens gegen die wilden Tartaren-Horden aus der Mongolei gewesen, und je mehr die Amis die Gegend destabilisieren mit ihrer forcierten NATO-Expansion, desto weniger kann Russland den Westen und sich selbst schützen. Die Amis sehen sich da auch ein bißchen in der Rolle, daß sie dann eben diese Rolle mit übernehmen, aber man sieht ja, wie gut das in Afghanistan und dem Irak klappt.
Ich kann natürlich nur in Fragmenten davon beurteilen, ob diese Aussagen die Wahrheit sind, aber sie sind in sich konsistent, und sind durchaus gerade dabei, mich zu überzeugen. Scholl-Latour schreibt sogar an einer Stelle, Putin habe die Rolle des starken Führers übernommen, als die Russen genau so etwas gebraucht haben. Ob man so weit gehen muss … ich weiß es nicht. Aber es ist ja nicht zu bestreiten, daß der Mann da großartiges vollbringt, und Europa und insbesondere Deutschland (wo er studiert hat) gegenüber stets ein verläßlicher und wohlgesonnener Partner war, der sich an seine Ansagen hält (im Gegensatz zu den Amis, die Gorbi in die Hand versprochen haben, daß es bei einer deutschen Wiedervereinigung keinerlei NATO-Expansion geben würde).
Applications such as Internet Explorer have been tightly integrated with Windows and given administrator access control privileges, providing an intruder access to the entire system if the application is compromised via a security flaw.
Ja, meine Damen und Herren, SO TIEF ist Suse gesunken, daß sie jetzt in ihrer Werbung nicht nur die Konkurrenz bashen müssen, anstatt auf ihre eigenen Stärken hinzuweisen, nein, sie sehen sich dabei auch noch zum Lügen gezwungen. Für mich sieht das aus wie ein Gerichtsverfahren in naher Zukunft. Und das fällt gleich negativ auf Linux zurück, soviel steht ja schon mal fest.
Soweit business as usual. Aber nun gibt es tatsächlich Leute, die glauben, Apple würde sie für ihr Telefon Anwendungen bauen lassen (wie das bei allen anderen Mobiltelefonen ja auch geht). Nun guck mal einer schau:
"You don't want your phone to be an open platform," meaning that anyone can write applications for it and potentially gum up the provider's network, says Jobs. "You need it to work when you need it to work. Cingular doesn't want to see their West Coast network go down because some application messed up."
Soviel zum iPhone. Liebe Apple-Fanboys, lasst mich euch ins Gesicht sagen: HAHAHAHAHAHA.Und noch was: Cingular kriegt gerade so tolle Presse wegen des iPhone, da muss man doch was tun: AT&T (Eigentümer von Cingular) will die Marke auflösen und wieder zu AT&T umbenennen. Das haben sie letztes Mal mit SBC Communications gemacht, und das hat sie ne Milliarde Dollar gekostet. Ich denke mir immer, wenn ich so was lese: eine Milliarde hier, eine Milliarde dort, nach einer Weile summiert sich das zu richtig Geld! :-)
./indra/newview/llinventorymodel.cpp: system(buffer);Und dann dieser Instant-Klassiker-Kommentar:
./indra/newview/llstartup.cpp: system(update_exe_path.c_str());
./indra/newview/viewer.cpp: system(command_str.c_str());
./indra/newview/viewer.cpp: command_str += " &"; // This backgrounds the command so system() doesn't block until the crashreporter exitsUnd noch ein Haufen system-Aufrufe im OS X Update Teil, aber hey, weiß ja jeder, daß OS X sicher ist, da muss man also nicht weiter gucken. BWAHAHAHAHA.
Also ich finde ja, Second Life hacken ist wie die Special Olympics hacken. Da könnte ich danach nicht mehr ruhigen Gewissens schlafen. Aber falls das jemand der Anwesenden hier benutzt: ihr werdet demnächst voraussichtlich am Grid Computing teilnehmen, wenn auch unfreiwillig.
Oh, popen ist auch beteiligt:
./indra/mac_updater/mac_updater.cpp: FILE *mounter = popen("hdiutil attach SecondLife.dmg -mountpoint mnt", "r");Also ich habe ja keine Ahnung von Apple, aber das sieht vage gefährlich aus. Dann noch dieses Extrembeispiel von programmiererischer Eleganz:
./indra/SConstruct:pipe = os.popen('grep LL_VERSION_MAJOR llcommon/llversion.h | sed \'s/.*=//; s/[^0-9]*//g\'')
Also ich finde ja eh, wir sollten uns ab jetzt die Produktentwicklung sparen. Ist ja eh alles Müll. Ab jetzt nur noch Geld für virales Marketing ausgeben, und wenn dann genügend viele Leute das Produkt haben wollen, DANN kann man mit der Entwicklung anfangen. Die Spielebranche macht das ja schon eine Weile so. Die haben dann sogar Termine mit Journalisten, wo sie denen dann außer "Concept Art" nichts zu zeigen haben. Da geht die Entwicklung hin, Freunde, von Just-in-Time Produktion zu After-Sale-Produktion. Dell macht es vor, da zahlt man sogar, bevor das Notebook überhaupt produziert wird. (Danke, nibbler)
Danach hab es von Honk einen Vortrag über seine Erfahrungen mit Security-Audits in der Kreditkartenindustrie, und da waren eine echte Schenkelklopfer dabei. Tja, Schadenfreude ist doch die schönste Freude.
Den Lawrence Lessig Talk habe ich mir gespart, da war ich mit ein paar alten Kumpels essen. Ich hätte mir sonst vermutlich den PocketPC-Talk angehört.
Im nächsten Slot lagen sehr unglücklich "Automated Exploit Detection in Binaries" von einem mir vorher Unbekannten, "Pornography and Technology" von Tina, "Sie haben das Recht zu schweigen" von Udo "lawblog.de" Vetter und "Rootkits as Reversing Tools" von einem anonymen Vortragenden parallel. Jeden davon hätte ich gerne gesehen, aber ich bin am Ende zu der Exploit Detection gegangen. War ein Fehler. Das Konzept ist, Binaries zu disassemblieren, Basic Blocks hinterher zu laufen, über Wertebereiche Buch zu führen, und dann Schreibzugriffe von vergifteten (vom Angreifer kontrollierbaren) Daten außerhalb des gültigen Buffers. Klang alles nach Star Trek, und statt einer Vorführung gab es den Hinweis auf irgendwelche Sourceforge-Sachen und einen Exploit in Trillian, den sie offenbar unabhängig gefunden haben. Nicht beeindruckend.
Das lustige an dem 4. Vortrag war, daß der Vortragende gar nicht körperlich anwesend war, sondern per VoIP und TOR-Tunnel vortragen wollte. Ob das geklappt hat weiß ich nicht, aber das finde ich einen enorm coolen Stunt.
Am Abend lagen dann wieder drei coole Dinge nebeneinander, "Hacker Jeopardy" (da mußte ich meinen Titel verteidigen), "Powerpoint Karaoke" (dort war ich verpflichtet worden), und "Schlossöffnung bei der Staatssicherheit der DDR" (hätte ich auch brennend interessiert). Ich bin dann anfangs zum Karaoke gegangen, habe dort eine absolut furchtbare Foliensammlung gekriegt, und bin mit wehenden Fahnen untergegangen bei der Präsentation :-) Es ging offenbar um Zitate aus einem Buch (jeweils ein Satz oder Satzfragment, sowas wie "Anton errötete alsdann jungenhaft" und darunter ein Bild, das mit dem Zitat darüber so gut wie keinen Zusammenhang hatte. Es gab auch keinen roten Faden, keine tatsächliche Aussage, und so gelang es mir nicht, da sonderlich viel raus zu holen.
Dann wurde ich rausgewunken aus dem Raum und mußte zu Hacker Jeopardy rüber, das dieses Jahr auch in Englisch gehalten wurde. Zur Begeisterung des Publikums gab es eine Kategorie "Things Fefe Doesn't Know", mit furchtbaren Fragen wie welche DECT-Nummer man anrufen muss, um das Labyrinth zu kriegen (ich habe kein DECT-Phone und bin mit genau dieser Frage schon letztes Jahr baden gegangen), welche Tastenkombination auf einer Apple-Tastatur das @-Zeichen ergibt (WTF?!), was Windows-Taste+D tut (?!?) und noch zwei Fragen aus dieser Kategorie. Ich war zu dem Zeitpunkt eh unter Einfluß von Wodka (den sie uns beim Karaoke zur Auflockerung gegeben hatten) und vom Schlafentzug verlangsamt, und habe so ziemlich versagt, konnte kaum was beantworten. Eine Kategorie war ASCII-Ports, da haben sie dann sowas wie "n" gehabt, man mußte dazu den ASCII-Wert wissen (110), und dann "Was ist POP3?" fragen. Kann ich gar nicht, denn in C kann man sowas wie return i-'a' schreiben, da muss man keinen Integer-Wert nachgucken. Nicht nur das, bei vielen Ports hätte ich nicht mal mit der richtigen Umrechnung den Dienst dazu gewußt :-)
In der Mitte des Jeopardy stand es dann -500, 0, -200, 0 (die letzte 0 war ich, der ich noch nichts hatte beantworten können), und ich wollte mich schon entspannt zurück lehnen, und mal die anderen gewinnen lassen. Ein bißchen Gegenwehr wollte ich aber schon simulieren, und so habe ich zwei Fragen beantwortet, hatte dann 500 Punkte, und es waren als letzte Felder die 100-400 Fragen von "Things Fefe Doesn't Know" frei. Ich wußte in der Tat keine einzige der Sachen aus der Kategorien, aber die anderen auch nicht. Und die fühlten sich offenbar genötigt, da dann lieber was zu riskieren und falsch zu antworten, wodurch ich am Ende doch noch gewonnen habe. Meine Siegprämie war eine große Flasche Humppa-Bier und ein Plüsch-Puffy, über den sich mein Jüngster freuen wird.
Ich hatte noch auf dem Gang ein lustiges Gespräch mit Wim, der meinte, man könnte ja zu FreeBSD nicht mehr Free sagen, weil sie so viele BLOBs im Kernel haben, und daher würden die OpenBSDler sie jetzt Ersatz-FreeBSD nennen :-) Hach ja, friendly fire wärmt einem doch das Herz zur Winterzeit…
Morgen früh haben sie den armen Ilja um 11:30 in den Saal 1 gelegt, hoffentlich ist der um die Zeit schon wach. Guckt euch das mal an, er hat mir schon mal verraten, daß es einen schönen OpenBSD-0day gibt.
Einen Talk habe ich mir dann doch mal angehört, von Amit Singh über Apple TPM, und wie erwartet (der Mann hat schließlich vorher bei IBM gearbeitet, offenbar sogar in der Nähe des TPM-Projektes) war das ein "das TPM ist ein harmloser kleiner Chip, mit dem man tolle Dinge tun kann, und Apple benutzt das eh gar nicht weiter" Whitewash. Rüdis Talk über TPM war gecancelt worden, und Rüdi hatte Amit offenbar im Vorfeld eine Mail geschickt, aber keine Antwort erhalten, und so fühlte sich Rüdi als Opfer eine großen Tim Pritlove Weltverschwörung und hat dann in der Fragesektion seinem Unmut Luft gemacht. Ich bin vorzeitig rausgegangen, damit ich ein Alibi habe, aber es haben wohl alle körperlich unversehrt überstanden.
Dann nimmt das Gutachten diesen Wert, um die Anzahl der benötigten Server zu berechnen, indem sie TPC-Werte nehmen und die Verordnungen durch die TPC-Werte teilen. Sie haben als typische TPC-Werte 100-200 Transaktionen pro Sekunde bestimmt, diese Werte kommen wohl von IBM und Sun, also geben sie als Ergebnis an, daß man dann ja 70-140 Server bräuchte. Mhh. Also wenn ich ihre 28.000 Verordnungen nehme, komme ich auf 140-280 Server, und wenn ich meine 15.500 Verordnungen nehme, komme ich auf 78-155 Server.
Wieso erwähne ich das mit den TPC-Werten? Das sind Hardware-Benchmarks, die Hersteller benutzen (wie ehemals die MIPS-Angaben bei CPUs), um ihre Hardware gut aussehen zu lassen. Die TPC-Werte haben mit real erreichbaren Transaktionen so gut wie nichts zu tun. Da hat der Hersteller unter Laborbedingungen tiefergelegt mit Spezial-Builds, besonders viel Cache, handgetunetem OS usw. versucht, maximale Marketing-Zahlen zu erreichen. Das für ein reales Server-Sizing zu nehmen ist hanebüchen.
Ist geplant, über die Pflicht- und freiwilligen Anwendungen hinaus noch weitere Anwendung über die eGK zu realisieren (z.B. Bonusprogramme, usw.)?"
Update: Eine Sache ist noch auffällig: bei mehreren Punkten ignorieren sie Kosten mit dem Hinweis, daß das ja bei den Kosten für die Karten schon drin sei — diese Kosten werden aber anscheinend den Bürgern aufgedrückt, und zählen deshalb nicht als Projektkosten. Noch was: der Krypto-Punkt bezieht sich auf das MPLS. Da ist VPN-Hardware mit IPsec im Einsatz, allerdings nur von dem Arzt zum Backbone, und der läuft per MPLS und hat ~50 Endpunkte, daher denke ich nicht, daß das bloß das LAN im Rechenzentrum sein soll.
Update: offenbar haben sie da von Dual Opterons gestreamt und die Xserve waren nur FC-Interfaces…!? Und die haben jeweils 2 Gigabit-Interfaces, das hatte ich übersehen. Damit haben sie in der Tat von 12 GBit Nenndurchsatz gut die Hälfte erreicht. Für so eine "Glanz"leistung würde ich ja keine Presseerklärung raushauen.
Nun kann ich mit einem Speicherleck eher umgehen als mit crashender Infrastruktur, und so habe ich das kurzerhand auskommentiert. Dann crasht git nicht mehr, aber das update schlägt immer noch fehl:
Fetching head…Ihr glaubt ja gar nicht, wie wenig Toleranz ich solcher Kinderkacke gegenüber aufzubringen habe. Ich habe das jetzt nicht genug debugged, um mit Sicherheit sagen zu können, daß curl Schuld ist, aber curl hat mich ja schon damit gegen sich aufgebracht, daß ich nach dem Update alle Applikationen neu linken mußte, die dieses Stück Sondermüll benutzen, insbesondere centericq und ogg123. NERV!!
Fetching objects…
error: Request for c9701c80af9b9c3be27dfe4076280a24aa3059dd aborted
Getting pack list for http://elinks.or.cz/elinks.git/
error: Unable to start request
Getting alternates list for http://elinks.or.cz/elinks.git/
error: Unable to find c9701c80af9b9c3be27dfe4076280a24aa3059dd under http://elinks.or.cz/elinks.git/
Cannot obtain needed none c9701c80af9b9c3be27dfe4076280a24aa3059dd
while processing commit 0000000000000000000000000000000000000000.
progress: 0 objects, 0 bytes
cg-fetch: objects fetch failed
#define TIFFhowmany8(x) (((x)&0x07)?((uint32)(x)>>3)+1:(uint32)(x)>>3)Sieht ja furchtbar aus, als mache der da eine längenabhängige Kodierung, ASN.1 oder so, und dabei will der nur wissen, wie viele Bytes man braucht, um x Bits zu kodieren. Wie hätte man das einfacher ausdrücken können? So z.B.:
#define my8(x) (((x)+7)>>3)Das habe ich in irgendeinem gruseligen G3-Plugin gefunden, und wenn man mal bei codesearch.google.com guckt, hat das jeder und sein kleiner Bruder kopiert. Erster Hit: bei Apple. :-)
Durch umfassende Auswertung und Planung hilft Symantec Unternehmen bei der Implementierung von optimalen Verfahren für sicheres Programmieren.Ob das die bisherigen Knowhowträger von T-Systems sind?
Symantec Secure Application Services sind weltweit verfügbar.Oh, da bin ich mir sicher, z.B. in Indien.
Was sich wohl die Marketing-Abteilung bei Microsoft denkt, wenn sie sowas beschließen? "Wir dürfen keinesfalls Erfolg haben mit dem Produkt, sonst kommen wieder die Kartellwächter"?
Wie erbärmlich muss man sein, um die Auflösung von im Web veröffentlichenten Videos von der Bildschirmauflösung seines Apple-Abspielgeräts abhängig zu machen? Leute, im Web publiziert man nicht für sich, sondern für die Leute da draußen. Und die Idee hinter offenen Standards und offenen Protokollen ist, daß man da eben nicht an einen Hersteller gebunden ist. *rant*
Oh, und dann ein "Sleep-Proxy", der dem Service ein Wake-Up Paket schickt, wenn er gerade schläft, und für ihn ein Request reinkommt. Offensichtlich? Für euch vielleicht, nicht aber für Apple!
Dann ist da noch "Single-channel convolution in a vector processing computer system". Was macht da ihre Erfindung aus? Daß sie eine Gleichung vereinfachen konnten, indem sie einen Vektor voller 1-Elemente nehmen. Äh, WTF?! Eine Faltung mit Vektorinstruktionen, da ist bestimmt noch keiner drauf gekommen, und Vektoren mit Einsen? Meine Fresse, das ist Roswell-Technologie!1!!
Dann patentieren sie da noch ihr Gehäusedesign, eine farbraumneutrale Skriptsprache für Videoeffekte, und eine Methode, wie man durchsichtige Ebenen darstellt, indem man vorne anfängt und hinten nur die Teile rendert, die sichtbar sind. Da *hust* Z-Buffer *hust* können sich die anderen mal was von Abschneiden!1!!
Also ich finde ja, das Patentsystem gehört abgeschafft. Ohne Patentsystem ist das ein selbstregulierendes System, das genau die Eigenschaften hat, die man haben will. Wenn die Erfindungshöhe nichttrivial ist, dauert das reverse engineeren lange, und man ist Jahre vor der Konkurrenz am Markt damit und hat damit sein Monopol. Und über diesen Apple-Lacher hier könnte man laut lachen, anstatt sich Sorgen zu machen, daß die jetzt ffmpeg oder Photoshop abmahnen mit ihren l33t SIMD Skillz.
Kris schlägt vor, auch hierfür einen Award auszuschreiben. Als Namensgeber würden mir spontan Kramer und Al Yankovic einfallen. Was meint ihr? Zoidberg? (Danke, Kris)
Over the past few years, OpenDarwin has become a mere hosting facility for Mac OS X related projects. The original notions of developing the Mac OS X and Darwin sources has not panned out. Availability of sources, interaction with Apple representatives, difficulty building and tracking sources, and a lack of interest from the community have all contributed to this. Administering a system to host other people's projects is not what the remaining OpenDarwin contributors had signed up for and have been doing this thankless task far longer than they expected. It is time for OpenDarwin to go dark.
Ob Apple denen Ärger gemacht hat, wenn jemand wie Ilja und ich laut lachend auf Code bei denen verlinkt hat? OS X is zwar ne Lachnummer, aber man kann da viel entspannter lachen, wenn man bei OpenDarwin auf den Source zugreifen kann. Schade.
The social democrat prime minister, Algirdas Brazauskas, announced his resignation, suggesting he could "not see any possibility of continuing his work"."I think the time has come for a new and younger generation to take over. I have been prime minister for five years, which has been enough," he told journalists.
Na, liebe Apparatschiks in der Bundesregierung? Wäre das nicht auch mal für uns ein Modell?
Auf der anderen Seite: maybe not
Und Apple weiß das offensichtlich auch: "How to pick up and carry your iMac G5"
Auf der anderen Seite das hier (Nein, wird nicht verraten)
Government debt fell for a third straight quarter. Net debt now represents roughly half of GDP, compared to 90 per cent a decade ago.
Boah! Wie schaffen man denn sowas, sich aus so einem krassen Schuldenloch rauszuarbeiten? Lustiges Detail am Rande: die USA haben rund 8 Billionen Dollar Schulden, wenn man US-Dollar gegen kanadische Dollar gegenrechnet, dann ist Kanada insgesamt nicht mal halb so viel wert wie die USA Schulden haben. Schon kraß, diese Größenordnungen.
Oh, und dann dieses Juwel: Gefragt, wieso die Community rumheule, daß Apple so furchtbar sei und nicht auf Hinweise reagiere, antwortet der Typ "We are in close touch with those guys. When there is external issues reported and we fix them, we thank the submitter.". Man muss Apple ja danken, daß sie da einen Techie hingeschickt haben, denn Techies können nicht lügen. Hier gibt er ja förmlich zu, daß sie nur Sachen fixen, bei denen sie sich danach fühlen.
Before the Appleton Wisconsin high school replaced their cafeteria's processed foods with wholesome, nutritious food, the school was described as out-of-control. There were weapons violations, student disruptions, and a cop on duty full-time. After the change in school meals, the students were calm, focused, and orderly. There were no more weapons violations, and no suicides, expulsions, dropouts, or drug violations. The new diet and improved behavior has lasted for seven years, and now other schools are changing their meal programs with similar results.
IPhoto 6 does not understand the first thing about HTTP, the first thing about XML, or the first thing about RSS.It ignores features of HTTP that Netscape 4 supported in 1996, and mis-implements features of XML that Microsoft got right in 1997. It ignores 95 per cent of RSS and Atom and gets most of the remaining five per cent wrong.
Ich beobachte aber auch, wie immer weniger Leute bereit sind, überhaupt hinreichend Energie in etwas zu investieren, um sich damit jemals in die Nähe einer Perspektive zu bringen, Hacker zu werden. Natürlich kann nicht jeder überall der Oberheld sein, aber ich erwarte schon von jedem, daß er genug Ausdauer hat, sich in zumindest ein Thema mal tiefschürfend genug einzuarbeiten, daß ihm dort keiner mehr etwas vormachen kann. Und das kann ich immer weniger beobachten. Die Leute tendieren heute eher zu einer Art Universal-Durchschnitt. Die Abstände zwischen tollen neuen Hype-Trends werden immer kleiner, keiner hat mehr Zeit und Lust, sich die Sachen genauer anzugucken. Als ich jung war (*hust*), kamen PCs noch mit Handbüchern, in denen alle Befehle von GWBASIC beschrieben wurde, genau so wie debug.com und link.exe. Später wurden diese Sachen nicht mal mehr mitgeliefert. Ich war jung und hatte Zeit und habe mir das dann eben in Ruhe angeguckt. Ich enthülle hiermit: man wird Hacker, indem man Zeit hat und sie aufwendet, um sich mit einem Thema gut genug auszukennen, daß man mehr weiß als die Autoren der Standard-Fachliteratur zum Thema. Je nach eigenem Anspruch kann man sich auch nur dann Hacker nennen, wenn man sich in einem Gebiet erschöpfend auskennt, zu dem es (noch) gar keine Literatur gibt… :-)
Und dabei waren die Voraussetzungen noch nie so gut wie heute zum Hacker-Werden! Es gibt heute freie Betriebssysteme mit Editor, Compiler, Assembler und Linker kostenlos im Internet — mit Quellcode! Es kostet nichts mehr (außer Zeit), sich in die Sachen richtig gut einzuarbeiten! Man muss nicht mal Bücher kaufen, und heutzutage gibt es Suchmaschinen. Ihr wißt ja gar nicht, was das für ein Luxus ist, Kinder!
Zurück zum Thema. Heute kann jeder Hacker werden, der nur genug Zeit investiert. Als Hacker gewinnt man enorm an Selbstsicherheit, man ist gefragt auf dem Arbeitsmarkt, alles ist prima, aber aus irgendeinem Grund werden die Leute heute nicht mehr Hacker. Stattdessen hat die Verfügbarkeit freier Software zu einer Anspruchshaltung geführt, daß die Leute finden, wenn man schon nichts für Download und Installation zahlen muss, dann muss man auch danach keinen Aufwand investieren müssen. Den Nachwuchs in meinem Bekanntenkreis wird eher so High-Level-Fummler, klickt sich GUI-Anwendungen in einer IDE zusammen, hackt ein Python-Skript zum Mail-Sortieren, hat ein bißchen Java aus der Uni mitgenommen, steigt gerade auf C# um, sowas. Womit ich das nicht abwerten will, aber Hacken ist was anderes.
Es ist besser, in einer Sprache richtig gut als in 20 Sprachen Anfänger zu sein. Denkt da ruhig mal aus Sicht eines HR-Menschen drüber nach. Stellt euch vor, ihr seit der Headhunter, und ihr wäret mit einem Lebenslauf konfrontiert, bei dem jemand ein paar Applets (das klingt schon von alleine mittelmäßig und irgendwie abwertend) in Java gemacht hat, der gerade Windows Forms in Visual C# zusammenklicken lernt, der ein paar dynamische Webseiten mit PHP gemacht hat. Für was für einen Job soll so jemand denn bitte qualifiziert sein? Zum ct Lesen? Anspruchsvolle Jobs kann man so jemandem doch gar nicht geben! Wer sich nur oberflächlich mit Sachen beschäftigt, der wird auch nur oberflächliche Jobs bekommen. Was für eine grauenvolle Vorstellung… Insofern: setzt euch hin, sucht euch etwas aus, das ihr am besten noch nicht kennt, und arbeitet euch richtig tief ein. Nehmt euch dafür ein paar Monate. Hört erst auf, wenn ihr das Gefühl habt, selbst der Erfinder der Sache könnte euch nichts wirklich überraschendes mehr dazu erzählen. Solche Leute braucht das Land, nicht noch mehr Visual Basic Pfuscher.